Prop. 2011/12:45

Kustbevakningsdatalag

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 1 december 2011

Fredrik Reinfeldt

Sten Tolgfors

(Försvarsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en lag om behandling av personuppgifter i Kustbevakningens verksamhet, en kustbevakningsdatalag.

Syftet med den nya lagen är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter i Kustbevakningens verksamhet som är särskilt skyddsvärda från integritetssynpunkt slås fast i lagen, däribland ändamålen för behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Förslagen innebär vidare att vissa grundläggande krav ställs på all behandling av uppgifter som omfattas av lagen – medan det uppställs särskilda villkor för sådan verksamhet som är särskilt känslig ur integritetssynpunkt, framför allt behandlingen av uppgifter för brottsbekämpande ändamål.

Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet. Lagen ska ersätta den nuvarande förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Lagen ska gälla i stället för personuppgiftslagen (1998:204), men innehålla hänvisningar till vissa bestämmelser i personuppgiftslagen som ska vara tillämpliga i Kustbevakningens verksamhet.

Propositionen innehåller också förslag till ändringar i offentlighets- och sekretesslagen (2009:400) och förslag till ändring i lagen (2000:343) om internationellt polisiärt samarbete. Kustbevakningsdatalagen samt lagändringarna föreslås träda i kraft den 1 maj 2012.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. kustbevakningsdatalag,

2. lag om ändring i offentlighets- och sekretesslagen (2009:400),

3. lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till kustbevakningsdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde Lagens syfte

1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör:

1. brottsbekämpning,

2. övrig sjöövervakning,

3. räddningstjänst,

4. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och

5. internationellt samarbete. Lagen gäller emellertid endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

3 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:

1. 2 kap. 3 § om tillgången till personuppgifter,

2. 2 kap. 4 § om personuppgiftsansvar,

3. 3 kap. 2–4 §§ och 5 kap. 1 och 2 §§ om ändamålen för behandlingen,

4. 3 kap. 5 och 6 §§ och 5 kap. 7 § om bevarande och gallring, och

5. 4 kap. 1, 2, 8–11, 13 och 14 §§ om gemensamt tillgängliga uppgifter.

4 § Med gemensamt tillgängliga uppgifter avses i denna lag personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevak-

ningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.

5 § I 2 kap. finns det allmänna bestämmelser om behandling av personuppgifter.

Bestämmelserna i 3 och 4 kap. gäller vid behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet.

Bestämmelserna i 5 kap. gäller vid behandling av personuppgifter i annan operativ verksamhet än den brottsbekämpande.

2 kap. Allmänna bestämmelser Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för paragrafens första stycke i) och tredje stycket,

4. 22 § om behandling av personnummer och samordningsnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Tillgången till personuppgifter

3 § Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Personuppgiftsansvar

4 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsombud

5 § Kustbevakningen ska utse ett eller flera personuppgiftsombud.

Den personuppgiftsansvarige ska enligt personuppgiftslagen (1998:204) anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas.

Behandling av personuppgifter för handläggning

6 § Utöver för de ändamål som anges i 3 och 5 kap. får personuppgifter behandlas i den operativa verksamheten om

1. behandlingen är nödvändig för diarieföring, eller

2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

7 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 6 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Utlämnande på medium för automatiserad behandling

8 § Enstaka personuppgifter får lämnas ut på ett medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på ett sådant medium även i andra fall.

9 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Bestämmelser om direktåtkomst finns i 4 kap. 7 § och 5 kap. 5 §.

Grundläggande krav på behandlingen

10 § Personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet.

3 kap. Behandling av personuppgifter i den brottsbekämpande verksamheten

1 § Detta kapitel tillämpas när Kustbevakningen behandlar personuppgifter i brottsbekämpande verksamhet. För behandling av gemensamt tillgängliga uppgifter gäller också 4 kap.

Ändamål

2 § Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden.

3 § Personuppgifter som behandlas enligt 2 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket,

2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3. annan verksamhet hos Kustbevakningen för

a) utredning och beslut i ärenden som rör vattenföroreningsavgift, eller

b) tillsyn och kontroll enligt lag eller förordning,

4. en annan myndighets verksamhet

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 2 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.

I ett enskilt fall får personuppgifter som behandlas enligt 2 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Bevarande och gallring

4 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i kapitlet.

I följande bestämmelser anges hur länge uppgifter som behandlas automatiserat får bevaras:

1. 5 § om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 4 kap. 8–12 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3. 4 kap. 13 och 14 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

Regeringen meddelar föreskrifter om digital arkivering.

5 § Om personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga behandlas i ett ärende, ska de gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av uppgifter och uppgiftsskyldighet

6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1. Interpol,

2. Europol,

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4. en utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas enligt första stycket om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

7 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

8 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

4 kap. Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Personuppgifter som får göras gemensamt tillgängliga

1 § Följande personuppgifter får göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4. Uppgifter som har rapporterats till Kustbevakningens ledningscentraler.

Särskilda upplysningar

2 § Vid behandling enligt 1 § ska det genom särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas.

3 § Om uppgifter som behandlas enligt 1 § direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.

Sökning

4 § Vid sökning i personuppgifter som gjorts gemensamt tillgängliga får uppgift som avses i 2 kap. 7 § första stycket inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1,

4. har anmält ett brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

6 § Begränsningarna i 5 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket.

Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §.

Direktåtkomst

7 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Bevarande av personuppgifter i ärenden om utredning eller beivrande av brott

8 § I 9 och 10 §§ anges hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga får bevaras i Kustbevakningens brottsbekämpande verksamhet.

9 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Kustbevakningens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Kustbevakningens brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

10 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna inte behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, vann laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

11 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras i Kustbevakningens brottsbekämpande verksamhet under längre tid än vad som anges i 9 och 10 §§.

12 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom som har vunnit laga kraft har meddelats, får personen inte längre vara sökbar som misstänkt.

Bevarande och gallring av övriga personuppgifter

13 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 1 § 1, 3 eller 4 ska gallras enligt andra–fjärde styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 1 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats med stöd av 1 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 1 § 4 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

14 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid än vad som anges i 13 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med undantag från 13 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

5 kap. Behandling av personuppgifter i annan operativ verksamhet Ändamål och gemensamt tillgängliga uppgifter

1 § Personuppgifter får behandlas i annan operativ verksamhet än den brottsbekämpande om det behövs för att

1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,

2. bedriva räddningstjänst,

3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

4. utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller

5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

Personuppgifter som får behandlas enligt första stycket får göras gemensamt tillgängliga.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. Kustbevakningens brottsbekämpande verksamhet,

2. en annan myndighets verksamhet

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och

3. likartad verksamhet hos en utländsk myndighet. Personuppgifter som behandlas enligt 1 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.

I ett enskilt fall får personuppgifter som behandlas enligt 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

3 § Uppstår misstanke om brott eller brottslig verksamhet när personuppgifter behandlas i Kustbevakningens verksamhet enligt 1 §, tillämpas 3 och 4 kap.

Sökning

4 § Vid sökning i personuppgifter får uppgifter som avses i 2 kap. 7 § första stycket inte användas som sökbegrepp.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

Direktåtkomst

5 § Regeringen meddelar föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 1 §.

Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse personuppgifter som anges i 2 kap. 7 § första stycket. En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen meddelar föreskrifter om att utländska myndigheter får ha direktåtkomst till personuppgifter som behandlas med stöd av 1 §. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse personuppgifter som anges i 2 kap. 7 § första stycket.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Utlämnande av uppgifter

6 § Regeringen meddelar föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

Bevarande och gallring

7 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen meddelar föreskrifter om digital arkivering.

Denna lag träder i kraft den 1 maj 2012.

2.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 § och 35 kap. 10 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Lydelse enligt SFS 2010:369 Föreslagen lydelse

18 kap.

2 §

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, eller

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, eller

3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2011:000).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

35 kap.

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

kustbevakningsdatalagen (2011:000), – förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

Denna lag träder i kraft den 1 maj 2012.

2.3. Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs att 1 a § lagen (2000:343) om internationellt polisiärt samarbete (2000:343) ska ha följande lydelse.

Lydelse enligt SFS 2011:905 Föreslagen lydelse

1 a §

Polisdatalagen (2010:361) gäller för polisens behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Kustbevakningsdatalagen (2011:000) gäller för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Denna lag träder i kraft den 1 maj 2012.

3. Ärendet och dess beredning

Regeringen beslutade den 21 oktober 2004 att tillkalla en särskild utredare för att se över regleringen av behandling av personuppgifter i Kustbevakningens verksamhet och föreslå en författningsreglering. I uppdraget ingick att kartlägga behandlingen av personuppgifter och analysera behovet av särskilda bestämmelser. Utgångspunkten för uppdraget var att Kustbevakningens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som nödvändig respekt visas för enskildas personliga integritet.

Utredningen, som antog namnet Utredningen om Kustbevakningens personuppgiftsbehandling, överlämnade den 28 februari 2006 betänkandet Kustbevakningens personuppgiftsbehandling, Integritet – Effektivitet (SOU 2006:18). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2.

Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En sammanställning över remissyttrandena finns tillgänglig i Försvarsdepartementet (dnr Fö2006/618/RS).

Sedan betänkandet remissbehandlats bedömdes att den fortsatta beredningen av förslaget skulle samordnas med beredningen av Polisdatautredningens förslag – Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). Under den fortsatta beredningen i det ärendet framkom att Polisdatautredningens förslag behövde ändras och kompletteras i olika avseenden.

Inom Regeringskansliet (Justitiedepartementet) utarbetades därför departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). I promemorian togs vissa principiella överväganden om regleringen av Kustbevakningens personuppgiftsbehandling upp, i syfte att åstadkomma en mer enhetlig reglering av förutsättningarna för personuppgiftsbehandling hos brottsbekämpande myndigheter. Promemorian innehåller dock inga lagförslag om Kustbevakningens personuppgiftsbehandling. Den del av promemorian som rör vilka grundläggande principer som föreslås gälla för Kustbevakningen i dess brottsbekämpande verksamhet finns i bilaga 4. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren och remissammanställningen finns tillgängliga i Justitiedepartementet (dnr Ju2007/9805/PO).

Det förslag till polisdatalag som lades fram i propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, medförde behov av att ändra och komplettera förslaget till den lag om behandling av personuppgifter i Kustbevakningens verksamhet som föreslagits i SOU 2006:18. Det bedömdes nödvändigt att nå enhetlighet i personuppgiftsbehandlingen i myndigheternas brottsbekämpande verksamheter och tydligare reglera vad som bör gälla i annan operativ verksamhet hos Kustbevakningen. Ändringarna och kompletteringarna bedömdes vara av sådan art att ett nytt underlag skulle tas fram och remitteras. Departementspromemorian Kustbevakningsdatalag (Ds 2011:16) utarbetades därför inom Regeringskansliet (Försvarsdepartementet), med förslagen i SOU 2006:18 som utgångspunkt. En sammanfattning av promemorian finns i bilaga 6, och dess lagförslag i bilaga 7.

Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 8. Remissvaren och remissammanställningen finns tillgängliga i Försvarsdepartementet (dnr Fö2011/760/RS).

Lagrådet

Regeringen beslutade den 27 oktober 2011 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 9. Lagrådets yttrande finns i bilaga 10. Lagrådet har i allt väsentligt godtagit förslagen men också föreslagit vissa ändringar. Regeringens lagförslag har i huvudsak utformats i enlighet med vad Lagrådet har förordat. Lagrådets synpunkter behandlas i avsnitten 8.1, 9.1, 9.9 och 10.1 samt i författningskommentaren. Vidare har vissa språkliga och redaktionella ändringar gjorts.

4. Gällande rätt och internationella överenskommelser

4.1. Inledning

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen följer vidare sedan den 1 januari 2011 att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (prop. 2009/10:80, bet. 2009/10:KU19 och 2010/11:KU4, rskr. 2010/11:130). Begränsningar i denna rättighet får göras endast i lag i den ordning som föreskrivs i 2 kap.21 och 22 §§regeringsformen. Vidare följer av 2 kap. 19 § regeringsformen att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen. Europakonventionen gäller som lag i Sverige (se närmare avsnitt 4.2.1).

Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen trädde i kraft den 24 oktober 1998. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046) förkortat dataskyddsdirektivet, i svensk rätt. Personuppgiftslagen är tillämplig om det inte i någon annan lag eller i en förordning har meddelats avvikande bestämmelser. Då gäller dessa. Direktivet omfattar däremot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet, försvar, statens säkerhet och sta-

tens verksamhet på straffrättens område omfattas till exempel inte. Personuppgiftslagen innehåller dock inte något undantag för dessa områden.

Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd specialförfattningar med bestämmelser om behandling av personuppgifter, däribland förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen.

Detta avsnitt innehåller en beskrivning av gällande rätt och en redogörelse för aktuella internationella överenskommelser och rekommendationer på dataskyddsområdet. Dessa instrument utgör en utgångspunkt för en ny reglering gällande behandlingen av personuppgifter i Kustbevakningens verksamhet och respekten för och medvetenheten om dessa rättigheter ska vara tydlig i denna verksamhet. Vidare redovisas ett antal antagna beslut inom Europeiska unionen (EU) som rör informationsutbyte mellan medlemsstaterna. Redovisningen fokuserar på överenskommelser som har bäring på personuppgiftsbehandling inom Kustbevakningens verksamhet.

Hänvisningar till S4-1

  • Prop. 2011/12:45: Avsnitt 8.2, 9.7

4.2. Internationella överenskommelser och personuppgiftslagen

4.2.1. Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i Europakonventionen från år 1950 och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs bl.a. att den nationella rättighetsinskränkande författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet.

Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

Hänvisningar till S4-2-1

  • Prop. 2011/12:45: Avsnitt 4.1

4.2.2. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 7 föreskrivs, efter förebild i artikel 8 i Europakonventionen, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 i stadgan föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

4.2.3. Dataskyddskonventionen

Reglering om automatiserad behandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, förkortad dataskyddskonventionen. Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen med behandlingen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa kategorier av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade. Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen bl.a. i fråga om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har emellertid i princip övertagits av dataskyddsdirektivet inom dess tillämpningsområde i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar. Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som

bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

Hänvisningar till S4-2-3

  • Prop. 2011/12:45: Avsnitt 9.3.1

4.2.4. Dataskyddsdirektivet

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Här kan nämnas att uppgifter får behandlas i första hand efter att den registrerade otvetydigt har lämnat sitt samtycke, men också om det är nödvändigt för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt direktivet får dock behandling av sådana uppgifter ske i vissa undantagsfall, bl.a. med uttryckligt samtycke av den registrerade. Medlemsländerna får vidare under förutsättning att lämpliga skyddsåtgärder införs och av hänsyn till ett viktigt allmänt intresse besluta om undantag från förbudet.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige dock inte lämna någon information, om det skulle visa sig vara omöjligt

eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade.

Direktivet innehåller även regler om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Som ovan nämnts syftar direktivet bl.a. till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. En överföring av personuppgifter till tredjeland dvs. till en stat som varken är medlem i EU eller är anslutet till EES, får dock som huvudregel endast ske om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn taget till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen.

Hänvisningar till S4-2-4

4.2.5. Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204). Till skillnad från dataskyddsdirektivet har dock personuppgiftslagen gjorts generellt tillämplig och omfattar således även verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18). Lagen innehåller de generella regler som krävs för genomförande av direktivet. Särreglering i annan lag eller i förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen.

Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar endast behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig bl.a. se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte

bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Enligt lagen är det vidare förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller inte stater som anslutit sig till dataskyddskonventionen. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas.

Efter en lagändring som trädde i kraft den 1 januari 2007 är de flesta av personuppgiftslagens detaljerade handlingsregler inte tvingande tillämpliga vid behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar (prop. 2005/06:173). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 9.3.

Hänvisningar till S4-2-5

4.3. Den nuvarande regleringen av Kustbevakningens behandling av personuppgifter

Kustbevakningens behandling av personuppgifter regleras i dag genom bestämmelserna i personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Förordningen gäller utöver personuppgiftslagen i fråga om behandling av personuppgifter i Kustbevakningens verksamhet som rör brottsbekämpning, kontroll och tillsyn samt ärenden om vattenföroreningsavgift.

I förordningen anges att Kustbevakningen får behandla personuppgifter i sin brottsbekämpande verksamhet. Detta förutsätter att behandlingen är nödvändig för att förhindra eller upptäcka brottslig verksamhet som Kustbevakningen enligt lag eller förordning har till uppgift att ingripa mot eller för att utreda sådana brott. Personuppgifter får också behandlas i den kontroll- och tillsynsverksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten. Personuppgifter får vidare behandlas vid Kustbevakningens handläggning av ärenden om vattenföroreningsavgift. Slutligen får Kustbevakningen även behandla personuppgifter om det är nödvändigt för att planera, följa upp eller utvärdera nämnda verksamheter.

Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Uppgifter om en person får i verksamheterna brottsbekämpning samt kontroll och tillsyn inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa och filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får uppgifterna dock kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

I förordningen skiljer man mellan behandling av uppgifter som är gemensamt tillgängliga i verksamheten (kustbevakningsdatabasen) och sådan behandling där uppgifterna endast är tillgängliga för en enskild tjänsteman eller en begränsad grupp av tjänstemän. Tillgången till uppgifterna i databasen ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna. Behandling av uppgifter i kustbevakningsdatabasen är också omgärdad av särskilda regler vad gäller de personer om vilka uppgifter får behandlas i databasen, vilka uppgifter som får behandlas i databasen samt sökbegrepp.

I kustbevakningsdatabasen får uppgifter om personer som kan antas ha samband med brottslig verksamhet för vilken är föreskriven fängelse i två år eller mer behandlas. Uppgifter om personer som är misstänkta för lindrigare brottslighet får behandlas endast om den brottsliga verksamheten har samband med sådan brottslighet som kan leda till fängelse i två år eller mer. Vidare får i kustbevakningsdatabasen behandlas uppgifter om personer som förekommer i ärende om utredning av brott.

För att inrikta och genomföra kontroll- och tillsynsverksamhet får Kustbevakningen i kustbevakningsdatabasen behandla uppgifter om personer som har anknytning till ett transportmedel eller en verksamhet som omfattas av kontrollen eller tillsynen. I kustbevakningsdatabasen får även uppgifter om personer som förekommer i ett ärende om vattenföroreningsavgift behandlas.

I förordningen regleras också vilka andra myndigheter som kan få åtkomst till uppgifterna i kustbevakningsdatabasen. Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Tullverket, Skatteverket och Åklagarmyndigheten får ha direktåtkomst till kustbevakningsdatabasen och uppgifter i databasen lämnas ut till dessa myndigheter på medium för automatiserad behandling. Även här anges att direktåtkomst till personuppgifter ska vara förbehållen de personer inom myndigheten som på grund av sina arbetsuppgifter behöver ha tillgång till dessa.

Enligt förordningen ska personuppgifter gallras när de inte längre behövs med hänsyn till ändamålen med behandlingen. Uppgifter om personer som inte är misstänkta för brott ska gallras senast ett år efter det att behandlingen inleddes. Riksarkivet får föreskriva att personuppgifter trots detta får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Som nämnts i det föregående framgår det av förordningen vilka myndigheter som har direktåtkomst till kustbevakningsdatabasen. Däremot innehåller förordningen inga regler om vilka uppgifter som får lämnas ut från databasen på annat sätt än genom direktåtkomst eller annat datoriserat förfarande. Förordningen innehåller inte heller någon sekretessbrytande bestämmelse. Frågor om sekretess och uppgiftsskyldighet behandlas i avsnitt 13 och avsnitt 14.5.

Hänvisningar till S4-3

4.4. Regler för behandling av personuppgifter i brottsbekämpande verksamhet

4.4.1. Inledning

Vid sidan av personuppgiftslagen (1998:204) finns en mängd särskilda registerlagar som spänner över olika samhällsområden, bl.a. lagar och förordningar som innefattar regler om hur personuppgifter i brottsbekämpande verksamhet ska behandlas. Vad avser Tullverkets verksamhet finns lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet med anslutande förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Vidare finns för Skatteverkets verksamhet lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) med samma namn. Slutligen finns det ett flertal regelverk som berör polisens brottsbekämpande verksamhet.

När översynen av regleringen av behandling av personuppgifter i Kustbevakningen utfördes hade Utredningen om Kustbevakningens personuppgiftsbehandling Integritet - Effektivitet som särskild förutsättning för uppdraget att beakta intresset av att regleringen av behandling av personuppgifter inom den brottsbekämpande verksamheten skulle vara enhetlig. Vid tidpunkten för översynen hade lagen om behandling av Tullverkets brottsbekämpande verksamhet nyligen trätt i kraft (närmare bestämt den 1 december 2005), liksom tillhörande förordning. Mot den bakgrunden har utredningen vid utformningen av förslagen till en lag och förordning om personuppgiftsbehandling i Kustbevakningens verksamhet haft dessa regler som förebild. Efter det att betänkandet överlämnades till regeringen i februari 2006 har emellertid förändringar föreslagits och beslutats gällande registerlagstiftningen inom polisens område, vilka är av betydelse vid utarbetandet av förslag avseende Kustbevakningens personuppgiftsbehandling. Av den anledningen lämnas i detta avsnitt en kort redogörelse för särskilda registerlagstiftningar, då dessa är av stort intresse för denna proposition.

4.4.2. Polisdatalagen

Den nya polisdatalagen

I propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) föreslog regeringen en helt ny polisdatalag. Detta för att komma till rätta med vissa svagheter som uppmärksammats i systemet, bland annat att polisdatalagen (1998:622) endast täcker delar av personuppgiftsbehandlingen i polisens brottsbekämpande verksamhet. Vidare framhöll regeringen i propositionen behoven av en teknikneutral lagstiftning och av regler som ger förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte (se prop. 2009/10:85 s. 59 f.).

Riksdagen beslutade i april 2010 att anta regeringens förslag till en ny polisdatalag (bet. 2009/10:JuU19, rskr. 2009/10:255).

Den nya polisdatalagen (2010:361) träder i kraft den 1 mars 2012 och ersätter då den nuvarande polisdatalagen från år 1998. Den nya lagen ska

gälla i stället för personuppgiftslagen. Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i polisens brottsbekämpande verksamhet. Behandling av personuppgifter som sker med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2010:362) om polisens allmänna spaningsregister har uttryckligen undantagits från polisdatalagens område (1 kap. 2 § andra stycket). Lagen gäller inte heller när personuppgifter behandlas i vapenregister med stöd av vapenlagen, om inte detta särskilt har angetts i den lagen (1 kap. 2 § tredje stycket).

Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 kap. 1 §). Polisdatalagen reglerar, med några få undantag, all behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten (1 kap. 2 §). Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, regleras i huvudsak i personuppgiftslagen.

Polisdatalagen gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet och i sådan verksamhet vid Ekobrottsmyndigheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 §). Personuppgifter som behandlas för dessa ändamål får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vidare får personuppgifter behandlas för att tillhandahålla information som behövs i en myndighets verksamhet om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift (2 kap. 8 §). Personuppgifter får även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 §).

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund, får de emellertid kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (2 kap. 10 §).

Lagen innehåller även bestämmelser om vad som gäller för t.ex. tillgången till personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet samt elektroniskt utlämnande av personuppgifter (2 kap. 11–21 §§).

För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till, s.k. gemensamt tillgängliga uppgifter, finns det särskilda bestämmelser i lagen (3 kap. 1–15 §§). Huruvida uppgifter har gjorts gemensamt tillgängliga eller inte är av betydelse när det gäller möjligheten

att medge vissa andra i lagen utpekade myndigheter direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Vad gäller gemensamt tillgängliga uppgifter innehåller lagen även andra begränsande bestämmelser för att värna den personliga integriteten, bl.a. sökbegränsningar.

Slutligen ska nämnas att den nya polisdatalagen innehåller bestämmelser om ett fåtal register som regleras särskilt, bl.a. register över DNAprofiler, fingeravtrycks- eller signalementsregister, och penningtvättsregister (4 kap.). I polisdataförordningen (2010:1155) finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen.

4.4.3. Polisregisterlagstiftningen i övrigt

Vid sidan av polisdatalagstiftningen finns det andra författningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestämmelser om personuppgiftsbehandling medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om ett visst register. Bestämmelser om personuppgiftsbehandling finns i vapenlagen (1996:67), lagen om belastningsregister, lagen om misstankeregister, lagen (2000:343) om internationellt polisiärt samarbete, lagen om Schengens informationssystem, lagen om passagerarregister, efterlysningskungörelsen (1969:293), passförordningen (1979:664), förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. De aktuella författningarna har behandlats utförligt i prop. 2009/10:85 s. 462 f. De författningarna som har betydelse för Kustbevakningens personuppgiftsbehandling är följande.

Belastningsregistret

Ändamålet med belastningsregistret är att ge information om sådana belastningsuppgifter som behövs i verksamhet hos polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och för utfärdande av strafföreläggande samt hos allmänna domstolar för straffmätning och val av påföljd.

I 6 § lagen om belastningsregister föreskrivs bl.a. att polismyndighet, Skatteverket, Tullverket och Kustbevakningen har rätt att få ut de uppgifter ur belastningsregistret som behövs i verksamhet för att förebygga, upptäcka och utreda brott. Kustbevakningen har enligt 19 § förordningen (1999:1134) om belastningsregister direktåtkomst till uppgifter i registret.

Misstankeregistret

Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos polismyndigheter, Skatteverket, Tullverket och Kustbevakningen för att sam-

ordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagarmyndigheter för beslut om förundersökning och åtal.

Enligt 6 § förordningen (1999:1135) om misstankeregister får bl.a. Kustbevakningen ha direktåtkomst till uppgifter i registret.

Passförordningen

Rikspolisstyrelsen ska enligt 23 § passförordningen föra ett centralt passregister. På begäran från bl.a. polismyndigheter, Tullverket och Kustbevakningen ska Rikspolisstyrelsen lämna ut uppgifter i form av fotografisk bild av enskild från registret.

Ordningsbotsregistret

Rikspolisstyrelsen för, med stöd av förordningen om register över förelägganden av ordningsbot, ett särskilt register över alla ordningsbotsförelägganden. Registret omfattar även de förelägganden som beslutas inom Tullverket och Kustbevakningen. Enligt 2 § får registret användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. Enligt 4 § får Kustbevakningen ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos myndigheten.

Schengens informationssystem

Sverige är anslutet till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 1997/98:121). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att någon personkontroll vid nationsgränserna mellan Schengenstaterna inte ska förekomma. Den andra är att kampen mot internationell kriminalitet och illegal invandring ska stärkas.

Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenstaterna. Rikspolisstyrelsen för med stöd av lagen om Schengens informationssystem ett register som utgör den svenska nationella enheten av dataregistret SIS. Registret är anslutet till den centrala enheten i SIS.

Registrets syfte är att vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar hos Sverige om bl.a. omhändertagande av personer och om dold övervakning eller särskilda kontrollåtgärder. I lagen finns bestämmelser om vilka uppgifter som får förekomma i registret och om vem som har rätt att få ut uppgifter ur detta. Enligt lagens 9 § har bl.a. polismyndigheter, Tullverket, Kustbevakningen och Migrationsverket rätt att få ut uppgifter ur registret när de utför gränskontroller eller bistår i sådan verksamhet samt när de utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott. Enligt 10 § får en svensk myndighet inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande Scheng-

enstaten har angivit vid registreringen, om inte den staten samtycker till att uppgiften används för annat ändamål.

Enligt 10 § förordningen (2000:836) om Schengens informationssystem får polismyndigheterna, Tullverket och Kustbevakningen ha direktåtkomst till uppgifter ur SIS-registret.

Under 2010 har förändringar skett i lagen om Schengens informationssystem. Förändringarna, som träder i kraft den dag regeringen bestämmer, är föranledda av ett rådsbeslut och två EU-förordningar om inrättandet av en andra generation av Schengens informationssystem (prop. 2009/10:86, bet. 2009/10:JuU20, rskr. 2009/10:107). Rådsbeslutet gäller inom det som före Lissabonsfördragets ikraftträdande benämndes tredjepelarområdet (polissamarbete och straffrättsligt samarbete) medan förordningarna reglerar frågor inom det som tidigare kallades första pelaren (gränskontroll och immigrationskontroll).

Grunden för inrättandet av SIS II är att det nuvarande systemet anses vara tekniskt föråldrat och sakna den kapacitet som krävs med hänsyn till kommande behov. Rättsakterna innebär att ett antal nya kategorier av uppgifter ska kunna registreras, vilket syftar till att öka effektiviteten i brottsbekämpningen. Samtidigt innehåller de bestämmelser som syftar till att ge en bättre kontroll av att de uppgifter som registreras används på föreskrivet sätt, vilket förstärker skyddet för enskildas personliga integritet.

4.5. Vissa EU-beslut och lagstiftningsförslag

4.5.1. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, förkortat dataskyddsrambeslutet, reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs. Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen (1998:204). Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat.

Regeringen har i propositionen Godkännande av dataskyddsrambeslutet (prop. 2009/09:16) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rambeslutet (bet.

2008/09:JuU7, rskr. 2008/09:41), som därefter har antagits av rådet. Rambeslutet har ännu inte genomförts i svensk rätt. Den 25 februari 2010 beslutade regeringen att tillkalla en särskild utredare för att bl.a. göra en analys av hur svensk rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet (dir. 2010:17). Den 15 mars 2011 överlämnades delbetänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete (SOU 2011:20), vilket för närvarande bereds inom Regeringskansliet.

Hänvisningar till S4-5-1

4.5.2. Rådsbeslutet om tillgång till informationssystemet för viseringar

Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, förkortad VIS-förordningen, trädde i kraft den 2 september 2008. I enlighet med kommissionens beslut togs VIS i drift den 11 oktober 2011. Förordningen tillämpas från och med den dagen.

De övergripande målen för inrättandet av VIS är att förbättra genomförandet av den gemensamma viseringspolitiken, det konsulära samarbetet och samrådet mellan viseringsmyndigheter. VIS ska underlätta utbytet av uppgifter om viseringsansökningar och beslut med anledning av sådana ansökningar. I VIS-förordningen finns också närmare bestämmelser om bl.a. viseringsmyndigheternas registrering och användning av uppgifterna i VIS, andra myndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna.

Författningsändringar med anledning av VIS-förordningen trädde i kraft den 11 oktober 2011. VIS-förordningen innehåller vidare en s.k. broklausul, som medger att brottsbekämpande myndigheter och Europol ges tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott. Villkoren för åtkomst till VIS i detta syfte har fastställts i rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystem för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Enligt rådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att inhämtandet av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Regeringen har i propositionen Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132) på ett övergripande plan övervägt vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250), som därefter har antagits av rådet. Departementspromemorian Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS) (Ds 2011:27) innehåller förslag till författningsändringar med anledning av rådsbeslutet. Promemorian har remissbehandlats. Förslagen bereds för närvarande inom Regeringskansliet.

4.5.3. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, förkortat Prümrådsbeslutet, bygger på en konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNAprofiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Dessa bestämmelser måste genomföras innan uppgiftsutbytet får inledas. Rådsbeslutet innehåller också en skyldighet för medlemsstaterna att lämna varandra bistånd i samband med större evenemang, katastrofer och allvarliga olyckor. Därutöver finns bestämmelser om frivilligt operativt samarbete.

Regeringen föreslog i propositionen Godkännande av Prümrådsbeslutet (prop. 2007/08:83) att riksdagen skulle godkänna utkastet till rådsbeslut, vilket riksdagen har gjort (bet. 2007/08:JuU20, rskr. 2007/08:197).

De obligatoriska delarna av rådsbeslutet har genomförts i två steg. Den del som bl.a. gäller informationsutbyte vid större evenemang, skyldigheten att lämna bistånd vid större evenemang, katastrofer och olyckor samt de generella dataskyddsbestämmelserna (artiklarna 13–15, delar av 18 samt 24–32) har behandlats i propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/2010:177). Lagändringarna godkändes av riksdagen (bet. 2009/10:JuU30, rskr. 2009/10:265) och trädde i kraft den 1 juli 2010. Förordningsregleringen trädde i kraft den 1 augusti 2010. Den del som gäller automatiserat utbyte av DNA-, fingeravtrycks- och fordonsuppgifter (artiklarna 2–12) har behandlats i propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte (prop. 2010/11:129). Lagändringarna godkändes av riksdagen (bet.

2010/11:JuU15, rskr. 2010/11:302) och trädde i kraft den 1 augusti 2011, liksom förordningsregleringen.

För Rikspolisstyrelsen, polismyndigheter, Tullverket och Kustbevakningen innebär den nya regleringen bl.a. att myndigheterna i samband med större evenemang med gränsöverskridande verkningar i syfte att förebygga brott eller upprätthålla allmän ordning och säkerhet, ska lämna ut uppgifter om en person om det av olika anledningar finns skäl att anta att personen kommer att begå brott vid evenemanget eller utgöra hot mot den allmänna ordningen och säkerheten vid detta. Uppgifter kan lämnas ut på begäran av en myndighet i en annan stat eller på eget initiativ. Myndigheterna ska även lämna ut andra uppgifter än personuppgifter som bedöms vara nödvändiga för att förebygga brott eller hot mot den allmänna ordningen och säkerheten vid evenemanget (3 kap. 1 § förordningen [2010:705] om internationellt polisiärt samarbete). En förutsättning för att uppgifter ska få lämnas ut är att de i motsvarande fall skulle få lämnas ut till annan svensk myndighet.

Utöver att lämna information vid större evenemang ska Kustbevakningen och andra i förordningen utpekade myndigheter även i vissa fall lämna olika former av bistånd vid större evenemang, katastrofer och allvarliga olyckor som har gränsöverskridande verkningar i syfte att förhindra brott eller upprätthålla allmän ordning och säkerhet. En form av bistånd är att underrätta berörda myndigheter i en annan stat om situationen så snart det är möjligt och förmedla väsentlig information (3 kap. 3 § förordningen). Respektive myndighet beslutar om bistånd ska lämnas.

Hänvisningar till S4-5-3

  • Prop. 2011/12:45: Avsnitt 9.1

4.5.4. Rambeslutet om förenklat informations- och underrättelseutbyte

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla informationsutbytet är en av hörnstenarna i rambeslutet om förenklat informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information för användning i underrättelseverksamhet om brott eller utredning av brott. Genom rambeslutet åtar sig medlemsstaterna att dels på begäran av en annan stat lämna viss information, dels spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari 2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet. Enligt 3 § i förordningen ska en svensk brottsbekämpande myndighet efter begäran från en utländsk brottsbekämpande myndighet lämna ut uppgifter. I förordningen anges som svensk brotts-

bekämpande myndighet bl.a. polismyndigheterna, Tullverket och Kustbevakningen. En svensk brottsbekämpande myndighet kan med stöd av rambeslutet även begära uppgifter från en annan medlemsstat. Förordningen innehåller vidare regler om villkor för användandet av tillhandahållna uppgifter och tidsfrister inom vilka en inkommen begäran ska behandlas.

5. Kustbevakningens organisation och geografiska verksamhetsområde

5.1. Inledning

Kustbevakningen tillhörde organisatoriskt under lång tid Tullverket. På våren 1988 beslutade dock riksdagen att den svenska kustbevakningsverksamheten skulle föras över till en ny civil statlig myndighet benämnd Kustbevakningen (prop. 1986/87:95, bet. FöU 1986/87:11, rskr. 1986/87:310). Därmed avskiljdes kustbevakningsverksamheten från Tullverket. Kustbevakningen började sin verksamhet som självständig myndighet den 1 juli 1988. I detta kapitel beskrivs översiktligt Kustbevakningens organisation och verksamhetsområde.

5.2. Kustbevakningens huvudkontor

Kustbevakningen leds av en generaldirektör, som är myndighetschef. Vid Kustbevakningen finns också en överdirektör som är generaldirektörens ställföreträdare. Huvudkontoret, som är myndighetschefens stab, består av avdelningen för räddningstjänst och sjöövervakning, tekniska avdelningen, ekonomiavdelningen, personal- och utbildningsavdelningen och informationsavdelningen. Vid huvudkontoret finns även en verksledningsstab.

Avdelningen för räddningstjänst och sjöövervakning omfattar centralt stöd, metodutveckling, samordning och strategier som rör kustbevakningsuppgifter enligt förordningen (2007:853) med instruktion för Kustbevakningen. Verksamheten omfattar sjöövervakning, miljöräddningstjänst och annan räddningstjänst, krisberedskap, sjöövervakningsuppdraget och sjöövervakningsrådet, internationell samverkan och uppdragsverksamhet. Avdelningen är indelad i fyra enheter. Enheterna benämns brottsbekämpningsenheten, övervaknings- och kontrollenheten, räddningstjänstenheten och strategienheten.

Brottsbekämpningsenheten ska ansvara för avdelningens sammanhållande funktion för stöd och metodutveckling i brottsutredningsverksamheten och verksamheten för att upptäcka och förhindra brott (underrättelseverksamhet). I enhetens uppgifter ingår bl.a. metodik, styrning, kontroll och uppföljning samt övrigt stöd avseende spaning, underrättelseverksamhet och personuppgiftsbehandling, ingripanden mot brott, utredning och beivrande av brott samt den ordningshållande verksamheten. I uppgifterna ingår även frågor som rör skydd mot våld och hot samt tjänstevapen.

Övervaknings- och kontrollenheten ansvarar för avdelningens sammanhållande funktion för stöd och metodutveckling för Kustbevakningens kontroll- och tillsynsverksamhet samt för sådan övervakningsverksamhet som utförs rutinmässigt förebyggande och inte förutsätter någon misstanke om brott.

Räddningstjänstenheten står för stöd och utveckling av Kustbevakningens operativa räddningstjänst och dykeriverksamhet, bl.a. riskanalys och Kustbevakningens program för räddningstjänst.

Strategienheten ansvarar för analys och beredning av långsiktig inriktning av kustbevakningsverksamheten, bl.a. genom strategisk planering och analys.

5.3. Kustbevakningens regioner

Inom Kustbevakningen finns två regioner som benämns Region Nordost och Region Sydväst, vilka vardera leds av en regionchef. Organisatoriskt jämställs Kustbevakningsflyget, som leds av chefen för Kustbevakningsflyget, med en region och dess ledning likställs med en regionledning. Den lokala organisationen utgörs av 26 stationer, varav en är en flygkuststation. Regionledningen i Region Nordost är belägen i Stockholm och regionledningen i Region Sydväst är belägen i Göteborg. Kustbevakningsflygets ledning finns i Nyköping.

Regionledningen har en mängd uppgifter och ska bl.a. samordna regionens verksamhet och rutiner för ingripande mot, utredning av och beivrande av brott samt svara för förundersökningsledarskap och annan ärendehandläggning i sjöövervakningstjänsten. Vidare ska regionledningen svara för informations- och underrättelseinhämtning inom regionens geografiska område samt bearbetning och analys av detta underlag i samverkan med Kustbevakningens maritima underrättelsecentrum (MUC). Det är Regionledning Nordost som har till särskild uppgift att vid MUC svara för nationell samordning och utveckling i Kustbevakningen av informations- och underrättelseanalyser samt bearbetning av information och underrättelser.

Vid varje regionledning finns en ständigt bemannad ledningscentral med vakthavande befäl. Från ledningscentralerna styrs den dagliga operativa verksamheten. Varje ledningscentral har särskilda uppgifter. Ledningscentralen i Regionledning Nordost är kontaktpunkt dels för den administrativa kontrollen av anmälningar från fartyg till följd av Schengenavtalet, dels för Kustbevakningens uppgifter såvitt avser sjöfartsskydd. Ledningscentralen benämns i de sammanhangen Swedish Maritime Clearance (SMC). Ledningscentralen i Regionledning Nordost ansvarar också för administration och uppföljning av ordningsbot samt samordnar verksamhet med Rikskriminalpolisen och den internationella insatsstyrkan. Ledningscentralen i Regionledning Nordost är vidare Kustbevakningens kontaktpunkt för gränsövervakningssamarbetet i Östersjöregionen (Baltic Sea Region Border Control Cooperation/BSRBCC) och EU- och Schengenfrågor. Ledningscentralen i Regionledning Sydväst är kontaktpunkt för miljöräddningssamarbetet t.ex. inom FN:s International Maritime Organization (IMO) och EU. Ledningscentralen i Regionledning Sydväst svarar även för Kustbevakningsflygets flygsäkerhetsuppföljning.

Kustbevakningens verksamhet är operativt inriktad med hög närvaro av fartyg till sjöss och myndigheten har därigenom allmänt sett en hög beredskap. Verksamheten genomförs som målinriktad patrullering med stöd av fartyg, flygplan, svävare, mindre båtar och från land.

5.4. Geografiskt verksamhetsområde

Kustbevakningen svarar tillsammans med andra myndigheter för frågor som rör myndighetsutövning till sjöss eller i anslutning till sjötrafiken. Det geografiska verksamhetsområdet består framför allt av Sveriges sjöterritorium och svensk ekonomisk zon samt enligt vissa författningar land i anslutning till dessa vatten. När det gäller de delar av sjöterritoriet som består av sjöar, kanaler och vattendrag omfattar uppdraget att bedriva sjöövervakning endast Vänern och Mälaren, medan räddningstjänsten också omfattar Vättern (1 § förordningen [2007:853] med instruktion för Kustbevakningen och 4 kap. 3 § lagen [2003:778]) om skydd mot olyckor). I och med att verksamheten i viss utsträckning utövas också på land i anslutning till övervakningsområdet utför Kustbevakningen vissa uppgifter t.ex. i hamnar, på stränder och öar samt kobbar och skär.

Uppdraget att övervaka fisket är med stöd av myndighetens instruktion geografiskt utsträckt även till sådana områden som det enligt olika mellanstatliga överenskommelser och EU-rätten åligger svensk myndighet att övervaka. Kustbevakningen kan också verka utanför sitt geografiska område som en följd av EU:s operativa samarbete för kontroll av medlemsstaternas yttre gränser (s.k. Schengensamarbetet) och med stöd av förpliktelser som Sverige åtagit sig genom internationella överenskommelser avseende bl.a. räddningsinsatser (10–12 §§ förordningen).

6. Kustbevakningens uppgifter

Hänvisningar till S6

6.1. Inledning

Kustbevakningens uppgifter regleras primärt i förordningen (2007:853) med instruktion för Kustbevakningen, men även i de särskilda lagar och förordningar som innehåller bestämmelser om verksamheten samt i regleringsbrev och enskilda regeringsbeslut. Nämnas kan t.ex. lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, lagen (2000:1225) om straff för smuggling, narkotikastrafflagen (1968:64), sjölagen (1994:1009), lagen (2003:778) om skydd mot olyckor och fartygssäkerhetslagen (2003:364). Kustbevakningens verksamhet kan, något förenklat, delas in under de två huvudrubrikerna sjöövervakning och räddningstjänst.

Den mångfald av författningar som reglerar Kustbevakningens verksamhet har emellertid medfört bristande överskådlighet, t.ex. vad avser gränserna för Kustbevakningens geografiska verksamhetsområden och kustbevakningstjänstemans befogenheter. Regeringen beslutade därför att i januari 2007 utse en särskild utredare till att göra en översyn av regleringen av bl.a. Kustbevakningens befogenheter i den brottsbekäm-

pande och ordningshållande verksamheten samt lämna förslag till en mer ändamålsenlig författningsreglering (dir. 2007:5).

I maj 2008 överlämnade Utredningen om Kustbevakningens befogenheter betänkandet Kustbevakningens rättsliga befogenheter (SOU 2008:55). I betänkandet lämnas en utförlig redogörelse för bl.a. Kustbevakningens uppdrag, verksamhetsområden och Kustbevakningens och kustbevakningstjänstemännens befogenheter. Betänkandet bereds inom Regeringskansliet.

I detta kapitel ges en kortfattad beskrivning av ett antal regelverk som är centrala för Kustbevakningens verksamhet.

6.2. Sjöövervakning

Enligt 1 § förordningen (2007:853) med instruktion för Kustbevakningen har Kustbevakningen till uppgift att bedriva sjöövervakning inom Sveriges sjöterritorium och ekonomiska zon samt på land i anslutning till dessa vatten. Vad gäller sjöar, kanaler och vattendrag omfattar sjöövervakningen enbart Vänern och Mälaren.

I Kustbevakningens uppgift att bedriva sjöövervakning ingår att ansvara för eller bistå andra myndigheter med övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn enligt vad som närmare sägs i förordningens 3–10 §§.

Den polisiära och i övrigt brottsbekämpande verksamhet som Kustbevakningen ska bedriva preciseras i 3 §, där det anges att Kustbevakningen genom sjöövervakning ska förebygga och ingripa mot störningar av ordningen i sjötrafiken samt, i enlighet med särskilda föreskrifter, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott samt utreda och beivra eller bistå med utredningen av brott.

Kustbevakningen ska enligt 4 § utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Inom ramen för uppdraget att bedriva sjöövervakning har Kustbevakningen vidare enligt 5 § till uppgift att, med stöd av föreskrifter och i förekommande fall efter överenskommelse med annan myndighet, bedriva tillsyns- och kontrollverksamhet.

Sådan verksamhet ska bedrivas bl.a. i fråga om

1. sjötrafik, sjösäkerhet och transport av farligt gods,

2. fartygs registrering och identifiering,

3. personers inresa i, utresa från och vistelse i Sverige,

4. in- och utförsel av varor,

5. fiske och därtill anknuten verksamhet,

6. jakt och annat ianspråktagande av naturresurser,

7. skydd av miljö- och naturvårdsintressen, och

8. skyddsobjekt, militära skyddsområden och tillträde för utländska statsfartyg.

Kustbevakningen ska därutöver utöva tillsyn över den svenska delen av kontinentalsockeln och Sveriges ekonomiska zon. Beträffande kontinentalsockeln beslutar myndigheten också om tillstånd till marinvetenskaplig forskning och svarar för tillsyn över sådan verksamhet, 6 §.

Av 7 § följer att Kustbevakningen ska vara kontaktpunkt för sjötrafiken i fråga om förhandsanmälningar enligt föreskrifter om gränskontroll

vad gäller personer och i fråga om sjöfartsskydd och fiskerikontroll enligt överenskommelser med annan myndighet. Med stöd av tilläggsprotokollet mot människosmuggling land-, luft- och sjövägen till Förenta nationernas konvention den 15 november 2000 mot gränsöverskridande organiserad brottslighet är Kustbevakningen vidare behörig myndighet att ta emot och besvara förfrågningar från andra konventionsstater.

Kustbevakningens uppdrag att bedriva övervakning av fisket kan utsträckas sakligt eller geografiskt om detta följer av vissa särskilt angivna konventioner eller internationella överenskommelser. Detta framgår av 8 §. Exempelvis kan nämnas rådets förordning (EG) nr 2371/2002 av den 20 december 2002 om bevarande och hållbart utnyttjande av fiskeresurserna inom ramen för den gemensamma fiskeripolitiken (EGT L 358, 31.12.2002, s. 59, Celex 32002R2371).

Kustbevakningen ansvarar enligt 9 § även för de kontrollåtgärder som ankommer på Sverige och som EU genomför till sjöss inom det område som regleras av Nordostatlantiska fiskerikommissionen (NEAFC).

Som en följd av EU:s operativa samarbete för kontroll av medlemsstaternas yttre gränser får Kustbevakningen även, utanför det primära verksamhetsområdet, medverka i Europeiska unionens operativa samarbete för kontroll av medlemsstaternas yttre gränser.

Sammanfattningsvis innefattar alltså sjöövervakning en stor mängd skilda verksamheter som tillsammans berör flera olika politikområden där motsvarande verksamheter på land ofta är uppdelade mellan olika myndigheter.

6.2.1. Övervakning och brottsbekämpande verksamhet

Lagen om Kustbevakningens medverkan vid polisiär övervakning

Den centrala befogenhetsregleringen finns i lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, förkortad LKP. Den innehåller en uppräkning av rättsområden som faller in under Kustbevakningens polisiära ansvar. Lagen är utformad så att den inledningsvis anger tillämpningsområdet för Kustbevakningens verksamhet men därefter i princip bara behandlar tjänstemännens rättsliga befogenheter vid brottsbekämpning och ordningshållning.

Av 1 § LKP framgår att Kustbevakningen ska bedriva övervakning för att hindra brott mot föreskrifter och andra författningar som gäller

1. skyddsobjekt och militära skyddsområden,

2. jakt,

3. fiske,

4. bevarande av den marina miljön och annan naturvård,

5. trafikregler och säkerhetsanordningar för sjötrafiken,

6. åtgärder mot vattenföroreningar från fartyg,

7. dumpning av avfall i vatten,

8. kontinentalsockeln,

9. fornminnen och sjöfynd, 10. fartygs registrering och identifiering, 11. skydd för den marina miljön mot andra förorenande åtgärder än sådana som sägs i 6 och 7,

12. märkning och användning av oljeprodukter, 13. utlänningars inresa till och utresa från eller vistelse i Sverige, 14. åtgärder beträffande djur och växter som tillhör skyddade arter, och 15. sjöfartsskydd. Förutom vid brott inom de i 1 § uppräknade områdena tillämpas också LKP när Kustbevakningen bedriver övervakning i fråga om brott mot lagen (1992:1140) om Sveriges ekonomiska zon eller brott mot lagen (2006:263) om transport av farligt gods eller föreskrifter som har meddelats med stöd av dessa lagar.

Kustbevakningens befogenheter

Kustbevakningstjänstemännens uppgifter och befogenheter inom ramen för den brottsbekämpande och brottsutredande verksamheten regleras vad avser straffprocessuella befogenheter, förutom av rättegångsbalken och förundersökningskungörelsen (1947:948), särskilt i LKP, lagen (2000:1225) om straff för smuggling, lagen (1980:424) om åtgärder mot förorening från fartyg och lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott, förkortad TKBR.

Genom LKP får en kustbevakningstjänsteman straffprocessuella befogenheter inte bara på svenskt territorium utan i vissa fall också inom svensk ekonomisk zon.

I befogenheterna enligt lagen om straff för smuggling innefattas förutom brott mot bestämmelser avseende införsel av narkotika, alkohol- eller tobaksvaror även brott enligt bl.a. lagen (2003:148) om straff för terroristbrott, lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd samt tullagen (2000:1281).

Med stöd av lagen om åtgärder mot förorening från fartyg har Kustbevakningen visst eget förundersökningsledarskap. Kustbevakningen kan också vid många andra brott utföra utredningsåtgärder på begäran av åklagare eller polis. Detta sker i dag regelmässigt beträffande vissa miljöbrott och fiskebrott och andra brott som Kustbevakningen bedöms ha särskild kompetens att utreda. TKBR innehåller bestämmelser om befogenheter för Kustbevakningen samt tjänstemän vid myndigheten att vidta vissa åtgärder för att förhindra, upptäcka och utreda brott enligt 4 och 4 a §§ lagen (1951:649) om straff för vissa trafikbrott (rattfylleribrott). Kustbevakningen får även besluta att inleda förundersökning om sådana brott och har då de befogenheter och skyldigheter som undersökningsledare har enligt rättegångsbalken (3 § TKBR). Vidare har kustbevakningstjänsteman befogenheter att med stöd av lagen vidta tvångsåtgärder i form av t.ex. gripande, beslag, husrannsakan, kroppsvisitation och kroppsbesiktning.

Kustbevakningens befogenheter inom det polisiära och brottsbekämpande området regleras alltså i flera olika författningar.

Om anledning förekommer att brott har förövats mot någon av de föreskrifter som avses i LKP har kustbevakningstjänsteman samma befogenhet som tillkommer polisman att hålla förhör, ta med någon till förhör, gripa någon och att företa husrannsakan eller verkställa beslag (2 §). För att kunna utöva de angivna befogenheterna får kustbevakningstjänsteman stoppa och visitera fartyg eller inbringa det till svensk hamn (4 §).

Vid förundersökning rörande brott mot de föreskrifter som avses i 1 § LKP och vid brott mot vattenföroreningslagen får åklagaren, eller polismyndighet om denna bedriver undersökningen, enligt 7 § LKP, anlita biträde av Kustbevakningen samt uppdra åt kustbevakningstjänsteman att vidta de särskilda åtgärder som behövs för undersökningen, om det är lämpligt med hänsyn till omständigheterna. Kustbevakningen får dessutom besluta att inleda förundersökning gällande sjöfylleri och har då de befogenheter och skyldigheter som en undersökningsledare har enligt rättegångsbalken (7 a §).

Kustbevakningen får enligt lagen om åtgärder mot förorening från fartyg inleda förundersökning rörande brott avseende olagliga utsläpp av olja och andra skadliga ämnen från fartyg. Lagen ger en tjänsteman vid Kustbevakningen samma befogenhet som polisman att hålla förhör, ta med någon till förhör, gripa någon och att företa husrannsakan eller verkställa beslut (11 kap. 2 och 5–7 §§). I befogenheterna ingår även att stoppa och kvarhålla fartyg (11 kap. 14 §). I fråga om biträde till polis och åklagare hänvisas till 7 § LKP (11 kap. 3 §). Vid sidan av att Kustbevakningen biträder polismyndighet eller åklagare vid förundersökningar har Kustbevakningen även handläggningsansvar för egna brottsutredningar.

Vid brott mot vissa bestämmelser som rör införsel till eller utförsel från landet av varor får en tjänsteman vid Kustbevakningen, innan förundersökning har hunnit inledas, på i princip motsvarande sätt som enligt LKP hålla förhör och vidta andra utredningsåtgärder som är av betydelse för utredningen av brott. Härvid får kustbevakningstjänstemannen även ålägga någon att följa med till förhör och ta med någon till förhör, gripa den som misstänks för brott, ta egendom i beslag och göra husrannsakan samt utföra kroppsvisitation och kroppsbesiktning. Detta gäller t.ex. för vissa terroristbrott och för brott enligt lagen om straff för smuggling, narkotikastrafflagen (1968:64), lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter och tullagen.

Enligt 2 § ordningsbotskungörelsen (1968:199) får tjänsteman vid Kustbevakningen utfärda förelägganden av ordningsbot för brott enligt 5 kap. 1 § sjötrafikförordningen (1986:300) samt för brott enligt 16 § tredje stycket lagen (2006:263) om transport av farligt gods.

Ordningshållning

En kustbevakningstjänsteman har enligt 3 § LKP samma befogenhet som en polisman har enligt 13 § polislagen (1984:387) att avvisa, avlägsna eller omhänderta den som genom sitt uppträdande i trafiken till sjöss stör ordningen eller utgör omedelbar fara för denna. Sådan befogenhet har han eller hon också när det behövs för att avvärja brott som avses i 1 § 5, 6 och 7, vilka bestämmelser avser trafikregler och säkerhetsanordningar för sjötrafiken, åtgärder mot vattenföroreningar från fartyg samt dumpning av avfall i vatten.

Kustbevakningstjänstemans befogenheter enligt polislagen

Av 29 § polislagen följer att en tjänsteman vid Kustbevakningen som enligt särskilda bestämmelser medverkar vid polisiär övervakning har rätt att använda våld enligt vad som föreskrivs i 10 § första stycket 1–4 samma lag. Enligt dessa bestämmelser får en polisman använda våld för att genomföra en tjänsteåtgärd, i den mån andra medel är otillräckliga och det med hänsyn till omständigheterna är försvarligt, bl.a. om han eller hon möts med våld eller hot om våld, det är fråga om att avvärja en straffbelagd handling eller en fara för liv, hälsa eller värdefull egendom eller för omfattande skada i miljön. När en kustbevakningstjänsteman med rättsligt stöd berövar någon friheten eller avlägsnar någon får han eller hon i anslutning till ingripandet också kroppsvisitera den som omhändertas eller avlägsnas i den utsträckning som är nödvändigt för att vapen eller andra farliga föremål ska kunna tas om hand (29 § andra stycket polislagen och 19 § 1 samma lag).

Hänvisningar till S6-2-1

  • Prop. 2011/12:45: Avsnitt 7.2.2

6.2.2. Gränskontroll

Allmänt om gränskontroll

Gränskontroll är civil verksamhet som innefattar att övervaka och kontrollera samfärdseln över rikets gränser. Det finns olika regelverk för personkontroll och varukontroll. Kustbevakningens gränskontroll av sjötrafiken omfattar både person- och utlänningskontroll enligt utlänningslagen (2005:716) och varukontroll enligt i första hand tullagen.

Gränskontrollen utgör en särskild inriktning inom Kustbevakningens verksamhet och kan, liksom övrig kontroll, tillsyn och övervakning, övergå i brottsbekämpande åtgärder om situationen så kräver.

Kustbevakningen är, vid sidan av polisen och Tullverket, en av Sveriges tre gränskontrollmyndigheter. Kustbevakningens ansvar för gränskontrollen förutsätter ett nära samarbete med polis- och tullmyndigheter inom och utom landet med ett ömsesidigt utbyte av information och underrättelser. I anslutning till Kustbevakningens gränskontrollverksamhet sker samverkan också med Migrationsverket.

Gränskontroll avseende handelssjöfarten sker bl.a. genom administrativa kontroller t.ex. genom att besättnings- och passagerarlistor kontrolleras mot olika register, främst Schengens informationssystem. Kontroll utförs vidare genom allmän patrullering.

Person- och utlänningskontroll

I Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex för Schengengränserna) och utlänningslagen finns bestämmelser om kontroll i samband med inresa och utresa samt under vistelsen i Sverige. Kustbevakningen är skyldig att bistå polisen vid kontroll av utlänningars inresa och utresa enligt 9 kap. 1 § andra stycket utlänningslagen. Kustbevakningen har emellertid också en självständig rätt att kontrollera sjötrafiken och deltar främst i polisens kontrollverksamhet genom egna sådana kontroller. En tjänsteman vid Kustbevakningen har samma befogenheter

som en polisman vad avser t.ex. kroppsvisitation och undersökning av bagage.

Kustbevakningen medverkar också i polisens inre utlänningskontroll enligt 9 kap. 9 § utlänningslagen genom att utöva kontroll av och i anslutning till sjötrafiken, bl.a. genom kontroll av pass och andra handlingar som visar att en person har rätt att uppehålla sig i Sverige.

Kustbevakningen är inom ramen för personkontrollen kontaktpunkt för handels-, fiske- och fritidsfartygen med anledning av resa till svensk hamn. Kustbevakningen ansvarar således för den administrativa kontrollen av sjöfarten. Kontrollen innebär att samtliga fartyg som kommer från utrikes ort eller, såvitt avser fiske- och fritidsfartyg, från en ort utanför Schengenstaterna, ska anmäla sig till Kustbevakningen för administrativ kontroll av uppgifter om personer ombord.

Alla anmälningar går till Kustbevakningens kontaktpunkt Swedish Maritime Clearance (SMC). SMC tar också emot anmälningar enligt lagstiftningen om sjöfartsskydd. Där kontrolleras anmälningarna bl.a. genom sökning i Schengens informationssystem. Anmälan tillsammans med övriga kända uppgifter kan utgöra underlag för en mer utförlig riskanalys som genomförs i samverkan mellan Kustbevakningen och berörd polismyndighet samt, i förekommande fall, Tullverket. Utfallet av riskanalysen avgör i vilken omfattning fysiska ombordkontroller eller s.k. verifieringar av besättningslistor anses påkallade.

I fråga om fiskefartyg är inriktningen att personkontroll ombord ska ske i samband med den kontroll som görs enligt den gemensamma fiskeripolitiken. Kontrollen av fritidsbåtstrafiken genomförs främst genom övervakning och kontroll i gäst- och naturhamnar.

I detta sammanhang bör också nämnas Kustbevakningens särskilda uppdrag att ta emot och besvara förfrågningar enligt tilläggsprotokollet mot människosmuggling land-, luft- och sjövägen till Förenta nationernas konvention den 15 november 2000 mot gränsöverskridande organiserad brottslighet (7 § tredje stycket förordningen (2007:853) med instruktion för Kustbevakningen). Uppdraget avser närmast att som s.k. 24timmarsmyndighet med maritim kompetens besvara frågor om ett visst fartyg bär svensk flagg eller inte samt förmedla kontakten vidare till Regeringskansliet från den stat som framställer en begäran om att få borda ett fartyg.

Varukontroll

Kustbevakningens medverkan i tullkontrollen sker genom kontroll av sjötrafiken. Kustbevakningen ska vidare på begäran bistå Tullverket om det behövs för att Tullverket ska kunna vidta en avsedd tullkontrollåtgärd. Kustbevakningens medverkan regleras, förutom genom tullagen och lagen om straff för smuggling, främst genom tullförordningen (2000:1306) och lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.

6.2.3. Kontroll- och tillsynsverksamhet

Fiskerikontroll

Kustbevakningen ansvarar tillsammans med Havs- och vattenmyndigheten för fiskerikontrollen i landet. Kustbevakningen har ansvar för fiskerikontrollen till sjöss och bedriver fiskeriövervakning inom sitt verksamhetsområde. Målet för Kustbevakningens fiskerikontroll är att säkerställa att fiskekvoter inte överskrids och att såväl gemenskapslagstiftning som nationell lagstiftning efterlevs. Vid misstanke om brott kan Kustbevakningen vidta inledande brottsutredande åtgärder och rapportera till polismyndighet och åklagare samt utföra utredningsåtgärder på begäran av dessa.

Fiskeriövervakningen riktas i huvudsak mot det yrkesmässiga fisket. Övervakningen av yrkesfisket sker t.ex. genom riktade kontroller till sjöss och i samband med landning av fisk i svenska hamnar.

Kustbevakningen och Havs- och vattenmyndigheten bedriver ett samarbete som syftar till att fördjupa och effektivisera fiskerikontrollen genom mer utvecklad samverkan och ett effektivare informationsutbyte. Kustbevakningen bistår t.ex. med att ta emot anmälningar, sammanställa dessa och vidarebefordra dem till berörda parter.

Tillsammans med Havs- och vattenmyndigheten utvecklar Kustbevakningen metoder och kontrollsystem som ska säkerställa att de nationella och de europeiska fiskebestämmelserna följs och att fiskekvoterna inte överskrids.

Annan kontroll- och tillsynsverksamhet

I 5 § förordningen med instruktion för Kustbevakningen anges att tillsyns- och kontrollverksamheten också bl.a. omfattar fartygs registrering och identifiering, jakt och annat ianspråktagande av naturresurser, skydd av miljö- och naturvårdsintressen samt skyddsobjekt och tillträde för utländska statsfartyg. Dessutom omfattar verksamheten sjösäkerhetstillsyn vad gäller fartygssäkerhet och transport av farligt gods, jakt- och naturvård, skyddsobjekt, kontinentalsockeln, ekonomisk zon, maritima fornfynd samt tillträdeskontroll för utländska statsfartyg. Myndighetens uppdrag att utöva kontroll och tillsyn styrs av ett stort antal föreskrifter i skilda författningar.

Sjöfartsskydd

Reglerna om sjöfartsskydd syftar till att skydda sjöfartssektorn mot grova våldsbrott, bl.a. terrorism. Inom ramen för regelverket om sjöfartsskydd är Kustbevakningen mottagare av anmälningar från handelssjöfarten enligt lagen (2004:487) om sjöfartsskydd. Alla fartyg över viss storlek som avser att anlöpa svensk hamn är skyldiga att lämna information om t.ex. vilken hamnanläggning fartyget ska anlöpa samt en övergripande beskrivning av lasten.

Vattenföroreningsavgifter

Kustbevakningen är beslutande myndighet i ärenden om vattenföroreningsavgift. Vattenföroreningsavgift tas enligt 8 kap. 1 § lagen (1980:424) om åtgärder mot förorening från fartyg bl.a. ut om något av de förbud mot utsläpp av olja från fartyg som avses i 2 kap. 2 § samma lag har överträtts och utsläppet inte är obetydligt.

Vattenföroreningsavgift ska påföras den fysiska eller juridiska person som vid överträdelsen var fartygets ägare eller redare. Avgiften bestäms med hänsyn till utsläppets omfattning samt fartygets storlek.

6.2.4. Internationell samverkan inom sjöövervakningen

Enligt 15 § förordningen med instruktion för Kustbevakningen ingår det i myndighetens uppgifter att följa den internationella utvecklingen inom verksamhetsområdet och att medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

En viktig del av den internationella samverkan inom området för sjöövervakning för civila ändamål sker numera inom ramen för gränsövervakningssamarbetet Baltic Sea Region Border Control Cooperation, förkortat BSRBCC som bildades år 1997. Genom BSRBCC bedrivs ett aktivt, operativt inriktat, samarbete mellan gränsbevakande och brottsbekämpande myndigheter i Östersjöregionen. Samtliga Östersjöstater samt Norge är medlemmar och Island har observationsstatus. Samarbetet syftar bl.a. till att begränsa illegal invandring och att bekämpa gränsöverskridande brottslighet. I samarbetet ingår även andra brottsbekämpande myndigheter. Finska Gränsbevakningsväsendet administrerar inom ramen för samarbetet en särskild databas – CoastNet – som bl.a. innehåller underrättelser avseende fartyg. I systemet behandlas bl.a. uppgifter om intressanta fartyg (”list of suspicious Ships”), där varje land kan lägga in uppgifter om vissa fartyg som är intressanta ur brottsbekämpnings- eller kontrollsynpunkt. I anslutning till fartygen lämnas endast uppgift om vem som vill bli kontaktad om fartyget iakttas och inte uppgift om vilken brottslig verksamhet det misstänks finnas kopplingar till.

Informationsutbyte avseende aktuella iakttagelser eller företeelser inom brottsbekämpning och gränskontroll i anslutning till sjötrafiken sker tämligen formlöst med prövning av frågan om utlämnande från fall till fall.

Kustbevakningens internationella samverkan omfattar i övrigt löpande samarbete med polis- och tullmyndigheter i EU, bl.a. i gränskontrollfrågor, samt verksamhet inom Interpol, Europol, FN:s sjöfartsorganisation International Maritime Organization (IMO) och Task Force on Organized Crime in the Baltic Sea Region.

Kustbevakningen är också aktiv i det operativa samarbetet mellan medlemsstaterna när det gäller förvaltningen av de yttre gränserna, vilket samordnas av Europeiska byrån för förvaltningen av det operativa samarbetet vid EU:s medlemsstaters yttre gränser (Frontex).

Kustbevakningen deltar vidare i ett särskilt samarbetsorgan för EUmedlemsstaternas tullmyndigheter (MARINFO) och följer arbetet inom rådsarbetsgruppen för tullsamarbete. Kustbevakningens internationella samverkan omfattar även EU:s Fiskerikontrollcenter (CFCA) respektive Europeiska Sjösäkerhetsbyrån (EMSA).

Hänvisningar till S6-2-4

6.3. Räddningstjänst till sjöss

Med räddningstjänst avses i lagen (2003:778) om skydd mot olyckor de räddningsinsatser som staten eller kommunerna ska svara för vid olyckor och överhängande fara för olyckor för att hindra och begränsa skador på människor, egendom eller miljön. Till räddningstjänst hänförs också räddningsinsatser som görs i vissa situationer som anges i lagen utan att det har inträffat någon olycka eller föreligger en överhängande fara för en olycka.

Den statliga räddningstjänsten omfattar fjällräddningstjänst, flygräddningstjänst, sjöräddningstjänst, efterforskning av försvunna personer i vissa fall, miljöräddningstjänst till sjöss och räddningstjänst vid utsläpp av radioaktiva ämnen. Ansvaret för den statliga räddningstjänsten är delat mellan flera myndigheter. Kommunen svarar för all annan räddningstjänst. Av lagen framgår att kommunerna och de statliga myndigheterna som bedriver räddningstjänst ska samarbeta med varandra och med andra som berörs av verksamheten.

Med miljöräddningstjänst till sjöss avses enligt 4 kap. 5 § lagen om skydd mot olyckor den räddningstjänst som statlig myndighet ska bedriva när olja eller andra skadliga ämnen har kommit ut i vattnet eller när det föreligger en överhängande fara för detta. Geografiskt omfattar ansvaret Sveriges sjöterritorium och ekonomiska zon. Vattendrag, kanaler, hamnar samt andra insjöar än Vänern, Vättern och Mälaren ingår däremot inte. Enligt 4 kap. 12 § förordningen (2003:789) om skydd mot olyckor ansvarar Kustbevakningen för miljöräddningstjänsten till sjöss.

Kustbevakningens räddningstjänstuppdrag regleras även i 11 och 12 §§ i förordningen (2007:853) med instruktion för Kustbevakningen. Härav framgår bl.a. att Kustbevakningen i enlighet med särskilda föreskrifter ska ansvara för miljöräddningstjänsten till sjöss i syfte att begränsa konsekvenserna av olyckor och utsläpp samt ha beredskap för att på anmodan av räddningsledare delta i sjöräddningstjänst och annan räddningstjänst. Kustbevakningen får även i vissa situationer begära bistånd från och lämna bistånd till utländska myndigheter eller en medlemsstat i EU.

Ansvaret för miljöräddningstjänsten till sjöss innebär bl.a. att Kustbevakningen ska agera när olja eller andra skadliga ämnen har kommit ut i vattnet eller när det föreligger en överhängande fara för sådana utsläpp. I första hand utnyttjas kustbevakningsflyget och satellitövervakning för upptäckt och dokumentation av oljeutsläpp i farvatten runt Sveriges kuster. Kustbevakningens miljöövervakning omfattar främst regler om förbud mot vattenförorening och dumpning samt tillsyn av t.ex. naturskydds-, fågelskydds- och sälskyddsområden. Staterna runt Nordsjön och Östersjön samt inom EU har ett omfattande miljöskyddssamarbete i syfte att gemensamt flygövervaka sjötrafiken och för att kunna samarbeta vid stora olje- och kemikalieolyckor. Det operativa samarbetet bedrivs hu-

vudsakligen inom ramen för Helsingforskommissionen (HELCOM) samt inom ramen för Köpenhamns- respektive Bonnavtalet. Detta samarbete omfattar bl.a. ett allmänt informationsutbyte och regler och rutiner för dokumentation.

Nämnas ska att EMSA bl.a. har inrättat SafeSeaNet, som är ett fartygsrapporteringssystem där bl.a. information om sjöfartssäkerhet, hamn- och sjöfartsskydd samt havsmiljöskydd samlas samt CleanSeaNet vilket är ett system med satellitbilder som gör det möjligt att snabbt förvarna en medlemsstat om utsläpp nära dess kust.

Hänvisningar till S6-3

  • Prop. 2011/12:45: Avsnitt 4

6.4. Samordning av de civila behoven av sjöövervakning och förmedling av sjöinformation

Enligt 1 § tredje stycket förordningen (2007:853) med instruktion för Kustbevakningen har myndigheten ett särskilt uppdrag att samordna civila behov av sjöövervakning och att förmedla civil sjöinformation till berörda myndigheter, det s.k. sjöövervakningsuppdraget.

Uppgiften beskrevs i propositionen Det nya försvaret (prop. 1999/2000:30 s. 148 f.). Regeringen bedömde att de civila myndigheternas behov av sjöinformation skulle komma att öka, bl.a. avseende gränskontroll och gränsöverskridande brottslighet, men också i fråga om tillgänglighet, framkomlighet och säkerhet för sjöfarten. Mot denna bakgrund ansåg regeringen att Kustbevakningen borde ges ett formaliserat ansvar att koordinera de civila behoven av sjöövervakning samt förmedla denna information till berörda civila verksamheter.

Uppdraget motsvarar till stor del avgränsningen av Kustbevakningens verksamhet. Myndigheten förmedlar t.ex. fortlöpande iakttagelser om sjöläget, lämnar information från förhandsanmälningar och inspektioner samt avrapporterar brott. Inom ramen för sjöövervakningsuppdraget förmedlar Kustbevakningen även information om iakttagelser avseende t.ex. brott och misstänkt brottslig verksamhet utanför det egna verksamhetsområdet. Kustbevakningens samordning av information sker därför både som en del i den egna verksamheten och som samordning och förmedling med hänsyn till andra myndigheters behov.

Kustbevakningen ska samordna och förmedla information främst till de myndigheter som ingår i det s.k. Sjöövervakningsrådet, som enligt förordningens 19 § knutits till Kustbevakningen för att bistå myndigheten i arbetet med att samordna de civila behoven av sjöövervakning och förmedla sjöinformation. Sjöövervakningsrådet består av generaldirektören och högst tolv andra ledamöter samt ersättare för dessa. I rådet deltar, förutom Kustbevakningen, bl.a. Rikspolisstyrelsen, Försvarsmakten, Tullverket, Havs- och vattenmyndigheten, Myndigheten för samhällsskydd och beredskap och Transportstyrelsen. Alla myndigheter som ingår i rådet har uppdrag med anknytning till verksamhet eller förhållanden till sjöss eller i anslutning till sjötrafiken, såsom t.ex. räddningstjänst, gränskontroll, sjötrafikövervakning och sjösäkerhetstillsyn.

Syftet med samordningen är att förbättra de berörda myndigheternas tillgång till varandras information. Det handlar emellertid inte bara om att tillgängliggöra befintlig information, utan också att med hjälp av sambearbetning framställa ny sjöinformation. För att möjliggöra inform-

ationshantering och utbyte används informationssystemet SJÖBASIS, se avsnitt 7.1.2.

Hänvisningar till S6-4

  • Prop. 2011/12:45: Avsnitt 4

7. Kustbevakningens informationshantering och informationsutbyte

7.1. Kustbevakningens informationshantering

Hänvisningar till S7-1

  • Prop. 2011/12:45: Avsnitt 19.1

7.1.1. Kustbevakningsdatabasen

Som redovisats i avsnitt 4.3 regleras Kustbevakningens behandling av personuppgifter i dag genom bestämmelserna i personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen.

Förordningen gäller för behandling av personuppgifter i Kustbevakningens verksamhet som rör brottsbekämpning, kontroll och tillsynsverksamhet om det är nödvändigt för att inrikta och genomföra verksamheten samt ärenden om vattenföroreningsavgift. Vidare får personuppgifter behandlas om det är nödvändigt för att planera, följa upp och utvärdera tidigare nämnda verksamheter. Övrig behandling av personuppgifter i Kustbevakningens verksamhet regleras i sin helhet av personuppgifts- lagen.

Enligt 11 § förordningen om behandling av personuppgifter inom Kustbevakningen får det i Kustbevakningens verksamhet finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten för vissa angivna ändamål, den s.k. kustbevakningsdatabasen.

Begreppet databas har i förordningen en rättslig innebörd utan direkt teknisk anknytning avsedd att möjliggöra särskilda regler för sådan automatiserad behandling av personuppgifter som används gemensamt i verksamheten och som inte är av helt tillfällig natur.

Hänvisningar till S7-1-1

7.1.2. Informationssystem inom Kustbevakningen

KIBS

Kustbevakningens Informations- och Beslutsstödssystem (KIBS) är ett informationssystem som innehåller uppgifter om fartyg och anmärkningar om vidtagna åtgärder gentemot fartyg. KIBS används vid planering, genomförande och uppföljning av sådan sjöövervakning, kontroll- och tillsynsverksamhet samt miljöräddningstjänst till sjöss som i enlighet med särskilda föreskrifter åligger Kustbevakningen.

Samtliga kustbevakningstjänstemän har eller kan få tillgång till KIBS. Behörigheten kan sträcka sig från att endast få söka och läsa information till att få bearbeta (ändra, införa eller utplåna) information.

Landbas

I informationssystemet Landbas behandlas bl.a. uppgifter om fiske och fiskefartyg för genomförande, uppföljning, planering och riskanalysbaserad inriktning av fiskerikontrollen. Vidare hanteras i databasen bl.a. förhandsanmälningar från fisket och resultat från inspektioner.

Rapportdiarier

Vid Kustbevakningen finns vid varje region särskilda s.k. rapportdiarier över de brott som myndigheten rapporterar till polismyndighet, Tullverket eller Åklagarmyndigheten. Diarierna har även inrättats för att möjliggöra återrapportering till regeringen avseende bl.a. antalet rapporter som lett till rättsliga åtgärder.

Tillgång till diariet har endast Kustbevakningens egna vakthavande befäl, förundersökningsledare och vissa handläggare vid regionerna samt personer vid huvudkontoret.

Underrättelsediariet och underrättelseregistret m.m.

Underrättelsediariet är ett renodlat diarium med en förteckning över underrättelseärenden. Det innehåller inte i sig några självständiga underrättelser. Endast ett mycket begränsat antal tjänstemän har tillgång till uppgifterna i underrättelsediariet. Inom Kustbevakningen finns vidare ett underrättelseregister. I detta behandlas underrättelser avseende viss grövre brottslighet. Kustbevakningen har även s.k. särskilda undersökningar, med vilket avses ärenden i vilka för viss tid upprättas särskilda register där behandling av underrättelser sker. De särskilda undersökningarna bedrivs i ärendeform. Dessa finns inte i kustbevakningsdatabasen.

Bilddatabas

Kustbevakningens bilddatabas över fartyg som omfattas av myndighetens kontroll och tillsyn är en databas under uppbyggnad med bilder av kontrollobjekt, dvs. fartyg. Bilderna i databasen är sökbara på fartygsnummer.

Marinvetenskaplig forskningsdatabas

Kustbevakningen är ansvarig för tillståndsgivningen enligt lagen (1992:1140) om Sveriges ekonomiska zon och förordningen (1992:1226) med likalydande namn, avseende marinvetenskaplig forskning från utländska forskningsfartyg. Uppgifter i ärenden om sådana tillstånd finns samlade i en databas hos Kustbevakningen. Kustbevakningen är också tillsynsmyndighet enligt denna lagstiftning. Den marinvetenskapliga forskningsdatabasen är inrättad för den databehandling som sker inom ramen för handläggning av ärenden om tillstånd till marinvetenskaplig forskning.

SJÖBASIS

Som en del av Kustbevakningens uppdrag enligt 1 § tredje stycket förordningen (2007:853) med instruktion för Kustbevakningen att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter har Kustbevakningen utvecklat ett system för Sjöbaserad informationssamordning, SJÖBASIS, mellan myndigheterna. Systemet innehåller aktuell och historisk information om bl.a. fartygs namn, position, kurs och fart kompletterad med information om iakttagelser, jämte uppgifter från förhandsanmälningar och underrättelser.

TRANSAS

TRANSAS är ett sjökortssystem som finns ombord på kustbevakningsfartyg och i vilket fartyg kan registreras. TRANSAS innehåller inga direkta personuppgifter om t.ex. ett fartygs besättning och liknande, men däremot fartygsnamn och vissa andra uppgifter om själva fartygen.

Maritime Surveillance System (MSS)

MSS är ett system med olika typer av övervakningskameror som i första hand används av kustbevakningsflyget för att upptäcka och dokumentera händelser till sjöss, t.ex. oljeutsläpp och fiske- eller smugglingsbrott. Särskild behörighet för Kustbevakningen att registrera uppgifterna finns i 3 § förordningen (1993:1745) om skydd för landskapsinformation. Enligt bestämmelsen får Försvarsmakten, Kustbevakningen, Lantmäteriverket, Sjöfartsverket, Sveriges geologiska undersökning, SMHI, Rikspolisstyrelsen och polismyndigheterna utföra fotografering och liknande registrering från luftfartyg enligt 4 § lagen (1993:1742) om skydd för landskapsinformation.

DIANA

Kustbevakningens allmänna diarium för ärendehandläggning förs i ett system benämnt DIANA.

Utöver de system som redovisats ovan finns inom Kustbevakningen en rad andra datorsystem för behandling av personuppgifter m.m. som inte omfattas av de särskilda bestämmelserna i förordningen om behandling av personuppgifter inom Kustbevakningen, eftersom behandlingen sker för andra ändamål än brottsbekämpning, kontroll och tillsyn eller handläggning av ärenden om vattenföroreningsavgift. Behandlingen i dessa system regleras därmed för närvarande i sin helhet av bestämmelserna i personuppgiftslagen. Det rör sig huvudsakligen om system för intern administration.

Hänvisningar till S7-1-2

  • Prop. 2011/12:45: Avsnitt 6.4

7.2. Samverkan och informationsutbyte med andra myndigheter och organisationer

Hänvisningar till S7-2

  • Prop. 2011/12:45: Avsnitt 4

7.2.1. Inledning

Kustbevakningen samverkar i sin verksamhet med flera andra myndigheter, såväl brottsbekämpande myndigheter som myndigheter med kontroll- och tillsynsuppgifter. Inom ramen för samverkan har Kustbevakningen bl.a. tillgång till diverse externa databaser med information av betydelse för Kustbevakningens verksamhet. Det rör sig om i princip öppna system till vilka Kustbevakningen har direktåtkomst. Uppgifterna överförs inte strukturerat till en särskild databas inom Kustbevakningen, utan används främst som ett direkt stöd i den operativa verksamheten.

I flera sammanhang förekommer att uppgifter inhämtas från eller lämnas till myndigheter i andra länder, i första hand medlemsländer i EU. Nedan följer en kort redogörelse för dessa myndigheters verksamheter samt en beskrivning av den samverkan och det informationsutbyte som förekommer, nationellt och internationellt.

Kustbevakningens uppdrag att följa den internationella utvecklingen inom sitt verksamhetsområde och medverka i internationellt samarbete har beskrivits i avsnitt 6.2.4.

Hänvisningar till S7-2-1

7.2.2. Brottsbekämpande verksamhet och gränskontroll

Tullverket

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Tullverket ska både tillse att en riktig uppbörd kan säkerställas och kontrollera in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom hela sitt ansvarsområde.

Kustbevakningen övervakar och kontrollerar sjötrafiken till och från utlandet så att bestämmelserna om in- och utförsel av varor efterlevs. Kustbevakningen har, som nämnts i avsnitt 6.2.1, med stöd av bestämmelserna i lagen (2000:1225) om straff för smuggling möjlighet att ingripa och beivra brott mot denna lag. I lagen ges tjänstemän vid Kustbevakningen bl.a. befogenhet att hålla förhör och gripa någon som misstänks för brott mot föregående nämnda lag. Kustbevakningen informerar härvid alltid Tullverket om tullkontroller som resulterar i en anmälan om brott eller att brister annars noterats. Konkreta tull- och smugglingsbrott rapporteras till Tullverket, vilket även kan inkludera vissa förundersökningsdokument och uppgifter om beslag eller andra tvångsmedel.

Kustbevakningen lämnar även information om andra iakttagelser i samband med genomförda kontroller som bedöms vara av intresse för Tullverket. Kustbevakningen vidarebefordrar även tips, från t.ex. allmänheten, om misstänkt brottslig verksamhet eller annan underrättelseinformation till Tullverket.

Kustbevakningen är kontaktpunkt för sjötrafiken i fråga om anmälningar enligt föreskrifter om gränskontroll avseende personer och i fråga om sjöfartsskydd. Inom ramen för detta arbete kan Kustbevakningen överlämna uppgifter om fartygs ankomst till svensk hamn till Tullverket.

Information från Tullverket till Kustbevakningen, som överlämnas i pappersform, kan bestå i bokningsuppgifter rörande förhandsanmälningar avseende sjötrafik.

Enligt 6 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet får Kustbevakningen ha direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet att förhindra eller upptäcka brottslig verksamhet. Kustbevakningen ges i förordningen däremot inte möjlighet till direktåtkomst till uppgifter som behandlas i den brottsutredande verksamheten (7 § förordningen).

EU:s tullinformationssystem (TIS) har inrättats dels genom rådets förordning (EG) nr 515/97 om ömsesidigt bistånd i tullärenden, dels genom den s.k. CIS-konventionen, som den 27 maj 2011 ersatts av rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål. Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tilllämpning och användning av TIS. Syftet med TIS är att underlätta informationsutbytet mellan medlemsstaterna för att effektivisera bekämpningen av brott på tullområdet. TIS består av två skilda databaser - TIS I för den fiskala verksamheten och TIS III för den brottsbekämpande verksamheten. TIS I ska hjälpa tullmyndigheterna att utbyta information för att bekämpa brott mot EU:s gemensamma tull- och jordbrukslagstiftning medan TIS III ska underlätta informationsutbyte för att bekämpa brott mot medlemsstaternas nationella tullagstiftning. Tullinformationssystemet innehåller också en särskild databas kallad FIDE. Tullverket, polismyndigheter och Kustbevakningen får ha direktåtkomst till uppgifter i samtliga kategorier i tullinformationssystemet, 4 § förordningen.

Polisen

Kustbevakningen överlämnar tips och underrättelser avseende brottslig verksamhet till polisen och får i viss utsträckning samma typ av information tillbaka.

Vid övervakning till sjöss ingriper Kustbevakningen mot upptäckta brott och ordningsstörningar i sjötrafiken, vilket föranleder uppgiftslämnande eller avrapportering till polisen. När fråga är om utsläppsbrott lämnas informationen till Åklagarmyndigheten.

Inom gränskontrollverksamheten är Kustbevakningen kontaktpunkt för förhandsanmälningar från handels-, fiske- och fritidsfartyg med anledning av resa till svensk hamn. Kustbevakningen är vidare kontaktpunkt för handelssjöfarten avseende sjöfartsskydd. Kustbevakningen kräver också in uppgifter från anmälningspliktiga fartyg när sådana inte lämnas i tid eller i rätt omfattning. I samband med sådan gränskontrollverksamhet genomför Kustbevakningen sökningar i Schengens informationssystem (SIS).

Vid konstaterad träff i SIS, registerträff och rätt fysisk person, vidarebefordras uppgifterna till berörd polismyndighet med hänsyn till aktuell ankomsthamn. Utfallet av efterföljande ombordkontroller redovisas också för polisen. Ombordkontroller genomförs även utan träff i SIS. Om någon brist föreligger underrättas polisen och berörd region inom Kust-

bevakningen. Vidare rapporteras brott mot utlänningslagen (2005:716) till polisen. Vid efterlysning, t.ex. med anledning av en europeisk arresteringsorder, kan gripande komma i fråga även med anledning av andra brott, vilket i sin tur föranleder uppgiftsutbyte och överlämning av den gripne till polis.

Vid brister i sjöfartsskyddet som inte åtgärdas underrättas Transportstyrelsen. Vid brister som föranleder brottsmisstanke avrapporteras brott till berörd polismyndighet.

Till polisen rapporteras vidare brott som upptäcks i samband med Kustbevakningens miljöövervakning och tillsyn i verksamhet med djur- och naturskyddsområden, jakt- och naturvårdstillsyn, maritima fornminnen och sjöfynd. Merparten av rapporterade brott har tidigare avsett brott mot sjötrafikförordningen och sjölagen, främst hastighetsöverträdelser men också t.ex. bristande lanternaföring. Dessa brott hanteras dock sedan den 1 april 2006 huvudsakligen genom att Kustbevakningen utfärdar föreläggande av ordningsbot.

Tilläggas ska att när det kommer till det internationella polissamarbetet har EU genom rådets förordning (EG) nr 2007/2004 av den 26 oktober 2004 inrättat en europeisk byrå för förvaltningen av det operativa samarbetet vid Europeiska unionens yttre gränser (Frontex) i Warszawa, som Kustbevakningen samarbetar och utbyter information med. När Sverige tillträdde Europolkonventionen åtog sig Sverige även att förse Europols informationssystem (EIS) med svenska underrättelser. Numera regleras detta genom Europolrådsbeslutet. Eftersom Kustbevakningen är en behörig nationell myndighet enligt Europolrådsbeslutet kommer myndigheten också att få åtkomst till systemet.

Åklagarmyndigheten

När Kustbevakningen utreder miljöbrott samt rattfylleri- och sjöfylleribrott svarar myndigheten för all dokumentation från förundersökningen. Beroende på vilket brott som utreds är Kustbevakningen eller åklagare förundersökningsledare. I de åklagarledda förundersökningarna sker ett löpande informationsutbyte mellan åklagaren och de tjänstemän vid Kustbevakningen som genomför förundersökningen. I vissa situationer föreligger även behov av informationsutbyte mellan Kustbevakningen och berörd myndighet. Detta sker bl.a. när polisen bedriver förundersökning och behöver anlita biträde av Kustbevakningen enligt 7 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning (LKP).

Vid utsläppsbrott genomför Kustbevakningen även vissa brottsutredningar som kräver ett nationellt informationsutbyte med, förutom polis och tull, även åklagare, samt ett internationellt informationsutbyte som bl.a. sker i gemensamma utredningsgrupper.

Det förekommer att Kustbevakningen genomför utredningar avseende brott med stöd av LKP efter begäran, främst vad gäller fiskebrott, brott mot utlänningslagen och mot lagen om sjöfartsskydd.

Kustbevakningen är beroende av återrapportering från Åklagarmyndigheten eller domstol avseende beslut eller dom i de brottsutredningar eller brottmål som initierats genom rapport från Kustbevakningen, detta

för att kunna fullgöra egna återrapporteringskrav, men också för att kunna uppfylla interna behov av uppföljning och kvalitetssäkring. Åklagare för också talan i sjörättsdomstol när Kustbevakningens beslut om vattenföroreningsavgift överklagats dit. Behovet av återrapportering omfattar även åklagares beslut i sådana ärenden.

Särskilt om myndigheter i samverkan mot organiserad brottslighet m.m.

Vid Kustbevakningen finns det ett Maritimt underrättelsecentrum (MUC) som svarar för nationell samordning och utveckling i Kustbevakningen av informations- och underrättelseanalyser samt bearbetning av information och underrättelser. MUC utgör med andra ord Kustbevakningens nationella underrättelsefunktion. Tidigare var Kustbevakningen, Polisen och Tullverket samlokaliserade men detta myndighetsgemensamma arbete har upphört. Kustbevakningen arbetar emellertid fortfarande med att ta fram maritim underrättelseinformation som används internt och av andra myndigheter.

I dag äger samverkan mellan ett flertal myndigheter i stället rum inom ramen för regeringens särskilda satsning i kampen mot grov organiserad brottslighet, den s.k. GOB-satsningen. De myndigheter som samverkar är Ekobrottsmyndigheten, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, Säkerhetspolisen, Tullverket och Åklagarmyndigheten. Dessutom finns Försäkringskassan och Migrationsverket representerade.

Samverkan inom GOB sker på nationell nivå i det Nationella underrättelsecentret (NUC), vilket är ett samverkanscenter. Inom NUC sker ett utbyte av metodfrågor och kriminalunderrättelseinformation mellan de myndigheter som ingår i GOB-satsningen. Kustbevakningen lämnar ut uppgifter med stöd av personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, när så är möjligt. Vidare är en handläggare från MUC Kustbevakningens representant i NUC.

Det finns även regionala underrättelsecenter (RUC), för närvarande på åtta platser i landet. Kustbevakningen deltar här med en underrättelsehandläggare eller motsvarande vid alla RUC, utom den i Örebro. Inom RUC delas operativ kriminalunderrättelseinformation. Då Kustbevakningen i dag inte har egna förundersökningar av relevans för GOBsatsningen utbyter myndigheten endast bearbetad kriminalunderrättelseinformation kopplad till den maritima miljön och bidrar med specifik maritim kompetens. Från RUC får Kustbevakningen tillbaka kriminalunderrättelseinformation om de kriminella nätverk som befinner sig i, eller ägnar sig åt, brottslig verksamhet i den maritima miljön. Arbetet inom RUC är ärendebaserat och kriminalunderrättelseverksamheten syftar till att ta fram och bereda ärendet så att det kan leda till att förundersökningar kan inledas och vidtagande av operativa insatser.

Kustbevakningen har även nationell samverkan och regional samverkan med andra brottsbekämpande myndigheter. Den ligger utanför GOBsatsningen. Utöver operativ planering handlar det om att utbyta information och underrättelser. Härvid delger Kustbevakningen andra brottsbe-

kämpande myndigheter uppgifter enligt personuppgiftslagen och förordningen om behandling av personuppgifter inom Kustbevakningen.

Hänvisningar till S7-2-2

7.2.3. Kontroll, tillsynsverksamhet och räddningstjänst

Sjöfartsverket

Sjöfartsverket är en förvaltningsmyndighet som ska verka för att de transportpolitiska målen uppnås. Några av huvuduppgifterna är att svara för farledshållning, lotsning, isbrytning, sjögeografisk information, publicera sjökort, sjö- och flyggräddning m.m. samt ansvara för att sjöfartens påverkan på miljön minimeras. Sjöfartsverket tillhandahåller även sjötrafikinformationstjänster (Vessel Traffic System – VTS). Kustbevakningen samverkar med Sjöfartsverket bl.a. genom att Kustbevakningen har beredskap för sjöräddning.

Via handelsfartygens transpondrar, AIS (Automatic Identification System), tillhandahåller Sjöfartsverket samlad och fortlöpande information om var olika fartyg befinner sig. AIS är ett internationellt GPS-baserat system för presentation av fartygs positioner och identitet. Systemet är baserat på att vissa fartyg är utrustade med transpondrar som via radio löpande förmedlar sjölägesinformation i form av positioner och identitet. Inom ramen för SJÖBASIS tillhandahålls Kustbevakningen denna information även av Försvarsmakten, varvid informationen är kompletterad med uppgifter från bl.a. Försvarsmaktens radarsystem. Sjöfartsverket tillhandahåller ett sjörapporteringssystem (SRS) som är ett system för rapportering som samlar in och förmedlar information av betydelse för fartygens säkra framförande, skyddet av miljön och räddningstjänsten. Sjöfartsverket är också ansvarig myndighet för att tillhandahålla ett fartygsrapporteringssystem och vara nationell behörig myndighet för det gemensamma europeiska systemet SafeSeaNet. För detta ändamål har myndigheten utvecklat ett nationellt datasystem, ett fartygsrapporteringssystem, för att samla in information från fartyg för elektronisk överföring dels till berörda myndigheter i Sverige, dels det europeiska SafeSeaNet.

Informationen om var fartyg befinner sig m.m. är av betydelse för Kustbevakningens sjötrafikövervakning och gränskontroll.

Transportstyrelsen

Transportstyrelsens huvudsakliga verksamhet består av normgivning, tillsyn, tillståndsgivning och registerhållning inom de fyra transportslagen. Vad avser Transportstyrelsens tillsynsverksamhet inom sjöfartsområdet styrs denna i huvudsak av fartygssäkerhetslagen (2003:364), lagen (1980:424) om åtgärder mot förorening från fartyg, arbetsmiljölagen (1977:1160), lagen (2006:1209) om hamnskydd och lagen (2004:487) om sjöfartsskydd.

Vid Transportstyrelsen förs ett fartygsregister som också är ett personregister. Av fartygsregisterförordningen (1975:927) framgår under vilka förutsättningar myndigheter eller någon annan får ha direktåtkomst till registret. Kustbevakningen har i dag direktåtkomst till fartygsregistret.

På området kontroll och tillsyn av sjötrafik och sjösäkerhet har Kustbevakningen en omfattande samverkan med Transportstyrelsen. Samverkan avser bl.a. sjösäkerhetstillsyn och annan kontrollverksamhet avseende t.ex. farligt gods, fartygssäkerhet och bemanning samt fartygs registrering och identifiering. Kustbevakningen genomför också riskanalysbaserad sjösäkerhetstillsyn i samverkan med Transportstyrelsen. Tillsynsinsatserna grundas på utfallet av tidigare kontrollverksamhet avseende visst objekt, vilket även inkluderar eventuella rapporter om brott eller särskilda riskprofiler baserat på verksamhetstyp eller område m.m. Framkommer uppgifter om brister föranleder detta underrättelse till Transportstyrelsen.

Kustbevakningen är mottagare av anmälningar från handelssjöfarten avseende sjöfartsskydd. Vid brister i sjöfartsskyddet som inte åtgärdas underrättas i tillsynshänseende Transportstyrelsen.

Kustbevakningen lämnar även Transportstyrelsen uppgifter av betydelse för fartygssäkerhetstillsyn.

Havs- och vattenmyndigheten

Kustbevakningen genomför i samverkan med Havs- och vattenmyndigheten riskanalysbaserad fiskerikontroll. Kustbevakningen ansvarar därvid för kontrollen till sjöss medan Havs- och vattenmyndigheten har ansvaret för den landbaserade landnings- och kvalitetskontrollen.

Genomförda kontroller noteras i Landdatabasen och i inspektionsrapporter, som sedan delges Havs- och vattenmyndigheten.

Eventuella brottsmisstankar som uppkommer i samband med fiskerikontroll rapporterar Kustbevakningen till polismyndighet. I ökad utsträckning bistår Kustbevakningen även med fortsatta utredningsåtgärder på polismyndighets eller åklagares begäran.

Havs- och vattenmyndigheten ska enligt 5 kap. 1 a § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen till Kustbevakningen lämna sådana uppgifter om fiskefartyg, yrkesfiskelicenser och fartygstillstånd som Kustbevakningen behöver för sin verksamhet inom fiskerikontrollen. Kustbevakningen förser i sin tur Havs- och vattenmyndigheten med uppgifter i kustbevakningsdatabasen om personer som har anknytning till transportmedel eller verksamhet som omfattas av Kustbevakningens kontroll eller tillsyn av fisket om uppgifterna behövs i den kontroll- eller tillsynsverksamhet som rör fisket, och som Havs- och vattenmyndigheten enligt lag eller förordning har att genomföra, 20 § andra stycket förordningen om behandling av personuppgifter inom Kustbevakningen.

Havs- och vattenmyndigheten tillhandahåller Kustbevakningen information beträffande fiskefartygs positioner genom systemet VMS (Vessel Monitoring System) som är en del av SJÖBASIS. VMS sänder positionsuppgifter varannan timme.

Kustbevakningen har åtkomst till Havs- och vattenmyndighetens fiskefartygsregister som innehåller information om fiskefartygs egenskaper och ägarförhållanden m.m. Kustbevakningen har också tillgång till Havs- och vattenmyndighetens register över yrkesfiskelicens, med aktuell in-

formation om gällande licenser med sedvanliga personuppgifter, såsom namn och adress m.m.

Försvarsmakten

Försvarsmakten har enligt 3 § förordningen (2007:1266) med instruktion för Försvarsmakten till särskild uppgift att ansvara för att samla in, bearbeta och lämna Kustbevakningen sjölägesinformation sammanställd för civila behov. Inom ramen för denna uppgift förmedlar Försvarsmakten viss sjörelaterad information till Kustbevakningen på medium för automatiserad behandling.

Kustbevakningen har på så sätt åtkomst till Försvarsmaktens maritima stridsledningssystem STRIMA där IGRIS (International Graphical Registration and Identification help for Ships), en bilddatabas över fartyg, ingår. I registret finns uppgifter om fartygets namn, typ, anropssignal (s.k. callsign), rederi, kurs, fart och nationalitet. Kustbevakningsflyget bidrar till att uppdatera eller korrigera uppgifter i databasen genom fotografering och identifiering av fartyg. Bilderna skickas till Försvarsmakten, som sedan för in dem i IGRIS. Kustbevakningen använder informationen för att bl.a. kunna upprätthålla den civila gränskontrollen genom att övervaka och kontrollera samfärdseln över rikets gränser.

Försvarsmakten övervakar också samfärdseln över rikets gränser och har härvid befogenheter att ingripa enligt förordningen (1982:756) om Försvarsmaktens ingripanden vid kränkningar av Sveriges territorium under fred och neutralitet, m.m. (IKFN-förordningen). Försvarsmakten ska upptäcka och med stöd av denna förordning avvisa kränkningar av svenskt territorium och i samarbete med civila myndigheter ingripa vid andra överträdelser av tillträdesförordningen (1992:118). Tillträdesförordningen innehåller bestämmelser om krav på tillstånd för utländska statsfartygs, statsluftfartygs och militära fordons tillträde till svenskt territorium. IKFN-förordningen och tillträdesförordningen upphör att gälla om Sverige kommer i krig. Bestämmelserna om gränskontroll upphör däremot inte att gälla. Samordningen av gränsövervakningen i krig ska då ske i enlighet med bestämmelserna i lagen (1979:1088) och förordningen (1979:1091) om gränsövervakningen i krig m.m. samt enligt föreskrifter som meddelats med stöd av dessa författningar. Regeringen kan också förordna att bestämmelserna om gränsövervakning ska tillämpas när riket är i krigsfara eller om det råder vissa utomordentliga förhållanden föranledda av krig eller krigsfara som riket har befunnit sig i. Enligt 5 § lagen om gränsövervakningen i krig ska gränsövervakningspersonalen tas ut bland polispersonal, annan passkontrollpersonal inom polisväsendet, tullpersonal samt personal ur försvarsmaktens enheter.

Enligt bestämmelsen gäller dock särskilda föreskrifter för Kustbevakningens personal. Dessa föreskrifter finns i förordningen (1982:314) om utnyttjande av Kustbevakningen inom Försvarsmakten. Enligt den förordningen ska under krig personal och materiel ur Kustbevakningen användas för övervakning, transporter och andra uppgifter.

Övriga myndigheter och organisationer

Inom ramen för sitt räddningstjänstuppdrag utbyter Kustbevakningen information med framför allt Myndigheten för samhällsskydd och beredskap, kommunernas räddningstjänst och landstingen, liksom med sjöräddningssällskapet och SOS-alarm. Den information som utbyts avser ofta planering, samordning och övning, men kan vid en pågående räddningstjänst eller sjuktransport också utgöras av information av omedelbar operativ karaktär. Utbytet omfattar emellertid i huvudsak andra uppgifter än personuppgifter.

Vidare har Kustbevakningen ett informationsutbyte med kommunernas miljö- och hälsoskyddsavdelningar eller avdelningar för dricksvattenförsörjning, Naturvårdsverket, Naturskyddsföreningen, Världsnaturfonden, Naturhistoriska riksmuseet och Sjöhistoriska museet, där utbytet huvudsakligen avser andra uppgifter än personuppgifter.

Hänvisningar till S7-2-3

  • Prop. 2011/12:45: Avsnitt 19.1

8. En ny lag om behandling av personuppgifter i Kustbevakningens verksamhet

Hänvisningar till S8

  • Prop. 2011/12:45: Avsnitt 4

8.1. Behovet av en ny lagstiftning

Regeringens förslag: Kustbevakningens personuppgiftsbehandling ska regleras i en ny teknikneutral lag.

De grundläggande principerna för behandling av personuppgifter i Kustbevakningens operativa verksamhet ska regleras i lagen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Datainspektionen anser dock att en djupare analys bör ske vid proportionalitetsbedömningen mellan Kustbevakningens behov av personuppgiftsbehandling i sin verksamhet och den enskildes rätt till skydd för intrång i den personliga integriteten. Sveriges advokatsamfund anser att verkningarna från integritetsskyddssynpunkt blir synnerligen svåra att överblicka, och att dessa behöver genomlysas ytterligare innan en ny reglering införs. Göta hovrätt, Förvaltningsrätten i Växjö och Kustbevakningen anser att innehållet i förslaget till kustbevakningsdatalag i stort utgör en rimlig avvägning mellan skyddet av den personliga integriteten för dem vilkas personuppgifter behandlas och effektiviteten i Kustbevakningens verksamhet.

Skälen för regeringens förslag

Allmänna utgångspunkter

Sedan många år tillbaka utgör modern informationsteknik en naturlig del av Kustbevakningens verksamhet. Denna utveckling har varit ett led i effektiviseringen av verksamheten och det finns inte någon anledning att anta annat än att behovet av informationsteknik kommer att fortsätta att öka i Kustbevakningens arbete. En väl utnyttjad informationsteknik är av

stor betydelse och en förutsättning för myndighetens möjligheter att bedriva sin verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas integritet.

Efter det att förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen trädde i kraft har den tekniska utvecklingen hastigt fortskridit och antalet personuppgifter som behandlas i Kustbevakningens verksamhet har ökat. Den tekniska utvecklingen och användandet av informationsteknik har medfört att det finns ett behov av en ny författningsreglering som styr Kustbevakningens personuppgiftsbehandling och som inte onödigtvis hindrar en ändamålsenlig effektivisering av verksamheten som kontinuerligt pågår. Reglerna för behandlingen av personuppgifter bör vara utformade på ett sådant sätt att de underlättar för Kustbevakningen att på ett rationellt sätt använda informationsteknik i sin verksamhet för att möjliggöra för myndigheten att bedriva en effektiv brottsbekämpning samt kontroll- och tillsynsverksamhet m.m. enligt de särskilda föreskrifter som Kustbevakningen har att beakta. Reglerna bör också vara utformade så att intresset av att upprätthålla ett ändamålsenligt skydd för den personliga integriteten tillvaratas på ett effektivt sätt. Kustbevakningens verksamhet har vidare alltmer kommit att präglas av samverkan med andra myndigheter och med organisationer, både nationella och internationella, med vilka ett utbyte av personuppgifter behöver ske. Det är därför av vikt att förutsättningar även ges för att underlätta detta informationsutbyte så långt som det är möjligt. Därvid bör särskilt beaktas intresset av att regleringen av behandlingen av personuppgifter inom brottsbekämpande verksamhet blir enhetlig. Från brottsbekämpningssynpunkt är det angeläget att samhällets samlade resurser används rationellt och effektivt. En utgångspunkt för den nya författningsregleringen måste därför vara att, med beaktande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheterna kan få tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna behövs där.

När det gäller frågan om hur Kustbevakningens personuppgiftshantering ska regleras på det brottsbekämpande området bör en allmän utgångspunkt vara att den motsvarar vad som gäller för polisens brottsbekämpande verksamhet, om det är motiverat från effektivitetssynpunkt och acceptabelt från integritetsskyddssynpunkt. Det huvudsakliga skälet till det är att polisen har huvudansvaret för den brottsbekämpande verksamheten och att regleringen på detta område om möjligt bör vara enhetlig för att skapa goda förutsättningar för samarbete och effektivitet i verksamheten. En hög grad av enhetlighet i den brottsbekämpande verksamheten leder också till bättre förutsebarhet för enskilda. Av särskilt intresse när det kommer till utformningen av en ny författningsreglering, både vad avser systematik och innehåll, är därför den polisdatalag (2010:361) som riksdagen har antagit och som kommer att träda i kraft den 1 mars 2012 (se prop. 2009/10:85, bet. 2009/10:JuU19, rskr. 2009/10:255).

När det gäller Kustbevakningens övriga operativa verksamhet, är de regler som gäller i dag i behov av kompletteringar och moderniseringar.

Fortsatt behov av en särskild författningsreglering

I avsnitt 4.3 har redogjorts för de regler som gäller för Kustbevakningen när personuppgifter behandlas. Som där har nämnts gäller förordningen om behandling av personuppgifter i Kustbevakningens verksamhet utöver personuppgiftslagen. Det finns ingen enhetlig systematik bland de registerförfattningar som i dag gäller inom skilda myndighetsområden. Vilken systematik som väljs kan vara beroende av olika faktorer, t.ex. hur omfattande regleringen är, vilken verksamhet den avser och om författningen gäller utöver eller i stället för personuppgiftslagen (1998:204).

Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § regeringsformen). Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap.20 och 21 §§regeringsformen). Utgångspunkten för behovet av och villkoren för lagregleringen av behandling av personuppgifter som utförs av myndigheter bör således numera tas i regeringsformens bestämmelser om integritetsskydd. Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten anser regeringen att stora delar av Kustbevakningens personuppgiftsbehandling innefattar sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen. Det finns därför ett behov av en särskild författningsreglering i lag av behandlingen av personuppgifter i Kustbevakningens verksamhet.

Val av reglering och behovet av en teknikneutral författningsreglering

I Kustbevakningens verksamhet behandlas en stor mängd uppgifter om enskilda personer i olika register eller datorsystem. Uppgifterna kan i flera fall vara känsliga och det är därför viktigt att de behandlas på ett sådant sätt att hänsyn tas till de registrerades personliga integritet.

I promemorian har anförts, att en utgångspunkt vid utformningen av förslag till en lag för personuppgiftsbehandling i Kustbevakningens verksamhet bör vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt. Ingen remissinstans har ifrågasatt denna utgångspunkt. För att åstadkomma detta föreslår regeringen, i likhet med promemorian, att lagen ska innehålla ramarna och de grundläggande principerna för den automatiserade behandlingen av personuppgifter som förekommer i

Kustbevakningens verksamhet. Med en sådan lagstiftning skapas möjligheter bl.a. för en utvecklad och fortsatt samverkan mellan Kustbevakningen och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.

De bestämmelser som bör återfinnas i lagen är främst sådana som anger för vilka ändamål personuppgifter får behandlas, i vilken omfattning andra myndigheter ska tillåtas direktåtkomst, i vilken omfattning uppgifter ska få lämnas ut i elektronisk form, under vilka förutsättningar vissa känsliga uppgifter får behandlas, när uppgifter ska gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall har möjlighet att gå med på undantag och meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Regeringen har då att förhålla sig till 2 kap. 6 § andra stycket regeringsformen, dvs. de föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten. En sådan åtgärd kräver författningsändring på lagnivå (2 kap. 20 § regeringsformen).

Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten att meddela verkställighetsföreskrifter.

Regeringen föreslår sammanfattningsvis en ny lag för Kustbevakningens personuppgiftsbehandling, i vilken de grundläggande principerna för personuppgiftsbehandling regleras.

En eller flera lagar?

Mot bakgrund av att Kustbevakningen har uppgifter inom flera olika områden (se avsnitt 6) finns det anledning för regeringen att överväga om Kustbevakningens personuppgiftsbehandling ska regleras i en eller flera lagar. Även om Kustbevakningens olika uppgifter skiljer sig åt innehållsmässigt är de i den operativa verksamheten integrerade och utförs ofta av samma tjänstemän. Kustbevakningens verksamheter är vidare inte organisatoriskt indelade i självständiga verksamhetsgrenar, på det sätt som är vanligt hos andra myndigheter med olika uppgifter. Det skulle därför, menar regeringen, försvåra tillämpningen om regleringen av Kustbevakningens personuppgiftsbehandling i myndighetens operativa verksamhet delades upp på flera lagar. Mot den bakgrunden anser regeringen, i likhet med vad som sagts i promemorian, att övervägande skäl talar för att den nya regleringen av Kustbevakningens personuppgiftsbehandling bör omfatta hela Kustbevakningens operativa verksamhet.

När det gäller myndighetens interna administrativa förvaltning, t.ex. lokal- och personalfrågor, kan redan här emellertid nämnas att regeringen anser att personuppgiftslagens regler är fullt tillräckliga för att hantera behandlingen av personuppgifter. Regeringen kommer vidare att behandla frågan om lagens tillämpningsområde i avsnitt 9.1.

Lagstiftningens systematik och struktur

Kustbevakningen har, som tidigare framgått, ett stort antal uppgifter. Dessa omfattar bl.a. räddningstjänst och fiskerikontroll. Dessutom bedriver myndigheten brottsbekämpande verksamhet. Detta får av nödvändighet konsekvenser för lagens systematik. Förutom i fråga om vissa bestämmelser som bör vara allmänt tillämpliga anser regeringen att lagen därför bör delas upp i regler som avser den brottsbekämpande verksamheten och den övriga operativa verksamheten. Kustbevakningens brottsbekämpande verksamhet är inte identisk med polisens men reglerna, efter anpassning till Kustbevakningens behov, bör följa den nya polisdatalagen. Ett rättssäkert och effektivt arbete förutsätter att reglerna för behandling av personuppgifter inte skiljer sig alltför mycket åt mellan brottsbekämpande myndigheter. Inom den brottsbekämpande verksamheten, där särskilt känsliga uppgifter kan komma att behandlas, krävs med hänsyn till skyddet för den personliga integriteten i större utsträckning regler som på ett eller annat sätt ytterligare begränsar möjligheten att behandla personuppgifter, än vad som är fallet för den del av Kustbevakningens verksamhet som innefattar övervakning av den allmänna ordningen och säkerheten till sjöss, kontroll, tillsyn och räddningstjänst. Det gäller särskilt förutsättningarna för att göra uppgifter gemensamt tillgängliga. Med gemensamt tillgängliga menas att fler än ett fåtal personer har rätt att få ta del av uppgifterna i fråga. Frågan om gemensamt tillgängliga uppgifter kommer att behandlas i avsnitt 9.2.

Kustbevakningen har även ett särskilt uppdrag att samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter, en verksamhet som kräver särskild reglering i vissa avseenden. I Kustbevakningens verksamhet som inte rör brottsbekämpning är risken för integritetsintrång inte lika påtaglig som i den brottsbekämpande verksamheten. Regeringen anser därför inte att det finns ett lika stort behov av skyddsregler i lagen för den personliga integriteten i den övriga operativa verksamheten. För det fall misstanke om brott eller brottslig verksamhet uppstår vid behandling i denna del av Kustbevakningens verksamhet bör dock de regler som gäller för den brottsbekämpande verksamheten tillämpas. På så sätt upprätthålls skyddet för den personliga integriteten.

Lagrådet har haft synpunkter på lagens rubriker och föreslagit ändringar för att göra förhållandet mellan kapitlen tydligare. Regeringen instämmer i att rubrikerna kan göras tydligare, men anser att detta främst bör ske genom att de kortas ned.

Hänvisningar till S8-1

8.2. Lagens syfte och skyddet för den personliga integriteten

Regeringens förslag: Syftet med lagen ska vara att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid behandlingen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag: För att Kustbevakningen ska kunna fullgöra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja en ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder.

Det kan gälla personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet eller personuppgifter som behöver behandlas i annan Kustbevakningens operativa verksamhet. Exempelvis kan det handla om uppgifter om en misstänkt eller en målsägande, eller andra personer vilka kan ha blivit föremål för Kustbevakningens verksamhet i form av räddningstjänst, kontroll och tillsyn m.m. Kustbevakningen måste därför i olika sorters verksamhet ha möjlighet att registrera och lagra personuppgifter av vitt skilda slag. Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på automatiserad väg. Dessutom måste i vissa fall andra myndigheter kunna få tillgång till uppgifter. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas med myndigheter i andra länder.

En effektiv verksamhet förutsätter alltså att Kustbevakningen har möjlighet att använda sig av en väl fungerande informationsteknik. Detta kan dock innebära en risk för intrång i den personliga integriteten. Sådana intrång måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen (se närmare avsnitt 4.1). Av förarbetena till 2 kap. 6 § regeringsformen framgår att utgångspunkten för grundlagsregleringen har varit att kränkningen av den personliga integriteten kan sägas utgöra ett intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas (prop. 2009/10:80 s. 175). Regeringen ansåg dock att det inte var nödvändigt att formulera en allmängiltig definition av begreppet för att kunna bedöma vilka intressen det fanns att skydda från omotiverade intrång.

Det torde stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Det gäller arten av de personuppgifter som samlas in och registreras, för vilka ändamål detta görs, hur och av vem uppgifterna används, hur sökning får ske, hur länge uppgifterna sparas samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsverksamhet medför typiskt sett en risk för att enskilda personer utsätts för intrång i den personliga integriteten.

Rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Som framgår av avsnitt 4.1 får denna rättighet begränsas i lag enligt de förutsättningar som framgår av 2 kap.21 och 22 §§regeringsformen. En begränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det

ändamål som har föranlett den. Av Europadomstolens praxis följer för övrigt att en liknande proportionalitetsprincip också gäller enligt artikel 8 i Europakonventionen, som reglerar rätten till skydd för privat- och familjeliv.

Den närmare utformningen av de nya bestämmelserna måste alltså föregås av en avvägning mellan å ena sidan intresset av en effektiv verksamhet och å andra sidan intresset av skyddet för den personliga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella för Kustbevakningens verksamhet, framförallt i den brottsbekämpande delen, kan vara särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga uppfattas som ett allvarligt integritetsintrång. Nedan redovisas några allmänna utgångspunkter för avvägningen mellan Kustbevakningens behov av att behandla personuppgifter och skyddet för den personliga integriteten. Dessa överväganden, liksom de synpunkter som bl.a.

Datainspektionen har framfört vad gäller denna proportionalitetsbedömning¸ kommer att behandlas ytterligare i de följande avsnitten.

Inledningsvis vill regeringen framhålla att det är viktigt att den nya lagen tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter som avslöjar exempelvis etniskt ursprung eller politiska åsikter (13 § personuppgiftslagen [1998:204]), bör även fortsättningsvis finnas för att upprätthålla skyddet för den personliga integriteten. I lagen bör det vidare, då det gäller den brottsbekämpande verksamheten, införas mer inskränkande bestämmelser för behandling av personuppgifter som görs tillgängliga för en större krets av tjänstemän än när uppgifterna är åtkomliga för enbart ett fåtal personer. För att Kustbevakningen ska kunna bedriva ett effektivt brottsförebyggande arbete förutsätts att Kustbevakningen kan behandla uppgifter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt brottslig verksamhet, s.k. underrättelseverksamhet. Ur ett integritetsskyddsperspektiv bör större restriktivitet gälla för behandling av uppgifter som inte har samband med ett konkret brott.

Ur integritetsskyddssynpunkt är det vidare viktigt att det inte uppstår oklarheter om huruvida en person som en uppgift rör är misstänkt för brott eller inte. I den nya lagen bör det därför regleras att det av uppgifterna ska framgå huruvida behandlingen sker för att personen är misstänkt eller inte. Även tillförlitligheten av behandlade uppgifter bör kunna utläsas, exempelvis om informationen består av kontrollerade fakta eller bara obekräftade påståenden. Regler om sökning, sammanställning och gallring bör också utformas så att skyddet för den personliga integriteten upprätthålls.

Större enhetlighet i regelverket för brottsbekämpande myndigheter leder vidare till ökad förutsebarhet vilket är av vikt ur ett integritetsskyddsperspektiv.

I 1 § personuppgiftslagen finns en bestämmelse som anger den lagens syfte. Syftet anges vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Enligt regering-

ens mening finns det skäl för att även låta den nya lagen om Kustbevakningens personuppgiftsbehandling innehålla en bestämmelse i vilken förtydligas att lagens syfte är att skydda den personliga integriteten. Som nämnts i det föregående finns det emellertid även andra intressen som ska vägas mot detta skydd. Även dessa är enligt regeringens mening väsentliga för den nya lagen. Mot denna bakgrund föreslår regeringen, vilket även föreslagits i promemorian, att det i den nya lagen införs en inledande bestämmelse som uttrycker att lagens övergripande syfte är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

I de följande avsnitten kommer det att redovisas närmare hur behovet av att kunna behandla vissa uppgifter lämpligen bör vägas mot intresset av skyddet för den personliga integriteten.

Hänvisningar till S8-2

  • Prop. 2011/12:45: Avsnitt 19.1

9. Allmänna bestämmelser

Hänvisningar till S9

  • Prop. 2011/12:45: Avsnitt 4

9.1. Lagens tillämpningsområde

Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör

1. brottsbekämpning,

2. övrig sjöövervakning,

3. räddningstjänst,

4. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och

5. internationellt samarbete Lagen ska emellertid endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen ska gälla i stället för kustbevakningsdatalagen. De regler som gäller för Kustbevakningens personuppgiftsbehandling ska gälla även vid behandling av personuppgifter enligt lagen och förordningen om internationellt polisiärt samarbete, om annat inte följer av dessa författningar.

Lagens bestämmelser ska till viss del även gälla vid behandling av uppgifter om juridiska personer.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna har inte haft några synpunkter i denna del. Migrationsverket har anfört att det endast bör vara de grundläggande bestämmelserna i personuppgiftslagens hanteringsregler som ska tillämpas i fråga om behandling av uppgifter om juridiska personer.

Skälen för regeringens förslag

Kustbevakningens verksamhet

Som framgår av avsnitt 6 består Kustbevakningens verksamhet främst av sjöövervakning och räddningstjänst. Dessutom finns, som vid alla myndigheter, en intern administrativ verksamhet.

Enligt 1 § förordningen (2007:853) med instruktion för Kustbevakningen har myndigheten till uppgift att bedriva sjöövervakning och utföra räddningstjänst till sjöss. Kustbevakningen ska också ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Verksamheten bedrivs inom Sveriges sjöterritorium och ekonomiska zon samt på land i anslutning till dessa vatten. Med sjöövervakning avses att ansvara för eller bistå andra myndigheter med övervakning, brottsbekämpande verksamhet samt kontroll och tillsyn enligt vad som närmare anges i förordningen. Att utreda och besluta i vattenföroreningsärenden ingår t.ex. i denna verksamhet. Enligt bestämmelsen har Kustbevakningen vidare till särskild uppgift att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter. Kustbevakningen ska också delta i internationellt samarbete inom sitt verksamhetsområde.

Samtliga dessa Kustbevakningens verksamhetsområden innehåller uppgifter som främst är av operativ karaktär. Enligt regeringens mening talar detta för att den verksamhet som nämns i förordningens 1 § bör omfattas av den nya lagens tillämpningsområde. Emellertid förutsätter ett sådant förslag att det verkligen utförs personuppgiftsbehandling i all den verksamhet som nämns i bestämmelsen. Regeringen konstaterar att så inte är fallet när det gäller Kustbevakningens uppgift att ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Detta uppdrag ger uttryck för Kustbevakningens ansvar att dimensionera verksamheten för att ha förmågan att vidta åtgärder i en uppkommen krissituation. Den behandling av personuppgifter som kan förekomma här är av administrativ karaktär varvid personuppgiftslagens (1998:204) bestämmelser äger tillämpning. Exempel på sådan personuppgiftsbehandling är beredskapslistor och förteckningar över tjänstemän på andra myndigheter som ska kontaktas vid behov.

Mot denna bakgrund och med beaktande av vad som sagts i avsnitt 8.1 om behovet av ny lagstiftning föreslår regeringen att lagens tillämpningsområde ska omfatta Kustbevakningens brottsbekämpande verksamhet och övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. Detta överensstämmer också med det förslag som lämnats i promemorian. I avsnitten 10 och 14 lämnar regeringen förslag till bestämmelser om för vilka ändamål som personuppgifter får behandlas. Då dessa ändamål föreslås korrespondera med det föreslagna tillämpningsområdet för lagen, kommer regeringen att ge den närmare beskrivningen av vad som omfattas av lagens tillämpningsområde i de avsnitten. Lagrådet är av uppfattningen att lagen vinner i tydlighet om det av lagtexten, bl.a. i den bestämmelse som reglerar lagens tillämpningsområde, klart kommer till uttryck att det är den operativa verksamheten som avses. Regeringen delar Lagrådets bedömning.

Utanför lagens tillämpningsområde bör, som konstaterats i avsnitt 8.1, falla sådan behandling av personuppgifter som kan förekomma i Kustbevakningens verksamhet i samband med interna och administrativa åtgärder. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. För att kunna hantera behandlingen av personuppgifter i den administrativa verksamheten anser regeringen att bestämmelserna i personuppgiftslagen är tillräckliga.

Behandling som omfattas

Den nya lagen om behandling av personuppgifter i Kustbevakningens verksamhet bör gälla för sådan behandling som omfattas av personuppgiftslagen. Härmed avses behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Med personuppgifter avses enligt personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer och avlidna inte omfattas av lagen. Kustbevakningen behandlar i sin verksamhet stora mängder uppgifter som rör andra än levande fysiska personer, t.ex. uppgifter om företag, myndigheter och andra organisationer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer bör enligt regeringens mening vissa grundläggande bestämmelser tillämpas även på juridiska personer. En av orsakerna till detta är att det kan vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för dessa. Även lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen är delvis tillämpliga på behandling av uppgifter om juridiska personer.

Regeringen föreslår därför att även juridiska personer ska omfattas av de bestämmelser i lagen om behandling av uppgifter i Kustbevakningens verksamhet som reglerar personuppgiftsansvar, tillåtna ändamål för behandlingen, tillgången till personuppgifter, bevarande och gallring samt vissa bestämmelser om gemensamt tillgängliga uppgifter i verksamheten. Starka verksamhetsskäl talar dock, enligt regeringens uppfattning, för att undanta juridiska personer från bestämmelserna om sökbegränsningar. Den frågan tas upp i avsnitt 11.3. Bestämmelserna om personuppgiftsansvar för juridiska personer överensstämmer med vad som föreslogs i betänkandet Kustbevakningens personuppgiftsbehandling, Integritet – Effektivitet (SOU 2006:18) och vad som gäller för Tullverkets verksamhet (jfr 10 § lagen [2005:787] om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 1 kap. och 6 § lagen [2001:185] om behandling av uppgifter i Tullverkets verksamhet).

Undantag från lagens tillämpningsområde

I den nya polisdatalagen anges att den lagen inte omfattar bl.a. personuppgiftsbehandling som sker med stöd av lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister eller lagen om polisens allmänna spaningsregister. Orsaken till det är att dessa lagar har väl avgränsade tillämpningsområden när det är fråga om behandling av personuppgifter som gäller i stället för polisdatalagen. Regeringen uttalar i förarbetena till lagen att det inte har framkommit att det finns några påtagliga tillämpningssvårigheter eller problem med en fortsatt särreglering. Regeringen påpekar även att den nuvarande polisdatalagen inte heller omfattar personuppgiftsbehandling som sker med stöd av dessa författningar (prop. 2009/10:85 s. 76).

Det är Rikspolisstyrelsen som med hjälp av automatiserad behandling för de register som undantagits från polisdatalagens tillämpningsområde enligt ovan. Det är även Rikspolisstyrelsen som i dessa fall är personuppgiftsansvarig för hanteringen. När Kustbevakningen behandlar uppgifter som myndigheten har fått från dessa register blir Kustbevakningens regler om behandling av personuppgifter tillämpliga. Regeringen konstaterar att det därför inte finns skäl att i en lag om Kustbevakningens personuppgiftsbehandling införa undantag för de författningar som räknas upp i polisdatalagen.

Det finns även andra register som innehåller personuppgifter vilka Kustbevakningen har tillgång till, t.ex. register som förs med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot. När uppgifter lämnas ut till Kustbevakningen från dessa register blir myndigheten ansvarig för den efterföljande behandlingen i enlighet med de regler som gäller för Kustbevakningen. Regeringen finner av nyss nämnda skäl ingen anledning att föreslå att någon annan lagstiftning som rör nationella register ska undantas från den nya lagens tillämpningsområde.

I avsnitt 4.5.3 har regeringen redogjort för det s.k. Prümrådsbeslutet. Där framgår att Kustbevakningen i viss utsträckning berörs av det brottsbekämpande samarbete som behandlas i rådsbeslutet. Rådsbeslutets bestämmelser om personuppgiftsbehandling har i huvudsak genomförts i lagen (2000:343) om internationellt polisiärt samarbete med tillhörande förordning (2010:705) om internationellt polisiärt samarbete. I den nya polisdatalagen finns en bestämmelse som hänvisar till att det finns särskilda bestämmelser om personuppgiftsbehandling i dessa författningar. Den nu föreslagna lagen om personuppgiftsbehandling i Kustbevakningens verksamhet uppfyller kraven i de allmänna dataskyddsbestämmelserna i rådsbeslutet. För att tydliggöra förhållandet mellan denna lag och bestämmelserna om personuppgiftsbehandling i lagen och förordningen om internationellt polisiärt samarbete föreslår regeringen – i likhet med vad som föreslagits i promemorian – att det i lagen om personuppgiftsbehandling i Kustbevakningens verksamhet införs en bestämmelse som hänvisar till att det finns särskilda bestämmelser om personuppgiftsbehandling i dessa författningar som gäller i stället för den föreslagna lagen. Bestämmelsen bör utformas efter vad som gäller för polisens verksamhet i den nya polisdatalagen.

I 1 a § lagen om internationellt polisiärt samarbete regleras på motsvarande sätt att de regler som gäller för polisens respektive Tullverkets personuppgiftsbehandling ska gälla även vid behandling av personuppgifter enligt lagen och förordningen om internationellt polisiärt samarbete, om annat inte följer av dessa författningar. I propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte anges att bestämmelsen är viktig för att det ska bli tydligt vilka bestämmelser som respektive myndighet ska tillämpa när personuppgifter behandlas enligt Prümrådsbeslutet (prop. 2010/11:129 s. 48). Som anges där bör ett motsvarande förtydligande göras i förhållande till Kustbevakningen.

Hänvisningar till S9-1

9.2. Behandling av gemensamt tillgängliga uppgifter

Regeringens förslag: I stället för bestämmelser om register och databaser ska den nya lagen innehålla särskilda bestämmelser om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga i

Kustbevakningens operativa verksamhet. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i uppgiftssamlingar som är gemensamma för verksamheten.

Behandling som utförs av en enskild tjänsteman, eller inom en begränsad grupp av personer, t.ex. genom vanlig ordbehandling eller e-postkommunikation mellan ett fåtal tjänstemän, ska inte omfattas av dessa bestämmelser.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Växjö anser att definitionen av ”gemensamt tillgängliga uppgifter” i 1 kap. 4 § lagförslaget är oklar och förefaller kunna orsaka tillämpningssvårigheter. Migrationsverket påpekar att det hade varit lämpligare att införa nya begrepp i ett bredare sammanhang än i samband med en enskild registerlag.

Datainspektionen ifrågasätter systemet med att ha olika regler för uppgifter som görs gemensamt tillgängliga och för andra uppgifter i brottsbekämpande verksamhet. Datainspektionen anser att det är tveksamt om dataskyddsnivån i den känsliga brottsbekämpande verksamheten ska vara beroende av hur många som har faktisk tillgång till uppgifterna. Kustbevakningen är positiv till det teknikneutrala begreppet gemensamt tillgänglig i stället för begreppen register eller databas.

Övriga remissinstanser har inte haft någon erinran mot förslaget.

Skälen för regeringens förslag

Begreppet gemensamt tillgängliga uppgifter

Den nya lagen föreslås gälla för all automatiserad behandling av personuppgifter i Kustbevakningens operativa verksamhet. Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, ska omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp av personer, t.ex. vanlig ordbehandling och epostkommunikation. Som framhållits i andra lagstiftningsärenden (ex-

empelvis prop. 2009/10:85 s. 125), är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i verksamheten än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Även i tidigare lagstiftningsarbete när det gäller reglering av behandling av personuppgifter i offentlig verksamhet har en åtskillnad gjorts mellan sådan behandling som avser uppgifter som är gemensamt tillgängliga i verksamheten och sådan behandling där uppgifterna endast är tillgängliga för en enskild eller en begränsad grupp av tjänstemän (prop. 2009/10:85 s. 126). Enligt regeringens mening är det nödvändigt att införa regler som innebär att särskilt stränga krav ställs upp för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. I motsats till Datainspektionen menar regeringen följaktligen också att uppgifter som är tillgängliga enbart för en eller ett fåtal personer inte behöver omgärdas av lika strikta krav på märkning och information om uppgiftslämnarens tillförlitlighet m.m.

Frågan är då hur man bör avgränsa den personuppgiftsbehandling för vilken mer begränsande regler är nödvändiga.

I tidigare lagstiftning om personuppgiftsbehandling har begreppen register och databas använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Till respektive register har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer för olika sammanställningar m.m.

Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”uppgiftssamlingar”. Beteckningen uppgiftssamling används i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Begreppet definieras där som en samling med uppgifter som med hjälp av automatiserad behandling används gemensamt. Även detta begrepp ger intryck av att uppgifterna struktureras på visst sätt. Någon ledning ges för övrigt inte för förståelsen av vad som avses med att samlingen används ”gemensamt”. Begreppet uppgiftssamling är inte helt ändamålsenligt för den nu aktuella lagstiftningen. I promemorian har i stället för databas, register eller uppgiftssamling föreslagits att uttrycket ”gemensamt tillgängliga uppgifter” ska användas för att uttrycka samma sak. Regeringen konstaterar att det i dag inte finns någon gemensam terminologi på området. Som beskrivits ovan används numera begreppen register, databas respektive uppgiftssamling för att benämna likartade företeelser och som Migrationsverket framhåller skulle det vara en fördel om nyare begrepp infördes i ett bredare sammanhang. För polisens del kommer emellertid i och med ikraftträdandet av polisdatalagen, begreppet gemensamt tillgängliga uppgifter att användas. Regeringens

bedömning är att strävan efter likhet i regleringen på brottsbekämpningsområdet bör ta sig det uttrycket att lagstiftningen för Kustbevakningens del utformas i enlighet med vad som har beslutats för polisen, dvs. att begreppet gemensamt tillgängliga uppgifter används i den föreslagna lagen för att beteckna uppgifter som är tillgängliga för fler än ett fåtal personer (jfr prop. 2009/10:85 s. 124 f.).

Lagförslaget bör följaktligen innehålla särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den verksamhet vid Kustbevakningen som omfattas av lagen. Med den formuleringen görs det klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. Datainspektionen och Förvaltningsrätten i Växjö har ansett att definitionen av ”gemensamt tillgängliga uppgifter” är oklar och har påpekat att bestämmelsen kan leda till tillämpningssvårigheter. För att underlätta arbetet för Kustbevakningen och tillförsäkra skydd för den personliga integriteten är regeringens målsättning därför att så tydligt som möjligt ange principerna för gränsdragningen. I det följande anges således några principer som enligt regeringens bedömning bör ligga till grund för gränsdragningen när det gäller behandlingen av personuppgifter i Kustbevakningens verksamhet.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Det här innebär till att börja med att uppgifter blir att anse som gemensamt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela Kustbevakningen eller en viss organisationsenhet inom myndigheten – ska kunna ta del av uppgifterna. Också andra uppgifter som är tillgängliga för en mer begränsad men i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Överhuvudtaget kommer begreppet ”gemensamt tillgängliga uppgifter” att täcka inte enbart register i traditionell bemärkelse utan alla uppgiftssamlingar i Kustbevakningens verksamhet, avsedda för en obestämd krets av personer.

Vidare bör uppgifter anses som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Personupp-

gifter som behandlas i t.ex. brottsbekämpande verksamhet eller kontrollverksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av ett litet antal personer, bör uppgifterna inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig typiskt sett inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste alltså vara att kretsen omfattar endast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta. Enligt regeringens mening bör det inte i lag anges någon exakt gräns för antalet personer. Emellertid kan det vara lämpligt att ange en tumregel. I förarbetena till polisdatalagen (prop. 2009/10:185 s. 129 f.) har regeringen, när det gäller polisens verksamhet, bedömt att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. Regeringen är av uppfattningen att samma tumregel bör kunna tillämpas ifråga om den verksamhet som Kustbevakningen bedriver.

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal respektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del verksamheter, främst underrättelseverksamhet inom ramen för brottsbekämpningen, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt har inte sällan en obestämd varaktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot narkotikasmuggling via vissa hamnar. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid.

Givetvis bör detta inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, bör detta inte göra att

uppgifterna anses vara gemensamt tillgängliga, även om han eller hon har för avsikt att använda dem under längre tid.

Det är i lagstiftningsärendet inte möjligt att ge detaljerade anvisningar för bedömningen av när en viss uppgift är gemensamt tillgänglig. Enhetlighet åstadkoms i stället genom riktlinjer utformade av Kustbevakningen och utbildning av personalen. Regeringen återkommer dock i författningskommentaren något till den närmare avgränsningen mellan gemensamt tillgängliga och icke gemensamt tillgängliga uppgifter.

Det är emellertid inte bara antalet personer som har tillgång till uppgifterna som är av betydelse. Från integritetssynpunkt har det också betydelse om uppgifterna stannar inom Kustbevakningen eller om de sprids till andra myndigheter. I det senare fallet har Kustbevakningen inte längre någon kontroll över hur uppgifterna används. Kustbevakningen bör kunna samarbeta med andra myndigheter och inom ramen för sådant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sådant samarbete behandlar regeringen frågan om direktåtkomst för andra myndigheter till uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens verksamhet i avsnitt 12.3.3 gällande den brottsbekämpande verksamheten och avsnitt 14.5 gällande Kustbevakningens övriga verksamhet.

Hänvisningar till S9-2

9.3. Den nya lagen och personuppgiftslagen

Hänvisningar till S9-3

9.3.1. Förhållandet till personuppgiftslagen

Regeringens förslag: Lagen ska gälla i stället för personuppgiftslagen. I lagen ska hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i Kustbevakningens verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna har inte haft några särskilda synpunkter i denna del.

Skälen för regeringens förslag

Hänvisning till personuppgiftslagen

Personuppgiftslagen (1998:204) är generellt tillämplig på all behandling av personuppgifter och gäller därför för Kustbevakningens personuppgiftsbehandling, om det inte finns avvikande bestämmelser i lag eller förordning. Som framgått i avsnitt 8.1 behövs det även fortsättningsvis avvikande bestämmelser för Kustbevakningens behandling av personuppgifter i myndighetens operativa verksamhet. Det innebär att det i den lag som regeringen nu föreslår finns bestämmelser som avviker från personuppgiftslagen vad avser personuppgiftsbehandling inom Kustbevakningen.

Regeringen vill i detta sammanhang emellertid tillägga följande. Genom personuppgiftslagens ikraftträdande genomfördes EU:s dataskyddsdirektiv (se närmare avsnitt 4.2.4). Direktivet omfattar inte behandling av

personuppgifter som utförs på området för statens brottsbekämpande verksamhet. I sammanhanget bör dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i Europarådets dataskyddskonvention (se närmare avsnitt 4.2.3). Konventionen gäller även i statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av konventionen och dess tilläggsprotokoll. Vidare bör beaktas att dataskyddsrambeslutet, som ska genomföras i svensk rätt, i stora delar liknar dataskyddsdirektivet (se närmare avsnitt 4.5.1). Trots att EU:s dataskyddsdirektiv formellt inte är tillämpligt i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten bör enligt regeringens mening en reglering som avviker från de grundläggande reglerna i personuppgiftslagen införas bara om det finns goda skäl för det. Systematiska skäl talar också för att den nya regleringen bör ansluta till personuppgiftslagen. Det är således önskvärt att de bestämmelser till skydd för enskilds integritet som uppställs i personuppgiftslagen så långt som möjligt tillämpas även vid personuppgiftsbehandling inom Kustbevakningens verksamhet.

Med hänvisning till det som sagts ovan bör personuppgiftslagens bestämmelser i väsentliga delar även gälla i Kustbevakningens verksamhet. I denna verksamhet finns emellertid – som tidigare har nämnts – särskilda behov av bestämmelser som avviker från lagen.

Härvid uppstår frågan om hur man ska hantera de bestämmelser som inte ska avvika från personuppgiftslagens regler. I tidigare lagstiftningsärenden har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i viss verksamhet över huvud taget inte nämna personuppgiftslagen. Då personuppgiftslagen gäller om det inte i en annan lag eller förordning finns avvikande bestämmelser innebär det att personuppgiftslagens bestämmelser fått gälla (jfr 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personuppgiftslagen. Den modellen används i den nu gällande polisdatalagen (1998:622). Nackdelen med lösningar av detta slag är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga.

En annan variant är att lagen är heltäckande och upprepar de bestämmelser i personuppgiftslagen som är tillämpliga. En sådan lösning gäller för personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt, se lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (prop. 2006/07:46). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom personuppgiftslagens regler ändå gäller om inget annat anges. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda lagen. Beroende på vilket område lagen avser att reglera kan denna dessutom komma att bli onödigt omfattande.

Ytterligare en variant är att i den särskilda lagen ta in, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personuppgiftslagen som ska vara tillämpliga. Den lösningen

har valts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen (2010:361). Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger ett värde i att använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett vilken myndighet det gäller. Den brottsbekämpande verksamheten är den del av Kustbevakningens verksamhet som omfattas av den nya lagen där likhet med övriga myndigheters reglering är mest angelägen. Regeringen föreslår därför att samma lagstiftningsteknik väljs för Kustbevakningen som i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen. Den nya lagen om Kustbevakningens personuppgiftsbehandling bör med andra ord gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen.

Hänvisningar till S9-3-1

9.3.2. Tillämpliga bestämmelser i personuppgiftslagen

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i Kustbevakningens verksamhet:

– definitioner (3 §), – förhållandet till offentlighetsprincipen (8 §), – grundläggande krav på behandlingen av personuppgifter (9 §), dock med undantag för paragrafens första stycke i) och tredje stycket,

– behandling av personnummer och samordningsnummer (22 §), – information till den registrerade (23 och 25–27 §§), – rättelse (28 §), – säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket), – överföring av personuppgifter till tredjeland (33–35 §§), – personuppgiftsombudets uppgifter m.m. (38–41 §§), – upplysningar till allmänheten om vissa behandlingar (42 §), – tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket samt 47 §),

– skadestånd (48 §), och – överklagande (51 § första stycket, 52 § första stycket och 53 §). Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock inte tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

Bestämmelserna om informationsskyldighet i 23 § personuppgiftslagen behöver inte tillämpas om uppgifterna samlas in

1. genom bild- eller ljudupptagning eller

2. i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Regeringens bedömning: Straffbestämmelsen i 49 § personuppgiftslagen bör inte vara tillämplig.

Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Säkerhets- och integritetsskyddsnämnden har anfört att behovet av en förstärkt tillsyn bör övervägas i den vidare beredningen varvid särskild uppmärksamhet ska fästas vid frågan om huruvida den enskildes rätt till effektivt rättsmedel kommer att tillgodoses.

Migrationsverket påpekar att frågan om kontroll och tillsyn av verksamheten, både internt och externt, kräver ett särskilt övervägande ifall inte en tillsynsmyndighet bör få ett mandat för att kunna genomföra en mer omfattande tillsyn när det gäller behandling av personuppgifter i brottsbekämpande verksamhet.

Datainspektionen har inget att erinra mot att möjligheterna att besluta om förhandskontroll enligt 41 § personuppgiftslagen behålls. Samma möjlighet finns i den lagstiftning som ska träda ikraft för polisens behandling av personuppgifter. I praktiken har dock det nuvarande systemet med förhandskontroll för polisen tagits bort och ersatts med en bestämmelse i polisdataförordningen (2010:1155) om krav på samråd med

Datainspektionen. När polisen planerar nya it-system av större omfattning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten, ska den ansvariga myndigheten samråda med Datainspektionen i god tid innan beslut i frågan fattas. Enligt Datainspektionens mening innebär ett sådant system bättre förutsättningar för att skydda den personliga integriteten än ett system med förhandskontroll och det gäller även i förhållande till Kustbevakningens verksamhet.

Riksarkivet tillbakavisar föreslagen reglering i 2 § första stycket andra och tredje punkten samt andra stycket med hänvisningar till personuppgiftslagen eftersom regleringen inte är klargörande utan snarast förvirrande. Förslaget är onödigt.

Övriga remissinstanser har inte haft något att anföra mot förslaget eller bedömningen.

Skälen för regeringens förslag och bedömning

Allmänna utgångspunkter

Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås vara tillämpliga vid behandling av personuppgifter i Kustbevakningens verksamhet. Övriga bestämmelser i personuppgiftslagen är därmed antingen inte tillämpliga på det område som ska omfattas av den nya lagen eller föreslås ersättas av bestämmelser i denna. Som redogjorts för ovan gäller samma lagstiftningsteknik för Tullverkets brottsbekämpande verksamhet och den nya polisdatalagen.

Regeringen delar inte Riksarkivets uppfattning att hänvisningarna till personuppgiftslagen är onödiga.

Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”) och vad som utgör behandling av personuppgifter (”Varje åtgärd eller serie åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning och annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.”). Enligt regeringens bedömning saknas det anledning att definiera begrepp som förekommer i den föreslagna lagen på något annat sätt än i 3 § personuppgiftslagen. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen erinras om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen, som reglerar allmänna handlingars offentlighet. Bestämmelsen är en ren upplysning och markering av offentlighetsprincipens företräde.

I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I klargörande syfte föreslår regeringen att en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i den nya lagen. Det bör dock tydliggöras att bestämmelserna i 8 § andra stycket inte är tillämpliga när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen. Utgallrade uppgifter bör som utgångspunkt inte få bevaras i ett digitalt arkiv och vara elektroniskt åtkomliga för arkivändamål, om inte särskilda föreskrifter meddelas med undantag från den nya lagens gallringsbestämmelser som tillåter ett bevarande.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a) och b) anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt e) – h) ska den ansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som

är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Enligt regeringens bedömning är det naturligt att dessa krav tillämpas även vid behandling av personuppgifter i Kustbevakningens verksamhet. Den nya lagen bör därför hänvisa till 9 § första stycket a), b) och e) – h) personuppgiftslagen.

I 9 § första stycket c) personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d) att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Regeringen kommer att föreslå uttryckligt angivna ändamål för vilka personuppgiftsbehandling i Kustbevakningens verksamhet ska få ske. För att tydliggöra att personuppgifter endast får samlas in för sådana preciserade ändamål bör det därför tas in en hänvisning till 9 § första stycket c) personuppgiftslagen i den nya lagen.

Punkten d) ger uttryck för den s.k. finalitetsprincipen. Den personuppgiftsansvarige bör liksom för närvarande ha till uppgift att tillse att uppgifter inte behandlas för ändamål som är oförenliga med insamlingsändamålet. Det finns därför skäl att göra en hänvisning även till 9 § första stycket d) personuppgiftslagen.

I 9 § första stycket i) och tredje stycket personuppgiftslagen finns bestämmelser om hur länge uppgifter får bevaras. Frågan om gallring och bevarande av uppgifter bör enligt regeringens mening regleras särskilt i den nya lagen och någon hänvisning till personuppgiftslagens bestämmelser om hur länge uppgifter får bevaras behövs därför inte.

Frågor om bevarande och gallring behandlas i avsnitt 16.

Behandling av personnummer och samordningsnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer eller samordningsnummer bör således inte användas av ren slentrian. Bestämmelserna innebär att den personuppgiftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer eller samordningsnummer är påkallad måste således vägas mot behovet av skydd för den personliga integriteten. Principen bör enligt regeringens mening gälla även vid behandling av personuppgifter i Kustbevakningens arbete. Av integritetsskäl kan det många gånger vara nödvändigt att använda personnummer med hänsyn till den större säkerhet för en riktig identifiering som detta innebär.

Sammanfattningsvis finner regeringen att den nya lagen bör hänvisa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som lämnas är enligt

25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad gäller särskilda bestämmelser. Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning, eller i beslut som har meddelats med stöd av författning, särskilt föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas ut om sådana förhållanden för vilka sekretess gäller.

Dessa bestämmelser utgör enligt regeringens bedömning i allt väsentligt en lämplig avvägning mellan den enskildes intresse av att få information om vilken behandling som sker av uppgifter om denne och Kustbevakningens intresse av effektivitet i verksamheten. En hänvisning till bestämmelserna bör därför införas i den nya lagen. Det bör dock övervägas om det i den nya lagen behövs undantag från informationsskyldigheten för viss insamling av uppgifter som t.ex. insamling genom bild och ljud och insamling i samband med larm.

I sin operativa verksamhet bedriver Kustbevakningen bl.a. spaning med kustbevakningsflyget. I samband med det görs insamling genom bild och ljud, t.ex. filmning av oljeutsläpp från fartyg. I en sådan situation framstår det enligt regeringen inte bara som orimligt utan också som praktiskt ogörligt att informera den person eller de personer som kan tänkas fångas på bild om att deras personuppgifter behandlas. Värdet av sådan information kan också ifrågasättas. Mot denna bakgrund bör det inte krävas att Kustbevakningen tillämpar 23 § personuppgiftslagen vid insamling av personuppgifter genom bild och ljud.

När det kommer till undantag gällande insamling av uppgifter vid larm anför regeringen följande. Av Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen framgår att information enligt 23 § personuppgiftslagen bör lämnas muntligen när personuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. I praktiken uppstår emellertid inte sällan svårigheter att lämna information om behandlingen till den som ringer upp i avsikt att larma eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs är det inte rimligt att kräva att det alltid lämnas information i samband med larm. Regeringen ifrågasätter även, i likhet med promemorian, om personen i fråga som larmar över huvud taget är intresserad av att i den aktuella situationen få information om att lämnade personuppgifter kan komma att behandlas automatiserat. Vidare torde alla som vänder sig till en myndighet i en sådan situation redan känna till

att uppgifter registreras i någon form av automatiserat register. Den registrerade får därmed antas känna till vem den personuppgiftsansvarige är och ändamålen med behandlingen. Regeringens bedömning är att informationen inte ska behöva lämnas vid larm om det med hänsyn till omständigheterna inte finns tid att lämna informationen. Regeringen föreslår att detta klart framgår av den nya lagen. Bedömningen av om information ska lämnas bör göras från fall till fall.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Det är viktigt att personuppgifter som behandlats felaktigt hos en myndighet rättas så att intrång i den personliga integriteten kan begränsas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Kustbevakningen. Regeringen föreslår därför att bestämmelserna i 28 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter i Kustbevakningens verksamhet.

Säkerheten vid behandling (30–32 §§)

I 3032 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser ska vara tilllämpliga i Kustbevakningens verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex. behövas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.

Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket personuppgiftslagen inte göras i den nya lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES) om inte det mottagande landet har en adekvat nivå för skyddet av personuppgif-

ter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen har härvid att förhålla sig till bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, dvs. de föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten. I dataskyddsdirektivets ingresspunkt 58 nämns utbyte av uppgifter mellan bl.a. tullmyndigheter och skattemyndigheter som ett sådant viktigt intresse och i 3 § förordningen (2000:1222) om internationellt tullsamarbete, som också är tillämplig på Kustbevakningen, finns en bestämmelse om undantag från 33 § personuppgiftslagen.

Regeringen anser att förbudet mot överföring till tredjeland som inte har tillräckliga skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även på behandling enligt den här föreslagna lagstiftningen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m. (38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen (1998:1191) inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns därför enligt regeringen inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den föreslagna lagen. Någon hänvisning till 36 § första stycket personuppgiftslagen behövs således inte.

Den personuppgiftsansvarige kan enligt 36 § andra stycket personuppgiftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska bestämmelserna om ombudets skyldigheter i 3840 §§personuppgiftslagen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. Den personuppgiftsansvarige ska anmäla ombudet till Datainspektionen. Även entledigande ska anmälas till inspektionen. I avsnitt 9.5 föreslås en särskild bestämmelse om skyldighet för Kustbevakningen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett sådant ombud utses och entledigas. Någon hänvisning till 36 § andra stycket behövs därför inte. Den nya lagen bör dock hänvisa till 3840 §§personuppgiftslagen där ombudets skyldigheter regleras.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Kustbevakningen. Den nya lagen bör därför innehålla en hänvisning till denna paragraf.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige, till den som begär det, lämna upplysningar om de behandlingar av personuppgifter som utförs och som inte har anmälts till Datainspektionen. Det är från integritetssynpunkt viktigt att den enskilde på ett snabbt och en-

kelt sätt kan få besked av Kustbevakningen om vilka behandlingar som utförs även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. Regeringen föreslår därför att en hänvisning till 42 § personuppgiftslagen förs in i den nya lagen.

Tillsynsmyndighetens befogenheter (43–45 och 47 §§)

Datainspektionen ska som tillsynsmyndighet bl.a. verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter (1 och 2 §§ förordningen [2007:975] med instruktion för Datainspektionen och 2 § personuppgiftsförordningen).

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Datainspektionens befogenheter i förhållande till Kustbevakningen regleras i dag i personuppgiftslagen och personuppgiftsförordningen. Enligt regeringens mening är det rimligt att Datainspektionen fortsättningsvis i stort sett har samma befogenheter vid tillsyn över Kustbevakningens personuppgiftsbehandling.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Regeringen föreslår att en hänvisning till paragrafen tas in i den nya lagen.

Om Datainspektionen inte efter en begäran enligt 43 § personuppgiftslagen får tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Beträffande myndigheters personuppgiftsbehandling har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. En sådan möjlighet finns exempelvis inte enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Den ordningen har också valts i den nya polisdatalagen (2 kap. 2 § polisdatalagen och prop. 2009/10:85 s. 89 f.).

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda behandling av personuppgifter i Kustbevakningens verksamhet kan det inledningsvis konstateras att det i dag inte finns någon enhetlig lösning. Kustbevakningen behandlar visserligen personuppgifter i betydligt mer begränsad utsträckning än polisen, men det finns ett värde i att regleringen av personuppgiftsbehandlingen är likartad när det gäller myndigheter med brottsbekämpande uppgifter. Förutsättningarna för behandlingen av personuppgifter i den brottsbekämpande verksamheten – där riskerna för den personliga integriteten är störst – föreslås också motsvara dem som gäller för polisens del. Några direkta nackdelar med att införa en sådan ordning också för Kustbevakningens del är svåra att se. Detta talar för att Datainspektionen bör kunna förbjuda viss behandling, om det någon

gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning bör därför göras också till 44 §.

När det sedan gäller möjligheten för Datainspektionen att förena ett ovan diskuterat förbud med vite har regeringen i flera propositioner valt att inte ge Datainspektionen någon sådan möjlighet. Detta har motiverats med att regler om vite inte bör tillämpas i förhållandet mellan statliga myndigheter (prop. 2004/05:164 s. 544 och 2006/07:46 s. 105). Regeringen anser inte att det finns någon anledning att här frångå denna uppfattning. Ett förbud enligt 44 § bör således inte kunna förenas med vite.

Enligt regeringen bör vidare en hänvisning göras till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen. Även om det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när eventuella brister i Kustbevakningens hantering av personuppgifter upptäcks är det enligt regeringens bedömning, vilken överensstämmer med promemorians, inte någon nackdel att det uttryckligen framgår att Datainspektionen har detta ansvar. Bestämmelsen bör därför gälla enligt den nya lagen. Däremot bör någon hänvisning till paragrafens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos förvaltningsrätten ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell tillsynsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Regeringen föreslår att även denna bestämmelse bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

För att skydda den personliga integriteten bör det på motsvarande sätt som i den nya polisdatalagen, införas en skyldighet för Kustbevakningen att samråda med Datainspektionen i vissa situationer. Exempel på sådana situationer är när Kustbevakningen planerar att ta nya större it-system i bruk, förbereder omfattande förändringar i befintliga system eller genomför förändringar som påverkar hanteringen av särskilt känsliga uppgifter. Detta är emellertid en fråga som inte bör regleras i lag utan som regeringen kan meddela föreskrifter om.

Det åligger vidare Kustbevakningen att följa upp att lagstiftningen tilllämpas med respekt för enskildas integritet. Enligt regeringen är det också viktigt att Kustbevakningen noga kontrollerar och följer upp tjänstemännens tilldelning av behörigheter till informationssystem samt utbildar personalen i dataskydd och informationssäkerhet.

I den nya polisdatalagen finns en bestämmelse som hänvisar till lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (2 kap. 6 § polisdatalagen). Innebörden härav är att polisens personuppgiftsbehandling ska stå under tillsyn av både Datainspektionen och Säkerhets- och integritetsskyddsnämnden. Enligt lagen om tillsyn över viss brotts-

bekämpande verksamhet ska Säkerhets- och integritetsskyddsnämnden vidare utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Tillsynen ska särskilt syfta till att säkerställa att verksamheten bedrivs i enlighet med lag eller annan författning. Enligt lagen är nämnden också skyldig att på begäran av enskild kontrollera om denne har utsatts för ett hemligt tvångsmedel eller personuppgiftsbehandling i strid med författningar. Säkerhets- och integritetsskyddsnämnden har anfört att behov av förstärkt tillsyn bör övervägas och särskilt frågan huruvida den enskildes rätt till effektivt rättsmedel kommer att tillgodoses. Regeringen konstaterar dock att det finns skillnader mellan Kustbevakningens och polisens brottsbekämpande verksamheter. Det är polisen som har det huvudsakliga ansvaret för brottsbekämpningen. Omfattningen och arten av brott som polisen hanterar skiljer sig från Kustbevakningens brottsbekämpande verksamhet. Skillnaderna får konsekvenser för bl.a. mängden och karaktären av integritetskänsliga personuppgifter som behandlas i respektive verksamhet samt behovet av tillsyn.

Med beaktande härav anser regeringen inte att det i nuläget finns skäl för ytterligare förstärkning av tillsynen i den nya kustbevakningsdatalagen. Regeringen menar att de åtgärder som tidigare beskrivits i detta avsnitt är tillräckliga och adekvata för tillsyn och kontroll av Kustbevakningens verksamhet, samt att Datainspektionens tillsyn tillgodoser skyddet för den enskilde och begränsar risken för integritetsintrång på ett betryggande sätt.

Skadestånd (48 §)

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat.

Det bör enligt regeringens mening finnas en rätt till skadestånd vid skada och kränkning som uppstår när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen.

Straff (49 §)

Lagrådet har i ett tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att bestämmelsen i 49 § personuppgiftslagen, i vilken föreskrivs straffansvar för överträdelse av olika bestämmelser i personuppgiftslagen, enligt legalitetsprincipen inte kan ges motsvarande tillämpning på bestämmelser som avviker från personuppgiftslagen och som har tagits in i särlagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i den nya lagen. Däremot skulle i och för sig en hänvisning kunna tas in i den nya lagen med innebörd att straffbestämmelserna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla naturlig. Emellertid vill regeringen framhålla att behandlingen av per-

sonuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid en statlig myndighet och därför omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Regeringen anser därför, i likhet med promemorian, att det inte föreligger något behov av en hänvisning till 49 § personuppgiftslagen. Det kan tilläggas att samma bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55) och den nya polisdatalagen (prop. 2009/10:85 s. 91).

Överklagande (51–53 §§)

I 51 § första stycket personuppgiftslagen föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Regeringens förslag om att Datainspektionen ska kunna meddela förbud enligt 44 § eller 45 §personuppgiftslagen innebär att en hänvisning bör göras till 51 § första stycket.

Enligt 51 § andra stycket får tillsynsmyndigheten bestämma att dess beslut ska gälla även om det överklagas. Det är svårt att se något egentligt praktiskt behov av en sådan möjlighet när det gäller Kustbevakningens personuppgiftsbehandling. Datainspektionen bör inte ges möjlighet att meddela interimistiska beslut. Regeringen förslår därför att hänvisningen endast bör avse första stycket i paragrafen.

Enligt 52 § personuppgiftslagen får en myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalade regeringen att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den föreslagna lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.

Hänvisningar till S9-3-2

9.4. Tillgången till personuppgifter

Regeringens förslag: Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har inte haft några särskilda synpunkter på förslaget.

Skälen för regeringens förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten.

Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta

är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Den nya lagen bör därför enligt regeringens mening bygga på principen att enbart de som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör tas in i den nya lagen. Bestämmelsen bör omfatta både direkt tillgång till automatiserade uppgiftssamlingar och tillgång i allmänhet. Kustbevakningen ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.

Regeringen vill i detta sammanhang framhålla att modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. Detta bör beaktas vid utvecklingen av framtida datasystem inom Kustbevakningen.

En enskilds tjänstemans åtkomst till personuppgifter (behörighet) kan knytas till viss information i stället för till olika register. Därmed kan tillgången till information om en person eller uppgifter knutna till en person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer med en sådan ordning att lättare kunna avgränsas och omges av extra integritets- och säkerhetsskydd. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand bestämda behörigheter som avgör tillgången till uppgifter kan utarbetas. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.

Den föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Det är enligt regeringens uppfattning därefter Kustbevakningens uppgift att, utifrån myndighetens organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. För att kunna säkerställa detta kan det finnas behov av närmare föreskrifter på området. Det bör därför föras in en bestämmelse i den nya lagen, som upplyser om att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Regeringen kommer att behandla frågor om direktåtkomst och föreskrifter kopplade till sådan åtkomst i avsnitten 12.3 och 14.5.

Hänvisningar till S9-4

9.5. Personuppgiftsansvaret och personuppgiftsombud

Regeringens förslag: Kustbevakningen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Kustbevakningen ska vid sidan av personuppgiftsansvaret även ha ansvar för att uppgifter om juridiska personer behandlas i enlighet med de grundläggande bestämmelserna i lagstiftningen.

Kustbevakningen ska utse ett eller flera personuppgiftsombud. Detta – liksom entledigande av personuppgiftsombud – ska anmälas till tillsynsmyndigheten.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Sveriges advokatsamfund har ställt en fråga kring personuppgiftsansvaret vid direktåtkomst. I övrigt har remissinstanserna inte kommenterat förslaget.

Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen (1998:204) är det den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter som är personuppgiftsansvarig för behandlingen av personuppgifter. I registerförfattningar är det i stället, eftersom ändamålen bestäms av lagstiftaren, vanligt att man tydligt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras i respektive författning. I 8 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen anges Kustbevakningen som personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Regeringen föreslår – i likhet med vad som föreslagits i promemorian – att denna ordning även fortsättningsvis ska gälla. Personuppgiftsansvaret bör med andra ord utformas så, att Kustbevakningen ansvarar för den behandling av personuppgifter som Kustbevakningen utför. På det sättet markeras att det finns ett ansvar för att utförd behandling är korrekt.

Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige ska bl.a. se till att behandlingen av uppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Ansvaret för uppgifter om juridiska personer

Begreppet personuppgifter avser endast uppgifter om levande fysiska personer. Det innebär att personuppgiftslagen inte är tillämplig för juridiska personer.

Den lag som föreslås bör enligt regeringens bedömning emellertid i vissa delar vara tillämplig även på behandling av uppgifter om juridiska personer (se avsnitt 9.1). Regeringen menar att Kustbevakningen även bör ha ett visst ansvar för uppgifter om juridiska personer, dvs. sådana uppgifter som inte utgör personuppgifter. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som lagen ställer på behandling av uppgifter om juridiska personer. Dit hör att uppgifterna endast får behandlas för tillåtna ändamål och ska gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av uppgifter i Kustbevakningens verksamhet uppfylls gäller för behandling av uppgif-

ter gentemot juridiska personer. Däremot bör bestämmelserna om enskildas rättigheter inte vara tillämpliga, vilket innebär att Kustbevakningens ansvar gentemot juridiska personer inte omfattar skyldighet att lämna information eller rätta uppgifter enligt personuppgiftslagen. Regeringens förslag vad gäller personuppgiftsansvar i denna del överensstämmer med vad som gäller för Tullverkets verksamhet (jfr lagen [2005:787] om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen [2001:185] om behandling av uppgifter i Tullverkets verksamhet och prop. 2004/05:164 s. 58). Tilläggas ska att någon bestämmelse om skyldighet att lämna information och rätta uppgifter inte kommer att gälla för polisens verksamhet, 1 kap. 3 § polisdatalagen (2010:361).

Personuppgiftsombud

Regleringen i 36 § andra stycket personuppgiftslagen ger myndigheten valfrihet när det gäller frågan om personuppgiftsombud ska utses. I framförallt Kustbevakningens brottsbekämpande verksamhet rör behandlingen av personuppgifter i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheterna bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Regeringen föreslår att skyldigheten att utse ett personuppgiftsombud ska framgå direkt av den nya lagen. Det kan anmärkas att motsvarande reglering finns i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (prop. 2006/07:46 s. 98) samt i polisdatalagen (2010:361), (prop. 2009/10:85 s. 93).

Personuppgiftsansvaret hos andra myndigheter som har direktåtkomst till uppgifter Sveriges advokatsamfund har undrat om den föreslagna bestämmelsen ska förstås så att mottagaren är personuppgiftsansvarig för de behandlingar där uppgifter genom direktåtkomst tas fram och överförs, eller om uttalandet i lagmotiven – att den mottagande myndigheten är personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten – förstås så att personuppgiftsansvaret går över först när uppgiften är ”hos” den mottagande myndigheten. Advokatsamfundet förespråkar den först nämnda tolkningen.

Den myndighet som samlar in och lagrar personuppgifter är endast personuppgiftsansvarig för den behandling som myndigheten själv utför. För Kustbevakningens del föreslås detta regleras i 2 kap. 3 § i den nya kustbevakningsdatalagen. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten enligt respektive myndighets personuppgiftsreglering. Insamling är också en form av behandling. Vid direktåt-

komst blir den mottagande myndigheten således personuppgiftsansvarig vid det tillfälle myndigheten börjar behandla uppgifterna, exempelvis genom framtagande och överföring. När uppgifter är tillgängliga genom direktåtkomst för olika myndigheter kan alltså personuppgiftsansvaret för samma uppgift ligga hos flera myndigheter. Var och en av dessa ansvarar då för den egna behandlingen. Den utlämnande myndigheten är dock alltid ansvarig för att direktåtkomst medges endast om villkoren för det är uppfyllda, dvs. att utlämnandet sker enligt föreskrifterna i myndighetens dataskyddsreglering.

9.6. Behandling av uppgifter för handläggning

Regeringens förslag: Utöver för de särskilda ändamål som anges i lagen ska personuppgifter få behandlas i den operativa verksamheten om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inte haft några särskilda synpunkter på förslaget. Riksarkivet anser att det är onödigt att reglera att personuppgifter får behandlas om behandlingen är nödvändig för diarieföring. Regeringen har anfört att det implicit av tryckfrihetsförordningen framgår att allmänna handlingar ska bevaras, ordnas så att det går att hitta dem och vårdas så att de inte skingras. En explicit reglering av diarieföring medför osäkerhet om vad som gäller i t.ex. andra registerförfattningar där sådan reglering saknas. Det är vidare olämpligt att använda begreppet ’diarieföring’ eftersom regleringen i offentlighets- och sekretesslagen avser registrering även i andra register, databaser m.fl. än diarier. Riksarkivet föreslår att uttrycket ’anmälan eller liknande’ i föreslagen paragraf andra stycke ersätts med ’handling’.

Skälen för regeringens förslag: I följande avsnitt redovisas för vilka ändamål regeringen föreslår att personuppgifter ska få behandlas i Kustbevakningens verksamhet. Bestämmelserna kommer att ge Kustbevakningen möjlighet att behandla uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. De kommer också att ge möjlighet att behandla personuppgifter i bl.a. kontroll- och tillsynsverksamhet, räddningstjänst, samordning av civil sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. Dessa ändamål täcker hela Kustbevakningens operativa verksamhet. De kommer dock inte med nödvändighet att ge stöd för behandling av alla de personuppgifter som kan komma in till Kustbevakningen i form av anmälningar, tips och meddelanden av olika slag. Kustbevakningen tar emot stora mängder av information av vitt skilda slag, ibland i elektronisk form. En del av denna information lämnas vidare för åtgärder inom ramen för brottsbekämpande eller annan operativ verksamhet, men den kan inte alltid anses behövlig för sådan verksamhet. Behandlingen av uppgifterna kommer i sådana fall inte att ligga inom ramen för de primära ändamål som diskuteras i det följande.

De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400) gäller som huvudregel att allmänna handlingar som kommit in eller upprättats hos myndigheten ska registreras, dvs. diarieföras, så snart som möjligt. Syftet med bestämmelsen är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 5 kap. 2 § offentlighets- och sekretesslagen uppställs vissa minimikrav beträffande uppgifterna i ett register. När en handling registreras ska det av registret framgå (1) datum då handlingen kom in eller upprättades, (2) diarienummer eller annan beteckning handlingen fått vid registreringen, (3) i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats samt (4) i korthet vad handlingen rör. Utgångspunkten är att dessa uppgifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna 3 och 4 får utelämnas eller särskiljas, om det behövs för att registret i övriga delar ska kunna företes för allmänheten.

Förutom skyldigheten att registrera allmänna handlingar gäller enligt 5 § andra stycket förvaltningslagen (1986:223) att en myndighet ska se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt.

När en personuppgift kommer in till en myndighet, t.ex. i ett epostmeddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en allmän handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlighet att ta emot och diarieföra personuppgifter i elektronisk form, liksom att behandla dem i det ärende som handlingen föranleder, oavsett om myndigheten anser att personuppgifterna behövs eller inte. En sådan bestämmelse finns för polisens del i dess brottsbekämpande verksamhet, 2 kap. 9 § polisdatalagen, (prop. 2009/10:85 s. 111 f.). Även om Kustbevakningen mottar färre uppgifter av nu aktuellt slag än polisen bedömer regeringen att det finns ett behov av en uttrycklig bestämmelse som otvetydigt klargör att myndigheten alltid i enlighet med offentlighets- och sekretesslagens regler får diarieföra allmänna handlingar och vidta sådana åtgärder som har nämnts i det föregående. För att motverka osäkerhet är det av vikt med enhetlig reglering i brottsbekämpande myndigheters verksamhet. Regeringen föreslår därför att en bestämmelse införs av vilken det framgår att personuppgifter alltid ska få behandlas om behandlingen är nödvändig för diarieföring. I likhet med vad som föreslagits i promemorian anser regeringen också att personuppgifter alltid ska få behandlas om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Avsikten är att samtliga framställningar till Kustbevakningen ska omfattas av bestämmelsen, exempelvis även uppgifter lämnade vid telefonsamtal. Att som Riksarkivet föreslagit ersätta uttrycket ”anmälan eller liknande” med ”handling” skulle därmed inte vara ändamålsenligt.

Regeringen vill i sammanhanget framhålla att syftet med den nu aktuella ändamålsbestämmelsen inte är att möjliggöra behandling av personuppgifter i Kustbevakningens verksamhet i sig. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som

inte ryms inom lagens ändamålsbestämmelser men som Kustbevakningen ändå måste kunna utföra för att hantera inkommande handlingar m.m.

Hänvisningar till S9-6

9.7. Behandling av känsliga personuppgifter

Regeringens förslag: Uppgifter om en person ska inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska dock få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flera remissinstanser har tillstyrkt eller har inte haft något att invända mot förslaget. Rikspolisstyrelsen har noterat att det i betänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete (SOU 2011:20 s. 274) föreslås att begreppet ”absolut nödvändigt” ska införas i vissa myndigheters registerförfattningar, bl.a. i 2 kap. 10 § polisdatalagen (2010:361), vad gäller behandlingen av känsliga uppgifter vid dels diarieföring, dels då uppgifterna lämnats i ett ärende, en anmälan eller liknande och dels vid själva handläggningen. Om förslaget genomförs bör det också i 2 kap. 7 § förslaget till kustbevakningsdatalag införas motsvarande tillägg.

Lunds universitet har, med hänvisning till sitt remissvar över betänkandet Kustbevakningens personuppgiftsbehandling (SOU 2006:18), ifrågasatt om det är nödvändigt att ta med en bestämmelse om att personers utseende ska beskrivas objektivt eftersom kravet på objektivitet bör avse alla uppgifter. Universitetet anser vidare att det inte är nödvändigt att invänta en samlad översyn för att utmönstra ordet ”ras”.

Skälen för regeringens förslag: I lagstiftning om behandling av personuppgifter har känsliga personuppgifter en särställning. Enligt 13 § personuppgiftslagen (1998:204) är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Med känsliga personuppgifter avses uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall detta får göras.

I 9 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns en från personuppgiftslagen avvikande bestämmelse om känsliga personuppgifter. Av bestämmelsen, som definierar känsliga personuppgifter på samma sätt som 13 § personuppgiftslagen,

framgår att om uppgifter om en person redan behandlas på annan grund, får dessa kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

Enligt regeringens mening bör Kustbevakningen ha samma möjligheter som i dag att registrera och på annat sätt behandla känsliga personuppgifter i verksamheten. Regeringen föreslår därför, i likhet med promemorian, att det i den nya lagen ska finnas en bestämmelse av vilken framgår att uppgifter om en person inte ska få behandlas enbart på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär t.ex. att det inte är tillåtet att i Kustbevakningens verksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Såvitt avser begreppet ras vill regeringen särskilt framhålla följande. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv (bet. 1997/98:KU29 s. 7). I propositionen till den nya diskrimineringslagen (2008:567) bedömde regeringen att det tillgängliga utredningsunderlaget inte gav tillräckligt stöd för att ta bort begreppet ras ur alla författningar (prop. 2007/08:95 s. 120). Regeringen ansåg emellertid att bruket av begreppet i lagtexten skulle kunna ge legitimitet åt rasistiska föreställningar och kunna befästa ras som en existerande kategori. Det var därför inte önskvärt att använda begreppet i diskrimineringslagen. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras utmönstras ur regeringsformen. Riksdagen har antagit förslaget (se avsnitt 4.1). I regeringsformen används i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (2 kap.12 och 24 §§regeringsformen). Med annat liknande förhållande avses främst sådana föreställningar om ras som omfattades av tidigare reglering (prop. 2009/10:80 s. 152).

Eftersom unionsrätten inte kräver att ett direktiv införlivas ordagrant i nationell rätt utan snarare att ändamålet med regleringen uppfylls, torde det i och för sig inte finnas något omedelbart hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med ett annat begrepp som har samma ändamål. Även om Lunds universitet anser att det inte är nödvändigt att invänta en samlad översyn för att utmönstra begreppet ras i detta sammanhang, anser regeringen emellertid att det inte är lämpligt att endast i detta specifika lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter, jfr t.ex. 13 § personuppgiftslagen och 11 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Det är dock regeringens avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning.

Regeringen föreslår vidare att det även fortsättningsvis bör finnas en möjlighet för Kustbevakningen att komplettera uppgifter med känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Detta bör komma till uttryck i den nya lagen. På samma sätt som i 11 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 2 kap. 10 § polisdatalagen bör dock ordet ”oundgängligen” ersättas med ”absolut”. Som exempel kan nämnas att en person är aktuell i ett ärende, t.ex. en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i ärendet kompletteras med känsliga personuppgifter. Känsliga personuppgifter kan även förekomma i underrättelseverksamhet och verksamhet med gränskontroll. Skulle Kustbevakningen få ett tips från allmänheten om en person som troligen smugglar narkotika, måste naturligtvis anteckningar få föras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, t.ex. fysiska kännetecken och etniskt ursprung m.m. På samma sätt är det i den informationsbearbetning som äger rum i underrättelseverksamheten tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund kan antas utöva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.

Bestämmelsen om känsliga personuppgifter bör gälla oavsett för vilket ändamål uppgifterna behandlas. Regeringen föreslår emellertid undantag från begränsningen av behandling av känsliga personuppgifter när det gäller behandling som är nödvändig för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Undantagen föranleds av Kustbevakningens behov av att alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Skälen för detta har utvecklats i avsnitt 9.6. Sådan behandling bör vara tillåten även i de fall där inkommande anmälningar innehåller känsliga personuppgifter. Detta bör komma till uttryck i lagtexten.

Slutligen bör det enligt regeringens mening i lagtexten framhållas att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Promemorian har lämnat ett motsvarande förslag. Syftet är att förhindra att personer beskrivs i förklenande ordalag som kan anses kränkande för individen. Regeringen vill emellertid framhålla att denna bestämmelse inte får medföra att omskrivning sker av vad någon har uppgivit vid t.ex. ett förhör.

Regeringen instämmer i och för sig i vad Lunds universitet har anfört om kravet på att uppgifter om en persons utseende alltid ska utformas på ett objektivt sätt med respekt för människovärdet och att detta redan följer av regeringsformens krav på objektivitet och saklighet, ett krav som naturligtvis även gäller i fråga om andra uppgifter. Emellertid finns det enligt regeringens mening anledning att i detta sammanhang likväl särskilt betona vikten av att denna typ av uppgifter utformas på ett sätt som inte kan uppfattas som kränkande. Det finns också anledning att framhålla att en motsvarande bestämmelse finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen, varför det skulle kunna komma att framstå som märkligt och

öppna för tolkningar om inte motsvarande regel fördes in i den här föreslagna lagen.

Rikspolisstyrelsen aktualiserar frågan om införande av begreppet ”absolut nödvändigt”, vilket behandlas i ovannämnt betänkande SOU 2011:20. Förslagen i betänkandet bereds för närvarande i Regeringskansliet. Regeringen kommer därför inte att behandla frågan ytterligare i detta lagstiftningsärende.

Hänvisningar till S9-7

9.8. Utlämnande på medium för automatiserad behandling

Regeringens förslag: Enstaka uppgifter ska få lämnas ut på ett medium för automatiserad behandling. I lagen ska vidare upplysas om att regeringen meddelar föreskrifter om att uppgifter får lämnas ut på ett sådant medium även i andra fall.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inte haft något att invända mot förslaget. Sveriges advokatsamfund vill erinra om att beskrivningen av gränsen mellan direktåtkomst och utlämnande på medium för automatiserad behandling är svårtolkad och har föranlett betydande hinder vid myndigheternas utveckling av system för elektroniskt informationsutbyte. Advokatsamfundet anför att ytterligare förtydliganden av denna gräns genom motivuttalanden skulle vara av stort värde. Advokatsamfundet undrar vidare hur föreslagen reglering i 2 kap. 8 § förhåller sig till regleringen i 3 kap. 3 § första stycket 3, där det ses som ett sekundärt ändamål att lämna uppgifter till en annan verksamhet inom Kustbevakningen.

Skälen för regeringens förslag: Begreppet direktåtkomst har ingen legaldefinition, men används i ett flertal regelverk som rör personuppgiftsbehandling. Det används för att beskriva formen för att lämna ut uppgifter på automatiserad väg. Den allmänt vedertagna innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Det brukar också anses innebära att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter mottagaren tar del av vid ett visst tillfälle (prop. 2004/05:164 s. 83). Det innebär alltså att den utlämnande myndigheten på förhand måste ta ställning till möjligheten att lämna ut alla uppgifter som kan komma att omfattas av direktåtkomsten, medan beslutet om överföring vid direktåtkomst i varje enskilt fall fattas av mottagaren. För annat elektroniskt utlämnande än genom direktåtkomst används begreppet utlämnande på medium för automatiserad behandling. Sådant utlämnande kan innebära t.ex. att elektronisk information överförs via e-post, genom utlämnande av uppgifter på cd-rom, DVD,

USB-minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. Uttrycket elektronisk utlämnande bör normalt användas som ett överordnat begrepp, som omfattar både direktåtkomst och utlämnande på medium för automatiserad behandling (se SOU 2007:64 s. 160; jfr prop. 2008/09:96 s. 8). Frågor om

direktåtkomst behandlas i avsnitten 12.3 och 14.5. I detta avsnitt behandlas frågor om utlämnande på medium för automatiserad behandling.

Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra särskilda risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheterna att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter via t.ex. e-post. Även om direktåtkomst generellt får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande. Härvid vill regeringen framhålla följande. Utlämnande på medium för automatiserad behandling innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Det betyder att elektroniskt tillhandahållande av uppgifter där mottagaren endast kan läsa informationen i myndighetens lokaler och inte bearbeta den, t.ex. genom en allmänhetens terminal, inte kan anses vara ett utlämnande på medium för automatiserad behandling. Vidare, för att inte möjligheterna att utnyttja datorteknik vid myndigheter ska inskränkas på ett orimligt sätt, bör det inte sättas upp onödiga hinder mot att e-post utnyttjas som ett sätt att vidarebefordra information som i dag ofta lämnas ut via telefon, telefax eller vanlig brevförsändelse. Det måste vara möjligt för tjänstemän vid Kustbevakningen att kommunicera med andra myndigheter och enskilda samt utbyta information på elektronisk väg. I detta sammanhang vill regeringen särskilt erinra om att uppgifter inte får lämnas ut vare sig elektroniskt eller på annat sätt utan föregående sekretessprövning.

Regeringen konstaterar att den tekniska utvecklingen i praktiken har lett till att skillnaderna mellan direktåtkomst och utlämnande på medium för automatiserad behandling i vissa fall har blivit så liten att det ibland kan vara svårt att dra en gräns mellan dessa former av utlämnande. Detta är fallet framförallt när utlämnande av uppgifter sker på medium för automatiserad behandling av större mängder uppgifter med viss regelbundenhet. Eftersom regeringen kommer att föreslå att lagen ska innehålla bestämmelser om direktåtkomst är det mot den bakgrunden naturligt att också möjligheten till utlämnande på medium för automatiserad behandling regleras. Så har även skett i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen (2010:361), av vilka framgår att enstaka uppgifter får lämnas ut på medium för automatiserad behandling och att regeringen får meddela föreskrifter om att utlämnande på sådant medium får ske även i andra fall. Regeringen gör här samma bedömning, nämligen att utlämnande av enstaka personuppgifter utan vidare bör få ske när detta i övrigt är möjligt enligt den föreslagna lagen, offentlighets- och sekretesslagen (2009:400) och annan tillämplig lagstiftning. Mer omfattande utlämnande ska endast tillåtas i den utsträckning som regeringen har föreskrivit det. Bestämmelsen reglerar när utlämnande av personuppgifter får ske i elektronisk form enligt den nya lagen. Bestämmelsen tar däremot inte

sikte på hur det faktiska utlämnandet genomförs. Av följande avsnitt framgår att regeringen föreslår en reglering av direktåtkomst för andra myndigheter till uppgifter som Kustbevakningen behandlar och att regeringen i vissa fall har utrymme att föreskriva om omfattningen av sådan åtkomst. Regeringen anser att motsvarande bör gälla i nu aktuellt avseende. Omfattningen och de närmare formerna för utlämnande av uppgifter på medium för automatiserad behandling till annan myndighet bör därför inte särregleras i lag. I stället har regeringen utrymme att föreskriva om detta. I förhållande till myndigheter som får medges direktåtkomst menar regeringen att det inte bör gälla några begränsningar i fråga om utlämnande på annat elektroniskt medium, med hänsyn till att lagen ska vara teknikneutral. Regeringen avser att i förordning meddela föreskrifter om detta. Eftersom föreskrifter om myndighetens behandling av personuppgifter får meddelas av regeringen med stöd av den restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen – i den utsträckning föreskrifterna inte faller in under tillämpningsområdet för 2 kap. 6 § regeringsformen – bör i lagen tas in en upplysning om att regeringen meddelar sådana föreskrifter som avses här.

Begreppet ”enstaka” kan innebära vissa gränsdragningsproblem när det gäller att avgöra hur omfattande ett utlämnande av uppgifter på medium för automatiserad behandling egentligen får vara. Regeringen finner emellertid inte att det är möjligt att i lagtext närmare ange innebörden av begreppet enstaka. I sammanhanget bör dock följande påpekas. Ordet enstaka i har i den här aktuella lagtexten en något annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är föreslagen bestämmelse inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett e-postmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av föreslagen paragraf (jfr prop. 2009/10:85 s. 333). Den är också avsedd att ge stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer (jfr prop. 2006/07:46 s. 124).

Hänvisningar till S9-8

9.9. Grundläggande krav på behandlingen

Regeringens förslag: Personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet.

Promemorians förslag överensstämmer med regeringens. Promemorians förslag till lagtext är dock något annorlunda utformad.

Remissinstanserna: Kustbevakningen instämmer i bedömningen att personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen sker med stöd av bestämmelserna för den brottsbekämpande verksamheten eller för annan operativ verksamhet. Kustbevakningen, liksom Havs- och vattenmyndigheten, anför att det viktiga bör vara att det hela tiden framgår med stöd av vilka bestämmelser behandlingen sker – för den brottsbekämpande verksamheten eller för annan operativ verksamhet – och att det går att kontrollera i efterhand, inte att

uppgifterna ska vara uppdelade i olika informationssamlingar. Övriga remissinstanser har inte yttrat sig i frågan.

Skälen för regeringens förslag: I förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns reglerat att personuppgifter ska behandlas på ett sådant sätt att det klart framgår med stöd av vilka bestämmelser behandlingen sker. Regeringen anser att en motsvarande bestämmelse bör införas i den nya kustbevakningsdatalagen. Bestämmelsen bör dock formuleras på det sätt Lagrådet föreslagit, vilket innebär att den blir än mer lättläst än förslaget i lagrådsremissen.

Som Kustbevakningen och Havs- och vattenmyndigheten konstaterat ska det vid varje behandling av personuppgifter således framgå om behandlingen rör brottsbekämpning eller annan operativ verksamhet. Det ska i efterhand gå att kontrollera att behandlingen har skett i enlighet med de ändamål som lagen medger. På så sätt upprätthålls skyddet för den personliga integriteten.

Hänvisningar till S9-9

10. Behandling av personuppgifter i den brottsbekämpande verksamheten

Hänvisningar till S10

  • Prop. 2011/12:45: Avsnitt 4, 14.1

10.1. Ändamål för behandlingen

Regeringens förslag: I lagen ska det anges för vilka ändamål behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet får ske. Ändamålen ska delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns i Kustbevakningens brottsbekämpande verksamhet. Dessa ändamål ska vara uttömmande angivna i lagen.

De sekundära ändamålen ska avse behandling för olika typer av tillhandahållande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Migrationsverket finner att det är en bra lösning att föreslagen lag anger för vilka primära och sekundära ändamål som behandling får ske av personuppgifter, men anser det begränsande att uttömmande ange vilka primära ändamål som finns för behandling av personuppgifter inom brottsbekämpande verksamhet. Enligt verket skulle en lösning kunna vara att även tillämpa finalitetsprincipen för de primära ändamålen.

Datainspektionen ifrågasätter, liksom inspektionen gjorde vid förslaget till polisdatalag, om bestämmelserna om ändamål uppfyller kraven på att personuppgifter endast får samlas in för specifika ändamål och att personuppgifterna därefter inte får användas på ett sätt som är oförenligt med insamlingsändamålet. Detta gör sig enligt inspektionen särskilt starkt gällande mot bakgrund av att uppgifter relativt obegränsat kan

komma att flöda mellan Kustbevakningens brottsbekämpande verksamhet och annan operativ verksamhet.

Sveriges advokatsamfund noterar att den s.k. finalitetsprincipen kommer till uttryck både i 2 kap. 2 § första stycket 3 och i 3 kap. 4 § samt 5 kap. 2 §, och undrar om avsikten med denna dubbelreglering är att inskränka tillämpningsområdet för finalitetsprincipen – inte bara till sekundära ändamål utan även till ”enskilda fall”.

Övriga remissinstanser har tillstyrkt eller har inget att invända mot förslaget.

Skäl för regeringens förslag

Ändamålsbestämmelserna bör ge utrymme för Kustbevakningen att bedriva brottsbekämpande verksamhet med modern teknik

Den nya lagen ska vara tillämplig i all Kustbevakningens operativa verksamhet, bl.a. den brottsbekämpande. I den verksamheten förekommer personuppgiftsbehandling av vitt skilda slag. Det handlar t.ex. om sedvanligt kontorsarbete som tidigare inte innebar behandling av personuppgifter, men som gör det med dagens ordbehandlingsteknik. Enligt regeringens mening är det självklart att föreslagen kustbevakningsdatalag bör utformas så att den ger Kustbevakningen samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnyttjande innefattar inte i sig några påtagliga integritetsrisker.

När det emellertid kommer till kvalificerad personuppgiftsbehandling, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer, uppstår större risker för intrång i den personliga integriteten. Lagen behöver därför även utformas på ett sådant sätt att den möter behovet av att kunna värna den enskildes integritet.

För att tillgodose båda dessa intressen föreslår regeringen, vid utformningen av de förslag som nu lämnas gällande personuppgiftsbehandlingen som bör få ske i Kustbevakningens brottsbekämpande verksamhet, att ett antal begränsande regler sätts upp. Reglerna föreslås utformas efter hur integritetskänsliga uppgifterna bedöms vara. Samma sorts lösning har föreslagits i promemorian. I följande avsnitt föreslås att bestämmelserna om personuppgiftsbehandling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten och å andra sidan annan behandling i denna verksamhet. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

Lagrådet har ansett att lagrådsremissens förslag i 3 kap. 1 § kan utgå för det fall föreslagna kapitelrubriker justeras i enlighet med Lagrådets förslag (se bilaga 10). Då paragrafen syftar till att skapa en bättre överblick av regleringen och underlätta tillgängligheten finns det emellertid, enligt regeringens mening, ändå skäl att behålla paragrafen.

Personuppgiftslagens regler om ändamål

Bestämmelser om för vilka ändamål uppgifter får behandlas har en central roll i registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten. Det följer av centrala dataskyddsprinciper att uppgifter endast får samlas in för specifika och legitima ändamål och att insamlade uppgifter inte får behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Dessa principer kommer till uttryck bl.a. i artikel 6.1 a i dataskyddsdirektivet och artikel 3 i dataskyddsrambeslutet. Artikeln i dataskyddsdirektivet har genomförts i svensk rätt genom 9 § första stycket c) och d) personuppgiftslagen (1998:204).

I fråga om efterföljande behandling sägs i 9 § andra stycket personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I de fall där en tilltänkt behandling inte omfattas av de ursprungliga ändamålen måste det i princip prövas om ändamålet med den senare behandlingen är oförenligt med de ursprungliga ändamålen. Detta följer av den s.k. finalitetsprincipen, som uttrycks i 9 § första stycket d) personuppgiftslagen.

Datalagskommittén uttalade i betänkandet Integritet – Offentlighet – informationsteknik (SOU 1997:39 s. 351) att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda.

Den nya lagens ändamålsreglering i Kustbevakningens brottsbekämpande verksamhet och finalitetsprincipen

Utgångspunkten i den nya lagen är att personuppgifter får behandlas enbart för vissa berättigade, angivna ändamål. Därmed kan användningen och spridningen av uppgifterna begränsas. Frågan är då hur ändamålsregleringen bör utformas.

Det är vanligt att man i registerförfattningar delar upp ändamålen i primära och sekundära. De primära ändamålen är utformade för att tillgodose den behandling som behövs i de berörda myndigheternas egna verksamheter. De sekundära ändamålen reglerar i vilken utsträckning uppgifter som samlats in för något primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. För Kustbevakningens del kan det vara fråga om att uppgifter i den brottsbekämpande verksamheten kan behöva användas i myndighetens andra verksamheter eller att uppgifterna behövs i verksamhet som någon annan myndighet bedriver. Däremot gäller, utan att det uttryckligen anges i lagen, att uppgifter alltid får behandlas för att lämnas ut enligt bestämmelserna i 2 kap. tryckfrihetsförordningen (jfr 8 § personuppgiftslagen).

Det finns flera olika möjligheter att utforma ändamålsregleringen i registerförfattningar. Det går dock att urskilja två principiellt olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet (jfr finalitetsprincipen). I flertalet registerlagar är ändamålsbestämmelserna utformade på detta sätt. Så är bl.a. fallet med förordningen (2003:188) om

behandling av personuppgifter inom Kustbevakningen eftersom förordningen gäller utöver personuppgiftslagens regler där finalitetsprincipen återfinns (9 § c–d).

Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling får ske, vare sig det är fråga om insamling av uppgifter eller efterföljande behandling. Som ett exempel på en sådan lösning kan nämnas lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (7–9 §§).

Promemorian har föreslagit att personuppgifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare vidarebehandling av uppgifterna endast får ske om det är förenligt med insamlingsändamålet. Promemorian har vidare bedömt att den föreslagna lagen tillsammans med finalitetsprincipen i personuppgiftslagen och bestämmelserna i sekretesslagstiftningen sammantaget utgör en tillräcklig reglering av för vilka ändamål uppgifter får behandlas och i övrigt lämnas ut till andra. På så sätt undviks att lagstiftningen i onödan tyngs genom en lång uppräkning av samtliga ändamål för vilka Kustbevakningen kan komma att behöva utbyta uppgifter med andra myndigheter och vilka dessa myndigheter är.

Regeringen konstaterar att en utgångspunkt för den här föreslagna lagstiftningen bör vara att tillåtna ändamål anges så tydligt och fullständigt som möjligt. Regeringen anser därför att de primära ändamålen för Kustbevakningens brottsbekämpande verksamhet bör anges uttömmande.

Migrationsverkets förslag om tillämpning av finalitetsprincipen även för de primära ändamålen skulle enligt regeringens mening inte leda till den tydlighet och förutsebarhet som eftersträvas. I avsnitt 10.2 utvecklar regeringen vilka dessa primära ändamål bör vara.

En svårare fråga är om även de sekundära ändamålen, som syftar till att beskriva för vilka ändamål uppgifter får tillhandahållas andra, bör anges uttömmande. Det kan finnas fördelar med en sådan reglering. Lagstiftaren kan därmed sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart både för tillämpare och andra vilken personuppgiftsbehandling som får förekomma med stöd av den aktuella lagen.

I förarbetena till flera registerlagar har regeringen emellertid gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras. Regeringen konstaterar att så även är fallet vad avser Kustbevakningens verksamhet, som både är varierad och under utveckling, bl.a. vad avser det brottsbekämpande området. Mot den bakgrunden föreslår regeringen att de sekundära ändamålen för personuppgiftsbehandling i Kustbevakningens brottsbekämpande verksamhet inte anges uttömmande i lagen. Detta överensstämmer dels med den reglering som gäller i dag för Kustbevakningens personuppgiftsbehandling, dels med den nya polisdatalagen. I avsnitt 10.3 behandlas de sekundära ändamålen.

I anledning av vad som ovan föreslagits bör följande framhållas. Den hänvisning till 9 § första stycket c) och d) personuppgiftslagen som föreslås införas i den nya lagen (se avsnitt 9.3) innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade,

ändamål och att insamlade uppgifter inte får behandlas för ändamål som är oförenliga med det ursprungliga ändamålet. En av Kustbevakningens uppgifter är att bedriva sjöövervakning i vilket ingår att ansvara för eller bistå andra myndigheter med bl.a. övervakning och brottsbekämpande verksamhet. Har personuppgifter samlats in för att utreda ett visst brott kan det enligt regeringens mening generellt sett – mot bakgrund av Kustbevakningens övergripande uppgift på området – inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma uppgifter för att utreda annat brott eller bekämpa brottslig verksamhet. En grundtanke med förslaget är således att det inom Kustbevakningen bör vara tillåtet att använda sig av uppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål. Under sistnämnda förutsättning bör vidarebehandling också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som anses förenliga med finalitetsprincipen. Genom att ange de primära och sekundära ändamålen i lagförslaget anses vidarebehandling för dessa ändamål vara förenliga med den s.k. finalitetsprincipen.

Som tidigare nämnts bör enligt regeringens mening de primära ändamålen anges uttömmande i den här föreslagna lagen. När det gäller de sekundära ändamålen bör dessa uttryckas så preciserat och fullständigt som möjligt. Regeringen anser dock att det även är nödvändigt för Kustbevakningen att i vissa fall kunna behandla information för andra sekundära ändamål än de som anges i lagförslaget, under förutsättning att det i det enskilda fallet inte kan anses vara oförenligt med insamlingsändamålet att lämna ut uppgifterna.

Förutom att behandlingen ska vara förenlig med insamlingsändamålet ska det också vara nödvändigt att tillhandahålla informationen, vilket begränsar utrymmet för behandling ytterligare. I syfte att åstadkomma ett fullgott integritetsskydd kompletteras ändamålsregleringen dessutom med andra bestämmelser som sätter gränser för behandlingen, t.ex. bestämmelser om tillgång till uppgifter och sökbegränsningar. Härigenom begränsas de risker som Datainspektionen pekat på ifråga om att uppgifter skulle kunna hanteras obegränsat mellan Kustbevakningens brottsbekämpande och övriga operativa verksamhet. I den nya lagen finns det vidare en uttrycklig bestämmelse som anger att om det vid personuppgiftsbehandling uppstår misstanke om brott eller brottslig verksamhet ska reglerna som rör den brottsbekämpande verksamheten tillämpas. Det ankommer på Kustbevakningen att genom utbildning och riktlinjer skapa system för att bestämmelsen efterlevs. En närmare redogörelse för bestämmelsen kommer att lämnas nedan.

Bestämmelserna om ändamål för behandling av personuppgifter bör inte få hindra rationella rutiner för diarieföring och ärendehantering. Det har föranlett särskilda överväganden som redovisats i avsnitt 9.6.

I 8 § första stycket personuppgiftslagen finns en upplysning om att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Detta ska även gälla vid behandling av personuppgifter hos Kustbevakningen. Bestämmelser i grundlag tar över bestämmelser i vanlig lag. Tryckfrihetsförordningens bestämmelser har därför företräde framför bestämmelserna i den nya lag som regeringen

föreslår. Behandling av personuppgifter kommer därmed alltid att vara tillåten för att uppfylla de krav som offentlighetsprincipen ställer. Detsamma gäller för den övriga lagstiftningen om personuppgiftsbehandling som finns i Sverige.

Frågan om hur de primära och sekundära ändamålen ska utformas för uppgifter som behandlas i Kustbevakningens verksamhet med sjöövervakning, räddningstjänst m.m. kommer att behandlas i avsnitt 14.

Hänvisningar till S10-1

  • Prop. 2011/12:45: Avsnitt 10.2.1

10.2. Primära ändamål för personuppgiftsbehandling

Hänvisningar till S10-2

10.2.1. Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: Personuppgifter ska få behandlas i Kustbevakningens brottsbekämpande verksamhet om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag

Generella begränsningar för all behandling?

I avsnitt 10.1 har regeringen tagit ställning till vilka allmänna utgångspunkter som bör läggas till grund för utformningen av ändamålsbestämmelserna för behandling av uppgifter i den brottsbekämpande verksamheten i den nya lagen. Mot bakgrund av dessa allmänna utgångspunkter har regeringen att i detta avsnitt ta ställning till i vilken utsträckning behandling av personuppgifter ska få ske inom ramen för den brottsbekämpande verksamhet som inte avser utredandet eller beivrandet av ett konkret begånget brott, utan i stället att avslöja om viss brottslighet har förekommit, pågår eller kan förutses, dvs. underrättelseverksamhet. Syftet med sådan verksamhet är i huvudsak att ta fram underlag för vilken inriktning den brottsbekämpande verksamheten ska ha eller för att initiera konkreta brottsutredningar. I begreppet förhindra eller upptäcka brottslig verksamhet innefattas således all egentlig brottsbekämpande verksamhet inom Kustbevakningen som inte direkt kan knytas till en konkret brottsutredning. Med brottsutredning avses då det arbete som utförs i eller i anslutning till en förundersökning (jfr 3 § polisdatalagen [1998:622], 2 § första stycket lagen [1999:90] om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och 2 § första stycket i den numera upphävda lagen [2001:85] om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet).

Å ena sidan måste Kustbevakningen för att kunna bedriva ett framgångsrikt brottsförebyggande arbete få behandla uppgifter om personer som inte är misstänkta för något konkret brott men väl för att ha utövat eller ta del i pågående eller planerad brottslig verksamhet. Å andra sidan skulle en möjlighet att utan någon närmare begränsning behandla personuppgifter som inte har samband med något konkret brott öppna vägen

för en mycket omfattande behandling av personuppgifter med betydande risker för intrång i den personliga integriteten.

Regeringen föreslår, i enlighet med de grundläggande överväganden som har redovisats i avsnitt 9.2, att det bör gälla olika regler för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten och annan behandling. Förslagen om vad som ska gälla för de gemensamt tillgängliga uppgifterna i denna verksamhet redovisas i avsnitt 11. Regeringen vill påpeka att den allra största delen av Kustbevakningens personuppgiftsbehandling inom det brottsbekämpande området kommer att omfattas av reglerna för behandling av gemensamt tillgängliga uppgifter. Här ska alltså särskilda regler gälla. För övrig behandling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet är det däremot tillräckligt från integritetssynpunkt att grundläggande dataskyddsbestämmelser gäller. Regeringen har gjort motsvarande bedömning när det gäller behandlingen av personuppgifter i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 103).

Utformningen av ändamålsbestämmelsen

Enligt 4 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får personuppgifter behandlas om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot.

Som nyss har nämnts användes begreppet underrättelseverksamhet i den numera upphävda lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen med samma ämne. Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller i stället en bestämmelse om behandling av personuppgifter för ändamålet att förhindra eller upptäcka brottslig verksamhet. Regeringen föreslår, i likhet med promemorian, att samma principiella lösning bör väljas för Kustbevakningens del. Av den nya lagen bör alltså framgå att personuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet. Regeringen har i avsnitt 9.1 föreslagit att dessa ändamål även ska avse uppgiftsbehandling som rör juridiska personer. Såväl behandling av mera rutinmässig karaktär, t.ex. ordbehandling, som behandling av mera kvalificerat slag kommer att omfattas av bestämmelsen.

Utanför ändamålet faller behandling av uppgifter dels när det ”finns anledning att anta att ett brott har förövats” och en förundersökning ska inledas enligt 23 kap. rättegångsbalken, dels när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § rättegångsbalken. Detta gäller även när ett brott beivras med stöd av 48 kap. rättegångsbalken utan att åtal väcks. I sådana fall får uppgifter i stället behandlas med stöd av ändamålet att utreda eller beivra visst brott, se nästa avsnitt.

Hänvisningar till S10-2-1

  • Prop. 2011/12:45: Avsnitt 19.1

10.2.2. Utreda och beivra brott

Regeringens förslag: Personuppgifter ska få behandlas i Kustbevakningens brottsbekämpande verksamhet om det behövs för att utreda eller beivra brott.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag: Att utreda och beivra brott är en av

Kustbevakningens uppgifter. Arbetet sker framförallt inom ramen för förundersökning enligt 23 kap. rättegångsbalken som Kustbevakningen kan bedriva med stöd av t.ex. lagen (1980:424) om åtgärder mot förorening från fartyg eller lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott. Vidare kan det handla om situationer när Kustbevakningen medverkar i förundersökning med stöd av t.ex. 7 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning. Åtgärder som därvid vidtas av Kustbevakningen kan avse spaning, förhör, informationsbearbetning och olika former av beslutsfattande, bl.a. tvångsmedelsanvändning. Närmast handlar det om beslag för att säkra bevisning eller förverkande. Till uppgiften att utreda och beivra brott hör också sådant arbete som sker inom ramen för förenklade förfaranden vilka kan mynna ut i utfärdande av föreläggande av ordningsbot.

I arbetet med att utreda eller beivra visst brott innefattas också sådana åtgärder som vidtas med stöd av 1 och 2 §§ lagen om Kustbevakningens medverkan vid polisiär övervakning och 23 kap. 3 § tredje stycket och 8 §rättegångsbalken innan förundersökning har inletts samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning.

Vad som skiljer arbetet med att utreda och beivra brott från arbetet att förebygga, förhindra eller upptäcka brottslig verksamhet är att arbetet i det förra fallet utförs med anledning av att ett konkret brott har eller misstänks har begåtts, medan arbetet i det senare fallet utförs med anledning av misstankar om begången, pågående eller planerad brottslig verksamhet som inte kan konkretiseras eller allmänna misstankar om framtida brott. När det kommer till att avgöra om ett konkret brott har eller misstänks har begåtts saknar det betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form.

Enligt regeringens mening är det självklart att personuppgifter måste få behandlas inom ramen för arbetet med att utreda och beivra brott. En förutsättning måste emellertid vara att behandlingen behövs för något av dessa ändamål. Inom ramen för ändamålet att utreda eller beivra visst brott bör, förutom uppgifter om den misstänkte, behandling av uppgifter om andra personer tillåtas om det har betydelse för ärendet. Det kan t.ex. vara fråga om uppgifter om målsägande, vittnen och andra som på olika sätt berörs av brottsutredningen.

Regeringen har i avsnitt 9.1 föreslagit att dessa ändamål även ska avse uppgiftsbehandling som rör juridiska personer. I övrigt bör, på samma sätt som regeringen har föreslagit i föregående avsnitt i fråga om personuppgiftsbehandling för att förebygga, förhindra och upptäcka brottslig

verksamhet, endast de grundläggande bestämmelserna i den nya lagen vara tillämpliga så länge uppgifterna inte görs gemensamt tillgängliga, på motsvarande sätt som ska gälla för polisens del enligt polisdatalagen (2010:361) (prop. 2009/10:85 s. 124 f.).

Hänvisningar till S10-2-2

  • Prop. 2011/12:45: Avsnitt 19.1

10.2.3. Internationellt samarbete

Regeringens förslag: Personuppgifter ska få behandlas i Kustbevakningens brottsbekämpande verksamhet om detta behövs för att fullgöra ett internationellt åtagande.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Lunds universitet menar att när uppgifter får användas för att uppfylla Sveriges internationella förpliktelser bör det, liksom för den nationella användningen, finnas en koppling till brottsförebyggande verksamhet. Övriga remissinstanser har inte haft några synpunkter på förslaget.

Skälen för regeringens förslag: Enligt 15 § förordningen (2007:853) med instruktion för Kustbevakningen ska Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Med ökad internationalisering och större rörlighet för såväl personer och kapital som varor och tjänster över nationsgränserna följer större krav på samarbete över gränserna. Det gäller såväl i Kustbevakningens miljöräddningstjänst och kontroll- och tillsynsverksamhet som i den brottsbekämpande verksamheten. Det brottsbekämpande samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, både multilaterala och bilaterala. Härvid menar regeringen att en given utgångspunkt är att Sverige på bästa sätt ska kunna fullgöra sina internationella åtaganden i fråga om sådant samarbete över gränserna. Med internationella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden kan avse samarbete med en utländsk myndighet eller med en mellanfolklig organisation. Regeringen konstaterar att detta är en anledning till att det finns ett behov av en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter som sker inom ramen för det internationella samarbetet.

Kustbevakningens internationella samarbete på det brottsbekämpande området regleras i flera författningar som också omfattar andra myndigheters internationella samarbete på området, bl.a. lagen om internationellt polisiärt samarbete, lagen om internationellt tullsamarbete, lagen om överlämnande från Sverige enligt en europeisk arresteringsorder och lagen om vissa former av internationellt samarbete i brottsutredningar. Dessa lagar tar huvudsakligen sikte på brottsbekämpande samarbete över gränserna. För att fullgöra bindande åtaganden om sådant samarbete måste Kustbevakningen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det och med hjälp av modern teknik. Tilläggas bör att det som regleras i nyssnämnda författningar

är främst vilken typ av samarbete som ska förekomma. Hur samarbetet ska ske ägnas mindre utrymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen om internationell rättslig hjälp i brottmål, lagen om utlämning för brott, lagen om utlämning för brott till Danmark, Finland, Island och Norge och lagen om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut, bygger också på folkrättsligt bindande överenskommelser. Indirekt ställs samma krav på behandling av personuppgifter vid rättslig hjälp som vid polisiärt samarbete över gränserna. Enligt den svenska regleringen är det åklagare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av tvångsmedel anlitar åklagaren i regel biträde av polisen på samma sätt som i en svensk brottsutredning. Åklagaren kan också anlita biträde av Kustbevakningen om det är lämpligare med hänsyn till brottets karaktär. Det innebär att Kustbevakningen i princip måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

Detta innebär att regeringen bedömer att det krävs en bestämmelse som medger behandling av personuppgifter för att fullgöra internationella åtaganden i Kustbevakningens brottsbekämpande verksamhet. Lunds universitet har föreslagit att det ifråga om de internationella förpliktelserna ska finnas en koppling till brottsförebyggande verksamhet. Regeringen anser emellertid inte att någon ytterligare hänvisning behövs.

Den behandling som åsyftas kan bestå i insamlande av skriftligt material, sammanställningar av förhörsutsagor, kontroll i register eller annat. I vissa fall kan det vara fråga om personuppgiftsbehandling som sträcker sig över en längre tid.

Sammanfattningsvis föreslår regeringen att den nya lagen ska innehålla en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter. Ändamålet ska även vara tillämpligt vid behandling av uppgifter som rör juridiska personer (se avsnitt 9.1). I detta sammanhang bör vidare följande förtydligas. En del av samarbetet över gränserna äger rum som ett led i en utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter sker då med stöd av det primära ändamålet att utreda och beivra brott.

Hänvisningar till S10-2-3

10.3. Sekundära ändamål för personuppgiftsbehandling

Hänvisningar till S10-3

10.3.1. Behandling av uppgifter för att tillhandahålla information till andra

Regeringens förslag: Personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. annan verksamhet hos Kustbevakningen för

a) utredning och beslut i ärenden som rör vattenföroreningsavgift,

b) tillsyn och kontroll enligt lag eller förordning,

4. en annan myndighets verksamhet

a) om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt de primära ändamålen ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till annan, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan uppräknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Kustbevakningen föreslår ett tillägg till de sekundära ändamålen, en ny bestämmelse om räddningstjänst, eftersom Kustbevakningen har behov av att lämna ut uppgifter från den brottsbekämpande verksamheten till den del av verksamheten där räddningstjänst bedrivs. Enligt Kustbevakningens mening bör förslaget även kompletteras med motsvarande bestämmelse som finns i polisdatalagen om möjlighet för regeringen att meddela föreskrifter för polisen att få behandla uppgifter för att tillhandahålla information om efterlysta personer och för att tillhandahållas konkursförvaltare, vilket också kan aktualiseras i Kustbevakningens brottsbekämpande verksamhet.

Havs- och vattenmyndigheten anser att gränsdragningen mellan behandling av personuppgifter i den brottsbekämpande verksamheten och den övriga operativa verksamheten i praktiken är diffus, särskilt vad gäller tillsyns- och kontrollverksamheten. Myndigheten menar att det finns anledning att analysera gränsdragningen mellan de två verksamhetsområdena och ange utgångspunkter för bedömningen för att undvika tillämpningsproblem.

Sveriges advokatsamfund ställer sig frågande till att ett ”utlämnande” mellan verksamhetsgrenar ska regleras som ett sekundärt ändamål, trots att självständiga verksamhetsgrenar inte anses föreligga inom Kustbevakningen. I huvudsak synes samma befattningshavare bli berörda, som ska behandla uppgifter direkt enligt ett primärt ändamål, eller ”få ut” uppgifter enligt ett sekundärt ändamål. En synnerligen strikt avgränsning av de primära ändamålsbegränsningarna bryts igenom av användning inom myndigheten, genom att beteckna den som ett externt ändamål.

Skälen för regeringens förslag

Allmänna utgångspunkter

I avsnitt 10.2 har regeringen lämnat förslag till hur lagens ändamålsreglering bör utformas och vilka de primära ändamålen bör vara i Kustbevakningens brottsbekämpande verksamhet. I detta avsnitt diskuteras vilka

sekundära ändamål som bör anges för sådan verksamhet eller med andra ord i vilken utsträckning uppgifter som har samlats in i Kustbevakningens brottsbekämpande verksamhet ska få användas även av andra myndigheter eller i annan verksamhet som Kustbevakningen bedriver. Det rör sig alltså om behandling för ett annat ändamål än det ursprungliga. I och med att regleringen av sekundära ändamål inte föreslås vara uttömmande finns det vidare ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen). Som regeringen tidigare har betonat är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av Kustbevakningens uppgiftsutlämnande.

I sammanhanget är det viktigt att komma ihåg att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan i många fall vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.

Regeringen vill här uppmärksamma frågan om det behövs en särskild ändamålsbestämmelse som ger stöd för behandling av personuppgifter för bl.a. planering, uppföljning och utvärdering av Kustbevakningens verksamhet. En sådan ändamålsbestämmelse återfinns i dag i 7 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade emellertid Lagrådet att en sådan bestämmelse är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Något sådant ändamål finns därför inte angivet i nyss nämnda lag. Av samma skäl avstod regeringen från att föreslå någon sådan ändamålsbestämmelse för polisens vidkommande (prop. 2009/10:85 s. 116). Regeringen finner inte skäl att göra någon annan bedömning än vad regeringen har gjort tidigare, vad avser Kustbevakningens verksamhet.

Regeringen konstaterar att regleringen av Kustbevakningens verksamhet och närmare precisering av myndighetens uppgifter inte är en fråga för detta lagstiftningsärende, varför Havs- och vattenmyndighetens synpunkter om gränsdragning mellan verksamhetsområdena inte närmare kommer att behandlas här.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. En väl utvecklad samverkan mellan de olika myndigheterna som har ett ansvar för brottsbekämpningen ger goda förutsättningar att bekämpa nationell och internationell brottslighet. Att brottsbekämpande myndigheter bör samverka framstår därför som självklart liksom att en sådan samverkan förutsätter möjligheter till ett effektivt utbyte av information. Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar

mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte. Så bör t.ex. möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst förbättras. De risker för intrång i den personliga integriteten som direktåtkomst och andra former av elektroniskt informationsutbyte kan ge upphov till och hur dessa risker bör hanteras diskuteras i avsnitt 12.

Enligt regeringens bedömning bör det därför i den nya lagen uttryckligen anges att de uppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får behandlas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet.

Motsvarande bestämmelser finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet och i den nya polisdatalagen.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Kustbevakningen måste kunna behandla personuppgifter i den utsträckning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om översändande av uppgifter till internationella organisationer. Likaså måste Kustbevakningen kunna utföra sådan behandling som krävs för att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande enligt en viss överenskommelse och inte ett åtagande enligt en internationellt bindande överenskommelse.

Regeringen föreslår mot den bakgrunden att det i lagen tas in en bestämmelse om att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation.

Tillhandahållande av information till annan verksamhet inom Kustbevakningen

För att Kustbevakningen ska kunna fullgöra arbetsuppgifter som faller utanför den brottsbekämpande verksamheten behöver myndigheten i vissa fall ha tillgång till uppgifter som har samlats in för brottsbekämpande ändamål. Uppgifter som behandlas inom den brottsbekämpande verksamheten behöver alltså i viss utsträckning kunna tillhandahållas till annan verksamhet inom Kustbevakningen. Som anförs i promemorian inger en generell möjlighet att använda information, insamlad för brottsbekämpande ändamål, i annan verksamhet hos Kustbevakningen vissa betänkligheter från integritetssynpunkt, bl.a. därför att det skulle kunna leda till en omfattande spridning av information.

Den omständigheten att Kustbevakningen kan ha ett behov av att få del av information i den brottsbekämpande verksamheten bör enligt regeringen, och vad som angavs i promemorian, inte föranleda ett rutinmässigt tillhandahållande av sådana personuppgifter. Möjligheten att få tillgång till uppgifter av denna karaktär bör alltså förbehållas situationer i vilka det tydligt kan identifieras ett starkt behov i verksamheten. Enligt regeringens bedömning, i likhet med promemorians, finns det ett sådant behov för Kustbevakningen vad avser att använda personuppgifter som samlats in i den brottsbekämpande verksamheten dels i ärenden som rör vattenföroreningsavgift när det behövs för att utreda och besluta i sådana ärenden, dels när Kustbevakningen bedriver all tillsyn och kontroll som myndigheten är skyldig att utföra enligt lag eller förordning, t.ex. kontroll enligt utlänningslagen (2005:716) och tillsyn enligt förordningen (2006:311) om transport av farligt gods. Ett överlämnande av personuppgifter från denna typ av brottsbekämpande verksamhet till annan verksamhet vid myndigheten, främst för att inrikta kontroll- och tillsynsverksamheten, sker redan i dag regelmässigt.

Regeringen föreslår därför att personuppgifter som har samlats in och behandlas i Kustbevakningens brottsbekämpande verksamhet även ska få behandlas i nu nämnda ärenden om detta är nödvändigt.

Däremot anser regeringen, trots vad Kustbevakningen anfört, att det inte i detta lagstiftningsärende har visats att ett sådant starkt och frekvent behov finns att använda de aktuella personuppgifterna i den räddningstjänst som Kustbevakningen bedriver att detta bör anges som ett sekundärt ändamål i lagen. Det sagda hindrar emellertid inte att uppgifter kan behandlas för att tillhandahålla information till Kustbevakningens räddningstjänst i ett enskilt fall, efter en prövning av att ett sådant ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Tillhandahållande av information till myndigheter i vissa andra fall

Det finns även vissa andra fall där personuppgifter bör få behandlas av Kustbevakningen för utlämnande. Kustbevakningen måste ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att biträda en annan svensk myndighet. Regeringen föreslår att en bestämmelse om detta tas in i den nya lagen.

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Sådan myndighetssamverkan förutsätter utbyte av information. Kustbevakningen bör därför ges möjlighet att behandla uppgifter för att tillhandahålla information till andra än brottsbekämpande myndigheter, när syftet är att samverka mot brott. Informationen bör få tillhandahållas om utlämnandet kan vara till nytta för den brottsbekämpande verksamheten. Begreppet samverkan kan omfatta flera olika former av samarbete. Exempel på samverkan är samarbetet mellan polisen, Tullverket, Kustbevakningen och Migrationsverket vid gränskontroll.

Enligt 10 kap. 15 § offentlighets- och sekretesslagen (2009:400) hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den nya lagen anges att personuppgifter får behandlas, om

det är nödvändigt för att tillhandahålla information till riksdagen och regeringen.

Det bör även anges att uppgifter får behandlas för att lämnas ut till annan, om Kustbevakningen enligt lag eller förordning är skyldig att tillhandahålla sådan information. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen (2010:361). Med annan avses i sammanhanget såväl myndigheter som enskilda. Med skyldighet att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Den bestämmelsen får anses innefatta en sådan skyldighet att lämna uppgifter som avses i den här föreslagna bestämmelsen (jfr prop. 2009/10:85 s. 121). Uppgiftsskyldighet gentemot enskilda finns bl.a. i regleringen av förundersökningsförfarandet.

Kustbevakningen anser att en motsvarande bestämmelse som återfinns i polisdatalagen med möjlighet för regeringen att meddela föreskrifter om behandling av personuppgifter för att tillhandahålla information till konkursförvaltare och för att tillhandahålla information om efterlysta personer, bör införas i den nya lagen. En sådan bestämmelse finns inte i nuvarande regelverk för Kustbevakningen. Regeringen konstaterar att konkursförvaltare har en lagstadgad skyldighet att underrätta allmän åklagare om en gäldenär misstänks för visst brottsligt förfarande. Ett sådant samband som finns mellan konkursförvaltare och polisiär verksamhet finns däremot inte för Kustbevakningens del. Vare sig i fråga om tillhandahållande av information till konkursförvaltare eller då det gäller efterlysta personer anser regeringen att det i detta lagstiftningsärende finns underlag som utvisar att Kustbevakningen har behov av att regeringen meddelar föreskrifter på det sätt Kustbevakningen angett. Emellertid kan konstateras att det trots detta är möjligt att behandla dylika personuppgifter i ett enskilt fall, under förutsättning att ändamålet inte är oförenligt med det ändamål, för vilket uppgifterna samlades in.

Hänvisningar till S10-3-1

11. Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten

Hänvisningar till S11

  • Prop. 2011/12:45: Avsnitt 10.2.1

11.1. Uppgifter som får göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet

Hänvisningar till S11-1

  • Prop. 2011/12:45: Avsnitt 4

11.1.1. Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: I Kustbevakningens arbete som avser att förebygga, förhindra och upptäcka brottslig verksamhet ska sådana personuppgifter få göras gemensamt tillgängliga som kan antas ha samband med misstänkt brottslig verksamhet som antingen innefattar brott

för vilket det är föreskrivet fängelse i ett år eller däröver, eller som sker systematiskt.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Datainspektionen anför att behandling av personuppgifter i underrättelseverksamhet är särskilt känslig ur integritetssynpunkt varför det närmare bör belysas vilka konkreta behov Kustbevakningen har av att kunna behandla sådana uppgifter, vilken typ av brottslig verksamhet det är som avses, vilka problem skulle uppkomma om sådan behandling inte fick ske och vilka konkreta effektivitetsvinster det är som förutses.

Skälen för regeringens förslag

Den brottsliga verksamheten måste vara av allvarligare slag

Regeringen har i avsnitt 9.2 redogjort för de utgångspunkter och förslag som bör gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga. I det sammanhanget har regeringen berört det faktum att behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i den enskildes personliga integritet. Det är därför av vikt att begränsa möjligheterna till sådan behandling till de fall där behovet av att göra informationen gemensamt tillgänglig är mera påtagligt.

En första fråga är om den brottsliga verksamhet som underrättelsearbetet avser måste vara av allvarligare slag för att personuppgifter ska få göras gemensamt tillgängliga.

Enligt lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet får uppgifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i minst två år eller mer eller brott som sker systematiskt, har utövats eller kan komma att utövas (12 § första stycket 1).

Sedan tillkomsten av lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet och remitteringen av betänkandet SOU 2006:18 om Kustbevakningens personuppgiftsbehandling har emellertid ny registerlagstiftning på det brottsbekämpande området tillkommit, främst den nya polisdatalagen. I propositionen som föregick den lagen (prop. 2009/10:85 s. 132 f.) kom regeringen, efter ingående överväganden kring om gränsen skulle sättas vid ett eller två års fängelse, till ett annat resultat än vad som gäller enligt lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen konstaterade därvid att, om gränsen drogs vid ett i stället för vid två års fängelse, så innebär det bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en annan straffskala än brottsbalksbrott. Samtidigt är det fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Vidare påpekades det faktum, att ju mindre allvarlig brottslig verksamhet det är fråga om desto mindre är som regel behovet av att sprida uppgifter, och att polisen ansvarar för att tillgången till uppgifter begränsas till den personal som behöver ha tillgång till dem för att

kunna utföra sina arbetsuppgifter. Sammanfattningsvis ansåg regeringen att det i verksamhet för att förebygga, förhindra och upptäcka brott skulle vara möjligt att göra uppgifter gemensamt tillgängliga när den brottsliga verksamheten innefattar brott med ett års fängelse i straffskalan. Regeringen anser, i likhet med vad som angetts i promemorian, att det inte finns anledning att frångå denna bedömning i detta lagstiftningsärende. Kustbevakningens verksamhet med att förebygga, förhindra och upptäcka brottslig verksamhet omfattar i stor utsträckning brott som regleras inom specialstraffrätten och som har ett års fängelse i straffskalan. För att effektivt kunna bedriva nyss nämnda verksamhet och upprätthålla ett fungerande samarbete med polisen och andra brottsbekämpande myndigheter, har Kustbevakningen därför ett behov av att göra uppgifter gemensamt tillgängliga när den brottsliga verksamheten innefattar brott med ett års fängelse i straffskalan. Som konstaterades i ovannämnd proposition minskar som regel behovet av att sprida uppgifter ju lindrigare brottsligheten är. Även vid brott med ett års fängelse i straffskalan finns givetvis behov av särskilda skyddsregler för att upprätthålla skyddet för den personliga integriteten. Regeringen kommer att lämna en redogörelse för sådana skyddsregler nedan. Med beaktande av dessa skyddsregler anser regeringen att Kustbevakningens behov av att göra uppgifterna gemensamt tillgängliga uppväger risken för intrång i den personliga integriteten. I Kustbevakningens arbete som avser att förebygga, förhindra och upptäcka brottslig verksamhet ska således sådana personuppgifter få göras gemensamt tillgängliga, som kan antas ha samband med misstänkt brottslig verksamhet och som innefattar brott för vilket är föreskrivet fängelse i ett år eller därutöver. Därmed omfattas bl.a. sådana brott som sjöfylleri och fiskebrott enligt fiskelagen (1993:787). Betänkandet Med fiskevård i fokus – en ny fiskevårdslag (SOU 2010:42) tar bl.a. upp straffbestämmelser på fiskets område. Betänkandet behandlas för närvarande i Regeringskansliet.

Det förekommer även brottslighet där ett års fängelse inte ingår i straffskalan för det enskilda brottet, men där verksamheten kan misstänkas ske systematiskt. Det kan t.ex. röra sig om en person som för in en mindre mängd cigaretter, vilka hade fått införas om de var avsedda för privat bruk. Personen i fråga gör dock så frekventa resor att den totala mängden infört gods ger anledning att anta att det inte är för privat bruk utan för återförsäljning som införseln sker, s.k. myrtrafik. Ytterligare exempel på brottslighet som sker systematiskt och där Kustbevakningen har behov av att behandla personuppgifter är ringa brott mot lagen (2006:263) om transport av farligt gods, tjuvfiske i Sveriges ekonomiska zon och befälhavare som vid upprepade tillfällen använder fartyg i strid med förbud enligt lagen (1980:424) om åtgärder mot förorening från fartyg. Enligt regeringens mening talar intresset av en effektiv brottsbekämpning för att Kustbevakningen bör kunna göra även personuppgifter, som har samband med misstänkt brottslig verksamhet som sker systematiskt, gemensamt tillgängliga. Regeringen föreslår att en sådan bestämmelse införs i den nya lagen. En motsvarande ordning gäller för Tullverket och polisen. Regeringen anser att enhetlighet bör råda mellan de brottsbekämpande myndigheterna för att underlätta samverkan. För det fall Kustbevakningen inte skulle få göra ifrågavarande uppgifter gemensamt tillgängliga riskerar samverkan mellan myndigheterna att ta betyd-

ligt längre tid i anspråk. Förutsättningarna för att vidta åtgärder försvåras också och vidare ökar risken att brottsliga beteenden överhuvudtaget inte upptäcks. Effektivitetsvinster uppnås genom att Kustbevakningen i ett tidigt skede kan stävja ett brottsligt förfarande och förhindra de skadliga effekterna av ett sådant. Som Datainspektionen poängterat är behandling av nu aktuellt slag särskilt känslig ur integritetssynpunkt och nedan behandlas regeringens förslag till utformning av skyddsregler. Sammanfattningsvis anser regeringen att Kustbevakningens behov, effekterna för den brottsbekämpande verksamheten och samverkan i denna uppväger risken för intrång i den personliga integriteten.

Uppgifterna måste antas ha samband med den brottsliga verksamheten

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Även uppgifter om den som inte kan misstänkas måste emellertid kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat Kustbevakningen om den misstänkta brottsliga verksamheten, uppgifter om en juridisk person som äger ett fartyg med hjälp av vilket den misstänkt brottsliga verksamheten bedrivs och uppgifter om anhöriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att uppgifter av detta slag ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet.

Förslaget innebär att det i vissa fall kommer att vara möjligt att göra uppgifter om personer som inte själva är misstänka för vare sig ett konkret brott eller för att delta i viss brottslig verksamhet gemensamt tillgängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. bestämmelser som förhindrar omotiverad spridning.

Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad brottslighet (12 § första stycket 2 och andra stycket). Dessutom uppställs den begränsningen att endast de som arbetar med ärendet ska få ha direkt tillgång till uppgifterna. Begränsningar av detta slag skulle dock enligt regeringens uppfattning i oproportionerligt hög grad komma att begränsa Kustbevakningens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma personer är inblandade i flera olika brottsliga aktiviteter som pågår i skilda delar av landet vid en och samma tidpunkt. Om endast de som arbetar med det ärende där en viss uppgift har kommit fram ges tillgång till uppgiften, kommer det normalt inte att vara möjligt att upptäcka sambanden med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en person som förekommer som ”kringperson” i flera utredningar om likartad brottslig verksamhet. De särskilda risker för intrång i den personliga integriteten som detta skulle kunna innebära bör kunna motverkas genom

bl.a. begränsningar i möjligheterna att genom sökning få fram särskilda slag av uppgifter. Regeringen återkommer till den frågan i avsnitt 11.3. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare slag av brottslig verksamhet som behandlingen sker, vilket utvecklas i avsnitt 11.2. Av stor betydelse i detta sammanhang är också den allmänna bestämmelse som regeringen har föreslagit i avsnitt 9.4 om att endast de personer som behöver uppgifterna för sitt arbete får ges tillgång till dem.

Regeringen anser, vid en avvägning mellan intresset av en effektiv brottsbekämpning och enskildas intresse av skydd för den personliga integriteten, att det integritetsintrång behandling innebär, med beaktande av de integritetsskyddsregler som föreslås i fråga om inte misstänkta personer, vägs upp av de effektivitetsvinster som kan göras om Kustbevakningen tillåts göra uppgifterna gemensamt tillgängliga i verksamheten. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör därför kunna behandlas gemensamt inom Kustbevakningen även utanför ett visst ärende. Samma ordning kommer att gälla för polisens del (jfr 3 kap. 2 § polisdatalagen och prop. 2009/10:85 s. 136 f.).

Hänvisningar till S11-1-1

11.1.2. Utreda och beivra brott

Regeringens förslag: Personuppgifter i ärenden om utredning eller beivrande av brott ska få göras gemensamt tillgängliga.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag: Enligt regeringens mening finns det ett uppenbart behov för Kustbevakningen att kunna göra uppgifter som behandlas för att utreda och beivra brott gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgängliga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersökningar. Enligt regeringens uppfattning finns det inte anledning att ställa upp något krav på att det ska vara fråga om utredning av allvarligare brott för att sådan behandling ska vara tillåten.

Av lagen bör det således framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga.

Samma förutsättningar bör gälla för Kustbevakningen som för polisen, dvs. att uppgifter som förekommer i ett ärende om utredning eller beivrande av brott ska få göras gemensamt tillgängliga. En sådan ordning ligger även i linje med den reglering som gäller för Kustbevakningen i dag där åtkomsten till personuppgifter i kustbevakningsdatabasen, där nyss nämnda uppgifter behandlas automatiserat, är förbehållen de personer som p.g.a. sina arbetsuppgifter behöver ha tillgång till uppgifterna, 1113 §§ förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Dessutom försvåras möjligheten att i ett annat

sammanhang utnyttja uppgifter som behandlas inom ramen för en utredning om endast de personer som arbetar med ett ärende får ha direkt tillgång till uppgifterna.

I en brottsutredning kan det vara av avgörande betydelse att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att det blir möjligt att bedöma om det finns några samband mellan utredningarna. Uppgifter i en förundersökning måste således kunna göras gemensamt tillgängliga för andra än för dem som arbetar med förundersökningen. Regeringen vill i sammanhanget framhålla att det i de flesta fall endast är fråga om att göra vissa typer av uppgifter tillgängliga för andra än dem som arbetar med en viss förundersökning, inte att göra hela förundersökningen tillgänglig.

Det förhållandet att det öppnas en möjlighet att göra uppgifter om utredning av brott gemensamt tillgängliga innebär naturligtvis inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt över huvud taget inte göras tillgängliga för andra än dem som arbetar med förundersökningen. I vilken utsträckning möjligheten bör utnyttjas överlämnas till Kustbevakningen att bestämma i det enskilda fallet.

Hänvisningar till S11-1-2

11.1.3. Uppgifter i det internationella samarbetet

Regeringens förslag: Uppgifter i det internationella samarbetet ska få göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet, om det krävs för att fullgöra den aktuella förpliktelsen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget.

Skälen för regeringens förslag: En särskild fråga är hur man ska se på möjligheten att göra uppgifter gemensamt tillgängliga när det gäller internationellt samarbete. Regeringen anser att man i princip bör kunna utgå från samma kriterier i det arbetet, som vid personuppgiftsbehandling för nationella behov.

Kustbevakningens internationella kontakter är inte lika omfattande som polisens, där det förekommer dagligt utbyte via t.ex. Interpol av information om exempelvis stulna pass, stulna fordon, stulen konst och efterlysta personer. Interpol för olika register över sådana uppgifter och medlemsstaterna utbyter fortlöpande information med varandra. Även Kustbevakningen deltar i Interpolsamarbetet.

I Sverige hanteras det dagliga Interpolsamarbetet av Enheten för internationellt polissamarbete (IPO) som är en del av Rikskriminalpolisen under Rikspolisstyrelsen. IPO fungerar som kontaktpunkt vid allt internationellt polisiärt samarbete som inte sker genom direktkontakter mellan myndigheterna. Där samordnas bland annat Interpol-, Europol- och Schengensamarbetet samt det nordiska polis- och tullsamarbetet. IPO utgör en länk till internationella underrättelsekanaler och myndigheter. Vid enheten bearbetas och vidarebefordras information. Personalen på IPO har tillgång till en mängd register, både nationella och internationella, till exempel register över stulna pass och DNA-, fordons- och be-

lastningsregister. Vanliga åtgärder som går genom Interpol är begäran om förhör, efterlysningar av försvunna och häktade personer, fastställande av personers identitet och uppgifter om fordon som sätts i samband med brott.

När en svensk myndighet sänder en internationell efterlysning till Interpol sker detta som ett led i den svenska brottsbekämpningen. Uppgifterna har då gjorts gemensamt tillgängliga med stöd av de regler som föreslås i avsnitt 11.1.1 och 11.1.2.

När Kustbevakningen tar emot uppgifter från andra länder om internationella efterlysningar beror det på att den andra staten vill ha bistånd med upplysningar om var det efterlysta föremålet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen om denne påträffas i Sverige. Upplysningarna om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i princip all personal som berörs av en sådan begäran. För att Kustbevakningen ska kunna fullgöra de uppgifter som följer av internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt tillgängliga är förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i allmänt informationsutbyte kan behöva behandlas gemensamt för att Kustbevakningen ska kunna bidra med sina kunskaper.

Sammanfattningsvis bör den nya lagen ge utrymme för Kustbevakningen att göra uppgifter som behandlas inom ramen för internationellt samarbete gemensamt tillgängliga. Mot bakgrund av de särskilda risker för intrång i den enskildes personliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgängliga endast om det krävs för att förpliktelsen ska kunna fullgöras. Regeringen föreslår att det tas in en uttrycklig bestämmelse om detta i den nya lagen.

Hänvisningar till S11-1-3

  • Prop. 2011/12:45: Avsnitt 19.1

11.1.4. Uppgifter som rapporteras till Kustbevakningens ledningscentraler

Regeringens förslag: Uppgifter som rapporteras till Kustbevakningens ledningscentraler ska få göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Göta hovrätt har ifrågasatt lämpligheten av att använda uttrycket ledningscentral.

Skälen för regeringens förslag: I varje region inom Kustbevakningen finns en ledningscentral från vilken den operativa verksamheten inom myndigheten styrs. Vid ledningscentralen finns ett vakthavande befäl i tjänst dygnet runt. Frågor och larm kommer in till ledningscentralerna från såväl privatpersoner som samverkande myndigheter och organisat-

ioner, t.ex. Sjöräddningscentralen. Samtal till SOS Alarm kan också kopplas till Kustbevakningens ledningscentraler.

Ledningscentralerna tar emot och vidarebefordrar inkommande larm och andra meddelanden samt vidtar och samordnar åtgärder med anledning av larm. Till ledningscentralerna rapporterar kustbevakningstjänstemännen in händelser, iakttagelser och utförda uppdrag.

När en ledningscentral tar emot larm och meddelanden, antecknas det som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, exempelvis om en kustbevakningspatrull skickas till platsen där något har inträffat, t.ex. en plats där ett brott påstås ha begåtts. När patrullen har varit på platsen, rapporterar den till ledningscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Uppgifter registreras om brottsplats eller plats för händelsen, tidpunkt för och typ av händelse samt övrig information som kan vara till hjälp vid en kommande insats. Bland uppgifterna finns också personuppgifter.

Uppgifterna i ledningscentralerna används normalt inte i den brottsbekämpande verksamheten för att söka efter information. Det är dock möjligt att använda uppgifterna för att få fram information till en pågående brottsutredning, t.ex. om vad som har rapporterats in till Kustbevakningen under en viss kortare tidsperiod eller på en viss plats.

Det är angeläget att Kustbevakningen på det sätt som beskrivits ovan kan dokumentera händelser och iakttagelser som har rapporterats till myndighetens ledningscentraler. För att en sådan dokumentation ska kunna användas som informationskälla är det också nödvändigt att uppgifterna får göras gemensamt tillgängliga. Som framgått av redogörelsen ovan kan emellertid det som rapporteras innehålla vilka personuppgifter som helst. Meddelandena kan således mycket väl innehålla uppgifter som inte annars får göras gemensamt tillgängliga enligt bestämmelserna i den här föreslagna lagen. Det kan t.ex. röra sig om uppgifter om personer som enbart misstänks för brottslig verksamhet som inte innefattar brott för vilket är föreskrivet ett års fängelse eller mer. Mot den bakgrunden bedömer regeringen att det föreligger ett behov av att på ett tydligt sätt reglera sådana situationer bl.a. för att underlätta den praktiska hanteringen av personuppgiftsbehandling som sker vid Kustbevakningens ledningscentraler. Göta hovrätt har ifrågasatt lämpligheten av att i lag använda uttrycket ledningscentral, och pekat på att motsvarande bestämmelse i polisdatalagen använder sig av uttrycket kommunikationscentral. Regeringen anser emellertid att uttrycket ledningscentral bör användas i den föreslagna lagen, eftersom det är ett vedertaget begrepp i Kustbevakningens verksamhet och tydligt beskriver de aktuella tjänstemännens uppgifter, nämligen att bl.a. leda den minutoperativa verksamheten. Regeringen föreslår således att det i den nya lagen tas in en särskild bestämmelse som ger ett generellt stöd för att få göra sådana uppgifter som har rapporterats till Kustbevakningens ledningscentraler gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet.

Hänvisningar till S11-1-4

  • Prop. 2011/12:45: Avsnitt 19.1

11.2. Särskilda upplysningar för gemensamt tillgängliga uppgifter

Regeringens förslag: Vid behandling av gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål uppgifterna behandlas. Om en uppgift direkt kan hänföras till en person som inte är misstänkt vare sig för visst brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet, ska det på samma sätt framgå att personen i fråga inte är misstänkt.

Uppgifter som avser en person som kan antas ha samband med misstänkt brottslig verksamhet, ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt.

Promemorians förslag överrensstämmer med regeringens. Remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget.

Skälen för regeringens förslag

Upplysning om ändamålet med behandlingen

Både integritetsskyddsskäl och verksamhetsskäl talar för att det av den nya lagen bör framgå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas.

Från integritetssynpunkt har en precisering av för vilket ändamål en personuppgift behandlas betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. En upplysning om ändamålet med behandlingen kan vidare vara en förutsättning för att tillsynsmyndigheterna ska kunna kontrollera att viss behandling är berättigad och sker i enlighet med lagens bestämmelser.

Vad avser verksamhetsskälen är information om ändamålet med behandlingen viktig för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänsteman ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål.

Regeringen föreslår därför, i likhet med promemorian, att en särskild bestämmelse tas in i den nya lagen som innebär att när en personuppgift behandlas, det antingen genom en särskild upplysning eller på något annat sätt ska framgå för vilket närmare ändamål behandlingen sker.

I linje med utgångspunkten att några särskilda upplysningar inte behövs när det ändå framgår varför en viss uppgift behandlas, föreslår regeringen inte några motsvarande bestämmelser för uppgifter som inte har gjorts gemensamt tillgängliga. Om t.ex. uppgifter förekommer i en enskild tjänstemans dator eller behandlas i en liten, klart avgränsad projektgrupp vet handläggande tjänsteman varifrån uppgiften har kommit, var-

för den behandlas och om en omnämnd person är misstänkt för att utöva brottslig verksamhet eller inte (jfr prop. 2009/10:85 s. 147).

Upplysning om att personen inte är misstänkt för brott eller brottslig verksamhet

Av stor betydelse för skyddet av den personliga integriteten är att Kustbevakningen behandlar personuppgifter på ett sådant sätt att det klart framgår om en person är misstänkt för brott eller brottslig verksamhet eller om behandlingen sker av någon annan anledning.

Regeringen föreslår därför att det i lagen slås fast att uppgifter om en person som inte är misstänkt vare sig för ett konkret brott eller för att ha utövat eller komma att utöva brottslig verksamhet ska förses med en särskild upplysning om detta förhållande. Det kan anmärkas att det redan i dag finns krav på särskilda upplysningar vid behandlingen av personuppgifter inom Kustbevakningen. Av 10 § andra stycket förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen framgår nämligen att vissa uppgifter om en person som behandlas i den brottsbekämpande verksamheten ska förses med en särskild upplysning bl.a. om att personen inte misstänks för något visst brott eller om en uppgiftslämnares trovärdighet och uppgifternas riktighet i sak.

I promemorian har framhållits att utgångspunkten när det kommer till särskilda upplysningar är att sådana inte behöver lämnas när det av sammanhanget inte kan uppstå några tvivel om varför uppgifterna i fråga behandlas och det därför inte föreligger risk för att någon av misstag kan uppfattas som misstänkt för brott eller för brottslig verksamhet. Regeringen instämmer i promemorians bedömning. Det kan bl.a. av sammanhanget på annat sätt klart framgå att personen inte är registrerad som misstänkt för brott eller brottslig verksamhet. I en förundersökning kan det t.ex. anges att någon är försvarare för en misstänkt person eller så kan det av uppgiftssamlingens natur klart framgå att de personer som ingår i samlingen inte är registrerade som misstänka för brottslig verksamhet.

Det kan alltså av omständigheterna framgå att en uppgift avser en person som t.ex. inte är misstänkt. Vidare behöver inte enskilda uppgifter i förhör, inlagor eller i bild- och ljudupptagningar förses med särskilda upplysningar, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd – eller på bild synlig – person inte är misstänkt. Det är, som tidigare nämnts, framför allt när uppgifter presenteras utanför sitt sammanhang som det kan behövas särskilda upplysningar.

En viss uppgiftssamling kan också vara sådan till sin natur att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta, exempelvis en förteckning över målsägande.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter

som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. I 16 § andra stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Numera finns en motsvarande bestämmelse för polisens del i 3 kap. 4 § andra stycket polisdatalagen (2010:361).

Enligt regeringens förslag, som överensstämmer med promemorians, kommer det att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande grad av tillförlitlighet. Mot den bakgrunden finns det fog för att i den nya lagen ställa upp ett krav på tillläggsupplysningar motsvarande 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 3 kap. 4 § andra stycket polisdatalagen. I den nya lagen bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Vid personuppgiftsbehandling inom Kustbevakningens verksamhet uppställs redan i dag vissa krav på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (10 § andra stycket förordningen om behandling av personuppgifter inom Kustbevakningen).

Regeringen föreslår – i likhet med promemorian – att bestämmelsen endast ska gälla för uppgifter som har gjorts gemensamt tillgängliga. Behovet av en upplysning av detta slag är nämligen ganska litet så länge den behandlade uppgiften inte har gjorts gemensamt tillgänglig.

När det gäller personuppgiftsbehandling som sker inom ramen för en förundersökning som rör ett konkret brott, framgår det som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten. Regeringen föreslår därför att bestämmelsen inte bör gälla personuppgiftsbehandling inom ramen för brottsutredning utan enbart underrättelseverksamhet.

Slutligen bör det finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen framstår som överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor. Beträffande sådana uppgifter menar regeringen att en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak saknar betydelse.

Sammanfattningsvis föreslår regeringen att det bör framgå av den nya lagen att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet, och som gjorts gemensamt tillgängliga, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter skulle sakna betydelse.

Hänvisningar till S11-2

11.3. Sökbegränsningar för gemensamt tillgängliga uppgifter

Hänvisningar till S11-3

11.3.1. Känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Det ska dock inte finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget.

Skälen för regeringens förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, bl.a. uppgifter som avslöjar etniskt ursprung, politiska åsikter och religiös eller filosofisk övertygelse. Detta kommer till uttryck bl.a. genom bestämmelser i dataskyddsdirektivet och dataskyddsrambeslutet (se avsnitt 4.2.4 och avsnitt 4.5.1) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 9.7 föreslås därför att s.k. känsliga personuppgifter (jfr 13 § personuppgiftslagen [1998:204]) som huvudregel inte får behandlas, men att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter bl.a. när det är absolut nödvändigt för syftet med behandlingen. Det innebär att det i Kustbevakningens olika uppgiftssamlingar kommer att finnas känsliga personuppgifter.

Sökning på känsliga personuppgifter inger särskilda betänkligheter. Förutom innehållet i och åtkomst till sådana uppgifter är frågan om på vilket sätt uppgifter kan sammanställas en av de viktigare från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. En metod som kan användas för att förhindra att det görs oönskade sammanställningar är att begränsa sökmöjligheterna.

Det är framför allt då det gäller känsliga personuppgifter som det av integritetsskäl finns anledning att ha rättsliga begränsningar för vilka uppgifter som ska få användas vid sökning efter uppgifter. Enligt regeringens mening, som överrensstämmer med promemorians, bör det inte vara möjligt att använda känsliga personuppgifter som sökbegrepp vid eftersökande av information inom ramen för Kustbevakningens verksamhet, oavsett för vilket ändamål uppgifterna behandlas. Bestämmelsen bör dock utformas så, att den endast omfattar sökning i gemensamt tillgängliga uppgifter. Uppgifter som beskriver en persons utseende bör dock få användas som sökbegrepp. Det gäller signalementsuppgifter om t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken såsom födelsemärken, blindhet och tatueringar. Detta – som överensstämmer med vad som gäller enligt 20 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 3 kap. 5 § polisdatalagen (2010:361) – föreslår regeringen komma till uttryck i den nya lagen. Som anförts i det föregående bör dock uppgifter

som beskriver en persons utseende alltid utformas på ett objektivt sätt med respekt för människovärdet.

Vidare bör framhållas att bestämmelsen inte hindrar sökning på brottsrubriceringar. Detta bör tydliggöras i lagtexten.

Hänvisningar till S11-3-1

11.3.2. Sökning på namn, personnummer eller samordningsnummer m.m.

Regeringens förslag: Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, ska endast sådana uppgifter få tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4. har anmält ett brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst. I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till uppgifterna.

De nu angivna begränsningarna ska dock inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

I lagen ska det också upplysas om att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum.

I lagen ska det vidare upplysas om att regeringen meddelar föreskrifter om ytterligare undantag från sökbegränsningar.

Promemorians förslag överrensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Datainspektionen påpekar att det inte föreslås sökbegränsningar vare sig ifråga om att använda känsliga personuppgifter som sökbegrepp eller att söka på uppgifter om frikända personer beträffande sådana uppgifter som inte görs gemensamt tillgängliga i den brottsbekämpande verksamheten. Inspektionen menar att konsekvenserna för den personliga integriteten med en sådan lösning bör utredas vidare. Kustbevakningen noterar att det finns behov av att ha samma lättnader i sökbegränsningarna som anges i polisdatalagen även i myndighetens underrättelseverksamhet, dvs. att det även i denna verk-

samhet ska finnas en möjlighet att söka uppgifter för att förebygga, förhindra eller upptäcka brottslighet eller utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver. Kustbevakningen anser därför att 4 kap. 6 § kustbevakningsdatalagen bör utformas på samma sätt som 3 kap. 7 § polisdatalagen i detta avseende.

Skälen för regeringens förslag

Får sökning göras på personnummer och liknande uppgifter?

I avsnitt 11.3.1 har regeringen behandlat användningen av känsliga personuppgifter som sökbegrepp. Regeringen har där föreslagit att känsliga personuppgifter inte bör få användas som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga, men att det inte ska finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Uppgifter som inte görs gemensamt tillgängliga behandlas av en avgränsad krets av tjänstemän. Regeringen föreslår i avsnitt 9.4 att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Risken för spridning och intrång i den personliga integriteten är enligt regeringens bedömning så ringa i dessa fall att bestämmelser om sökbegränsningar för uppgifter som inte görs gemensamt tillgängliga därmed inte föreslås. Integritetsskyddet för uppgifter som inte görs gemensamt tillgängliga upprätthålls genom den allmänna bestämmelsen om behandling av känsliga uppgifter i andra kapitlet i den nya lagen (avsnitt 9.7). Detta förslag överensstämmer med vad som gäller enligt polisdatalagen.

Utgångspunkten när det kommer till utformningen av sökbegränsningar för gemensamt tillgängliga uppgifter i Kustbevakningens brottsbekämpande verksamhet är att myndigheten inte vid varje tillfälle och varje situation ska kunna göra en sökning som kan leda till en kartläggning av om en viss person förekommer i denna del av verksamheten. Frågan är då hur Kustbevakningens informationsinhämtning ska begränsas.

Det är självklart att Kustbevakningen behöver göra sökningar bl.a. med hjälp av personnummer. Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 19 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväxling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida de personer som figurerar i det ärendet också är eller har varit misstänkta i andra ärenden. Det ökar väsentligt möjligheterna att förhindra, upptäcka och beivra brott. Regeringen anser därför att den nya lagen bör ge utrymme för sökningar på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar.

Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till särskilda risker från integritetssynpunkt. En sökning på exempelvis ett personnummer ger, i vart fall om den sker i en större informationsmängd av den karaktär som kan finnas i den brottsbekämpande verksamheten, möjlighet till ingående kartläggningar av en persons privata förhållanden. Mot den bakgrunden bör en obegränsad möjlighet att göra sökningar med hjälp av detta slag av uppgifter inte komma i fråga. En bestämmelse som innebär att namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller viss brottslig verksamhet, medför att sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt eller en brottsutredning inte tilllåts. I dessa fall kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet. För det fall Kustbevakningen inte skulle få denna möjlighet finns det risk för att det brottsbekämpande arbete myndigheten ansvarar för och samarbetet med andra myndigheter inte skulle kunna bedrivas tillfredsställande. Konsekvenserna härav kan bli att viss brottslighet inte uppmärksammas och åtgärdas. Även med beaktande av skyddet för den personliga integriteten anser regeringen att Kustbevakningens behov av ifrågavarande sökmöjligheter väger tyngre. Mot bakgrund härav bör möjligheten att söka på namn, personnummer och liknande identitetsuppgifter också omfatta andra än misstänkta personer i vissa fall.

När det kommer till uppgifter om juridiska personer behandlas sådana i Kustbevakningens verksamhet bl.a. på grund av att juridiska personer inte sällan äger fartyg och andra transportmedel. Vid utredning och kartläggning av brott är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i Kustbevakningens brottsbekämpande arbete. Det finns således ett tydligt behov av att kunna söka på uppgifter om juridiska personer. Behovet av integritetsskydd är enligt regeringens bedömning inte lika stort för juridiska personer som för fysiska personer. Till detta kommer att uppgifter om juridiska personer i stor utsträckning redan förekommer i offentliga register, bl.a. hos Bolagsverket. I dag är det även möjligt att få tillgång till sådana uppgifter via internet. Samma skäl gör sig gällande beträffande fordonsnummer och fartygsnamn. Regeringen finner därför inte skäl att föreslå några bestämmelser som begränsar möjligheten att göra sökningar beträffande juridiska personer, fordonsnummer och fartygsnamn.

Vilka uppgifter bör få tas fram?

Vid sökningar på namn, personnummer och liknande identitetsuppgifter bör enbart vissa slag av uppgifter om den person som sökningen avser kunnas tas fram. En regel om sökbegränsningar måste dock utformas så att uppgifter som det generellt sett finns ett stort behov av får tas fram.

Frågan är då vilka uppgifter som är sådana att de bör ingå i träffbilden vid en sökning som omfattas av sökbegränsningar.

Först och främst finns det i verksamheten ett stort behov av uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för allvarlig brottslig verksamhet. Med allvarlig brottslig verksamhet avses här detsamma som i avsnitt 11.1.1, dvs. verksamhet som innefattar brott för vilket kan följa fängelse i ett år eller däröver. Det intrång som möjligheten att söka i de gemensamt tillgängliga uppgifterna leder till vägs enligt regeringen väl upp av den ökade effektivitet i brottsbekämpningen som regleringen avser att tillgodose. Vidare har Kustbevakningen i den brottsbekämpande verksamheten behov av att få fram uppgift om huruvida en person har anmält ett brott eller om han eller hon är målsägande eller vittne i en brottsutredning liksom av uppgift om en handling har lämnats in av eller expedierats till personen i fråga. Uppgifterna är typiskt sett mindre integritetskänsliga än uppgifter om dem som misstänks för brott, och sökmöjligheter samtidigt nödvändiga för att verksamheten ska kunna bedrivas på ett rationellt och ändamålsenligt sätt. Sådana sökningar bör därför vara tillåtna.

Även uppgiften att en person är anmäld försvunnen, har bedömts kunna möta ett ingripande med grovt våld eller är efterlyst är viktig information i Kustbevakningens arbete. Regeringen föreslår att sådana uppgifter också bör få tas fram vid en sökning.

Kustbevakningens underrättelseverksamhet avseende brott för vilket är föreskrivet fängelse i fyra år eller däröver kan inte jämföras med polisens, som har det huvudsakliga ansvaret för bekämpandet av sådan brottslighet. Även om behandling av personuppgifter för brottslighet av detta slag förekommer i Kustbevakningens verksamhet, torde det i dagsläget inte ske i så stor omfattning att Kustbevakningen har ett påtagligt behov av lättnader i sökbegränsningarna. Vid en avvägning mellan motstående intressen finns enligt regeringens uppfattning därför inte i nuläget skäl att införa ytterligare undantag från sökbegränsningar. De sökbegränsningar som föreslås är enligt regeringens bedömning väl avvägda och utgör ett skydd för den personliga integriteten.

Regeringen vill framhålla att det som nu har sagts endast avser begränsningar av den initiala sökningen. En allmän sökning som görs med hjälp av personnummer eller motsvarande identitetsbeteckning ska alltså, enligt regeringens förslag, endast ge uppgifter om huruvida vederbörande tillhör någon eller några av de kategorier som nyss har angetts. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska ytterligare uppgifter kunna tas fram genom en fortsatt behandling i den uppgiftsmängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av ändamålen i den föreslagna lagen.

De integritetsrisker som motiverar den föreslagna inskränkningen i möjligheten att söka fritt gör sig enligt regeringens mening dock inte på samma sätt gällande när det är fråga om sökningar i ett begränsat material. Den bör därför inte gälla vid sökning som sker inom ramen för ett visst ärende eller en viss handling.

För vissa delar av den brottsbekämpande verksamheten kan den av regeringen nu föreslagna begränsningsregeln emellertid leda till problem.

Det gäller t.ex. en del arbete som sker inom ramen för en begränsad undersökning och som avser vissa preciserade slag av brottslighet (t.ex. smugglingsbrott i en viss region). I sådant arbete upprättas ofta särskilda uppgiftssamlingar som syftar till att kartlägga brottsligheten. Endast de tjänstemän som deltar i undersökningen har tillgång till uppgiftssamlingarna i fråga. Enligt regeringens mening bör det vara möjligt för dessa att göra obegränsade sökningar. Regeringen föreslår därför att begränsningsregeln inte ska gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Möjligheten att vid en sökning få fram vissa typer av personuppgifter kan behöva begränsas ytterligare. Det kan t.ex. handla om personuppgifter av vilka det framgår att någon är eller har varit misstänkt för brott som förekommer i en nedlagd förundersökning eller underrättelseinformation, som typiskt sett är av mera integritetskänsligt slag. Enligt regeringens bedömning kan det därför i vissa fall finnas skäl att begränsa sökmöjligheterna till sådana uppgifter än mer. Sådana föreskrifter kan regeringen meddela med stöd av sin restkompetens enligt 8 kap. 7 § regeringsformen, om lagen inte utesluter det. Regeringen föreslår därför att det i lagen införs en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar av tillgången till sådana uppgifter.

12. Informationsutbyte i brottsbekämpande verksamhet

Hänvisningar till S12

  • Prop. 2011/12:45: Avsnitt 4, 10.3.1

12.1. Behovet av ett effektivt informationsutbyte mellan brottsbekämpande myndigheter

Regeringens bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna har inte haft något att invända mot regeringens bedömning.

Skälen för regeringens bedömning: Samarbetet mellan de brottsbekämpande myndigheterna har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot brottsligheten förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns hos andra brottsbekämpande myndigheter.

Uppdelningen av den brottsbekämpande verksamheten på flera fristående myndigheter har emellertid i stor utsträckning kommit att styra möjligheterna till informationsutbyte, eftersom det kan råda sekretess mellan myndigheterna. Det har i viss mån påverkat effektiviteten i brottsbekämpningen. Behovet av informationsutbyte mellan de brottsbekämpande myndigheterna är särskilt stort när det gäller att kartlägga och

begränsa organiserad brottslighet, men det finns även behov av sådant samarbete för att angripa brottslighet av mera vardagligt slag. Av samma skäl som det är viktigt att man inom Kustbevakningen på ett effektivare sätt än i dag kan tillgodogöra sig den information som finns inom den egna organisationen, är det viktigt att nyttiggöra information i samarbete med andra brottsbekämpande organ.

Möjligheten till informationsutbyte mellan olika myndigheter är således av central betydelse i det brottsbekämpande arbetet. Ett förbättrat informationsutbyte skapar bättre förutsättningar för att utnyttja de samlade resurserna effektivt och därmed också för att brott ska kunna klaras upp snabbare och i större utsträckning.

Mot de fördelar som ett ökat informationsutbyte innebär ska ställas att ett ökat flöde av uppgifter mellan myndigheter kan skapa större risker för intrång i den personliga integriteten. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskilds personliga förhållanden, riskera att leda till betydande intrång i den personliga integriteten. Ett väl fungerande informationsutbyte mellan brottsbekämpande myndigheter behöver emellertid inte vara till nackdel för de personer som berörs av en brottsutredning. Tvärtom kan såväl brottsoffer som misstänkta ibland ha ett gemensamt intresse av att brott klaras upp snabbt och att lagföring kommer till stånd i de fall där bevisningen är tillräcklig samt att felaktiga eller otillräckligt underbyggda brottsmisstankar avförs så snabbt som möjligt.

Risken för ökat intrång i den personliga integriteten genom informationsutbyte mellan myndigheter måste också ses i ljuset av att det numera i princip råder samma sekretess för uppgifter om brottsbekämpning hos alla berörda myndigheter. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna får sammantaget fördelarna anses väga över.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom de flesta av de uppgifter som behandlas inom olika myndigheters brottsbekämpande verksamhet skyddas av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekretesslagen (2009:400) finns emellertid ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter.

Med stöd av hänvisningar i offentlighets- och sekretesslagen finns det dessutom en möjlighet att meddela sekretessbrytande föreskrifter i andra lagar och förordningar, se 10 kap. 28 § offentlighets- och sekretesslagen. Regeringen har att överväga om sådana bestämmelser bör införas i den nya lagen. Behovet av sekretessbrytande bestämmelser behandlas i avsnitt 13.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myndigheter. Inom ramen för arbetet med rättsväsendets informationsförsörjning (i vilket Rikspolisstyrelsen, Kustbevakningen, Tullverket, Skatteverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Domstolsverket, Kriminalvården, Brottsförebyggande rådet, Brottsoffermyndigheten och Rättsmedicinalverket

deltar) pågår ett arbete som syftar till att införa ett elektroniskt, enhetligt strukturerat, informationsflöde i brottsmålsprocessen. Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna (se bl.a. SOU 2002:113, 2005:117 och 2006:18). Den gemensamma uppfattningen hos dessa utredningar har varit att en brottsbekämpande myndighet ska kunna lämna information till en annan sådan myndighet, om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet. Informationsutbytet sker i dag framförallt på manuell väg, efter en begäran från en myndighet i ett enskilt fall eller genom spontant uppgiftsutlämnande. Det kan röra sig både om utlämnande av uppgifter i pappersform och om olika former av elektroniskt utlämnande, t.ex. via e-post. I viss utsträckning förekommer utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst).

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Elektronisk åtkomst till uppgifter utan föregående begäran är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs.

Mot denna bakgrund står det enligt regeringen, vilket också konstaterats i promemorian, klart att det finns ett ökande behov av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna och att detta måste kunna tillgodoses genom ökad användning av elektronisk kommunikation. Regeringen har även i ett annat lagstiftningsärende framhållit att ett utökat elektroniskt informationsutbyte mellan myndigheter är ett nödvändigt steg i samhällets it-utveckling (prop. 2007/08:160 s. 49). Den nya lagen bör således underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den ska värna om den enskildes integritet.

En fråga som måste övervägas särskilt är i vilken form uppgifterna bör få lämnas ut, t.ex. om utlämnande bör få ske genom direktåtkomst. Den frågan behandlas i avsnitt 12.3. Utlämnande på medium för automatiserad behandling – både till svenska och utländska mottagare – har behandlats i avsnitt 9.8.

Hänvisningar till S12-1

12.2. Utgångspunkterna för informationsutbyte i det internationella samarbetet

Regeringens bedömning: Det internationella utbytet av information spelar en viktig roll för bekämpningen av framför allt allvarlig och gränsöverskridande brottslighet.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna har inte haft något att invända mot bedömningen.

Skälen för regeringens bedömning: Av samma skäl som ett ökat informationsutbyte mellan svenska myndigheter bidrar till en effektivare brottsbekämpning gör även internationellt samarbete i brottsbekämpande syfte det. Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslighet som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle exempelvis bekämpningen av narkotikasmuggling, människohandel, penningtvätt och många andra typer av allvarliga brott inte kunna bedrivas lika framgångsrikt.

Dessutom har Sverige, som framgått tidigare, genom olika internationella överenskommelser åtagit sig att överlämna information som härrör från brottsbekämpande verksamhet dels till brottsbekämpande myndigheter i andra länder, dels till Interpol och Europol.

Under senare år har det polisära samarbetet mellan länderna inom EU utvecklats snabbt. Rådets rambeslut 2006/960 RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Syftet med rambeslutet är att få till stånd ett snabbare och enklare informationsutbyte. Dessutom antogs i december 2008 dataskyddsrambeslutet. Syftet med rambeslutet är att säkerställa en gemensam hög skyddsnivå för enskilda personer. Dataskyddsrambeslutet, som ska vara genomfört inom två år efter ikraftträdandet, innebär att det finns bindande förpliktelser om dataskydd mellan medlemsstaterna när det gäller brottsbekämpning. En redogörelse för rambeslutet finns i avsnitt 4.5.1.

Det finns också anledning att i detta sammanhang framhålla att det brottsbekämpande samarbetet över gränserna i stor utsträckning sker som ett led i svenskt underrättelsearbete eller i svensk förundersökning.

Sammantaget innebär utvecklingen att Kustbevakningen kommer att ha ett fortsatt behov av att kunna utbyta uppgifter med andra länder. Regeringen anser därför – i likhet med promemorian – att en ny lag om behandling av uppgifter i Kustbevakningens verksamhet inte bör ställa upp onödiga hinder för ett sådant utbyte.

Hänvisningar till S12-2

12.3. Direktåtkomst till personuppgifter som behandlas i brottsbekämpande verksamhet

Hänvisningar till S12-3

12.3.1. Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser i lag eller förordning. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elektronisk form endera på s.k. medium för automatiserad behandling eller genom direktåtkomst.

Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av motta-

garen. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.

Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Denna fråga kommer därför att beröras mer ingående i det följande.

12.3.2. Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen har en rätt att medge sådan åtkomst. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. I några författningar tydliggörs detta genom bestämmelser som anger att myndigheten i fråga inte får medge andra direktåtkomst till sina register innan den har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt (se t.ex. 4 kap. 4 § förordningen [2001:650] om vägtrafikregister). Medgivandet av direktåtkomst förutsätter också att utlämnande får ske enligt den gällande sekretessregleringen för berörda myndigheter, vilket utvecklas närmare i avsnitt 13.2.

Hänvisningar till S12-3-2

  • Prop. 2011/12:45: Avsnitt 14.5

12.3.3. Regleringen av möjligheten till direktåtkomst

Regeringens förslag: Utlämnande genom direktåtkomst till uppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet ska vara tillåtet enbart i den utsträckning som följer av den föreslagna lagen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget.

Skälen för regeringens förslag: I förordningen om behandling av personuppgifter inom Kustbevakningen finns bestämmelser om direktåtkomst för vissa andra brottsbekämpande myndigheter till kustbevakningsdatabasen. För vissa av dessa myndigheter är tillgången begränsad.

I promemorian framhölls, mot bakgrund av att det i den brottsbekämpande verksamheten behandlas särskilt känsliga uppgifter, att det av den nya lagen bör framgå vilka myndigheter som kan få direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. Regeringen instämmer i promemorians förslag. Från integritetssynpunkt har en lösning där det i lagen framgår i vilken utsträckning direktåtkomst får medges fördelar. Det underlättar också för tillämparen att det i lagen anges i vilken utsträckning direktåtkomst kan förekomma. Regeringen föreslår mot den bakgrunden att utlämnande genom direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet ska vara tillåtet enbart i den utsträckning som följer av den föreslagna lagen.

Hänvisningar till S12-3-3

  • Prop. 2011/12:45: Avsnitt 9.2

12.3.4. De brottsbekämpande myndigheternas behov av direkt- åtkomst

Regeringens bedömning: Samtliga brottsbekämpande myndigheter har behov av att kunna få direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna har inte haft något att invända mot bedömningen. Skälen för regeringens bedömning: Enligt 18 § förordningen om behandling av personuppgifter inom Kustbevakningen får, vilket har nämnts ovan, övriga brottsbekämpande myndigheter ha direktåtkomst till uppgifter hos Kustbevakningen. För vissa myndigheter, dock inte polisen, är tillgången till uppgifter begränsad. I promemorian föreslås att

Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, polismyndigheterna, Tullverket och Skatteverket ska kunna medges direktåtkomst till uppgifter som Kustbevakningen behandlar i sin brottsbekämpande verksamhet. Regeringen konstaterar att en sådan modell är i överensstämmelse med det som gäller för polisens verksamhet, 3 kap. 8 § polisdatalagen (2010:361).

Regeringen har tidigare redogjort för vilken tillgång Kustbevakningen har till personuppgifter som övriga brottsbekämpande myndigheter behandlar. Här kan bl.a. nämnas att Kustbevakningen har direktåtkomst till

Schengens informationssystem. Sedan den 1 juli 2009 kan Kustbevakningen, i likhet med övriga brottsbekämpande myndigheter, medges direktåtkomst till misstankeregistret och belastningsregistret. Vidare får Kustbevakningen enligt den nya polisdatalagen medges direktåtkomst till register över DNA-profiler och fingeravtrycks- eller signalementsregister (4 kap. 10 § och 17 §polisdatalagen).

I promemorian anförs att det förhållandet att olika uppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter, inte nödvändigtvis innebär att det uppstår större risker från integritetssynpunkt med direktkopplingar mellan myndigheterna än vad som skulle ha varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet (jfr prop. 2004/05:164 s. 87). Regeringen kan dock konstatera att vittgående möjligheter till direktåtkomst kan öka riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Det är mot den bakgrunden som regeringen – på motsvarande sätt som promemorian – föreslår att särskilda regler ska gälla vid direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Regeringen konstaterar vidare, i likhet med promemorian, att direktåtkomst förekommer redan i dag mellan de brottsbekämpande myndigheterna. De brottsbekämpande myndigheterna måste kunna bedriva sitt arbete effektivt, något som flera remissinstanser framhållit. Modern teknik ökar möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan utnyttjas. De brottsbekämpande myndigheterna har ofta behov av att på ett snabbt och enkelt sätt få omedelbar tillgång till information genom direktåtkomst i stället för att på begäran få del av viss information. Verksamhetsskäl talar således för att ge de brottsbekämpande myndigheternas möjlighet till direktåtkomst.

Sammanfattningsvis bedömer regeringen att samtliga brottsbekämpande myndigheter har ett behov av att kunna få direktåtkomst till uppgifter som behandlas av Kustbevakningen i aktuell verksamhet.

12.3.5. Direktåtkomst för svenska brottsbekämpande myndigheter

Regeringens förslag: Rikspolisstyrelsen, polismyndigheter,

Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska kunna medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Havs- och vattenmyndigheten påpekar att myndigheten har ett betydande behov av uppgifter från Kustbevakningens brottsbekämpande verksamhet. Om direktåtkomst inte kan medges är det av största vikt att uppgifterna kan lämnas ut på medium för automatiserad behandling med föreskrifter om att mer än enstaka personuppgifter får lämnas ut till myndigheten.

Sveriges advokatsamfund ställer sig frågan om de myndigheter som nämns i 4 kap. 7 § inte kan vara verksamma inom t.ex. en liten myndighetsgränsövergripande projektgrupp med stöd av modern teknik – t.ex. en projektplats – om materialet inte först görs tillgängligt för en vidare krets.

Skälen för regeringens förslag

Bör övriga brottsbekämpande myndigheter kunna medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet?

Regeringen har i det föregående konstaterat att de brottsbekämpande myndigheterna ofta har ett påtagligt behov av att få direktåtkomst till den information som andra brottsbekämpande myndigheter behandlar. En möjlighet till direktåtkomst skapar bättre förutsättningar för ett framgångsrikt brottsbekämpande arbete. För en sådan möjlighet talar också kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att myndigheter avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av ett sådant utbyte kan konstateras redan på förhand.

Mot det nu sagda måste emellertid integritetsskyddsintresset vägas. Integritetsaspekterna måste tillmätas en central betydelse vid bedömningen av i vilken omfattning myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes förhållanden samlas in och bevaras uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtagligt torde intrånget uppfattas av den enskilde. Direktåtkomst kan också minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör i sig skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet.

En viktig aspekt vid den avvägning som här måste göras är sekretesskyddet för uppgifterna hos den mottagande myndigheten. Om sekretesskyddet hos den mottagande myndigheten är lika långtgående som sekretesskyddet hos den utlämnande myndigheten, behöver ett utlämnande av uppgifterna genom direktåtkomst inte innebära någon ökning av integritetsriskerna i förhållande till allmänheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den mottagande myndigheten kan begränsas till en liten krets personer, innebär detta givetvis

mindre integritetsrisker än om uppgifterna ges en vid spridning. En tredje betydelsefull aspekt är vilka bestämmelser om informationssäkerhet (exempelvis system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om det finns en hög informationssäkerhet hos den mottagande myndigheten, så att det kan garanteras att informationen når endast dem som har rätt till den, inger naturligtvis system för direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet.

Vad först gäller sekretessregleringen kan det konstateras att denna i princip ger samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om skydd för brottsbekämpningen i 18 kap.1 och 2 §§offentlighets- och sekretesslagen (2009:400) och bestämmelserna om skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet, som regleras i 35 kap. samma lag. Numera finns det också en särskild bestämmelse, 11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns även en särskild bestämmelse om vad som gäller vid konkurrens mellan den överförda sekretessen och den sekretess som är direkt tillämplig hos den mottagande myndigheten, 11 kap. 8 § offentlighets- och sekretesslagen.

Vad sedan gäller tillgången till uppgifterna hos den mottagande myndigheterna har regeringen – i likhet med promemorian – föreslagit att en enskild tjänsteman inom Kustbevakningen ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Regeringen bedömer att motsvarande begränsning bör gälla hos de myndigheter som genom direktåtkomst får tillgång till personuppgifter som Kustbevakningen behandlar. En särskild bestämmelse om detta bör införas i lagen. Det är inte rimligt att Kustbevakningen ska ha ansvar för den interna tillgången till uppgifter hos andra myndigheter efter det att uppgifter överlämnats dit genom direktåtkomst. En möjlighet till direktåtkomst behöver alltså inte innebära att annat än en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst anser regeringen att det ankommer på regeringen eller den myndighet som regeringen bestämmer att meddela särskilda föreskrifter om detta. En sådan bestämmelse finns numera för polisens del i 3 kap. 8 § polisdatalagen. Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras uppgifter, bör den myndighet som beslutar om dylik åtkomst vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, för tillsyn och för loggning av transaktioner. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa åtkomsten till olika

uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur åtkomsten har utnyttjats.

De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom bestämmelser om sekretess, om tillgång till uppgifter och om informationssäkerhet. Övervägande skäl talar därför enligt regeringen för att den föreslagna lagen bör tillåta att övriga brottsbekämpande myndigheter ges direktåtkomst till personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet.

Hur bör direktåtkomsten avgränsas?

En första förutsättning för att en myndighet ska kunna ges direktåtkomst till uppgifter i Kustbevakningens verksamt bör enligt regeringens mening vara att uppgifterna är gemensamt tillgängliga hos Kustbevakningen. Även om myndighetsöverskridande samarbete äger rum i mindre grupper, vilket Sveriges advokatsamfund reflekterat över, innebär informationsutbytet att uppgifter som behandlas av Kustbevakningen blir tillgängliga utanför det sammanhang där de ursprungligen har behandlats. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer begränsande reglerna om gemensamt tillgängliga uppgifter, exempelvis kravet på särskilda upplysningar och sökbegränsningar, alltid tillämpas. Direktåtkomst bör således endast medges för uppgifter som är gemensamt tillgängliga.

Ytterligare en förutsättning för att direktåtkomst ska kunna medges bör vara att den myndighet som beslutar om sådan åtkomst försäkrar sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, tillsyn och för loggning av transaktioner. En annan förutsättning bör vara att en enskild tjänsteman ska få ha direktåtkomst endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Frågor av detta slag regleras lämpligen i förordning eller myndighetsföreskrifter. Regeringen föreslår sammanfattningsvis, vilket överensstämmer med promemorians förslag, att de brottsbekämpande myndigheterna, dvs. Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska kunna medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet, dock att direktåtkomsten endast bör få avse personuppgifter som har gjorts gemensamt tillgängliga. Den myndighet som har getts möjlighet att få direktåtkomst till uppgifter har ansvaret för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Det ankommer på regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter som rör direktåtkomst m.m.

Som utvecklats tidigare har brottsbekämpande myndigheter ett påtagligt behov av att få tillgång till varandras uppgifter. Havs- och vattenmyndigheten är inte en brottsbekämpande myndighet och regeringen finner inte att de behov myndigheten hänvisar till är av sådan karaktär att direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet bör medges.

Hänvisningar till S12-3-5

  • Prop. 2011/12:45: Avsnitt 14.5

12.3.6. Direktåtkomst för utländska myndigheter m.fl.

Regeringens bedömning: Det behövs inga föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation ska få medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna har inte haft någon erinran mot regeringens bedömning.

Skälen för regeringens bedömning: Det ökade internationella samarbetet när det gäller brottsbekämpning aktualiserar frågan om elektronisk informationsöverföring till myndigheter i andra länder och internationella organisationer. De argument som regeringen har anfört i det föregående angående behovet av att utifrån integritetsskyddsskäl iaktta restriktivitet när det gäller att medge direktåtkomst gör sig naturligtvis i än högre grad gällande i fråga om åtkomst för utländska myndigheter och andra organ.

En svårighet med direktåtkomst är ju att den kan minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna.

Numera finns en stor del av Kustbevakningens information i automatiserad form. Regeringen konstaterar att det sker ett utbyte av personuppgifter i Kustbevakningens brottsbekämpande verksamhet, om än utlämnandet inte har samma omfattning eller är lika frekvent som i polisens verksamhet. Som regeringen har framhållit i det föregående är det av stor vikt att det regelverk som gäller på området så långt som det är möjligt utformas på ett likartat sätt. Vidare förutser regeringen en fortsatt utveckling av informationsutbytet, framför allt inom EU.

Enligt 2 kap. 21 § polisdatalagen meddelar regeringen föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet, om detta är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt. I motiven till polisdatalagen hänvisar regeringen till att det s.k. Prümrådsbeslutet bl.a. innehåller bestämmelser som ålägger medlemsstaterna att tillåta direktåtkomst till vissa uppgifter i nationella DNA-register och fingeravtrycksregister och att det går att förutse en fortsatt utveckling av informationsutbyte framför allt inom EU. Om direktåtkomst till vissa uppgifter i framtiden skulle komma att regleras i EU-rättsakter som inte kräver riksdagens godkännande menar regeringen att det framstår som naturligt med en bestämmelse som kan täcka behovet av reglering av detaljfrågor även i sådana fall (prop. 2009/10:85 s. 183 f.).

När det gäller Kustbevakningens uppgifter menar regeringen emellertid – i likhet med promemorian – att restriktivitet bör iakttas vad avser direktåtkomst för utländska myndigheter. Oaktat den flexibilitet som skulle kunna uppnås genom att regeringen ges möjlighet att meddela föreskrifter om direktåtkomst på motsvarande sätt som gäller för polisens brottsbekämpande verksamhet, ifrågasätter regeringen behovet av en sådan bestämmelse när det gäller Kustbevakningens brottsbekämpande verksamhet. Detta bl.a. mot bakgrund av att Kustbevakningen varken för

några nationella register av det slag som finns hos polisen eller har ett sådant utbyte med utländska myndigheter bl.a. inom den brottsbekämpande verksamheten som polisdatalagens bestämmelse tar sikte på (se prop. 2009/10:85 s. 183 f.).

Sammanfattningsvis gör alltså regeringen den bedömningen, vilken överensstämmer med promemorians, att något behov för regeringen att meddela föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation ska få medges direktåtkomst till uppgifter i Kustbevakningens brottsbekämpande verksamhet i dag inte finns. Regeringen föreslår med andra ord inte någon bestämmelse som motsvarar 2 kap. 21 § polisdatalagen.

Hänvisningar till S12-3-6

  • Prop. 2011/12:45: Avsnitt 14.5

13. Sekretess och uppgiftsskyldighet i Kustbevakningens brottsbekämpande verksamhet

Hänvisningar till S13

  • Prop. 2011/12:45: Avsnitt 4, 12.1, 4.3

13.1. Allmänna utgångspunkter

Regeringens förslag: De grundläggande reglerna för sekretessgenombrott ska regleras i lagen. I lagen ska det tas in en upplysning om att regeringen meddelar kompletterande bestämmelser.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag

Sekretess i den brottsbekämpande verksamheten

Sekretess till skydd för intresset av att förebygga och beivra brott regleras i 18 kap. offentlighets- och sekretesslagen (2009:400). Sekretess gäller, i större eller mindre utsträckning, för förundersökningar och motsvarande utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel för underrättelseuppgifter (18 kap. 2 §). De sekretessbestämmelser till skydd för enskild som tidigare fanns i 9 kap. 17 § sekretesslagen har delats upp på flera paragrafer och finns nu huvudsakligen i 35 kap. offentlighets- och sekretesslagen, som reglerar sekretess till skydd för enskild i verksamhet som syftar till att förebygga och beivra brott.

Sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen skyddar enskildas personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål (punkten 1), användning av tvångsmedel (punkten 2), registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (punkten 3), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket och Kustbevakningen (punkten 4), register som förs av

Rikspolisstyrelsen enligt polisdatalagen eller som annars behandlas där med stöd av den lagen (punkten 6) eller misstankeregistret (punkten 7). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller endast om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. För beslut att väcka åtal eller att inte inleda eller lägga ned en förundersökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap. 7 §), men i en förundersökning förekommer det ofta uppgifter om t.ex. andra brott som den misstänkte har begått eller om personer som inte berörs av åtalet. För sådana uppgifter upphör sekretessen inte, om uppgiften uppenbart saknar betydelse i målet (35 kap. 7 § punkten 2). Om åtal inte väcks kvarstår också sekretessen. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild i förundersökningar och andra brottsutredningar.

När en förundersökning eller annan motsvarande utredning inleds gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen. Sekretessen enligt 18 kap. minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks.

Enligt 35 kap. 2 § gäller sekretess för uppgift i en anmälan eller utsaga av enskild i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Bestämmelser om sekretess för vissa andra av polisens register än de som regleras i 35 kap. 1 § punkterna 6 och 7 finns i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot (punkten 1) och uppgift hos Rikspolisstyrelsen som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1 § (punkten 2). Några sekretessbrytande bestämmelser som tidigare fanns i 9 kap. 17 § sekretesslagen finns nu i 35 kap. 8–10 §§.

Sekretess mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är, som redan framgått, organisatoriskt uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. När uppgifter ska lämnas mellan myndigheterna måste därför hänsyn tas till bl.a. offentlighets- och sekretesslagstiftningen.

Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen (eller lag eller förordning till vilken lagen hänvisar). När uppgifter ska lämnas mellan myndigheter måste därför hänsyn tas till sekretesslagstiftningen.

Motsvarande begränsning gäller vid uppgiftslämnande mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som

självständiga i förhållande till varandra. Det är två kriterier som är viktiga vid bedömningen av om det är fråga om olika verksamhetsgrenar. Den ena är om verksamheterna tillämpar samma eller olika sekretessregler. Det andra är om verksamhetsgrenarna är åtskilda rent organisatoriskt (prop. 2008/09:150 s. 356 f.). I detta sammanhang ska nämnas att Kustbevakningen inte har några självständiga verksamhetsgrenar.

Det finns ett antal bestämmelser i offentlighets- och sekretesslagen som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet.

Ytterligare sekretessbrytande bestämmelser finns i 10 kap. offentlighets- och sekretesslagen. I 10 kap. 28 § första stycket föreskrivs bl.a. att sekretess inte hindrar att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19–26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Av stor betydelse i sammanhanget är vidare bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen, som innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över.

Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för utlämnande av personuppgifter. En sådan bestämmelse har alltså inte någon sekretessbrytande effekt; den är inte att se som en uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se bl.a. prop. 2004/05:164 s. 83 och 2006/07:46 s. 80). Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den myndigheten direktåtkomst till uppgifter som behandlas automatiserat be-

gränsas därför inte sällan av bestämmelser i offentlighets- och sekretesslagen.

Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som den senare myndigheten inte med säkerhet skulle ha rätt att ta del av vid en sekretessprövning (prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet, eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.

Gällande personuppgiftsbehandlingen i Tullverkets verksamhet analyserade regeringen i förarbetena (prop. 2004/05:164 s. 84 f.) vilken sekretess som gäller vid informationsutbyte mellan myndigheter i brottsutredningar respektive i underrättelseverksamhet. I propositionen gjorde regeringen bedömningen att en möjlighet för Tullverket att lämna ut uppgifter till övriga brottsbekämpande myndigheter genom direktåtkomst förutsatte att det infördes en sekretessbrytande uppgiftsskyldighet i förhållande till övriga myndigheter. Det infördes därför en sekretessbrytande bestämmelse i 2 § förordningen (2004:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Denna bedömning har även haft bärkraft såvitt gäller förutsättningarna för uppgiftslämnande från polisen (prop. 2009/10:85 s. 189 f.). Regeringen konstaterar att promemorian har gjort samma bedömning vad avser Kustbevakningens möjlighet att lämna ut uppgifter.

Regeringen menar – i likhet med vad som anförs i promemorian – att de skäl som anfördes i lagstiftningsärendena rörande Tullverkets och polisens personuppgiftsbehandling för att det behövs sekretessbrytande regler är av betydelse även när det gäller uppgiftslämnande från Kustbevakningen. Beredningen för rättsväsendets utveckling har övervägt det generella behovet av sekretessbrytande regler och kommit till samma slutsats. Enligt regeringens bedömning bör det därför införas vissa sekretessbrytande regler i den nya lagen. Emellertid har regeringen möjlighet att meddela föreskrifter om utlämnande av personuppgifter (se vidare avsnitt 13.2 och 13.3).

Det finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § offentlighets- och sekretesslagen). Den innebär att om en myndighet har direktåtkomst till uppgifter hos en annan myndighet blir sekretessbestämmelser som gäller för uppgifterna hos den utlämnande myndigheten tillämpliga även hos den mottagande myndigheten. Den överförda sekretessen tillämpas dock inte på uppgifter som tas in i ett beslut hos den mottagande myndigheten. Den överförda sekretessen ska inte heller tillämpas när det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5 och 7 §§ som skyddar samma intresse som den överförda sekretessen (11 kap. 8 § offentlighets- och sekretesslagen). Eftersom samtliga svenska brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbestämmelser innebär sistnämnda bestämmelse att bestämmelsen om över-

föring av sekretess i 11 kap. 4 § får begränsad betydelse om sådana myndigheter ges direktåtkomst till uppgifter hos Kustbevakningen.

Hänvisningar till S13-1

  • Prop. 2011/12:45: Avsnitt 13.2

13.2. Sekretessgenombrott

Regeringens förslag: Rikspolisstyrelsen, polismyndigheter,

Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska, trots sekretess enligt offentlighets- och sekretesslagen, ha rätt att ta del av uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet, om den mottagande myndigheten behöver personuppgifterna i sin brottsbekämpande verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller har inget att invända mot förslaget. Kustbevakningen ser positivt på förslaget som har avgörande betydelse för myndigheternas brottsbekämpande arbete.

Skälen för regeringens förslag

Sekretessgenombrott mellan de brottsbekämpande myndigheterna

För att öka möjligheterna till informationsutbyte med andra brottsbekämpande myndigheter och för att skapa förutsättningar för att Kustbevakningen ska kunna medge sådana myndigheter direktåtkomst till uppgifter som gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet behövs en bestämmelse som bryter sekretess. Frågan är då hur denna bestämmelse bör utformas.

Bestämmelsen i fråga ska bl.a. möjliggöra direktåtkomst. Vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall och prövningen måste i stället göras i förväg. Den sekretessbrytande regeln måste därför tillåta ett relativt brett sekretessgenombrott. I gengäld kommer den, som utvecklas närmare i det följande, att kompletteras med andra bestämmelser som innebär ett integritetsskydd.

Med hänsyn till intresset av ett gott skydd för den personliga integriteten är ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna inte acceptabelt. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt bör någon form av begränsning i den sekretessbrytande bestämmelsen göras.

Den brottsbekämpande verksamheten har delats upp mellan Kustbevakningen och andra brottbekämpande myndigheter. Myndigheterna har sinsemellan olika uppgifter och befogenheter och behöver därmed i viss utsträckning olika typer av information. Eftersom uppgifter som omfattas av sekretess till skydd för enskilda kan vara mycket integritetskänsliga är det viktigt att en brottsbekämpande myndighet bara får tillgång till sådana uppgifter när myndigheten har behov av det för att kunna bedriva den brottsbekämpande verksamhet som just den myndigheten är ålagd enligt lag eller annan författning. Enligt regeringens bedömning bör just detta behov, på motsvarande sätt som i 2 kap.1618 §§polisdatalagen

(2010:361), kunna utgöra det rekvisit som begränsar den sekretessbrytande bestämmelsen.

Eftersom den föreslagna regeln har det uttryckliga syftet att tillåta frekvent utlämnande bör behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren har behov av får göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i det behov som typiskt sett föreligger. Personuppgifter som en myndighet allmänt sett inte behöver i sådan brottsbekämpande verksamhet som just den myndigheten bedriver bör alltså inte vara åtkomliga för den myndigheten (jfr prop. 2009/10:85 s. 192 f.).

Det kan emellertid självfallet uppkomma situationer där en brottsbekämpande myndighet i ett enskilt fall har behov av uppgifter som ligger utanför det normala. Uppgifter av det slaget kan, på samma sätt som nu, lämnas ut efter en prövning i det enskilda fallet med stöd av andra sekretessbrytande bestämmelser. Den nu föreslagna regeln är alltså inte avsedd att innebära någon ändring i detta avseende.

Vidare bör den sekretessbrytande regeln endast ta sikte på personuppgifter som har gjorts gemensamt tillgängliga (jfr 2 kap.1618 §§polisdatalagen och prop. 2009/10:85 s. 193) samt endast bryta vissa typer av sekretess (se vidare nedan).

Mot bakgrund av dessa överväganden föreslår regeringen – i likhet med promemorian – att en sekretessbrytande regel bör införas i den nya lagen. Den bör innebära att Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, trots viss närmare angiven sekretess, ska ha rätt att ta del av uppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet, om den aktuella myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet.

Vilka sekretessbestämmelser ska den nya regleringen omfatta?

Frågan är då vilka sekretessbestämmelser som den sekretessbrytande bestämmelsen ska avse. Uppgifter i Kustbevakningens brottsbekämpande verksamhet omfattas vanligen av sekretess till skydd för verksamheten enligt 18 kap.1 och 2 §§offentlighets- och sekretesslagen. Sådan sekretess gäller nära nog undantagslöst för underrättelseuppgifter och, i större eller mindre utsträckning, för de flesta pågående förundersökningar och motsvarande utredningar enligt bestämmelser i 23 kap. rättegångsbalken. Eftersom nu nämnda bestämmelser i offentlighets- och sekretesslagen är tillämpliga hos alla brottsbekämpande myndigheter bör det i de flesta fall inte innebära någon skada för Kustbevakningens verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt de aktuella paragraferna normalt kan lämnas ut till en annan brottsbekämpande myndighet. Detta förutsätter emellertid att det är möjligt att på förhand bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelseprojekt.

På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut

uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.

I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att Kustbevakningens egen verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma i fråga. I sådana fall får i stället övervägas om uppgiften kan lämnas ut med stöd av någon annan sekretessbrytande bestämmelse, exempelvis 10 kap.2 eller 27 §§offentlighets- och sekretesslagen. Något generellt behov av att bryta sekretessen enligt 18 kap. 1 och 2 §§ kan således inte anses föreligga och den nya sekretessbrytande bestämmelsen bör därför inte avse sekretess enligt dessa bestämmelser.

Eftersom de flesta pågående eller avslutade förundersökningar som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd för enskild, krävs det sekretessprövning i varje enskilt fall när en sådan uppgift ska lämnas till en annan brottsbekämpande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. I några utredningar (se t.ex. tidigare nämnda betänkande Ett effektivare brottmålsförfarande – några ytterligare åtgärder [SOU 2005:117] och Kustbevakningens personuppgiftsbehandling, Integritet – Effektivitet [SOU 2006:18]), har man pekat på att det finns ett verksamhetsbehov av att kunna bryta sekretessen enligt dåvarande 9 kap. 17 § sekretesslagen, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekämpande myndigheterna. Den bestämmelsen har, som tidigare nämnts, delats upp på flera paragrafer i offentlighets- och sekretesslagen, varav flertalet saknar betydelse i detta sammanhang. Den sekretessbestämmelse som nu är av intresse är 35 kap. 1 § offentlighets- och sekretesslagen, som reglerar sekretessen bl.a. i förundersökningar och andra liknande utredningar och i flertalet andra register i den brottsbekämpande verksamheten. Sekretessen enligt 35 kap. 1 § är tillämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle enligt regeringens bedömning förenkla informationslämnandet till andra brottsbekämpande myndigheter och bör därför införas. Med hänsyn till de vinster för brottsbekämpningen som detta skulle innebära kan enligt regeringens mening den ökade risken för integritetsintrång godtas.

När det gäller behovet av sekretessgenombrott avseende andra bestämmelser i 35 kap. offentlighets- och sekretesslagen har regeringen i förarbetena till polisdatalagen gjort bedömningen att det inte finns anledning att låta motsvarande sekretessbrytande bestämmelse i polisdatalagen (2 kap. 16 §) omfatta fler bestämmelser än 35 kap. 1 § offentlighets- och sekretesslagen. I den mån andra sekretessbestämmelser i 35 kap. är tilllämpliga får det enligt förarbetena till polisdatalagen göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet (prop. 2009/10:85 s. 195). Regeringen finner inte skäl att göra någon annan bedömning när det gäller uppgifter hos Kustbevakningen.

Det är relativt vanligt att det i brottsutredningar förekommer uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen (tidigare 7 kap. 1 a § sekretesslagen). Enligt den bestämmelsen gäller sekretess för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Denna bestämmelse har införts för att säkerställa skyddet hos alla myndigheter för det som brukar kallas skyddade adresser (se prop. 2005/06:161 s. 55 f.). Detta innebär att om sådana uppgifter lämnas från en brottsbekämpande myndighet till en annan sådan myndighet har uppgifterna samma skydd gentemot allmänheten hos såväl den utlämnande som den mottagande myndigheten. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bedömer regeringen att uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket bör kunna lämnas vidare utan hinder av sekretessen. Regeringen vill härvid påpeka att detta överensstämmer med vad som föreskrivs för polisens verksamhet (2 kap.16-18 §§polisdatalagen).

När det gäller övriga sekretessbestämmelser till skydd för enskilda som kan aktualiseras i Kustbevakningens brottsbekämpande verksamhet, t.ex. 21 kap. 1 § offentlighets- och sekretesslagen (känsliga uppgifter om hälsa och sexualliv) och 21 kap. 5 § (uppgifter som rör utlänningars säkerhet i vissa fall) anser regeringen att den enskildes behov av skydd för sin integritet får anses väga tyngre än det behov som kan finnas av ett sekretessgenombrott som går utöver de möjligheter till utlämnande av uppgifter i enskilda fall som finns enligt gällande rätt.

Det sagda innebär att den föreslagna bestämmelsen inte bör bryta sekretessen enligt alla de sekretessbestämmelser som kan vara tillämpliga i Kustbevakningens verksamhet utan endast sekretessen enligt 35 kap. 1 § och 21 kap. 3 § första stycketoffentlighets- och sekretesslagen. Som nämnts tidigare bör vidare denna sekretess bara brytas beträffande uppgifter som den mottagande myndigheten typiskt sett har behov av i sin brottsbekämpande verksamhet. En ytterligare begränsning bör vara att den sekretessbrytande bestämmelsen bara omfattar uppgifter som har gjorts gemensamt tillgängliga inom Kustbevakningen. Bestämmelsen måste även ses mot bakgrund av hur regelsystemet i övrigt har byggts upp. För behandlingen av gemensamt tillgängliga uppgifter har regeringen föreslagit att särskilda begränsningar ska gälla, vilket bl.a. innebär att bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Dessutom har det föreslagits att vissa typer av uppgifter ska markeras i syfte att det tydligt ska kunna utläsas dels om uppgifterna rör en icke misstänkt person, dels kvaliteten på uppgifterna. Uppgifter som rör brottslig verksamhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas, kommer dessutom den mottagande myndighetens registerförfattning att bli tillämplig och tillgången till olika typer av uppgifter att begränsas genom behörighetsregler som gäller inom den myndigheten. Det bör också anges i kustbevakningsdatalagen att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Sammantaget bedömer

regeringen att förslaget innebär att den sekretessbrytande regeln skapar förutsättningar för ett bättre informationsutbyte i brottsbekämpningen samtidigt som risken för integritetsintrång beaktas.

Sammanfattningsvis föreslår regeringen, i överensstämmelse med promemorians förlag, att Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket ska ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kustbevakningen utan hinder av sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, om den mottagande myndigheten har behov av uppgiften i sin brottsbekämpande verksamhet.

I den mån andra sekretessbestämmelser är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet om huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet innan uppgifterna lämnas ut eller görs tillgängliga för direktåtkomst.

Placeringen av bestämmelsen

Sekretessbrytande regler i förhållande till andra myndigheter kan föreskrivas såväl i lag som förordning (8 kap. 1 § och 10 kap. 28 § första stycketoffentlighets- och sekretesslagen). Som framgått av avsnitt 13.1 finns f.n. en sekretessbrytande bestämmelse för Tullverkets del i förordning. Regeringen har emellertid i fråga om polisens brottsbekämpande verksamhet gjort bedömningen, mot bakgrund av polisverksamhetens särskilda natur, att andra myndigheters tillgång till uppgifter som behandlas av polisen bör regleras i lag (prop. 2009/10:85 s. 193). Detta har föranlett att ett antal bestämmelser om sekretessgenombrott har införts i den nya polisdatalagen.

Eftersom regeringen eftersträvar att den nya lagen om personuppgiftsbehandling i Kustbevakningens verksamhet i så stor utsträckning som möjligt, vad avser den brottsbekämpande verksamheten, ska motsvara den reglering som valts för polisen, bör den sekretessbrytande bestämmelsen också för Kustbevakningens del tas in i den här nya lagen.

Som en erinran om att sekretessbrytande bestämmelser utöver vad som anges i lagen kan meddelas genom förordning, föreslår regeringen på samma sätt som promemorian att det i lagen bör intas en upplysning som anger att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall.

Hänvisningar till S13-2

13.3. Uppgiftsutlämnande till utlandet

Regeringens förslag: Om det är förenligt med svenska intressen, ska personuppgifter få lämnas till Interpol eller Europol, till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES), om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter ska vidare få lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

I lagen ska upplysas om att regeringen meddelar föreskrifter om att personuppgifter ska få lämnas ut i andra fall.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Rikspolisstyrelsen föreslår att Frontex får mandat att hantera personuppgifter som är nödvändiga för verksamheten eftersom Kustbevakningen troligen kommer att inom ramen för sin verksamhet behöva lämna ut personuppgifter till Frontex.

Skäl för regeringens förslag

Möjligheterna att lämna ut uppgifter

En utgångspunkt i offentlighets- och sekretesslagen (2009:400) är att en uppgift som omfattas av sekretess inte får röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en sekretesskyddad uppgift röjas för en utländsk myndighet eller mellanfolklig organisation i två situationer. Den ena är när utlämnande sker i enlighet med en särskild föreskrift i lag eller förordning (8 kap. 3 § 1). Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas (8 kap. 3 § 2).

I 10 kap. 2 § offentlighets- och sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin egen verksamhet. Enligt förarbetena är denna sekretessbrytande bestämmelse avsedd att tillämpas restriktivt (prop. 1970/80 Del A s. 465 och 494).

I brottsbekämpande verksamhet är det dock i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter för att över huvud taget kunna genomföra exempelvis förhör. I ett internationellt perspektiv är ett typiskt exempel att svenska myndigheter i samband med begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen till en utländsk åklagar- eller polismyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndigheten ska kunna fullgöra sin egen verksamhet står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna. I det följande diskuteras inte

sådant internationellt samarbete som sker i svenskt intresse, utan uteslutande samarbete i syfte att bistå andra länder i deras brottsbekämpande verksamhet.

Enligt 33 § personuppgiftslagen (1998:204) är det förbjudet att till tredjeland, dvs. ett land utanför EU och EES-området, föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet omfattar även överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland, men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Regeringen kan också enligt 35 § meddela föreskrifter om undantag från förbudet mot överföring av uppgifter till vissa stater eller till tredjeland. I avsnitt 9.3.1 har föreslagits att bl.a. reglerna i personuppgiftslagen om överföring av uppgifter till tredjeland ska tillämpas på Kustbevakningens personuppgiftsbehandling. Detta innebär alltså att en bestämmelse som föreskriver att sekretess inte hindrar att uppgifterna lämnas till en annan stat eller mellanfolklig organisation inte med automatik leder till att uppgifter får lämnas ut. Förutom att utlämnandet måste omfattas av ett tillåtet behandlingsändamål, krävs normalt att det mottagande landet eller organisationen tillförsäkrar en adekvat skyddsnivå.

Utgångspunkterna för den nya regleringen

Det går att urskilja tre olika situationer där informationsutbyte aktualiseras i internationellt samarbete med brottsbekämpning. Den första är där Sverige i en internationell överenskommelse, som är bindande för Sverige, har förbundit sig att tillhandahålla information av visst slag utan särskild anmodan, genom direktåtkomst eller på annat sätt. Ett exempel på det är Schengens informationssystem. Den andra situationen är där Sverige i en sådan överenskommelse har åtagit sig att genomföra en viss åtgärd eller att lämna viss information på begäran av en annan stat eller mellanfolklig organisation. Rättslig hjälp i form av förhör, som hålls på begäran av en annan stat, är exempel på det förstnämnda.

Den tredje situationen är s.k. spontant uppgiftsutlämnande, där initiativet till informationsutbytet tas av den svenska myndigheten. Ett väl fungerande samarbete över gränserna förutsätter att svenska myndigheter inte bara bistår myndigheter i andra länder med svar på konkreta förfrågningar eller med rättslig hjälp i enskilda ärenden, utan även att uppgifter kan lämnas spontant i de fall där utbytet främst gagnar utländska intressen. Sverige har i olika internationella överenskommelser accepterat att

medverka i sådant frivilligt informationsutbyte och har också varit pådrivande när det gäller att utveckla informationsutbytet.

I promemorian gjordes bedömningen att enbart den sekretessbrytande bestämmelsen i 8 kap. 3 § 2 offentlighets- och sekretesslagen inte är tillräcklig för att Sverige ska kunna fullgöra sina internationella åtaganden. Enligt regeringens bedömning, som överensstämmer med promemorians, krävs det alltså särskilda sekretessbrytande bestämmelser i den nya lagen.

Tyngdpunkten i informationsutbytet ligger för närvarande på uppgifter som antingen förmedlas via Interpol eller utbyts genom Europol. Som tidigare nämnts kan det t.ex. röra sig om efterlysningar av personer eller föremål eller konkreta förfrågningar om personer eller egendom. Sådant informationsutbyte berör främst polisen och endast indirekt Kustbevakningen. På sikt kommer emellertid det internationella samarbetet sannolikt att i ökad utsträckning ske direkt mellan myndigheter i olika länder. Det innebär att Kustbevakningen kommer att ha ett behov av att kunna direkt utbyta information med motsvarande myndigheter, t.ex. runt Östersjön. För att ett sådant samarbete ska kunna fungera är det nödvändigt att den föreslagna lagen tydligt anger gränserna för vilka uppgifter som får lämnas ut.

Internationella överenskommelser reglerar normalt informationsutbyte på ett visst, begränsat område. En överenskommelse avser ofta informationsutbytet mellan vissa utpekade myndigheter eller informationsutbyte avseende viss typ av brottslighet. Regleringen i den nya lagen bör så långt möjligt vara generell.

Den första frågan är på vilken författningsnivå man ska reglera uppgiftslämnande till utländska myndigheter och mellanfolkliga organisationer. Sakfrågan faller i och för sig inom regeringens restkompetens och även bestämmelser i förordning kan ha sekretessbrytande effekt (8 kap. 3 § 1 offentlighets- och sekretesslagen).

Eftersom ett gränsöverskridande informationsutbyte i vissa fall kan anses innefatta ett mer betydande integritetsintrång än när utbytet sker mellan myndigheter i Sverige, kan överföringen komma att leda till ett sådant intrång som omfattas av 2 kap. 6 § andra stycket regeringsformen. I sådana fall krävs lagstöd får åtgärden (2 kap. 20 § regeringsformen). Ett av syftena med den nya lagen är vidare att åstadkomma en tydligare reglering av förutsättningarna för uppgiftslämnandet mellan svenska brottsbekämpande myndigheter. Det framstår då som naturligt att också uppgiftslämnande till brottsbekämpande utländska myndigheter och organisationer i huvudsak regleras i lagen. Lagen bör därför innehålla de grundläggande reglerna om uppgiftslämnande, medan vissa kompletterande regler kan finnas i förordning. Vad som är särskilt viktigt att reglera i lag är dels sådant uppgiftslämnande som följer direkt av bindande internationella åtaganden, dels sådant informationsutbyte som förekommer frekvent eller kan antas förekomma frekvent i framtiden.

Bindande åtaganden om att lämna uppgifter

Den nya lagens bestämmelse om utlämnande av uppgifter till utländska myndigheter och organisationer bör i huvudsak ha samma innehåll som

för polisen (2 kap. 15 § polisdatalagen [2010:361]). Lagförslaget bör därför omfatta folkrättsligt bindande åtaganden om att lämna viss information till en annan stat eller till en mellanfolklig organisation.

Interpol är ett mellanstatligt samarbete på folkrättslig grund. Interpol fungerar främst som ett kontaktorgan mellan stater som är medlemmar i organisationen och som en kanal för att sprida polisiär information till ett flertal länder.

Europol har en betydligt aktivare roll i det polisiära samarbetet över gränserna. Europol har som förstahandsuppgift att underlätta informationsutbytet mellan länderna och att inhämta, sammanställa och analysera information och underrättelser samt att genast informera medlemsländerna om sådant som berör dem, t.ex. upptäckta samband mellan brottsliga gärningar i olika länder. Europol bedriver underrättelse- och analysverksamhet och upprättar allmänna lägesrapporter om viss brottslighet. Europol kan också bistå enskilda medlemsländer med råd och forskning kring bl.a. utbildning, polisära metoder och brottsförebyggande arbete.

Medlemsstaterna är skyldiga att lämna vissa uppgifter inom Europols verksamhetsområde till Europol, i vissa fall utan särskild anmodan. Medlemsstaterna förutsätts också kunna lämna över uppgifter till Europol spontant.

Informationsutbyte med polis- och åklagarmyndigheter m.m. på begäran

Informationsutlämnande sker vanligtvis med anledning av en begäran från en utländsk myndighet om viss information. I och med att varje land organiserar den brottsbekämpande verksamheten efter sina traditioner kan informationsutbyte äga rum mellan polismyndigheter, en polismyndighet och en åklagarmyndighet eller vice versa eller med någon annan utländsk myndighet som har polisiära uppgifter, t.ex. tullmyndigheter eller motsvarigheter till Kustbevakningen.

Enligt den nya polisdatalagen får personuppgifter lämnas till Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet som är ansluten till Interpol, om det bl.a. behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Detta under förutsättning att det är förenligt med svenska intressen. Vidare får uppgifter lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnande följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt (2 kap. 15 § lagen och prop. 2009/10:85 s. 200 f.).

Även om Kustbevakningens uppgiftslämnande inte är av samma omfattning som det som sker i polisens verksamhet, förekommer sådant och kan förmodas öka efterhand som det internationella samarbetet utvecklas. Enligt regeringens bedömning finns det därför ett behov av en sekretessbrytande bestämmelse som möjliggör, i likhet med vad som gäller i polisens verksamhet, för Kustbevakningen att lämna personuppgifter i förhållande till Interpol och Europol, samt till tullmyndighet och Kustbevakningens motsvarigheter i länder som ingår i EES.

Sverige har förbundit sig att på begäran lämna vissa uppgifter till andra medlemsstater genom Europolsamarbetet. Det följer således redan av den föreslagna huvudregeln att information kan lämnas på begäran av en

sådan stat, men en tydlig reglering av vilken det framgår att uppgifter alltid får lämnas till medlemsstater, om förutsättningarna i övrigt är uppfyllda, underlättar för tillämparen.

Sverige har även förbundit sig att inom ramen för samarbetet inom Interpol lämna andra stater bistånd med information, men dessa åtaganden är inte lika långtgående som när det gäller åtagandena i förhållande till Europolsamarbetet. Likaså har Sverige förbundit sig att lämna viss information till Interpol i dess egenskap av samarbetsorganisation. Den nya lagen bör därför ge utrymme för att uppgifter kan lämnas både till en annan stat som är medlem i Interpol och till organisationen som sådan.

Rikspolisstyrelsen har föreslagit att lagen också ska medge att Kustbevakningen får lämna information till Frontex, den europeiska byrån för förvaltningen av det operativa samarbetet vid EU:s yttre gränser. Frontex behov av information från Kustbevakningen har inte berörts i promemorian och inte heller i övrigt finns något egentligt underlag beträffande denna fråga. Den har därför inte kunnat närmare övervägas inom ramen för detta lagstiftningsärende. Regeringen går därför inte fram med något förslag i denna del.

Sammanfattningsvis föreslår regeringen – i likhet med promemorian – att en bestämmelse om utlämnande av personuppgifter införs i lagen. Den bör utformas så att det direkt framgår att personuppgifter får lämnas, om utlämnandet är förenligt med svenska intressen, till polis- och åklagarmyndigheter i stater som är anslutna till Interpol. Utlämnande bör också få ske till Interpol och Europol som organisationer. Vidare bör utlämnande få ske till utländsk kustbevakning eller tullmyndighet inom EES. Förutsättningen för att lämna uppgifter bör vara att uppgiften behövs för att förebygga, förhindra, upptäcka, utreda eller beivra brott.

Spontant uppgiftslämnande

Ett flertal konventioner och andra internationella överenskommelser som rör brottsbekämpning och som Sverige har undertecknat, innehåller bestämmelser om spontant uppgiftslämnande. Eftersom bestämmelser om spontant uppgiftslämnande normalt hänvisar till vad som är tillåtet enligt nationell lagstiftning, brukar bestämmelser av detta slag inte betraktas som något bindande åtagande. Å andra sidan brukar det läggas stor vikt vid det spontana informationsutbytet vid utvärdering av internationella överenskommelser och deras effektivitet. Sverige har också i olika sammanhang varit pådrivande när det gäller att utöka det internationella informationsutbytet, bl.a. genom att ta initiativ till rambeslutet av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (2006/960/RIF).

Vidare innehåller förordningen (2010:705) om internationellt polisiärt samarbete, i vilken bl.a. regleras samarbete enligt det s.k. Prümrådsbeslutet, regler som under vissa förhållanden ålägger Kustbevakningen att spontant lämna uppgifter till en myndighet i en annan stat.

Om uppgifter lämnas spontant kan informationen som regel förses med villkor att den mottagande staten bara får använda den på visst sätt eller för visst ändamål. Ett sådant villkor, som är bindande för mottagaren,

kan underlätta informationsutbytet i enskilda fall. Ett villkor angående användningen kan bl.a. innebära ett skydd mot att uppgifterna sprids vidare och utgör därför ett integritetsskydd för den enskilde.

Om Sverige fullt ut ska kunna leva upp till sina internationella åtaganden, bör det finnas utrymme för att också spontant lämna ut information till en annan stats brottsbekämpande myndighet, om informationen är värdefull för den statens brottsbekämpning. Det krävs alltså att uppgifterna ska behövas i den mottagande statens brottsbekämpning. Ytterligare krav är att uppgiftslämnandet är förenligt med svenska intressen. Uppgifter bör således kunna lämnas till en utländsk polis- eller åklagarmyndighet, Interpol eller Europol eller till utländsk kustbevakning eller tullmyndighet inom EES, utan föregående begäran.

Utlämnande i andra fall

Uppgifter kan även lämnas till en utländsk myndighet eller organisation med stöd av 8 kap. 3 § offentlighets- och sekretesslagen, efter en sekretessprövning i det enskilda fallet. Det kan t.ex. vara fråga om uppgiftslämnande till någon annan mottagare än de som anges i lagen eller utlämnande för något annat ändamål.

Det bör tydliggöras i lagen att regeringen har möjlighet att meddela sekretessbrytande föreskrifter om utlämnande av uppgifter för andra ändamål eller till andra utländska mottagare än de som angetts i det föregående.

Överföring av uppgifter till tredjeland

Vid utlämnande av personuppgifter till utlandet måste Kustbevakningen också göra en bedömning av om överföringen är förenlig med bestämmelserna i 33 och 34 §§personuppgiftslagen.

Samtliga EU:s medlemsstater har tillträtt dataskyddskonventionen. Detta innebär att reglerna i 33 § personuppgiftslagen inte hindrar överföring av personuppgifter (se 34 § andra stycket personuppgiftslagen). Motsvarande gäller organisationen Europol.

När det gäller uppgiftslämnande till stater som enbart är anslutna till Interpol kan noteras att vissa av dessa stater också har tillträtt dataskyddskonventionen och således har en dataskyddsnivå som medger överföring av personuppgifter utan någon särskild bedömning. Många andra stater har också en tillräcklig dataskyddsnivå, men det kräver en bedömning i det enskilda fallet. Interpol som organisation uppfyller också kraven på tillträcklig dataskyddsnivå.

Uppgiftslämnande till en polis- eller åklagarmyndighet i en annan stat som enbart är medlem i Interpol förutsätter alltså en noggrannare prövning, eftersom den utlämnande myndigheten då – utöver att bedöma om det ligger i svenskt intresse att lämna uppgiften – alltid måste avgöra om den andra staten har en tillräcklig dataskyddsnivå för att överföring av personuppgifter ska vara tillåten enligt personuppgiftslagen.

Hänvisningar till S13-3

14. Behandling för andra ändamål än brottsbekämpning

Hänvisningar till S14

  • Prop. 2011/12:45: Avsnitt 4, 10.1

14.1. Primära ändamål för behandling av personuppgifter i annan operativ verksamhet hos Kustbevakningen m.m.

Regeringens förslag: I lagen ska det anges för vilka ändamål behandling av personuppgifter får ske i annan operativ verksamhet än den brottsbekämpande hos Kustbevakningen. Ändamålen ska delas in i primära ändamål och sekundära ändamål. De primära ändamålen ska anges uttömmande i lagen.

Personuppgifter ska få behandlas om det behövs för att

1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,

2. bedriva räddningstjänst,

3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

4. utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller

5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

Personuppgifter som får behandlas enligt första stycket ska få göras gemensamt tillgängliga.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås en separat bestämmelse om när uppgifter får göras gemensamt tillgängliga.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Göta hovrätt anser att det råder osäkerhet vilka de ”särskilda föreskrifter” som promemorians lagförslag hänvisas till är, vilket medför att inte går att överblicka konsekvenserna av 5 kap. 1 § 1. Hovrätten och Förvaltningsrätten i Växjö uppger att det är oklart vilken funktion begreppet ”annan operativ verksamhet” fyller i 5 kap. 1 § och hur det förhåller sig till den begränsning som följer redan av 1 kap. 2 § i lagförslaget.

Kammarrätten i Göteborg noterar att Kustbevakningen kan komma i kontakt med uppgifter som omfattas av hälso- och sjukvårdssekretessen, vilka vid en jämförelse med uppgifter i den brottsbekämpande verksamheten kan vara av lika integritetskänslig art.

Havs- och vattenmyndigheten tillstyrker särskilt att samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation anges som primärt ändamål för behandling.

Skälen för regeringens förslag

Allmänna utgångspunkter

I avsnitt 9.1 har regeringen redovisat sin bedömning av den föreslagna lagens tillämpningsområde. Som har framgått där kommer tillämpningsområdet att omfatta den del av Kustbevakningens operativa verksamhet i vilken det utförs personuppgiftsbehandling. Det innebär att det i lagförslaget behöver anges ändamål också för behandling som inte avser brottsbekämpning.

Vad avser personuppgiftslagens (1998:204) regler om ändamål, Kustbevakningens behov av att ändamålen utformas för att ge myndigheten utrymme att använda modern teknik i sin verksamhet och de grundläggande principerna för hur den föreslagna lagens ändamålsreglering ska utformas hänvisar regeringen till det som har anförts i avsnitt 10.

Den personuppgiftsbehandling som utförs i annan operativ verksamhet vid Kustbevakningen än den brottsbekämpande innefattar inte personuppgifter av lika känslig karaktär som de som behandlas i den brottsbekämpande verksamheten. Enligt regeringens mening finns det därför inte anledning att ställa upp lika restriktiva regler för den behandling av personuppgifter som sker i förstnämnda verksamhet. Självfallet ska dock de allmänna bestämmelserna i den föreslagna lagens 2 kap. alltid beaktas.

Emellertid bör här, på samma sätt som för Kustbevakningens brottsbekämpande verksamhet, anges för vilka specifika och legitima ändamål som uppgifter får samlas in och hur de får vidarebehandlas. Regeringen föreslår därför, i likhet med promemorian, att den nya lagen även på detta område ska innehålla ett antal primära ändamål. De primära ändamålen bör vara uttömmande angivna. Vidare bedömer regeringen att det finns skäl att ange ett antal sekundära ändamål. Frågan om vilka de sekundära ändamålen bör vara övervägs i avsnitt 14.2.

De primära ändamål för vilka Kustbevakningen ska få behandla personuppgifter bör, enligt regeringens bedömning, lämpligen indelas efter hur Kustbevakningens huvuduppgifter anges i förordningen (2007:853) med instruktion för Kustbevakningen. I enlighet härmed är de ändamål som föreslås kopplade till områdena sjöövervakning som inte bedrivs för brottsbekämpande ändamål, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete.

Sjöövervakning för att upprätthålla allmän ordning och säkerhet till sjöss, kontroll och tillsyn

Kustbevakningen ska enligt 5 § förordningen med instruktion för Kustbevakningen i den utsträckning det följer av föreskrifter, och i förekommande fall efter överenskommelse med annan myndighet, bedriva tillsyns- och kontrollverksamhet i fråga om bl.a.

1. sjötrafik, sjösäkerhet och transport av farligt gods,

2. fartygs registrering och identifiering,

3. personers inresa i, utresa från och vistelse i Sverige,

4. in- och utförsel av varor,

5. fiske och därtill anknuten verksamhet,

6. jakt och annat ianspråktagande av naturresurser,

7. skydd av miljö- och naturvårdsintressen, och

8. skyddsobjekt, militära skyddsområden och tillträde för utländska statsfartyg.

Kustbevakningen utövar också bl.a. tillsyn över svensk kontinentalsockel och ekonomisk zon, 6 § förordningen.

Kustbevakningen ska dessutom, enligt 7 § förordningen, vara kontaktpunkt för sjötrafiken i fråga om anmälningar enligt föreskrifter om gränskontroll avseende personer och i fråga om sjöfartsskydd och fiskerikontroll enligt överenskommelse med andra myndigheter. Utöver den rena kontroll- och tillsynsverksamheten har Kustbevakningen i sin sjöövervakningsverksamhet ett generellt ansvar för att öka respekten för lagar och föreskrifter samt för att öka säkerheten till sjöss. Uppgiften kan formuleras som övervakning av den allmänna ordningen och säkerheten till sjöss. Till verksamheten räknas t.ex. Kustbevakningens allmänna övervakningsverksamhet i form av patrullering och sjösäkerhetsövervakning. Inom ramen för sådan övervakning har Kustbevakningen och dess tjänstemän samma befogenheter som tillkommer polisman, bl.a. vad gäller att ingripa mot ordningsstörningar enligt 13 § polislagen (1984:387).

Till sådan verksamhet som avses här räknas inte aktiviteter som föranleds av en misstanke om brott eller brottslig verksamhet. I den utsträckning övervakningsverksamhet kan hänföras till verksamhet för att förebygga, upptäcka och förhindra brott gäller alltså de förutsättningar för personuppgiftsbehandling som behandlats i föregående avsnitt. Det är mot denna bakgrund särskilt viktigt att skilja Kustbevakningens sjöövervakningsuppdrag med brottsbekämpande syfte från myndighetens uppdrag att bedriva sjöövervakning för andra syften.

Mot den bakgrunden föreslår regeringen att Kustbevakningen i den egna verksamheten ska få behandla personuppgifter när det behövs för att kunna bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som myndigheten är skyldig att utföra. Vad Kustbevakningen är ”skyldig att utföra” följer av myndighetens bindande åtaganden som framgår av författningsreglering eller av avtal tecknade med stöd i författning. Dessa föreslagna s.k. primära ändamål stämmer enligt regeringens bedömning väl överens med de verksamhetsområden som Kustbevakningen verkar inom och avgränsar på ett tillfredställande sätt de regler som ska gälla för personuppgiftsbehandling inom dessa områden, med de regler för personuppgiftsbehandling som regeringen har föreslagit gälla för den brottsbekämpande verksamheten.

Räddningstjänst

Regeringen förslår vidare att det som primärt ändamål bör anges att Kustbevakningen får behandla uppgifter som behövs för myndighetens utövande av eller deltagande i räddningstjänst. Denna uppgift innebär enligt 11 § förordningen med instruktion för Kustbevakningen att myndigheten i enlighet med särskilda föreskrifter ska ansvara för miljöräddningstjänsten till sjöss i syfte att begränsa konsekvenserna av olyckor och

utsläpp. På anmodan av räddningsledare ska Kustbevakningen också delta i sjöräddningstjänst och annan räddningstjänst och därigenom bidra till ökad sjösäkerhet, att människoliv kan räddas, att personskador begränsas och att konsekvenserna för egendom och miljö minskas.

Av 4 kap. 5 § lagen (2003:778) om skydd mot olyckor framgår att inom Sveriges sjöterritorium och ekonomiska zon ska den myndighet som regeringen bestämmer ansvara för räddningstjänst, när olja eller andra skadliga ämnen har kommit ut i vattnet eller det föreligger en överhängande fara för detta. Ansvaret gäller dock inte vattendrag, kanaler, hamnar och andra insjöar än Vänern, Vättern och Mälaren. Att Kustbevakningen är den myndighet som ansvarar för uppgiften framgår av 4 kap. 12 § förordningen (2003:789) om skydd mot olyckor.

I Kustbevakningens uppgift inom miljöräddningstjänsten ingår att ha en ständig beredskap för att påbörja och leda oljebekämpningsinsatser till sjöss. Kustbevakningen ska tidigt kunna bekämpa utsläpp av farliga ämnen till sjöss. Bekämpningsinsatserna ska påtagligt bidra till att minimera konsekvenserna av olyckor och till att minska de negativa effekterna på vattenmiljön och strandzonen.

Kustbevakningen ska också enligt 1 § förordningen med instruktion för Kustbevakningen ha förmåga att förebygga, motstå och hantera krissituationer inom sitt ansvarsområde. Kustbevakningen ska med andra ord ha beredskap för särskild krishantering i anledning av situationer som allvarligt påverkar samhällets funktionsförmåga eller tillgång till nödvändiga resurser. Kustbevakningen ska härvid kunna uthålligt delta i ledning och samordning av omfattande krishanteringssituationer för att minska konsekvenserna för liv, egendom och miljö vid svåra påfrestningar på samhället i fred. Regeringen, som har behandlat detta Kustbevakningens uppdrag i förhållande till den föreslagna lagens tillämpningsområde i avsnitt 9.1, konstaterar att för det fall att personuppgifter behöver behandlas i denna verksamhet kommer detta i första hand att ske enligt det särskilda ändamålet räddningstjänst. Även om det vid räddningstjänst kan förekomma uppgifter av integritetskänslig karaktär så rör det sig – i vart fall inte inom den typ av räddningstjänst som Kustbevakningen normalt sett bedriver – inte av känsliga uppgifter av sådan omfattning att det enligt regeringen finns behov av motsvarande restriktiva regler för behandlingen som i Kustbevakningens brottsbekämpande verksamhet.

Samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation

Ett stort antal myndigheter i Sverige arbetar regelbundet med sjöbaserad information, dvs. uppgifter som på ett eller annat sätt rör aktiviteter på svenskt vatten. De berörda myndigheterna samlar var och en för sig in verksamhetsspecifik information, som sedan utbyts med andra myndigheter i den utsträckning de behöver få tillgång till den. Detta innebär att det dagligen pågår ett omfattande informationsutbyte mellan svenska myndigheter som arbetar med sjörelaterade frågor.

För att effektivisera detta informationsutbyte har Kustbevakningen fått regeringens uppdrag att samordna de civila myndigheternas behov av sjöövervakning och förmedla civil sjöinformation till berörda myndig-

heter. Uppdraget följer uttryckligen av 1 § förordningen med instruktion för Kustbevakningen och har sitt ursprung i regeringens uttalanden i propositionen Det nya försvaret (prop. 1999/2000:30 s. 148 f.). Regeringen ansåg i det sammanhanget att de civila myndigheternas behov av sjöinformation skulle komma att öka, bl.a. avseende gränskontroll och gränsöverskridande brottslighet, men också i fråga om tillgänglighet, framkomlighet och säkerheten för sjöfarten. Regeringen framhöll också vikten av att den information som finns i olika system görs tillgänglig för sammanställning och tillhandahålls de myndigheter som behöver den. Mot denna bakgrund bedömde regeringen att Kustbevakningen borde ges ett formaliserat samordningsansvar att koordinera de civila behoven av sjöövervakning samt att förmedla denna information till berörda civila verksamheter.

Regeringen har i avsnitten 6.4, 7.1 och 7.2 redogjort för hur Kustbevakningen samverkar och utbyter information med andra myndigheter. Saken utvecklas därför inte ytterligare här. Det är Kustbevakningen som har ansvaret för det tekniska systemet där information samlas in, bearbetas och lämnas ut. Kustbevakningen fungerar med andra ord som en värdmyndighet för den information som behandlas. Informationen kommer visserligen att kunna användas i Kustbevakningens operativa verksamhet, men det primära syftet med Kustbevakningens behandling av uppgifter är att samordna och förmedla information till berörda myndigheter.

Eftersom verksamheten inte bedrivs enbart för Kustbevakningens egna informationsbehov utan även för att tillgodose behoven hos samtliga berörda myndigheter, omfattas verksamheten inte alltid av de ändamål som hittills föreslagits. En uttrycklig ändamålsbestämmelse är därför enligt regeringen nödvändig. Det finns inte anledning att formulera ändamålet på annat sätt än så som uppgiften anges i förordningen med instruktion för Kustbevakningen.

Regeringen konstaterar att syftet med att ange samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation som ett särskilt primärt ändamål för behandling av uppgifter inte är att det inom denna verksamhet ska förekomma någon mer omfattande behandling av uppgifter om fysiska personer. Huvuddelen av behandlingen kommer liksom i dag, att avse helt andra typer av uppgifter. Det rör sig främst om, vilket också promemorian har uppgett, sjörelaterad information avseende uppgifter om fartyg och andra objekt till sjöss (position, fart, kurs m.m.). Det är dock oundvikligt att det inom ramen för verksamheten behandlas personuppgifter, såsom indirekta personuppgifter avseende t.ex. ägarskap till ett fartyg. Sådan behandling av uppgifter sker redan i dag inom Kustbevakningen med stöd av personuppgiftslagen. Enligt regeringens bedömning är det av integritetsskäl lämpligt att uttryckligen reglera förutsättningarna för behandlingen i lagen.

Vattenföroreningsavgifter

I Kustbevakningens uppdrag att bedriva sjöövervakning ingår att myndigheten enligt 4 § förordningen med instruktion för Kustbevakningen

ska utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Vattenföroreningsavgift är en administrativ sanktion vid olovliga oljeutsläpp. Närmare bestämmelser om sådana avgifter finns i lagen (1980:424) om åtgärder mot förorening från fartyg (vattenföroreningslagen). Lagen kompletteras av förordningen (1980:789) om åtgärder mot förorening från fartyg. Lagstiftningen är tillämplig på såväl svenska som utländska fartyg, men inte på andra utländska fartyg än sådana som används i affärsdrift (1 kap. 1 och 3 §§ lagen). Bestämmelserna gäller inte heller på fritidsfartyg (2 kap. 8 § förordningen).

Vattenföroreningsavgift tas ut om något förbud mot utsläpp av olja från fartyg har överträtts och utsläppet inte är obetydligt eller i vissa fall om ett utsläpp inte har begränsats så långt det är möjligt (8 kap. 1 § lagen). Avgiften, som bestäms med hänsyn till utsläppets omfattning samt fartygets storlek, påförs som huvudregel den fysiska eller juridiska person som vid överträdelsen var fartygets ägare eller redare.

Enligt 6 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen får personuppgifter behandlas vid myndighetens handläggning av ärenden om vattenföroreningsavgift om det är nödvändigt för att utreda frågan om sådan avgift, besluta om att påföra någon sådan avgift, eller besluta om förbud eller förelägganden som avses i lagens 8 kap.

Regeringen konstaterar att det även fortsättningsvis finns ett behov för Kustbevakningen att få behandla personuppgifter i samband med ärenden om vattenföroreningsavgift. Regeringen föreslår därför – i likhet med promemorian – att den nya lagen tillförs ett primärt ändamål som motsvarar den uppgift som Kustbevakningen har enligt 4 § förordningen med instruktion för Kustbevakningen, d.v.s. att utreda och besluta i ärenden om vattenföroreningsavgift samt att ta ut sådana avgifter.

Sammanfattningsvis föreslår regeringen alltså att Kustbevakningen ska få behandla personuppgifter när det behövs för att utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter.

Internationellt samarbete

Sjöfarten är till sin karaktär internationell. För att effektivt utöva övervakning, tillsyn och kontroll inom ramen för den internationella samverkan som byggts upp sedan 1990-talet och alltjämt är under utveckling, krävs att de berörda myndigheterna i olika länder kan utbyta information. Det gäller i första hand inom de gemensamma mekanismer som byggts upp inom EU, men också vid annat samarbete med t.ex. tredjeland.

Kustbevakningen ska enligt 15 § förordningen med instruktion för Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Informationsutbyte med andra länder kan avse såväl information på en mer allmän nivå, t.ex. gemensamma lägesbilder, som utlämnande av information till en enskild tjänsteman inom ramen för ett särskilt ärende,

t.ex. en gränskontrolloperation. I båda dessa fall kan verksamheten effektiviseras om behandlingen av de relevanta uppgifterna kan ske automatiserat. Informationsutbyte kan också ske genom att tjänstemän från flera länder arbetar tillsammans inom ramen för särskilda ärenden. Utlämnande sker i sådana sammanhang främst med stöd av regleringen i 8 kap. 3 § offentlighets- och sekretesslagen.

Med hänsyn till den betydelse det internationella samarbetet har för bl.a. en effektiv gränskontroll anser regeringen att det är angeläget att det internationella samarbetet underlättas och att lagstiftningen inte i onödan utgör ett hinder för möjligheterna att utbyta information. Exempelvis bör inom ramen för etablerade samarbetsformer uppgifter delas som är av stort intresse för motsvarande myndigheter i andra länder men som inte nödvändigtvis omfattas av något av de primära ändamål som anges i lagen, därför att uppgifterna inte primärt behövs i Kustbevakningens egen verksamhet. En jämförelse kan härvid göras med det särskilda ändamålet samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, som dock inte omfattar informationsutbyte med andra än svenska myndigheter. I denna del kan också hänvisas till de överväganden som gjorts i avsnitt 10.2.3 angående behovet av en särskild ändamålsbestämmelse avseende internationellt samarbete i den brottsbekämpande verksamheten.

Mot denna bakgrund, och för att skapa förutsättningar för en effektiv utveckling av det internationella samarbetet, anser regeringen att en sådan ändamålsbestämmelse om internationellt samarbete bör tas in i lagen. Den bör utformas så att den ger möjlighet att behandla uppgifter om det behövs för att Kustbevakningen ska kunna fullgöra skyldigheter inom ramen för internationellt samarbete på vissa närmare angivna områden. Vid internationellt samarbete ska för behandlingen självklart gälla samma integritetsskydd som vid behandling för övriga ändamål. I den utsträckning samarbetet övergår i brottsbekämpande verksamhet, gäller de särskilda bestämmelser i lagen som reglerar sådan behandling, se avsnitt 14.3.

Gemensamt tillgängliga uppgifter

Begreppet gemensamt tillgängliga uppgifter har behandlats i avsnitt 9.2. I avsnittet redogörs för vikten av att begränsa möjligheten till behandling av gemensamt tillgängliga uppgifter p.g.a. risken för intrång i den enskildes personliga integritet. De personuppgifter som behandlas i Kustbevakningens övriga operativa verksamheten är emellertid inte av sådan art att risken för intrång i den personliga integriteten är lika påtaglig som i den brottsbekämpande verksamheten. Det finns därför enligt regeringens mening inte skäl att ha ett motsvarande regelverk som i den brottsbekämpande verksamheten för när personuppgifter får göras gemensamt tillgängliga. I stället bör personuppgifter få behandlas och göras gemensamt tillgängliga i den utsträckning det behövs för att Kustbevakningen ska kunna fullgöra sina uppgifter enligt de primära ändamålen. Det bör dock inte vara tillåtet att göra personuppgifter gemensamt tillgängliga i andra fall.

Hänvisningar till S14-1

14.2. Sekundära ändamål för behandling av personuppgifter i annan operativ verksamhet hos Kustbevakningen

Regeringens förslag: Personuppgifter som behandlas i annan operativ verksamhet hos Kustbevakningen än den brottsbekämpande ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. Kustbevakningens brottsbekämpande verksamhet,

2. en annan myndighets verksamhet om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och

3. likartad verksamhet hos utländsk myndighet. Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen eller till annan, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan uppräknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har tillstyrkt eller har inte haft något att invända mot förslaget. Kustbevakningen påpekar särskilt att ändamålen täcker de behov Kustbevakningen har att behandla personuppgifter i denna verksamhet.

Skälen för regeringens förslag

Allmänna utgångspunkter

I föregående avsnitt har regeringen lämnat förslag till hur lagens ändamålsreglering bör utformas och vilka de i lagen angivna primära ändamålen bör vara i fråga om annan operativ verksamhet hos Kustbevakningen än den brottsbekämpande. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges för sådan verksamhet eller med andra ord i vilken utsträckning uppgifter som har samlats in för denna verksamhet ska få lämnas ut till andra. Som regeringen tidigare har betonat är målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av Kustbevakningens uppgiftsutlämnande. Kustbevakningens verksamhet innefattar dock behandling av en stor mängd uppgifter av skiftande karaktär och behovet av att kunna utbyta uppgifter med andra, framför allt myndigheter, är omfattande. Det är mot den bakgrunden svårt att i lagtexten uttömmande räkna upp de ändamål för vilka uppgifter ska kunna lämnas ut. Regeringen anser därför – i likhet med promemorian – att det bör finnas ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de i lagen särskilt angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen).

I sammanhanget bör påpekas, på samma sätt som har skett i avsnitt 10.3.1, att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan vara ett led i den egna verksamheten och således omfattas av något av de primära ändamålen.

Tillhandahållande av information till Kustbevakningens brottsbekämpande verksamhet

För att Kustbevakningen på ett effektivt sätt ska kunna lösa sina uppgifter i den brottsbekämpande verksamheten kan det fordras att personuppgifter som behandlas i Kustbevakningens övriga operativa verksamhet tillhandahålls den brottsbekämpande verksamheten. Exempelvis kan en av Kustbevakningen företagen kontroll ha genererat information som påkallar behandling i den brottsbekämpande verksamheten, för att avgöra om det finns misstanke om brott och för att Kustbevakningen ska kunna vidta de åtgärder som krävs. Regeringen anser därför att Kustbevakningens brottsbekämpande verksamhet, när det är nödvändigt, ska kunna få tillgång till uppgifter som behandlas i den övriga operativa verksamheten hos Kustbevakningen.

Bistånd och tillhandahållande av information till andra svenska myndigheter

Kustbevakningen kan enligt lag eller förordning vara skyldig att bistå en annan myndighet med vissa uppgifter. Havs- och vattenmyndigheten kan exempelvis enligt 5 kap. 4 § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen överlåta åt Kustbevakningen att bl.a. kontrollera transportdokument. Enligt 5 kap. 1 e § samma förordning ska Kustbevakningen vidare till Havs- och vattenmyndigheten lämna sådana uppgifter som myndigheten kan antas behöva vid prövning av ärenden om vissa administrativa sanktioner enligt fiskelagen (1993:787). De uppgifter som här aktualiseras är uppgifter från Kustbevakningens kontroll- och tillsynsverksamhet. För att Myndigheten för samhällsskydd och beredskap ska kunna fullgöra rapporteringsskyldigheten enligt 14 § förordningen (2006:311) om transport av farligt gods, ska Kustbevakningen enligt samma bestämmelse förse denna myndighet med vissa uppgifter om överträdelser som kommit till Kustbevakningens kännedom. Vidare kan nämnas att Kustbevakningen även har till uppgift att tillhandahålla information till andra myndigheter enligt bl.a. fartygssäkerhetslagen (2003:364), förordningen (2004:283) om sjöfartsskydd, förordningen (2006:1213) om hamnskydd och fartygsregisterförordningen (1975:927).

Regeringen har i det föregående redogjort för den informationshantering, det informationsutbyte och den samverkan som sker mellan Kustbevakningen och andra myndigheter eller organ (se kapitel 7). Ett stort antal myndigheter i Sverige arbetar med sjöbaserad information, dvs. uppgifter som på ett eller annat sätt rör aktiviteter på svenskt vatten. De berörda myndigheterna samlar var och en för sig in verksamhetsspecifik information, som sedan kan utbytas med andra myndigheter som behöver ha tillgång till den. Detta innebär att det ständigt pågår ett omfattande

informationsflöde mellan svenska myndigheter som arbetar med sjörelaterade frågor. Ett av de system som används för att samordna och förmedla sjöinformation är det särskilda stödsystemet benämnt SJÖBASIS, som förs av Kustbevakningen. De myndigheter som berörs av informationssystemet är – förutom Kustbevakningen – bl.a. polisen, Tullverket, Havs- och vattenmyndigheten, Sjöfartsverket, Naturvårdsverket, Myndigheten för samhällsskydd och beredskap, SMHI och Sveriges geologiska undersökning. De uppgifter som kan bli aktuella att behandla är t.ex. vatten- och väderförhållanden samt uppgift om vem som äger ett visst fartyg.

Mot denna bakgrund föreslår regeringen, i likhet med vad som föreslagits i promemorian, att det i den nya lagen uttryckligen anges att personuppgifter som behandlas i Kustbevakningens verksamhet inom ramen för de föreslagna primära ändamålen också ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet om det enligt lag eller förordning åligger Kustbevakningen att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för en myndighetsöverskridande samverkan.

Tillhandahållande av information till utländska myndigheter

Som tidigare redovisats ingår det i Kustbevakningens uppgifter att följa den internationella utvecklingen inom verksamhetsområdet och att medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, miljöskydd till sjöss och annan sjöövervakning. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Kustbevakningens internationella, direkt operativa, samarbete har bl.a. till syfte att säkerställa ändamålsenliga operativa förberedelser i form av planer, larmrutiner, ledningsstrukturer etc. samt att genom övningar och seminarier vidmakthålla och stärka den gemensamma operativa förmågan. Utvecklingen går alltmer mot gränsöverskridande operativt samarbete. Exempel på sådana samarbeten är Kustbevakningens deltagande i samarbeten med andra europeiska länder för att bl.a. upprätthålla den inre och yttre gränskontrollen och fiskerikontrollen inom EU (se avsnitt 6.2.4).

Inom ramen för det internationella samarbetet bedömer regeringen att Kustbevakningen även fortsättningsvis måste kunna få behandla personuppgifter för att lämna ut dem till utländsk myndighet, som bedriver likartad verksamhet som den svenska Kustbevakningen, i den utsträckning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om att lämna upplysningar till en utländsk motsvarighet till Kustbevakningen om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande och inte ett bindande krav. Sådan behandling bör även, liksom för närvarande, vara möjlig när det inte finns någon överenskommelse som reglerar upp-

giftsutlämnandet. En förutsättning för utbytet är dock att den rättsliga regleringen i den mottagande staten tillförsäkrar en adekvat skyddsnivå för personuppgifterna (33 § personuppgiftslagen), samt att sekretess inte hindrar utbytet.

Regeringen instämmer i promemorias förslag att en bestämmelse bör tas in i lagen om att personuppgifter som behandlas inom ramen för de primära ändamål som har föreslagits i avsnitt 14.1 även får behandlas i Kustbevakningens övriga operativa verksamhet om det är nödvändigt för att tillhandahålla information som behövs i likartad verksamhet hos utländsk myndighet.

Tillhandahållande av information till riksdagen eller regeringen eller till annan myndighet med stöd av bestämmelser om uppgiftsskyldighet

Det finns även vissa situationer där personuppgifter bör få behandlas av Kustbevakningen för utlämnade till andra än i de fall som nämnts ovan. Enligt 10 kap. 15 § offentlighets- och sekretesslagen (2009:400) hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den nya lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen.

Vidare innebär regeringens förslag, vilket överensstämmer med promemorians, att uppgifter får behandlas för att lämnas ut till annan, om Kustbevakningen enligt lag eller förordning är skyldig att tillhandahålla sådan information. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i polisdatalagen (2010:361). Med annan avses såväl myndigheter som enskilda. Med skyldighet för Kustbevakningen att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Den bestämmelsen får anses innefatta en skyldighet att lämna ut uppgifter som avses i den föreslagna lagen (jfr prop. 2009/10:85 s. 121).

Hänvisningar till S14-2

14.3. Behandling av personuppgifter när brottsmisstanke uppstår

Regeringens förslag: Uppstår misstanke om brott eller brottslig verksamhet ska den fortsatta behandlingen av personuppgifterna ske enligt vad som gäller för sådan verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inget att invända mot förslaget. Kustbevakningen anser att det inte tydligt av lagförslaget framgår att det är för den fortsatta behandlingen dessa regler

ska tillämpas och önskar därför ett förtydligande i enlighet härmed i 5 kap. 3 §.

Skälen för regeringens förslag: Som tidigare framgått har Kustbevakningen många olika uppgifter och vad som inledningsvis utgjort tillsyn eller övervakning kan i vissa fall övergå till att bli brottsbekämpande verksamhet. Brott kan t.ex. uppdagas i samband med den rutinmässiga övervakning eller kontroll och tillsyn som Kustbevakningen bedriver i exempelvis sjösäkerhets- eller miljöskyddssyfte.

Tillämparen av den föreslagna lagen har att vid varje tillfälle noggrant överväga vilka bestämmelser som ska tillämpas på de personuppgifter som behandlas. Det är emellertid enligt regeringens mening angeläget att personuppgiftsbehandlingen, så snart verksamheten övergår till att innefatta inslag av brottsbekämpning, bedrivs i enlighet med de särskilda krav som gäller för behandlingen inom sådan verksamhet och som innehåller ett förstärkt skydd för den personliga integriteten.

Närhelst en uppgift som Kustbevakningen utför innebär eller övergår i brottsbekämpande verksamhet – exempelvis när Kustbevakningen upprättar en brottsanmälan eller på annat sätt rapporterar ett misstänkt brott med anledning av iakttagelser som gjorts vid miljöskyddsåtgärder – ska således behandlingen av personuppgifter ske i enlighet med 3 och 4 kap. i den föreslagna lagen. Detta gäller även om det är fråga om misstanke om brott eller brottslig verksamhet som faller utanför Kustbevakningens behörighet, men där myndigheten ändå kan komma att behöva behandla personuppgifter. Den föreslagna lagtexten täcker även detta fall. Regeringen föreslår därför att det av lagen uttryckligen ska framgå att om uppgifter som insamlas i t.ex. Kustbevakningens verksamhet med räddningstjänst (eller annan operativ verksamhet som inte utgör brottsbekämpning) ger anledning till misstanke om brott eller brottslig verksamhet, ska den fortsatta behandlingen av de aktuella uppgifterna ske enligt bestämmelserna om behandling av personuppgifter i den brottsbekämpande verksamheten.

Hänvisningar till S14-3

14.4. Känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i personuppgifter i den del av Kustbevakningens operativa verksamhet som inte är brottsbekämpande. Det ska dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har inte haft några skärskilda synpunkter på förslaget.

Skälen för regeringens förslag: Som tidigare har berörts i avsnitt 11.3 avseende den brottsbekämpande verksamheten, är vissa uppgifter särskilt integritetskänsliga, bl.a. uppgifter som avslöjar etniskt ursprung, politiska åsikter eller religiös eller filosofisk övertygelse. I den del av Kustbevakningens verksamhet som inte är brottsbekämpande finns det inte något behov av att använda känsliga personuppgifter som sökbegrepp. Det

finns således ingen anledning att tillåta dylik sökning i denna verksamhet. Förbudet mot att söka på känsliga personuppgifter ska gälla oavsett om uppgifterna har gjorts gemensamt tillgängliga eller inte. På samma sätt som i den brottsbekämpande verksamheten ska det dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp. Exempelvis kan det i samband med räddningstjänst finnas behov av att söka på uppgift som beskriver en persons utseende.

Hänvisningar till S14-4

  • Prop. 2011/12:45: Avsnitt 19.1

14.5. Direktåtkomst i annan operativ verksamhet än den brottsbekämpande samt utlämnande av uppgifter i andra fall

Regeringens förslag: Direktåtkomst till personuppgifter i annan operativ verksamhet ska endast få avse uppgifter som behandlas enligt de primära ändamålen. Direktåtkomst ska vidare endast få avse personuppgifter som har gjorts gemensamt tillgängliga och får inte avse känsliga personuppgifter. En svensk myndighet som medgetts direktåtkomst ska ansvara för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. I lagen ska finnas en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget. Kustbevakningen och Havs- och vattenmyndigheten är positiva till förslaget.

Skälen för regeringens förslag

Direktåtkomst

Innebörden av begreppet direktåtkomst har diskuterats i avsnitt 12.3.2. Kustbevakningen bedriver också inom den operativa verksamhet som inte avser brottsbekämpning ett omfattande samarbete med andra svenska myndigheter. Detta samarbete förenklas avsevärt genom möjlighet till direktåtkomst till olika uppgifter. Den kontroll och tillsyn som myndigheten ansvarar för bedrivs i allt väsentligt på områden för vilka andra myndigheter har det yttersta ansvaret, t.ex. gränskontroll och fiskerikontroll. Det är därför naturligt att det sker ett elektroniskt uppgiftsutbyte mellan Kustbevakningen och den myndighet som har huvudansvaret. Det särskilda uppdraget att samordna civila behov av sjöövervakning och förmedla civil sjöinformation förutsätter att information kan utbytas mellan myndigheterna genom direktåtkomst.

I de ovan angivna sammanhangen finns alltså ett stort behov av utbyte av information och omfattande effektivitetsvinster kan enligt regeringens bedömning nås genom att direktåtkomst möjliggörs. Direktåtkomst bör

därför enligt regeringens bedömning kunna medges till gemensamt tillgängliga uppgifter som behandlas för de primära ändamål som anges i 1 §. Direktåtkomst kan omfatta bl.a. dokument som är en följd av Kustbevakningens kontroll- och tillsynsverksamhet, t.ex. inspektionsrapporter. Inget hindrar att sådana dokument används som underlag av den myndighet som har medgetts direktåtkomst för bedömningar av vilka åtgärder som bör vidtas mot överträdelser som har iakttagits av Kustbevakningen. För att tydligt markera att direktåtkomst till gemensamt tillgängliga uppgifter i annan verksamhet än den brottsbekämpande inte får avse uppgifter som är särskilt känsliga ur integritetssynpunkt, föreslås en förtydligande bestämmelse om att direktåtkomsten inte ska få avse känsliga personuppgifter. Regeringen föreslår, i likhet med promemorian, vidare en bestämmelse som innebär att en svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (jfr avsnitt 12.3.5).

Kontakter med myndigheter i andra länder är också en naturlig del av Kustbevakningens operativa verksamhet. Kustbevakningen har framhållit att det finns ett behov av att inom ramen för det internationella samarbetet kunna ge utländska myndigheter direktåtkomst till vissa uppgifter som behandlas i den icke brottsbekämpande verksamheten. Regeringen anser också att det är möjligt att se ett behov av en sådan reglering. Som regeringen har framhållit i tidigare avsnitt är det internationella samarbetet av stor betydelse och en stor del av Kustbevakningens verksamhet är av sådan karaktär att den är helt beroende av samverkan med myndigheter i andra länder. Samarbetet tar sig olika uttryck och bedrivs i varierande former. En viktig del är de mekanismer som byggts upp inom EU, men också samarbetet med tredjeland – t.ex. inom Baltic Sea Region Border Control Cooperation (BSRBCC) – är av stor betydelse.

De uppgifter som kan vara aktuella att tillgängliggöra genom direktåtkomst för utländska myndigheter handlar främst om fartygs namn, position, kurs och fart kompletterad med information om iakttagelser, jämte uppgifter från förhandsanmälningar. De personuppgifter som kan komma i fråga är främst sådana som endast indirekt kan hänföras till en fysisk person, framförallt sådana uppgifter om fartyg som kan användas för kontinuerlig uppdatering av en gemensam lägesbild. När det gäller den typen av uppgifter konstaterar regeringen att det redan i dag sker ett omfattande informationsutbyte – dock inte genom direktåtkomst.

Som framgår av avsnitt 12.3.6 har regeringen bedömt att det inte finns tillräckliga skäl för att öppna möjlighet för regeringen att föreskriva om direktåtkomst för utländska myndigheter på det brottsbekämpande området. När det gäller den icke brottsbekämpande verksamheten är emellertid omständigheterna annorlunda. Det är till största delen fråga om uppgifter som inte är personuppgifter. De kategorier av personuppgifter som behandlas utanför brottsbekämpningen är dessutom av väsentligt mindre känslig karaktär. Vidare är den verksamhet som Kustbevakningen bedriver, utöver den brottsbekämpande, av sådan art, variation och omfattning att det finns anledning till att ha en större flexibilitet såvitt avser direktåtkomst till uppgifter som behandlas.

Sammanfattningsvis anser regeringen, i likhet med promemorian, att övervägande skäl talar för att ge svenska myndigheter möjlighet att ha

direktåtkomst till personuppgifter i annan verksamhet hos Kustbevakningen än den brottsbekämpande. Direktåtkomsten bör dock endast avse personuppgifter som behandlas enligt de primära ändamålen och som har gjorts gemensamt tillgängliga samt får inte avse känsliga personuppgifter. Även utländska myndigheter bör få ges möjlighet till direktåtkomst. Självklart måste det vid bedömningen av om direktåtkomst ska tillåtas beaktas om staten i fråga har en adekvat nivå för skyddet av personuppgifter och vilken informationssäkerhet i övrigt som tillhandahålls där.

Författningsreglering av direktåtkomst

Frågan är då hur direktåtkomsten bör regleras. Direktåtkomst till uppgifter hos annan myndighet innebär särskilda risker från integritetssynpunkt, eftersom den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut. I Kustbevakningens brottsbekämpande verksamhet behandlas integritetskänsliga uppgifter och därför har i avsnitt 12.3.5 föreslagits en bestämmelse i lagen där det framgår vilka myndigheter som är aktuella för att medges direktåtkomst.

När det däremot gäller uppgifter i Kustbevakningens övriga verksamheter kan det inte anses nödvändigt att det av lag uttryckligen framgår vilka myndigheter som kan få direktåtkomst. I dessa verksamheter behandlas inte uppgifter av känslig karaktär om enskildas personliga förhållanden i samma utsträckning som i den brottsbekämpande verksamheten. Vidare gäller, särskilt i fråga om informationsutbytet inom Kustbevakningens samordning av sjöövervakning som inte sker i brottsbekämpande syfte och förmedling av sjöinformation, att myndighetsstrukturen i framtiden kan komma att ändras. Likaså kan förutsättningarna för det internationella samarbetet förändras. Det kan därför med kort varsel behöva ske förändringar av vem som ska få ha direktåtkomst. Mot denna bakgrund bör det i lagen upplysas om att regeringen meddelar bestämmelser om vilka myndigheter som får ha direktåtkomst till uppgifter som behandlas i Kustbevakningens icke brottsbekämpande verksamhet. När det gäller direktåtkomst för utländska myndigheter bör, när så är aktuellt, regeringen i förordning ange inom vilka etablerade samarbetsformer – t.ex. gemenskapsmekanismer – som direktåtkomst får medges. När regeringen meddelar föreskrifter måste regeringen förhålla sig till bestämmelsen i 2 kap. 6 § 2 stycket regeringsformen. Föreskrifterna får alltså inte innebära ett betydande intrång i den personliga integriteten. En sådan åtgärd kräver författningsändring på lagnivå (2 kap. 20 § regeringsformen). Därmed upprätthålls skyddet för den personliga integriteten vid direktåtkomst.

Utlämnande av uppgifter i andra fall

I fråga om uppgifter i den brottsbekämpande verksamheten föreslår regeringen särskilda bestämmelser om uppgiftsskyldighet och utlämnande. Dessa bestämmelser föreslås kompletteras med en bestämmelse som anger att regeringen meddelar föreskrifter om att personuppgifter får lämnas ut även i andra fall.

När det gäller personuppgiftsbehandling för de ändamål som behandlas i detta kapitel bedömer regeringen emellertid att det, till skillnad från vad som föreslås gälla för den brottsbekämpande verksamheten, inte finns anledning att införa särskilda bestämmelser i lag om uppgiftsskyldighet och utlämnande. Uppgifterna är av varierande karaktär och gemensamt för dem är att de i huvudsak är mindre integritetskänsliga än sådana som behandlas i den brottsbekämpande verksamheten. Särskilda sekretessbrytande bestämmelser kan dock behövas även i dessa verksamheter, i syfte att underlätta informationsutbytet mellan myndigheter på såväl nationell som internationell nivå. I den föreslagna lagen bör upplysas om att regeringen har möjlighet att meddela sådana bestämmelser i förordning (se vidare författningskommentaren till 5 kap. 6 §).

Hänvisningar till S14-5

15. Övriga sekretessfrågor

Regeringens förslag: Sekretess med så kallat omvänt skaderekvisit ska, i likhet med vad som gäller för övriga brottsbekämpande myndigheter, gälla i Kustbevakningens verksamhet som avses i kustbevakningsdatalagen med att förebygga, förhindra eller upptäcka brottslig verksamhet med hänsyn till intresset av att förebygga och beivra brott.

En sekretessbrytande bestämmelse ska införas när det gäller uppgiftsutlämnande som motsvarar vad som gäller för polisen, Skatteverket och Tullverket.

Regeringens bedömning: Skydd för uppgift om enskilds personliga och ekonomiska förhållanden i Kustbevakningens brottsbekämpande verksamhet omfattas av 35 kap. 1 § 4 p offentlighets- och sekretesslagen. Någon ytterligare sekretessbestämmelse behövs inte.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens.

Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag och bedömning

Informationsutbyte i den brottsbekämpande verksamheten

Regeringen har i det föregående pekat på att ett effektivt brottsbekämpande arbete kräver goda förutsättningar för samverkan mellan de brottsbekämpande myndigheterna. Förutsättningarna för utbyte av information kan emellertid påverkas av olika faktorer, t.ex. möjligheterna för de brottsbekämpande myndigheterna att utbyta personuppgifter genom direktåtkomst, vilka sekretessregler som är tillämpliga och hur dessa är utformade eller vilket konkret behov en myndighet har av att få tillgång till personuppgifter i verksamheten. Enligt regeringens mening är utgångspunkten för ett effektivt brottsbekämpande samarbete att myndigheter som har liknande uppgifter inom det brottsbekämpande området bör omfattas av likartade eller jämförliga regler.

Det förekommer redan i dag informationsutbyte mellan de brottsbekämpande myndigheterna och dessa har tillgång till varandras databaser och register i den utsträckning offentlighets- och sekretesslagen (2009:400), personuppgiftslagen (1998:204) och olika registerförfattningar tillåter det. För att Kustbevakningen på bästa sätt ska kunna fullgöra sina uppgifter har dock myndigheten ett behov av utökat och tekniskt utvecklat samarbete och informationsutbyte med såväl andra brottsbekämpande myndigheter som övriga samverkande myndigheter.

Intresset av ett gott samarbete och goda möjligheter att utbyta information måste emellertid alltid ställas mot intresset av skydd för den personliga integriteten. Tanken bakom såväl offentlighets- och sekretesslagstiftningen som personuppgiftslagen och annan lagstiftning som reglerar behandlingen av personuppgifter är behovet av att kunna skydda den enskildes personliga integritet. När information ska utbytas måste hänsyn tas till om – och i så fall i vilken grad – sekretess gäller för de aktuella uppgifterna.

Regeringen konstaterar att nu gällande sekretessbestämmelser innebär att möjligheterna till informationsutbyte i viss mån begränsas. Samtidigt är det viktigt med ett effektivt sekretesskydd för känsliga uppgifter. För att underlätta Kustbevakningens samverkan med andra myndigheter på det brottsbekämpande området föreslår regeringen vissa ändringar som presenteras i det följande.

Sekretess till skydd för verksamheten

Enligt 18 kap. 1 § offentlighets- och sekretesslagen gäller sekretess bl.a. för uppgifter i polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet för att förebygga, uppdaga, utreda eller beivra brott. Vidare framgår av 18 kap. 2 § samma lag att sekretess gäller för uppgifter som hänför sig till underrättelseverksamhet som avses i bl.a. 3 § polisdatalagen (1998:622), 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Vissa ändringar kommer att ske i bestämmelsen då polisdatalagen (2010:361) träder i kraft den 1 mars 2012. Tillämpningsområdet är emellertid i huvudsak detsamma som tidigare (prop. 2009/10:85 s. 301).

Nu gällande polisdatalag innehåller de särbestämmelser som utöver personuppgiftslagen behövs vid behandling av personuppgifter i polisens verksamhet för att förebygga brott m.m. I lagens 3 § finns vissa definitioner, bl.a. av begreppet underrättelseverksamhet. Lagen avgränsar på så sätt inom vilken polisverksamhet automatiserad behandling av uppgifter i underrättelseverksamhet får förekomma. Med underrättelseverksamhet avses i detta sammanhang dels polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning, dels annan verksamhet som hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott. Sekretess gäller för uppgift som hänför sig till sådan underrät-

telseverksamhet om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Andra stycket i 18 kap. 2 § offentlighets- och sekretesslagen innebär att den sekretess som gäller för polisens underrättelseverksamhet även gäller för sådan verksamhet hos Skatteverket och Tullverket. Vad som i Skatteverkets verksamhet avses med underrättelseverksamhet definieras i 2 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

När det gäller Tullverkets verksamhet avses i 18 kap. 2 § andra stycket offentlighets- och sekretesslagen verksamhet enligt 7 § 1 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Härmed avses verksamhet som utförs för att förhindra och upptäcka brottslig verksamhet. I samband med att sistnämnda lag infördes utmönstrades begreppet underrättelseverksamhet.

Sekretessen har i 18 kap. 1 § andra stycket offentlighets- och sekretesslagen avgränsats med ett omvänt skaderekvisit för uppgifter som hänför sig till underrättelseverksamhet, såväl hos polisen som hos Skatteverket och Tullverket. Det innebär att uppgifter i myndigheternas underrättelseverksamhet inte får lämnas ut om det inte står klart att uppgifterna kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Kustbevakningens behandling av personuppgifter i myndighetens verksamhet med att förhindra eller upptäcka brottslig verksamhet som i dag sker med stöd av personuppgiftslagen och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, omfattas inte av bestämmelserna i 18 kap. 2 § andra stycket om sekretess i underrättelseverksamhet. Härvid får i stället 18 kap. 1 § andra stycket 2 offentlighets- och sekretesslagen tillämpas, som anger att sekretess gäller för uppgift som hänför sig till åklagarmyndighets, polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott.

Avgränsningen av sekretessen i 18 kap. 1 § skiljer sig från regleringen i 18 kap. 2 § på så sätt att sekretessen endast gäller om följden av att uppgifterna lämnas ut kan antas bli att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretesskyddet är här således utformat med ett rakt skaderekvisit som inte ger ett lika starkt skydd som det omvända skaderekvisitet i 2 §.

Regeringens målsättning är att Kustbevakningens behandling av personuppgifter i underrättelseverksamhet, eller verksamhet med att förebygga, förhindra eller upptäcka brottslig verksamhet, ska få en motsvarande reglering i lag som i dag gäller för polisen, Tullverket och Skatteverket. Mot bakgrund härav framstår det som naturligt att den sekretess som gäller för polisens, Tullverkets och Skatteverkets underrättelseverksamhet ska gälla även för sådan verksamhet hos Kustbevakningen. Regeringen föreslår därför att ett tillägg med denna innebörd görs i 18 kap. 2 § andra stycket offentlighets- och sekretesslagen.

I enlighet med vad som numera gäller för behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och vad som gäller enligt den nya polisdatalagen, föreslås i lagen om personuppgiftsbehandling i Kustbevakningens verksamhet inte någon definition av begreppet underrättel-

severksamhet. I 18 kap. 2 § andra stycket offentlighets- och sekretesslagen bör därför, på motsvarande sätt som för polisen och för Tullverket, införas en regel som anger att sekretess gäller i sådan verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet som anges i den nya lagen. I sak innebär detta att all underrättelseverksamhet inom Kustbevakningens brottsbekämpande verksamhet, oavsett hur uppgifterna behandlas, omfattas av sekretess enligt andra stycket.

I 35 kap. 10 § offentlighets- och sekretesslagen finns en sekretessbrytande bestämmelse som medför att uppgifter utan hinder av sekretess får lämnas ut enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen, lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar. Bestämmelsen ger bl.a. en möjlighet att lämna ut uppgifter till andra stater och till enskilda. Eftersom förslaget till ny lag innehåller bestämmelser om uppgiftsskyldighet bör bestämmelsen, såsom anförts i promemorian, kompletteras så att motsvarande sekretessbrytande reglering gäller även för Kustbevakningens brottsbekämpande verksamhet.

Sekretess med hänsyn till skyddet för enskilds förhållanden av såväl personlig som ekonomisk natur

Sekretessreglerna i 18 kap.14 §§offentlighets- och sekretesslagen gäller till skydd för det allmännas brottsförebyggande och brottsbeivrande arbete.

I 35 kap. 1 § offentlighets- och sekretesslagen finns korresponderande regler om sekretess till skydd för enskildas intressen, bl.a. beträffande uppgifter i register som förs i olika brottsbekämpande myndigheters verksamhet. I bestämmelsen begränsas sekretessen, precis som i 18 kap. 2 §, genom ett omvänt skaderekvisit.

I 35 kap. 1 § första stycket 4 finns en bestämmelse om sekretess som, utan att direkt hänföra sig till förundersökning eller tvångsmedel i brottmål m.m., gäller i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Genom bestämmelsen blir det möjligt att hemlighålla uppgifter som mera allmänt hänför sig till de uppräknade myndigheternas brottsbekämpande verksamhet.

Sekretess gäller vidare för uppgifter som förekommer i vissa register, bl.a. sådana register som förs av Rikspolisstyrelsen enligt polisdatalagen (35 kap. 1 § första stycket 6 offentlighets- och sekretesslagen). I Kustbevakningens brottsbekämpande verksamhet förekommer emellertid inte någon registerföring som kräver särskild reglering. Den behandling av personuppgifter som sker här omfattas av den redan befintliga sekretessregleringen i 35 kap. 1 § första stycket 4 som redogjorts för ovan. Det saknas därför anledning att införa någon ytterligare sekretessbestämmelse.

Hänvisningar till S15

  • Prop. 2011/12:45: Avsnitt 19.2

16. Bevarande och gallring

Hänvisningar till S16

  • Prop. 2011/12:45: Avsnitt 9.3.2

16.1. Inledning

När stora mängder uppgifter om enskilda personer samlas hos myndigheter uppstår oundvikligen integritetsrisker, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information görs på ett enkelt sätt. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller bestämmelser som föreskriver begränsningar i möjligheten att behandla uppgifterna i myndigheternas verksamhet.

Med gallring avses att handlingar eller uppgifter sorteras ut och förstörs. När det gäller gallring av elektroniska upptagningar innebär det normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Den egentliga informationen som finns på ett elektroniskt medium behöver dock inte förstöras för att det ska vara fråga om gallring i traditionell mening. Material kan gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet.

Vid utformningen av gallringsbestämmelser måste det beaktas att vissa uppgifter behöver bevaras för framtiden för att offentlighetsprincipen inte ska bli verkningslös. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningsbehov. Det går alltså inte att undantagslöst föreskriva att samtliga uppgifter ska gallras när de inte längre behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset.

Sedan år 2003 föreskrivs i 2 kap. 18 § tryckfrihetsförordningen att grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar ska meddelas i lag. Bestämmelser om bevarande och gallring finns framför allt i arkivlagen (1990:782) men även i författningar som reglerar behandling av personuppgifter.

Handlingsoffentligheten bärs upp av arkivsystemet, som innebär att allmänna handlingar ska bevaras i arkiv. Enligt 3 § arkivlagen ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Allmänna handlingar får enligt 10 § samma lag gallras, men vid gallringen ska det beaktas att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 §. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, eller enligt särskilda gallringsföreskrifter i lag eller förordning. Arkivlagens utgångspunkt är att allmänna handlingar ska bevaras. Syftet med arkivering är att spegla verksamheten som den

såg ut då den pågick. Att uppgifter arkiverats hindrar inte att uppgifterna på samma sätt som tidigare är sökbara och tillgängliga i verksamheten.

Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning och för att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, dvs. gallring görs av både ekonomiska skäl och hanteringsskäl.

Gallring görs även för att skydda den enskildes integritet. Sådana föreskrifter finns vanligtvis i de författningar som reglerar myndigheters personuppgiftsbehandling, s.k. registerförfattningar.

Som gallring räknas enligt Riksarkivets föreskrifter förstöring av allmänna handlingar och uppgifter i allmänna handlingar (se t.ex. 2 kap. 1 § RA-FS 2003:3). All överföring av uppgifter som medför informationsförluster för användaren betraktas därmed också som gallring. Överföring till annan databärare räknas enligt Riksarkivet som gallring om överföringen medför informationsförlust, förlust av sökmöjligheter eller förlust av möjlighet att fastställa informationens autenticitet.

Offentlighets- och sekretesskommittén gav i betänkandet Ordning och reda bland allmänna handlingar (SOU 2002:97 s. 73) en liknande beskrivning av gallring i elektronisk miljö.

Regeringen konstaterar att gallringsbestämmelserna i den nya lagen bör syfta till att skydda den personliga integriteten för personer vilkas uppgifter behandlas automatiserat. När information överförs från elektronisk form till pappersform måste detta skydd anses ha uppnåtts och uppgifterna anses gallrade. Varje mindre förändring av den elektroniskt lagrade informationen, t.ex. ändrade sökmöjligheter, kan emellertid inte anses utgöra gallring enligt den nya lagen. Uppgifter kan inte heller anses gallrade enbart genom att de överförts till ett annat datamedium för digital arkivering, eftersom uppgifterna då fortfarande kan bli föremål för olika slag av sammanställningar. Innebörden av de gallringsbestämmelser som föreslås bör vara att uppgifter inte längre ska vara digitalt åtkomliga i verksamheten efter utförd gallring. Uppgifter bör anses gallrade även om de fortfarande förekommer i säkerhetskopierat material (prop. 2009/10:58).

I personuppgiftslagen (1998:204) saknas uttryckliga regler om gallring. Däremot anges i 9 § första stycket att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Samtidigt anges i 8 § andra stycket personuppgiftslagen att myndigheternas bevarande av allmänna handlingar inte hindras av lagen. Personuppgiftslagens reglering innebär alltså i den meningen en prioritering av intresset att bevara allmänna handlingar framför integritetsskyddsintresset. En sådan ordning medges också genom punkt 72 i ingressen till dataskyddsdirektivet, som anger att direktivet gör det möjligt att vid genomförandet av bestämmelserna i direktivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.

I förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen finns en bestämmelse om gallring. I 24 § förordningen föreskrivs att personuppgifter ska gallras när de inte längre behövs med hänsyn till ändamålen med behandlingen. Vidare anges att personuppgifter som behandlas i den brottsbekämpande verksamheten ska gallras senast ett år efter det att behandlingen inleddes. Riksarkivet får dock

meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Hänvisningar till S16-1

16.2. Gallring av personuppgifter i Kustbevakningens brottsbekämpande verksamhet

Hänvisningar till S16-2

  • Prop. 2011/12:45: Avsnitt 16.3.1

16.2.1. Allmänt om bevarande och gallring

Regeringens förslag: Personuppgifter ska inte få bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i det kapitel i lagen som reglerar behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Denna generella bestämmelse om längsta tid för bevarande ska kompletteras med särskilda bestämmelser i lagen som anger tidpunkter för när uppgifter senast måste gallras eller inte längre får behandlas i den brottsbekämpande verksamheten.

I lagen ska det finnas en bestämmelse som upplyser om att regeringen meddelar föreskrifter om digital arkivering.

Regeringens bedömning: Personuppgifter som inte längre får behandlas för brottsbekämpande ändamål och som bevaras automatiserat för arkivändamål bör avskiljas.

Promemorians förslag överensstämmer med regeringens. I promemorian finns inte någon motsvarande bedömning.

Remissinstanserna: De flesta remissinstanser har tillstyrkt eller har inte haft några synpunkter på promemorians förslag. Datainspektionen anför att bestämmelsen om gallring i den brottsbekämpande verksamheten måste kombineras med bestämmelser som utesluter tillgång till (digitalt) arkiverat material för att ett tillräckligt skydd för den personliga integriteten ska kunna skapas. Datainspektionen har i fråga om polisdatalagen understrukit vikten av att de två systemen skiljs från varandra på ett sådant sätt att återföring av arkiverade personuppgifter till den brottsbekämpande verksamheten inte kan ske. Detta bör beaktas även ifråga om Kustbevakningen. Riksarkivet anser att det i promemorian inte har gjorts någon analys av förhållandet till offentlighetsprincipen. Riksarkivet uppger vidare att uttrycket ’digital arkivering’ är olämpligt när TF med följdförfattningar använder begreppen ’handling’ respektive ’upptagning’ och uttrycket ’automatiserad behandling’. Vidare uppstår oklarhet om regleringen i 3 § arkivförordningen (1991:446) om arkivering av handlingar och bemyndigandet för Riksarkivet att meddela ytterligare föreskrifter hamnar i konflikt med föreslagen bestämmelse.

Skälen för regeringens förslag och bedömning: Om inga särskilda gallringsbestämmelser föreslås i lagen kommer arkivlagens (1990:782) huvudregel om bevarande att gälla. De bestämmelser om gallring som finns i eller följer av arkivlagen anger när gallring får ske och framtvingar alltså inte gallring. När sådana gallringsbestämmelser meddelas är det intresset av offentlighet och insyn som styr frågan om gallring. Arkivlagens bestämmelser om bevarande och gallring syftar således inte till att tillgodose integritetsskyddsintressena.

I Kustbevakningens brottsbekämpande verksamhet behandlas en stor mängd personuppgifter automatiserat. Detta ökar typiskt sett risken för integritetsintrång. Regeringen konstaterar att sekretessbestämmelser och bestämmelser om begränsningar i tillgången till register inte fullt ut kan tillgodose integritetsskyddet och ersätta bestämmelser om bevarande och gallring i Kustbevakningens brottsbekämpande verksamhet. Det bör därför finnas regler om bevarande och gallring i denna verksamhet. Enligt regeringens mening bör dock vid utformningen av sådana bestämmelser vägas in vilka övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex. begränsningar i fråga om behandling och tillgång till uppgifter. Vidare måste en avvägning göras mellan intresset av skydd för den personliga integriteten och intresset av offentlighet och insyn i myndigheternas verksamhet.

Det är viktigt att personuppgifter bevaras endast om det finns berättigade ändamål för bevarandet. Denna princip kommer till uttryck bl.a. i artikel 5 e i dataskyddskonventionen. Normalt finns det berättigade ändamål för att bevara uppgifter i ett ärende i den brottsbekämpande verksamheten en tid efter det att ärendet avslutades. Uppgifter i tidigare brottsutredningar och underrättelseärenden får ofta betydelse i senare ärenden varför det kan vara svårt att avgöra om, och på vilket sätt, uppgifter i ett enskilt ärende kan komma att få betydelse i något annat ärende hos Kustbevakningen. Ärenden kan även av olika anledningar behöva tas upp på nytt. Vidare behöver uppgifter bevaras en tid efter det att ett ärende har avslutats med anledning av de behov som ett närarkiv normalt fyller för en myndighet. Sådant bevarande bör vara tillåtet även om det alltså inte sker för något särskilt utpekat konkret ändamål, exempelvis en viss brottsutredning. Mot den bakgrunden föreslår regeringen att det i lagen ska införas en generell bestämmelse som anger att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i det kapitel i den nya lagen, som reglerar behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet.

Den nu föreslagna generella bestämmelsen om längsta tid för bevarande bör emellertid – av integritetsskyddsskäl – kompletteras med mer preciserade bestämmelser som föreskriver en yttersta gräns för att bevara vissa kategorier av uppgifter. Regeringen lämnar förslag till sådana bestämmelser i avsnitten 16.2.3 och 16.2.4. De särskilda gallringsbestämmelserna bör, till skillnad mot den generella bestämmelsen, endast gälla automatiserad behandling av personuppgifter. För behandling t.ex. i manuella register behövs inga särskilda gallringsbestämmelser. Motsvarande bedömning gjordes i propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (2004/05:164 s. 194) och propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 210).

Digital arkivering

Arkivering är ett teknikneutralt begrepp. Handlingar och uppgifter kan således arkiveras både manuellt och digitalt. Enligt 2 kap. 12 § polisdatalagen (2010:361) meddelar regeringen föreskrifter om digital arkivering.

I förarbetena till bestämmelsen uttalade regeringen att om endast arkivlagens bestämmelser skulle vara tillämpliga skulle digitalt arkiverade allmänna handlingar, som inte längre behövdes i polisens brottsbekämpande verksamhet, i princip kunna fortsätta att behandlas på samma sätt som tidigare i verksamheten. Det fortsatta bevarandet skulle dock ske för arkivändamål. Mot bakgrund av att arkivlagen inte hindrar eller ställer upp några begränsningar för fortsatt digital behandling av arkiverade uppgifter i den brottsbekämpande verksamheten, var regeringens bedömning att det fanns ett behov av närmare föreskrifter som angav ramen för sådan fortsatt behandling för att skapa nödvändigt integritetsskydd (prop. 2009/10:85 s. 212). Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter fortsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål.

Regeringen konstaterar att Kustbevakningen i dag inte har något system för digital arkivering. Emellertid bör den reglering som nu föreslås ta i beaktande att system för digital arkivering inom överskådlig tid kan komma att införas och användas i Kustbevakningens verksamhet. Regeringen föreslår därför att det i lagen, i likhet med vad som kommer att gälla för polisens brottsbekämpande verksamhet, tas in en bestämmelse som upplyser om att regeringen meddelar föreskrifter som anger ramen för digital arkivering i Kustbevakningens brottsbekämpande verksamhet. En sådan föreskrift skiljer sig således från Riksarkivets bemyndigande i 3 § arkivförordningen vilket avser föreskrifter om när en handling ska anses vara arkiverad. Begreppet ”digital arkivering” förekommer i polisdatalagen. Det är regeringens uppfattning att begreppet bör användas även i den här föreslagna lagen på grund av behovet av enhetlighet och för att underlätta ett effektivt samarbete mellan brottsbekämpande myndigheter. Regeringen gör vidare bedömningen att digitalt arkiverade uppgifter som inte längre får behandlas i den brottsbekämpande verksamheten, i likhet med vad regeringen uttalat i prop. 2009/10:85 s. 212, bör avskiljas genom att uppgifterna bevaras i en separat databas eller genom någon liknade åtgärd till skydd för den personliga integriteten. Bestämmelserna i arkivlagen om arkivbildning och dess syften samt arkivlagens bestämmelser om arkivvård bör vara avgörande för hur informationen bevaras och struktureras.

Hänvisningar till S16-2-1

16.2.2. Gallring av uppgifter som inte har gjorts gemensamt tillgängliga

Regeringens förslag: Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången. Bestämmelsen gäller inte i ärenden om utredning eller beivrande av brott.

I lagen ska finnas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer meddelar avvikande föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Riksarkivet tillbakavisar förslaget och anser att arkivlagens bestämmelser ska gälla så att gallring kan ske när uppgifterna inte längre behövs i verksamheten och behovet av insyn har avtagit, om de inte bedöms behövas för forskningens behov som en del av det nationella kulturarvet. Riksarkivet vill även erinra om att allmänna handlingar måste bevaras i ursprungligt skick.

Skälen för regeringens förslag: Från integritetssynpunkt är det viktigt att personuppgifter som samlas in i Kustbevakningens brottsbekämpande verksamhet inte behandlas längre tid än nödvändigt och att det utöver en generell bestämmelse om längsta tid för bevarande finns särskilda gallringsfrister för olika kategorier av uppgifter som behandlas automatiserat. När gallringsfristernas längd bestäms finns det anledning att göra skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter. När det gäller uppgifter som inte har gjorts gemensamt tillgängliga, torde behovet av att av verksamhetsskäl behandla dem under längre tid typiskt sett vara begränsat. Dessutom är det från integritetssynpunkt särskilt angeläget att sådana uppgifter inte behandlas under längre tid, eftersom det enligt det nya lagen endast kommer att gälla ett fåtal begränsningar för behandlingen av dem. Regeringen föreslår därför att personuppgifter som inte har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet ska gallras senast ett år efter det att de behandlades automatiserat första gången.

När det gäller uppgifter som behandlas inom ramen för ett ärende bör enligt regeringens bedömning gallring lämpligen ske inom ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett ärende bör i stället gallras inom ett år efter det att uppgifterna behandlades automatiserat första gången. Gränsdragningen mellan de båda fallen redovisas i författningskommentaren.

Riksarkivet anser att arkivlagens bestämmelser ska gälla och anför att

Kustbevakningens uppgifter är i större utsträckning än polis- och tullmyndigheters hänförliga till områden som bl.a. inbegriper sjösäkerhet, miljö- och naturvårdsintressen. Det finns därmed ett stort allmänintresse av insyn i tillvaratagandet av uppgifter. Det stämmer att Kustbevakningen utför andra uppgifter än brottsbekämpande sådana. För dessa föreslår regeringen att särskilda bestämmelser om gallring ska gälla, se avsnitt 16.3. När det gäller Kustbevakningens brottsbekämpande verksamhet gör regeringen emellertid följande bedömning.

Även om Kustbevakningens brottsbekämpande verksamhet i vissa avseenden är av annan karaktär än polisens finns det, främst med hänsyn till den personliga integriteten, behov av likartad reglering om gallring i de brottsbekämpande verksamheterna. Det förekommer att en person är föremål för utredning och därmed personuppgiftsbehandling både hos polisen och hos Kustbevakningen. Skyddet för den enskildes personliga integritet ska inte vara beroende av om ett ingripande görs av polisen eller Kustbevakningen. Samma uppgift bör normalt inte heller bevaras hos den ena myndigheten när den av integritetsskäl ska gallas hos den andra. Allmänintresset av insyn uppväger enligt regeringens mening inte behovet av samordning och integritetsskydd i fråga om den brottsbekäm-

pande verksamheten. Som utgångspunkt bör reglerna om gallring därför motsvara vad som kommer att gälla enligt den nya polisdatalagen.

För att tillgodose intresset av offentlighet och insyn föreslår regeringen att det i lagen införs en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, utan hinder av bestämmelser om gallring, meddelar föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål. Bestämmelsen ska vidare upplysa om att regeringen meddelar föreskrifter om att vissa kategorier av uppgifter ska få behandlas och bevaras under längre tid än de i lagen angivna fristerna. För vissa speciella slag av uppgifter är nämligen fortsatt bevarande befogat (se avsnitt 16.2.4). Sådana föreskrifter kan regeringen meddela med stöd av sin restkompetens enligt 8 kap. 7 § regeringsformen, om lagen inte utesluter det.

När uppgifter behandlas i ärenden om utredning eller beivrande av brott, gör sig dock särskilda hänsyn gällande. I fråga om uppgifter i sådana ärenden tillämpas i stället bestämmelserna om gallring i arkivlagen.

Hänvisningar till S16-2-2

16.2.3. Gallring av gemensamt tillgängliga uppgifter

Regeringens förslag: Personuppgifter som har gjorts gemensamt tillgängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslig verksamhet är tidsfristen i stället fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats inom ramen för det internationella samarbetet ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats enbart på den grunden att de har rapporterats till Kustbevakningens ledningscentraler ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inga synpunkter på förslaget. Riksarkivet tillbakavisar den föreslagna huvudregeln om gallring och snävt tilltagna frister och föreslår istället att bestämmelserna utformas på liknande sätt som i 4 kap. 8–12 §§ författningsförslaget. Riksarkivet menar att Kustbevakningens verksamhet har en annan karaktär än polis- och tullmyndigheters och att mer långsiktiga negativa effekter av t.ex. miljöpåverkan fordrar ett bevarande av personuppgifter för att tillgodose allmänhetens insyn, förvaltningens och rättskipningens informationsbehov och forskningens behov.

Skälen för regeringens förslag: Från integritetssynpunkt är det viktigt att personuppgifter inte behandlas i verksamheten, automatiserat eller i nämnda register, längre än nödvändigt. Som redan har nämnts bör det därför i lagen anges särskilda gallringsfrister. Det kan dock vara svårt att generellt avgöra hur länge en uppgift fortfarande kan vara av betydelse

för brottsbekämpningen. Uppgifter som har framkommit i ett avslutat underrättelseprojekt kan senare få betydelse för ett annat projekt eller för en förundersökning. Alltför snäva gallringsfrister kan därför få negativa konsekvenser för den brottsbekämpande verksamheten.

När det gäller gemensamt tillgängliga personuppgifter som behandlas inom ramen för Kustbevakningens brottsbekämpande verksamhet instämmer regeringen i promemorians förslag att gallring normalt bör ske senast tre år från det att uppgifterna samlades in. När det gäller uppgifter om personer som kan antas ha samband med brottslig verksamhet bör – som huvudregel – gallring ske senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslighet ska uppgifterna gallras efter fem år. Detta överensstämmer med vad som gäller för gallring av uppgifter i polisens verksamhet (se 3 kap. 14 § polisdatalagen). Vad Riksarkivet anfört förändrar inte denna bedömning (se avsnitt 16.2.2). Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

För polisen ska enligt polisdatalagen ytterligare några gallringsfrister gälla. Regeringen konstaterar att den brottsbekämpande verksamhet som Kustbevakningen bedriver i ett antal avseenden inte motsvarar de uppgifter som polisen har att utföra inom ramen för sin verksamhet. Enligt regeringens bedömning finns det därför inte anledning att i den här föreslagna lagen införa en särskild gallringsbestämmelse vad avser personuppgifter som har behandlats i samband med övervakning av brottsbelastade eller potentiellt sett farliga personer (se 3 kap. 14 § tredje stycket polisdatalagen). Det finns inte heller något behov av att införa en motsvarighet till den bestämmelse i polisdatalagen som föreskriver att den tid under vilken en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska räknas bort vid beräkningen av gallringsfristen (se 3 kap. 14 § sista stycket).

När det gäller uppgifter som behandlas inom ramen för internationellt samarbete gör regeringen följande överväganden. Allt arbete som sker för att fullgöra internationella åtaganden är i princip ärendebaserat. När en förfrågan kommer från ett annat land hanteras denna inom ramen för någon form av ärende. Det finns behov av att bevara ärenden en tid efter det att de avslutats, bl.a. för att i efterhand kunna svara på frågor om vidtagna åtgärder. När ett år har gått efter det att ett ärende har avslutats kan dock i allmänhet behovet inte anses vara så stort att det motiverar en fortsatt behandling. Regeringen bedömer därför att uppgifterna bör kunna gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Om en uppgift från ett internationellt ärende behöver bevaras för något annat av den föreslagna lagens ändamål, kan uppgiften behandlas för det nya ändamålet i den utsträckning lagen tillåter en sådan behandling. Motsvarande reglering finns i den nya polisdatalagen.

Regeringen har i det föregående föreslagit att också uppgifter som har rapporterats till Kustbevakningens ledningscentraler ska kunna göras gemensamt tillgängliga, oavsett uppgifternas karaktär. Behovet av sådana uppgifter består dock enligt regeringens mening enbart under en kortare

tid. Regeringen föreslår därför att uppgifterna ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

En viktig fråga är vilken gallringsfrist som ska gälla om uppgifter som har samlats in i ett visst sammanhang därefter används i ett annat projekt eller ärende. Vad bör t.ex. gälla om uppgifter, som har rapporterats till en ledningscentral, kort tid efter rapporteringen tas tillvara i ett underrättelseprojekt? Enligt regeringens uppfattning bör man tillämpa den gallringsfrist som gäller för uppgiften i dess nya sammanhang. Uppgifter i ett underrättelseprojekt som har inhämtats från en ledningscentral bör alltså gallras enligt samma principer som gäller för uppgifter som har inhämtats på annat sätt.

Hänvisningar till S16-2-3

16.2.4. Ärenden om utredning eller beivrande av brott

Regeringens bedömning: Det bör inte införas några särskilda gallringsbestämmelser för uppgifter i ärenden om utredning eller beivrande av brott. Det bör däremot föreskrivas vissa begränsningar i möjligheten att behandla uppgifter i brottsanmälningar, förundersökningar eller andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. Begränsningarna bör dock inte hindra att uppgifterna arkiveras eller gallras enligt arkivlagens bestämmelser.

Regeringens förslag: För personuppgifter i brottsanmälningar, avslutade förundersökningar och andra liknande utredningar som har gjorts gemensamt tillgängliga ska följande begränsningar gälla för behandlingen.

Om en förundersökning har lagts ned, om ett åtal har lagts ned eller om den misstänkte har frikänts genom en dom som har vunnit laga kraft, får personen inte längre vara sökbar som misstänkt.

Personuppgifter i en brottsanmälan, som inte har lett till förundersökning eller annan motsvarande utredning, ska inte få behandlas i Kustbevakningens brottsbekämpande verksamhet när det brott som anmälan avser har preskriberats. Uppgifter i en anmälan som avser ett handlande som inte har bedömts utgöra brott ska över huvud taget inte få behandlas.

Personuppgifter i förundersökningar och liknande brottsutredningar ska inte heller få behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då en dom, eller ett beslut med anledning av domstolsprövning, vann laga kraft eller sedan fem år förflutit från utgången av det kalenderår då förundersökningen lades ned eller avslutades på annat sätt.

När de angivna tidsfristerna har löpt ut ska uppgifter i en förundersökning få behandlas endast om uppgiften får behandlas längre enligt föreskrifter som har meddelats av regeringen.

Promemorians bedömning och förslag överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller har inga synpunkter på förslaget eller bedömningen. Datainspektionen anser att uppgifter om en person som har frikänts av domstol eller där åtal har

lagts ned, överhuvudtaget inte ska få behandlas för andra ändamål än arkivering eller motsvarande. Vid den proportionalitetsbedömning som ska göras anser inspektionen inte att detta behov svarar mot de inskränkningar i den personliga integriteten som det skulle innebära. Att behandla personuppgifter om frikända under lika lång tid som de som dömts för brott strider mot straffrättsliga principer och är inte proportionerligt ur ett integritetsskyddsperspektiv.

Riksarkivet tillstyrker att uppgifter och handlingar i denna verksamhet bevaras och gallras enligt arkivlagens bestämmelser. Riksarkivet anser dock att författningsförslaget bör kompletteras med en sådan bestämmelse för att tydliggöra detta förhållande, t.ex. genom ett andra stycke i föreslagen 8 §.

Skälen för regeringens bedömning och förslag

Inga gallringsbestämmelser för förundersökningar

Det finns enligt regeringens mening anledning att skilja på gallring av uppgifter i förundersökningar och gallring av andra personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. I dag arkiveras förundersökningar enligt arkivlagens bestämmelser och frågan om gallring av förundersökningar avgörs därmed av det arkivrättsliga regelverket. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning.

Skälen bakom den nuvarande ordningen gör sig enligt regeringens bedömning fortfarande gällande. Regeringen delar därför promemorians uppfattning att det inte bör införas några särskilda gallringsbestämmelser i fråga om förundersökningar. Detsamma bör gälla liknande brottsutredningar, t.ex. utredningar enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. Om en uppgift från en förundersökning behandlas för ett annat ändamål, t.ex. i ett underrättelseprojekt, bör dock uppgifterna i det sammanhanget gallras enligt de gallringsbestämmelser som gäller vid behandling för detta ändamål.

En möjlighet att utan några begränsningar behandla uppgifter i alla avslutade förundersökningar skulle emellertid kunna innebära särskilda integritetsrisker. I avsaknad av särskilda gallringsbestämmelser för förundersökningar bör det därför gälla begränsningar bl.a. i fråga om hur länge uppgifter i en förundersökning får vara tillgängliga i den brottsbekämpande verksamheten. Dessa begränsningar – som kompletterar den generella bestämmelsen om längsta tid för bevarande – bör endast gälla gemensamt tillgängliga uppgifter och bör inte hindra att uppgifterna arkiveras eller gallras enligt bestämmelserna i arkivlagen. För att uppnå det integritetsskydd som eftersträvas med bestämmelser om tidsbegränsning av behandling av uppgifter i den brottsbekämpande verksamheten bör regeringen också meddela kompletterande föreskrifter om att uppgifter som arkiveras digitalt ska avskiljas (se avsnitt 16.2.1 där frågan om

digital arkivering behandlas). Det finns vissa sådana bestämmelser i den nya polisdatalagen. Regeringens följande överväganden bygger i allt väsentlig på de förslagen och de skäl som anförts för dessa (prop. 2009/10:85 s. 221 f.). Riksarkivets synpunkt om tillägg till 4 kap. 8 § har ingen motsvarighet i polisdatalagen och bör inte heller införas i den nya kustbevakningsdatalagen.

Behandling av uppgifter om brottsmisstankar

I likhet med vad som gäller för polisens verksamhet enligt 13 § i den nuvarande polisdatalagen och vad som gäller för Tullverket enligt 17 och 18 §§ lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, bör huvudregeln även i Kustbevakningens verksamhet vara att i en förundersökning förekommande uppgifter om att en viss person är misstänkt för brott inte får behandlas efter det att förundersökningen har lagts ned på grund av bristande bevisning eller åtal mot den misstänkte har lagts ned eller ogillats.

En sådan uppgift bör dock enligt regeringen få behandlas, om förundersökningen har lagts ned på grund av bristande bevisning, om den misstänkte fortfarande bedöms vara skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt. Har åtal mot personen lagts ned eller ogillats, bör uppgiften få behandlas för annat ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av om resning bör ske.

Av hänsyn till den enskildes integritet bör givetvis en domstols dom eller beslut, som innebär att den åtalade frias från ansvar för brott få genomslag även hos Kustbevakningen på det sättet att en sådan person inte längre anges som misstänkt. Detsamma bör gälla när en förundersökning har lagts ned. Med detta avses dock inte att alla handlingar som rör brottsmisstanken måste rensas ut, utan enbart att den åtalade personen inte får utpekas såsom misstänkt och att man vid olika typer av sökningar inte ska få träff på honom eller henne i egenskap av misstänkt. Regeringen vill dock framhålla att det under den period uppgifterna i ärendet får behandlas i Kustbevakningens brottsbekämpande verksamhet bör vara möjligt att vid en sökning få fram en uppgift om att personen tidigare har varit misstänkt. Genom kravet på att det ska framgå att personen i fråga inte längre är misstänkt minskar risken för integritetsintrång. Dessutom kommer Kustbevakningen troligtvis att bevara flertalet av sina ärenden under viss tid efter att de har avslutats. Den fortsatta behandlingen har då inte sin grund i att det finns kvarstående misstankar mot personen i fråga utan i allmänna verksamhetsbehov av att bevara avslutade ärenden. Detta stämmer överens med den reglering som finns i polisdatalagen. Till skillnad mot vad Datainspektionen anfört, anser regeringen att Kustbevakningens behov av att kunna ha tillgång till ärenden under viss tid efter att de har avslutats sammantaget väger tyngre än det integritetsintrång som det kan innebära för en tidigare misstänkt person att uppgifter om honom eller henne förekommer i Kustbevakningens datasystem.

Sammanfattningsvis föreslår regeringen att om en förundersökning har lagts ned, om åtal har lagts ned eller om den misstänkte har frikänts genom en dom som har vunnit laga kraft, ska en uppgift om att en person är

misstänkt vara sökbar endast om förundersökningsledaren har beslutat att återuppta förundersökningen eller fråga är om prövning av resning bör ske.

Tillgång till avslutade förundersökningar

I en förundersökning finns det även andra uppgifter än uppgifter om brottsmisstankar. Den nuvarande regleringen för Kustbevakningens personuppgiftsbehandling uppställer inga särskilda hinder mot behandling av sådana uppgifter, frånsett de hinder som följer av de allmänna bestämmelserna i personuppgiftslagen (1998:204).

Frågan blir då i vilken utsträckning Kustbevakningen bör kunna få behandla andra typer av uppgifter i avslutade brottsutredningar än de uppgifter som har berörts i det föregående. Här gör sig olika behov gällande.

Ett sådant är Kustbevakningens behov av att kunna ha tillgång till uppgifterna en tid efter det att saken har avslutats för att lättare kunna utreda nya brott begångna av samma person eller mot samma person. Om en person återfaller i brott, är ofta tidigare brottsutredningar av intresse. Vet man att det nya brottet har begåtts tillsammans med andra, okända gärningsmän, kan uppgifter om medgärningsmän i en tidigare brottsutredning vara av vikt. Vidare kan det i den tidigare brottsutredningen finnas uppgifter om de tillvägagångssätt som användes vid det tidigare brottet.

Dessutom har Kustbevakningen behov av att ta vara på information från brottsutredningar för att samla information om vissa typer av brott. Sådan information har framför allt betydelse för det brottsförebyggande arbetet. Ett ytterligare behov är att kunna utnyttja tidigare brottsutredningar för utbildning och allmän kompetensutveckling inom Kustbevakningen.

Det är mot den angivna bakgrunden rimligt att uppgifter ur förundersökningar får vara tillgängliga i Kustbevakningens brottsbekämpande verksamhet även en viss tid efter det att saken har avslutats. Denna tid bör dock inte vara alltför lång. Regeringen bedömer att fem år utgör en rimlig avvägning mellan integritetsintressena och Kustbevakningens verksamhetsbehov (jfr prop. 2009/10:85 s. 226). Regeringen föreslår därför att personuppgifter i förundersökningar eller liknande brottsutredningar inte ska få behandlas i Kustbevakningens brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår från det att en dom, eller ett beslut med anledning av domstolsprövning, vunnit laga kraft eller sedan fem år förflutit från utgången av det kalenderår då förundersökningen lades ned eller avslutades på annat sätt. Om Kustbevakningen redan innan femårsgränsen har löpt ut bedömer att uppgifterna i ärendet inte längre behöver vara tillgängliga i den brottsbekämpande verksamheten får uppgifterna i ärendet inte längre bevaras där. Detta följer av den generella bestämmelsen om längsta tid för bevarande som har föreslagits i avsnitt 16.2.1.

I sammanhanget är det viktigt att påminna om att lagens övriga bestämmelser innebär att tillgången till uppgifter i förundersökningar kommer att begränsas på olika sätt. Åtkomsten till uppgifter ska t.ex. anpassas till vilket behov olika tjänstemän har av att få tillgång till uppgifterna och alla uppgifter får inte vara sökbara.

Tillgång till förundersökningar även efter fem år

I undantagsfall kan det finnas behov av att kunna få tillgång till uppgifter i en förundersökning som inte längre får behandlas på grund av de tidsbegränsningar som regeringen föreslår. Uppgifter i avslutade förundersökningar bör därför få behandlas längre tid än fem år om uppgifterna behövs i en ny förundersökning eller för ett underrättelseprojekt som inletts före femårsfristens utgång. Av hänsyn till enskildas integritet finns det dock enligt regeringens bedömning inte skäl att tillåta fortsatt behandling av hela förundersökningen i den brottsbekämpande verksamheten, utan tillgången bör begränsas till vissa kategorier av uppgifter. Det skulle exempelvis sannolikt räcka att i en förundersökning som lett till fällande dom behandla uppgifter om den dömde, omständigheterna kring brottet och ärendenummer eller liknande referensuppgift. Med hjälp av dessa uppgifter skulle ärendet kunna återfinnas i myndighetens arkiv (om handlingarna arkiverats). Motsvarande torde gälla beträffande nedlagda förundersökningar.

Regeringen konstaterar att föreskrifter om behandling av vissa kategorier av uppgifter i avslutade brottsutredningar under längre tid än fem år bör vara väl preciserade. De närmare ändamålen för behandlingen bör anges liksom när uppgifterna senast ska gallras. Bland annat med hänsyn till att sådana föreskrifter kommer att vara detaljerade och till att Kustbevakningens behov kan komma att förändras över tiden bör föreskrifterna inte meddelas i lag utan i förordning. I avsnitt 16.2.1 anges att regeringen meddelar föreskrifter om att vissa kategorier av uppgifter ska få behandlas längre än de i lagen angivna fristerna. Regeringen har härvid att förhålla sig till bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, dvs. de föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten. En sådan åtgärd kräver författningsändring på lagnivå (2 kap. 20 § regeringsformen).

Tillgång till brottsanmälningar som inte har lett till förundersökning

En typ av uppgifter som kräver särskild reglering är anmälningar om brott. Ett stort antal brottsanmälningar leder till ett omedelbart beslut att inte inleda förundersökning. Skälet till detta är att det i flertalet fall saknas uppgifter om vem som kan misstänkas för brottet och att det inte heller i övrigt finns några uppgifter som kan bidra till utredningen om brottet. Detta utesluter emellertid inte att brottsanmälan kan aktualiseras senare, om det kommer fram nya omständigheter som kan leda till att brottet kan klaras upp, t.ex. om någon grips för likartade brott eller om gärningsmannen självmant erkänner brottet. Fram till den tidpunkt när brottet preskriberas finns det därför alltid ett latent behov av att kunna återuppta behandlingen av en brottsanmälan som inte har lett till förundersökning eller annan utredning. Bland annat mot den bakgrunden bör en brottsanmälan få vara tillgänglig i Kustbevakningens brottsbekämpande verksamhet även efter det att ärendet avslutats. Uppgifterna bör dock aldrig få behandlas i den brottsbekämpande verksamheten efter det att det brott som anmälan avser har preskriberats. En särskild bestämmelse om detta bör införas i den nya lagen.

Vad som nu har sagts bör dock inte gälla för sådana brottsanmälningar som har avskrivits på den grunden att det inte har förekommit något brott. Bland sådana anmälningar finns bl.a. vad som brukar kallas okynnesanmälningar (exempelvis att ogrundat beskylla en person för s.k. svartfiske eller sjöfylleri, vilket oftast sker i syfte att trakassera eller svärta ned den anmälde). Det skulle strida mot de allmänna principerna för behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet att tillåta en längre tids behandling av helt grundlösa brottsanmälningar. Dessa bör därför enligt huvudregeln inte kunna behandlas längre än vad som behövs för handläggningen.

16.3. Gallring av personuppgifter i annan operativ verksamhet hos Kustbevakningen

Hänvisningar till S16-3

16.3.1. Bevarande och gallring

Regeringens förslag: Personuppgifter som behandlas automatiserat i

Kustbevakningens icke brottsbekämpande verksamhet ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas.

I lagen ska upplysas om att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om att uppgifter – trots bestämmelserna om gallring – får bevaras för historiska, statistiska eller vetenskapliga ändamål samt att gallring ska ske senast vid viss tidpunkt.

I lagen ska också upplysas om att regeringen meddelar föreskrifter om digital arkivering.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna har inte yttrat sig särskilt rörande frågan om gallring av uppgifter i annan operativ verksamhet hos Kustbevakningen.

Skälen för regeringens förslag: Som regeringen har framhållit i det föregående uppstår oundvikligen risk för intrång i den personliga integriteten när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt. En metod för att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.

Regeringen har i avsnitt 16.1 redogjort för vilka allmänna förutsättningar som gäller för bevarande och gallring. Vad som har anförts i det avsnittet äger även giltighet för bevarande och gallring av personuppgifter i Kustbevakningens andra operativa verksamheter.

I avsnitt 16.2 ovan har regeringen vidare redogjort för övervägandena bakom de gallringsbestämmelser som föreslås gälla för uppgifter som behandlas i den brottsbekämpande verksamheten. Behovet av tydliga gallringsbestämmelser med uttryckligen angivna tidsramar för gallring gör sig starkast gällande i fråga om mer integritetskänsliga uppgifter, t.ex. sådana som rör misstankar om brott. Men även när det gäller andra

typer av uppgifter finns det anledning att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens system för automatiserad behandling.

I 2 kap. tryckfrihetsförordningen, arkivlagen och personuppgiftslagen finns bestämmelser om bevarande och gallring. Personuppgiftslagen föreskriver en skyldighet för den personuppgiftsansvarige att tillse att personuppgifter som inte längre är nödvändiga med hänsyn till ändamålen med behandlingen gallras, 9 § första stycket i). Som framgår av avsnitt 9.3.2 har regeringen gjort bedömningen att denna bestämmelse inte ska gälla generellt vid behandling av uppgifter enligt den här föreslagna lagen. Det innebär att det beträffande sådana uppgifter som behandlas i den icke brottsbekämpande verksamheten, måste finnas någon form av reglering av bevarande och gallring.

En ordning som överhuvudtaget inte föreskriver gallring av uppgifter som har behandlats automatiserat är enligt regeringens uppfattning inte godtagbar med hänsyn till behovet av att värna integritetsskyddsintresset, i synnerhet som gallringsbestämmelser regelmässigt finns i andra registerförfattningar.

Vid utformningen av en gallringsbestämmelse måste beaktas att den ska gälla för en rad olika verksamheter i vilka behoven av att kunna bevara uppgifter kan variera. Också personuppgifternas karaktär skiljer sig åt mellan verksamheterna. Ett alternativ till att ange bestämda gallringsfrister är att anknyta till personuppgiftslagens bestämmelse att en uppgift inte ska bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Exempel på en sådan lösning finns i lagen (2003:763) om behandlingen av personuppgifter i socialförsäkringens administration, där det i 28 § föreskrivs att personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i lagen, samt att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. Motsvarande lösning har valts i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.

Eftersom det är fråga om verksamheter av vitt skilda slag – av vilka en del faller under regleringen i dataskyddsdirektivet – anser regeringen att det är lämpligast att i föreslagna lagen ange en ändamålsanknuten gallringsbestämmelse som huvudregel och inte föreskriva fasta tidsfrister.

För vissa kategorier av uppgifter kan det emellertid förekomma att gallring behöver ske senare än vad som anges i lagen, dvs. efter det att uppgifterna inte längre behövs för det ändamål för vilket de behandlas. Därför bör lagen innehålla en upplysning om att regeringen har möjlighet att meddela föreskrifter om att gallring ska ske vid en senare tidpunkt än vad som anges i lagen.

Om en gallringsbestämmelse med föreslaget innehåll inte kompletteras med undantagsregler kommer bevarande att ske uteslutande med beaktande av verksamhetens behov. I vissa fall kan det dock finnas anledning att bevara även sådana personuppgifter som inte längre behövs för verksamheten under en längre tid än vad gallringsbestämmelserna medger. En

längre bevarandetid kan t.ex. motiveras av intresset att tillgodose behovet av källmaterial som underlag för historisk forskning eller andra vetenskapliga ändamål (jfr 9 § tredje stycket personuppgiftslagen). I många särskilda registerförfattningar finns också bestämmelser om undantag från gallringsföreskrifterna för mer eller mindre precist angivna ändamål. Det står klart att sådana behov av undantag föreligger också i fråga om de nu aktuella personuppgifterna. Gallringsbestämmelsen bör därför kompletteras med en regel av vilken framgår att undantag från gallringskravet gäller om regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Regeringen har ansett att en motsvarande regel bör gälla för personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet (se avsnitt 16.2.1). De skäl som anges där för att regeringen meddelar föreskrifter om digital arkivering av personuppgifter i Kustbevakningens brottsbekämpande verksamhet gör sig också gällande här. Den föreslagna lagen innehåller därför även en upplysning om att regeringen meddelar föreskrifter om digital arkivering för den icke brottsbekämpande verksamheten.

Hänvisningar till S16-3-1

  • Prop. 2011/12:45: Avsnitt 19.1

17. Ikraftträdande

Regeringens förslag:Kustbevakningsdatalagen och de ändringar som föreslås i andra författningar ska träda i kraft den 1 maj 2012.

Promemorians förslag innebär att lagen ska träda i kraft den 1 mars 2012.

Remissinstanserna har tillstyrkt eller har inget att invända mot förslaget.

Skälen för regeringens förslag: Den nya lagstiftningen om behandling av personuppgifter i Kustbevakningens verksamhet bör träda i kraft så snart som möjligt. Enligt regeringens uppfattning är den 1 maj 2012 ett lämpligt datum. De ändringar som föreslås i offentlighets- och sekretesslagen (2009:400) och i lagen (2000:343) om internationellt polisiärt samarbete bör även de av praktiska skäl träda i kraft vid samma tidpunkt.

Vidare bedömer regeringen att behandling av personuppgifter och andra uppgifter som i dag utförs i Kustbevakningens verksamhet utan övergångsbestämmelser kan omfattas av bestämmelserna i den nya lagstiftningen när den träder i kraft.

18. Konsekvenserna av förslagen

Regeringens bedömning: Förslagen kommer att ge förutsättningar för Kustbevakningen att bedriva sin verksamhet effektivt och med ett rationellt datorstöd. Förslagen innebär en flexibel reglering som ger myndigheten möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling av personuppgifter utan att det krävs ändringar i regelverket.

Förslagen bedöms medföra begränsade kostnader för Kustbevakningen. Kostnaderna bedöms rymmas inom myndighetens befintliga ekonomiska ramar.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inte haft något att invända mot bedömningen. Kustbevakningen har anfört att den nya lagen kommer att innebära en kostnad för anpassning och eventuellt införande av nya system, utbildning av tjänstemän och fler personuppgiftsombud.

Skälen för regeringens bedömning: Förslagen innebär att en modern, teknikneutral och allmänt ändamålsenlig reglering införs för Kustbevakningens personuppgiftsbehandling. Särskild hänsyn har tagits till de integritetsaspekter som följer av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. Förslagen syftar vidare till att i möjligaste mån underlätta för samverkan mellan de brottsbekämpande myndigheterna, men också mellan de olika svenska myndigheter som bedriver någon form av sjörelaterad verksamhet. Förslagen är vidare ägnade att främja det internationella samarbetet som Kustbevakningen bedriver inom sina olika verksamhetsområden, med såväl andra staters myndigheter som internationella organ.

Förslagen innebär en lagstiftning som är teknikneutral och möjliggör härigenom att nya datorsystem i framtiden kan tas i bruk utan att det blir nödvändigt att ändra regelverket. Förslagen medför också flexibilitet i fråga om möjligheterna till informationsutbyte mellan myndigheter. Förslagen innebär bl.a. att Rikspolisstyrelsen, polismyndigheterna och Tullverket m.fl. brottsbekämpande myndigheter i viss omfattning ska kunna ges direktåtkomst till uppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet. Förslagen om direktåtkomst kan förväntas medföra besparingar genom de effektivitetsvinster som direktåtkomsten medför.

Förslagen kommer att innebära begränsade kostnader för Kustbevakningens verksamhet. Bland annat kan vissa utbildningsinsatser komma att krävas, men jämfört med den fortlöpande vidareutbildningen av personalen inom Kustbevakningen bedöms dessa inte vara mer omfattande än att de kan täckas av ordinarie anslag. Denna bedömning gäller även eventuella övriga merkostnader som kan komma att uppstå.

19. Författningskommentar

19.1. Förslaget till kustbevakningsdatalag

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 §

I paragrafen anges det övergripande syftet med lagen. Motiven till bestämmelsen har redovisats i avsnitt 8.2.

Paragrafen har utformats i enlighet med Lagrådets förslag. En motsvarande paragraf, i fråga om polisens brottsbekämpande verksamhet, finns i polisdatalagen (2010:361) 1 kap. 1 §.

Lagens tillämpningsområde

2 §

Paragrafen anger lagens tillämpningsområde. Frågan har behandlats i avsnitt 9.1.

I första stycket anges inledningsvis att lagen gäller vid behandling av personuppgifter. Med personuppgifter avses detsamma som i 3 § personuppgiftslagen (1998:204), nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Också ordet behandling har samma innebörd som i den paragrafen. Därmed avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.

För att denna lag ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (jfr 5 § personuppgiftslagen som innehåller samma rekvisit). Utanför lagens tilllämpningsområde faller således helt manuell behandling av personuppgifter som inte ingår i någon sådan samling.

Lagen gäller för samtliga Kustbevakningens operativa verksamheter. Utanför lagens tillämpningsområde faller behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i Kustbevakningens verksamhet. För behandling av uppgifter som rör sådana frågor, t.ex. i personal- och löneregister, gäller i stället personuppgiftslagen.

I tredje stycket förtydligas vad som gäller när personuppgiftsbehandling ska utföras enligt lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen.

Paragrafen har utformats i enlighet med Lagrådets förslag. En motsvarande bestämmelse finns i 1 kap. 2 § polisdatalagen.

3 §

Paragrafen innehåller bestämmelser om behandling av uppgifter om juridiska personer. Frågan har behandlats i avsnitt 9.1 och 9.5.

I paragrafen föreskrivs att vissa av lagens bestämmelser ska tillämpas vid behandling av uppgifter om juridiska personer. Detta ger ett skydd för uppgifter om juridiska personer som inte har någon motsvarighet i personuppgiftslagen (1998:204).

Paragrafen är föranledd av att det i vissa fall kan vara svårt att dra gränsen mellan personuppgifter – dvs. uppgifter som direkt eller indirekt anknyter till fysiska personer – och uppgifter om juridiska personer. För att undvika gränsdragningssvårigheter och skapa ett bättre integritetsskydd har i denna paragraf föreskrivits att vissa av lagens bestämmelser ska tillämpas också vid behandling av uppgifter om juridiska personer. Det gäller bestämmelserna om tillgången till personuppgifter, personuppgiftsansvar, ändamålen för behandlingen och bevarande och gallring. Det gäller vidare vissa bestämmelser om gemensamt tillgängliga uppgifter.

Paragrafen motsvarar 1 kap. 3 § polisdatalagen. En skillnad är att bestämmelsen om personuppgiftsansvar inte är tillämplig på juridiska personer enligt polisdatalagen. I polisdatalagen finns vidare ett antal hänvisningar till bl.a. behandling hos Säkerhetspolisen som saknar motsvarighet i kustbevakningsdatalagen.

4 §

Paragrafen innehåller en definition av vad som i lagen avses med begreppet gemensamt tillgängliga uppgifter. Frågan har behandlats i avsnitt 9.2.

Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda inom Kustbevakningen får uppgifterna alltid anses vara gemensamt tillgängliga. Detsamma gäller uppgiftssamlingar som i och för sig endast en bestämd krets av personer har tillgång till, om det är förutsatt att denna krets kan komma att ändras längre fram. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig.

Uppgifter som en annan myndighet har tillgång till genom direktåtkomst är alltid gemensamt tillgängliga, se kommentaren till 4 kap. 7 § och 5 kap. 5 §.

Om uppgifterna lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses gemensamt tillgängliga. En uppgift som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomlig endast för tjänstemannen själv (och för systemadministratören) kan inte anses vara gemensamt tillgänglig. Det gäller även om syftet är att uppgiften senare ska lagras så att andra får tillgång till den. Det är alltså först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer som de blir gemensamt tillgängliga. En annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, givetvis bör beakta de regler som

gäller för behandling av gemensamt tillgängliga uppgifter för att inte försvåra den fortsatta behandlingen.

I vad mån uppgifter som är tillgängliga enbart för en bestämd krets av personer är att anse som gemensamt tillgängliga får bedömas med hänsyn till främst hur många personer som ingår i kretsen. Enbart det förhållandet att kretsen består av flera personer innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandling som sker exempelvis inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar, behöver alltså inte alltid innebära att uppgifterna görs gemensamt tillgängliga. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men en tumregel i fråga om Kustbevakningens verksamhet bör vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte, se avsnitt 9.2.

Bestämmelsen har utformats i enlighet med Lagrådets förslag. I polisdatalagen finns inte någon motsvarande paragraf. En beskrivning av vad som avses med ”gemensamt tillgängliga uppgifter” återfinns emellertid i 3 kap. 1 § polisdatalagen. Uttrycket har i denna lag samma innebörd som i polisdatalagen.

5 §

Paragrafen anger hur lagen är uppbyggd. Det första kapitlet gäller för all personuppgiftsbehandling som sker enligt lagen.

Första stycket upplyser om att 2 kap. innehåller allmänna bestämmelser om sådan behandling av personuppgifter som lagen reglerar. Bestämmelserna i 2 kap. gäller alltså för all personuppgiftsbehandling som omfattas av lagen.

I andra stycket klargörs att det i 3 kap. och 4 kap. finns bestämmelser som gäller utöver 1 och 2 kap. vid personuppgiftsbehandling i Kustbevakningens brottsbekämpande verksamhet.

I tredje stycket anges att behandling av personuppgifter i annan operativ verksamhet än den brottsbekämpande regleras – förutom av de allmänna bestämmelserna i 1 och 2 kap. – i 5 kap.

Paragrafen har utformats i enlighet med Lagrådets förslag. I 1 kap. 4 § polisdatalagen finns en motsvarande bestämmelse som anger den lagens uppbyggnad.

2 kap. Allmänna bestämmelser Förhållandet till personuppgiftslagen

1 §

Paragrafen reglerar förhållandet till personuppgiftslagen (1998:204). Om något annat inte anges i 2 § gäller denna lag i stället för personuppgiftslagen. Vid sådan personuppgiftsbehandling som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns

en hänvisning till dem i 2 §. Skälen för denna utformning har utvecklats i avsnitt 9.3.1.

Paragrafen överensstämmer med 2 kap. 1 § polisdatalagen.

2 §

Paragrafen har behandlats i avsnitt 9.3.2

Utgångspunkten är att bestämmelserna i personuppgiftslagen (1998:204) inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av förevarande lag eller föreskrifter som meddelats i anslutning till lagen. Detta följer av 1 §. Vissa utpekade paragrafer i personuppgiftslagen ska dock tillämpas. Dessa anges i första stycket. Uppräkningen är uttömmande.

Enligt punkten 1 ska de definitioner som anges i 3 § personuppgiftslagen tillämpas även vid behandling av personuppgifter som omfattas av förevarande lag.

Genom hänvisningen i punkten 2 till 8 § personuppgiftslagen klargörs att bestämmelserna i förevarande lag – eller de bestämmelser till vilka lagen hänvisar – inte ska tillämpas om det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (jfr 8 § första stycket personuppgiftslagen). Det innebär t.ex. att en myndighet inte kan vägra att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser enbart med hänvisning till att utlämnandet inte ryms inom de i lagen angivna ändamålen för behandling. I sammanhanget bör dock understrykas att offentlighetsprincipen inte innebär någon skyldighet att lämna ut uppgifter i elektronisk form. Vid bedömningen av om en uppgift kan lämnas ut i elektronisk form måste alltså lagens regler beaktas.

Av hänvisningen till 8 § personuppgiftslagen följer också att förevarande lag inte hindrar att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (jfr 8 § andra stycket personuppgiftslagen). Bestämmelserna om gallring i lagen gäller dock framför bestämmelsen i 8 § andra stycket. Detta följer av paragrafens andra stycke.

Vidare hänvisas i punkten 3 till 9 § personuppgiftslagen, med undantag för första stycket i, och tredje stycket. Hänvisningen innebär att den personuppgiftsansvarige (jfr 4 §) ska se till att uppgifterna behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt och i enlighet med god sed. I förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 143) uttalas att vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.

Den personuppgiftsansvarige ska också se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen, att de behandlade personuppgifterna är riktiga och, om det är nödvändigt, aktuella, samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till än-

damålen med behandlingen. Det är givet att man vid tillämpningen av de aktuella bestämmelserna måste ta hänsyn till den särskilda karaktären hos de uppgifter som förekommer, bl.a. i den brottsbekämpande verksamheten. Exempelvis kan kravet på att de behandlade uppgifterna är riktiga inte anses innebära något hinder mot att samla in osäkra underrättelseuppgifter, under förutsättning att uppgifterna har relevans för underrättelsearbetet och att det framgår att uppgiftens riktighet är osäker. Hänvisningen innebär vidare att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.

Bestämmelsen i 9 § första stycket d personuppgiftslagen innebär att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Genom att ange vissa primära och sekundära ändamål i 3 kap. och 5 kap. denna lag har ställningstagandet gjorts att vidarebehandling för dessa ändamål är förenlig med finalitetsprincipen. De primära ändamålen är uttömmande angivna medan det framgår av 3 kap. 4 § och 5 kap. 2 § tredje stycket att det är möjligt att lämna ut uppgifter för ett ändamål som inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in. Den personuppgiftsansvarige har således att se till dels att behandling inte sker för andra primära ändamål än de som anges i lagen, dels att vidarebehandling för andra sekundära ändamål än de i lagen angivna endast sker om det är förenligt med finalitetsprincipen. Bestämmelsen i 9 § andra stycket personuppgiftslagen innebär att en vidarebehandling för historiska, statistiska eller vetenskapliga ändamål alltid ska anses förenlig med finalitetsprincipen.

Vidare hänvisas i punkten 4 till 22 § personuppgiftslagen. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke i Kustbevakningens verksamhet bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Av hänvisningen i punkten 5 till 23 § personuppgiftslagen följer att den myndighet som samlar in uppgifter om en enskild person från personen själv självmant ska informera honom eller henne om behandlingen. Det innebär att Kustbevakningen i samband med att myndigheten tar emot och behandlar en uppgift från en person om att denne har utsatts t.ex. för brott ska underrätta honom eller henne om behandlingen. Vad informationen ska omfatta anges i 25 § personuppgiftslagen. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen samt övrig information som den aktuella personen behöver för att ta till vara sina rättigheter i samband med behandlingen av uppgifterna.

Bestämmelserna om informationsplikt i 23 och 25 §§personuppgiftslagen modifieras emellertid av andra bestämmelser. Som framgår av hänvisningen till 27 § personuppgiftslagen gäller informationsplikten inte i den utsträckning det råder sekretess eller tystnadsplikt för informationen. Dessutom begränsas informationsskyldigheten av den särskilda bestämmelsen i tredje stycket förevarande paragraf (se nedan).

Av 26 § personuppgiftslagen framgår att det är den personuppgiftsansvarige som är skyldig att på begäran lämna information till en sökande om huruvida personuppgifter som rör denne behandlas. Om sådan be-

handling sker, ska upplysning också lämnas om bl.a. ändamålet med behandlingen. Också denna informationsskyldighet modifieras genom bestämmelserna i 27 § personuppgiftslagen. Om det gäller sekretess för uppgiften enligt offentlighets- och sekretesslagen (2009:400) behöver någon information inte lämnas.

Enligt hänvisningen i punkten 6 till 28 § personuppgiftslagen ska också den lagens bestämmelser om rättelse tillämpas. Den personuppgiftsansvarige är alltså skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med förevarande lag – däribland de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – eller föreskrifter som har utfärdats i anslutning till lagen. Rättelse ska dock inte ske enbart därför att uppgifter som framstod som riktiga eller rimliga när de samlades in, t.ex. brottsmisstankar, senare har visat sig vara oriktiga.

I punkten 7 görs en hänvisning till 30 och 31 §§ samt 32 § första stycket personuppgiftslagen. Enligt 30 § första stycket får ett personuppgiftsbiträde (dvs. den som behandlar personuppgifter för den personuppgiftsansvariges räkning) och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, gäller dock – enligt 30 § tredje stycket – dessa i stället. Den sistnämnda bestämmelsen syftar särskilt på bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Av 31 § följer bl.a. att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de behandlade personuppgifterna. Enligt 32 § första stycket får tillsynsmyndigheten i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §. Med tillsynsmyndigheten avses här tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen (2 § personuppgiftsförordningen [1998:1191]).

En hänvisning görs i punkten 8 till 3335 §§personuppgiftslagen. Enligt 33 § är det förbjudet att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och reglerna för behandlingen i tredjeland. I 34 och 35 §§ föreskrivs undantag från förbudet. Enligt 34 § får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till överföringen, dels om överföringen är nödvändig med hänsyn till vissa uppräknade omständigheter. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § föreskrivs att regeringen, och för vissa fall även den myndighet som regeringen bestämmer, meddelar föreskrifter om undantag från förbudet i 33 §.

I punkten 9 görs en hänvisning till 3840 §§personuppgiftslagen, där det framgår vilka närmare uppgifter ett personuppgiftsombud har. Jfr 5 § angående skyldigheten att utse personuppgiftsombud. En hänvisning görs också till 41 § personuppgiftslagen. Enligt den paragrafen har regeringen

möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll.

Hänvisningen i punkten 10 till 42 § personuppgiftslagen innebär att den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, dvs. Datainspektionen. Sekretessbelagda uppgifter och uppgifter om vidtagna säkerhetsåtgärder behöver dock inte lämnas ut.

Datainspektionen har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Detta framgår av hänvisningen i punkten 11 till 43 § personuppgiftslagen. Om inspektionen inte har tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får den med stöd av hänvisningen till 44 § personuppgiftslagen förbjuda behandlingen. Konstaterar Datainspektionen att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska inspektionen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen, vilket följer av hänvisningen till 45 § första stycket personuppgiftslagen. Vidare hänvisas till 47 § personuppgiftslagen enligt vilken Datainspektionen ges rätt att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Av hänvisningen i punkten 12 till 48 § personuppgiftslagen följer att den personuppgiftsansvarige ska ersätta den registrerade för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med förevarande lag – och de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – har orsakat.

Av hänvisningen i punkten 13 till 51 § första stycket personuppgiftslagen följer att Datainspektionens beslut får överklagas till allmän förvaltningsdomstol. Som framgår av hänvisningen till 52 § första stycket personuppgiftslagen kan den personuppgiftsansvariga myndighetens beslut om information enligt 26 §, om rättelse och om underrättelse till tredje man enligt 28 § samt om upplysningar enligt 42 § personuppgiftslagen också överklagas hos allmän förvaltningsdomstol. Av hänvisningen till 53 § personuppgiftslagen följer att andra beslut inte får överklagas.

I andra stycket regleras hur gallringsregler i lagen, och i föreskrifter som meddelats i anslutning till lagen, förhåller sig till hänvisningen i första stycket punkten 2. Bestämmelsen innebär att denna lag ges företräde framför bestämmelserna i 8 § andra stycket personuppgiftslagen.

Det tredje stycket innehåller två undantag från informationsskyldigheten i 23 § personuppgiftslagen. För det första behöver information enligt 23 § inte lämnas om uppgifterna samlas in genom bild- eller ljudupptagning. För det andra behöver inte information lämnas om uppgifterna samlas in i samband med ett larm och det med hänsyn till omständigheterna inte finns tid att lämna information. Med larm avses en brådskande begäran om att Kustbevakningen omedelbart ska vidta en åtgärd av något slag. Bestämmelsen tar sikte på såväl de situationer där en person kontaktar Kustbevakningens ledningscentral som när han eller hon vänder

sig till en enskild tjänsteman. Huruvida det finns tid att lämna information får avgöras från fall till fall. Avgörande för denna bedömning bör främst vara om det skulle medföra en försening av den efterfrågade åtgärden eller om denna åtgärd på något annat sätt skulle påverkas negativt av att informationen lämnades. Om undantaget från informationsplikten är tillämpligt, behöver informationen inte heller lämnas i efterhand.

Förbud enligt 44 eller 45 § personuppgiftslagen får normalt förenas med vite. I fjärde stycket föreskrivs dock att förbud som meddelas i samband med tillsyn enligt denna lag inte får förenas med vite.

Paragrafen överensstämmer med 2 kap. 2 § polisdatalagen.

Tillgången till personuppgifter

3 §

Paragrafen har behandlats i avsnitt 9.4.

I Kustbevakningens verksamhet förekommer en betydande mängd uppgifter. Flertalet av de personuppgifter som är av integritetskänsligt slag behandlas i Kustbevakningens brottsbekämpande verksamhet, men sådana kan i viss utsträckning förekomma även i Kustbevakningens övriga verksamhet. Sådana uppgifter ska inte spridas till någon som inte är behörig att ta del av uppgifterna. I första stycket slås därför fast att tillgången till personuppgifter i Kustbevakningens verksamhet ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen riktar sig inte bara till dem som är engagerade i Kustbevakningens dagliga verksamhet. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande.

Paragrafen överensstämmer med 2 kap. 11 § polisdatalagen.

Personuppgiftsansvar

4 §

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Frågan har behandlats i avsnitt 9.5.

I paragrafen anges att Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Begreppet personuppgiftsansvarig definieras i 3 § personuppgiftslagen (1998:204). Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Flera bestämmelser i personuppgiftslagen, till vilka det hänvisas i 2 § denna lag, innebär särskilda skyldigheter för den personuppgiftsansvarige. Så är det t.ex. enligt 9 § första stycket personuppgiftslagen den personuppgiftsansvariges skyldighet att se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ända-

målen för behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen. Det är också den personuppgiftsansvariges uppgift att se till att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Den myndighet som samlar in och lagrar personuppgifter är personuppgiftsansvarig för den behandlingen. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma uppgift ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen.

I 2 kap. 4 § polisdatalagen finns en motsvarande bestämmelse om Rikspolisstyrelsens och polismyndigheternas personuppgiftsansvar.

Personuppgiftsombud

5 §

Frågan har behandlats i avsnitt 9.5.

I första stycket föreskrivs att Kustbevakningen ska utse ett eller flera personuppgiftsombud. Hänvisningen i 2 § första stycket punkten 9 till 3841 §§personuppgiftslagen (1998:204) innebär att den lagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga vid Kustbevakningen.

Enligt andra stycket ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, när ett personuppgiftsombud utses eller entledigas.

En motsvarande bestämmelse om personuppgiftsombud återfinns i 2 kap. 5 § polisdatalagen.

Behandling av personuppgifter för handläggning

6 §

Paragrafen ger möjlighet att behandla personuppgifter i två speciella fall, även om förutsättningarna för behandling enligt 3 kap. eller 5 kap. inte föreligger. Frågan har berörts i avsnitt 9.6.

I punkten 1 anges att personuppgifter får behandlas i den operativa verksamheten om behandlingen är nödvändig för diarieföring. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av inkomna handlingar ska alltid anges vem handlingen har kommit från och i korthet vad handlingen rör.

Vidare får, enligt punkten 2, personuppgifter behandlas i den operativa verksamheten om de har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Begreppet ”anmälan eller liknande” innefattar alla slag av framställningar till Kustbevakningen. Ofta ryms framställningar av detta slag inom något av de i lagen särskilt angivna ändamålen, men någon gång kan innehållet i framställan vara sådant att behovsrekvisiten i lagens 3 kap. 2 § och 5 kap. 1 § inte är uppfyllda. Eftersom en framställan normalt kräver något slag av handlägg-

ning hos myndigheten, är det nödvändigt med en särskild bestämmelse för personuppgiftsbehandling i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än genom att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen få till följd att personuppgifterna också får behandlas i samband med besvarandet av framställan.

Paragrafen har utformats i enlighet med Lagrådets förslag. Paragrafen motsvarar 2 kap. 9 § polisdatalagen.

Behandling av känsliga personuppgifter

7 §

Paragrafen anger i vilken utsträckning känsliga personuppgifter får behandlas i Kustbevakningens verksamhet. Frågan har behandlats i avsnitt 9.7.

Enligt första stycket får personuppgifter inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Som en följd av bestämmelsen är det inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån etniskt ursprung, politiska åsikter eller något annat i paragrafen angivet kriterium kan hänföras till en viss kategori av människor.

En uppgift om utseende utgör normalt inte en sådan personuppgift som avses i första stycket och den får alltså behandlas, med den begränsning som följer av tredje stycket. Om en sådan uppgift samtidigt innefattar uppgift om t.ex. etniskt ursprung, omfattas den dock av bestämmelsen.

Bestämmelsen i första stycket hindrar inte heller att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung. Likaså faller som regel uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land utanför förbudet mot behandling av känsliga personuppgifter. Skulle emellertid en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den in under paragrafen.

Andra stycket innehåller två undantag från huvudregeln. För det första får uppgifter om en person som behandlas på annan grund kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen. Med hänsyn till den restriktivitet som ligger i begreppet ”absolut nödvändigt” måste dock behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för utredningen. Känsliga personuppgifter kan också förekomma i förundersökningar på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom Kustbevakningen inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i förundersökningen. Om det nedtecknade förhöret eller den inkomna handlingen ingår i förundersök-

ningen omfattas behandlingen av den känsliga personuppgiften även i dessa fall av undantaget i andra stycket.

För det andra får känsliga personuppgifter alltid behandlas i de fall som avses i 6 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i anmälan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt att ta emot och besvara anmälningar och liknande skrifter i elektronisk form även om dessa innehåller känsliga personuppgifter.

I tredje stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Syftet med bestämmelsen är att förhindra att personer beskrivs i nedsättande ordalag som kan vara kränkande för individen.

Bestämmelsen överensstämmer i sak med 2 kap. 10 § polisdatalagen.

Utlämnande på medium för automatiserad behandling

8 §

Paragrafen reglerar under vilka förutsättningar uppgifter får lämnas ut i elektronisk form, t.ex. i ett e-postmeddelande eller på ett USB-minne. Bestämmelsen har inte någon sekretessbrytande verkan. Skälen för bestämmelsen har behandlats i avsnitt 9.8.

Bestämmelsen innebär att en större mängd personuppgifter, t.ex. ett helt register eller delar av ett register, inte får lämnas ut på medium för automatiserad behandling såvida inte regeringen har meddelat föreskrifter om detta. Däremot kan enligt första meningen, enstaka uppgifter lämnas ut. Uttrycket enstaka används här med en något annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen således inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett e-postmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av paragrafen. Av andra meningen följer att regeringen har möjlighet att meddela föreskrifter om utlämnande av större uppgiftsmängder, t.ex. mellan myndigheter.

Paragrafen överensstämmer med 2 kap. 20 § polisdatalagen.

9 §

Paragrafen reglerar direktåtkomst. Frågor om direktåtkomst har behandlats i avsnitten 12.3 och 14.5. Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Om någon har direktåtkomst till samtliga uppgifter i en myndighets register, kan denne alltså själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter ska lämnas ut. Bestämmelserna om direktåtkomst har inte någon sekretessbrytande verkan.

I första stycket görs klart att direktåtkomst bara får förekomma i den utsträckning som följer av denna lag. Det innebär bl.a. att det ska framgå av lagen om och i vilken utsträckning bestämmelser om direktåtkomst får meddelas på lägre normgivningsnivå.

I andra stycket anges vilka övriga bestämmelser i lagen som reglerar direktåtkomst. Syftet är att skapa en överblick över regleringen.

En motsvarande reglering återfinns i 2 kap. 21 § första och tredje styckena polisdatalagen.

Grundläggande krav på behandlingen

10 §

Paragrafen har behandlats i avsnitt 9.9. Innebörden av paragrafen är att det vid varje behandling av personuppgifter tydligt ska framgå vilka bestämmelser, de som rör den brottsbekämpande verksamheten eller de som rör den övriga operativa verksamheten, som tillämpas på behandling av personuppgifter. Ofta kan det utläsas av sammanhanget, t.ex. att det är fråga om förundersökningsuppgifter eller ett ärende om vattenföroreningsavgift. Det ska i efterhand gå att kontrollera att behandlingen har skett i enlighet med de ändamål lagen medger. Därigenom råder inte osäkerhet om exempelvis vilka regler om bevarande och gallring som ska tillämpas på behandlingen. Syftet med bestämmelsen är att upprätthålla skyddet för den personliga integriteten.

Paragrafen har utformats i enlighet med Lagrådets förslag. Polisdatalagen innehåller inte någon motsvarande bestämmelse.

3 kap. Behandling av personuppgifter i den brottsbekämpande verksamheten

1 §

Av paragrafen framgår att Kustbevakningens behandling av uppgifter i den brottsbekämpande verksamheten behandlas i detta kapitel samt, när det gäller uppgifter som görs gemensamt tillgängliga, i det påföljande. När det gäller begreppet gemensamt tillgängliga se kommentaren till 1 kap. 4 §.

I 1 kap. 4 § polisdatalagen finns en bestämmelse med motsvarande systematik.

Ändamål

2 §

Paragrafen anger de primära ändamål för vilka personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet. Avgränsningen av dessa ändamål har behandlats i avsnitt 10.2. Personuppgifter får också behandlas för planering, uppföljning och utvärdering av Kustbevakningens brottsbekämpande verksamhet. Sådan behandling anses utgöra en del av själva verksamheten och behöver inte regleras särskilt (se avsnitt 10.3.1 och prop. 2004/05:164 s. 179). Personuppgifter som behandlas med stöd av 2 § får också behandlas för ett antal ytterligare ändamål. Behandlingen av dessa sekundära ändamål regleras i 3 §. Av 2

kap. 6 § framgår att personuppgiftsbehandling dessutom får ske för diarieföring och inom ramen för viss ärendehantering. Vidare får enligt 4 § personuppgifter behandlas för ett annat sekundärt ändamål i Kustbevakningens brottsbekämpande verksamhet, än de i lagen angivna, om det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Ramarna för sådan vidarebehandling sätts således av den s.k. finalitetsprincipen. Som framgår av hänvisningen i 2 kap. 2 § första stycket punkten 2 till 8 § personuppgiftslagen (1998:204) får behandling också ske i den mån den är nödvändig för att Kustbevakningen ska kunna fullgöra sina skyldigheter enligt 2 kap. tryckfrihetsförordningen. Tillsammans avgränsar de nu nämnda bestämmelserna för vilka ändamål behandling av personuppgifter är tillåten i Kustbevakningens brottsbekämpande verksamhet.

En grundläggande förutsättning för att behandlingen ska vara tillåten är att den behövs för viss verksamhet hos Kustbevakningen. Med detta avses att det ska finnas ett konkret behov av att genomföra behandlingen och att detta behov svarar mot ändamålet med denna. Som exempel kan nämnas att det i en förundersökning kan vara nödvändigt att sammanställa uppgifter om vilka personer som har befunnit sig på platsen för brottet för att säkerställa att alla presumtiva vittnen har hörts i saken. Likaså måste självfallet många personuppgifter om misstänkta behandlas för att tillgodose åklagarens behov av underlag för sitt ställningstagande i åtalsfrågan. Om ändamålet är att förebygga eller förhindra brott, kan det t.ex. vara nödvändigt att sammanställa uppgifter om vem som äger eller disponerar fartyg som Kustbevakningen misstänker används i den brottsliga verksamheten.

En stor mängd av den information som Kustbevakningen samlar in och bearbetar för ett specifikt ändamål, exempelvis för att utreda ett visst brott, måste kunna vidarebehandlas för andra ändamål som antingen anknyter till det ursprungliga ändamålet eller ligger vid sidan av detta. Sådan vidarebehandling är tillåten, under förutsättning att den efterföljande behandlingen faller in under något av de primära eller sekundära ändamål som anges i lagen. Dessutom får uppgifter behandlas för andra sekundära ändamål som anges i lagen, om det efter en prövning i det enskilda fallet bedöms att vidarebehandlingen inte kan anses oförenlig med insamlingsändamålet (finalitetsprincipen).

I punkten 1 anges att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet (avsnitt 10.2.1). Den verksamhet som åsyftas är framför allt det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att förebygga, förhindra och upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott redan har begåtts. Arbete som är inriktat på en redan begången individualiserad brottslig gärning faller in under punkten 2.

Av punkten 2 framgår att personuppgifter får behandlas för att utreda och beivra brott (avsnitt 10.2.2). Med brott avses ett konkret brott. Det kan vara fråga såväl om brott som bevisligen har begåtts, som brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart gäller ickepreciserad brottslig verksamhet, är det dock i stället fråga om sådan ”brottslig verksamhet” som avses i punkten 1. Rör misstanken ett visst

brott som kan komma att begås i framtiden kan personuppgiftsbehandling vara tillåten med stöd av punkten 1. Har den förväntade gärningen nått den punkt där den är straffbar såsom försök, förberedelse, stämpling eller anstiftan – dvs. om det finns grund för att inleda förundersökning – är det däremot fråga om personuppgiftsbehandling som faller under punkten 2.

Under punkten 2 faller all personuppgiftsbehandling inom ramen för en förundersökning (även spaning). Detsamma gäller behandling av personuppgifter som sker med stöd av 23 kap.3 och 8 §§rättegångsbalken innan en förundersökning har inletts och behandling inom ramen för en s.k. förenklad utredning enligt 23 kap. 22 § rättegångsbalken. Handläggningen av en brottsanmälan hör också hit, även om denna inte leder till något beslut att inleda förundersökning.

Punkten 2 är också tillämplig vid sådan utredning som inte utgör förundersökning men som Kustbevakningen utför, för egen räkning eller åt åklagare, med stöd av lag eller annan författning enligt reglerna om förundersökning. Ett exempel på en sådan bestämmelse är 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Punkterna 1 och 2 avser endast brottsbekämpande verksamhet som bedrivs av Kustbevakningen. Av punkten 3 följer att behandling av personuppgifter också får ske om syftet är att gagna utländsk brottsbekämpande verksamhet (avsnitt 10.2.3). Personuppgifter får behandlas med stöd av denna punkt om det behövs för att fullgöra de förpliktelser som följer av internationella åtaganden. Detta gäller oavsett om den brottslighet som den utländska brottsbekämpande verksamheten avser faller in under svensk jurisdiktion eller inte. Sådana förpliktelser följer dels av vissa lagar som genomför internationella överenskommelser, dels direkt av vissa internationella överenskommelser.

Till de lagar som innehåller förpliktelser av detta slag hör t.ex. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:343) om internationellt polisiärt samarbete. Kustbevakningen är behörig myndighet enligt dessa lagar. Sådan brottsutredning som sker inom ramen för rättslig hjälp till en annan stat hör också hemma under punkten 3, om den inte faller in under punkten 2.

I den mån en internationell överenskommelse innebär att Kustbevakningen är skyldig att överlämna information till en brottsbekämpande myndighet i en annan stat eller till någon annan kan personuppgifter behandlas enligt denna punkt. Som exempel kan nämnas skyldigheten att underrätta en främmande stats konsulat eller beskickning om att någon av statens medborgare har berövats friheten i Sverige.

Det förekommer också internationella överenskommelser som innebär att svenska myndigheter, utan att vara skyldiga till det, har möjlighet att lämna information till utländska myndigheter. Ett sådant tillhandahållande av information faller inte in under denna punkt. Däremot kan personuppgiftsbehandling som sker för sådant syfte rymmas under 3 § första stycket 2.

Paragrafen överensstämmer med 2 kap. 7 § polisdatalagen.

3 §

I denna paragraf anges de sekundära ändamål för vilka personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet. Frågan har behandlats i avsnitt 10.3. Behandling enligt denna paragraf förutsätter att uppgifterna redan är föremål för behandling enligt 2 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt förevarande paragraf.

Av första stycket punkten 1 framgår att personuppgifter som behandlas med stöd av 2 § även får behandlas för att tillhandhålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter, nämligen Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket. Det förhållandet att uppgifter får behandlas påverkar inte de bestämmelser som gäller om sekretess. Bestämmelserna i offentlighets- och sekretesslagen (2009:400) om sekretess mellan och inom myndigheter liksom bestämmelser i andra författningar som bryter sekretess ska således beaktas på vanligt sätt. Av 3 kap. 8 § framgår att Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, har rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. I 3 kap. 9 § finns en upplysning om att regeringen har möjlighet att meddela föreskrifter om att personuppgifter får lämnas ut i andra fall.

Första stycket punkten 2 ger möjlighet att behandla personuppgifter som behandlas enligt 2 § för att tillhandahålla en utländsk myndighet eller en mellanfolklig organisation den information som behövs i dess brottsbekämpande verksamhet. Denna bestämmelse ger stöd för själva behandlingen av personuppgifterna. Hur stort utrymmet är för utlämnande av uppgifter bestäms som nyss nämnts av reglerna om sekretess.

Såsom kommer att beröras i anslutning till 7 § kan personuppgifterna inte tillhandahållas utländska myndigheter om de omfattas av sekretess. Möjligheten att behandla uppgifterna genom att lämna ut dem kan också begränsas av reglerna i 3335 §§personuppgiftslagen (1998:204) som inskränker möjligheten att överföra uppgifter till tredjeland (se kommentaren till 2 kap. 2 §).

Första stycket punkten 3 a är utformad mot bakgrund av Kustbevakningens behov av att kunna, när så krävs, få använda viss information som samlats in i myndighetens brottsbekämpande verksamhet för att kunna fullgöra uppdraget att utreda och besluta i ärenden om vattenföroreningsavgift.

Av första stycket punkten 3 b framgår att personuppgifter som behandlas enligt 2 § även får användas i Kustbevakningens övriga verksamhet för tillsyn och kontroll som myndigheten är skyldig att utföra enligt lag eller förordning, t.ex. kontroll enligt utlänningslagen (2005:716) och tillsyn enligt förordningen (2006:311) om transport av farligt gods.

Första stycket punkten 4 a är avsedd att tillgodose Kustbevakningens behov av fullgöra författningsenliga skyldigheter att direkt biträda en annan svensk myndighet i dess verksamhet. Exempel på sådant biträde är biträde till Transportstyrelsen enligt förordningen (2004:283) om sjöfartsskydd. Denna punkt ger Kustbevakningen rätt att behandla person-

uppgifter inom ramen för sådant biträde i en annan myndighets verksamhet.

Första stycket punkten 4 b ger Kustbevakningen möjlighet att behandla personuppgifter för att tillhandahålla information till svenska myndigheter i syfte att samverka mot brott. Det rör sig om tillhandahållande av uppgifter till myndigheter som inte har till uppgift att bekämpa brott, men där tillhandahållandet är till nytta för brottsbekämpningen. Syftet med punkten är att möjliggöra tillhandahållande inom ramen för myndighetsövergripande samverkan mot brott, t.ex. arbetet i ett regionalt underrättelsecentrum (RUC). En sedvanlig sekretessprövning krävs innan uppgifter kan lämnas ut.

I andra stycket anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan. Med annan avses såväl myndighet som enskild.

Exempel på uppgiftsskyldighet gentemot annan myndighet finns i 13 kap. 6 § regeringsformen och 6 § lagen (2002:102) om revision av statlig verksamhet (skyldighet att tillhandahålla Riksdagens ombudsmän respektive Riksrevisionen begärda upplysningar). Vidare omfattas en myndighets skyldighet enligt 6 kap. 5 § offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

I tredje stycket tydliggörs att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första och andra styckena måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Bestämmelsen har utformats i enlighet med Lagrådets förslag. En bestämmelse om sekundära ändamål i polisens brottsbekämpande verksamhet återfinns i 2 kap. 8 § polisdatalagen.

Bevarande och gallring

4 §

Paragrafen innehåller en generell bestämmelse om längsta tid för bevarande av personuppgifter i den brottsbekämpande verksamheten och hänvisar till de övriga bestämmelser om bevarande och gallring som finns i lagen för personuppgifter som behandlas i sådan verksamhet. Paragrafen har motiverats i avsnitt 16.2.1.

Av första stycket följer att personuppgifter aldrig får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i kapitlets 2 och 3 §§. Bevarande tillåts således med hänsyn till ett eller flera ändamål. Därigenom ges stöd för att bevara uppgifter, inte bara för ett viss utpekat konkret ärende som en viss förundersökning, utan även för mer övergripande brottsbekämpande ändamål. Bestämmelsen ger exempelvis stöd för att bevara uppgifter i ett avslutat ärende, även om det vid tidpunkten då ärendet avslutas inte finns något konkret nytt ändamål för bevarandet men uppgifterna bedöms ha ett allmänt värde för Kustbevakningens verksamhet att förebygga, förhindra och upptäcka

brottslig verksamhet eller utreda och beivra brott. En grundläggande förutsättning för bevarandet är att Kustbevakningen bedömer att uppgifterna behöver finnas tillgängliga ytterligare viss tid i den brottsbekämpande verksamheten. Första stycket avser såväl automatiserad som annan behandling av personuppgifter, t.ex. behandling i manuella register.

I andra stycket hänvisas till de övriga paragrafer som innehåller bestämmelser om bevarande och gallring. Syftet med uppräkningen är att skapa en överblick över regleringen.

I tredje stycket informeras om att regeringen kan meddela föreskrifter om digital arkivering. Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter fortsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål.

I 2 kap. 12 § polisdatalagen finns en bestämmelse med motsvarande systematik.

5 §

Paragrafen reglerar gallring av personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga. Vad som avses med gallring har behandlats i avsnitt 16.1. Frågan om gallring av detta slag av uppgifter har behandlats i avsnitt 16.2.2.

Som framgår av första stycket ska personuppgifter som behandlas i ett ärende gallras senast ett år efter det att ärendet avslutades, medan personuppgifter som inte kan hänföras till något ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången. Gallringsfristens längd beror alltså på om personuppgifterna behandlas inom ramen för ett ärende eller inte. Begreppet ärende har här – liksom i annan registerlagstiftning – en särskild innebörd som kan avvika från den gängse innebörden av begreppet i förvaltningslagen (1986:223). Med ärende avses i detta sammanhang en serie åtgärder som är avsedda att leda fram till ett bestämt slut. Särskilda underrättelseprojekt med en obestämd varaktighet kan t.ex. omfattas. Vidare är åtgärder som vidtas med anledning av att någon enskild har påkallat att Kustbevakningen agerar att anse som ett ärende. Det är däremot inte frågan om något ärende när en kustbevakningstjänsteman vidtar en tillfällig åtgärd inom ramen för verksamheten, t.ex. tar emot allmän information från allmänheten som inte har samband med någon pågående brottsutredning.

I andra och tredje styckena föreskrivs två undantag från gallringsbestämmelserna i första stycket. Enligt andra stycket gäller inte första stycket personuppgifter i ärenden om utredning och beivrande av brott. Det rör sig framför allt om förundersökningar och om andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. I fråga om uppgifter i sådana ärenden tillämpas i stället bestämmelserna om gallring i arkivlagen (1990:782).

Av tredje stycket följer att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om att personuppgifter, trots vad som sägs i första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Paragrafen överensstämmer med 2 kap. 13 § polisdatalagen.

Utlämnande av uppgifter och uppgiftsskyldighet

6 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande till utländska myndigheter och mellanfolkliga organisationer. Frågan har behandlats i avsnitt 13.3.

Inom ramen för de allmänna ändamålen för personuppgiftsbehandling i 2 § punkterna 1 och 2 kan det i vissa fall finnas anledning att föra över uppgifter till en utländsk myndighet. Ett exempel är om Kustbevakningen i en svensk brottsutredning begär rättsligt bistånd från en utländsk myndighet. Av 2 § punkten 3 framgår att personuppgifter får behandlas för att fullgöra de förpliktelser som följer av internationella åtaganden (se kommentaren till den paragrafen). Också i sådana fall blir det ofta aktuellt att lämna information till en utländsk myndighet. Vidare innehåller 3 § punkten 2 en bestämmelse om att personuppgifter som behandlas enligt 2 § också får behandlas för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. De nu angivna bestämmelserna sätter gränserna för när behandling som har till ändamål att överföra information till en utländsk myndighet eller organisation får förekomma.

För att sådant utlämnande ska få ske krävs emellertid därutöver att det inte på grund av sekretess finns hinder mot att lämna över uppgifterna till en utländsk myndighet eller mellanfolklig organisation. För många av de personuppgifter som förekommer i Kustbevakningens brottsbekämpande verksamhet gäller sekretess, såväl sekretess till skydd för intresset av att förebygga och beivra brott som sekretess till skydd för enskilds ekonomiska förhållanden. Enligt 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) får en sekretessbelagd uppgift inte röjas för en utländsk myndighet eller en mellanfolklig organisation annat än om utlämnandet sker i enlighet med en särskild föreskrift om detta i lag eller förordning eller om uppgiften i motsvarande fall skulle få utlämnas till en svensk myndighet och det enligt utlämnande myndighet står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

I vissa fall kan en utlämnandeprövning enligt nämnda paragraf vara komplicerad. I förevarande paragraf anges därför vissa mera preciserade fall där utlämnande av en uppgift till utländsk myndighet får ske, trots att det gäller sekretess för uppgiften.

Enligt första stycket får uppgifter, om det är förenligt med svenska intressen, lämnas till Interpol eller Europol, till en polis- eller åklagarmyndighet i en stat som är ansluten till Interpol samt till utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Utlämnande av uppgifter får enligt andra stycket ske om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Regleringen medger således inte att information lämnas t.ex. till en utländsk tullmyndighet enbart för fiskala ändamål.

I tredje stycket föreskrivs att personuppgifter också får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens

godkännande har tillträtt. Bestämmelsen är tillämplig när den internationella överenskommelsen kräver att Sverige ska lämna ut viss typ av uppgifter. Däremot gäller den inte där det enbart sägs att utlämnande får ske.

Den utlämnande myndigheten måste alltid försäkra sig om att den mottagande staten har en adekvat nivå för skyddet av personuppgifter innan uppgifter lämnas ut, se 2 kap. 2 § första stycket 8 denna lag samt 33 § personuppgiftslagen (1998:204).

En bestämmelse om utlämnande av personuppgifter och uppgiftsskyldighet i polisens brottsbekämpande verksamhet återfinns i 2 kap. 15 § polisdatalagen.

7 §

Paragrafen innehåller en bestämmelse som i viss utsträckning bryter den sekretess som annars skulle ha gällt gentemot andra myndigheter. Frågan har behandlats i avsnitt 13.2.

I paragrafen regleras andra brottsbekämpande myndigheters rätt att, utan hinder av viss i paragrafen angiven sekretess till skydd för enskild, i den brottsbekämpande verksamheten få del av personuppgifter som har gjorts gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet. Paragrafen har utformats som en uppgiftsskyldighet (jfr prop. 2009/10:85 s. 331). För att uppgifterna ska lämnas ut krävs det att det finns ett behov av uppgifterna hos den mottagande myndigheten. Eftersom bestämmelsen ska kunna tillämpas vid direktåtkomst får bedömningen göras utifrån respektive myndighets brottsbekämpande uppgifter och med utgångspunkt i det behov av uppgifterna som myndigheten typiskt sett har (jfr prop. 2009/10:85 s. 192 f.). Det är den utlämnande myndigheten som ytterst avgör om den andra myndigheten har behov av uppgifterna för sin brottsbekämpande verksamhet. Det förutsätts emellertid att den myndighet som vill ha tillgång till sådana uppgifter lämnar Kustbevakningen det underlag som kan krävas för en korrekt bedömning av behovet. Endast personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet omfattas av bestämmelsen. Det innebär att personuppgifter som förekommer i Kustbevakningens övriga operativa verksamhet faller utanför bestämmelsens tillämpningsområde.

I 2 kap. 16 § polisdatalagen finns en motsvarande bestämmelse.

8 §

Paragrafen har motiverats i avsnitten 13.2 och 13.3.

I första stycket framgår att regeringen har möjlighet att meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 6 och 7 §§ (jfr 8 kap.1 och 3 §§offentlighets- och sekretesslagen [2009:400]). Det kan vara aktuellt om det t.ex. finns behov av att utlämna personuppgifter till en annan utländsk myndighet med brottsbekämpande uppgifter än de som anges i 6 §.

I andra stycket erinras om att det i offentlighets- och sekretesslagen finns bestämmelser om utlämnande som gäller utöver vad som anges i förevarande lag. Utlämnande kan exempelvis ske med stöd av generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen. En annan sådan bestämmelse, som rör utlämnande till utländska myndigheter eller

mellanfolkliga organisationer, finns i 8 kap. 3 § 2 offentlighets- och sekretesslagen.

En motsvarande bestämmelse återfinns i 2 kap. 19 § polisdatalagen.

4 kap. Gemensamt tillgängliga uppgifter i den brottsbekämpande verksamheten Personuppgifter som får göras gemensamt tillgängliga

1 §

När personuppgifter görs eller har gjorts gemensamt tillgängliga (se kommentaren till 1 kap. 4 § om innebörden av uttrycket ”gemensamt tillgängliga”) innebär det, typiskt sett, ökade risker för intrång i den personliga integriteten. Paragrafen innehåller en uppräkning av de typer av personuppgifter som får göras gemensamt tillgängliga. Uppräkningen är avsedd att vara uttömmande och det är alltså inte tillåtet att göra personuppgifter gemensamt tillgängliga i andra fall i den brottsbekämpande verksamheten.

I punkten 1, som har behandlats närmare i avsnitt 11.1.1, nämns personuppgifter ”som kan antas ha samband med misstänkt brottslig verksamhet”. Rekvisitet innebär att det måste finnas en misstanke om att sådan brottslig verksamhet som avses i 3 kap. 2 § 1 har begåtts eller kommer att begås. Den brottsliga verksamheten måste vara på visst sätt kvalificerad. Huvudregeln är att den ska innefatta brott för vilket är föreskrivet fängelse i ett år eller däröver. Även om den brottsliga verksamheten inte innefattar brott med en sådan straffskala får personuppgifter som kan antas ha samband med den brottsliga verksamheten göras gemensamt tillgängliga, om det kan antas att verksamheten sker systematiskt. Med ”brottslig verksamhet som sker systematiskt” avses brottslig verksamhet som inte i det enskilda fallet kan kategoriseras som allvarlig, men som är organiserad och kan utgöra led i en verksamhet av större omfattning. Det kan t.ex. röra sig om en person som för in en mindre mängd cigaretter, vilken hade utgjort en tillåten kvot om den var avsedd för privat bruk. Personen i fråga gör dock så frekventa resor att den totala mängden infört gods ger anledning att anta att det inte är för privat bruk utan för återförsäljning som införseln sker, s.k. myrtrafik (prop. 2004/05:164 s. 71 f.).

Att personuppgifterna ”kan antas ha samband” med den brottsliga verksamheten innebär att de ska kunna antas ha någon direkt eller indirekt koppling till den brottsliga verksamheten. Det kan vara fråga om uppgifter om en misstänkt, ett vittne eller någon annan person som har en direkt anknytning till brottsligheten. Det kan även vara fråga om uppgifter om affärskontakter eller anhöriga. Det kan också vara fråga om indirekta personuppgifter, som uppgifter om transportmedel eller föremål som har eller kan antas ha anknytning till fysiska personer. Det följer av 3 kap. 2 § 1 att uppgifterna alltid ska behövas i arbetet med att förebygga, förhindra eller upptäcka den aktuella brottsliga verksamheten.

Av punkten 2, som har behandlats närmare i avsnitt 11.1.2, framgår att personuppgifter som förekommer i ett ärende om utredning eller be