Prop. 2012/13:73

Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 21 februari 2013

Fredrik Reinfeldt

Beatrice Ask (Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (EU). Därmed genomförs de återstående delarna av det s.k. dataskyddsrambeslutet.

Lagen ska tillämpas på uppgifter som överförs från eller till en annan EU-medlemsstat eller Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder. Även uppgifter från ett EU-informationssystem som avser polissamarbete eller straffrättsligt samarbete omfattas av lagen. Sådant informationsutbyte som reglerats tidigare, exempelvis utbyte med stöd av det s.k. Prümrådsbeslutet, undantas dock. Behandling av personuppgifter som rör nationell säkerhet omfattas inte heller av lagen.

I lagen regleras bl.a. för vilka ändamål uppgifterna får behandlas och vad som gäller för den fortsatta behandlingen. Lagen anger vidare i vilka situationer personuppgifter får överföras till enskilda, till tredjeland och till internationella organ.

Svenska myndigheter åläggs att följa de villkor om användningen som ställts upp av den som överfört uppgifterna eller gjort dem tillgängliga. En svensk myndighet får ange villkor som innebär användningsbegränsningar för utländska mottagare.

Propositionen innehåller även förslag till en ny lag om tystnadsplikt för anställda vid Europol. Brott mot tystnadsplikten bestraffas enligt 20 kap. 3 § brottsbalken.

De nya lagarna föreslås träda i kraft den 1 juli 2013.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,

2. lag om tystnadsplikt för anställda vid Europeiska polisbyrån,

3. lag om ändring i lagen (1998:620) om belastningsregister,

4. lag om ändring i lagen (1998:621) om misstankeregister,

5. lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

6. lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete,

7. lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem,

8. lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet,

9. lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården,

10. lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

11. lag om ändring i offentlighets- och sekretesslagen (2009:400), 12. lag om ändring i polisdatalagen (2010:361), 13. lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister,

14. lag om ändring i kustbevakningsdatalagen (2012:145).

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens syfte

1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete1(dataskyddsrambeslutet).

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

1 EUT L 350, 30.12.2008, s. 60 (Celex 32008F0977).

4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.

Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom

1. informationsutbyte som hänför sig till Schengens informationssystem (SIS),

2. informationsutbyte genom Tullinformationssystemet (TIS),

3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet2(Prümrådsbeslutet), eller

4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott3.

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att

1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

3. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om

1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2. överföringen är nödvändig för att

a) myndigheten ska kunna fullgöra en författningsreglerad uppgift,

b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

2 EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615). 3 EUT L 218, 13.8.2008, s. 129 (Celex 32008D0633).

d) förhindra att enskildas rättigheter allvarligt kränks, och

3. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs.

Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Överföring av personuppgifter till tredjeland eller internationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1–4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om

1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

3. mottagaren har ansvar för sådan verksamhet som anges i 2, och

4. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.

Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.

Villkor om användningsbegränsningar

Villkor som ställs upp av andra stater eller EU-organ 8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga 9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1–4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Övriga bestämmelser

10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.

11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.

Denna lag träder i kraft den 1 juli 2013, men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.

2.2. Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån

Härigenom föreskrivs följande.

1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)4, får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.

I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.

Denna lag träder i kraft den 1 juli 2013.

4 EUT L 121, 15.5.2009, s. 37 (Celex 32009D0371).

2.3. Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att det i lagen (1998:620) om belastningsregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a §

Denna lag gäller utöver personuppgiftslagen (1998:204) .

1 b §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) . Detta gäller dock inte vid behandling av personuppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av person-

uppgifter ur kriminalregistret och uppgifternas innehåll 5 . Bestämmelsen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behandling.

Denna lag träder i kraft den 1 juli 2013.

5 EUT L 93, 7.4.2009, s. 23 (Celex 32009F0315).

2.4. Förslag till lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a §

Denna lag gäller utöver personuppgiftslagen (1998:204) .

1 b §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Denna lag träder i kraft den 1 juli 2013.

2.5. Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

Härigenom föreskrivs att det i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Denna lag träder i kraft den 1 juli 2013.

2.6. Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 b §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte vid behandling av personuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet 6 .

Denna lag träder i kraft den 1 juli 2013.

6 EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615).

2.7. Förslag till lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 4 § lagen (2000:344) om Schengens informationssystem i stället för dess lydelse enligt lagen (2011:1175) om ändring i nämnda lag ska ha följande lydelse.

Lydelse enligt SFS 2011:1175 Föreslagen lydelse

4 §

När det gäller framställningar som rör personer får endast följande uppgifter registreras:

1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,

2. särskilda bestående fysiska kännetecken,

3. fotografier och fingeravtryck,

4. födelsedatum och födelseort,

5. kön,

6. medborgarskap,

7. om personen kan vara beväpnad eller kan tillgripa våld,

8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,

9. syftet med framställningen, 10. begärd åtgärd, 11. om en förvunnen person behöver omhändertas eller inte,

11. om en försvunnen person behöver omhändertas eller inte,

12. den myndighet som har lagt in registreringen, 13. en hänvisning till det beslut som har föranlett registreringen, 14. typ av brott som avses i framställningen, samt 15. övriga uppgifter som ska anges i en europeisk eller nordisk arresteringsorder.

Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.

Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1–6 samt uppgifter om nummer och datum för personens identitetshandlingar.

2.8. Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

dels att det i lagen ska införas en ny paragraf, 1 kap. 3 a §, av följande lydelse,

dels att rubriken närmast före 1 kap. 2 § ska lyda ”Förhållandet till andra bestämmelser om personuppgiftsbehandling”.

Nuvarande lydelse Föreslagen lydelse

1 kap.

3 a §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Denna lag träder i kraft den 1 juli 2013.

2.9. Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra bestämmelser om personuppgiftsbehandling”.

Nuvarande lydelse Föreslagen lydelse

2 a §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Denna lag träder i kraft den 1 juli 2013.

2.10. Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att 1 a, 7, 15, 19 och 21 §§ samt rubriken närmast före 15 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §7

I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestäm-

7 Senaste lydelse SFS 2011:903.

melserna i denna lag.

7 §

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förhindra eller upptäcka brottslig verksamhet,

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

3. fullgöra förpliktelser som följer av internationella åtaganden.

Behandling av uppgifter för

internationellt tullsamarbete

Behandling av uppgifter som rör

internationella åtaganden

15 §

Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.

Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.

19 §

Om förutsättningarna för behandling enligt 1, 7, 8 och 11–18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:

1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,

4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

5. uppgifter om särskilda fysiska kännetecken,

6. uppgifter om varor, brottshjälpmedel och transportmedel,

7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

9. administrativa åtgärder i ett ärende, 10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete,

10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,

11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt

12. upplysningar som avses i 16 §. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.

21 §

Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid sökning bara i ett visst ärende eller en viss handling. Första stycket gäller inte heller vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende.

Första stycket gäller inte vid sökning

1. i ett visst ärende eller en viss handling,

2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller

3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.

Denna lag träder i kraft den 1 juli 2013.

2.11. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

2 §8

Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2. lagen (2000:343) om internationellt polisiärt samarbete,

3. lagen (2000:344) om Schengens informationssystem,

4. lagen (2000:562) om internationell rättslig hjälp i brottmål,

5. lagen (2000:1219) om internationellt tullsamarbete,

6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,

8. lagen (1998:620) om belastningsregister, och

9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.

8. lagen (1998:620) om belastningsregister,

9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och

10. lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 juli 2013.

8 Senaste lydelse 2012:850.

2.12. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

2 b §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 1 juli 2013.

2.13. Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra bestämmelser om personuppgiftsbehandling”.

Nuvarande lydelse Föreslagen lydelse

2 a §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Denna lag träder i kraft den 1 juli 2013.

2.14. Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)

Härigenom föreskrivs att det i kustbevakningsdatalagen (2012:145) ska införas en ny paragraf, 1 kap. 2 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

2 a §

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 1 juli 2013.

3. Ärendet och dess beredning

Dataskyddsrambeslutet

Den 4 november 2004 antog Europeiska rådet det s.k. Haagprogrammet för stärkt frihet, säkerhet och rättvisa i Europeiska unionen (EU). Rådet uttalade där att en förstärkning av frihet, säkerhet och rättvisa kräver en innovativ strategi i fråga om gränsöverskridande utbyte av information om brottsbekämpning. En princip bör vara att en tjänsteman vid en brottsbekämpande myndighet i en medlemsstat ska göra befintlig information tillgänglig för motsvarande befattningshavare i en annan stat om han eller hon behöver informationen för att utföra sina uppgifter.

Ett effektivare polissamarbete och rättsligt samarbete måste emellertid balanseras mot grundläggande rättigheter, bl.a. rätten till ett privatliv och rätten till skydd av personuppgifter. Den 4 oktober 2005 presenterade kommissionen därför ett förslag till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Förutom medlemsstaterna inom Europeiska unionen deltog även Island, Norge och Schweiz i förhandlingarna om utkastet till rambeslut, som ett led i det utvidgade Schengensamarbetet. I slutet av år 2007 nåddes en politisk principöverenskommelse om innehållet i utkastet till rambeslut (dataskyddsrambeslutet). I propositionen Godkännande av dataskyddsrambeslutet (prop. 2008/09:16) föreslog regeringen att riksdagen skulle godkänna utkastet till rambeslut. Några lagförslag presenterades inte. Däremot lämnades i anslutning till genomgången av innehållet i rådsbeslutet en kort beskrivning av i vilka avseenden beslutet bedömdes kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU7, rskr. 2008/09:41). Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete antogs därefter (EUT L 350, 30.12.2008, s. 60, Celex 32008F0977). Dataskyddsrambeslutet återges i bilaga 1.

Den 25 februari 2010 gav regeringen en särskild utredare i uppdrag bl.a. att analysera hur svensk rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet och att utarbeta nödvändiga författningsförslag för att Sverige ska kunna leva upp till bestämmelserna i rambeslutet (dir. 2010:17).

I februari 2011 överlämnade utredningen betänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete. Dataskyddsrambeslutet. Europolanställdas befattning med hemliga uppgifter (SOU 2011:20). En sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2011/2232/L4).

För att komplettera beredningsunderlaget remitterades ett utkast till lagrådsremiss. Utkastet till lagrådsremiss, vars förslag till lagtext finns i bilaga 6, överensstämmer i allt väsentligt med den slutliga lagrådsremissen. Utkastet till lagrådsremiss och remissyttrandena finns tillgängliga i

Justitiedepartementet (dnr Ju2012/6465/L4). En förteckning över remissinstanserna finns i bilaga 7.

Europolrådsbeslutet

Europeiska polisbyrån (Europol) är EU:s gemensamma polisbyrå. Målsättningen med Europol är att förbättra effektiviteten hos de behöriga myndigheterna i medlemsstaterna och deras samarbete för att förebygga och motverka viss definierad brottslighet, bl.a. grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europolkonventionen öppnades för undertecknande år 1995. Sverige tillträdde konventionen år 1997 (prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 1997/98:22). Europols verksamhet inleddes år 1999.

I december 2006 enades rådet för rättsliga och inrikes frågor (RIFrådet) om att Europolkonventionen skulle ersättas av ett rådsbeslut. Den grundläggande orsaken var att konventionsformen innebar långdragna och omständliga processer varje gång det fanns behov av att förändra och utveckla Europols verksamhet och arbetsformer. Den 18 april 2008 träffades en politisk överenskommelse i RIF-rådet om ett utkast till rådsbeslut om inrättande av Europeiska polisbyrån (Europol). I propositionen Godkännande av rådets beslut att inrätta Europeiska polisbyrån (Europol), prop. 2008/09:14, föreslog regeringen att riksdagen skulle godkänna utkastet till rådsbeslut. Några lagförslag presenterades inte. Däremot lämnades i anslutning till genomgången av innehållet i rådsbeslutet en beskrivning av i vilka avseenden beslutet bedömdes kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU6, rskr. 2008/09:63). Därefter antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), EUT L 121, 15.5.2009, s. 37, Celex 32009D0371. Den 1 januari 2010 ersatte rådsbeslutet Europolkonventionen. Europolrådsbeslutet återges i bilaga 2.

Som ett led i arbetet med att genomföra Europolrådsbeslutet föreslog regeringen i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) en ändring i lagen (1976:661) om immunitet och privilegier i vissa fall. Ändringen trädde i kraft den 1 januari 2010. Vidare gjordes en ändring i förordningen (2007:975) med instruktion för Datainspektionen. Denna ändring trädde i kraft den 11 oktober 2011.

I uppdraget till den särskilde utredaren ingick att analysera behovet av särskilda regler om Europolanställdas befattning med hemliga uppgifter, för att svensk rätt ska vara förenlig med Europolrådsbeslutet, och att vid behov utarbeta nödvändiga författningsförslag. Utredningens lagförslag finns i bilaga 4. Förslaget har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissynpunkterna framgår av tidigare nämnda remissammanställning avseende betänkandet. Som nämnts ovan remitterades ett utkast till lagrådsremiss för att komplettera beredningsunderlaget. Utkastet till lagrådsremiss innehöll även förslaget rörande Europolrådsbeslutet.

Lagrådet

Regeringen beslutade den 10 januari 2013 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Regeringen har i allt väsentligt följt Lagrådets förslag, men har

i vissa delar gjort en annan bedömning än Lagrådet. Lagrådets synpunkter behandlas i avsnitten 6.4.1, 6.6.4, 6.6.5, 6.7.2, 6.13, 6.14, 6.16, 7.5 och 8.2 samt i författningskommentaren. Dessutom har vissa språkliga och redaktionella ändringar gjorts.

4. Regleringen rörande dataskydd

4.1. Inledning

Regler om personuppgiftsbehandling och skydd av personuppgifter finns såväl på internationell som på nationell nivå. På internationell nivå har både Europarådet och EU utformat regleringar. I detta avsnitt finns en översiktlig redogörelse för olika regelverk om behandling av personuppgifter, dvs. dataskydd. Först behandlas de generella internationella och nationella regelverken. Därefter behandlas de olika registerförfattningar som berörs av dataskyddsrambeslutet. Redogörelsen fokuserar särskilt på sådana bestämmelser som har relevans för analysen av hur svensk rätt förhåller sig till rambeslutet.

4.2. Europarådets dataskyddsreglering

Vissa bestämmelser i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har betydelse för myndigheters rätt att behandla personuppgifter. Artikel 8 föreskriver att var och en har rätt till respekt för bl.a. sitt privat- och familjeliv och att en offentlig myndighet inte får inskränka denna rättighet annat än med stöd av lag och med hänsyn till vissa angivna intressen. I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter har kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet.

Europakonventionens regler om skydd av personuppgifter preciseras genom reglerna i den europeiska konventionen från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet har under år 2010 inlett en översyn av konventionen och rekommendationerna.

4.3. EU:s dataskyddsreglering

Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som

rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

EU har antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31), ofta kallat dataskyddsdirektivet. Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och förstärks Europarådets dataskyddskonvention genom dataskyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.

Det nu aktuella rambeslutet kompletterar dataskyddsdirektivet genom att det reglerar ett område som inte täcks av direktivet, nämligen polisiärt och straffrättsligt samarbete (se närmare om detta i avsnitt 5).

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. Förhandlingar om reformen inleddes under våren 2012.

4.4. OECD:s riktlinjer

Organisationen för ekonomiskt samarbete och utveckling (OECD) har också arbetat fram internationella riktlinjer för integritetsskydd och flöde av persondata. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddsdirektivet.

4.5. Grundläggande bestämmelser om behandling av personuppgifter

Tidigare föreskrevs i 2 kap. 3 § andra stycket regeringsformen att varje medborgare, i den utsträckning som närmare angavs i lag, skulle skyddas mot att hans eller hennes personliga integritet kränktes genom att uppgifter om honom eller henne registrerades med hjälp av automatisk databehandling. Bestämmelsen utgjorde inte något individuellt rättighetsskydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad behandling av personuppgifter.

Den 1 januari 2011 upphävdes nämnda bestämmelse. Samtidigt infördes ett andra stycke i 2 kap. 6 § regeringsformen enligt vilket var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkning i denna fri- och rättighet får enligt 2 kap. 20 § första stycket 2 regeringsformen under vissa förutsättningar göras i lag.

I Sverige har dataskyddsdirektivet genomförts generellt genom personuppgiftslagen (1998:204). Denna lösning valdes i stället för att begränsa lagstiftningen till de områden inom vilka direktivet är tvingande. Personuppgiftslagen gäller således i princip även för de områden som dataskyddsrambeslutet är tillämpligt på. Dataskyddsrambeslutets förpliktelser för medlemsstaterna överensstämmer i många avseenden med de förpliktelser som gäller enligt dataskyddsdirektivet. Detta innebär att svensk lagstiftning till största delen redan uppfyller kraven i rambeslutet.

Vid sidan av personuppgiftslagen finns det också författningar som reglerar personuppgiftsbehandlingen inom olika verksamhetsområden. Personuppgiftsbehandlingen inom de verksamhetsområden som berörs av rambeslutets tillämpningsområde är därför redan författningsreglerad. Något förenklat kan man säga att det rör sig om tre olika typer av författningsreglering; för det första författningar som reglerar ett eller flera enskilda register, för det andra generella författningar för en viss sektor av samhället (som i sig kan reglera ett eller flera register), för det tredje personuppgiftslagen som tillämpas helt eller delvis för olika verksamhetsområden. De författningar som gäller vid sidan av personuppgiftslagen brukar betecknas registerförfattningar. Inom vissa verksamheter, bl.a. de här aktuella, ska ibland personuppgiftslagen, en särskild registerförfattning för den sektorn och särbestämmelser för ett visst register tillämpas samtidigt. Regleringen på området är således mycket komplex.

4.6. Personuppgiftslagen

4.6.1. Lagens tillämpningsområde

Personuppgiftslagen (1998:204) är generellt tillämplig och innehåller allmänna riktlinjer för behandling av personuppgifter, oavsett ändamålet med behandlingen. Lagen ersatte den tidigare datalagen (1973:289) när dataskyddsdirektivet genomfördes i svensk rätt.

Personuppgiftslagen är subsidiär i förhållande till annan författningsreglering. Samtidigt som personuppgiftslagen infördes skapades särskilda lagar och förordningar som reglerar behandlingen av personuppgifter för ett visst verksamhetsområde, för en viss typ av register eller för ett särskilt register. Utgångspunkten har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11).

För personuppgiftsbehandlingen inom åklagarväsendet, de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt kriminalvården finns särreglering som i stor utsträckning ersätter personuppgiftslagen. Motsvarande gäller registerförfattningen för Skatteverkets brottsbekämpande verksamhet. För polisen, Kustbevakningen och Tullverket har

en annan lagstiftningsmodell valts, men resultatet är detsamma, nämligen att personuppgiftslagens bestämmelser delvis gäller.

Personuppgiftslagen reglerar hur personuppgifter får hanteras. Lagen ska tillämpas på all helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av sådana personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Kompletterande bestämmelser till personuppgiftslagen finns i personuppgiftsförordningen (1998:1191).

4.6.2. Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås vissa grundläggande krav fast för all behandling av personuppgifter. Sådana uppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. Personuppgifter ska samlas in och behandlas för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara riktiga och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna inte uppfyller dessa krav, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter ska de avidentifieras eller förstöras. Behandling som sker för att bevara uppgifter för historiska, statistiska eller vetenskapliga ändamål får dock ske under längre tid än vad som är nödvändigt för de ursprungliga ändamålen. Det möjliggör t.ex. behandling i form av elektronisk arkivering av personuppgifter.

4.6.3. Tillåten behandling

Personuppgiftslagen innehåller en uttömmande uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten (1012 §§personuppgiftslagen). Av särskilt intresse i detta sammanhang är 13 § som förbjuder behandling av känsliga personuppgifter. Känsliga personuppgifter definieras i lagen som uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Förbudet mot behandling av känsliga uppgifter är inte undantagslöst. Det omfattar enligt 5 a § personuppgiftslagen inte personuppgifter som inte ingår i eller är avsedda att ingå i strukturerat material, dvs. en samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. I 1419 §§personuppgiftslagen anges under vilka förutsättningar känsliga uppgifter får behandlas trots förbudet i 13 §. Känsliga personuppgifter får således behandlas om det är nödvändigt med hänsyn till vissa särskilt angivna ändamål, t.ex. för att den regi-

strerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna samtycke till behandlingen. Det finns också utrymme för regeringen, eller den myndighet regeringen bestämmer, att enligt 20 § personuppgiftslagen meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana föreskrifter finns i 8 § personuppgiftsförordningen. Enligt den bestämmelsen får myndigheter generellt behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.

Enligt 21 § personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

4.6.4. Information och rättelse

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Har uppgifterna samlats in från någon annan än den enskilde, ska han eller hon informeras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 § personuppgiftslagen). Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnande av uppgifterna i författning eller om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats att informera. Informationen ska omfatta uppgift om vem som är personuppgiftsansvarig, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen (25 § personuppgiftslagen). Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 § personuppgiftslagen). Det bör anmärkas att uppgiftsskyldigheten inte omfattar alla uppgifter, bl.a. inte uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 § personuppgiftslagen).

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgifts- ansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen (28 § personuppgiftslagen).

4.6.5. Säkerhet vid behandlingen

I 30 och 31 §§personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.

4.6.6. Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att föra över personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § finns bemyndiganden som framför allt ger regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen anges vissa länder som enligt särskilt beslut av Europeiska gemenskapernas kommission anses ha en adekvat skyddsnivå för behandlingen av personuppgifter eller som har slutit avtal med EU om överföring av vissa uppgifter om flygpassagerare.

4.6.7. Tillsyn

Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyndighet enligt personuppgiftslagen. De registerförfattningar som gäller utöver personuppgiftslagen och som är aktuella i detta sammanhang innehåller inte några avvikande bestämmelser i fråga om tillsynsmyndighet. Datainspektionen är således tillsynsmyndighet även enligt dessa författningar (se t.ex. prop. 2004/05:164 s. 53 f.). Detsamma gäller för andra särskilda registerförfattningar som berörs av dataskyddsrambeslutet.

Datainspektionen har enligt 43 § personuppgiftslagen för sin tillsyn rätt att på begäran få tillgång till de personuppgifter som behandlas och upplysningar och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten inte efter begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än att lagra dem. Det anses dock vara en allmän rättsgrundsats att vite inte bör användas mot statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105).

Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten, om den konstaterar att uppgifter behandlas eller kan komma att behandlas på ett

olagligt sätt, genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt, eller om saken är brådskande, får myndigheten på motsvarande sätt förbjuda annan behandling än lagring. Tillsynsmyndigheten får också, enligt 47 §, ansöka hos förvaltningsrätten om att sådana uppgifter som har behandlats på olagligt sätt ska utplånas.

4.6.8. Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har vederbörande, enligt 48 § personuppgiftslagen, rätt till skadestånd från den personuppgiftsansvarige. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne. Ersättningen kan dock i skälig utsträckning jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Lagen innehåller också en straffbestämmelse i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 3335 §§personuppgiftslagen.

4.7. Polisens behandling av personuppgifter

4.7.1. Regleringen i stort

Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Utgångspunkten för lagstiftningen har varit att skapa en modern, flexibel och teknikneutral lag, som i så liten utsträckning som möjligt reglerar detaljer och enskilda register.

Polisdatalagen gäller i stället för personuppgiftslagen (1 kap. 1 § polisdatalagen). I lagen hänvisas dock till ett antal bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet (2 kap. 2 § polisdatalagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.

Polisen har, något förenklat, tre kategorier av register vilket hör samman med vilka bestämmelser som styr behandlingen. Dessa kategorier är

– register som förs med stöd av allmänna bestämmelser i polisdatalagen och personuppgiftslagen,

– register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan särskild registerlagstiftning, och

– register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den numera upphävda datalagen och Datainspektionens tillstånd.

Andra registerförfattningar som är av intresse i detta sammanhang är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstan-

keregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2010:362) om polisens allmänna spaningsregister.

4.7.2. Polisdatalagen

Lagens tillämpningsområde

Den nuvarande polisdatalagen trädde i kraft den 1 mars 2012. Lagen gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen och polismyndigheterna samt i Ekobrottsmyndighetens polisiära verksamhet.

Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister, misstankeregister, Schengens informationssystem, passagerarregister samt polisens allmänna spaningsregister undantas från polisdatalagens tillämpningsområde. Lagen gäller inte heller när personuppgifter behandlas i polisens vapenregister enligt vapenlagen (1996:67), om inte annat anges i den lagen.

Ändamål

I polisdatalagen anges för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna bestämmelse behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen aktualiseras när personuppgifter som får behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande får vidare ske om det är nödvändigt för att tillhandahålla information som behövs i polisens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som polisen svarar för. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller i en myndighets verksamhet i övrigt, om det åligger polisen att bistå myndigheten med viss uppgift, eller informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att lämna information till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för något annat

ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Slutligen anges att personuppgifter får behandlas om det är nödvändigt för diarieföring, eller uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 § polisdatalagen).

Det finns vidare särskilda sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- och säkerhetstjänst samt utländsk myndighet eller mellanfolklig organisation (2 kap. 15 § polisdatalagen). Personuppgifter får lämnas ut till Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Personuppgifter får även lämnas till utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Det finns även sekretessbrytande bestämmelser som gäller i förhållande till svenska myndigheter (2 kap.1618 §§polisdatalagen).

Lagen innehåller också bestämmelser om elektroniskt utlämnande av, tillgång till, bevarande och gallring av personuppgifter (2 kap.2021 §§polisdatalagen).

Behandling av känsliga personuppgifter

Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårregistret, fingertrycks- och signalementsregister, penningtvättsregister samt det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Polisdatalagen har ett särskilt kapitel med bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (5 kap. polisdatalagen). Dessa bestämmelser reglerar framförallt ändamålen för Säkerhetspolisens personuppgiftsbehandling, som delvis avviker från regleringen för den övriga polisen. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller behandlingen av

känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller samma bestämmelser som för polisen i övrigt.

Skadestånd, rättelse och överklagande

Personuppgiftslagens regler om skadestånd och rättelse gäller vid behandling med stöd av polisdatalagen (2 kap. 2 § första stycket punkterna 12 och 13 polisdatalagen). I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen (2 kap. 2 § första stycket punkt 13 polisdatalagen).

4.7.3. Andra registerförfattningar

Som tidigare nämnts finns det också några registerförfattningar som reglerar enskilda register som förs helt eller delvis inom ramen för polisens brottsbekämpande verksamhet, men som har undantagits från polisdatalagens tillämpningsområde. Detta gäller lagen om belastningsregister, lagen om misstankeregister, lagen om polisens allmänna spaningsregister, lagen om Schengens informationssystem och lagen om passagerarregister. I var och en av författningarna regleras bl.a. ändamålet med registret, vilka uppgifter som får finnas i registret och när de ska gallras. Motsvarande bestämmelser finns i vapenlagen (1996:67) när det gäller vapenregister.

4.8. Andra myndigheters behandling av personuppgifter för brottsbekämpning

4.8.1. Tullverket

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet behandlar i stort sett samma frågor som polisdatalagen. Den gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som ska tillämpas på personuppgiftsbehandling inom Tullverkets brottsbekämpande verksamhet. Till lagen hör förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Tullverket har också en registerlag med tillhörande förordning som gäller i den s.k. fiskala verksamheten, lagen (2001:185) och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. Författningarna i fråga är inte tillämpliga i detta lagstiftningsärende och kommer därför inte att beröras närmare här. När det i det följande talas om ”Tullverkets registerförfattning” avses alltså regleringen för Tullverkets brottsbekämpande verksamhet.

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller dels allmänna regler om behandling av personuppgifter, dels bestämmelser om en särskild databas, tullbrottsdatabasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer.

De ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära (7 §) och sekundära (8 §) ändamål. Personuppgifter får behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete (7 §). Vidare får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs hos andra, i bestämmelsen uppräknade, svenska brottsbekämpande myndigheter (8 §). Uppgifter får som huvudregel inte behandlas för några andra ändamål än de som anges i 7 och 8 §§ (jfr 9 § d personuppgiftslagen, som inte gäller i denna verksamhet). Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra (9 §).

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (11 §).

I 12–15 §§ anges de närmare förutsättningarna för behandling av uppgifter för de tre huvudsyften som anges i 7 §.

För ändamålet att förhindra eller upptäcka brottslig verksamhet får enligt 12 § uppgifter behandlas i följande fall – om uppgifterna dels ger anledning att anta att brottslig verksamhet, som innefattar brott för vilket är föreskrivet fängelse i minst två år har utövats eller kan komma att utövas, eller som innefattar andra brott om verksamheten sker systematiskt, dels kan hänföras till en person som skäligen kan misstänkas för verksamheten i fråga, – om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som nyss sagts och inte kan hänföras till en person, eller – om uppgifterna avser en person som, utan att vara skäligen misstänkt, kan antas ha samband med sådan verksamhet.

Dessutom får uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt i syfte att förhindra eller upptäcka brottslig verksamhet (13 §).

För ändamålet att utreda och beivra brott får enligt 14 § uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet.

Enligt 15 § får Tullverket, utöver vad som följer av 12–14 §§, behandla uppgifter för sådant ändamål som anges i 7 § 3, dvs. för att fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (16 §).

I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen och i 20–22 §§ anges vilka sökbegrepp som får användas. Lagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). I 27 § finns ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att uppgifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.

Lagen innehåller även bestämmelser om information till den registrerade och överklagande. I fråga om skadestånd och rättelse gäller bestämmelserna i personuppgiftslagen.

4.8.2. Kustbevakningen

För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen (2012:145) som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet.

Lagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid personuppgiftsbehandling i Kustbevakningens verksamhet (2 kap. 1 och 2 §§ lagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen. De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § kustbevakningsdatalagen. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen är aktuella när personuppgifter som får behandlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 3 kap. 3 § kustbevakningsdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behandling får vidare ske om det är nödvändigt för att tillhandahålla information

som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Kustbevakningsdatalagen innehåller också bestämmelser om behandling av känsliga personuppgifter (2 kap. 7 §). Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

Lagen innehåller vidare särskilda bestämmelser om i vilka fall utlämnande av personuppgifter får ske till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § kustbevakningsdatalagen). Personuppgifter får lämnas ut till dessa om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § kustbevakningsdatalagen). Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §).

Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 § och 4 kap.814 §§kustbevakningsdatalagen).

Personuppgiftslagens regler om skadestånd och rättelse gäller vid behandling med stöd av kustbevakningsdatalagen. I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen.

4.8.3. Skatteverket

I lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) i samma ämne regleras behandlingen av personuppgifter i verkets brottsbekämpande verksamhet. Lagen – som gäller dels för spaning vid och utredning av brott, dels för att förebygga brott – gäller utöver personuppgiftslagen.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det (1 § lagen om Skatteverkets medverkan i brottsutredningar), omfattar tillämpningsområdet för författningarna avseende Skatteverkets personuppgiftsbehandling även sådana brott.

I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (8 §). Lagen innehåller en uttömmande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Ett underrättelseregister får som huvudregel innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för denna verksamhet. Känsliga personuppgifter, dvs. uppgifter om en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden (4 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar). Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverksamhet.

Lagen innehåller också regler om utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).

Regeringen gav den 15 november 2012 Skatteverket i uppdrag att utreda behovet av författningsändringar i lagen och förordningen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Syftet är att mot bakgrund av ikraftträdandet av den nya polisdatalagen (2010:361) utreda vilka författningsändringar som behövs för att underlätta ett modernt och effektivt brottsbekämpande arbete där hänsyn tas till den personliga integriteten för de registrerade. Skatteverket ska också analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser. I uppdraget, som ska redovisas den 1 mars 2014, ingår att lämna författningsförslag.

4.8.4. Åklagarväsendet

Förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet gäller utöver personuppgiftslagen (1 §). Förordningen är tillämplig på Åklagarmyndigheten och på Ekobrottsmyndighetens åklagarverksamhet, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Sådan behandling av personuppgifter som regleras i förordningen (1997:902) om register över strafförelägganden undantas från tillämpningsområdet.

I förordningen anges uttömmande vilken behandling av personuppgifter som är tillåten. Huvudregeln är att uppgifter om den som kan misstänkas för brott och om andra personer får behandlas, när det behövs för att en åklagare ska kunna utföra de uppgifter som enligt rättegångsbalken eller annan författning ankommer på åklagare (7 §). Vidare får personuppgifter behandlas för tillsyn, planering, uppföljning eller framställning av statistik. Dessutom får uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en brottsbekämpande eller brottsbeivrande myndighet eller för att lämna uppgifter till andra, om uppgiftsskyldighet följer av lag eller förordning (8 och 9 §§). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden (10 §). Om uppgifterna finns i en handling som kommit in till myndigheten får de dock behandlas. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

Inom åklagarväsendet förs en ärendedatabas, vars ändamål och innehåll regleras i förordningen. I 13 § anges vilka personuppgifter som ärendedatabasen får innehålla. Det rör sig bl.a. om uppgifter som behövs för kommunikation med personen, uppgifter om en fysisk eller juridisk persons ställning och koppling till andra personer i ett ärende samt uppgifter om fysiska personers personliga och ekonomiska förhållanden, om juridiska personers ekonomiska förhållanden, uppgifter om brottshjälpmedel och transportmedel samt om beslut, händelser och åtgärder i ett ärende. Förordningen reglerar också vilka sökbegrepp som får användas vid sökning i ärendedatabasen (14–16 §§) samt gallring (21 §) och utlämnande av uppgifter (17 och 18 §§). Uppgifter får som huvudregel lämnas ut till en utländsk myndighet eller en mellanfolklig organisation endast om utlämnandet sker inom ramen för ett samarbete som är reglerat i en internationell överenskommelse som är bindande för Sverige. Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen (19 §).

Åklagarmyndigheten får enligt 3 § förordningen (1997:902) om register över strafförelägganden föra ett centralt register för strafförelägganden. Vidare får Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket enligt 2 § föra lokala register över strafförelägganden. I 9 § finns bestämmelser om vilka uppgifter som registren får innehålla. Det rör sig bl.a. om uppgifter om den misstänkte och om målsägande samt om gärningen, påföljden, beslut i ärendet och underrättelser. I 17 och 18 §§

anges vilka sökbegrepp som får användas vid sökning i registren. Förordningen innehåller inga bestämmelser om rättelse av felaktiga uppgifter eller om skadestånd för otillåten behandling av personuppgifter.

Inom Regeringskansliet pågår arbete med att utarbeta en ny reglering för behandlingen av personuppgifter inom åklagarväsendet. Arbetet utgår från Åklagardatautredningens betänkande Åklagarväsendets brottsbekämpning Integritet – Effektivitet (SOU 2008:87). I betänkandet föreslås en ny lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet som ska ersätta den nu gällande förordningen. Lagen föreslås gälla i stället för personuppgiftslagen och utgå från personuppgiftslagens tillämpningsområde, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som utredningen anser vara motiverade. Förslaget innehåller också allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, bl.a. regler om personuppgiftsansvar, ändamålet för behandlingen, behandling av känsliga personuppgifter, gallring samt utlämnande av personuppgifter och uppgiftsskyldighet.

4.9. Behandling av personuppgifter vid andra myndigheter i rättskedjan

4.9.1. Allmänna utgångspunkter

Tillämpningsområdet för dataskyddsrambeslutet omfattar även internationellt straffrättsligt samarbete (bl.a. rättslig hjälp) och verkställighet av straffrättsliga påföljder.

Straffrättsligt samarbete hanteras framförallt av åklagarväsendet och de allmänna domstolarna. Åklagarnas roll är att ta emot framställningar om rättslig hjälp av olika slag och att begära rättslig hjälp av en annan stat inom ramen för brottmålsförfarandet. Enligt vissa författningar ska domstol i varierande utsträckning pröva frågor om rättslig hjälp eller meddela beslut som krävs för handläggningen av exempelvis överlämnanden enligt den europeiska arresteringsordern eller ärenden om rättslig hjälp. Vidare ska domstol besluta i vissa frågor som rör övertagande av straffverkställighet. På verkställighetsstadiet berörs framför allt kriminalvården.

Som exempel på lagstiftning om rättsligt samarbete inom EU kan, förutom den lagstiftning som redovisas i det följande, nämnas bl.a. lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2005:500) om verkställighet inom Europeiska unionen av frysningsbeslut, lagen (2009:1427) om verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Vidare kan nämnas lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Här lämnas inte någon redogörelse för dessa författningar, eftersom de varken innehåller några bestämmelser om personuppgiftsbehandling eller om användningsbegränsningar.

4.9.2. Domstolarna

Behandlingen av personuppgifter vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna regleras, såvitt nu är av intresse, i tre olika förordningar. Förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller vid automatiserad behandling av personuppgifter i Högsta domstolens, hovrätternas och tingsrätternas rättskipande och rättsvårdande verksamhet. Vid de allmänna förvaltningsdomstolarna tillämpas förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling respektive förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling.

De tre förordningarna är uppbyggda på samma sätt och innehåller i stor utsträckning likalydande bestämmelser. Den följande redogörelsen omfattar alla tre förordningarna, om inte annat anges.

Förordningarna gäller utöver personuppgiftslagen, som således i övrigt gäller för personuppgiftsbehandlingen vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna. Förordningarna innehåller bestämmelser om två typer av register, nämligen verksamhetsregister och rättsfallsregister.

Domstolarna får föra verksamhetsregister, vilkas övergripande ändamål är att vara ett hjälpmedel vid handläggningen av mål och ärenden. Registren får användas för handläggning av mål och ärenden, planering, uppföljning och utvärdering av verksamheten och framställning av statistik. För andra domstolar än förvaltningsrätter finns ett fjärde ändamål, nämligen att fullgöra författningsenlig underrättelseskyldighet. Ett verksamhetsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål eller ärenden, om parter och andra aktörer, om personer som ska höras eller yttra sig, om förhandling, om handläggningen i övrigt och om rättegångskostnader.

Vid angivande av vad saken gäller (ärendemening) får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt. I övrigt får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Känsliga personuppgifter får inte användas som sökbegrepp. Samtliga förordningar innehåller regler om gallring i verksamhetsregister.

Domstolarna får vidare föra rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant rättsfallsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål- och ärendenummer, avgörandenummer, avgörandedatum, sökord och fullföljd. Personuppgiftslagens regler om gallring tillämpas på registren.

Vid sidan av behandlingen i register innehåller förordningarna också bestämmelser om att domstolarna får behandla personuppgifter automatiserat i löpande text, ljudupptagningar eller ljud- och bildupptagningar.

Personuppgifter som behandlas i löpande text eller i ljud- och bildupptagningar gallras enligt bestämmelserna i personuppgiftslagen. Det innebär att de ska gallras när de inte länge behövs.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förordningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans inom de allmänna domstolarna och de allmänna förvaltningsdomstolarna.

Inom Regeringskansliet pågår arbete med att ta fram förslag till ny reglering av behandlingen av personuppgifter vid domstolarna.

4.9.3. Kriminalvården

Allmänt om regleringen

Behandlingen av personuppgifter inom Kriminalvården regleras i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och förordningen (2001:682) i samma ämne.

Lagen innehåller vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller för Kriminalvårdens verksamhet. Lagen innehåller endast övergripande bestämmelser för behandlingen, medan förordningen bl.a. innehåller bestämmelser om de register som ska föras (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier.

Lagen gäller vid behandling av personuppgifter i fråga om personer som

– är föremål för personutredning, – är häktade, – är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa någon av dessa påföljder i Sverige,

– har ålagts förvandlingsstraff för böter eller vite, – på annan grund är intagna i häkte eller fängelse, eller – som annars transporteras av kriminalvårdens transporttjänst. Personuppgifter får behandlas enligt lagen bara om det är nödvändigt för att

– Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

– underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

– upprätthålla säkerheten och förebygga brott under häktning, verkställighet av påföljd, intagning av annat skäl eller transport.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är oundgängligen nödvän-

digt för syftet med behandlingen. Sådana uppgifter får inte användas som sökbegrepp, om inte regeringen har föreskrivit det.

Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Beslutet ska dock först omprövas av Kriminalvården.

Register som regleras särskilt

I förordningen om behandling av personuppgifter inom kriminalvården finns bl.a. bestämmelser om vissa särskilda register. Det centrala kriminalvårdsregistret regleras i 34–36 §§ i förordningen. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Registret omfattar endast personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en sådan påföljd i Sverige.

Säkerhetsregistret regleras i 39–41 och 43–46 §§. Ändamålet med registret är att upprätthålla ordningen och att förebygga brott. Registret omfattar endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering förutsätter därutöver att vissa särskilda omständigheter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).

4.9.4. Kronofogdemyndigheten

Kronofogdemyndigheten har bl.a. till uppgift att driva in böter och sådana ekonomiska förpliktelser som utgör särskild rättsverkan av brott.

Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet innehåller bestämmelser om behandling av personuppgifter i myndighetens verksamhet. I 1 kap. 1 § anges att den verksamhet som lagen tillämpas på är

– utsökning och indrivning, – skuldsanering, – betalningsföreläggande och handräckning, – europeiskt betalningsföreläggande, – tillsyn i konkurs, samt – annan verksamhet som särskilt åligger Kronofogdemyndigheten. Lagen gäller i stället för personuppgiftslagen, om inte annat särskilt anges i lagen.

Lagen består av tre kapitel, varav 1 kap. innehåller allmänna bestämmelser och 2 kap. bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1–6 §§), betalningsföreläggande- och handräckningsdatabasen (7–12 §§), skuldsaneringsdatabasen (13– 18 §§), konkurstillsynsdatabasen (19–23 §§) och gemensamma bestämmelser om databaserna (24–31 §§). I 3 kap. finns bestämmelser om enskildas rättigheter.

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).

I 1 kap. 6 § regleras behandlingen av känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Lagen innehåller en allmän bestämmelse om gallring (1 kap. 7 §). För de olika databaserna finns specifika bestämmelser om ändamål, innehåll och gallring.

I 3 kap. finns regler om information till den registrerade (1 och 2 §§), rättelse och skadestånd (3 och 3 a §§) och överklagande (4 §).

4.10. Lagstiftning om internationellt samarbete

4.10.1. Allmänna utgångspunkter

Dataskyddsrambeslutets tillämpningsområde omfattar endast sådana uppgifter som överförs eller görs tillgängliga mellan stater inom EU, EUorgan eller EU-informationssystem. I rambeslutet regleras bl.a. överföring till enskilda samt till tredjeland och internationella organ som sysslar med brottsbekämpning. I detta avsnitt redogörs för sådan lagstiftning som särskilt tar sikte på internationellt samarbete inom de verksamhetsområden som berörs av rambeslutet och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.

För en mer allmän beskrivning av den lagstiftning som reglerar internationellt samarbete, bl.a. avseende straffverkställighet, och det samarbete som sker mellan medlemsstaterna och de viktigaste internationella organ som sysslar med brottsbekämpning hänvisas till avsnitt 4.9.1 och 5 i departementspromemorian Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (Ds 2008:30).

4.10.2. Lagstiftning om samarbete i den brottsbekämpande verksamheten

Lagen om internationellt polisiärt samarbete

I lagen (2000:343) om internationellt polisiärt samarbete regleras samarbete mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i EU samt Norge och Island. Lagen reglerar bl.a. Schengensamarbetet och Prümsamarbetet, men även annat polissamarbete som är konventionsbundet. I lagen anges vilka svenska

tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän samt tulltjänstemän och kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter. Den mest frekventa delen av informationsutbytet inom Schengensamarbetet regleras dock i lagen om Schengens informationssystem. Den lagen reglerar informationsutbyte som utnyttjar en särskild databas som alla stater som deltar i Schengensamarbetet har tillgång till.

I lagen om internationellt polisiärt samarbete, som är mera inriktad på samarbete i enskilda fall, finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Har en svensk myndighet fått uppgifter eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överenskommelser med mellanfolkliga organisationer.

På motsvarande sätt föreskriver lagen att svenska myndigheter får ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. Detta gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation.

Lagen om vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna inom EU i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utredningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10–14 §§) och om brottsutredningar med användning av skyddsidentitet (15–17 §§). Med kontrollerad leverans avses att en viss förbju-

den vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5–7 §§ tillämpas (13 respektive 16 §).

Lagen om Schengens informationssystem

I datasystemet Schengens informationssystem (SIS) kan varje medlemsstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks med en begäran om att en viss åtgärd ska vidtas, om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av personuppgifter i den nationella delen av SIS. Lagen, som gäller utöver personuppgiftslagen (prop. 1999/2000:64 s. 135), innehåller bl.a. regler om vilka uppgifter som får registreras och för vilka syften (3 och 4 §§), en särskild bestämmelse om att känsliga personuppgifter inte får registreras (7 §) och bestämmelser om gallring, rättelse och skadestånd (11–13 §§).

Lagen innehåller också en regel om användningsbegränsning (10 §) enligt vilken en svensk myndighet inte får utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.

Inom kort tas en ny generation av SIS i bruk. Därmed kommer informationsutbytet enligt lagen även att omfatta vissa uppgifter som inte registreras i SIS, s.k. tilläggsinformation.

Lagen om internationellt tullsamarbete

Syftet med det internationella tullsamarbetet, som regleras i lagen (2000:1219) om internationellt tullsamarbete, är att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser. Denna lag träffar inte bara Tullverkets brottsbekämpande verksamhet utan även verkets fiskala verksamhet. Tullverket eller annan behörig svensk myndighet ska enligt lagen bistå utländsk myndighet och mellanfolklig organisation. Behöriga myndigheter är, förutom Tullverket, Rikspolisstyrelsen, polismyndigheter, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.

Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt svensk lagstiftning (1 kap. 3 §). Samarbetet består bl.a. i att länderna självmant eller på begäran ska delge varandra uppgifter som behövs för tullsamarbetet.

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verksamhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 §).

Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten i princip skyldig att på begäran av den som uppgiften avser

underrätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller om det kan befaras att underrättelsen skulle försvåra den utländska utredningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §).

Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (4 kap. 2 §). Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av utländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).

4.10.3. Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begäran vidta åtgärder som exempelvis förhör under förundersökning, bevisupptagning, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.

Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlemsstater i Europeiska unionen samt Norge, Island, Schweiz och Liechtenstein.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §). Åklagaren får begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma utsträckning som för en motsvarande svensk förundersökningsåtgärd.

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller beträffande villkor som en stat har ställt upp när den på eget initiativ lämnat sådana uppgifter.

På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

5. Dataskyddsrambeslutet

5.1. Bakgrund

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, (EUT L 350, 30.12.2008, s. 60, dataskyddsrambeslutet) utgör ett komplement till olika instrument om utvidgat polisiärt samarbete och rättsligt samarbete inom Europeiska unionen med inriktning på utökat gränsöverskridande informationsutbyte.

I dataskyddsrambeslutets inledning framhålls att gemensamma insatser inom polissamarbete och straffrättsligt samarbete gör det nödvändigt att behandla information, men att det samtidigt måste finnas regler om skydd för personuppgifter. Gemensamma normer för behandling och skydd av personuppgifter kan både bidra till ett effektivare samarbete och värna grundläggande rättigheter, som rätten till ett privatliv och rätten till skydd för personuppgifter. I dataskyddsrambeslutet uttalas vidare att befintliga instrument på europeisk nivå inte är tillräckliga. Bakom detta uttalande ligger att dataskyddsdirektivet (se avsnitt 4.3) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.

5.2. Rambeslutets innehåll

Syftet med dataskyddsrambeslutet, vilket framgår av artikel 1, är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. Dataskyddsrambeslutet är endast tilllämpligt på uppgifter som överförs eller har överförts eller görs eller har gjorts tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ samt informationssystem som har inrättats i enlighet med avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samarbete. Det framgår av skäl 8 att det är medlemsstaternas avsikt att den nivå på dataskydd som fastställs för nationell behandling ska motsvara vad som föreskrivs i dataskyddsrambeslutet. Dataskyddsrambeslutet hindrar inte medlemsstaterna från att ha ett starkare skydd för behandling av personuppgifter än vad som anges i rambeslutet. Tillnärmningen av medlemsstaternas lagstiftningar bör inte leda till ett svagare skydd för personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen (skäl 10).

På samma sätt som när det gäller EU:s reglering av behandling av personuppgifter inom ramen för den inre marknaden (dvs. dataskyddsdirektivet) hindrar rambeslutet inte att principen om allmänhetens tillgång till

offentliga handlingar kan tillgodoses vid tillämpningen av principerna i det (skäl 31).

Dataskyddsrambeslutet ska endast tillämpas på behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Från tillämpningsområdet undantas viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Artikel 2 anger vilka definitioner som tillämpas i rambeslutet. Med personuppgift avses varje upplysning som rör en identifierbar fysisk person.

I artikel 3 läggs vissa grundläggande principer för personuppgiftsbehandlingen fast, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de samlades in. Personuppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, t.ex. avidentifiering av uppgifterna. Vidarebehandling för något annat ändamål än det som uppgifterna överfördes för är bara tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver som huvudregel enligt artikel 11 den registrerades samtycke eller den överförande statens medgivande. Vidarebehandling får dock enligt den artikeln alltid ske – om kraven i artikel 3 är uppfyllda – för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes. Likaså får vidarebehandling ske för vissa administrativa uppgifter eller för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

Artiklarna 4 och 5 innehåller bestämmelser om rättelse, radering och blockering av personuppgifter och om regelbunden kontroll av om lagringen av uppgifterna är nödvändig. Personuppgifter ska rättas om de är felaktiga och raderas när de inte längre behövs för de ändamål de lagligen samlades in eller bearbetades för. Om en radering skulle påverka den registrerades intressen ska uppgifterna blockeras i stället för att raderas.

Artikel 4 är kopplad till artikel 8, som ålägger de behöriga myndigheterna att vidta alla rimliga åtgärder för att se till att de personuppgifter som överförs är korrekta. Om uppgifter har överförts olovligen eller varit felaktiga ska mottagaren omedelbart underrättas.

Artikel 6 reglerar rätten att behandla s.k. känsliga personuppgifter, dvs. uppgifter om bl.a. etniskt ursprung, politiska åsikter och religiös eller filosofisk övertygelse. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder. I artikel 7 anges att ett automatiserat beslutsförfarande som innefattar behandling av uppgifter som omfattas av dataskyddsrambeslutet är tillåtet endast om det föreskrivs i en lag där det även finns bestämmelser till skydd för den registrerades legitima intressen. Även artiklarna 9 och 12 innehåller bestämmelser om begränsningar av rätten att behandla uppgifter. Enligt artikel 9 får den överförande myndigheten meddela tidsfrister inom vilka den mottagande staten ska radera eller blockera uppgifterna eller kontrollera om de fortfarande behövs. Artikel 12 anger att den överförande myndigheten ska informera mottagaren om det enligt den överförande medlemsstatens nationella lagstiftning gäller särskilda begränsningar i fråga om utbyte av

uppgifter mellan behöriga myndigheter inom medlemsstaten. Mottagaren ska i sådana fall se till att begränsningarna följs.

I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland och internationella organ respektive till privata subjekt i eller utanför medlemsstaterna. Överföring till tredjeland och internationella organ kräver som huvudregel samtycke av den behöriga myndigheten i den stat varifrån uppgifterna härrör och får ske bl.a. om det är nödvändigt för utredning eller lagföring av brott och förutsätter enligt artikel 13 som huvudregel dels att det finns en adekvat skyddsnivå för behandlingen av uppgifter i den mottagande staten, dels att den medlemsstat från vilken uppgifterna härrör har gett sitt samtycke till överföringen. Också överföring till privata subjekt enligt artikel 14 kräver att den behöriga myndigheten i den medlemsstat från vilken uppgifterna har erhållits samtycker till överföring i enlighet med sin nationella lagstiftning. Vidare krävs att överföringen är absolut nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller förhindra att enskildas rättigheter lider allvarlig skada. Det sagda gäller dock enligt skäl 18 inte vid utlämnande till privata parter i samband med brottmål.

Enligt artikel 15 ska mottagaren på begäran informera den behöriga myndighet som har överfört uppgifterna om hur dessa behandlas.

Artiklarna 16–20 reglerar den registrerades rättigheter i olika avseenden, bl.a. rätten till information om behandlingen, rättelse av uppgifter, skadestånd till följd av otillåten personuppgiftsbehandling och tillgång till domstolsprövning vid kränkning.

Artiklarna 21 och 22 reglerar tystnadsplikt för den som får tillgång till personuppgifter enligt rambeslutet samt föreskriver krav på säkerhet i samband med behandlingen av uppgifter.

Enligt artikel 25 ska varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av behandlingen av uppgifter som omfattas av beslutet. Den nationella tillsynsmyndigheten ska enligt artikel 23 rådfrågas före behandling av personuppgifter när nya personuppgiftsbehandlingssystem införs som antingen innefattar nya kategorier av känsliga uppgifter eller innebär särskilda risker för den registrerades grundläggande fri- och rättigheter.

För att säkerställa genomförandet av dataskyddsrambeslutet ska medlemsstaterna enligt artikel 24 föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.

Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra avtal och överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga EU-rättsakter. Slutligen finns bestämmelser om genomförande av rambeslutet i artikel 27, om utvärdering i artikel 29 och om ikraftträdande i artikel 30.

6. Genomförande av dataskyddsrambeslutet

6.1. Förbättrat integritetsskydd vid polissamarbete och straffrättsligt samarbete

När dataskyddsdirektivet i slutet av 1990-talet genomfördes i svensk rätt gjordes det i princip tillämpligt även på polisen och andra brottsbekämpande myndigheter, domstolarna och de myndigheter som verkställer straffrättsliga påföljder. Den generella regleringen i personuppgiftslagen kompletterades med särskilda registerförfattningar antingen för olika sektorer eller för enskilda register. Som exempel kan nämnas att den tidigare gällande polisdatalagen härrör från det lagstiftningsarbete som var ett led i genomförandet av en generell reglering av skyddet för personuppgifter. Detsamma gäller den lagstiftning om personuppgiftsbehandling som alltjämt gäller för domstolarna och kriminalvården.

Eftersom dataskyddsdirektivet formellt inte gäller för bl.a. statens verksamhet på straffrättens område, så varierar skyddet för sådana uppgifter som överförs över gränserna. Vissa stater införde, i likhet med Sverige, även på straffrättens område i större eller mindre utsträckning dataskyddsregler som motsvarar direktivets förpliktelser.

När informationsutbytet inom EU inom ramen för polisiärt och straffrättsligt samarbete intensifierades under början av 2000-talet, identifierade man ett ökat behov av dataskydd inom dessa båda områden, eftersom de faller utanför dataskyddsdirektivets tillämpningsområde. Dataskyddsrambeslutet innebär en generell förstärkning av integritetsskyddet för uppgifter som överförs över gränserna inom ramen för sådant samarbete. Rambeslutet är dessutom tillämpligt på uppgifter som härrör från eller tillförs EU-datasystem och EU-organ. De gemensamma strävandena att förbättra dataskyddet inom EU innebär att svenska uppgifter som överlämnas inom ramen för EU-samarbete hänförligt till polisiärt och straffrättsligt samarbete generellt sett har ett starkare skydd i dag än tidigare. Ett stärkt integritetsskydd är ett viktigt svenskt intresse. Som framgår av avsnitt 4.3 pågår förhandlingar inom EU i syfte att stärka skyddet ytterligare.

6.2. I vilken utsträckning kräver genomförandet av dataskyddsrambeslutet författningsreglering?

Regeringens bedömning: Artikel 1.2–4 om tillämpningsområdet, artikel 9.1 om tidsfrister för gallring, artiklarna 11–14 om bl.a. överföring till tredjeland och till enskilda, artikel 16.2 om information, artikel 19.2 om jämkning av skadestånd och artikel 28 om förhållandet till tidigare rättsakter kräver författningsreglering.

Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen anser inte att delar av artikel 1.2 samt artiklarna 13.3, 19.2 och 28 kräver någon författningsreglering.

Remissinstanserna: Ingen av remissinstanserna invänder mot utredningens bedömning av vilka artiklar i dataskyddsrambeslutet som kräver författningsreglering.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del, utom Sveriges advokatsamfund som ställer sig bakom utredningens bedömning i fråga om artikel 13.3.

Skälen för regeringens bedömning: Vid tillkomsten av dataskyddsrambeslutet utgjorde dataskyddsdirektivet en viktig inspirationskälla.

Som tidigare nämnts innehåller regleringen för de myndigheter som berörs av rambeslutet i stor utsträckning redan bestämmelser som motsvarar flertalet av artiklarna i dataskyddsrambeslutet. Genom att Sverige genomförde dataskyddsdirektivet i väsentliga delar även inom de sektorer som dataskyddsrambeslutet reglerar, trots att de inte omfattades av direktivets tillämpningsområde, finns det redan ett välutvecklat dataskydd inom dessa sektorer. Reglerna behöver dock i några delar justeras eller kompletteras med anledning av dataskyddsrambeslutet. I propositionen 2008/09:16 om godkännande av dataskyddsrambeslutet görs en översiktlig bedömning av vilka artiklar i rambeslutet som kan kräva ny lagstiftning i Sverige. Där uttalas att artikel 6 om behandling av känsliga personuppgifter, artikel 9 om iakttagande av överförande stats tidsfrister och artikel 20 om rättsmedel (i fråga om Skatteverkets behandling av personuppgifter) kan komma att kräva lagändring. I propositionen framhålls vidare att det behöver tydliggöras vilka delar av Säkerhetspolisens personuppgiftsbehandling som faller utanför rambeslutets tillämpningsområde.

Vidare behöver enligt godkännandepropositionen vissa andra artiklar i rambeslutet analyseras närmare för att ge underlag att bedöma om det i något annat avseende behövs lagändringar eller kompletterande bestämmelser för att svensk rätt ska uppfylla kraven i rambeslutet.

Utredningen finner att artiklarna 1.2 a, 1.3 och 1.4 (om tillämpningsområdet) samt artiklarna 3.2 (om vidarebehandling för annat ändamål), 9 (om tidsfrister), 11–14 (om bl.a. överföring till tredjeland och till enskilda) och 16.2 (om information till den registrerade) kräver lagstiftningsåtgärder och föreslår att det införs en ny lag om användningsbegränsningar. Utredningen anser vidare att artikel 6, som behandlar känsliga personuppgifter, bör föranleda ändringar i befintliga registerförfattningar för de berörda myndigheterna. Utredningen anser också att det i alla myndigheters registerförfattningar bör anges att personuppgiftsbehandling får ske för att fullgöra förpliktelser som följer av internationella åtaganden. Dessutom krävs det enligt utredningen följdändringar i form av hänvisningar till den nya lagen i myndigheternas registerförfattningar. I övrigt anser utredningen att dataskyddsrambeslutets bestämmelser inte kräver några lagstiftningsåtgärder.

Regeringen instämmer i stora delar i de bedömningar utredningen gör när det gäller behovet av författningsändringar och återkommer i det följande till hur dessa bör genomföras. Till skillnad från utredningen anser dock regeringen att vissa delar av artikel 3.2 och artikel 9 inte kräver någon lagstiftningsåtgärd. Detsamma gäller artikel 6, vilket regeringen återkommer till. Däremot kräver ett par artiklar, utöver de som

utredningen har angett, författningsreglering. Det gäller ytterligare delar av artikel 1.2 (om tillämpningsområdet), artikel 13.3 (om överföring i vissa fall till tredjeland och internationella organ), artikel 19.2 (om skadestånd) och artikel 28 (om förhållandet till tidigare rättsakter).

Även innehållet i skälen 45–47 (om förhållandet till Island, Norge, Schweiz och Liechtenstein) och skäl 18 (överföring till enskilda i samband med brottmål) bör återspeglas i den nya lagen. Utöver detta krävs det inte någon författningsreglering.

6.3. Normgivningsnivån

Regeringens förslag: De återstående delarna av dataskyddsrambeslutet genomförs i huvudsak genom en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har något att invända mot utredningens förslag. Kriminalvården delar utredningens slutsats att det finns anledning att införa en ny lag med generella bestämmelser om användningsbegränsningar. Lunds universitet anser att för överskådlighetens skull är en särskild lag att föredra framför ändringar i de olika lagar som reglerar behandlingen av personuppgifter. Tullverket har inget att invända mot att rambeslutet genomförs på det sätt som föreslagits, men framhåller att på sikt bör aktuella användningsbegränsningar regleras i registerförfattningarna för att underlätta tillämpningen.

Uppsala universitet anser dock att den föreslagna regleringen kommer att fortsätta att bidra till att området blir svåröverskådligt. Skilda regler för personuppgiftsbehandling beroende på om det handlar om rent nationell behandling eller om gränsöverskridande personuppgiftsbehandling kan leda till tillämpningsproblem, eftersom samma uppgifter och information kan förekomma i skilda sammanhang och en uppgift som härrör från en stat kan blandas med och kompletteras av uppgifter från andra stater. Vidare är det enligt universitetet en brist att flera av de gällande regleringarna på området har formen av förordning, trots att skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen jämförd med 2 kap. 20 § regeringsformen motiverar att lagform används.

Enligt universitetet framstår det som angeläget att dessa brister beaktas i lagstiftningsarbetet.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Säkerhets- och integritetsskyddsnämnden tillstyrker den utformning lagen fått i utkastet till lagrådsremiss men framhåller att regleringen blir komplex och svåröverskådlig. Nämnden anser vidare att en mer precis benämning på lagen bör övervägas eftersom den föreslagna benämningen ger intryck av att lagen har ett vidare tillämpningsområde än den faktiskt har.

Skälen för regeringens förslag

En ny lag bör införas

Sverige har åtagit sig att genomföra dataskyddsrambeslutet i nationell rätt. En grundläggande fråga är om de delar av dataskyddsrambeslutet som återstår att genomföra bör regleras i befintlig lagstiftning, framförallt i berörda myndigheters registerförfattningar och i de författningar som rör internationellt samarbete, eller om de ska sammanföras i en separat, ny reglering. En annan viktig fråga är i vilken utsträckning regleringen kräver lagform.

Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § andra stycket regeringsformen). Inskränkningar i detta skydd kan enbart ske genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap.20 och 21 §§regeringsformen). Dataskyddsrambeslutets bestämmelser innebär inte några inskränkningar i enskildas personliga integritet utan är tvärtom avsedda att stärka den enskildes integritetsskydd. Även om genomförandet av dataskyddsrambeslutet inte i sig innebär något utökat informationsutbyte anser regeringen att regleringen är av den arten att den lämpligen bör ha lagform. Av betydelse i sammanhanget är att de författningar som styr myndigheternas hantering av sådana personuppgifter som kan komma att utbytas inom ramen för dataskyddsrambeslutet i stor utsträckning redan finns i lag (bl.a. registerförfattningarna för polisen, Tullverket, Kustbevakningen, Skatteverket och i viss utsträckning Kriminalvården) eller är föremål för översyn med sikte på framtida lagreglering (bl.a. registerförfattningarna för åklagarväsendet och domstolarna).

Dataskyddsrambeslutet innehåller en generell reglering, men har bara relevans för vissa myndigheter. Personuppgiftslagen (1998:204) gäller för all behandling av personuppgifter, om inte avvikande bestämmelser har meddelats i lag eller förordning. Som nyss nämnts finns det särskilda registerförfattningar inom de områden som dataskyddsrambeslutet omfattar. Att införa de ytterligare lagbestämmelser som krävs för att genomföra dataskyddsrambeslutet i personuppgiftslagen bör därför inte komma i fråga, även om reglerna till viss del anknyter till sådana bestämmelser i personuppgiftslagen som gäller för de berörda myndigheterna.

Ett alternativ skulle kunna vara att föra in de nya bestämmelserna i myndigheternas registerförfattningar. Ett skäl som talar för en sådan lösning är det som Uppsala universitet tar upp, nämligen att man bör undvika att göra personuppgiftsregleringen ännu mer komplicerad än den är i dag. Utredningen anger som skäl för att införa en särskild lag att bestämmelserna ska tillämpas av flera olika myndigheter. Regeringen, som delar utredningens uppfattning att det bör införas en ny sektorsgemensam lag, anser att ett tungt vägande skäl för en ny lag är rambeslutets tillämpningsområde. Rambeslutet gäller för överföring av uppgifter från och till andra stater, EU-organ och EU-informationssystem. De myndigheter som berörs av regleringen kommer att tillämpa den i varierande utsträckning. Polisen kommer troligen att tillämpa lagen i betydligt större utsträckning än exempelvis Kriminalvården. Att då tynga varje myndighets register-

författning med samma regler är en mindre lyckad lösning. Det är därför bättre att införa en ny, sektorsgemensam lag. Som redovisas i avsnitt 4 pågår för närvarande lagstiftningsarbete för att utforma nya eller ändrade registerförfattningar inom flera av de aktuella områdena. Det mer omfattande lagstiftningsarbete som Uppsala universitet efterlyst för att komma till rätta med att vissa av registerförfattningarna endast har förordningsform är varken lämpligt eller möjligt att genomföra inom ramen för detta lagstiftningsärende. Tullverket tar upp frågan hur regleringen bör se ut på längre sikt. Mot bakgrund av det reformarbete som pågår inom EU och Europarådet (se avsnitt 4.2 och 4.3) finns det inte anledning att nu binda sig för hur regleringen bör se ut i framtiden.

Lagens benämning

Utredningen föreslår att den nya lagen ska benämnas ”lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen”. Regeringen anser att en annan benämning bör väljas och instämmer i Säkerhets- och integritetsskyddsnämndens uppfattning om behovet av en preciserad rubrik. Skälen för att utredningens förslag inte bör väljas är dels att lagen reglerar även annat än användningsbegränsningar, dels att benämningen bör spegla lagens huvudsyfte. Regeringen anser att den nya lagen bör benämnas ”Lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen".

6.4. Den nya lagens tillämpningsområde

6.4.1. Allmänt om tillämpningsområdet

Regeringens förslag: Den nya lagen ska gälla för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete och straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en stat som är medlem i EU, eller Island, Norge, Schweiz eller Liechtenstein, eller ett EU-organ eller ett EU-informationssystem.

Lagen ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling, om uppgifterna som behandlas ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen ska i viss utsträckning också gälla när svenska myndigheter överför till eller gör personuppgifter tillgängliga för en annan stat som är medlem i EU, Island, Norge, Schweiz eller Liechtenstein, ett EUorgan eller ett EU-informationssystem.

En justering av de tillåtna ändamålen för behandling görs i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den tydliggör att Tullverket, i likhet med andra brottsbekämpande

myndigheter, får behandla personuppgifter också i syfte att förebygga brottslig verksamhet.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen, som anser att lagens tillämpningsområde ska knytas till de myndigheter som kommer att tillämpa lagen, behandlar inte frågan om rambeslutets tillämpning på personuppgifter som överförs till eller från

Island, Norge, Schweiz eller Liechtenstein. Vidare lämnar utredningen inget förslag om lagens tillämpning på svenska myndigheters överföring av personuppgifter till andra stater. Eftersom utredningen inte bedömer det vara nödvändigt att reglera behandling av personuppgifter som överförs till eller från ett EU-organ eller ett EU-informationssystem lämnar utredningen inte något förslag i denna del. Utredningen tar inte heller upp frågan om tillämpningsområdet bör påverkas av tidigare beslutade rättsakter.

Remissinstanserna: Den övervägande delen av remissinstanserna tillstyrker förslaget eller lämnar det utan invändningar. Ett antal remissinstanser anser att begränsningen till helt eller delvis automatiserad behandling medför otydligheter. Förvaltningsrätten i Linköping framhåller att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form av överklaganden, yttranden och andra skrivelser.

Uppsala universitet anser att avgränsningen av lagen till att inte omfatta personuppgifter som överförs från EU-myndigheter, EU-organ eller

EU-gemensamma informationssystem framstår som omotiverad. Universitetet menar också att det faktum att olika regler gäller för rent nationell personuppgiftsbehandling och gränsöverskridande personuppgiftsbehandling kan leda till vissa tillämpningsproblem. Även Tullverket anser att det skulle underlätta för tillämparen om det direkt av lagtexten framgick att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem och inte enbart direkt från medlemsstater. Tullverket välkomnar förslaget att lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga eftersom detta både förtydligar bestämmelsen och harmoniserar den i förhållande till vad som gäller för polisen enligt polisdatalagen (2010:361). Ekobrottsmyndigheten framhåller att de i den föreslagna bestämmelsen om tillämpningsområdet uppräknade myndigheterna bör anges i den ordning som är vedertagen i författningstext.

Svea hovrätt påpekar att utredningen inte anger hur uppgifter som Sverige har tagit emot från bl.a. en EES-stat ska behandlas.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: Svea hovrätt konstaterar att den i det tidigare yttrandet framförda synpunkten att en så enhetlig reglering som möjligt inom EU och Norden bör eftersträvas är helt tillgodosedd genom utformningen av 2 § i utkastet till lagrådsremiss. Säkerhets- och integritetsskyddsnämnden tillstyrker den utvidgning av lagens tillämpningsområde som förslaget i utkastet till lagrådsremiss innebär i förhållande till utredningens förslag. Nämnden anser dock att en erinran om att det finns andra författningar som också innehåller bestämmelser om skydd för

personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU bör införas i den föreslagna lagen. Rättsmedicinalverket framhåller att verket faller utanför lagens tillämpningsområde. Om regeringens avsikt är att myndigheten ska omfattas av den föreslagna lagen, anser verket att detta behöver analyseras ytterligare i lagstiftningsärendet.

Skälen för regeringens förslag

Allmänna utgångspunkter

Rambeslutet syftar till att stärka skyddet för personuppgifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Därmed är det endast vissa myndigheter som berörs. Begreppet polissamarbete omfattar inte bara polisens verksamhet utan tar sikte på all brottsbekämpande verksamhet oavsett vilken myndighet som bedriver den. I Sverige bedrivs brottsbekämpning av såväl polisen som av Tullverket, Kustbevakningen och i viss utsträckning Skatteverket samt av åklagare. Straffrättsligt samarbete involverar åklagare och domstolar samt, när det gäller verkställighet av straffrättsliga påföljder, Kriminalvården och Kronofogdemyndigheten.

Mot bakgrund av att regleringen i rambeslutet endast omfattar uppgifter som överförts inom ramen för nyssnämnda samarbete – och därmed också bara berör ett fåtal myndigheter och endast delar av deras verksamhet – är avgränsningen av den nya lagens tillämpningsområde en vital fråga. Utredningen väljer att knyta tillämpningsområdet till vissa namngivna myndigheter. Regeringen anser, av skäl som utvecklas närmare i det följande, att rambeslutet förutsätter en djupare analys när det gäller tillämpningsområdet.

Artikel 1 i rambeslutet, som reglerar rambeslutets syfte och tillämpningsområde, innehåller inte några bestämmelser som i sig kräver lagstiftningsåtgärder. Olika delar av artikeln, framför allt punkterna 2, 3 och 4, har dock betydelse för hur den nya lagens tillämpningsområde bör avgränsas. De behandlas därför i det följande.

Förebygga, utreda, avslöja eller lagföra brott samt verkställa påföljder

Enligt den inledande delen av artikel 1.2 omfattar rambeslutet bara sådan personuppgiftsbehandling som sker när personuppgifter överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Utredningen föreslår att lagen endast ska gälla för vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete och att lagen ska innehålla en uppräkning av de myndigheter som ska tillämpa den.

Syftet med rambeslutet är att skapa ett enhetligt skydd för personuppgifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Rambeslutet utgår från att det ska tillämpas av myndigheter som bedriver sådan verksamhet och på informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen. Detta framgår av artikel 1.1. Rambeslutet innehåller bestämmelser både om hur sådana

uppgifter får samlas in för vissa ändamål och hur de får vidarebehandlas för andra ändamål. Regleringen får indirekt betydelse även för behandlingen nationellt genom att svenska uppgifter som ska överföras till en annan medlemsstat måste hanteras så att kraven i rambeslutet kan uppfyllas. Lagens tillämpningsområde bör därför inte, som utredningen föreslår, begränsas till vidarebehandling av sådana uppgifter som svenska myndigheter har tagit emot.

Den närmare avgränsningen av vilka typer av uppgifter som rambeslutet omfattar regleras i artikel 1.2, av vilken framgår att rambeslutet ska tillämpas på uppgifter som överförs i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen anser att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i rambeslutet än att, som utredningen föreslår, i lag räkna upp de myndigheter som ska tillämpa lagen. En uppräkning av det slaget riskerar snabbt att bli inaktuell. Dessutom kan en sådan uppräkning ge intryck av att den är uttömmande och att lagen således inte gäller för andra myndigheter som eventuellt kan komma att få tillgång till uppgifter som har överförts enligt rambeslutets bestämmelser, t.ex. myndigheter som endast i liten utsträckning fullgör åklagaruppgifter eller verkställer straffrättsliga påföljder. Eftersom det inte finns någon definition av begreppet ”polisiärt samarbete”, medför utredningens förslag dessutom en risk för att informationsutbyte av annat slag som sker via framför allt polisiära kanaler kan komma att träffas av regleringen trots att det inte är avsikten.

Utöver polisen och åklagarväsendet är det som nyss nämnts framförallt Kustbevakningen, Skatteverket, Tullverket, Kriminalvården, Kronofogdemyndigheten och de allmänna domstolarna som kommer att utföra personuppgiftsbehandlingar som träffas av rambeslutets tillämpningsområde och som därför bör omfattas av den nya lagen. Även andra myndigheter, t.ex. Statens institutionsstyrelse, kan i undantagsfall komma att utföra sådana personuppgiftsbehandlingar som bör omfattas av lagen för att rambeslutets krav ska tillgodoses. Denna myndighet kan exempelvis komma att få del av överförda personuppgifter i samband med verkställighet av sluten ungdomsvård. Det kan inte heller uteslutas att även andra myndigheter i något fall kan komma att få del av personuppgifter som omfattas av den föreslagna lagen. Som Rättsmedicinalverket framhåller kommer verket inte att direkt omfattas av lagen eftersom myndighetens verksamhet inte utgör brottsbekämpning eller verkställighet av påföljder. Även om andra myndigheter inte får sådana uppgifter som omfattas av lagen direkt från en annan medlemsstat eller ett EU-organ, så kan de få dem via någon av de myndigheter som är det primära målet för regleringen. Rambeslutet förutsätter att personuppgifterna ska vara skyddade hos alla myndigheter, om uppgifterna och behandlingen omfattas av rambeslutets tillämpningsområde. Enligt regeringens mening bör den föreslagna lagen därför inte begränsas till att gälla enbart hos vissa uppräknade myndigheter utan gälla generellt för personuppgiftsbehandling i verksamhet som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder, oavsett hos vilken myndighet behandlingen sker. Genom att myndigheterna inte namnges så saknar den av

Ekobrottsmyndigheten framförda synpunkten om hur myndigheterna bör räknas upp betydelse.

I sammanhanget kan noteras att rambeslutet i flera bestämmelser använder uttrycket behörig myndighet. Även utredningens förslag innehåller detta uttryck. Enligt svensk rätt är det en grundläggande förutsättning för rätten att behandla personuppgifter att behandlingen ryms inom myndighetens uppdrag. Utgångspunkten måste ur svenskt perspektiv vara densamma när det gäller myndigheter i andra länder. Svenska myndigheter ska således inte behöva ta ställning till om den myndighet som överför personuppgifter är att betrakta som behörig i sin hemstat. Regeringen anser mot denna bakgrund att det inte är nödvändigt att använda uttrycket behörig myndighet i lagtexten.

När det gäller den närmare avgränsningen kan vidare konstateras att man i svensk lagstiftning brukar skilja mellan underrättelseverksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och verksamhet som går ut på att utreda och beivra konkreta brott. Då begreppet brott i rambeslutet bör tolkas så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som är föremål för underrättelseverksamhet, anser regeringen att avgränsningen av den nya lagen bör formuleras på motsvarande sätt. Vidare anser regeringen att begreppen upptäcka och beivra stämmer bättre överens med språkbruket i svensk lagstiftning än begreppen ”avslöja” och ”lagföra” som används i rambeslutet. Sammanfattningsvis anser således regeringen att lagen bör gälla när personuppgifter som överförs eller har överförts eller görs eller har gjorts tillgängliga behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

Att den nya lagens tillämpningsområde avgränsas på det sätt som regeringen föreslår innebär att lagen kan bli tillämplig i såväl underrättelsearbete, förundersökning och brottmålsrättegång som vid verkställighet av påföljd. Samtidigt innebär avgränsningen att personuppgiftsbehandling för andra ändamål faller utanför tillämpningsområdet. Exempelvis faller rättslig hjälp i civilmål utanför, liksom t.ex. informationsutbyte som rör offer för olyckshändelser (även om informationen förmedlas via polisiära kanaler).

I detta sammanhang bör framhållas att Tullverkets lagstiftning skiljer sig från övriga brottsbekämpande myndigheters på det sättet att det inte tydligt framgår att myndigheten också får behandla personuppgifter i syfte att förebygga brott, trots att det får anses ingå i dess uppgifter. För att åstadkomma likformighet i förhållande till övriga brottsbekämpande myndigheter föreslår utredningen att 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga. Det är angeläget att Tullverket, vars verksamhet bland annat innefattar brottsbekämpning, har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter. Regeringen instämmer därför i utredningens bedömning att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör tydliggöras att regleringen också omfattar behandling i syfte att förebygga brottslig verksamhet.

Även uppgifter som tillförs register som regleras i andra författningar än myndigheternas generella registerförfattningar kommer att omfattas av lagens tillämpningsområde, om registren i fråga har brottsbekämpning, lagföring eller straffverkställighet som ändamål. Detta gäller exem-

pelvis personuppgifter som kommer att flyta in i belastningsregistret, misstankeregistret, strafförelägganderegistret och ordningsbotsregistret, om uppgifterna är av den arten att rambeslutet är tillämpligt.

Förenklat kan man säga att den föreslagna lagen kommer att innehålla vissa särskilda dataskyddsregler som gäller när personuppgifter som förts över medlemsstatsgränserna behandlas i exempelvis brottsbekämpande verksamhet. Bestämmelserna i t.ex. polisdatalagen och kustbevakningsdatalagen utgör dock fortfarande grunden för den behandling som äger rum när uppgifterna har mottagits. Exempelvis krävs det att polisdatalagen ger stöd för att polisen behandlar personuppgifterna för ett visst ändamål. Säkerhets- och integritetsskyddsnämnden anser att detta förhållande bör tydliggöras genom att det i den föreslagna lagen införs en bestämmelse som erinrar om att det finns andra författningar som innehåller bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Enligt regeringens mening är det tillräckligt att det i myndigheternas registerförfattningar införs bestämmelser om hur dessa förhåller sig till den nya lagen.

Personuppgifter från andra medlemsstater, EU-organ och EU-informationssystem

Enligt artikel 1.2 ska rambeslutet tillämpas på uppgifter som förs över eller görs tillgängliga, eller har överförts eller gjorts tillgängliga,

a) mellan medlemsstater,

b) av medlemsstater till EU-organ eller EU-informationssystem, eller

c) av EU-organ eller EU-informationssystem till medlemsstater. Utredningen anser att det är tillräckligt om den nya lagens tillämpningsområde omfattar uppgifter som en myndighet har tagit emot från en annan medlemsstat, eller som har gjorts tillgängliga av en annan medlemsstat. Skälet för detta är att de uppgifter som är aktuella enligt utredningens mening alltid kan sägas ha sitt ursprung i en medlemsstat, även i en situation där uppgiften senare överförs från ett EU-organ eller ett EUinformationssystem.

Tullverket invänder mot utredningens förslag i denna del och framhåller att tillämpningen av lagen skulle underlättas om det direkt av lagtexten framgår att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem. Även Uppsala universitet invänder mot utredningens resonemang. Enligt universitetet kan det knappast uteslutas att uppgifter som behandlas av EU-organen sammanförs och kompletteras med andra uppgifter, så att ny information framträder. Regeringen delar universitetets uppfattning. Utredningens förslag kan resultera i att vissa personuppgifter, som är tänkta att omfattas av rambeslutets skyddsregler, faller utanför lagens tillämpningsområde.

Detta gäller exempelvis sådana uppgifter som inhämtats inom ramen för Europols samarbete med Interpol, där uppgifterna inte härrör från en annan medlemsstat i EU (jfr prop. 2008/09:14 s. 6). Vidare är en av Europols huvuduppgifter att – med hjälp av information som erhålls från medlemsstaterna – bearbeta, analysera och vidareutveckla kunskaperna om gränsöverskridande, grov organiserad brottslighet. Med utredningens förslag skulle uppgifter som härrör från sådan bearbetning inte ha samma skydd som motsvarande uppgifter som bearbetats i en medlemsstat. En-

ligt regeringens mening är detta inte rimligt. Därför bör det av den nya lagen framgå att den gäller även i fråga om personuppgifter som har tagits emot från ett EU-organ eller ett EU-informationssystem. Härigenom tillgodoses också Tullverkets önskemål om en mer lättillämpad reglering.

När det gäller EU-informationssystem omfattar rambeslutets tillämpningsområde enbart system som har inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, dvs. regleringen om polissamarbete och straffrättsligt samarbete. Någon risk för missförstånd om vilka system som avses finns knappast, eftersom det bara är ett fåtal informationssystem som berörs. Lagen bör därför inte tyngas med en hänvisning till fördraget.

Uppsala universitet påpekar också att det förhållandet att olika regler kommer att gälla för rent nationell personuppgiftsbehandling respektive gränsöverskridande personuppgiftsbehandling kan leda till vissa tillämpningsproblem. Regeringen ifrågasätter inte detta. Frågan är emellertid om det i sig utgör ett hinder mot att utforma regleringen i huvudsak på det sätt som utredningen har föreslagit och remissinstanserna ställt sig bakom. Eftersom det gränsöverskridande samarbetet bara genererar en mycket liten del av den totala mängd personuppgifter som behandlas av de nu aktuella myndigheterna anser regeringen att det för närvarande inte finns skäl att välja någon annan lösning. Det bör emellertid anmärkas att kommissionen den 25 januari 2012 presenterade ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. I reformförslaget ingår dels en förordning med en reglering som ska ersätta dataskyddsdirektivet, dels ett direktiv som är avsett att ersätta dataskyddsrambeslutet (se avsnitt 4.3). Det nya direktivet föreslås omfatta även nationell behandling. På sikt kan således frågan om en mer heltäckande reglering aktualiseras.

Den av regeringen valda lösningen förutsätter att sådana uppgifter som omfattas av rambeslutet på något sätt kan urskiljas och vid behov särbehandlas. Den frågan behandlas vidare i avsnitt 6.18.

Regeringen återkommer i avsnitt 6.14 till frågan om hur förekomsten av dataskyddsbestämmelser i tidigare beslutade EU-rättsakter återverkar på lagens tillämpningsområde.

Svenska myndigheters överföring av uppgifter

Utgångspunkten är att den nya lagen framför allt ska reglera integritetsskyddet för personuppgifter som svenska myndigheter tar emot från andra EU-stater, EU-organ och EU-informationssystem och behandlar i de syften som anges i rambeslutet. Artikel 1.2 i rambeslutet innebär emellertid att rambeslutets bestämmelser ska tillämpas även när svenska myndigheter överför uppgifter till andra medlemsstater eller till EUorgan eller EU-informationssystem. Enligt artikel 12.1 finns en skyldighet för medlemsstaterna att ange om särskilda användningsbegränsningar gäller för uppgifterna.

Vad som främst är aktuellt är att svenska myndigheter ska kunna, när svenska intressen så kräver och rambeslutet medger det, ange villkor för hur de personuppgifter som myndigheterna överför till andra EU-stater, EU-organ och EU-informationssystem får användas. Svenska myndighe-

ter bör också ha möjlighet att, i enlighet med artikel 9.1, kunna ange när uppgifterna ska gallras, se vidare avsnitt 6.7.2.

Utredningen lägger inte fram något förslag i denna del. Remissinstanserna yttrar sig inte heller i frågan.

Redan i dag finns det, som framgår av avsnitt 4.10, ett flertal bestämmelser som reglerar svenska myndigheters möjlighet att ställa upp villkor vid informationsutbyte med andra stater. Dessa bestämmelser täcker emellertid inte rambeslutets hela tillämpningsområde. Som exempel kan nämnas att informationsutbyte via EU-informationssystem och informationsutbyte via EU-organ inte omfattas.

Det är enligt regeringens mening givetvis lika viktigt att upprätthålla ett starkt integritetsskydd för de uppgifter som svenska myndigheter överför eller gör tillgängliga för andra stater eller EU-organ eller EUinformationssystem som för de uppgifter som tas emot. Den nya lagstiftningen bör därför även i relevanta delar tillämpas på svenska myndigheters överföring av uppgifter. För att underlätta för tillämparna bör skyldigheten att följa utländska villkor och möjligheten för svenska myndigheter att ange villkor regleras i samma författning.

Lagrådet ifrågasätter behovet av en bestämmelse som tydliggör i vilken utsträckning svenska myndigheter ska tillämpa den nya lagen när de inom ramen för polisiärt eller straffrättsligt samarbete överför uppgifter till mottagare utomlands. Regleringen på området är, som Lagrådet framhåller, komplicerad och svåröverblickbar. Mot den bakgrunden är det viktigt att tillämparen får ledning när det gäller frågan om lagen över huvud taget ska tillämpas, vilket den aktuella bestämmelsen syftar till.

Regeringen anser därför att bestämmelsen bör finnas kvar. Den bör dock formuleras om och utformas i linje med Lagrådets synpunkter.

Regeringen återkommer till frågan om svenska myndigheters överföring av uppgifter till andra medlemsstater i avsnitt 6.7.2.

Informationsutbyte med Island, Norge, Schweiz och Liechtenstein

Av skäl 45–47 i rambeslutet framgår att rambeslutet beträffande Island, Norge, Schweiz och Liechtenstein utgör en utveckling av Schengenregelverket. Detta innebär att rambeslutets bestämmelser ska tillämpas också i fråga om uppgifter som görs tillgängliga mellan eller överförs till och från dessa stater.

Utredningen belyser inte denna fråga. Den enda remissinstans som berör frågan är Svea hovrätt som pekar på att utredningen inte anger hur uppgifter som Sverige har tagit emot från bl.a. en EES-stat ska behandlas.

Regeringen anser att det i den nya lagen bör klargöras att lagen gäller även i förhållande till de nu nämnda staterna. I författningsförslaget bör detta återspeglas i regleringen av den nya lagens tillämpningsområde. Härigenom tillgodoses den av Svea hovrätt framförda synpunkten.

Bara uppgifter om fysiska personer

Rambeslutet reglerar bara skydd för uppgifter om fysiska personer (artikel 1.1). En fråga som väcks vid genomförandet av rambeslutet är om den nya lagen bör skydda endast uppgifter om fysiska personer eller om den bör innehålla skyddsregler även för juridiska personer.

Utredningen behandlar inte denna fråga. Inte heller remissinstanserna berör frågan.

Svensk lagstiftning om behandling av personuppgifter skyddar i viss utsträckning även juridiska personer (se t.ex. 1 kap. 3 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen). Med tanke på att den lag som nu föreslås har som enda syfte att genomföra dataskyddsrambeslutet, framstår det enligt regeringens mening som mindre lämpligt att låta lagen ha ett annat tillämpningsområde än rambeslutet. Det innebär att lagen i likhet med rambeslutet bara bör skydda uppgifter om fysiska personer.

Helt eller delvis automatiserad personuppgiftsbehandling

Enligt artikel 1.3 gäller rambeslutet bara för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt samt för annan behandling av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

Utredningen föreslår att den nya lagen ska tillämpas också på annan personuppgiftsbehandling än automatiserad, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Remissinstanserna framför inga invändningar mot utredningens förslag i denna del. Några remissinstanser efterlyser dock en definition av begreppet automatiserad.

Förvaltningsrätten i Linköping anser att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form för överklaganden, yttranden och andra skrivelser.

Regeringen instämmer i utredningens förslag till hur bestämmelsen bör formuleras. Begreppet ”automatiserad” är att föredra framför det i rambeslutet använda begreppet ”automatiskt”. Förslaget motsvarar regleringen i 5 § personuppgiftslagen. Vad beträffar den av Förvaltningsrätten i Linköping framförda synpunkten noterar regeringen att begreppet automatiserad förekommer både i personuppgiftslagen och i olika registerförfattningar. Begreppet är således allmänt vedertaget. Någon definition av begreppet är enligt regeringens mening därför inte nödvändig.

Att lagen görs tillämplig på manuellt behandlade uppgifter som kommer att ingå i ett register innebär att det inte bara är uppgifter som överförs och behandlas elektroniskt som kan komma att omfattas. Motsvarande reglering i personuppgiftslagen har varit utgångspunkt vid utformningen av den särlagstiftning som gäller för de myndigheter som regleringen i huvudsak riktar sig till. Exempelvis har författningarna om personuppgiftsbehandling inom polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och Kriminalvården alla samma reglering i detta avseende.

Som tidigare nämnts faller också uppgifter i vissa register som regleras i andra författningar än myndigheternas generella registerförfattningar under lagens tillämpningsområde.

Hänvisningar till S6-4-1

  • Prop. 2012/13:73: Avsnitt 10.10

6.4.2. Undantag för nationella säkerhetsintressen

Regeringens förslag: Lagen ska inte gälla för sådan behandling av personuppgifter som rör nationell säkerhet.

Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att Säkerhetspolisen helt ska undantas från lagens tilllämpningsområde, men inte någon annan verksamhet.

Remissinstanserna: Åklagarmyndigheten påpekar att åklagare vid åklagarkammaren för säkerhetsmål tar emot och hanterar uppgifter som rör såväl nationella säkerhetsintressen som uppgifter som härrör från särskild underrättelseverksamhet. Allmän åklagare kan som förundersökningsledare hantera uppgifter som faller under området nationell säkerhet. Åklagarmyndigheten menar därför att ett mer generellt undantag för nationell säkerhet bör övervägas. Också Ekobrottsmyndigheten anser att ett generellt undantag bör göras i den nya lagen. Ekobrottsmyndigheten anser vidare att begreppet rikets säkerhet bör användas i stället för nationell säkerhet, eftersom det är ett vedertaget begrepp. Uppsala universitet invänder mot utredningens uppfattning att hela Säkerhetspolisens verksamhet avser nationell säkerhet och därmed faller utanför beslutets tilllämpningsområde. Meningen med rambeslutet är delvis att förbättra integritetsskyddet i europeisk polisärt och straffrättsligt samarbete varför det enligt universitetet är rimligt att inta en utgångspunkt om att undantag ska tolkas snävt. Likväl kan utredningens förslag vara acceptabelt om den nuvarande regleringen och tillsyn av Säkerhetspolisens verksamhet såvitt gäller dataskydd i internationellt samarbete är tillfredställande.

Säkerhets- och integritetsskyddsnämnden framhåller att även om merparten av Säkerhetspolisens verksamhet rör nationell säkerhet så kan vissa delar av myndighetens verksamhet varken anses utgöra viktiga nationella säkerhetsintressen eller särskild underrättelseverksamhet inom området nationell säkerhet. En möjlighet skulle därför enligt nämnden kunna vara att, trots undantaget för verksamhet som rör nationell säkerhet, göra rambeslutet tillämpligt även på Säkerhetspolisens verksamhet.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Säkerhetspolisens bedömning är att hela myndighetens verksamhet omfattas av begreppet ”nationell säkerhet” i rambeslutets mening och att den således faller utanför rambeslutets tillämpningsområde.Lunds universitet anser att begreppet ”nationell säkerhet” inte har ett klart och tydligt innehåll i gällande svensk straffrätt och att dess tillämpningsområde kan bli diffust och oförutsebart. Sveriges advokatsamfund menar att undantagets föreslagna lydelse medför att ett mer vidsträckt område kommer att undantas än vad som följer av artikel 1.4.

Vidare framhåller samfundet att begreppet nationell säkerhet inte är vedertaget inom svensk lagstiftning, vilket kan leda till tillämpningssvårigheter. Slutligen anser samfundet att det är mindre lämpligt att införa ett nytt begrepp som skiljer sig från det begrepp som används i personuppgiftslagen.

Skälen för regeringens förslag: I artikel 1.4 görs ett uttryckligt undantag för viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet som rör nationell säkerhet. Personuppgiftsbehandling i sådan verksamhet faller utanför rambeslutets tillämpningsområde.

Undantaget gäller inte för en viss myndighet eller organisation utan för verksamhet som rör nationella säkerhetsintressen.

Utredningen finner att den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet och att det varken är möjligt eller lämpligt att exakt ange vilka delar av myndighetens verksamhet som inte gör det. Utredningen drar slutsatsen att Säkerhetspolisens verksamhet i sin helhet bör undantas från tillämpningsområdet för den nya lagen. Däremot ska enligt utredningen ingen annan verksamhet än Säkerhetspolisens undantas.

Så som undantaget i artikel 1.4 i rambeslutet är utformat faller, som utredningen framhåller, Säkerhetspolisens verksamhet i allt väsentligt utanför rambeslutets tillämpningsområde. Det finns emellertid andra myndigheter än Säkerhetspolisen som hanterar personuppgifter rörande nationell säkerhet. Som Åklagarmyndigheten påpekar gäller detta bl.a. åklagare. Även allmänna domstolar behandlar personuppgifter hänförliga till mål och ärenden som rör nationell säkerhet. Det kan inte uteslutas att även andra myndigheter kan komma att hantera sådana personuppgifter. Regeringen anser därför att undantaget från den nya lagens tillämpningsområde inte bör begränsas till en viss utpekad myndighet utan gälla generellt. Denna lösning ligger också i linje med vad bl.a. Säkerhets- och integritetsskyddsnämnden och Uppsala universitet framför. I den utsträckning som Säkerhetspolisen och andra berörda myndigheter har – eller kommer att få – uppgifter som rör annat än nationell säkerhet omfattas således uppgifterna av rambeslutets tillämpningsområde.

Ekobrottsmyndigheten, som också anser att undantaget bör göras mer generellt, föreslår att begreppet rikets säkerhet ska användas i stället för nationell säkerhet eftersom det är ett vedertaget begrepp i svensk lagstiftning.

Regeringen gör följande bedömning. Undantaget i rambeslutet omfattar ”viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet som rör nationell säkerhet”. I den engelska versionen av rambeslutet är formuleringen ”essential national security interests and specific intelligence activities in the field of national security”. Begreppet ”national security” används också i den engelska versionen av dataskyddsdirektivet. I personuppgiftslagen avses ”rikets säkerhet” i 8 a § svara mot begreppet ”national security”. Uttrycket ”rikets säkerhet” är väl inarbetat och förekommer i såväl straffrättslig som i annan lagstiftning. Det finns således skäl som talar för den av Ekobrottsmyndigheten och Sveriges advokatsamfund föreslagna formuleringen. Mot den lösningen talar emellertid att uttrycket ”rikets säkerhet” normalt används i en snävare bemärkelse än vad rambeslutet får anses täcka. Verksamheten med att förebygga, förhindra och utreda brott mot rikets säkerhet är till exempel bara en del av Säkerhetspolisens verksamhet. Ett exempel som visar detta är regleringen av Säkerhetspolisens personuppgiftsbehandling i polisdatalagen (2010:361), där rikets säkerhet och terrorismbekämpning omnämns som olika aktiviteter (5 kap. 1 §), trots att den sistnämnda kan ha betydelse såväl för rikets säkerhet som för allmän ordning och säkerhet inom landet. Rambeslutets formulering skiljer sig också från dataskyddsdirektivets på det sättet att den är vidare. Regeringen anser därför att en formulering som liknar den i rambeslutet bör väljas. Undantaget bör således omfatta nationell säkerhet, vari även innefattas den underrättelse-

verksamhet som bedrivs inom området. Denna formulering omfattar i stort sett hela Säkerhetspolisens nuvarande verksamhet men innebär inte att myndigheten som sådan är undantagen från lagens tillämpningsområde. Självfallet är begreppet inte avsett att innefatta mera än vad som följer av artikel 1.4, vilket Sveriges advokatsamfund hyser farhågor för.

Med anledning av Lunds universitets synpunkt att begreppet ”nationell säkerhet” inte har ett klart och tydligt innehåll i gällande svensk straffrätt och även Sveriges advokatsamfunds åsikt att begreppet inte är vedertaget, vill regeringen framhålla att det valda begreppet är avsett att genomföra en bestämmelse i ett EU-instrument. Det är inte självklart att ett begrepp som används i ett EU-instrument alltid har en direkt svensk motsvarighet. Vidare är det enligt regeringens mening viktigt att undantaget i lagen inte görs snävare än undantaget i rambeslutet. Mot den bakgrunden anser regeringen att nationell säkerhet är ett lämpligt begrepp.

Regeringen återkommer i författningskommentaren närmare till vad uttrycket nationell säkerhet omfattar.

6.5. Definitioner

Regeringens bedömning: Artikel 2 i rambeslutet om definitioner kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser har inte någon invändning mot utredningens bedömning i denna del. Åklagarmyndigheten menar dock att centrala begrepp som ”vidarebehandling av personuppgifter” och ”automatiserad spridning”, som inte förekommer i personuppgiftslagen, bör definieras för att undvika oklarheter och otydligheter. Ekobrottsmyndigheten och Kriminalvården framför liknande synpunkter. Ekobrottsmyndigheten ifrågasätter också om begreppet vidarebehandling överhuvudtaget bör användas i lagregleringen då det inte är ett vedertaget begrepp. Myndigheten föreslår att enbart ordet behandling ska användas, tillsammans med en beskrivning av den behandling som avses. Förvaltningsrätten i Linköping påpekar att det varken i lagen eller i delbetänkandet redovisats hur begreppet automatiserad definieras och att en definition av begreppet är av stor vikt.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Regeringen delar utredningens uppfattning att rambeslutets artikel 2, som innehåller definitioner, inte kräver någon lagstiftningsåtgärd. Några av remissinstanserna, däribland

Åklagarmyndigheten och Kriminalvården, efterlyser en definition av begreppet vidarebehandling. Ekobrottsmyndigheten går ett steg längre och ifrågasätter om begreppet vidarebehandling överhuvudtaget bör användas i den nya lagen, eftersom det inte är ett vedertaget begrepp.

Regeringen delar uppfattningen att det är svårt att förutse effekterna av att använda begreppet vidarebehandling i den nya lagen. Som framgår av

avsnitt 6.4.1 är det inte heller nödvändigt att använda detta begrepp. Därmed finns det inget behov av att införa en definition av begreppet vidarebehandling. Detsamma gäller det av utredningen föreslagna uttrycket ”automatiserad spridning”.

Några remissinstanser, bl.a. Förvaltningsrätten i Linköping, anser att begreppet automatiserad bör definieras i den nya lagen. Den frågan behandlas i avsnitt 6.4.1.

6.6. Ändamål med behandlingen

6.6.1. Allmänt om ändamålen

Regeringens bedömning: Rambeslutets bestämmelser om grundläggande principer kräver ingen lagstiftning.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna kommenterar inte frågan. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna har inga invändningar mot utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Rambeslutet ska, som tidigare nämnts, bara tillämpas på personuppgiftsbehandling som sker för de verksamheter som anges i rambeslutet (polissamarbete och straffrättsligt samarbete; artikel 1). Regleringen kan därför sägas syfta till att skydda enskilda från att deras personuppgifter sprids eller hanteras på ett felaktigt sätt av framför allt de brottsbekämpande myndigheterna. Artikel 3 anger de grundläggande principer som ska gälla vid myndigheternas hantering av personuppgifter. Utgångspunkten är att brottsbekämpande och verkställande myndigheter får behandla personuppgifter i den verksamheten.

I artikel 3.1 föreskrivs att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen ska vara lagenlig, adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket uppgifterna samlades in.

I 9 § första stycket personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Uppgifterna ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen (punkt e). Dessa regler motsvarar således reglerna i artikel 3.1 i rambeslutet.

Bestämmelserna i 9 § första stycket c och e personuppgiftslagen gäller för alla de aktuella myndigheterna (9 § c gäller dock inte för Tullverket), antingen på grund av att registerförfattningarna hänvisar till den bestämmelsen eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar bestämmelser i frågan. Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning till 9 § första stycket c personuppgiftslagen. Däremot anges i 7 och 8 §§ i förstnämnda lag för vilka ändamål personuppgiftsbehandling får ske. I 9 § samma lag föreskrivs att uppgifter i Tullverkets brottsbekämpande

verksamhet inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Regleringen är alltså uttömmande, vilket är skälet till att det inte hänvisas till 9 § första stycket c personuppgiftslagen, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50). Enligt regeringens mening får de aktuella bestämmelserna i Tullverkets registerförfattning anses uppfylla de krav som ställs i artikel 3.1 i rambeslutet på särskilda, uttryckligt angivna och berättigade ändamål. Regeringen bedömer mot denna bakgrund i likhet med utredningen att några nya bestämmelser inte behöver införas med anledning av artikel 3.1 i rambeslutet.

6.6.2. Behandling för andra ändamål än de ursprungliga

Regeringens förslag: Personuppgifter som har överförts eller gjorts tillgängliga för visst ändamål får – förutom för det ursprungliga ändamål för vilka uppgifterna överfördes eller gjordes tillgängliga – behandlas bara för vissa i lagen särskilt angivna andra ändamål. Dessa ändamål är sådana där syftet med behandlingen är att

– förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

– vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

– avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får behandlas även för andra ändamål, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att det i den nya lagen också ska föreskrivas att vidarebehandling för ett nytt ändamål inte får vara oförenlig med det ursprungliga ändamålet samt att vidarebehandlingen måste vara nödvändig och proportionerlig.

Remissinstanserna: Remissinstanserna framför inga invändningar mot utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Tullverket framför att det för Tullverkets del är nödvändigt med en bestämmelse om att vidarebehandling bara får ske om den inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (finalitetsprincipen), eftersom 9 § d personuppgiftslagen (1998:204) inte gäller i Tullverkets brottsbekämpande verksamhet. Tullverket förespråkar i första hand att en ändring görs i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, så att personuppgiftslagens bestämmelse om finalitetsprincipen blir tillämplig i verkets verksamhet, i andra hand att en bestämmelse om finalitetsprincipen förs in i den föreslagna lagen.

Kronofogdemyndigheten efterlyser ett klargörande av vad som gäller för den överlämnade informationen vid handläggning av andra mål hos myndigheten. Myndigheten hänvisar till att det av 4 kap. 11 § UB följer

att samordning ska ske av samtliga hos myndigheten inneliggande mål, vilket innebär att myndigheten ska använda sig av den information som den har tillgång till. Samtidigt menar myndigheten att handläggning av andra mål inte kan anses rymmas inom de undantag som räknas upp i utkastet, i och med att de inte behöver ha med vare sig brottslighet eller allmän säkerhet att göra.

Skälen för regeringens förslag: Enligt artikel 3.1 i rambeslutet är, som nyss nämnts, utgångspunkten att en myndighet får behandla en personuppgift endast för det ändamål, dvs. det brott, den straffrättsliga påföljd etc., som uppgiften ursprungligen överfördes för. Om en myndighet vill använda en personuppgift för ett annat ändamål än det ursprungliga sätter de grundläggande principerna i artikel 3.2 och reglerna i artikel 11 gränserna för myndighetens möjligheter att göra detta.

Utredningen föreslår att artikel 11 och delar av artikel 3.2 ska genomföras genom en särskild bestämmelse i den nya lagen.

Artikel 11 i rambeslutet föreskriver att personuppgifter, i enlighet med kraven i artikel 3.2, får vidarebehandlas endast för vissa särskilt angivna ändamål utöver dem för vilka de överfördes eller gjordes tillgängliga. Ändamålen kan sammanfattningsvis sägas ha anknytning till polisiärt och straffrättsligt samarbete. Enligt artikel 11 får således vidarebehandling av personuppgifter ske

a) för att förebygga, utreda, avslöja, eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten,

d) för varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.

Bestämmelserna i artikel 11 saknar motsvarighet i svensk lag. Regeringen delar därför utredningens bedömning att artikel 11 bör genomföras genom en särskild bestämmelse i den nya lagen.

Artikel 3.2 a i rambeslutet föreskriver att vidarebehandling för annat ändamål än det för vilket uppgifterna ursprungligen samlades in är tillåten om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in (finalitetsprincipen). Denna del av artikel 3.2 får anses uttolkad i artikel 11, som handlar just om för vilka ändamål vidarebehandling av överförda uppgifter generellt får ske i brottsbekämpande verksamhet. Något behov av en särskild reglering för att genomföra artikel 3.2 a finns därför inte enligt regeringens mening. Det kan ändå noteras att artikeln i denna del motsvarar 9 § första stycket d personuppgiftslagen, som bygger på dataskyddsdirektivet. Artikel 5 b i Europarådets dataskyddskonvention innehåller en motsvarande bestämmelse. Bestämmelserna i 9 § första stycket d personuppgiftslagen gäller för alla de aktuella myndigheterna utom Tullverket, antingen på grund av att registerförfattningarna hänvisar till den bestämmelsen eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar bestämmelser i frågan. Lagen om behandling av uppgifter i Tullverkets

brottsbekämpande verksamhet, som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning till 9 § första stycket d personuppgiftslagen. Enligt Tullverket bör därför i första hand en ändring göras i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, så att finalitetsprincipen blir tillämplig i hela verkets verksamhet. I andra hand bör enligt verket en bestämmelse om finalitetsprincipen föras in i den föreslagna lagen. Det är inte möjligt att inom ramen för detta lagstiftningsprojekt genomföra de ändringar i Tullverkets registerförfattning som verket efterlyser. Som nyss nämnts finns det enligt regeringens mening heller ingen anledning att införa en särskild reglering av finalitetsprincipen i den nya lagen.

Hänvisningen till artikel 3.2 i artikel 11, innebär bl.a. att vidarebehandling för de i artikel 11 angivna ändamålen endast får ske om myndigheten har laglig behörighet att behandla uppgifter för det nya ändamålet (artikel 3.2 b) och behandlingen är nödvändig och proportionerlig i förhållande till det nya ändamålet (artikel 3.2 c). Artikel 3.2 b kan sägas ha sin motsvarighet i 9 § första stycket a i personuppgiftslagen, som föreskriver att personuppgifter bara får behandlas om det är lagligt och som är en grundläggande princip som gäller för alla berörda myndigheter. Ytterst är det myndighetens instruktion och andra författningar som avgör om myndigheten är behörig att behandla personuppgifter för det aktuella ändamålet. Artikel 3.2 c motsvaras av bl.a. 9 § första stycket e och f personuppgiftslagen. Mot bakgrund av dessa regler anser regeringen att rambeslutet i dessa delar är uppfyllt.

Den bestämmelse som införs i den nya lagen för att genomföra artikel 11 innebär att brottsbekämpande och verkställande myndigheter framförallt får behandla överförda personuppgifter i verksamhet som har mer eller mindre direkt anknytning till brottsbekämpning, rättsliga förfaranden och verkställighet av påföljder. Vad beträffar Kronofogdemyndigheten får myndigheten således använda sig av den information myndigheten fått tillgång till genom nu aktuellt samarbete i andra mål, men endast i den mån dessa avser rättsliga eller administrativa förfaranden med direkt anknytning till straffverkställighet, t.ex. för att driva in böter. Behandling utan sådan anknytning, t.ex. samordning med annan exekutiv verksamhet, är således inte tillåten beträffande uppgifter som överförts eller gjorts tillgängliga med stöd av rambeslutet.

6.6.3. Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål

Regeringens förslag: Det ska framgå av lagen att behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål är tillåten.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser kommenterar inte förslaget i denna del. Uppsala universitet påpekar att vidarebehandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål enligt rambeslutet är tillåten om medlemsstaterna föreskriver lämpliga skyddsåtgärder. Enligt utredningen finns tillräckliga skyddsregler i personuppgiftslagen (1998:204). I den föreslagna lagen anges därför enbart

upplysningsvis att personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål. Någon hänvisning till de skyddsåtgärder som finns i personuppgiftslagen ges dock inte. Eftersom personuppgiftslagen är subsidiär till annan lagstiftning, kan enligt universitetet en sådan lagstiftningsteknik vara missledande.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Av artikel 3 sista stycket tillsammans med artikel 11 sista stycket framgår att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål alltid är tillåten, oavsett medgivande från den överförande staten, under förutsättning att den nationella lagstiftningen innehåller bestämmelser om tillräckliga skyddsåtgärder. Exempel på sådana skyddsåtgärder anges i artiklarna vara avidentifiering av uppgifterna. Även om rambeslutets bestämmelser är mer detaljerade, finns en bestämmelse med samma innebörd i artikel 6 i dataskyddsdirektivet. Enligt denna artikel ska behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål inte anses vara oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Bestämmelsen i dataskyddsdirektivet har genomförts genom 9 § andra stycket personuppgiftslagen. Av förarbetena till personuppgiftslagen framgår att den svenska arkivlagstiftningen ansågs uppfylla kraven på tillräckliga skyddsåtgärder enligt dataskyddsdirektivet (prop. 1997/98:44 s. 47 f.). I propositionen om antagande av dataskyddsrambeslutet gjordes bedömningen att rambeslutet, med några enstaka undantag, inte kräver några lagändringar när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål.

Utredningen anser att det för tydlighetens skull bör införas en upplysningsbestämmelse i den nya lagen om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål. Utöver Uppsala universitet har remissinstanserna inga invändningar mot utredningens förslag i denna del.

Regleringen i 9 § andra stycket personuppgiftslagen gäller visserligen för samtliga berörda myndigheter utom Tullverket. Eftersom ändamålsbestämmelsen i den nya lagen kommer att omfatta all vidarebehandling måste frågan om behandling för historiska, statistiska och vetenskapliga ändamål ändå regleras i lagen. Regeringen delar därför utredningens uppfattning att en bestämmelse om vidarebehandling för sådana ändamål bör införas. I motsats till utredningen anser dock regeringen att det bör vara en materiell bestämmelse. Den kritik som Uppsala universitet framför har således visst fog. Den svenska arkivlagstiftningen uppfyller enligt regeringens mening de krav på skyddsåtgärder som ställs upp i rambeslutet. Genom den lösning som regeringen föreslår kommer möjligheten att behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål att vara desamma för alla myndigheter, inkluderande Tullverket.

6.6.4. Tillämpningen av offentlighetsprincipen

Regeringens bedömning: Rambeslutet hindrar inte utlämnande av allmänna handlingar med stöd av offentlighetsprincipen.

Utredningens bedömning överensstämmer med regeringens. Utredningen stöder dock sin bedömning på att rätten att få tillgång till allmänna handlingar inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. elektroniskt.

Remissinstanserna: Flertalet av remissinstanserna kommenterar inte utredningens bedömning. Ekobrottsmyndigheten, Säkerhets- och integritetsskyddsnämnden och Åklagarmyndigheten ifrågasätter dock utredningens bedömning när det gäller rambeslutets förhållande till offentlighetsprincipen. De efterlyser en närmare analys av hur offentlighetsprincipen påverkas av rambeslutets bestämmelser. Enligt Säkerhets- och integritetsskyddsnämnden gör utredningen en felaktig bedömning i frågan om rambeslutets bestämmelser strider mot allmänhetens rätt att ta del av allmänna handlingar när man hänvisar till att denna rätt inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. automatiserat. Enligt nämndens bedömning är denna slutsats inte korrekt när det gäller uppgifter som ingår i en strukturerad samling av personuppgifter, t.ex. i ett pappersregister, eftersom vidarebehandling av personuppgifter i ett sådant pappersregister omfattas av rambeslutets bestämmelser och den av utredningen föreslagna lagen. Enligt nämndens uppfattning bör det övervägas att i den föreslagna lagen införa en upplysning i förtydligande syfte om att bestämmelserna i lagen inte inskränker allmänhetens rätt att ta del av allmänna handlingar. Ekobrottsmyndigheten anser också att det av den nya lagen bör framgå hur lagen förhåller sig till offentlighetsprincipen.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden upprepar den tidigare framförda synpunkten att det mot bakgrund av komplexiteten på området bör införas en särskild bestämmelse i lagen som anger att reglerna i den föreslagna lagen inte hindrar den personuppgiftsbehandling som krävs när allmänna handlingar lämnas ut i enlighet med offentlighetsprincipen. Kammarrätten i Sundsvall påpekar att frågan om hur villkor som begränsar möjligheterna att använda uppgifterna förhåller sig till meddelarfriheten inte närmare har berörts och förtjänar att utvecklas.

Skälen för regeringens bedömning: Offentlighetsprincipen, som kommer till uttryck i 2 kap. tryckfrihetsförordningen, innebär att en myndighet är skyldig att – i den utsträckning sekretess inte hindrar det – lämna ut allmänna handlingar till den som begär det. Utlämnande av personuppgifter är en form av personuppgiftsbehandling. I 8 § personuppgiftslagen har en upplysningsbestämmelse tagits in som klargör att regleringen i lagen inte hindrar utlämnande av allmänna handlingar.

En fråga som väcks när det gäller rambeslutets regler om vidarebehandling, är hur dessa förhåller sig till den svenska offentlighetsprincipen. Utredningen bedömer att rambeslutet inte utgör något hinder mot rätten att ta del av allmänna handlingar och hänvisar till att rätten att få

tillgång till allmänna handlingar inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. automatiserat.

Regeringen kan först konstatera att, även om rambeslutet har störst betydelse när det gäller elektronisk överföring av personuppgifter, rambeslutet gäller också ifråga om manuell behandling av personuppgifter, om uppgifterna ingår i ett register. Regleringen är tillämplig även i fråga om andra manuella åtgärder som vidtas med överförda uppgifter om dessa behandlas automatiserat eller i ett register, t.ex. ett utlämnande i pappersform av sådana uppgifter. Motsatsvis är rambeslutet inte tilllämpligt på sådan behandling av överförda uppgifter som är helt manuell och som inte innebär att uppgifterna fogas in i ett register. I likhet med

Ekobrottsmyndigheten, Säkerhets- och integritetsskyddsnämnden och Åklagarmyndigheten anser regeringen att frågan om rambeslutets förhållande till offentlighetsprincipen behöver analyseras närmare.

Rambeslutet omfattar behandling av personuppgifter som överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Om personuppgifter som har erhållits från t.ex. en annan EUstat i brottsbekämpande syfte, behandlas för andra ändamål än de för vilka de överfördes, är det rambeslutets bestämmelser om vidarebehandling som aktualiseras, närmare bestämt artiklarna 3.2 och 11. Vid ett eventuellt utlämnande enligt offentlighetsprincipen av en sådan uppgift, skulle även bestämmelserna om överföring i artiklarna 13 och 14 kunna ha relevans. Samtliga dessa bestämmelser ska emellertid tolkas i ljuset av bl.a. skäl 31, som har tagits in på svenskt initiativ och som anger att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i rambeslutet. Rambeslutet ska således tolkas på ett sätt som innebär att det är förenligt med offentlighetsprincipen.

Det kan i sammanhanget nämnas att det även i ingressen till dataskyddsdirektivet finns en klausul som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser genomförs i nationell rätt (skäl 72). Vid genomförandet av dataskyddsdirektivet gjordes bedömningen att offentlighetsprincipen var förenlig med direktivet (prop. 1997/98:44 s. 47). Vidare följer det av artikel 42 i Europeiska unionens stadga om de grundläggande rättigheterna att rätten till tillgång till handlingar, precis som rätten till skydd för den personliga integriteten, är en av unionen erkänd medborgerlig rättighet. Även dessa omständigheter måste beaktas vid tolkningen av rambeslutets bestämmelser.

Mot bakgrund av det anförda är regeringens slutsats att ett utlämnande av allmänna handlingar, som innehåller överförda personuppgifter, i enlighet med offentlighetsprincipen inte strider mot rambeslutet. I sammanhanget kan det dock noteras att ett sådant utlämnande ofta skulle hindras av det sekretesskydd som denna typ av uppgifter har genom reglerna i offentlighets- och sekretesslagen (2009:400). Dessa bestämmelser har tillkommit efter en noggrann avvägning mellan intresset av insyn i myndigheternas verksamhet och behovet av skydd för intresset av att förebygga eller beivra brott respektive behovet av skydd för den enskildes personliga integritet. Av de skäl som anges ovan föranleder rambeslutet inte något behov av ytterligare inskränkningar av allmänhetens rätt att få ta del av allmänna handlingar.

Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyser en särskild bestämmelse i den nya lagen som anger att reglerna i lagen inte hindrar den personuppgiftsbehandling som krävs när allmänna handlingar lämnas ut i enlighet med offentlighetsprincipen. Enligt regeringens mening är en sådan bestämmelse onödig, eftersom det redan av den rådande normhierarkin följer att den nya lagen inte kan tillämpas i strid med grundlag. Dessutom finns i 8 § personuppgiftslagen en upplysningsbestämmelse som klargör att regleringen i lagen inte hindrar utlämnande av allmänna handlingar med stöd av 2 kap. tryckfrihetsförordningen. Denna paragraf gäller för alla de myndigheter som är aktuella i detta sammanhang, antingen på grund av uttryckliga hänvisningar i myndigheternas registerförfattningar eller på grund av att registerförfattningarna gäller utöver personuppgiftslagen. Regeringen anser därför att det saknas skäl att i den nya lagen införa en sådan bestämmelse som

Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyst.

Lagrådet anser att eftersom personuppgiftslagen är subsidiär till annan lag och förordning skulle den föreslagna regleringen om överföring till enskilda kunna läsas så att 8 § personuppgiftslagen inte skulle ”gälla” i förhållande till den nya lagen. För att undvika detta förordar Lagrådet att det i den aktuella paragrafen införs en hänvisning till 8 § personuppgiftslagen. Regeringen har förståelse för Lagrådets synpunkter men konstaterar att den typ av bestämmelse som föreslås i den nya lagen även finns i andra författningar som inte innehåller någon hänvisning till 8 § personuppgiftslagen. En sådan hänvisning i den föreslagna lagen som

Lagrådet efterfrågar skulle därför kunna ge upphov till osäkerhet om vad som gäller i de författningar där en motsvarande hänvisning saknas. En hänvisning skulle även kunna förmedla det felaktiga intrycket att det endast är 8 § och inte andra bestämmelser i personuppgiftslagen som kan komma att aktualiseras vid behandling av uppgifter enligt den nya lagen. Regeringen anser därför att någon sådan hänvisning inte bör införas men att det kan göras tydligare att bestämmelsen inte uttömmande reglerar allt utlämnande. Bestämmelsen bör i övrigt i allt väsentligt utformas i enlighet med Lagrådets förslag.

Vad gäller Kammarrätten i Sundsvalls fråga om hur villkor om användningsbegränsningar förhåller sig till meddelarfriheten bör framhållas att frågan om meddelarfrihet råder beträffande en viss uppgift är något som regleras i tryckfrihetsförordningen, yttrandefrihetsgrundlagen och offentlighets- och sekretesslagen. Eftersom frågan om meddelarfrihet inte har någon direkt anknytning till frågan om personuppgiftsbehandling finns det inget skäl att gå in på den här.

Hänvisningar till S6-6-4

  • Prop. 2012/13:73: Avsnitt 9

6.6.5. Ska internationella åtaganden vara ett särskilt ändamål?

Regeringens förslag: I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet införs en generell bestämmelse om att Tullverket får behandla uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden. Detta kräver vissa följdändringar i lagen.

Regeringens bedömning: Några andra lagändringar för att förtydliga att uppgifter får behandlas om det följer av internationella åtaganden behövs inte.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte några följdändringar i Tullverkets registerförfattning.

Däremot föreslår utredningen att internationella åtaganden ska anges som ett särskilt ändamål för behandling även i Kronofogdemyndighetens, Kustbevakningens (då gällande), Skatteverkets och åklagarväsendets registerförfattningar.

Remissinstanserna: Det stora flertalet remissinstanser berör inte utredningens förslag i denna del. Tullverket välkomnar dock att den nuvarande snäva begränsningen till internationellt tullsamarbete i 7 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet ersätts med en generell bestämmelse om förpliktelser som följer av internationella åtaganden. Datainspektionen välkomnar att det i registerförfattningarna införs uttryckliga ändamålsbestämmelser som särskilt reglerar behandling av personuppgifter för internationellt samarbete och utbyte av uppgifter. Med utredningens förslag, enligt vilket personuppgifter får behandlas för att fullgöra förpliktelser som följer av internationella åtaganden, drar Datainspektionen slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Datainspektionen önskar att räckvidden av de föreslagna ändamålsbestämmelserna förklaras tydligare.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del, utom Datainspektionen som välkomnar förtydligandet att allt informationsutbyte måste ha stöd i en internationell överenskommelse.

Skälen för regeringens förslag och bedömning: Utredningen föreslår att det i Kronofogdemyndighetens, Kustbevakningens, Skatteverkets,

Tullverkets och åklagarväsendets registerförfattningar införs bestämmelser om personuppgiftsbehandling som följer av myndigheternas internationella åtaganden. Som skäl för detta anger utredningen att det, främst med hänsyn till den enskildes integritet, är angeläget att förtydliga det som redan gäller, nämligen att myndigheterna får behandla personuppgifter som en följd av internationella åtaganden.

Som utredningen påpekar innehåller polisdatalagen (2010:361) redan en regel av denna innebörd (2 kap. 7 § 3 polisdatalagen). I 3 kap. 2 § 3 kustbevakningsdatalagen (2012:145) finns också en sådan bestämmelse. Både polisen och Kustbevakningen bedriver verksamhet som till stor del innefattar internationellt samarbete. Beträffande dessa myndigheter finns därför ett tydligt behov av att klargöra om personuppgiftsbehandling får ske för att fullgöra internationella förpliktelser. Även Tullverkets verksamhet består till stor del av internationellt samarbete. Tullverket har därför samma behov som polisen och Kustbevakningen av en tydlig regel som anger att personuppgiftsbehandling får ske för att fullgöra internationella förpliktelser. Den aktuella bestämmelsen i Tullverkets registerförfattning, 7 § 3 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, är emellertid begränsad till uppgifter som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt

tullsamarbete. Denna begränsning innebär att bl.a. samarbete inom ramen för Tullverkets polisiära befogenheter faller utanför, eftersom lagen (2000:343) om internationellt polisiärt samarbete då tillämpas i stället (prop. 1999/2000:122 s. 28 f.). Även sådant samarbete som regleras i lagen (2000:562) om internationell rättslig hjälp i brottmål (se 2 kap. 11 § lagen om internationellt tullsamarbete) och samarbetet enligt lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar faller, med den nuvarande formuleringen, utanför. Vidare kan en internationell förpliktelse ha sin grund i annat än samarbete och även av det skälet falla utanför tillämpningsområdet för lagen om internationellt tullsamarbete (se 1 kap. 1 § nämnda lag). Eftersom Tullverkets registerförfattning gäller i stället för personuppgiftslagen och innehåller en uttömmande uppräkning av för vilka ändamål personuppgifter får behandlas, är det nödvändigt att ändra 7 § 3 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet om informationsutbyte över gränserna ska kunna utvecklas. Tullverket välkomnar också det tydliggörande av bestämmelsen som utredningen föreslår. Regeringen instämmer således i utredningens bedömning att det i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet bör införas en generell bestämmelse om personuppgiftsbehandling för att fullgöra internationella åtaganden.

Vissa ytterligare förändringar är nödvändiga för att ge ändringen i 7 § 3 genomslag i resten av lagen, men behovet av sådana följdändringar berörs inte av utredningen. Ändringar bör enligt regeringens mening göras i 15 § (behandling av uppgifter som har samband med internationella åtaganden), 19 § (vad som får behandlas i tullbrottsdatabasen) och 21 § (tillåtna sökningar). Anpassningar av 15 och 19 §§ bör göras genom att man ändrar hänvisningarna till tullsamarbete till hänvisningar till internationella åtaganden. I 21 § regleras vilka sökbegrepp som får användas och för vilka syften. Andra stycket föreskriver vissa undantag från begränsningarna i första stycket. Det bör framgå att första stycket inte heller gäller vid sökning som krävs för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden. Genom dessa ändringar ges uttryckligt stöd för den behandling som Tullverket kan vara förpliktat att utföra genom internationella åtaganden.

Lagrådet anser att en snävare avgränsning av den personkrets som föreslås i 15 § andra stycket lagen bör övervägas, eftersom förslaget innebär att en vidare personkrets än den som ansvarar för verksamhet enligt 7 § 3 får tillgång till överförda eller tillgängliggjorda uppgifter.

Förslaget i lagrådsremissen innebär att personkretsen ändras från ”personer som arbetar med tullsamarbete” till ”personer som arbetar med internationella åtaganden”. Inledningsvis kan noteras att 15 § redan i dag har en vidare lydelse än 7 § 3. Bestämmelserna kan dock sägas höra ihop med varandra då de båda snävar in möjligheten att behandla eller få tillgång till uppgifter för nu aktuellt syfte. Skälet till att 7 § 3 bör ändras är att den nuvarande ändamålsbestämmelsen är så snävt utformad att den inte ens täcker hela det internationella samarbete som Tullverket är förpliktat att medverka i genom bl.a. Sveriges medlemskap i EU. Syftet med den följdändring som görs i 15 § är endast att åstadkomma samma förhållande mellan 7 § 3 och 15 § som dessa bestämmelser har i dag. Personkretsen i 15 § utvidgas således inte i förhållande till 7 § 3. Regeringen

anser därför inte att det finns något skäl att avgränsa personkretsen på annat sätt än vad som föreslås i lagrådsremissen.

När det gäller övriga myndigheters registerförfattningar gör regeringen en annan bedömning än utredningen. Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet har redan kompletterats med en ändamålsbestämmelse om fullgörande av åliggande som följer av ett för Sverige bindande internationellt åtagande (2 kap. 2 §; se prop. 2011/12:15 s. 33 f.). Detsamma gäller, som nyss nämnts, Kustbevakningens registerförfattning.

Åklagarväsendets registerförfattningar och registerförfattningarna för domstolarna har formen av förordningar. Regeringen kommer att överväga om det ska införas motsvarande förändringar i dessa förordningar.

Vad beträffar Skatteverket, gör regeringen följande bedömning. Skatteverkets brottsbekämpande verksamhet är av begränsad omfattning. Utredningens förslag bygger inte på någon närmare analys av i vilken utsträckning myndigheten har ett faktiskt behov av att i sin brottsbekämpande verksamhet kunna behandla uppgifter på grund av internationella förpliktelser. Den analys som görs i betänkandet är enligt regeringens mening inte tillräcklig för att i detta sammanhang kunna läggas till grund för ändring av Skatteverkets registerförfattning. Regeringen har som tidigare nämnts (avsnitt 4.8.3) gett Skatteverket i uppdrag att se över lagen i fråga och att då bl.a. analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser.

Datainspektionen önskar att räckvidden av de ändamålsbestämmelser som föreslås ska förklaras tydligare. Datainspektionen drar av utredningens förslag slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Inspektionen återkommer med samma synpunkt i remissvaret över utkastet till lagrådsremiss. Regeringens avsikt är inte att den föreslagna regleringen ska tolkas på detta sätt. För det första är inte alla internationella åtaganden formaliserade. Det stämmer alltså inte att regleringen utesluter informellt samarbete. Vilka former av samarbete som förekommer styrs inte av dataskyddsregler. Informationsutbyte kan tvärtom ske på många olika grunder och tekniska sätt. För det andra innehåller ett flertal internationella överenskommelser bestämmelser såväl om obligatoriskt som spontant informationsutbyte. Endast vissa av dessa reglerar förutsättningarna och formerna för informationsutbytet. I förarbetena till polisdatalagen (2010:361) anges som exempel på internationella åtaganden som omfattas av den lagen dels folkrättsliga förpliktelser i form av multilaterala och bilaterala överenskommelser, dels det samarbete som äger rum inom ramen för Interpol (prop. 2009/10:85 s. 109 f.). Om informationsutbytet utgör ett led i fullgörande av internationella åtaganden ger således generellt utformade ändamålsbestämmelser stöd för personuppgiftsbehandlingen även om det inte finns någon formell överenskommelse om att just den särskilda informationen får överföras.

Det förtydligande som nu föreslås i 7 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, medför en generell rätt för Tullverket att behandla personuppgifter enbart på grund av förpliktelser som följer av internationella åtaganden, oavsett om informationsutbytet avser brott eller brottslig verksamhet

och oberoende av om informationsöverföringen är ett svenskt intresse eller inte. Ett exempel är det samarbete som sker med stöd av lagen om internationellt tullsamarbete. Inom ramen för det nu aktuella ändamålet kan även mer informella kontakter tas, om dessa har stöd i internationella åtaganden. Regleringen begränsar inte hur informationsutbytet får ske.

Hänvisningar till S6-6-5

  • Prop. 2012/13:73: Avsnitt 10.10

6.7. Villkor för användningen av uppgifter

6.7.1. Villkor som ställs upp av utländska organ

Regeringens förslag: Svenska myndigheter ska följa villkor som ställts upp av den som överför uppgifterna eller gör dem tillgängliga, oavsett vad som annars är föreskrivet i lag eller annan författning.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår även att villkor om att den enskilde inte får informeras om behandlingen samt att alla villkor om gallringsfrister ska regleras i lag.

Remissinstanserna: Utredningens förslag i denna del kommenteras inte av remissinstanserna, med undantag för Svea hovrätt som instämmer i bedömningen att det finns anledning att införa bestämmelser om användningsbegränsningar i den nya lagen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Sveriges advokatsamfund delar inte regeringens bedömning att en reglering som rör uppställda villkor för hur länge uppgifter får behandlas kan placeras i förordning, utan anser att samtliga frågor ska regleras i lag.

Skälen för regeringens förslag

Bakgrund

När en utländsk myndighet överför personuppgifter till en svensk myndighet är det inte ovanligt att den utländska myndigheten ställer upp vissa villkor för hur personuppgifterna får användas. Det kan handla om för vilka ändamål uppgifterna får användas, till vilka personer, myndigheter och organ som uppgifterna får överföras och under hur lång tid uppgifterna får bevaras etc.

Det finns flera författningar som innehåller regler om vad som gäller när en svensk myndighet erhåller uppgifter från en utländsk myndighet och det ställs villkor för hur uppgifterna får användas. Dessa författningar är bl.a. lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:1219) om internationellt tullsamarbete. Enligt alla dessa lagar är svenska myndigheter skyldiga att följa de villkor som ställs av en utländsk myndighet (eller mellanfolklig organisation) i fråga om hur lämnad information få användas, även om villkoren skulle stå i strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående tilllämpningen).

Allmänna utgångspunkter för regleringen

I artikel 12.1 i rambeslutet föreskrivs en skyldighet för den överförande staten att informera mottagaren av personuppgifterna om eventuella särskilda begränsningar enligt den överförande statens lagstiftning i fråga om utbyte av personuppgifter mellan nationella myndigheter. Mottagaren är skyldig att se till att dessa begränsningar för behandling följs. Enligt artikel 12.2 får den överförande medlemsstaten inte tillämpa några andra begränsningar än de som gäller motsvarande nationella överföringar.

Utredningen föreslår att både punkt 1 och 2 ska genomföras genom en särskild bestämmelse i den nya lagen.

I dag finns det, inom det nu aktuella området, bestämmelser om att svenska myndigheter ska följa villkor som ställts upp av annan stat i 5 kap. 1 § lagen om internationell rättslig hjälp i brottmål, 3 § lagen om internationellt polisiärt samarbete, 4 kap. 2 § lagen om internationellt tullsamarbete och 5 § lagen om vissa former av internationellt samarbete i brottsutredningar. Författningarna i fråga reglerar också svenska myndigheters möjlighet att ställa villkor för användningen när svenska uppgifter överförs. Frågan är då om artikel 12 kan genomföras genom anpassning av dessa bestämmelser.

De nu aktuella författningarna reglerar i och för sig samarbete över gränserna, men gäller gentemot alla stater, alltså inte bara EU-stater. Författningarna ålägger inte heller svenska myndigheter att ställa villkor, i motsats till rambeslutet. Lagarna tillämpas dessutom bara av vissa myndigheter. Lagen om internationell rättslig hjälp i brottmål tillämpas i huvudsak av åklagarväsendet och domstolarna, medan lagen om internationellt polisiärt och straffrättsligt samarbete främst tillämpas av polisen, Tullverket och Kustbevakningen. Rambeslutet gäller generellt för uppgifter som behandlas för polisiärt eller straffrättsligt samarbete, oavsett vilken myndighet som utför behandlingen. Detta medför att t.ex. Kronofogdemyndigheten och Skatteverket, vilka normalt inte tillämpar någon av de nämnda lagarna, omfattas av rambeslutets tillämpningsområde. Vidare är lagen om internationell rättslig hjälp i brottmål begränsad till överföring som sker mellan stater, medan rambeslutet även omfattar överföring från och till EU-organ och EU-informationssystem.

Detta medför enligt regeringens mening att artikel 12 i rambeslutet bör genomföras i den nya lagen. Liksom Svea hovrätt instämmer regeringen således i utredningens bedömning att det behövs en reglering i den nya lagen av vilka användningsbegränsningar som ska gälla i fråga om uppgifter som en svensk myndighet har erhållit från en annan medlemsstat, ett EU-organ eller ett EU-informationssystem.

Regleringen bör dock utformas på annat sätt än vad utredningen har föreslagit. För det första bör det framgå av bestämmelsen att den riktar sig till svenska myndigheter. Vidare bör bestämmelsen utformas på samma sätt som bestämmelsen om lagens tillämpningsområde, dvs. den bör knyta an till verksamheterna att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder (jfr avsnitt 6.3), inte till vissa utpekade myndigheter.

Artikel 12.2 sätter gränser för vilket innehåll sådana villkor som ställs upp av den som överför personuppgifter får ha. Eftersom denna del av artikeln, såvitt gäller svenska myndigheter, handlar om vilket innehåll

villkor som ställs upp av svenska myndigheter får ha, återkommer regeringen till frågan i avsnitt 6.7.2.

Villkor för hur länge uppgifterna får behandlas

Enligt artikel 9.1 i rambeslutet får den som överför eller gör en uppgift tillgänglig meddela tidsfrister för lagring av uppgifterna efter vilka mottagaren ska radera eller blockera uppgifterna, eller kontrollera om uppgifterna fortfarande behövs. Detta ska dock inte gälla om uppgifterna vid utgången av tidsfristen behövs för pågående utredning, lagföring av brott eller verkställighet av straffrättslig påföljd. Om den överförande myndigheten inte har angett någon specifik tidsfrist, ska de principer för hur länge uppgifter får behandlas som anges i artiklarna 4 och 5 tillämpas.

Utredningen föreslår att artikel 9.1 ska genomföras genom en särskild bestämmelse i den nya lagen. Av integritetsskyddsskäl anser utredningen att skyldigheten att följa av andra stater angivna frister bara ska gälla om fristen är kortare än den frist som annars skulle gälla enligt svensk lag. I övrigt bedömer utredningen att artikeln inte kräver några författningsändringar.

Regeringen instämmer i huvudsak i utredningens bedömning vad gäller behovet av att reglera villkor för hur länge uppgifter får behandlas, men anser att det till viss del kan göras i förordning. Av lagen bör framgå att en svensk myndighet – trots villkor om gallring – får fortsätta att behandla uppgifter som behövs för pågående utredning, lagföring eller verkställighet. Sveriges advokatsamfund anser att alla regler som rör villkor för hur länge uppgifter får behandlas bör placeras i lag. Gallringsregler av motsvarande slag finns i dag såväl i lag som i förordning. Enligt regeringens uppfattning bör mer detaljerade regler om hur uppställda frister ska iakttas regleras i förordning i stället för i lag, vilket regeringen avser att göra.

Villkor om att den registrerade inte ska informeras

Artikel 16, som reglerar den enskildes rätt till information om personuppgiftsbehandling rörande honom eller henne, föreskriver i punkt 2 att den som överför personuppgifter får kräva att den registrerade inte ska informeras om behandlingen. Om ett sådant villkor har ställts upp får mottagaren av de överförda uppgifterna inte informera den registrerade utan medgivande från den som överförde uppgifterna.

Utredningen föreslår att en bestämmelse om detta ska införas i den nya lagen. Remissinstanserna framför inte några invändningar mot förslaget i denna del.

Regeringen instämmer i utredningens bedömning av behovet av reglering. Enligt regeringens uppfattning är dock bestämmelsen av sådant slag att den bör regleras i förordning, vilket regeringen avser att göra.

6.7.2. Uppgifter som överförs av svenska myndigheter till en annan medlemsstat m.m.

Regeringens förslag: En svensk myndighet får, vid överföring eller tillgängliggörande av personuppgifter som omfattas av rambeslutets tillämpningsområde, ange villkor för hur personuppgifterna får användas av mottagaren. Ett sådant villkor får inte innehålla andra begränsningar än sådana som får föreskrivas vid överföring inom Sverige.

Villkoren får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Utredningens förslag överensstämmer inte med regeringens. Utredningen redovisar inget förslag om att svenska myndigheter ska kunna ställa upp villkor till skydd för personuppgifter som överförs till en annan medlemsstat i EU eller annan stat som omfattas av rambeslutets tillämpningsområde eller till ett EU-organ eller ett EU-informationssystem.

Remissinstanserna: Uppsala universitet påpekar att utredningen utan att lämna någon närmare motivering har bedömt att frågan om vilka villkor som kan ställas upp av svenska myndigheter vid överföring av data till andra stater ligger utanför utredningens uppdrag. Universitetet påpekar vidare att utredningen konstaterar att det redan i dag är möjligt att meddela användningsbegränsningar generellt, och hänvisar till prop. 2009/10:177 om genomförande av delar av Prümrådsbeslutet, utan att diskutera huruvida den befintliga regleringen skiljer sig från den reglering som utredningen föreslår. Universitetet framhåller även att frågan om vad som gäller när en svensk myndighet har erhållit uppgifter från en medlemsstat och i sin tur överför uppgifterna till en annan medlemsstat inte behandlas av utredningen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Artikel 12 i rambeslutet, som ålägger den överförande staten att underrätta mottagaren om begränsningar i fråga om behandlingen av de överförda personuppgifterna, är avsedd att gälla också för svenska myndigheter. Skyldigheten att underrätta mottagaren om begränsningar som gäller är enligt regeringens mening viktig från integritetssynpunkt, eftersom den bidrar till att begränsa behandlingen av personuppgifter.

När en svensk myndighet överför uppgifter till en myndighet i en annan stat finns det ibland skäl att ange villkor som begränsar användningen av uppgifterna, t.ex. hur länge uppgifterna får användas. Samma behov kan föreligga när uppgifter överförs till ett EU-organ. Nu gällande reglering täcker, som framgår av avsnitt 6.7.1, inte rambeslutets hela tillämpningsområde. Dessutom ställer rambeslutet – i motsats till den befintliga regleringen – krav på att eventuella villkor inte får vara diskriminerande för en utländsk mottagare (artikel 12.2). Möjligheterna att ange villkor är således mer begränsade enligt rambeslutet än enligt den befintliga lagstiftningen. Av bl.a. nu angivna skäl bör den nya lagen enligt regeringens mening även reglera svenska myndigheters rätt att ange villkor.

Ett exempel på när behov av villkor kan föreligga är när materialet som överlämnas är aktuellt i en pågående svensk förundersökning. Om utredningen är i ett känsligt skede kan åklagaren vilja ha garantier för att materialet inte används på ett sätt som kan skada utredningen, dvs. att den förundersökningssekretess som gäller ska respekteras av mottagaren. Ett annat exempel är att handlingar som ett svenskt företag åläggs eller är berett att förete innehåller affärshemligheter, för vilka sekretess gäller enligt svensk rätt och vilkas röjande skulle kunna skada företaget. I sådana fall bör villkor ställas upp för att skydda den till vars skydd sekretessen gäller. Ett tredje exempel är när material överlämnas som inhämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Enligt svenska regler ska sådant material förstöras senast när domen vunnit laga kraft. Om material av det slaget överlämnas finns det skäl att ställa villkor om att det ska förstöras när det rättsliga förfarandet är avslutat i den andra staten.

Rambeslutet föreskriver att villkor som ställts vid överföring till en utländsk mottagare inte får innehålla andra begränsningar än sådana som gäller vid motsvarande nationella överföringar. Detta får förstås så att det inte är tillåtet att ställa upp andra villkor än sådana som finns i det svenska regelsystemet om bl.a. sekretess och gallring. Denna begränsning bör för tydlighetens skull framgå direkt av lagen. Villkoren får givetvis inte heller stå i strid med Sveriges internationella åtaganden. Så kan t.ex. vara fallet om informationen härrör från tredjeland och det gäller särskilda villkor för svenska myndigheters rätt att använda informationen i fråga. I sådana fall torde det, även om överföringen godtas av ursprungsstaten, stå i strid med åtagandet att inte ställa upp samma villkor i förhållande till den nya mottagaren.

Lagrådet framför uppfattningen att frågan om användningsbegränsningar och den praktiska hanteringen av dem kan vara värda en grundligare analys och närmare överväganden, men att det aktuella lagstiftningsärendet inte är den naturliga platsen för det. Regeringen delar

Lagrådets uppfattning att principiella frågor om användningsbegränsningar inte bör behandlas i detta sammanhang.

Hänvisningar till S6-7-2

  • Prop. 2012/13:73: Avsnitt 10.1

6.8. Behandling av känsliga personuppgifter

Regeringens bedömning: Några lagstiftningsåtgärder bör inte vidtas med anledning av rambeslutets bestämmelser om behandling av känsliga personuppgifter.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att regleringen om behandling av känsliga personuppgifter i myndigheternas registerförfattningar görs enhetlig, vilket utredningen betecknar som enbart en språklig justering. Den formulering utredningen föreslår ska väljas är att behandling av känsliga personuppgifter får ske endast om den är absolut nödvändig.

Remissinstanserna: Flertalet remissinstanser har inga invändningar mot utredningens förslag i denna del. Svea hovrätt avstyrker dock de föreslagna ändringarna i registerförfattningarna när det gäller införandet

av ordet ”absolut” och anser att ordet ”absolut” framför ordet ”nödvändigt” inte behövs för att svensk rätt ska uppfylla kraven i dataskyddsrambeslutet. Domstolsverket avstyrker också den generella ändring som föreslås i domstolarnas registerförordningar när det gäller behandling av känsliga personuppgifter. Verket påpekar att ändringen från ”nödvändigt” till ”absolut nödvändigt” synes innebära en skärpning som även kommer att träffa uppgifter som inte omfattas av dataskyddsrambeslutet.

Skatteverket framhåller att känsliga personuppgifter som inkommer till samverkande brottsbekämpande myndigheter bör kunna behandlas på likartat sätt hos dessa myndigheter, eftersom det kan vara förenat med praktiska svårigheter om reglerna skiljer sig åt eller är otydliga. Skatteverket anser därför att de brottsbekämpande enheterna hos verket ska ha samma förutsättningar att behandla känsliga personuppgifter som polis och åklagare och att lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar bör ändras i detta avseende. Göteborgs tingsrätt efterlyser ett klargörande av huruvida den föreslagna ändringen av 7 § andra stycket förordningen (2001:639) om registerföring m.m. vid de allmänna domstolarna med hjälp av automatiserad behandling innebär en skärpning av när känsliga personuppgifter får behandlas vid handläggningen av mål. Tingsrätten ifrågasätter också om den skärpning som föreslås när det gäller hanteringen av känsliga personuppgifter är nödvändig för att Sverige ska leva upp till bestämmelserna i dataskyddsrambeslutet. Uppsala universitet anser att det är bra att språkliga justeringar görs för att få till stånd en enhetlig terminologi i de skilda registerförfattningarna som överensstämmer med rambeslutets krav (oundgängligen nödvändigt ändras till absolut nödvändigt). Universitetet delar utredningens bedömning att detta medför en förstärkning av integritetsskyddet. Förslaget att ändra nödvändigt till absolut nödvändigt, får däremot anses innebära mer än enbart en språklig justering. Ändringen medför en skärpning av reglerna, och kan även leda till att rutiner behöver ändras hos myndigheterna. Universitetet anser också att det är en brist att utredningen inte tydligt redovisar vilka bestämmelser i svensk lagstiftning som kan anses uppfylla kravet i dataskyddsrambeslutet på att känsliga personuppgifter bara får behandlas om den nationella lagstiftningen ställer upp tillräckliga skyddsåtgärder.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning

Inget behov av ändringar

Artikel 6 i rambeslutet innehåller regler om hur s.k. känsliga personuppgifter får behandlas. Som känsliga personuppgifter räknas uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt artikel 6 får sådana uppgifter bara behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga och adekvata skyddsåtgärder.

Utredningen bedömer att några ändringar inte behöver göras i personuppgiftslagen med anledning av rambeslutets bestämmelser om känsliga personuppgifter. Utredningen föreslår däremot att regleringen i myndigheternas registerförfattningar görs enhetlig så att det i alla registerförfattningar uppställs samma krav, nämligen krav på att behandlingen ska vara ”absolut nödvändig” för att känsliga personuppgifter ska få behandlas.

I all lagstiftning om behandling av personuppgifter har behandling av känsliga personuppgifter getts en särställning. Enligt 13 § personuppgiftslagen (1998:204) är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Definitionen av vad som är känsliga personuppgifter är densamma i personuppgiftslagen som i rambeslutet. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall detta får göras. De olika registerförfattningar som gäller för nu aktuella verksamhetsområden innehåller särskilda regler om behandling av känsliga personuppgifter. I vissa av författningarna föreskrivs att om personuppgifter om en person behandlas på annan grund så får känsliga personuppgifter behandlas om det är nödvändigt för syftet med behandlingen. I andra registerförfattningar föreskrivs att känsliga uppgifter i motsvarande situation får behandlas endast om det är oundgängligen eller absolut nödvändigt. Registerförfattningarna för domstolarna anger att känsliga personuppgifter får behandlas om de behövs för handläggningen av målet eller ärendet, medan 2 kap. 10 § polisdatalagen och 2 kap. 7 § kustbevakningsdatalagen är generellt formulerade och föreskriver att känsliga personuppgifter får behandlas om det är ”absolut nödvändigt”.

Några remissinstanser, däribland Uppsala universitet och Göteborgs tingsrätt, ifrågasätter om inte en ändring från ”nödvändig” till ”absolut nödvändig” i vissa författningar innebär en skärpning. Uppsala universitet anser att de föreslagna ändringarna är bra eftersom de medför en enhetlig terminologi, medan Göteborgs tingsrätt ifrågasätter om den föreslagna ändringen är nödvändig för att uppfylla kraven i rambeslutet.

Som framgår av redogörelsen ovan är bestämmelserna om behandling av känsliga personuppgifter formulerade på något olika sätt i registerförfattningarna. Gemensamt för dem alla är dock att de är avsedda att ge ett extra starkt skydd för känsliga personuppgifter. Den fråga som först måste besvaras är om rambeslutet kräver en ändring av befintliga bestämmelser om känsliga personuppgifter för att artikel 6 i rambeslutet ska vara uppfylld. Regeringen anser att så inte är fallet. Unionsrätten kräver inte att rambeslut införlivas ordagrant i nationell rätt utan enbart att ändamålet med regleringen uppfylls. Vissa registerförfattningar använder inte exakt samma formulering som rambeslutet utan föreskriver att känsliga personuppgifter får behandlas om det är ”nödvändigt” i stället för om det är ”absolut nödvändigt”. Även om inte rambeslutets exakta formulering används, framgår det tydligt av författningarna att behandling av känsliga personuppgifter aldrig får ske om det inte finns tillräckliga sakliga skäl som gör behandlingen nödvändig i det enskilda fallet. Härtill kommer att flera av bestämmelserna i registerförfattningarna ställer upp som extra krav att behandling inte får ske enbart på grundval av känsliga personuppgifter. Enligt regeringens mening uppfyller därför svensk rätt redan i dag kraven i artikel 6, en uppfattning som delas av

Svea hovrätt och Göteborgs tingsrätt. Eftersom såväl domstolarnas som

åklagarväsendets registerförfattningar är föremål för översyn finns det inte någon anledning att inom ramen för detta lagstiftningsärende genomföra ändringar som enbart syftar till att skapa en enhetlig reglering. De av utredningen föreslagna justeringarna av vissa paragrafer som reglerar behandlingen av känsliga personuppgifter bör därför enligt regeringens mening inte genomföras.

I sammanhanget bör också framhållas att EU-kommissionen nyligen har lagt fram ett förslag till dataskyddsreform som, om det antas, kommer att kräva en översyn av nu aktuella registerförfattningar. Även om regeringen har förståelse för Uppsala universitets synpunkt att det är en fördel med ett enhetligt språkbruk i registerförfattningarna bör således den frågan lösas i ett större sammanhang.

Uppsala universitet har också efterlyst en redovisning av vilka bestämmelser i svensk lagstiftning som kan anses uppfylla dataskyddsrambeslutets krav på att känsliga personuppgifter bara får behandlas om den nationella lagstiftningen ställer upp tillräckliga skyddsåtgärder. Regeringen vill i detta sammanhang framhålla att kravet på tillräckliga skyddsåtgärder i den nationella lagstiftningen avser regelsystemet i stort. I en stat som saknar ett tillfredsställande regelsystem för behandling av personuppgifter ska det alltså inte vara tillåtet att behandla känsliga personuppgifter, även om det i det enskilda fallet kan vara nödvändigt. Sverige har med personuppgiftslagen och de omkring 200 registerförfattningarna ett väl utvecklat system för skydd av personuppgifter, där känsliga personuppgifter har ett särskilt starkt skydd. Exempel på regler i detta system som bidrar till skydd är bl.a. regler om sökbegränsningar och åtkomstbegränsningar, krav på loggning samt gallringsregler.

Användningen av begreppet ras

Enligt artikel 6 räknas som känslig personuppgift bl.a. ”uppgifter som avslöjar ras eller etniskt ursprung”. Användningen av begreppet ras i bl.a. dataskyddsförfattningar har varit föremål för diskussioner i olika sammanhang.

Enligt EU:s officiella ståndpunkt (EGT C 152, 27.05.1996, s. 57) bör begreppet ras undvikas i alla offentliga texter. Ståndpunkten har dock inte iakttagits konsekvent i de av EU antagna rättsakterna. Direktivet mot etnisk diskriminering (direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung) omfattar t.ex. diskrimineringsgrunderna ras och etniskt ursprung. Begreppet ras används också i artikel 21 i Europeiska unionens stadga om de grundläggande rättigheterna, som blev rättsligt bindande i samband med att Lissabonfördraget undertecknades.

Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv (bet. 1997/98:KU29 s. 7). I

förarbetena till diskrimineringslagen (2008:567) bedömde regeringen att betänkandet inte gav tillräckligt stöd för att ta bort begreppet ras ur alla författningar (prop. 2007/08:95 s. 120). Regeringen ansåg emellertid att bruket av begreppet i lagtext skulle kunna ge legitimitet åt rasistiska föreställningar och kunna befästa ras som en existerande kategori. Det ansågs därför inte önskvärt att använda begreppet i diskrimineringslagen. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen. Riksdagen antog förslaget (bet. 2009/10:KU19, rskr. 2009/10:304.). I regeringsformen används i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (2 kap.12 och 24 §§regeringsformen). Med ”annat liknande förhållande” avses främst sådana föreställningar om ras som omfattades av tidigare reglering (prop. 2009/10:80 s. 152).

Eftersom unionsrätten inte kräver att ett direktiv eller rambeslut införlivas ordagrant i nationell rätt utan bara att ändamålet med regleringen uppfylls, finns det inte något hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med något annat begrepp som har samma innebörd. Regeringen anser dock att det inte är lämpligt att, utan särskild utredning, i detta lagstiftningsärende utmönstra ordet ras endast i vissa registerförfattningar och därmed rubba den vedertagna beskrivningen av känsliga personuppgifter som finns bl.a. i 13 § personuppgiftslagen. Regeringen har dock för avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning (jfr prop. 2011/12:45 s. 94).

6.9. Rätten till information

Regeringens bedömning: Rambeslutets bestämmelser om enskildas rätt till information kräver inte några ändringar eller kompletteringar av lagar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över förslaget i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Artikel 16 i rambeslutet innehåller bestämmelser om den registrerades rätt till information vid personuppgiftsbehandling rörande henne eller honom. Artikel 16.2, som reglerar villkor om att någon information inte ska lämnas till den registrerade, behandlas i avsnitt 6.7.1. Enligt artikel 16.1 ska medlemsstaterna se till att den registrerade informeras i enlighet med nationell lagstiftning när personuppgifter samlas in eller behandlas. Av skäl 27 framgår att de närmare villkoren för den registrerades rätt att bli informerad ska fastställas i nationell lagstiftning. Där framgår vidare att den information som avses kan lämnas på ett generellt sätt, t.ex. genom lagstiftning eller genom offentliggörande av en förteckning över olika typer av uppgiftsbehandling.

Enligt artikel 17 har den registrerade rätt att på begäran åtminstone få bekräftat av den registeransvarige eller den nationella tillsynsmyndigheten om uppgifter rörande honom eller henne har överförts eller gjorts tillgängliga och i så fall till vilka mottagare eller mottagarkategorier (artikel 17.1.a), eller en bekräftelse från tillsynsmyndigheten att alla nödvändiga kontroller har utförts (artikel 17.1.b).

I svensk rätt finns bestämmelser om rätt för den registrerade att få information om personuppgiftsbehandling i 2327 §§personuppgiftslagen, där motsvarande bestämmelser i dataskyddsdirektivet har genomförts. I nämnda bestämmelser anges när information ska lämnas självmant av den som behandlar personuppgifterna, när information ska lämnas efter ansökan av den registrerade, vilken typ av uppgifter som omfattas av informationsskyldigheten och när undantag kan göras från informationsskyldigheten.

Utredningen anser att i den mån 2327 §§personuppgiftslagen är tilllämpliga hos de berörda myndigheterna, så kräver artiklarna i rambeslutet om information till den registrerade inte någon lagstiftningsåtgärd.

Regeringen instämmer i utredningens bedömning. Artikel 16.1 motsvaras av 2325 §§personuppgiftslagen. Dessa paragrafer innehåller fler krav och mer detaljerade bestämmelser beträffande den personuppgiftsansvariges skyldighet att lämna information än artikel 16.1 i rambeslutet. Artikel 17.1 i rambeslutet motsvaras av 26 § personuppgiftslagen som ställer mer långtgående krav på vilken information som ska lämnas. Om det finns särskild reglering gäller inte 24 § personuppgiftslagen, som ålägger den personuppgiftsansvarige att självmant informera den registrerade om behandling som sker när uppgifter har samlats in från någon annan än den registrerade. Sådan särskild reglering finns i myndigheternas registerförfattningar. Paragraferna 23, 25 och 26 §§personuppgiftslagen är tillämpliga beträffande de myndigheter som berörs av rambeslutet, antingen genom uttryckliga hänvisningar i registerförfattningarna eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar motsvarande bestämmelser. Svensk rätt uppfyller därför mer än väl kraven i artikel 16.1 och 17.1 rambeslutet. Några lagstiftningsåtgärder är därför inte nödvändiga i dessa delar.

Artikel 17.2 i rambeslutet, som anger för vilka syften undantag får göras från reglerna om den registrerades rätt till information, berörs inte av utredningen. Artikeln föreskriver att medlemsstaterna får anta lagstiftning som begränsar tillgången till information enligt artikel 17.1 om begränsningen är nödvändig för att

a) hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) skydda allmän säkerhet,

d) skydda nationell säkerhet, eller

e) skydda den registrerades eller andra personers fri- och rättigheter. Frågan är om de regler som enligt svensk lagstiftning ger möjlighet att göra undantag från skyldigheten att informera den registrerade, är förenliga med artikel 17.2.

I 27 § personuppgiftslagen föreskrivs att 23–26 §§ samma lag, som reglerar rätten till information, inte gäller om det i lag eller annan författ-

ning, eller i beslut som har meddelats med stöd av författning, är föreskrivet att uppgifter inte får lämnas ut till den registrerade. I förarbetena till 27 § personuppgiftslagen sägs bl.a. att bestämmelser om sekretess och tystnadsplikt får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i dataskyddsdirektivet (prop. 1997/98:44 s. 84 f.).

Enligt 8 a § personuppgiftslagen, som bygger på artikel 13 i dataskyddsdirektivet, får regeringen meddela föreskrifter om undantag bl.a. från bestämmelserna om rätt till information, om det är nödvändigt med hänsyn till

a) rikets säkerhet,

b) försvaret,

c) allmän säkerhet,

d) förebyggande, undersökning eller avslöjande av brott eller av

överträdelse av etiska regler som gäller för lagreglerade yrken,

e) åtal för brott,

f) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska

unionen eller en stat som ingår i unionen,

g) myndighetsutövning som avser tillsyn, inspektion eller reglering i

fråga om sådant som nämns i c–f, eller

h) skyddet av fri- och rättigheter. Undantagsgrunderna i 8 a och 27 §§personuppgiftslagen motsvarar i allt väsentligt de undantagsgrunder som anges i artikel 17.2 rambeslutet. Enligt regeringens mening uppfyller således svensk rätt kraven i artikeln.

Utöver registerförfattningarna för de olika myndigheterna och personuppgiftslagen, finns det ett antal författningar som innehåller särskilda bestämmelser för vissa register. Dessa är bl.a. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister med tillhörande förordningar, förordningen (1997:902) om register över strafföreläggande och förordningen (1998:903) om register över förelägganden av ordningsbot. Även lagen (2000:344) om Schengens informationssystem kan räknas till denna kategori. Lagen om belastningsregister innehåller detaljerade bestämmelser om den enskildes rätt till information om personuppgiftsbehandling i registret, som uppfyller rambeslutets bestämmelser. Lagen om misstankeregister innehåller också särskilda bestämmelser om den enskildes rätt till information, men rätten till information är enligt denna författning mer begränsad än motsvarande rätt enligt personuppgiftslagen. Skälet till begränsningarna är att information om misstankar skulle kunna skada den brottsbekämpande verksamheten, ett skäl som överensstämmer med de i artikel 17.2 i rambeslutet angivna undantagen. De övriga författningarna innehåller inga särskilda bestämmelser om rätt till information. I stället är bestämmelserna i personuppgiftslagen tillämpliga. Som angetts tidigare bedömer regeringen att detta innebär att svensk rätt väl uppfyller kraven i rambeslutet och att det inte finns något behov av lagstiftningsåtgärder när det gäller nu aktuella författningar.

Artikel 17.3 i rambeslutet föreskriver att en vägran att lämna information till den enskilde enligt huvudregeln ska vara skriftlig och innehålla skälen för vägran. Om vägran att lämna information grundas på något av undantagen i artikel 17 behöver några skäl inte anges. Den registrerade ska underrättas om möjligheten att överklaga till den nationella tillsynsmyndigheten, en rättslig myndighet eller till domstol. Bestämmelserna i

artikel 17.3 i rambeslutet kräver inte några lagstiftningsåtgärder. Regeringen återkommer i avsnitt 6.11 till rätten att överklaga en myndighets beslut om information.

6.10. Skadestånd, rättelse och sanktioner

6.10.1. Skadestånd

Regeringens förslag: Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen ska inte tillämpas på uppgifter som omfattas av den nya lagen.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen berör inte frågan om regleringen i 48 § personuppgiftslagen är förenlig med artikel 19.2 i rambeslutet.

Remissinstanserna yttrar sig inte över förslaget i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag

Skadestånd

Enligt artikel 19.1 i rambeslutet ska var och en som lidit skada till följd av en otillåten personuppgiftsbehandling ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada han eller hon har lidit. Det är inte möjligt att undgå skadeståndsansvar genom att åberopa att behandlingen avser uppgifter som har överförts från annat land och som var felaktiga redan vid överföringen. Däremot kan den skadeståndsskyldige ha rätt till regressvis ersättning från den som överförde de felaktiga uppgifterna.

Utredningen anser att artikeln inte kräver några ändringar eller tillägg i svensk rätt, med undantag för förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. I fråga om dessa författningar föreslår utredningen att de kompletteras med hänvisningar till 48 § personuppgiftslagen. Som stöd för bedömningen åberopar utredningen regleringen i 48 § personuppgiftslagen. I 48 § personuppgiftslagen föreskrivs att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat.

Regeringen delar utredningens bedömning att 48 § personuppgiftslagen uppfyller kraven i artikel 19.1 i rambeslutet. Eftersom registerförfattningarna för de myndigheter som är berörda av dataskyddsrambeslutet innehåller hänvisningar till personuppgiftslagens skadeståndsbestämmelser uppfyller svensk lagstiftning rambeslutets krav i denna del. Förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot, som saknar hänvisningar till personuppgiftslagens bestämmelse om skadestånd, bör som utredningen föreslår

kompletteras med sådana hänvisningar. Regeringen avser att vidta dessa förordningsändringar.

Enligt 48 § andra stycket personuppgiftslagen kan ersättningsskyldigheten jämkas i den utsträckning det är skäligt, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Någon motsvarande möjlighet till jämkning av uppkommen skadeståndsskyldighet finns inte enligt dataskyddsrambeslutet. Tvärtom anges i artikel 19.2 att det inte går att undkomma skadeståndsansvar genom att åberopa att felet fanns redan när uppgiften i fråga överfördes. Frågan om jämkningsregeln i 48 § andra stycket personuppgiftslagen är förenlig med rambeslutet diskuterades i propositionen om godkännande av dataskyddsrambeslutet. Där sägs bl.a. att den omständigheten att en myndighet har möjlighet att göra gällande regressansvar mot en utländsk myndighet regelmässigt torde medföra att jämkning inte kommer i fråga (prop. 2008/09:16 s. 56). I propositionen framhölls dock att frågan om den svenska regleringen är förenlig med rambeslutet borde utredas närmare. Utredningen anser – utan någon närmare analys – att det inte finns skäl att ändra reglerna om jämkning av skadestånd.

Regeringen anser att jämkningsmöjligheten i 48 § andra stycket personuppgiftslagen inte är förenlig med artikel 19.2 i rambeslutet. Mot den bakgrunden bör det i den nya lagen föreskrivas att 48 § andra stycket personuppgiftslagen inte gäller för uppgifter som har överförts vid sådant polisiärt eller straffrättsligt samarbete som rambeslutet omfattar. En hänvisning till den bestämmelsen bör införas i lagen (1998:620) om belastningsregister, eftersom avvikande regler i den lagen har företräde framför den nya lagen.

Regressrätt mellan stater

Det andra ledet i artikel 19.2 i rambeslutet reglerar möjligheten till regressrätt mellan stater när skadeståndsansvar har uppkommit på grund av en uppgift som var felaktig redan vid överföringen från en annan stat. Regeringen framhöll i propositionen om godkännande av dataskyddsrambeslutet att staternas regressanspråk är att se som ett folkrättsligt åtagande som inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att i ett lämpligt sammanhang överväga en reglering av formerna för handläggningen av sådana regresskrav. Utredningen lämnar inget förslag i frågan under hänvisning till att den bör ses över i ett större sammanhang.

Regeringen instämmer i utredningens bedömning.

Hänvisningar till S6-10-1

  • Prop. 2012/13:73: Avsnitt 10.1

6.10.2. Rättelse

Regeringens bedömning: Rambeslutets bestämmelser om rättelse kräver inga lagändringar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Artikel 4 i rambeslutet föreskriver som huvudregel att personuppgifter ska rättas om de är felaktiga och raderas eller avidentifieras när de inte längre behövs. I stället för att radera personuppgifterna ska dessa blockeras om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. När det gäller personuppgifter som ingår i ett domstolsbeslut eller akten i samband med utfärdande av ett rättsligt beslut görs i artikel 4.4 undantag från dessa regler. Då ska i stället rättelse, radering eller blockering ske i enlighet med de nationella reglerna om rättsliga förfaranden. I artikel 8 föreskrivs att de behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovligen ska mottagaren omedelbart underrättas om detta. Enligt artikel 18 ska medlemsstaterna fastställa hur den registrerade ska kunna göra anspråk på rätten till rättelse, kontroll av kvaliteten och gallring.

Utredningen anser att artiklarna 4, 8 och 18 inte kräver några ändringar eller tillägg i svensk rätt. Regeringen delar i huvudsak denna bedömning. I 9 § personuppgiftslagen ställs bl.a. krav på att den personuppgiftsansvarige vidtar alla rimliga åtgärder för att rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter (9 § första stycket h) och ser till att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen (9 § första stycket e) samt att uppgifterna är riktiga och, om det är nödvändigt, aktuella (9 § första stycket g). Härutöver föreskrivs i 28 § personuppgiftslagen att den registrerade har rätt att kräva att den personuppgiftsansvarige agerar i dessa avseenden, t.ex. vidtar rättelse. Personuppgiftslagen innehåller således bestämmelser som till stor del uppfyller kraven enligt artiklarna 4, 8 och 18 i rambeslutet.

I ett avseende saknar dock personuppgiftslagen reglering som motsvarar den som finns i artikel 8. Det handlar om den del av artikeln som föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovligen. Utredningen lämnar inte något förslag i denna del. Enligt regeringens mening är detta en regel som kräver genomförande för att rambeslutet ska anses vara uppfyllt, men regleringen kan göras på förordningsnivå. Regeringen avser att genomföra den förordningsreglering som krävs.

Regleringen i 28 § personuppgiftslagen omfattar i och för sig även behandling av personuppgifter som överförts eller gjorts tillgängliga av utländska myndigheter eller EU-organ. Paragrafen gäller dock enligt sin ordalydelse bara när personuppgifter har behandlats i strid med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. Detta innebär att personuppgiftsbehandling i strid med bestämmelser i särskilda registerförfattningar inte omfattas av bestämmelsen om rättelse i 28 § personuppgiftslagen, om inte registerförfattningen genom en hänvisning uttryckligen anger att 28 § personuppgiftslagen ska gälla (prop. 1997/98:136 s. 78 och 97). Registerförfattningarna för de myndigheter som framförallt berörs av rambeslutet, polisen, åklagarväsendet, Tullverket, Kustbevakningen, Kronofogdemyndigheten, Skatte-

verket, Kriminalvården och domstolarna, innehåller bestämmelser med denna innebörd. Svensk rätt uppfyller därför artiklarna 4, 8 och 18 i rambeslutet såvitt gäller berörda myndigheters registerförfattningar.

Däremot saknar förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot hänvisningar till personuppgiftslagens bestämmelse om rättelse. Dessa författningar innehåller inte heller några särskilda regler om rättelse. För att svensk rätt fullt ut ska leva upp till dataskyddsrambeslutets artikel 18 bör nämnda förordningar förses med bestämmelser om rättelse. Regeringen avser att genomföra dessa förordningsändringar.

6.10.3. Sanktioner

Regeringens bedömning: Rambeslutets regler om sanktioner kräver inga lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 24 i rambeslutet ska medlemsstaterna föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med rambeslutet. I skäl 30 anges bl.a. att det ankommer på varje medlemsstat att själv fastställa vilka påföljder som ska tillämpas vid överträdelse av de nationella dataskyddsbestämmelserna.

Utredningen bedömer att artikel 24 inte kräver några ändringar eller tillägg i svensk rätt. Som skäl för bedömningen hänvisar utredningen till tidigare bedömningar av samma fråga.

Regeringen delar utredningens bedömning. Frågor om sanktioner för brott mot dataskyddsbestämmelser har diskuterats dels vid genomförandet av dataskyddsdirektivet (prop. 1997/98:44 s. 108), dels vid genomförandet av rådets beslut 2007/533 av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), prop. 2009/10:86 s. 53 f, dels inför godkännandet av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132 s. 17). I dessa sammanhang konstaterade regeringen att straffbestämmelserna i brottsbalken om dataintrång, tjänstefel och brott mot tystnadsplikt är tillräckliga för att uppfylla de krav på sanktioner som har ställts. Regeringen gör ingen annan bedömning i detta fall. Artikel 24 i rambeslutet kräver således inte några lagstiftningsåtgärder.

6.11. Överklagande

Regeringens bedömning: Rambeslutets bestämmelser om överklagande kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 20 i rambeslutet ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga nationella lagstiftningen.

I 52 § första stycket personuppgiftslagen anges att beslut om information, rättelse och vissa andra beslut får överklagas hos allmän förvaltningsdomstol. I registerförfattningarna har frågan om rätt att överklaga en myndighets beslut rörande myndighetens personuppgiftsbehandling hanterats på olika sätt. Polisdatalagen och kustbevakningsdatalagen föreskriver att 52 § första stycket personuppgiftslagen ska gälla vid personuppgiftsbehandling enligt dessa lagar. Kronofogdemyndighetens, Kriminalvårdens och Tullverkets registerförfattningar föreskriver att myndighetens beslut om rättelse och om information som ska lämnas enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Registerförfattningen för åklagarväsendet innehåller en hänvisning till förvaltningslagens (1986:223) bestämmelser om överklagande hos allmän förvaltningsdomstol. Beträffande domstolarna föreskrivs att beslut om rättelse eller om att inte lämna information får överklagas. Dessa registerförfattningar innehåller hänvisningar till 33 § förvaltningsprocesslagen (1971:291) för beslut av domstol. Nu nämnda författningar innehåller således redan regler som uppfyller kraven i rambeslutet.

I 17 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar föreskrivs att Skatteverkets beslut om rättelse får överklagas hos allmän förvaltningsdomstol. Bestämmelsen reglerar således enbart överklagande av beslut om rättelse, men inte beslut om att inte lämna ut information. Utredningen gör bedömningen att det trots detta inte finns någon anledning att föreslå något tillägg i paragrafen och anger som skäl för bedömningen att personuppgiftslagen gäller utöver Skatteverkets registerförfattning.

Regeringen instämmer i bedömningen att det inte finns något behov av att ändra bestämmelsen om överklagande i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Visserligen skulle den aktuella bestämmelsen kunna betraktas som en specialreglering som gäller i stället för 52 § personuppgiftslagen. Vid antagandet av lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar uttalades dock att när det gäller andra beslut rörande personuppgiftsbehandling än beslut om rättelse, ska personuppgiftslagens regler om överklagande gälla (prop. 1998/99:34 s. 56 f.). Vid den tidpunkten fanns det inga särskilda regler om överklagande av beslut

av personuppgiftsansvarig i personuppgiftslagen. Numera finns dock en sådan bestämmelse i 52 § personuppgiftslagen. Mot denna bakgrund är det enligt regeringens mening inte nödvändigt att införa en bestämmelse om rätt att överklaga beslut om att inte lämna ut information i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

6.12. Överföring av personuppgifter till tredjeland

Regeringens förslag: Personuppgifter får föras över till tredjeland eller ett internationellt organ endast om

– den som överfört eller gjort uppgifterna tillgängliga för svensk myndighet medgett att de överförs,

– det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

– mottagaren har ansvar för sådan verksamhet, och – den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Om det generella kravet på adekvat skyddsnivå inte är uppfyllt, kan uppgifter ändå få överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse, eller om mottagaren tillhandahåller tillräckliga skyddsåtgärder i det enskilda fallet.

Om medgivande på grund av tidsbrist inte kan utverkas i förväg, får överföring ändå ske om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att överföring ska få ske utan medgivande endast om det är absolut nödvändigt. Utredningen föreslår ingen reglering av möjligheterna att överföra uppgifter till tredjeland eller internationellt organ om det inte finns en adekvat skyddsnivå och inte heller någon reglering av underrättelse till den som överfört eller gjort en personuppgift tillgänglig, vid vidareöverföring till tredjeland eller internationellt organ.

Remissinstanserna framför inga synpunkter på förslaget i denna del. Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: Lunds universitet anser att den föreslagna lydelsen av 7 § lämnar ett betydande utrymme för myndighetsskön och saknar den precision som är en förutsättning för en rättssäker tillämpning med tillräcklig förutsebarhet för de involverade personerna. Sveriges advokatsamfund menar att det ur ett integritetsskyddsperspektiv inte framstår som lämpligt med en så generellt utformad undantagsbestämmelse som den föreslagna bestämmelsen i 7 § andra stycket. Samfundet menar också att det av rättssäkerhetsskäl inte är acceptabelt att utan närmare preci-

sering i lag överlämna till rättstillämpningen att avgöra vilka situationer som ska kunna medföra avsteg från krav på adekvat skyddsnivå för överföring av personuppgifter. Samfundet delar vidare utredningens uppfattning om att det inte finns skäl att införa bestämmelsen i artikel 13.3 i den nya lagen och ansluter sig därför till det förslag som lagts fram av utredningen.

Skälen för regeringens förslag: Enligt artikel 13.1 gäller särskilda regler för när personuppgifter, som har erhållits i enlighet med rambeslutet, överförs till ett tredjeland eller till ett internationellt organ. En sådan överföring får göras bara om den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, överföringen är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd och om mottagaren har ansvar för sådan verksamhet, samt det finns en adekvat skyddsnivå för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det ska vara tillåtet att föra över uppgifter eller göra dessa tillgängliga måste samtliga dessa villkor som huvudregel vara uppfyllda.

Enligt artikel 13.2 finns dock möjlighet att överföra personuppgifter utan ett medgivande i förväg. Enligt artikeln krävs då att överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats väsentliga intressen samt att ett förhandsmedgivande inte hinner utverkas i tid. Om överföring sker utan medgivande ska enligt artikel 13.2 sista meningen den myndighet, vars medgivande till överföring krävs, underrättas utan dröjsmål.

Utredningen föreslår att artikel 13 ska genomföras genom en bestämmelse i den nya lagen. Utredningens förslag innehåller dock ingen reglering som motsvarar artikel 13.2 sista meningen.

Regeringen instämmer i utredningens bedömning att artikel 13 bör genomföras genom en bestämmelse i den nya lagen. Regleringen bör dock utformas på ett något annorlunda sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den riktar sig till berörda svenska myndigheter. Regeringen anser vidare att det är tillräckligt att bestämmelsen anger att överföring i en akut situation får ske utan medgivande om det är nödvändigt för de i rambeslutet angivna syftena. Bestämmelsen bör också formuleras på motsvarande sätt som regleringen av lagens tillämpningsområde (förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, jfr vad som sägs i avsnitt 6.4.1). Slutligen bör det även finnas en regel om att den som överfört eller gjort en personuppgift tillgänglig ska underrättas om överföringen så snart som möjligt. Det sistnämnda kan dock regleras i förordning.

Artikel 13.3 i rambeslutet innehåller en möjlighet till undantag från kravet på adekvat skyddsnivå. Personuppgifter får i vissa fall överföras trots att kravet på adekvat skyddsnivå inte är uppfyllt. Detta gäller om

a) den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

i) den registrerades legitima specifika intressen, eller ii) legitima faktiska intressen, främst viktiga allmänna intressen, eller

b) om tredje staten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mottagaren har en adekvat skyddsnivå. Dessa faktorer behöver enligt regeringens mening inte återspeglas i lagtexten.

Utredningen berör inte denna del av artikel 13 på annat sätt än att det anges att det inte finns skäl att reglera ytterligare delar av artikel 13.

Sveriges advokatsamfund delar utredningens uppfattning på denna punkt.

Enligt regeringens mening är det av stor vikt att det regleras vad som gäller i de fall där ett visst tredjeland eller ett internationellt organ inte generellt kan anses ha en adekvat skyddsnivå, men där det i det enskilda fallet är angeläget att, trots detta, kunna föra över vissa uppgifter. Ett exempel på när bestämmelsen kan vara tillämplig är om en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern och denne lyckas fly från lagföring eller verkställighet av straff och kan antas befinna sig i tredjeland från vilket svenska myndigheter begär denne utlämnad. Ett annat exempel är att svenska myndigheter fått uppgifter från en annan EU-stat om att en misstänkt terrorist befinner sig här i landet och att denne identifieras först när han begett sig till tredjeland. Av bestämmelsen om överföring till tredjeland eller internationellt organ bör därför framgå att personuppgifter ska kunna överföras i ett enskilt fall också om ett berättigat intresse hos den som uppgifterna avser eller ett särskilt viktigt allmänt intresse föranleder det, eller om den mottagande staten eller det internationella organet i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder.

Sveriges advokatsamfund menar vidare att bestämmelsen i den föreslagna 7 § andra stycket är för oprecis och generellt utformad. Lunds universitet framför liknande synpunkter. Regeringen delar inte denna uppfattning. Det handlar om en begränsad mottagarkrets där endast vissa typer av mottagare ingår. Detta underlättar bedömningen av vilken skyddsnivå som kommer att gälla för uppgifter som överförs. Mot denna bakgrund är den föreslagna preciseringsnivån tillräcklig. Regeringen anser dock att det bör tydliggöras att kravet på en adekvat skyddsnivå avser mottagande stat.

6.13. Överföring av personuppgifter till enskilda

Regeringens förslag: Personuppgifter får föras över till enskilda om

– den som fört över eller gjort uppgifterna tillgängliga har medgett att de förs över,

– överföringen är nödvändig för att

a) myndigheten ska kunna fullgöra en författningsenlig uppgift,

b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

d) förhindra att enskildas rättigheter allvarligt kränks, och – inga berättigade intressen hos den som uppgifterna avser hindrar att de förs över.

Det sagda ska dock inte gälla i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen bedömer att det inte är nödvändigt att göra undantag för parter i brottmål. Utredningen föreslår även att regleringen ska begränsas till att gälla överföring till privat part i annan medlemsstat.

Remissinstanserna: Flertalet av remissinstanserna framför inga synpunkter på förslaget i denna del. Ekobrottsmyndigheten anser att benämningen part inte bör användas i regleringen och att de undantag som anges i skäl 18 i rambeslutet, dvs. att privata parter i brottmål inte omfattas, bör komma till uttryck i lagen. Datainspektionen anser att avsikten med artikel 14 är att generellt förhindra att uppgifter som härrör från en medlemsstat lämnas ut till privata parter (dvs. varken till den mottagande staten eller till andra medlemsstater) utan att den överförande staten ges tillfälle att samtycka till detta. Utredningen föreslår att det i lagen om användningsbegränsningar införs en bestämmelse som begränsar överföring av uppgifter till en privat part i en annan medlemsstat än Sverige.

Det kan enligt Datainspektionens mening ifrågasättas om den formulering som utredningen valt för att genomföra artikel 14 är förenlig med rambeslutets intentioner.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Enligt artikel 14 i rambeslutet får personuppgifter som överförts från eller gjorts tillgängliga av en behörig myndighet i en annan medlemsstat, eller som annars omfattas av rambeslutets tillämpningsområde, överföras till enskilda (”privata parter”) endast under vissa förutsättningar. För att överföring av sådana uppgifter ska få ske till enskilda krävs att

a) den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföringen,

b) inga legitima intressen för den registrerade personen hindrar överföringen, och

c) överföringen är absolut nödvändig för att den som överför uppgifterna till en enskild ska kunna

i) utföra en lagenlig uppgift, ii) förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, iii) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller iv) förhindra att enskilda personers rättigheter lider allvarlig skada. I artikel 14 föreskrivs vidare att den som överför uppgifterna till en privat part ska underrätta mottagaren om vilka ändamål uppgifterna uteslutande får användas för.

Utredningen föreslår att den paragraf som genomför artikel 14 ska vara tillämplig endast när uppgifter som har överförts eller gjort tillgängliga av en annan medlemsstat inom EU förs över till enskild person i en annan medlemsstat.

Flertalet av remissinstanserna framför inte några invändningar mot utredningens förslag i denna del. Ekobrottsmyndigheten menar dock att de undantag som anges i skälen till rambeslutet bör komma till uttryck i lagbestämmelsen. Datainspektionen ifrågasätter om utredningens förslag är förenligt med rambeslutets intentioner.

Regeringen delar utredningens åsikt att artikel 14 behöver genomföras i den nya lagen. Regeringen anser dock att artikeln sätter gränser för överföring till enskilda, oavsett om dessa befinner sig i Sverige eller i någon annan medlemsstat. Detta överensstämmer också med Datainspektionens tolkning. Regleringen bör därför vara generell.

Bestämmelsen bör också i övrigt formuleras på ett något annorlunda sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den riktar sig till berörda svenska myndigheter och den bör utformas på liknande sätt som regeln om överföring till tredjeland och internationella organ (se avsnitt 6.12).

Artikel 14 handlar enligt sin ordalydelse om privata parter (i den engelska versionen ”private parties”). Utredningen föreslår samma formulering. Enligt regeringens mening leder begreppet parter tanken till parter i ett avtalsförhållande eller i ett rättegångsförfarande. Det är emellertid inte vad som åsyftas i artikel 14. Enligt regeringens mening bör regleringen i denna del i stället avse överföringar som sker till enskilda. Detta är också – i motsats till ”privat part” – ett vedertaget begrepp i svensk lagstiftning.

Av skäl 18 framgår att rambeslutets bestämmelser om överföring av information till privata parter inte omfattar personuppgifter som lämnas från domstolar, polisen eller tullmyndighet till privata parter i brottmål. Som exempel på sådana nämns försvarsadvokater och brottsoffer. Utredningen gör bedömningen att detta är en självklar förutsättning i svensk rätt och att det därför inte är nödvändigt att ta in en bestämmelse av den innebörden i den nya lagen. Ekobrottsmyndigheten anser att undantaget bör komma till uttryck i den nya lagen.

Även om begreppet privat part byts ut mot begreppet enskild kan den nya bestämmelsens ordalydelse tolkas som att den begränsar möjligheterna att lämna ut uppgifter till exempelvis parter och ombud i brottmålsrättegångar. Regeringen instämmer därför i Ekobrottsmyndighetens bedömning att det uttryckligen bör framgå av lagen att reglerna om överföring till enskild inte hindrar utlämnande till bl.a. målsägande och försvarare i brottmål.

Som nämns ovan (avsnitt 6.6.4) ska artikel 14 inte tolkas så att den förhindrar ett utlämnande av överförda uppgifter med stöd av offentlighetsprincipen. Den typ av uppgifter som avses i rambeslutet är dock som regel sekretessreglerade genom bestämmelserna i 18 kap. och 35 kap.offentlighets- och sekretesslagen.

I likhet med vad som sägs angående artikel 13 anser regeringen att den bestämmelse som genomför artikel 14 blir tillräckligt tydlig även om den inte förstärks genom begreppet absolut. Det är således enligt regeringens mening tillräckligt att bestämmelsen anger att överföring får ske om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller andra liknande skäl.

Lagrådet anser att ett av villkoren i bestämmelsen om överföring till enskilda bör utformas på ett något annorlunda sätt än i lagrådsremissen.

Lagrådet menar att det bör framgå att överföringen är nödvändig för att myndigheten ska kunna fullgöra en författningsreglerad skyldighet. Med en sådan formulering snävas bestämmelsen in. I den svenska översättningen talas om en uppgift som myndigheten ”lagenligen tilldelats” och i den engelska versionen om ”a task lawfully assigned”. Villkoret bör alltså även täcka sådana uppgifter som en myndighet kan utföra utan att vara direkt specificerade som skyldigheter i en författning. Uttrycket ”författningsreglerad skyldighet” blir enligt regeringens mening snävare än vad som är avsett. Däremot anser regeringen att den i lagrådsremissen använda formuleringen bör ändras så att villkoret omfattar ”författningsreglerad uppgift”. I övrigt bör bestämmelsen utformas i enlighet med Lagrådets förslag.

6.14. Dataskyddsbestämmelser i tidigare antagna rättsakter

Regeringens förslag: Från lagens tillämpningsområde undantas sådant informationsutbyte som regleras i vissa tidigare EU-rättsakter där det redan införts svenska regler om dataskydd.

Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att artikel 28, som reglerar rambeslutets förhållande till tidigare antagna EU-rättsakter, ska genomföras genom en övergångsbestämmelse till den nya lagen.

Remissinstanserna: Flertalet remissinstanserna berör inte denna fråga.

Svea hovrätt påpekar dock att det i betänkandet inte redogörs för vilka rättsakter som är aktuella eller hur tillämparen ska ta reda på detta.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen instämmer i regeringens bedömning att det är nödvändigt med ett undantag för sådana särskilda bestämmelser som avser dataskydd inom ramen för informationsutbyte enligt SIS, TIS, Prümrådsbeslutet och VIS, mot bakgrund av artikel 28 i rambeslutet. Inspektionen påpekar att artikel 28 anger att om sådana rättsakter innehåller särskilda villkor, ska dessa ha företräde framför rambeslutet. Enligt inspektionen bör undantaget i den föreslagna lagen på motsvarande sätt knyta an till om det finns särskilda dataskyddsbestämmelser i regleringen av SIS m.m. och den föreslagna bestämmelsen i 3 § andra stycket därför formuleras så att den anger att lagen inte gäller i den mån det finns särskilda dataskyddsbestämmelser i regleringen av informationsutbyte genom SIS, TIS m.m.

Skälen för regeringens förslag

Allmänna utgångspunkter

Enligt artikel 28 ska sådana EU-rättsakter som reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem – och som har antagits före rambeslutets ikraftträdande – ha företräde framför bestämmelserna i dataskyddsrambeslutet i de delar de först-

nämnda innehåller särskilda villkor för hur mottagaren får använda uppgifterna.

Skäl 39 och 40 i rambeslutet förtydligar innehållet i artikeln. I skäl 39 framhålls att flera tidigare antagna EU-rättsakter innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa bestämmelser en komplett uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som reglerar dessa frågor mer detaljerat än rambeslutet. Dataskyddsbestämmelserna i dessa rättsakter, särskilt de som reglerar funktionssättet för Europol, Eurojust, Schengens informationssystem (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör enligt skäl 39 inte påverkas av rambeslutet. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och uppgifter ur nationella fordonsregister i enlighet med det s.k. Prümrådsbeslutet.

Enligt skäl 40 är i andra fall räckvidden för dataskyddsbestämmelserna i olika äldre EU-rättsakter mer begränsad. Ofta fastställs det i dessa rättsakter särskilda villkor för vilka ändamål som en medlemsstat som tar emot personuppgifter får använda uppgifterna, medan det beträffande övriga dataskyddsaspekter hänvisas till dataskyddskonventionen eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för användning eller vidareöverföring av personuppgifter som är strängare än villkoren i rambeslutet, ska de förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i rambeslutet gälla.

Utredningen föreslår att regleringen i artikel 28 ska genomföras i form av en övergångsbestämmelse till den nya lagen.

Som Svea hovrätt påpekar redogör utredningen inte för vilka rättsakter som skulle kunna omfattas av den föreslagna övergångsbestämmelsen. Detta framgår inte heller av den föreslagna övergångsbestämmelsen.

Rättsakter inom den f.d. tredje pelaren är inte direkt tillämpliga i medlemsstaterna, utan ska vid behov genomföras i nationell lagstiftning. Redan av det skälet är det inte möjligt att utforma regleringen på det sätt som utredningen föreslår. Den fråga som aktualiseras är således på vilket sätt de aktuella rättsakterna har genomförts i svensk rätt och vilka eventuella lagstiftningsåtgärder som krävs för att klarlägga förhållandet mellan den föreslagna nya lagen och redan genomförda regleringar.

De EU-rättsakter som har antagits före rambeslutets ikraftträdande och som inom det aktuella området reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem kan något förenklat delas in i sådana som har direkt betydelse för svenska myndigheter och som har genomförts (eller planeras genomföras) i svensk lagstiftning och sådana som endast rör EU:s organ eller interna arbete och som inte har medfört några lagstiftningsåtgärder i Sverige.

EU-rättsakter som har genomförts eller ska genomföras i svensk lagstiftning

De EU-rättsakter, antagna före rambeslutets ikraftträdande, som har genomförts eller ska genomföras i svensk lagstiftning och som reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EUinformationssystem inom det aktuella området, dvs. rättsakter om polisiärt och straffrättsligt samarbete inom EU, är följande (underlaget till redovisningen är hämtat från kommissionens material rörande den nya dataskyddsreformen, se Impact assessment on the reform of personal data protection in the EU, Annex III).

1. Konventionen av den 19 juni 1990 om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Tyskland och Frankrike om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna (EUT L 239, 22.9.2000, s. 19; se prop. 1999/2000:61 s. 144 f. och prop. 1999/2000:64 s. 158 f.).

2. Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63; se prop. 2009/10:86). Beslutet har genomförts men lagändringarna börjar gälla först den dag regeringen bestämmer, eftersom systemet ännu inte tagits i drift. Rådets beslut 2005/211/RIF av den 24 februari 2005 om införande av ett antal nya funktioner för Schengens informationssystem, bland annat i kampen mot terrorism (EUT L 68, 15.3.2005, s. 44). Beslutet genomfördes inte på grund av det arbete som kommissionen sedermera inledde med SIS II (se prop. 2006/07:37 s. 5).

3. Konventionen upprättad på grundval av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullförvaltningar (EUT C 24, 23.1.1998, s. 2). Konventionen reglerar sådana uppgifter som utväxlas utanför tullinformationssystemet (TIS). För en närmare redogörelse se prop. 1999/2000:122 s. 45 f.

4. Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (EUT C 197, 12.7.2000, s. 1; se prop. 1999/2000:61 och prop. 2004/05:144).

5. Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EUT L 190, 18.7.2002, s. 1; prop. 2003/04:7). Regleringen innehåller inga bestämmelser om dataskydd, varför dataskyddsrambeslutets bestämmelser ska tillämpas.

6. Rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 63, 6.3.2002, s. 1; prop. 2001/02:86).

7. Det s.k. Prümrådsbeslutet, rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1; prop. 2009/10:177 och prop. 2010/11:129). Rådets beslut 2008/616/RIF av den 23 juni 2008 om genomförande av beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 12), fastställer endast de nödvändiga administ-

rativa och tekniska bestämmelserna för genomförandet av Prümrådsbeslutet och har därför inte föranlett någon lagstiftning.

8. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89). Rambeslutet har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Förordningen är även tillämplig på informationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott (EUT L 332, 18.12.2007, s. 103).

9. Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (EUT L 218, 13.8.2008, s. 129). Arbetet med att genomföra rådsbeslutet i svensk rätt pågår (se Ds 2011:27 angående förslag till genomförande). De nu aktuella EU-rättsakterna har i huvudsak genomförts i följande författningar: – lagen och förordningen om internationell rättslig hjälp i brottmål, – lagen och förordningen om internationellt polisiärt samarbete, – lagen och förordningen om Schengens informationssystem, – lagen och förordningen om vissa former av internationellt samarbete i brottsutredningar, och – lagen och förordningen om internationellt tullsamarbete. Dessa författningar innehåller, som tidigare redovisats, framför allt dataskyddsbestämmelser i form av bestämmelser om användningsbegränsningar. Lagen om internationellt polisiärt samarbete och lagen om Schengens informationssystem innehåller vissa ytterligare dataskyddsbestämmelser i form av bl.a. ändamålsbegränsningar och gallringsregler.

EU-rättsakter som inte har krävt svensk lagstiftning

Följande EU-rättsakter har antagits före dataskyddsrambeslutet, men har inte krävt någon svensk lagstiftning.

1. Rådets beslut av den 17 oktober 2000 om inrättande av ett sekretariat för de gemensamma tillsynsorgan för dataskydd som bildades genom konventionen om upprättandet av en europeisk polisbyrå; Europolkonventionen, konventionen om användning av informationsteknologi för tulländamål och konventionen om tillämpning av Schengenavtalet om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna; Schengenkonventionen (EUT L 271, 24.10.2000, s. 1).

2. Rådets beslut av den 17 oktober 2000 om en samarbetsordning för medlemsstaternas finansunderrättelseenheter avseende utbyte av information (EUT L 271, 24.10.2000, s. 4).

3. Rådets beslut 2009/426/RIF av den 16 december 2008 om förstärkning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 138, 4.6.2009, s. 14).

Slutsatser

För sådana äldre EU-rättsakter som inte innehåller några dataskyddsbestämmelser alls, exempelvis rambeslutet om en europeisk arresteringsorder, kommer den nya lagen att vara tillämplig.

De tidigare antagna EU-rättsakter som är av den arten att de enligt rambeslutet ska ha företräde framför rambeslutet har, med något enstaka undantag, genomförts i svensk rätt. De speciella dataskyddsregler som dessa rättsakter har gett upphov till förutsätts i dataskyddsrambeslutet kunna fortsätta att tillämpas, om de ingår i ett genomtänkt system för dataskydd. I rambeslutet nämns särskilt informationsutbyte genom Europol, Eurojust, SIS och TIS samt Prümrådsbeslutet.

När det gäller informationsutbyte genom SIS, TIS och Prümrådsbeslutet har det införts dataskyddsbestämmelser i svensk rätt. Något skäl att ändra dessa regler med anledning av dataskyddsrambeslutet finns enligt regeringens mening inte. Däremot krävs det att det i den nya lagen anges att den inte ska tillämpas på informationsutbyte som sker genom SIS eller TIS eller med stöd av Prümrådsbeslutet.

Rådsbeslutet om åtkomst till informationssystemet för viseringar (VIS), som är ett EU-informationssystem, innehåller också särskilda dataskyddsregler. Rådsbeslutet har ännu inte börjat tillämpas. Arbetet med att genomföra rådsbeslutet i svensk rätt pågår och det finns därför skäl att redan nu anpassa den nya lagen till regleringen i denna EU-rättsakt. Av skäl 9 i VIS-rådsbeslutet framgår att man tänkte sig att dataskyddsrambeslutet skulle komma att göras tillämpligt på uppgiftsutbyte med stöd av rådsbeslutet. VIS-rådsbeslutet innehåller emellertid en sådan uppsättning regler om dataskydd som åsyftas i skäl 39. De specifika regler som krävs för att genomföra den EU-rättsakten kan svårligen förenas med den generella reglering som nu föreslås. Regeringen anser därför att uppgiftsutbyte med stöd av VIS-rådsbeslutet bör undantas från den nya lagens tillämpningsområde.

Om man bortser från informationsutbytet via SIS – som enligt regeringens förslag ska undantas från lagens tillämpningsområde – finns det inte några dataskyddsbestämmelser för informationsutbyte med Europol och Eurojust utöver de generella reglerna i lagen om internationellt polisiärt samarbete och lagen om internationell rättslig hjälp i brottmål. Både Europol och Eurojust är numera EU-myndigheter. Den nya lagen bör gälla för informationsutbyte med dessa EU-organ.

Datainspektionen anser att undantagen i den nya lagen inte bör gälla generellt för informationsutbyte genom SIS, TIS etc., utan endast i den mån det finns särskilda dataskyddsbestämmelser i den reglering som avser sådant informationsutbyte. Även om en sådan lösning i teorin vore att föredra, skulle den enligt regeringens mening leda till en ännu mer komplex lagstiftning. Regleringen av nämnda informationsutbyten har byggts upp utifrån vissa särskilda dataskyddsregler som kompletteras av de vanliga dataskyddsreglerna. Ett fullgott skydd finns således redan när det gäller dessa informationsutbyten. Med hänsyn härtill och då dataskyddsrambeslutet inte ställer krav på att alla dataskyddsregler ska samlas i en och samma reglering, anser regeringen att den valda lösningen är lämpligare.

Lagrådet föreslår att bestämmelsen om undantag för informationsutbyte som regleras i tidigare antagna EU-rättsakter formuleras annorlunda än i lagrådsremissen. Regeringen delar Lagrådets uppfattning att det tydligare bör framgå att undantaget inte bara omfattar det initiala informationsutbytet utan också den efterföljande behandlingen av sådana uppgifter. Eftersom undantagen bör tillämpas även på uppgifter som en svensk myndighet överför eller gör tillgängliga bör bestämmelsen dock utformas något annorlunda än vad Lagrådet föreslår. Lagrådets förslag till skrivning angående de enskilda punkterna innebär att undantaget i fråga om visst informationsutbyte (punkterna 3 och 4) blir missvisande och att regleringen i fråga om punkt 1 snävas in på ett sätt som inte är avsett. Regeringen anser därför att Lagrådets förslag inte bör följas i denna del.

6.15. Avtal med tredjeland

Regeringens bedömning: Rambeslutets bestämmelse om förhållandet till avtal med tredjeland kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 26 ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala eller multilaterala avtal med tredje stater som förelåg när rambeslutet antogs. När sådana avtal tillämpas ska överföringen till en tredje stat av personuppgifter som har erhållits från en annan medlemsstat genomföras med respekt för innehållet i artikel 13.1 och 13.2.

Utredningen bedömer att artikeln inte kräver någon lagstiftningsåtgärd. Samma bedömning gjordes i godkännandepropositionen. Regeringen instämmer i bedömningen. Att ingen lagstiftningsåtgärd vidtas får till följd att den nya lagen ska tillämpas när det blir fråga om att föra över uppgifter som omfattas av lagen till ett tredjeland. Detta skulle visserligen i undantagsfall kunna resultera i en situation där ett äldre avtal med ett tredjeland ålägger en svensk myndighet att överföra en viss uppgift som kommer från en annan EU-stat eller ett EU-informationssystem, och där den nya lagen föreskriver att uppgiften inte får överföras på grund av att den stat varifrån uppgiften ursprungligen kommer inte medger överföring till det tredjelandet, eller på grund av att mottagaren inte anses ha en adekvat skyddsnivå. Eftersom äldre avtal sannolikt inte ger samma dataskydd som den nya lagen anser regeringen dock att det rimligt att lagen görs tillämplig i sådana situationer. Rambeslutet hindrar, som tidigare nämnts, inte en sådan lösning.

6.16. Förhållandet mellan den nya lagen och myndigheternas registerförfattningar

Regeringens förslag: Hänvisningar till den nya lagen införs i myndigheternas registerförfattningar och i berörda författningar som reglerar vissa särskilda register. Hänvisningarna klargör i förekommande fall vilken lagstiftning som har företräde.

Utredningens förslag överensstämmer delvis med regeringens. Utredningens förslag anger inte i vilken utsträckning den nya lagen har företräde framför befintliga författningar om personuppgiftsbehandling. Utredningen föreslår inte heller någon hänvisning i lagen (2000:343) om internationellt polisiärt samarbete.

Remissinstanserna: Ingen av remissinstanserna har invändningar mot utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är tillämplig på all behandling av personuppgifter, om det inte finns avvikande regler i någon annan författning. Sådana avvikande regler finns för de aktuella myndigheterna i deras respektive registerförfattningar och i vissa andra författningar som reglerar särskilda register. Den lag som nu föreslås innehåller bestämmelser som i sin tur delvis avviker från registerförfattningarna.

Det bör enligt utredningen införas hänvisningar till den nya lagen i myndigheternas registerförfattningar och i vissa av de lagar som behandlar särskilda register inom lagens tillämpningsområde. Utredningen föreslår att hänvisningar ska göras i form av rena upplysningsbestämmelser. Regeringen instämmer i utredningens bedömning av behovet av hänvisningar. Regeringen anser dock dels att hänvisningarna bör utformas på ett annat sätt än vad utredningen föreslår, dels att ytterligare hänvisningar krävs. Regeringen bedömer vidare, av de skäl som anges i avsnitt 6.14, att det inte ska göras någon hänvisning till den nya lagen i lagen om Schengens informationssystem.

Hänvisningarna i myndigheternas registerförfattningar bör utformas så att det framgår huruvida den nya lagen har företräde framför myndighetens registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från registerförfattningen. En sådan reglering underlättar för tillämparen.

Som framgår i avsnitt 6.4.1 kan undantagsvis även vissa andra myndigheter än de som primärt berörs komma att bli skyldiga att tillämpa den nya lagen. Regeringen gör bedömningen att det inte är möjligt att förutse alla de situationer i vilka en myndighet teoretiskt sett skulle kunna få uppgifter som omfattas av lagens tillämpningsområde. Så som det polisiära och straffrättsliga samarbetet inom EU är uppbyggt kommer emellertid informationsutbytet att äga rum mellan de svenska myndigheter vilkas registerförfattningar föreslås ändrade, medan de andra myndigheter som eventuellt kan komma att få uppgifter, får dem vidarebefordrade till sig från någon av de förstnämnda myndigheterna. Det märk-

ningssystem som nämns i avsnitt 6.18 kommer då att fungera som en påminnelse om att den nya lagen ska tillämpas på uppgifterna. Mot den bakgrunden finner regeringen inte skäl att föreslå hänvisningar till den nya lagen i några andra registerförfattningar för myndigheter än de som utredningen föreslagit.

I lagen (1998:621) om misstankeregister och lagen (2010:362) om polisens allmänna spaningsregister bör det införas hänvisningar som klargör att den nya lagen har företräde framför respektive registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från registerförfattningen.

Riksdagen har antagit förslagen i propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater (prop. 2011/12:163, bet. 2012/13:JuU4, rskr. 2012/13:59) att det i lagen (1998:620) om belastningsregister ska införas särskilda dataskyddsbestämmelser. Ändringarna är ett led i genomförandet av rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och uppgifternas innehåll. Eftersom dessa särbestämmelser bl.a. innehåller för denna rättsakt specifika ändamålsbestämmelser, bör de ha företräde framför bestämmelserna i den nya lagen. Detta bör framgå av hänvisningen i lagen om belastningsregister.

Lagen (2000:343) om internationellt polisiärt samarbete, som innehåller generella regler om samarbete inkluderande informationsutbyte, bör fortsätta att gälla vid sidan av den nya lagen. I 3 och 3 a §§ lagen om internationellt polisiärt samarbete finns det bestämmelser om användningsbegränsningar. Regeringens förslag till ny lag innehåller också bestämmelser om användningsbegränsningar, vilket leder till en viss överlappande reglering. Eftersom det är fråga om bestämmelser som dels till stor del är likalydande, dels är till skydd för enskildas integritet bör det enligt regeringens mening inte uppstå några tillämpningsproblem.

Hänvisningar till den nya lagen bör också införas i de myndigheters registerförfattningar som har formen av förordning och i de förordningar som reglerar behandling av personuppgifter i vissa register. Regeringen avser att genomföra dessa förordningsändringar senare.

Lagrådet anser att de bestämmelser som beskriver förhållandet mellan personuppgiftslagen och lagen om misstankeregister respektive lagen om belastningsregister bör utformas annorlunda än i lagrådsremissen och föreslår en formulering som efterliknar 2 § personuppgiftslagen. Den av

Lagrådet föreslagna formuleringen hänvisar emellertid till avvikande bestämmelser i samma lag, medan de avvikande bestämmelser i dessa fall även finns i annan lag. Den i lagrådsremissen använda formuleringen för att beskriva förhållandet mellan en registerförfattning och personuppgiftslagen förekommer dessutom i närmare 20-talet författningar och får därför anses vara vedertagen. Enligt regeringens bedömning bör därför den föreslagna hänvisningen behållas.

6.17. Ändring i offentlighets- och sekretesslagen

Regeringens förslag: I offentlighets- och sekretesslagen införs en hänvisning till den nya lagen.

Utredningen lämnar inget förslag i denna del. Remissinstanserna: Några remissinstanser, bl.a. Åklagarmyndigheten och Kammarrätten i Sundsvall, anser att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: I prop. 2008/09:16 anförde regeringen att frågan om rambeslutet kräver en mer omfattande sekretessreglering än den som gäller i dag bör analyseras vidare i det fortsatta lagstiftningsarbetet (prop. s. 39). Utredningen anser att det inte finns något skäl att ändra offentlighets- och sekretesslagen (2009:400), men anger inga skäl för denna bedömning.

Den nya lagen innebär inte någon begränsning i enskildas rätt enligt tryckfrihetsförordningen att ta del av eller använda sig av allmänna handlingar, jfr. avsnitt 6.6.4.

När det gäller frågan om en myndighets möjligheter att lämna uppgifter som omfattas av lagen till en annan myndighet är läget ett annat på grund av rambeslutets bestämmelse om villkor om användningsbegränsningar. Rambeslutets reglering om användningsbegränsningar, som föreslås införas genom en bestämmelse i den nya lagen (se avsnitt 6.7), är tvingande. I 9 kap. 2 § offentlighets- och sekretesslagen finns hänvisningar till bestämmelser som begränsar möjligheten att använda uppgifter som en svensk myndighet har fått från en annan stat. Regeringen anser, i likhet med de remissinstanser som har uttalat sig i frågan, att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.

De uppgifter som den nya lagen kommer att tillämpas på omfattas i stor utsträckning av bestämmelserna om sekretess till skydd för intresset av att förebygga eller beivra brott i 18 kap. och bestämmelserna om sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. i 35 kap. offentlighets- och sekretesslagen. Trots att sekretessbestämmelserna gäller även mellan myndigheter, kan sekretessen brytas genom sekretessbrytande bestämmelser i lag och förordning, se bl.a. 10 kap. offentlighets- och sekretesslagen. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen i 6 kap. 5 § innebär att en myndighet är skyldig att lämna en uppgift till en annan myndighet som begär det, om en sekretessbrytande bestämmelse är tillämplig på uppgiften. Den bestämmelse om användningsbegränsningar som föreslås i den nya lagen får emellertid till följd att en myndighet inte får utnyttja uppgifterna i sin verksamhet i andra fall än som anges i den lagen. Detta innebär att sekretessbrytande regler i praktiken bara torde aktualiseras när en myndighet har rätt att ta

del av uppgifterna enligt rambeslutet (jfr prop. 1990/91:131 s. 24 f. och 2011/12:163 s. 50 f.).

Hänvisningar till S6-17

  • Prop. 2012/13:73: Avsnitt 10.11

6.18. System för märkning

Regeringens bedömning: Frågan om märkning av uppgifter som överförts från eller gjorts tillgängliga av en annan stat, ett EU-organ eller ett EU-informationssystem bör inte regleras i lag eller förordning.

Utredningens bedömning överensstämmer med regeringens. Utredningen anser att en märkning av varifrån uppgifter härstammar är nödvändig, men att den frågan bör överlämnas till myndigheterna att bestämma.

Remissinstanserna: Flera remissinstanser invänder mot utredningens bedömning, däribland Ekobrottsmyndigheten och Åklagarmyndigheten.

Åklagarmyndigheten menar att frågan om hur ett system för märkning av uppgifter ska utformas och genomföras bör regleras av statsmakterna i stället för att överlåtas till berörda myndigheter. Åklagarmyndigheten framhåller vidare att märkning av uppgifter skulle kunna jämföras med det system som i dag finns för sekretessmarkering av personuppgifter. I myndighetens verksamhetssystem är det i dag möjligt att elektroniskt sekretessmarkera personuppgifter, men möjligheten att överföra en sådan sekretessmarkering till andra myndigheter är ytterst begränsad beroende på organisatoriska och tekniska hinder. En märkning av uppgifter på det sätt som föreslås i betänkandet bör enligt myndigheten vara tydlig och enhetlig för alla de myndigheter som hanterar den markerade informationen. Uppsala universitet ser det som en brist att utredningen har utelämnat en så central del som frågan om märkning. Göteborgs tingsrätt instämmer i utredningens bedömning att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig. Samtidigt anser tingsrätten att frågan om att utarbeta ett system med märkning av uppgifter inte bör lösas på myndighetsnivå, utan kräver en samordning inom rättskedjan.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Kriminalvården menar att införande av ett system för märkning i befintligt datastöd kan vara förenat med betydande tekniska svårigheter. Domstolsverket betonar vikten av att ett system för märkning har implementerats och drifttestats innan den föreslagna lagstiftningen träder i kraft. Verket förutsätter att regeringen kommer att i samråd med berörda myndigheter följa upp när så kan ske. Säkerhets- och integritetsskyddsnämnden påpekar att eftersom ett system för märkning kan komma att kräva relativt stora insatser från myndigheternas sida vad gäller samarbete över myndighetsgränserna, utbildning och anpassning av IT-system, det finns en risk att frågan inte prioriteras av myndigheterna utan författningsstöd. Mot denna bakgrund bör en författningsreglering övervägas ytterligare. Uppsala universitet instämmer i att myndigheternas möjlighet att välja tekniska lösningar inte bör begränsas, men anser att det är lämpligt att det framgår av lag eller åtminstone förordning

att ett system för märkning ska finnas som uppfyller de syften som rambeslutet avser att skydda. Det kan därefter delegeras till de aktuella myndigheterna att genomföra märkningen på lämpligt sätt.

Skälen för regeringens bedömning: För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar uppgifter som omfattas av den nya lagen är medvetna om uppgifternas ursprung och att det på grund av ursprunget kan gälla särskilda begränsningar för behandlingen.

Utredningen anser att frågan om att utarbeta ett system med märkning av uppgifter ska överlämnas till de myndigheter som utbyter uppgifterna och att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig.

Regeringen instämmer i utredningens bedömning att det, för att säkerställa att dataskyddet fungerar, kan vara lämpligt att uppgifterna förses med någon form av märkning redan i samband med att de erhålls från en annan stat eller från ett EU-organ eller EU-informationssystem. En sådan märkning skulle göra det enklare att leva upp till de krav beträffande hanteringen som ställs upp i den nya lagen. Regeringen har därför förståelse för de synpunkter rörande reglering som i denna del förs fram av

Ekobrottsmyndigheten, Åklagarmyndigheten, Uppsala universitet och Säkerhets- och integritetsskyddsnämnden. En reglering på lag- eller förordningsnivå skulle emellertid kunna innebära en onödig begränsning i myndigheternas arbete med att utveckla moderna tekniklösningar, särskilt som teknikutvecklingen och den ökade elektroniska hanteringen i sig skapar bättre förutsättningar för en praktisk och genomtänkt märkning. Mot denna bakgrund anser regeringen att frågan om hur eventuell märkning ska utformas inte bör regleras på lag- eller förordningsnivå.

Som Göteborgs tingsrätt framför är det lämpligt med en samverkan mellan berörda myndigheter när det gäller frågan om hur märkningen ska hanteras. Det finns redan i dag områden för samverkan mellan myndigheter i den pågående utvecklingen, såsom arbetet med e-förvaltning och arbetet med rättsväsendets informationsförsörjning. Det är naturligt att de myndigheter som har behov av att märka uppgifter tar om hand frågan gemensamt i ett sådant sammanhang. Regeringen ser för närvarande inget behov av att reglera frågan. Skulle det visa sig svårt för myndigheterna att samordna sig i frågan om märkning kan det närmast bli aktuellt att återkomma med uppdrag till en eller flera myndigheter att ta fram ett förslag till system för märkning.

De tekniska svårigheter som Kriminalvården och Domstolsverket befarar ska enligt regeringens mening inte överdrivas. För det första rör det sig troligen hos de flesta myndigheter om ett litet antal uppgifter. För det andra krävs det inte med nödvändighet ett nytt tekniskt system för märkningen.

6.19. Tillsyn

Regeringens bedömning: Rambeslutets regler om tillsyn kräver inga lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser berör inte frågan om tillsyn. Uppsala universitet påtalar dock behovet av att Datainspektionen tillförsäkras tillräckliga resurser och kompetens inom det aktuella området för att kunna bedriva en effektiv tillsyn.

Utkastet till lagrådsremiss behandlade inte frågan om tillsyn närmare. Remissinstanserna: Uppsala universitet vidhåller sin tidigare framförda synpunkt. Säkerhets- och integritetsskyddsnämnden påpekar att den valda lagstiftningstekniken, där avvikande bestämmelser i den föreslagna lagen ska tillämpas i stället för bestämmelserna i exempelvis polisdatalagen, leder till oklarhet om hur långt nämndens tillsynsskyldighet sträcker sig. Det framstår bl.a. som oklart om vidarebehandling är tillåten när en polismyndighet har skyldighet att bistå annan myndighet – såsom en tillsynsmyndighet – med uppgifter. Om nämnden i sin tillsyn av en uppgiftsamling uppmärksammar att uppgifter där har behandlats i strid med den föreslagna lagen synes det formellt som om felaktigheterna ligger utanför nämndens tillsynsområde enligt polisdatalagen. Det kan dock ifrågasättas om detta är en rimlig konsekvens av den föreslagna lagstiftningstekniken. Regeringen kunde likaväl ha valt att reglera frågorna i polisdatalagen. Eftersom den föreslagna lagen inte utgör någon heltäckande reglering, exempelvis när det gäller behandling av känsliga personuppgifter, kan även andra oklarheter uppstå kring gränserna för nämndens tillsynsområde när det gäller personuppgifter som omfattas av den föreslagna lagen. Det är önskvärt att denna fråga uppmärksammas i det fortsatta lagstiftningsarbetet.

Skälen för regeringens bedömning: Rambeslutet förutsätter att det ska finnas en tillsynsmyndighet i varje medlemsstat (artikel 25). Enligt artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och tillgång till alla de uppgifter som behövs för tillsynen. Vidare ska enskilda kunna vända sig till tillsynsmyndigheten med klagomål över personuppgiftsbehandlingen.

Det finns bestämmelser om tillsynsmyndighetens befogenheter i 4347 §§personuppgiftslagen (1998:204). I dessa bestämmelser föreskrivs bl.a. att tillsynsmyndigheten har rätt att för sin tillsyn få tillträde till lokaler samt tillgång till de personuppgifter som behandlas och dokumentation rörande behandlingen. Vidare finns det regler om vilka åtgärder tillsynsmyndigheten får vidta om myndigheten vid sin tillsyn finner att personuppgifter behandlas på ett felaktigt sätt. Utredningen anser att bestämmelserna i personuppgiftslagen uppfyller bestämmelserna i rambeslutet. Regeringen instämmer i denna bedömning. Regeringen avser att utse Datainspektionen till nationell tillsynsmyndighet enligt rambeslutet.

När det gäller polisen så har också Säkerhets- och integritetsskyddsnämnden ett visst tillsynsansvar. Enligt 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska nämnden bl.a. utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister. Med anledning av vad Säkerhets- och integritetsskyddsnämnden anför om oklarheter i nämndens tillsynsansvar, bör påpekas att även om en uppgift faller inom tillämpningsområdet för den nya lagen, så innehåller lagen bara kompletterande regler som på visst sätt inskränker eller preciserar möjligheterna att behandla personuppgifter. Själva behandlingen av

uppgifterna sker även när lagen är tillämplig med stöd av de grundläggande reglerna i relevant registerförfattning, t.ex. polisdatalagen. Visserligen införs i polisdatalagen en bestämmelse som anger att i den mån den nya lagen innehåller bestämmelser som avviker från polisdatalagen, ska bestämmelserna i den nya lagen tillämpas i stället för bestämmelserna i polisdatalagen (se avsnitt 6.16). Hänvisningen innebär dock inte att Säkerhets- och integritetsskyddsnämndens tillsynsansvar enligt polisdatalagen faller bort. Det ingår alltså i nämndens tillsynsansvar att påpeka om nämnden vid sin granskning finner att bestämmelserna i den nya lagen borde ha, men inte har, iakttagits. Myndigheternas skyldighet att bistå nämnden med handlingar framgår av lagen om tillsyn över viss brottsbekämpande verksamhet. I den nya lagen regleras varken tillsynsmyndigheternas uppgifter eller deras rätt att få tillgång till handlingar. Sammanfattningsvis är den nya lagen alltså inte avsedd att innebära någon förändring i tillsynen över den personuppgiftsbehandling som förekommer vid berörda myndigheter. Frågan om huruvida Säkerhets- och integritetsskyddsnämndens tillsynsansvar bör vara utformat på annat sätt än i dag finns det inte möjlighet att behandla inom ramen för detta lagstiftningsärende.

Regeringen återkommer till frågan om Datainspektionens resurser i avsnitt 9.

7. Kompletterande lagstiftning med anledning av Europolrådsbeslutet

7.1. Något om Europol och dess verksamhet

Europol är medlemsstaternas i EU gemensamma polisbyrå. Europol arbetar med behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen. Syftet med Europol är att öka effektiviteten hos de nationella myndigheterna och förbättra deras inbördes samarbete i den brottsförebyggande och brottsbekämpande verksamheten.

Europols behörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder. Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Dessa tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Uppgifterna sammanställs och bearbetas av Europol samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som genom detta får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Euro-

pol medlemsstaterna med rådgivning och specialkunskaper vid utredningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsstaterna.

I varje medlemsstat finns det en nationell enhet som är förbindelselänk mellan Europol och medlemsstatens myndigheter. I Sverige är Rikspolisstyrelsen nationell enhet. Den nationella enheten har till huvudsaklig uppgift att förse Europol med uppgifter som ska tillföras Europols olika dataregister från de nationella polisregistren eller motsvarande. De nationella enheterna tar emot uppgifter som kommer från Europol och vidarebefordrar dem till behörig svensk myndighet och vidarebefordrar svenska myndighetens förfrågningar till Europol. Personalen som arbetar vid den nationella enheten är anställd av Rikspolisstyrelsen. Offentlighets- och sekretesslagen är tillämplig när den nationella enhetens personal hanterar uppgifter.

Europols verksamhet byggde tidigare på Europolkonventionen. Konventionen öppnades för undertecknande år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömningen att tillträdet till konventionen endast i mycket begränsad omfattning krävde lagändringar. Såvitt gällde konventionens bestämmelser om tystnadsplikt konstaterades dock att det fanns ett område där sekretess och tystnadsplikt rådde enligt Europolkonventionens bestämmelser och där Sverige hade åtagit sig att lagföra brott mot bestämmelserna som om de vore inhemska regler, men där motsvarande svenska regler om sekretess och tystnadsplikt saknades, nämligen Europolanställdas befattning med hemliga uppgifter. Regeringen angav i propositionen att denna fråga borde lösas i annat sammanhang, eftersom den hade vidare räckvidd än Europolkonventionen och rymde komplicerade rättsfrågor (prop. 1996/97:164 s. 53).

7.2. Europolrådsbeslutet

Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolrådsbeslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informationsbehandling och dataskydd.

En konsekvens av att Europol numera är en EU-myndighet är att Europols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom förordning, enligt det ordinarie lagstiftningsförfarandet inom EU. Av övergångsbestämmelserna till Lissabonfördraget följer emellertid att rättsakter som antagits före ikraftträdandet av Lissabonfördraget ska bestå så länge de inte upphävs, ogiltigförklaras eller ändras med tillämpning av EG- eller EU-fördragen (protokoll om övergångsbestämmelser, EUT C 306, 17.12.2007, s. 159). Rådsbeslutet om Europol kommer alltså att gälla till dess att nya rättsakter om Europol tas fram.

I propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol), prop. 2008/09:14, fann regeringen att änd-

ringen av den rättsliga grunden för Europol inte i sig krävde några lagändringar, men att vissa hänvisningar till Europolkonventionen och de olika tilläggsprotokollen i lag eller förordning behövde ändras. Dessa ändringar har genomförts. Beträffande frågan om Europolanställdas befattning med hemliga uppgifter angavs att den behövde övervägas i det fortsatta lagstiftningsarbetet (prop. s. 39).

Europol leds av en styrelse bestående av representanter från alla medlemsstater och kommissionen (artikel 37 Europolrådsbeslutet). Den dagliga verksamheten leds av en direktör, som assisteras av tre biträdande direktörer (artikel 38).

Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkontoret finns personal som är direkt anställd av Europol (Europolanställda). Det är fråga om experter och analytiker inom olika områden som exempelvis kriminalunderrättelse- och analysverksamhet. De Europolanställda bearbetar och analyserar bl.a. den information som kommer in till Europol från medlemsstaterna och från andra källor. De Europolanställda lyder under de EU-bestämmelser som gäller för anställda vid EU:s institutioner, däribland reglerna om tystnadsplikt.

Vid Europols huvudkontor arbetar också särskilda sambandsmän som är utsända från medlemsstaterna. Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols anställda i bl.a. analysarbetet. Sambandsmännen är inte anställda av Europol utan av myndigheter i respektive medlemsstat. De är utsända att arbeta vid Europol inom ramen för sina anställningar i medlemsstaten. Vid arbetet för Europol lyder de under sin medlemsstats nationella enhet och under medlemsstatens nationella lagstiftning (artikel 9.1 Europolrådsbeslutet). Sverige har för närvarande tre sambandsmän vid Europol, två från polisen och en från Tullverket. Eftersom de är offentliganställda är offentlighets- och sekretesslagen tillämplig vid deras hantering av uppgifter.

7.3. Tystnadsplikt inom EU

7.3.1. Allmänt om tystnadsplikten

Tjänstemän som är anställda av Europol och andra EU-organ lyder under EU:s särskilda bestämmelser, bl.a. EU:s allmänna tjänsteföreskrifter som föreskriver tystnadsplikt. Undantag gäller i vissa situationer där Europolanställda verkar både inom och utanför Europa (t.ex. i s.k. gemensamma utredningsgrupper enligt lagen [2003:1174] om vissa former av internationellt samarbete i brottsutredningar).

I artikel 339 i fördraget om Europeiska unionens funktionssätt (EUT C 83, 30.3.2010, s. 193, EUF-fördraget) finns en allmän bestämmelse om att unionens tjänstemän och befattningshavare, även efter det att deras uppdrag upphört, är skyldiga att inte avslöja upplysningar som omfattas av tystnadsplikt, särskilt uppgifter om företag, deras affärsförbindelser eller deras kostnadsförhållanden.

Den allmänna bestämmelsen i EUF-fördraget kompletteras genom regler i de särskilda tjänsteföreskrifterna för de olika EU-institutionerna.

Tjänsteföreskrifterna innehåller bestämmelser om att en tjänsteman inte utan tillstånd får lämna ut information som han eller hon fått tillgång till i tjänsten, och att detta gäller även efter det att han eller hon har lämnat tjänsten. Beträffande Europol gäller EU:s tjänsteföreskrifter för tjänstemännen i Europeiska gemenskapen och anställningsvillkor för övriga anställda inom Europeiska gemenskaperna i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (14) och de bestämmelser som har antagits för tillämpningen av tjänsteföreskrifterna och anställningsvillkoren (artikel 39 Europolrådsbeslutet). Enligt dessa föreskrifter får en tjänsteman inte utan tillstånd lämna ut information som han fått tillgång till i tjänsten, om inte denna information redan har offentliggjorts eller är tillgänglig för allmänheten. Skyldigheten kvarstår även efter det att tjänstemannen har lämnat tjänsten (artikel 17 i tjänsteföreskrifterna och artikel 11 i anställningsvillkoren).

7.3.2. Tystnadsplikt i Europol

Det finns en särskild bestämmelse om tystnadsplikt i Europolrådsbeslutet. Enligt artikel 41.2 får de som arbetar för Europol inte till obehöriga personer sprida information om sakförhållanden eller upplysningar som de får kännedom om i sin tjänsteutövning eller vid utövandet av verksamheten. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekretesskrav. Denna bestämmelse skiljer sig från bestämmelserna om tystnadsplikt i tjänsteföreskrifterna och anställningsvillkoren i och med att den inte gör något undantag för information som redan har offentliggjorts eller är tillgänglig för allmänheten. Tystnadsplikten kvarstår även efter det att tjänsten, anställningsavtalet eller verksamheten har avslutats. När tystnadsplikt föreligger för en anställd eller annars verksam person ska Europol meddela detta särskilt. I samband med ett sådant meddelande, som ska vara skriftligt, ska Europol påpeka de rättsliga följderna om tystnadsplikten bryts. Bestämmelsen har överförts med i princip oförändrat innehåll från artikel 32 i Europolkonventionen.

Enligt artikel 41.4 i Europolrådsbeslutet ska varje medlemsstat behandla alla överträdelser av tystnadsplikten som överträdelser av skyldigheter i medlemsstatens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Bestämmelsen motsvarar artikel 32.4 i Europolkonventionen.

7.3.3. Sanktioner inom EU

Om en EU-rättslig tystnadsplikt åsidosätts kan enligt EU:s tjänsteföreskrifter disciplinära åtgärder i form av varning, degradering, avstängning från tjänsten, avskedande m.m. vidtas gentemot tjänstemän som är anställda av gemenskapen. Några straffrättsliga påföljder för åsidosättande av tystnadsplikt finns inte inom EU-rätten. Från gemenskapens sida förväntas i stället att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

7.4. Den svenska regleringen av frågor om tystnadsplikt

7.4.1. Yttrandefrihet

Rätten till yttrandefrihet slås fast i 2 kap. 1 § första stycket 1 regeringsformen som föreskriver att var och en gentemot det allmänna är tillförsäkrad frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor.

Enligt 2 kap. 20 § regeringsformen får yttrandefriheten begränsas bara genom lag eller, när det gäller tystnadsplikt för offentliga funktionärer, efter bemyndigande i lag. Detta innebär att föreskrifter om tystnadsplikt måste vara föreskrivna i lag eller föreskrifter som meddelas på lägre nivå efter bemyndigande av riksdagen. I 2 kap.2125 §§regeringsformen anges under vilka förutsättningar fri- och rättigheterna får begränsas. När det gäller yttrandefriheten får denna begränsas med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskildas anseende, privatlivets helgd eller förebyggandet och beivrandet av brott. Yttrandefriheten får i övrigt även begränsas i näringsverksamhet samt om särskilt viktiga skäl föranleder det. En begränsning får dock inte sträcka sig längre än vad som är nödvändigt med hänsyn till det ändamål som den avser att tillgodose och får aldrig gå så långt att den utgör ett hot mot den fria åsiktsbildningen. I det nu aktuella fallet är grunden för att begränsa yttrandefriheten främst förebyggande och beivrande av brott.

Den lag som framför allt innehåller begränsningar avseende yttrandefriheten är offentlighets- och sekretesslagen (2009:400). Uppgifter som omfattas av sekretess enligt den lagen får inte röjas eller utnyttjas, vare sig muntligen eller skriftligen. Lagen reglerar således också tystnadsplikt beträffande de områden som omfattas av lagen. Det finns även regler om tystnadsplikt i vissa andra lagar. Det finns särskilda regler om tystnadsplikt för bl.a. präster, advokater och personal inom den privata hälso- och sjukvården. Regler om tystnadsplikt finns också i bl.a. rättegångsbalken.

I 44 kap. offentlighets- och sekretesslagen regleras i vilken mån tystnadsplikter, som följer av bestämmelser i andra författningar än den lagen, inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen.

Principen om meddelarfrihet, som är fastslagen i 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen är av grundläggande betydelse för frågan om straffansvar med anledning av brott mot tystnadsplikt. Bestämmelserna om meddelarfrihet slår fast att var och en är tillförsäkrad rätten att till bl.a. författare och andra upphovsmän, redaktioner och nyhetsbyråer lämna uppgifter i vilket ämne som helst för offentliggörande i tryckta skrifter, radio- och tv-program, filmer m.m. Meddelarfriheten innebär att meddelaren inte bär något straffansvar för dessa uppgifter. Det är i stället den ansvariga utgivaren som i första hand bär ansvaret för det fall ett tryck- eller yttrandefrihetsbrott begås (s.k. ensamansvar). Meddelarfriheten innebär en rätt för dem som är offentligt anställda att i publiceringssyfte straffritt lämna uppgifter som är sekretessbelagda. Meddelarfriheten är förenad med en rätt till anonymitet. Den kompletteras av de s.k. efterforsknings- och repressalie-

förbuden. Dessa förbjuder myndigheter och andra offentliga organ att efterforska de uppgiftslämnare som har valt att vara anonyma och att vidta åtgärder som medför negativa konsekvenser för sådana personer med anledning av att de har utnyttjat sin meddelarfrihet.

Meddelarfriheten är dock inte absolut. Av offentlighets- och sekretesslagen framgår i vilken utsträckning sekretessen inskränker meddelarfriheten. Sekretessregleringen medger således i vissa fall att sekretessbelagda uppgifter lämnas ut för publicering i ett medium som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen medan den i andra fall, helt eller delvis, inskränker meddelarfriheten för uppgifter i den offentliga verksamheten. Denna reglering har direkt betydelse för tillämpningen av straffbestämmelsen om brott mot tystnadsplikten, eftersom den påverkar i vilken mån den enskilde är skyldig att hemlighålla uppgifterna.

7.4.2. Straffansvar enligt brottsbalken

Brott mot tystnadsplikt är straffbelagt i 20 kap. 3 § brottsbalken. Om någon röjer eller utnyttjar en uppgift i strid med sin tystnadsplikt kan han eller hon dömas till böter eller fängelse i högst ett år för brott mot tystnadsplikt. I ringa fall ska straff inte dömas ut. Om brottet begås av oaktsamhet är straffet böter.

Bestämmelserna i 20 kap. 3 § brottsbalken är den centrala straffrättsliga regleringen av överträdelser mot författningsreglerade tystnadsplikter. Regleringen innebär en inskränkning i både yttrandefriheten och rätten att få ta del av allmänna handlingar. De bestämmelser om tystnadsplikt och sekretess som straffbudet sanktionerar utgör undantag från de konstitutionella huvudregler som sammanfattas med begreppen yttrandefrihet och offentlighet. Straffansvaret är utformat så att det balanserar dessa två intressen mot intresset av att begränsa kännedomen om vissa förhållanden.

Tystnadsplikten måste, som nyss nämnts, ha stöd i lag eller annan författning eller gälla enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning för att brott mot den ska kunna läggas till grund för ansvar enligt 20 kap. 3 § brottsbalken. Bestämmelser om tystnadsplikt i lag som gör straffbestämmelsen tillämplig finns, som nyss nämnts, framför allt i offentlighets- och sekretesslagen.

I propositionen Lagstiftning med anledning av Sveriges anslutning till Europeiska atomenergigemenskapen konstaterade regeringen att straffbestämmelsen i 20 kap. 3 § brottsbalken inte kan anses omfatta gemenskapsrättsliga tystnadsplikter (prop. 1994/95:118 s. 11 f.). I det lagstiftningsärendet ansågs någon ändring av bestämmelsen inte behöva göras eftersom de gemenskapsrättsliga tystnadsplikterna hade sin motsvarighet i den då gällande sekretesslagens föreskrifter.

7.5. En ny lag om tystnadsplikt

Regeringens förslag: En ny lag om tystnadsplikt för anställda vid

Europeiska polisbyrån (Europol) införs. Enligt lagen får den som är eller har varit verksam vid Europol inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av sin verksamhet där. I fråga om den som fått del av sådana uppgifter inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen tillämpas.

Utredningens förslag överensstämmer i huvudsak med regeringens.

Utredningens förslag omfattar dock endast svenska medborgare som är eller har varit anställda vid Europol. Utredningen föreslår inte någon regel om den nya lagens förhållande till offentlighets- och sekretesslagen (2009:400).

Remissinstanserna: Flertalet remissinstanser kommenterar inte förslaget.

Svea hovrätt anser att en ny lag är att föredra framför ändringar i 20 kap. 3 § brottsbalken. Hovrätten ifrågasätter dock om det är lämpligt att bestämmelsen utformas så att den endast omfattar svenska medborgare, eftersom frågan om jurisdiktion normalt regleras genom bestämmelserna i 2 kap. brottsbalken och det är tveksamt om en sådan begränsning är förenlig med artikel 41 i Europolrådsbeslutet. Ekobrottsmyndigheten lämnar liknande synpunkter. Lunds universitet påpekar att det av lagförslaget inte framgår huruvida en f.d. svensk Europolanställd som efter tjänstgöringen har blivit medborgare i annan stat omfattas av bestämmelserna.

Tidningsutgivarna invänder att ett resultat av den nya lagen är att en svensk tjänsteman vid Europol har en längre gående tystnadsplikt och mer inskränkt meddelarfrihet än en person som är utsänd av Sverige.

Detta kan i förlängningen innebära att två tjänstemän som varit verksamma vid Europol under samma tid och som spridit samma uppgifter i strid mot tystnadsplikten kan lagföras på olika sätt beroende på sin tidigare anställningsform. Svenska journalistförbundet har inget att invända mot förslaget, under förutsättning att inga förändringar genomförs i meddelarfriheten.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: De flesta av remissinstanserna uttalar sig inte i denna del. Tullverket delar regeringens bedömning när det gäller lagens benämning. Journalistförbundet framför att förbundet inte har något att invända mot utkastet till lagrådsremiss då det inte innebär några principiella förändringar jämfört med utredningens förslag.

Skälen för regeringens förslag

Behovet av en särskild reglering

Regeringen fann i propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol) att Sverige får anses leva upp till de krav på tystnadsplikt som ställs i rådsbeslutet vad gäller

offentligt anställda i Sverige vid deras befattning med uppgifter från Europol, liksom de svenska Europolsambandsmännens befattning med sådana uppgifter (prop. 2008/09:14 s. 39). Regeringen gör inte nu någon annan bedömning.

Vad gäller den personal som är anställd av Europol är situationen emellertid en annan. För att straffbestämmelsen om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken ska kunna tillämpas krävs att tystnadsplikten har stöd i lag eller annan författning, eller i förordnande eller förbehåll meddelat med stöd av lag eller annan författning. Kravet är en följd av att tystnadsplikt utgör en begränsning av den grundlagsfästa yttrandefriheten. Av bestämmelserna i regeringsformen följer att sådana begränsningar endast får göras genom lag eller, i vissa fall, efter bemyndigande i lag (2 kap. 1 § första stycket 1 och 20 § samt 8 kap. 2 § första stycket 2, 3 § och 19 §regeringsformen). De regler i Europolrådsbeslutet som föreskriver tystnadsplikt kan alltså inte läggas till grund för en tilllämpning av 20 kap. 3 § brottsbalken. Tystnadsplikten för anställda vid Europol måste också ha täckning i en svensk reglering.

En sådan reglering är offentlighets- och sekretesslagen. Denna gäller för svenska myndigheter och för personer som för det allmännas räkning deltar i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller annan liknande grund. Rätten att ta del av allmänna handlingar och reglerna om meddelarskydd gäller också hos vissa privaträttsliga organ som finns angivna i bilagan till offentlighets- och sekretesslagen samt för aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser i vilka kommuner, landsting eller kommunalförbund har ett rättsligt bestämmande inflytande (2 kap. 3 § och 13 kap. 2 §offentlighets- och sekretesslagen). Lagen är, som tidigare nämnts, tillämplig på svenska sambandsmän som tjänstgör vid Europol. Tjänstemän som är anställda av Europol omfattas däremot inte av regleringen i offentlighets- och sekretesslagen.

Några andra svenska regler om tystnadsplikt som täcker tjänstemän som är anställda av Europol finns inte. Regeringen delar därför utredningens bedömning att det finns behov av en särskild reglering av tystnadsplikt för Europolanställda för att svensk rätt ska uppfylla rådsbeslutets krav.

Eftersom bestämmelsen i 20 kap. 3 § brottsbalken innehåller fängelse i straffskalan krävs att föreskriften om tystnadsplikt är grundad på lag eller på ett i lag lämnat bemyndigande (8 kap. 3 § regeringsformen). I likhet med utredningen anser därför regeringen att frågan om tystnadsplikt för anställda vid Europol bör regleras i lag. Eftersom det fåtal regler som finns i svensk lagstiftning om Europol är spridda på flera författningar och det inte finns någon befintlig lag där en bestämmelse om tystnadsplikt för nu aktuell kategori lämpligen kan placeras bör en ny lag införas.

Den nya lagens tillämpningsområde

I artikel 41.4 i rådsbeslutet anges att medlemsstaterna ska behandla ”alla överträdelser” av den tystnadsplikt som föreskrivs i artikeln, som överträdelser av skyldigheter i statens egen lagstiftning om t.ex. tystnadsplikt. Utredningen anser att det inte är rimligt att i svensk lagstiftning reglera överträdelse av tystnadsplikt begången av exempelvis en spansk med-

borgare bosatt i Bryssel. Utredningen begränsar därför den föreslagna lagen till att omfatta svenska medborgare. Svea hovrätt och Ekobrottsmyndigheten ifrågasätter om en sådan begränsning är förenlig med rådsbeslutet. Svea hovrätt framhåller vidare att frågor om jurisdiktion normalt hanteras genom bestämmelserna i 2 kap. brottsbalken.

Enligt rådsbeslutet ska medlemsstaterna behandla alla överträdelser av tystnadsplikten som överträdelser av statens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Någon begränsning i straffbarheten till gärningar som begås av svenska medborgare finns inte i den svenska lagstiftningen om tystnadsplikt. Regeringen anser att det inte heller i detta sammanhang finns skäl att begränsa tystnadsplikten till att gälla enbart svenska medborgare. Om en utländsk Europoltjänsteman obehörigen åsidosätter sin tystnadsplikt enligt den föreslagna lagen, kommer det alltså att utgöra ett brott mot svensk lag oavsett vilket medborgarskap gärningsmannen har. Frågan om ett brott mot tystnadsplikten som begås av en person med medborgarskap i annat land än Sverige kan bestraffas enligt svensk lag vid svensk domstol bör i stället avgöras utifrån den generella regleringen av domsrättsfrågor i 2 kap. brottsbalken. Det innebär normalt, för sådana brott mot tystnadsplikten som begås utomlands, att svensk domsrätt enligt 2 kap. 2 § brottsbalken kommer att finnas om brottet begås av en svensk medborgare eller av en utlänning som befinner sig i riket. Som ett ytterligare krav gäller också att gärningen ska vara straffbar även på gärningsorten (dubbel straffbarhet).

Utredningen föreslår vidare att den nya lagen endast ska omfatta anställda vid Europol. Av rådsbeslutet följer emellertid att straffansvaret ska omfatta ledamöterna i styrelsen, direktören, de biträdande direktörerna, Europols anställda och sambandsmännen. Dessutom ska det omfatta varje annan person som uttryckligen har ålagts diskretions- och tystnadsplikt enligt artikel 41. Utgångspunkten bör därför vara att inte bara de anställda vid Europol, till vilka också direktören och de biträdande direktörerna räknas, utan även ledamot i Europols styrelse uttryckligen ska omfattas av den nya lagen. Regleringen bör också omfatta uppdragstagare och andra som av Europol har ålagts tystnadsplikt enligt artikel 41. Däremot saknas det anledning att låta de svenska sambandsmännen omfattas av tillämpningsområdet för den nya lagen. Skälet till detta är att dessa omfattas av reglerna om tystnadsplikt i offentlighets- och sekretesslagen, vilket bör gälla även i fortsättningen. Detsamma bör gälla andra personer som inom ramen för anställning eller uppdrag hos en svensk myndighet får del av sådana uppgifter som avses med den nya bestämmelsen. Genom regleringen i offentlighets- och sekretesslagen uppfyller Sverige redan rådsbeslutets krav på straffbarhet när det gäller dem.

För enkelhetens skull kallas de kategorier som regeringen föreslår ska omfattas av den nya lagens tillämpningsområde i fortsättningen för Europolanställda.

Den föreslagna lagen bör föreskriva förbud mot att obehörigen röja eller utnyttja uppgifter som erhållits på grund av verksamhet vid Europol. Att tystnadsplikten endast föreslås omfatta röjande som sker obehörigen, ger utrymme för sådant behörigt utlämnande av uppgifter som arbetet vid Europol kräver. Detta utrymme torde i allt väsentligt motsvara det utrymme som ges i de sekretessbrytande bestämmelserna i offentlighets-

och sekretesslagen och innebär enligt regeringens bedömning att tystnadsplikten är i huvudsak densamma för Europolanställda som för utsända svenska sambandsmän.

Som utredningen föreslår bör tystnadsplikt enligt den nya lagen gälla både under tiden den berörda personens verksamhet vid Europol pågår och efter det att verksamheten har upphört. Huruvida brottet mot tystnadsplikten begås av en f.d. svensk Europolanställd som har blivit medborgare i annan stat, dvs. den situation som Lunds universitet refererar till, saknar betydelse för frågan om ett brott mot svensk lag begåtts. Det nya medborgarskapet kan däremot få betydelse för frågan om svensk domsrätt.

När uppgifter som omfattas av sekretess eller tystnadsplikt lämnas ut i strid med sekretessen eller tystnadsplikten, dvs. utan att det finns stöd för utlämnandet i sekretessbrytande bestämmelser, kan frågan om meddelarfrihet också aktualiseras, beroende på vem uppgifterna lämnas till. Meddelarfriheten innebär, som tidigare nämnts, en rätt att lämna uppgifter – som huvudregel även sekretessbelagda sådana – för offentliggörande i massmedia utan att kunna straffas för det. Det kompletterande meddelarskyddet, bl.a. efterforsknings- och repressalieförbuden, ska tillämpas av det allmänna, dvs. myndigheter och andra offentliga organ, i förhållande till enskilda. Detta innebär att alla som är offentligt anställda omfattas av meddelarskydd gentemot sin arbetsgivare. Genom särskilda regler i offentlighets- och sekretesslagen omfattas även anställda i vissa privaträttsliga organ på samma sätt av meddelarskydd. Övriga anställda har inte detta skydd.

Tidningsutgivarna invänder att den nya lagen strider mot grundläggande svenska rättsprinciper i och med att en svensk tjänsteman anställd vid Europol har en längre gående tystnadsplikt och en mer inskränkt meddelarfrihet än en person som är utsänd som svensk sambandsman.

Innebörden av förslaget är att de som arbetar vid Europol kommer att ha olika möjligheter att utan negativa följder meddela sig med media beroende på vilken arbetsgivare de har. Reglerna om ensamansvar, dvs. att ansvaret för en publicering ligger hos en enda person, ger skydd åt den som lämnar meddelanden för publicering gentemot svenska myndigheter och allmänna organ. Reglerna om meddelarskydd är dock inte tilllämpliga på en svensk som har anställning i ett annat land. Han eller hon kan således inte åberopa de svenska reglerna om meddelarskydd gentemot sin utländska arbetsgivare. Exempelvis gäller inte något efterforsknings- och repressalieförbud. I detta avseende är det, såsom Tidningsutgivarna påpekar, en skillnad mellan de svenskar som är utsända att arbeta som sambandsmän vid Europol och de som är anställda av Europol. Skillnaderna är dock inte unika för Europol. Motsvarande gäller i alla situationer där svenska medborgare tar anställning i annat land. Regeringen finner därför ingen anledning att vidta någon åtgärd med anledning av Tidningsutgivarnas invändning.

Lagrådet anser att regleringen avseende personer som har tystnadsplikt enligt offentlighets- och sekretesslagen bör formuleras på annat sätt än i lagrådsremissen, för att tydliggöra att regleringen inte avser enskild respektive offentlig verksamhet. Regeringen delar Lagrådets uppfattning att bestämmelsen bör utformas så att den i stället knyter an till den tystnadsplikt som följer av tjänstgöringen eller uppdraget. Bestämmelsen bör

dock utformas på ett något annorlunda sätt än vad Lagrådet föreslår, så att den träffar den som inom ramen för anställning eller uppdrag hos en svensk myndighet har fått del av uppgifter som är hemliga hos Europol.

Lagens benämning

Utredningen föreslår att den nya lagen ska benämnas ”Lag om Europolanställdas befattning med hemliga uppgifter”. Mot bakgrund av att hemliga uppgifter i säkerhetsskyddslagen (1996:627) getts en särskild definition – som inte sammanfaller med de uppgifter som kan vara aktuella i Europol – anser regeringen att en annan benämning på den nya lagen bör väljas. Regeringens bedömning, som delas av Tullverket, är att den nya lagen bör benämnas ”Lag om tystnadsplikt för anställda vid Europeiska polisbyrån”.

Hänvisningar till S7-5

  • Prop. 2012/13:73: Avsnitt 10.2

8. Ikraftträdande och övergångsbestämmelser

8.1. Ikraftträdande

Regeringens förslag: De nya lagarna och ändringarna i befintliga lagar ska träda i kraft den 1 juli 2013.

Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att de nya lagarna och lagändringarna ska träda i kraft samtidigt som polisdatalagen, dvs. den 1 mars 2012.

Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Enligt artikel 29.1 i dataskyddsrambeslutet ska medlemsstaterna vidta de åtgärder som är nödvändiga för att följa bestämmelserna i rambeslutet före den 27 november 2010. Europolrådsbeslutet tillämpas från den 1 januari 2010 (artikel 64.2).

Bestämmelserna i dataskyddsrambeslutet motsvarade till övervägande del gällande rätt i Sverige när rambeslutet trädde i kraft. Den ytterligare lagstiftning som föreslås nu i syfte att förstärka skyddet vid behandling av personuppgifter som överförts över gränserna som ett led i polisiärt och straffrättsligt samarbete bör enligt regeringens mening träda i kraft så snart som möjligt. Detsamma gäller föreslagna följdändringar och den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån.

8.2. Övergångsbestämmelser

Regeringens förslag: Den nya lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete ska inte tillämpas på uppgifter som överförts eller gjorts tillgängliga före ikraftträdandet.

Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare EU-rättsakter ska gälla i stället för den föreslagna lagen om användningsbegränsningar.

Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen anser att det föreslagna undantaget i övergångsbestämmelserna är alltför generellt och ifrågasätter om det är förenligt med rambeslutet.

Skälen för regeringens förslag: I fråga om vissa typer av lagstiftning är utgångspunkten att de gäller i sin helhet vid ikraftträdandet. Utredningen berör inte frågan om den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska kunna tillämpas på uppgifter som har överförts eller gjorts tillgängliga redan innan lagen trätt i kraft.

Utredningen föreslår däremot en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare beslutade EU-rättsakter ska gälla i stället för den föreslagna lagen om användningsbegränsningar. Den frågan behandlar regeringen i avsnitt 6.14.

Lagens syfte, förstärkt dataskydd, kan sägas tala för att den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska tillämpas omedelbart, dvs. även på uppgifter som har överförts före lagens ikraftträdande. Praktiska skäl talar emellertid med styrka mot en sådan tillämpning. Regeringen föreslår därför att lagen ska tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft. Datainspektionen ifrågasätter om en sådan lösning är förenlig med rambeslutet.

Regeringen gör följande bedömning. Det kan vara förenat med betydande svårigheter att identifiera alla uppgifter som kan ha överförts tidigare, eftersom de redan kan ha sammanblandats med andra uppgifter. Dessutom måste man då klarlägga när de överfördes eller gjordes tillgängliga och för vilka ändamål. Vidare kan uppgifterna redan ha använts på ett sätt som inte i alla detaljer överensstämmer med rambeslutets krav. Syftet med rambeslutet är att förstärka det framtida dataskyddet som en motvikt till det ökade informationsutbytet, vilket inte innebär att tidigare överförda uppgifter saknar dataskydd. Regeringen anser därför att den föreslagna lösningen är väl förenlig med rambeslutet.

Lagrådet anser att den föreslagna övergångsbestämmelsen bör utgå och menar att tillämpningsproblem av det slag regeringen redovisar inte är något unikt för den aktuella lagen. Lagrådet framhåller att den nya lagen åtminstone bör kunna tillämpas i de fall där uppgifternas ursprung och karaktär står klar. Regeringen har respekt för Lagrådets synsätt och

instämmer i att dataskyddet naturligtvis så långt det är möjligt ska tillgodoses. Enligt regeringens mening får det dock inte råda oklarhet i fråga om vilka uppgifter som omfattas av den nya lagen. Även om både ursprunget och bakgrunden till överföringen av en äldre uppgift i vissa fall är känd, kan det vara svårt att i efterhand klarlägga för vilket eller vilka närmare ändamål uppgiften överfördes. Före lagens tillkomst har det sällan funnits anledning att diskutera den frågan närmare eller dokumentera detta. På motsvarande sätt kan det vara svårt att i efterhand få ett sådant medgivande som krävs för att en uppgift ska få föras vidare till exempelvis ett tredjeland eller enskild. En retroaktiv tillämpning av lagen väcker dessutom frågan hur långt tillbaka i tiden regleringen sträcker sig. Ju äldre uppgiften är desto svårare blir det för både myndigheter och tillsynsorgan att avgöra om uppgiften behandlas i enlighet med lagen. Av dessa skäl anser regeringen att lagen bör tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft.

Den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån innehåller en straffbestämmelse. Förslaget innebär en kriminalisering av något som tidigare inte varit straffbelagt. Enligt 5 § andra stycket lagen (1964:163) om införande av brottsbalken ska straff bestämmas efter den lag som gällde när gärningen företogs. Gäller annan lag när dom meddelas ska den lagen, enligt samma lagrum, tillämpas om den leder till frihet från straff eller till lindrigare straff. Bestämmelsen anses generellt tilllämplig vid ändringar i strafflagstiftningen och nykriminalisering och innebär att i valet mellan äldre och ny lag ska den lag väljas som för den tilltalade är minst ingripande. Några särskilda övergångsbestämmelser behövs därför inte till den nu aktuella lagen.

Övriga lagändringar kräver inga övergångsbestämmelser.

9. Konsekvenserna av förslagen

Regeringens bedömning: De eventuella merkostnader som förslagen kan ge upphov till kan finansieras inom befintliga anslag.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det övervägande antalet remissinstanser yttrar sig inte i fråga om ekonomiska konsekvenser av utredningens förslag.

Ekobrottsmyndigheten anser dock att bedömningen av hur omfattande kostnaderna för framtagande av ett system för märkning kommer att bli kräver en närmare analys av hur märkningen kan genomföras. Att införa ett sådant system kräver både tid och resurser. Det är viktigt att kravet på märkningssystem, både i omfattning och i tid, överensstämmer med vad som är möjligt för myndigheterna att realisera. Att märkningen dessutom bör följa med från myndighet till myndighet medför att systemet blir än mer komplicerat. Kriminalvården framför liknande synpunkter. Kronofogdemyndigheten anser att det utan fördjupade analyser av förslagets effekter inte är möjligt att fullt ut bedöma de tekniska anpassningar av datastödet som märkningen kräver. Om märkningen av uppgifter inte går

att genomföra inom ramen för befintligt datastöd, kommer det dock att krävas ett omfattande utvecklingsarbete vars kostnadsmässiga konsekvenser uppskattas till ca 1,7–4,3 miljoner kr. Kronofogdemyndigheten bedömer, i motsats till utredningen, att den kostnaden inte ryms inom befintliga budgetramar. Uppsala universitet påpekar, mot bakgrund av den svåröverskådliga reglering som numera gäller för internationellt samarbete och informationsutbyte inom rättsväsendet och de ofta mycket känsliga och integritetskränkande uppgifter som aktualiseras, att förutsättningarna för Datainspektionen att bedriva en effektiv tillsyn är av central betydelse. Frågan om Datainspektionen har tillräckliga resurser och kompetens inom det aktuella området för att faktiskt kunna bedriva en effektiv tillsyn har inte berörts.

Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Kriminalvården och Uppsala universitet vid- håller sina i tidigare remissyttranden redovisade synpunkter. Domstolsverket delar inte bedömningen att anpassningskostnaderna för ett märkningssystem bör bli begränsade mot bakgrund av att det totalt sett kommer att röra sig om en mindre mängd uppgifter som överförs i enlighet med den nya lagstiftningen och menar att det står klart att det kommer att bli nödvändigt med ett resurstillskott för verkets utvecklingsverksamhet.

Kronofogdemyndigheten framhåller att utvecklingskostnaden torde vara oberoende av om det är en större eller mindre mängd uppgifter som ska hanteras i det nya systemet.

Skälen för regeringens bedömning: Genomförandet av återstående delar av dataskyddsrambeslutet innebär inte någon utökning av informationsutbytet. Rambeslutet och de föreslagna författningsändringarna påverkar ändå alla myndigheter vars verksamhet helt eller delvis innefattar brottsbekämpning, lagföring eller verkställighet av påföljder. Även om myndigheterna i fråga utbyter information över gränserna i olika stor utsträckning, kräver dataskyddsrambeslutet att det vid alla myndigheter ska vara möjligt att särbehandla sådana uppgifter som omfattas av de nya reglerna. De föreslagna författningsändringarna förutsätter således någon form av märkning. Det är dock inte nödvändigt att skapa några nya datasystem för detta ändamål. Några kostnader för nya databaser behöver därför inte beräknas. En märkning av elektroniska uppgifter kan dock, beroende på hur den utformas, kräva viss anpassning av befintliga register och databaser. Eftersom det endast handlar om sådana uppgifter som skickas över gränserna, rör det sig totalt sett om en mindre mängd uppgifter. Beroende på mängden uppgifter som hos en myndighet omfattas av den nya lagen, kan det inte ens uteslutas att märkningen kan ske manuellt. Anpassningskostnaderna bör därför bli begränsade. Merparten av kostnaderna kan förväntas uppstå i samband med den initiala tekniska översynen och vid eventuell anpassning av befintliga system. Farhågorna som Kriminalvården och Kronofogdemyndigheten hyser bör därför inte överdrivas. Utgångspunkten är således, trots vad Domstolsverket och

Kronofogdemyndigheten anför, att kostnaderna kan hanteras inom ramen för befintlig budget.

Dataskyddsrambeslutet och de föreslagna författningsändringarna innebär, som nyss nämnts, inte i sig något utökat informationsutbyte hos de berörda myndigheterna. Av samma skäl torde inte Datainspektionens

tillsynsuppgifter öka. Några kostnader för ökad arbetsbelastning som

Uppsala universitet befarar torde därför inte uppkomma hos myndigheterna.

Genomförandet av återstående delar av Europolrådsbeslutet bedöms inte leda till några kostnadsökningar.

Inte heller i övrigt kommer enligt regeringens mening förslagen att få några konsekvenser som bör redovisas här.

10. Författningskommentar

10.1. Förslaget till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Lagens syfte

Rubriken har utformats i enlighet med Lagrådets förslag.

1 §

Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den

27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

Lagen är ny. Genom lagen genomförs de sista delarna av rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Lagen innehåller framförallt bestämmelser om tillåtna ändamål för vidarebehandling och villkor om användningsbegränsningar samt särskilda bestämmelser om överföring av uppgifter till enskilda, till tredjeland och till internationella organ.

I paragrafen upplyses om att lagen genomför dataskyddsrambeslutet.

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §

.

Paragrafen, som genomför artikel 1.2 a–c i rambeslutet, innehåller bestämmelser om vilka uppgifter som lagen ska tillämpas på. Den reglerar

tillsammans med 3 och 4 §§ lagens tillämpningsområde. Paragrafen behandlas i avsnitt 6.4.1.

Med personuppgifter avses här detsamma som i 3 § personuppgiftslagen (1998:204), dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling avses också detsamma som i 3 § personuppgiftslagen, dvs. varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Det kan röra sig om t.ex. registrering, organisering, lagring, bearbetning, utlämnande och förstöring.

Första stycket, som utformats i enlighet med Lagrådets synpunkter, anger att lagen gäller vid behandling av sådana personuppgifter som överförs inom ramen för polissamarbete eller straffrättsligt samarbete och behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Vidare anges varifrån uppgifterna ska härröra eller vart de ska skickas för att lagen ska vara tillämplig. Lagen är tilllämplig på uppgifter som en svensk myndighet erhåller från eller skickar till en annan EU-medlemsstat (punkt 1) eller Island, Norge, Schweiz eller

Liechtenstein (punkt 2). Enligt rambeslutet ska det vidare tillämpas på uppgifter från och till EU-organ eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen. Detta innebär att även uppgifter som en svensk myndighet erhåller från eller skickar till ett EU-organ, t.ex. Europol, eller ett EU-informationssystem som avser polissamarbete eller straffrättsligt samarbete, t.ex. Europol Information System (EIS), omfattas av lagen. En slagning i EIS som resulterar i personuppgifter omfattas alltså av lagens tillämpningsområde. Det sagda gäller dock bara när uppgifterna behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller verkställa straffrättsliga påföljder. Begreppen ”överförs” och ”görs tillgängliga” används i dataskyddsrambeslutet och innebörden av begreppen ska förstås utifrån rambeslutets syfte och sammanhang.

Lagen ska tillämpas bl.a. på uppgifter som polisen får från polismyndigheter i andra stater eller från Europol. Som exempel kan nämnas uppgifter om misstänkta brottslingar som tillhandahålls av en polismyndighet i en annan EU-stat. Lagen är också tillämplig exempelvis på uppgifter som Tullverket mottar vid europeiskt samarbete mot gränsöverskridande brottslighet, såsom tips om en misstänkt narkotikakurir eller sådan information om en kontrollerad leverans av narkotika som innefattar personuppgifter. Lagen är vidare tillämplig när en svensk brottsbekämpande myndighet begärt personinformation från en motsvarande europeisk myndighet. Lagen ska också tillämpas på personuppgifter i en framställning från en myndighet i en annan medlemsstat om förhör i Sverige med en viss utpekad person.

Lagen reglerar även vidarebehandling av uppgifter som erhållits för det primära syftet att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller verkställa straffrättsliga påföljder. Det innebär att lagen även kommer att kunna påverka i vilken utsträckning uppgifter som omfattas av lagens tillämpningsområde kan användas för annan polisiär verksamhet än brottsbekämpning och för administrativa

förfaranden med anknytning till brottsbekämpning, t.ex. indragning av körkort. Behandling för historiska, statistiska och vetenskapliga ändamål är ett annat exempel på vidarebehandling. Dessa frågor behandlas närmare i kommentaren till 5 §.

Visst informationsutbyte undantas genom bestämmelser i 4 §. Som framgår av 3 § omfattar regleringen bara sådan behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i register.

Det andra stycket anger att när svenska myndigheter gör tillgängliga eller överför sådana personuppgifter som omfattas av lagens tillämpningsområde till en annan EU-stat eller annan mottagare som anges i lagen, gäller endast bestämmelserna i 3och 9 §§, med de begränsningar som följer av 4 §. Som exempel kan nämnas att en svensk polisman sänder över personuppgifter som underlag för ett förhör som på svensk begäran ska hållas i en annan medlemsstat, eller när en svensk åklagare sänder personuppgifter i syfte att en tjänsteman i en annan stat ska kunna bedöma om man kan ta över lagföringen för ett visst brott. Ett annat exempel är att Kriminalvården begär att en annan stat som omfattas av rambeslutet ska ta över verkställigheten av ett straff som har utdömts i Sverige. Stycket har utformats med beaktande av Lagrådets synpunkter.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen, som genomför artikel 1.3 i rambeslutet, preciserar vilka personuppgifter som omfattas av lagen. Paragrafen kommenteras i avsnitt 6.4.1.

Paragrafen, som är utformad efter mönster av 5 § personuppgiftslagen (1998:204), har samma innebörd som den paragrafen. Lagen gäller således framförallt sådana personuppgifter som behandlas helt eller delvis automatiserat. Det avgörande är om uppgifterna behandlas helt eller delvis automatiserat hos svenska myndigheter. Numera är automatiserad behandling oftast elektronisk. Om uppgifterna överförs eller görs tillgängliga i elektronisk form ska lagen således tillämpas. Det innebär exempelvis att uppgifter som lämnas i ett e-postmeddelande eller som vidarebefordras som bilaga i ett sådant meddelande faller under tillämpningsområdet. Även uppgifter i annan form, t.ex. uppgifter i pappersform, omfattas av lagens tillämpningsområde, under förutsättning att uppgifterna hos den svenska myndigheten ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen är också tillämplig på uppgifter som överförs i pappersform men som därefter behandlas elektroniskt.

4

§ Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.

Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom

1. informationsutbyte som hänför sig till Schengens informationssystem (SIS),

2. informationsutbyte genom Tullinformationssystemet (TIS),

3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller

4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.

Paragrafen, som genomför artikel 1.4 och artikel 28 i rambeslutet, reglerar undantag från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 6.4.2 och 6.14.

I det första stycket, som utformats enligt Lagrådets förslag, undantas från lagens tillämpningsområde sådan behandling av personuppgifter som rör nationell säkerhet. Undantaget för nationell säkerhet omfattar dels underrättelseverksamhet, dels brottsutredande verksamhet och lagföring av sådana brott som kan anses hota nationell säkerhet samt verkställighet av påföljder för sådana brott.

Med nationell säkerhet avses här framför allt verksamhet till skydd för rikets säkerhet, men också exempelvis terrorismbekämpning och personskydd för framför allt centrala statsledningen. Även bekämpning av andra brott där uppgifter om nationell säkerhet ingår kan omfattas av undantaget.

Undantaget har framförallt betydelse för Säkerhetspolisen, vars nuvarande verksamhet i allt väsentligt faller utanför lagens tillämpningsområde. Även andra myndigheter kan dock träffas av undantaget. Som exempel kan nämnas viss verksamhet vid åklagarkammaren för säkerhetsmål. Även andra åklagare kan komma att beröras av undantaget vid hantering av en förundersökning eller annan åklagarfråga där uppgifter om nationell säkerhet ingår. Likaså kan undantaget vara tillämpligt när en domstol handlägger bl.a. mål om brott mot rikets säkerhet eller tvångsmedelsfrågor med sådan anknytning. Det är således inte vissa myndigheter som undantas utan viss verksamhet.

I andra stycket undantas från lagens tillämpningsområde sådant informationsutbyte som hänför sig till Schengens informationssystem (SIS) eller sker genom Tullinformationssystemet (TIS) eller med stöd av Prümrådsbeslutet. Nu nämnda informationsutbyten regleras i stället i andra författningar. Undantaget för Schengens informationssystem omfattar, förutom de uppgifter som registreras i SIS, även s.k. tilläggsinformation enligt 12 § lagen (2000:344) om Schengens informationssystem. Undantag görs också för brottsbekämpande myndigheters åtkomst till VIS med stöd av VIS-rådsbeslutet.

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att

1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

3. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.

Paragrafen, som genomför artikel 11 a–d i rambeslutet, anger för vilka ändamål en svensk myndighet får vidarebehandla uppgifter som omfattas av lagen. Den kommenteras i avsnitt 6.6.2. Paragrafen har utformats i enlighet med Lagrådets förslag.

En självklar utgångspunkt i lagen är att personuppgifter alltid får behandlas för det ändamål för vilket de ursprungligen överfördes eller gjordes tillgängliga. För att frågan om vidarebehandling, vilket denna paragraf reglerar, över huvud taget ska aktualiseras måste självfallet behandlingen i fråga vara nödvändig och tillåten enligt den svenska lagstiftningen om personuppgiftsbehandling. Eventuell vidarebehandling får inte heller strida mot villkor enligt 8 §.

Av första stycket framgår att vidarebehandling alltid är tillåten – utöver för det ändamål för vilket personuppgifterna ursprungligen överfördes eller gjordes tillgängliga – för vissa andra i paragrafen angivna ändamål.

Första stycket första punkten ger generell möjlighet att behandla personuppgifter som omfattas av lagen i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, i andra fall än det för vilka uppgifterna överfördes eller gjordes tillgängliga. Härigenom skapas bl.a. förutsättningar för att använda överförda uppgifter för i princip all brottsbekämpande verksamhet. För åklagarväsendets del innebär regleringen att uppgifter får användas för förundersökning och lagföring beträffande andra brott. Kriminalvården och andra myndigheter som verkställer påföljder får använda uppgifterna för verkställighet av andra påföljder. Det sagda gäller dock inte om den som översänt eller gjort uppgifterna tillgängliga i ett enskilt fall har ställt som villkor att användningen av uppgifterna begränsas på visst sätt, se kommentaren till 8 §.

Första stycket andra punkten ger möjlighet att behandla personuppgifter som omfattas av lagen i syfte att fatta beslut och vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Punkten kan vara tillämplig exempelvis vid handläggning av frågor om disciplinansvar, körkortsåterkallelse, kontakt- eller tillträdesförbud och indragning av legitimation som grundas på sådana uppgifter om brott eller brottslig verksamhet som överförts eller gjorts tillgängliga med stöd av rambeslutet.

Första stycket tredje punkten ger även möjlighet att behandla personuppgifter i syfte att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Exempel på situationer som kan föranleda behandling med stöd av denna punkt är omedelbar och allvarlig fara för allmän säkerhet som uppkommer i samband med kapning av flygplan eller andra kommunikationsmedel eller vid vissa idrottsevenemang av högriskkaraktär.

I andra stycket anges att vidarebehandling av personuppgifter som omfattas av lagen får ske också för andra ändamål, under förutsättning att

den som överfört eller gjort uppgifterna tillgängliga lämnar sitt medgivande till den nya behandlingen. Detsamma gäller om den enskilde själv samtycker till behandlingen. Om den överförande staten inte har varit villig att ge sitt medgivande, ligger det dock nära till hands att avstå från den nya behandlingen även om den enskilde skulle samtycka till den. Den som överfört uppgifterna kan ju nämligen ha verksamhetsskäl för att inte acceptera vidarebehandling.

I tredje stycket anges att det alltid är tillåtet att behandla personuppgifter för historiska, vetenskapliga och statistiska ändamål.

Den aktuella paragrafen utgör den yttre ramen för vidarebehandling av uppgifter som omfattas av lagens tillämpningsområde. Om det i annan lagstiftning finns avvikande bestämmelser som inskränker möjligheterna till behandling ska även de beaktas.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om

1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2. överföringen är nödvändig för att

a) myndigheten ska kunna fullgöra en författningsreglerad uppgift,

b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

d) förhindra att enskildas rättigheter allvarligt kränks, och

3. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs.

Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Paragrafen, som genomför artikel 14 i rambeslutet, innehåller särskilda bestämmelser som måste iakttas om uppgifter som omfattas av lagen ska överföras till enskild. Paragrafen, som har utformats med beaktande av

Lagrådets synpunkter, behandlas i avsnitt 6.13.

Regleringen i paragrafen hindrar inte ett utlämnande av allmänna handlingar enligt tryckfrihetsförordningen (se avsnitt 6.6.4). Jfr också 8 § personuppgiftslagen.

Enligt första stycket får överföring till enskild bara ske om de i punkt 1–3 angivna förutsättningarna samtidigt är uppfyllda. Punkterna 2 a–d är alternativa. Med enskild avses här t.ex. enskilda personer och företag, i motsats till myndigheter och andra offentliga organ. Som exempel på när andra punkten a kan vara tillämplig kan nämnas en författningsreglerad underrättelseskyldighet. Ett exempel på när det kan vara nödvändigt att lämna uppgifter enligt andra punkten c är om det finns uppgifter om förestående allvarliga störningar i samhällslivet som har samband med brott eller andra särskilda händelser som kan vålla omfattande ordningsstörningar. Andra punkten d kan vara tillämplig t.ex. om det är nödvändigt att varna banker eller kreditinstitut för förekomsten av förfalskade sedlar eller värdepapper. Ett annat exempel på tillåten överföring enligt denna punkt är när uppgifter om fordonsstölder lämnas till försäkringsbolag för att förhindra olaglig handel över gränserna med stulna motorfor-

don eller för att kunna återföra stulna motorfordon från utlandet. Den tredje punkten innebär att den som vill överföra uppgifter måste försäkra sig om att en sådan överföring inte hindras av några berättigade intressen hos den som uppgifterna rör. Om det skulle ligga i den enskildes eget intresse att uppgifterna överförs, exempelvis för att ett brottsoffer ska kunna återfå egendom, bör en överföring alltid kunna ske, även om det inte finns ett formellt samtycke från honom eller henne.

I andra stycket, som återspeglar skäl 17 och 18 i rambeslutet, finns ett viktigt undantag. Begränsningarna i första stycket gäller inte vid överföring av uppgifter till enskilda vid handläggningen av brottmål. Bestämmelsen begränsar således inte möjligheterna för bl.a. parter, målsägandeombud och offentliga försvarare att få del av uppgifter i samband med förundersökning och åtal. Regleringen hindrar inte heller att exempelvis Kriminalvården vidarebefordrar uppgifter till enskilda i enlighet med den lagstiftning som gäller för behandling i häkte. Eftersom sådant utlämnande ofta sker i pappersform används här formuleringen lämnas i stället för överförs.

Överföring av personuppgifter till tredjeland eller internationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1–4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om

1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

3. mottagaren har ansvar för sådan verksamhet som anges i 2, och

4. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.

Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.

Paragrafen, som genomför artikel 13.1–3, anger vilka särskilda regler som måste iakttas om uppgifter som omfattas av lagen ska överföras till tredjeland eller ett internationellt organ. Paragrafen behandlas i avsnitt 6.12. Paragrafen har utformats med beaktande av Lagrådets synpunkter.

Av första stycket framgår att uppgifter som omfattas av lagen får överföras till eller göras tillgängliga för, förutom dem som anges i 2 § första stycket 1–4, tredjeland och internationella organ. Överföring till tredje-

land eller internationella organ får dock endast ske om de i punkterna 1–4 i denna paragraf angivna förutsättningarna samtidigt är uppfyllda.

En grundläggande förutsättning, som anges i den första punkten, är att den som från början överförde eller gjorde uppgifterna tillgängliga medger att överföring sker. Kravet i andra punkten innebär en generell begränsning av de ändamål för vilka personuppgifter som omfattas av lagen får skickas vidare till tredjeland och internationella organ. Överföringen av uppgifterna måste vara nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott eller verkställa straffrättsliga påföljder.

Den tredje punkten innebär en begränsning av vilka utländska mottagare som kan få del av personuppgifter som omfattas av lagen. Mottagaren behöver inte ha samma uppgifter som den svenska myndighet som överför uppgifterna eller gör dem tillgängliga. Det finns således inget som hindrar att exempelvis en svensk åklagare lämnar uppgifter till en utländsk polismyndighet eller en utländsk domstol. När det gäller internationella organ är det framför allt Interpol som är av intresse. Även vissa utredningsorgan under FN torde kunna ha sådana uppgifter som anges i punkt 2 och därmed omfattas av förevarande punkt.

Enligt fjärde punkten krävs slutligen att den stat där den myndighet eller det internationella organ finns som ska ta emot personuppgifterna har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen. Bedömningen av om mottagaren har en adekvat skyddsnivå får avgöras med hänsyn till samtliga omständigheter. Särskild hänsyn bör tas till uppgifternas art, den avsedda behandlingen och dess ändamål och varaktighet, vem mottagaren är och vilken lagstiftning som gäller för mottagaren. Hänsyn kan även tas till de säkerhetsbestämmelser som finns och eventuella etiska regler för behandlingen. Generellt sett torde bl.a. Interpol och utredningsorgan under FN uppfylla kraven. Bestämmelsen har viss motsvarighet i 35 § personuppgiftslagen (1998:204).

I andra stycket finns en ventil som ger möjlighet att göra undantag från kravet på adekvat skyddsnivå. Enligt detta stycke får i ett enskilt fall personuppgifter överföras trots att en adekvat skyddsnivå inte kunnat fastställas, om ett berättigat intresse hos den som uppgifterna avser eller ett viktigt allmänt intresse föranleder det, eller om mottagaren i det tredjelandet eller det internationella organet i det enskilda fallet garanterar tillräckliga skyddsåtgärder för personuppgifterna. Exempel på skyddsåtgärder är bl.a. åtagande att inte sprida uppgifterna vidare eller att gallra uppgifterna vid viss tidpunkt.

Om det på grund av tidsbrist inte är möjligt i förväg inhämta medgivande från den som överfört uppgifterna till Sverige finns det enligt tredje stycket möjlighet att överföra personuppgifter utan medgivande. För att detta ska vara tillåtet krävs dock att åtgärden är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige eller utomlands eller för att tillgodose andra väsentliga intressen för Sverige eller en annan medlemsstat i EU. Möjligheten att överföra uppgifter utan medgivande i förväg ska betraktas som en nödlösning. En konkret och akut risk för terrorattentat eller flygplanskapning kan vara exempel på situationer där det kan vara nödvändigt att utnyttja denna möjlighet. Ett annat exempel kan vara en plötslig omdestinering av ett större parti narkotika.

Villkor om användningsbegränsningar Villkor som ställs upp av andra stater eller EU-organ

8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Det som sägs i första stycket hindrar inte att uppgifter

behandlas efter ut-

gången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

I första stycket, som tillsammans med 9 § genomför artikel 12 i rambeslutet, anges vad som gäller om en svensk myndighet erhållit uppgifter som omfattas av lagen och överföringen eller tillgängliggörandet förenats med villkor för användningen av uppgifterna. Paragrafen behandlas i avsnitt 6.7.1.

Om den som överfört eller gjort uppgifter tillgängliga har ställt upp särskilda villkor för hur en viss uppgift får behandlas, t.ex. för vilka ändamål detta får ske, när uppgiften tidigast får användas eller hur länge uppgiften får bevaras, ska enligt paragrafen villkoren följas av svenska myndigheter. Detta gäller oavsett vad som annars är föreskrivet i lag eller annan författning. Förundersökningsplikten och åtalsplikten kan alltså få vika för ett villkor om användningsbegränsning. Som Lagrådet påpekar avses med ”svenska myndigheter” också domstolar. Ett begränsande villkor följer med uppgiften om den lämnas vidare till en annan myndighet (se prop. 1990/91:131 s. 15 f. och JO 2007/08 s. 57 f.). Bestämmelser om användningsbegränsningar med likartad innebörd finns bl.a. i 3 § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål.

Enligt andra stycket får under vissa förutsättningar uppgifterna användas, trots att de skulle ha gallrats enligt meddelade villkor om gallringsfrist. Undantaget omfattar bara uppgifter som behövs för en redan påbörjad utredning eller för pågående beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga

9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1–4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Paragrafen genomför tillsammans med 8 § artikel 12 i rambeslutet. Paragrafen behandlas i avsnitt 6.7.2.

Enligt paragrafen åligger det den svenska myndighet som överför personuppgifter till någon av dem som anges i 2 § första stycket 1–4 att underrätta mottagaren om de särskilda villkor som gäller för användning-

en av uppgifterna. Sådana villkor får inte innebära andra begränsningar än de som gäller för överföring inom Sverige. Andra villkor än sådana som hade kunnat ställas upp gentemot en svensk mottagare, t.ex. med hänsyn till sekretess, får alltså inte ställas upp gentemot den utländska mottagaren. Ett villkor får inte heller innebära strängare krav på gallring än vad som kunnat ställas gentemot en svensk mottagare.

Som exempel på när det kan vara aktuellt att ange villkor kan nämnas att användningen av uppgifterna kan påverka en pågående svensk förundersökning som är i ett känsligt utredningsskede. Då kan det finnas skäl att ange villkor om hur och när uppgifterna får användas för att skydda den svenska brottsutredningen; jfr 18 kap. 1 § offentlighets- och sekretesslagen (2009:400). Ett annat exempel är att det är fråga om uppgifter för vilka det gäller sekretess enligt svensk rätt och vilkas röjande skulle kunna innebära skada för enskild. I sådana fall kan villkor ställas upp för att skydda den till vars förmån sekretessen gäller. Ytterligare ett exempel är att uppgifterna har inhämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Om sådana uppgifter överlämnas finns det skäl att ställa villkor om att materialet ska förstöras när det rättsliga förfarandet är avslutat i den andra staten, eftersom sådant material enligt svenska regler ska förstöras när domen vunnit laga kraft.

Även sådana särskilda begränsningar som föranleds av en internationell överenskommelse som är bindande för Sverige kan aktualisera villkor. Som exempel kan nämnas att det är fråga om uppgifter som en svensk myndighet har fått från en annan stat med villkor om begränsningar för användningen. Om den svenska myndigheten med ursprungsstatens medgivande sänder uppgifterna vidare till tredjeland framstår det som självklart att den svenska myndigheten måste ange motsvarande villkor för den nya mottagarens användning.

Bestämmelser av likartat slag finns bl.a. i 3 a § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål.

Övriga bestämmelser

Rubriken har utformats i enlighet med Lagrådets förslag.

10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.

Paragrafen, som genomför artikel 19.2 i rambeslutet, behandlas i avsnitt 6.10.1. I paragrafen föreskrivs att bestämmelsen om jämkning i 48 § andra stycket personuppgiftslagen (1998:204) inte gäller för uppgifter som överförts till eller gjorts tillgängliga för svenska myndigheter med stöd av förevarande lag.

I fråga om uppgifter som behandlas av svenska myndigheter och som därefter överförs till t.ex. en annan medlemsstat – och som således varken har erhållits från ett EU-organ, en annan medlemsstat eller någon annan med tillämpning av rambeslutet – gäller dock personuppgiftsla-

gens jämkningsregel som vid annan nationell behandling (se 2 § andra stycket).

11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.

Paragrafen upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om skyddet av personuppgifter som omfattas av lagen. Sådana föreskrifter kan avse exempelvis gallringsbestämmelser (jfr avsnitt 6.7.2). Paragrafen har utformats i enlighet med Lagrådets förslag.

Hänvisningar till S10-1

10.2. Förslaget till lag om tystnadsplikt för anställda vid Europeiska polisbyrån

1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.

I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.

Lagen är ny. Den behandlas i avsnitt 7.5.

Lagens tillämpningsområde, som anges i paragrafens första stycke, omfattar vissa personer verksamma vid Europol. Lagen gäller både för personer som fortfarande tjänstgör vid Europol och personer vilkas tjänstgöring har upphört. En förutsättning för att lagen ska vara tillämplig är att personen i fråga har ålagts tystnadsplikt enligt artikel 41.2 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolrådsbeslutet. Tystnadsplikt kan åläggas de som är anställda vid Europol. Det kan vara fråga bl.a. om direktören och de biträdande direktörerna och andra anställda i Europol. Tystnadsplikt kan också åläggas ledamöter i styrelsen för Europol. Även andra personer kan åläggas tystnadsplikt enligt nämnda artikel. Externa konsulter är exempel på sådana andra personer. Rådsbeslutet förutsätter att den som åläggs tystnadsplikt skriftligen informeras om detta.

Lagen förbjuder bara sådant uppgiftslämnande som sker obehörigen. Uppgiftslämnande som utgör ett led i arbetet vid Europol omfattas således inte av förbudet. Som obehörigt röjande anses inte heller att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Om utlämnandet av en motsvarande uppgift skulle stå i överensstämmelse med regleringen i offentlighets- och sekretesslagen (2009:400), om uppgiften lämnades av en offentliganställd, får uppgiftslämnandet anses vara behörigt vid tillämpningen av denna lag. Rådsbeslutet undantar även ”sakförhållanden eller upplysning som är för obetydlig för att omfattas av sekretesskrav”. Detta kan närmast jämföras med uppgifter som antingen är allmänt kända eller vilkas röjande inte skulle anses innebära

något men i offentlighets- och sekretesslagens mening. Det kan således inte anses vara obehörigt att röja sådana uppgifter.

Röjande av uppgifter i strid med tystnadsplikten enligt denna lag bestraffas som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Reglerna om jurisdiktion i 2 kap. brottsbalken avgör möjligheterna att vid svensk domstol lagföra en person som begått brott mot förevarande lag. En person som är verksam vid Europol som sambandsman utsänd av en svensk myndighet har också tystnadsplikt enligt nyss nämnda artikel i Europolrådsbeslutet. Eftersom sådana sambandsmän är offentligt anställda i Sverige regleras deras tystnadsplikt inte i den nu aktuella lagen utan i offentlighets- och sekretesslagen vilket framgår av andra stycket, som har utformats med beaktande av Lagrådets synpunkter. Andra stycket upplyser vidare om att offentlighets- och sekretesslagen också gäller i fråga om den som inom ramen för ett uppdrag för en svensk myndighet har fått del av uppgifter som anges i första stycket.

Hänvisningar till S10-2

10.3. Förslaget till lag om ändring i lagen (1998:620) om belastningsregister

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a § Denna lag gäller utöver personuppgiftslagen (1998:204) .

Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller utöver personuppgiftslagen (1998:204).

1 b § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) . Detta gäller dock inte vid behandling av uppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kriminalregistret och uppgifternas innehåll. Bestämmelsen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behandling.

Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid

polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen. Ett generellt undantag görs dock för behandling av personuppgifter som härrör från uppgiftsutbyte med stöd av rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Regleringen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, som undantar möjligheten att jämka skadeståndsersättning, ska dock tillämpas även på sådan behandling.

Hänvisningar till S10-3

10.4. Förslaget till lag om ändring i lagen (1998:621) om misstankeregister

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a § Denna lag gäller utöver personuppgiftslagen (1998:204) .

Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller utöver personuppgiftslagen (1998:204).

1 b § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets förslag. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i

personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen.

Hänvisningar till S10-4

10.5. Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

1 a § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.6. Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

1 b § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte

behandling av personuppgifter som utbyts eller har utbytts

med stöd av rådets

beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.

Paragrafen, som behandlar förhållandet till andra bestämmelser om personuppgiftsbehandling, är ny. Den kommenteras i avsnitt 6.16. Paragrafen har utformats i enlighet med Lagrådets förslag.

Första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

Första meningen i andra stycket klargör att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i förordningen till denna lag, ska bestämmelserna i den nya lagen tillämpas. Av sista meningen i stycket framgår att detta dock inte gäller uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet).

Hänvisningar till S10-6

10.7. Förslaget till ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem

4 §

När det gäller framställningar som rör personer får endast följande uppgifter registreras:

1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,

2. särskilda bestående fysiska kännetecken,

3. fotografier och fingeravtryck,

4. födelsedatum och födelseort,

5. kön,

6. medborgarskap,

7. om personen kan vara beväpnad eller kan tillgripa våld,

8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,

9. syftet med framställningen, 10. begärd åtgärd, 11. om en försvunnen person behöver omhändertas eller inte, 12. den myndighet som har lagt in registreringen, 13. en hänvisning till det beslut som har föranlett registreringen, 14. typ av brott som avses i framställningen, samt 15. övriga uppgifter som ska anges i en europeisk eller nordisk arresteringsorder.

Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.

Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1–6 samt uppgifter om nummer och datum för personens identitetshandlingar.

I paragrafens första stycke punkten 11 har av förbiseende ett stavfel uppkommit under tidigare lagstiftningsarbete. Ändringen består i att detta fel rättas till. I övrigt är paragrafen oförändrad.

10.8. Förslaget till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

1 kap.

3 a § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Paragrafen är ny. Den behandlas i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen.

Exempel på verksamhet hos Kronofogdemyndigheten där bestämmelserna i den nya lagen kan behöva tillämpas är myndighetens uppgifter enligt lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen. Ett annat exempel är myndighetens uppgifter inom ramen för bl.a. tillsyn över näringsförbud; jfr 24 § tredje stycket lagen (1986:436) om näringsförbud.

10.9. Förslaget till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

2 a § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.10. Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

1 a § I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.

I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen reglerar förhållandet till andra bestämmelser om personuppgiftsbehandling. Ändringen kommenteras i avsnitt 6.16.

Sista meningen i första stycket har brutits ut och placerats i ett nytt tredje stycke. I övrigt är första stycket oförändrat.

Det andra stycket är nytt och innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

Det tredje stycket är också nytt, men motsvarar delvis den tidigare sista meningen i första stycket. Regleringen omfattar nu även lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att i den utsträckning det i de i första eller andra stycket angivna lagarna, eller i föreskrifter som regeringen har meddelat i anslutning till dessa, finns bestämmelser om personuppgiftsbehandling som saknar motsvarighet i eller som avviker från vad som föreskrivs i förevarande lag, ska den andra författningens bestämmelser tillämpas i stället.

7 § Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden.

Paragrafen reglerar de primära ändamålen för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Ändringarna kommenteras i avsnitt 6.4.1 och 6.6.5.

I förtydligande syfte har ordet ”förebygga” lagts till i den första punkten. Härigenom uppnås likformighet med hur motsvarande bestämmelser för andra brottsbekämpande myndigheter är utformade. Tillägget innebär att det görs tydligt att Tullverket får behandla personuppgifter i sin underrättelseverksamhet och annan verksamhet för att förebygga brott och brottslig verksamhet.

Den andra punkten är oförändrad. I den tredje punkten har förtydligats att Tullverket generellt får behandla personuppgifter i sin brottsbekämpande verksamhet i den utsträckning som krävs för att fullgöra internationella åtaganden.

Behandling av uppgifter som rör internationella åtaganden

15 § Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.

Paragrafen reglerar behandling av personuppgifter för att fullgöra internationella åtaganden.

Det första stycket är oförändrat. I paragrafens andra stycke har en följdändring gjorts med anledning av att regleringen i 7 § 3 angående internationellt samarbete har gjorts generell. Ändringen kommenteras i avsnitt 6.6.5.

19 § Om förutsättningarna för behandling enligt 1, 7, 8 och 11–18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:

1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,

4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

5. uppgifter om särskilda fysiska kännetecken,

6. uppgifter om varor, brottshjälpmedel och transportmedel,

7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

9. administrativa åtgärder i ett ärende, 10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,

11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt

12. upplysningar som avses i 16 §. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.

Paragrafen reglerar vilka uppgifter som får behandlas i tullbrottsdatabasen. Ändringen är en följdändring till ändringen i 7 § 3.

I första stycket punkten 10 har hänvisningen till lagen om internationellt tullsamarbete ändrats till en generell bestämmelse som anger att uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra sina internationella förpliktelser får behandlas i databasen. Ändringen kommenteras i avsnitt 6.6.5. Vidare har språket moderniserats.

Både det andra och tredje stycket är oförändrade.

21 § Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid sökning

1. i ett visst ärende eller en viss handling,

2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller

3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.

Paragrafen reglerar villkor för sökning. Ändringen hör samman med ändringen i 7 § 3. Det första stycket är oförändrat.

I andra stycket har ytterligare ett undantag från bestämmelserna i första stycket gjorts (punkten 3). Undantaget innebär att sådana sökningar som krävs för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden får göras utan den begränsning som anges i första stycket. Stycket har också omarbetats redaktionellt. Ändringen kommenteras i avsnitt 6.6.5.

Hänvisningar till S10-10

10.11. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

9 kap.

2 § Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2. lagen (2000:343) om internationellt polisiärt samarbete,

3. lagen (2000:344) om Schengens informationssystem,

4. lagen (2000:562) om internationell rättslig hjälp i brottmål,

5. lagen (2000:1219) om internationellt tullsamarbete,

6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,

8. lagen (1998:620) om belastningsregister,

9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och

10. lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

I paragrafen räknas upp bestämmelser som begränsar svenska myndigheters rätt att fritt använda uppgifter som de fått från utlandet.

Paragrafen kompletteras med en ny punkt 10, vilken hänvisar till lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att det tydliggörs att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns även i nämnda lag.

Ändringen behandlas i avsnitt 6.17.

Hänvisningar till S10-11

10.12. Förslaget till lag om ändring i polisdatalagen (2010:361)

1 kap.

2 b § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.13. Förslaget till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

2 a § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204) .

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.14. Förslaget till lag om ändring i kustbevakningsdatalagen (2012:145)

1 kap.

2 a § I lagen ( 2013:000 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen är ny. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas.

I 1 kap. 4 § och 3 kap. 6 §kustbevakningsdatalagen definieras och anges vissa begrepp som rör hanteringen av personuppgifter (”gemensamt tillgängliga” och ”får lämnas till”) som skiljer sig åt i förhållande till 2 § förslaget till den nya lagen (”har överförts” och ”gjorts tillgängliga”). De begrepp som föreslås i den nya lagen påverkar inte tillämpningen av begreppen i kustbevakningsdatalagen.

iii

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

rÄttsakter som antagits i enlighet med avdelning vi i

fÖrdraget om europeiska unionen

RÅDETS RAMBESLUT 2008/977/RIF

av den 27 november 2008

om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt

samarbete

europeiska unionens rÅd har antagit detta beslut

med beaktande av fördraget om Europeiska unionen, särskilt

artiklarna 30, 31 och artikel 34.2 b,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1), och

av följande skäl:

HQI

Europeiska unionen har som mål att bevara och utveckla

unionen som ett område med frihet, säkerhet och rättvisa

inom vilket en hög säkerhetsnivå ska uppnås genom

gemensamma insatser från medlemsstaternas sida när

det gäller polissamarbete och straffrättsligt samarbete.

HRI

Gemensamma insatser på polissamarbetets område i en­

lighet med artikel 30.1 b i fördraget om Europeiska uni­

onen och gemensamma insatser rörande straffrättsligt

samarbete i enlighet med artikel 31.1 a i samma fördrag

innebär att det blir nödvändigt att behandla relevant in­

formation, vilket bör omfattas av lämpliga bestämmelser

om skydd av personuppgifter.

HSI

Lagstiftning som omfattas av avdelning VI i fördraget om

Europeiska unionen syftar till att främja polissamarbete

och rättsligt samarbete med avseende på såväl samarbe­

tets effektivitet som dess lagenlighet och överensstäm­

melse med grundläggande rättigheter, särskilt rätten till

ett privatliv och rätten till skydd av personuppgifter. Ge­

mensamma normer för behandling och skydd av person­

uppgifter i syfte att förebygga och bekämpa brott kan

bidra till att uppnå dessa båda mål.

HTI

I Haagprogrammet för ett stärkt område med frihet, sä­

kerhet och rättvisa i Europeiska unionen, som antogs av

Europeiska rådet den 4 november 2004, understryks be­

hovet av en innovativ strategi i fråga om gränsöverskri­

dande utbyte av information om brottsbekämpning, un­

der noggrant iakttagande av centrala villkor på området

skydd av personuppgifter. Kommissionen uppmanades

att senast i slutet av 2005 lägga fram förslag om detta.

Detta återspeglas i rådets och kommissionens handlings­

plan för genomförande av Haagprogrammet för ett stärkt

område med frihet, säkerhet och rättvisa (2).

HUI

Utbytet av personuppgifter inom ramen för polissamar­

betet och det straffrättsliga samarbetet, särskilt enligt den

princip om tillgänglighet som tas upp i Haagprogrammet,

bör bygga på klara regler som stärker det ömsesidiga

förtroendet mellan behöriga myndigheter och garanterar

att den relevanta informationen skyddas på ett sätt som

utesluter all diskriminering med avseende på sådant sam­

arbete mellan medlemsstaterna samtidigt som enskildas

grundläggande rättigheter respekteras fullt ut. Befintliga

instrument på europeisk nivå är inte tillräckliga; Europa­

parlamentets och rådets direktiv 95/46/EG av den 24 ok­

tober 1995 om skydd för enskilda personer med avse­

ende på behandling av personuppgifter och om det fria

flödet av sådana uppgifter (3) är inte tillämpligt i fråga om

behandling av personuppgifter i samband med verksam­

heter som faller utanför gemenskapsrättens tillämpnings­

område, till exempel sådana som anges i avdelning VI i

fördraget om Europeiska unionen, och under inga om­

ständigheter på uppgiftsbehandling som rör allmän säker­

het, försvar, nationell säkerhet eller statlig verksamhet på

det straffrättsliga området.

sv

L 350/60

Europeiska unionens officiella tidning

30.12.2008

H1I eut c QRU eL RRNUNRPPXL ³N QUTN

H2I eut c QYXL QRNXNRPPUL ³N QN

H3I egt l RXQL RSNQQNQYYUL ³N SQN

HVI

Detta rambeslut är endast tillämpligt på uppgifter som de

behöriga myndigheterna samlar in eller behandlar för att

kunna förebygga, utreda, avslöja eller lagföra brott eller

verkställa straffrättsliga påföljder. I detta rambeslut bör

det överlåtas till medlemsstaterna att på nationell nivå

mer exakt besluta vilka andra ändamål som ska anses

oförenliga med det ändamål för vilket personuppgifterna

ursprungligen insamlades. I allmänhet bör vidarebehand­

ling för historiska, statistiska eller vetenskapliga ändamål

inte anses vara oförenlig med det ursprungliga ändamålet

för behandlingen.

HWI

Tillämpningsområdet för detta rambeslut begränsas till

behandlingen av sådana personuppgifter som överförs

eller görs tillgängliga mellan medlemsstaterna. Inga slut­

satser bör dras av denna begränsning beträffande unio­

nens behörighet att anta rättsakter om insamling och

behandling av personuppgifter på nationell nivå eller

det lämpliga i att unionen gör detta i framtiden.

HXI

I syfte att underlätta informationsutbytet inom unionen

vill medlemsstaterna säkerställa att den standard i fråga

om dataskydd som fastställs inom nationell databehand­

ling ska motsvara den som föreskrivs i rambeslutet. När

det gäller nationell databehandling hindrar detta rambe­

slut inte medlemsstaterna från att föreskriva garantier för

skydd av personuppgifter högre än dem som fastställs i

detta rambeslut.

HYI

Detta rambeslut bör inte tillämpas på personuppgifter

som en medlemsstat erhållit inom tillämpningsområdet

för detta rambeslut och som härrör från denna medlems­

stat.

HQPI

Tillnärmningen av medlemsstaternas lagstiftningar bör

inte leda till några försämringar i det dataskydd de ger

utan i stället syfta till att garantera en hög skyddsnivå

inom unionen.

HQQI

Det är nödvändigt att precisera målen med skyddet av

personuppgifter inom ramen för polisens och rättsväsen­

dets verksamheter och att införa bestämmelser om vilken

behandling av personuppgifter som är tillåten i syfte att

säkerställa att uppgifter som kan komma att utbytas har

behandlats på lagligt sätt och i enlighet med grundläg­

gande principer i fråga om uppgifters kvalitet. Samtidigt

är det viktigt att inte polisens, tullens, domstolarnas eller

andra behöriga myndigheters legitima verksamheter även­

tyras.

HQRI

Principen om uppgifters korrekthet ska tillämpas med

beaktande av den aktuella behandlingens art och syfte.

Så grundar sig exempelvis uppgifterna inom framför allt

rättsliga förfaranden på enskilda personers subjektiva

uppfattning och kan i vissa fall omöjligen kontrolleras.

Följaktligen kan inte korrekthetskravet röra korrektheten

i ett uttalande utan blott och bart det faktum att ett visst

uttalande har gjorts.

HQSI

Arkivering i ett separat dataset bör tillåtas endast om

uppgifterna inte längre krävs eller används för förebyg­

gande, utredning, avslöjande eller lagföring av brott eller

verkställighet av straffrättsliga påföljder. Arkivering i ett

separat dataset bör även tillåtas om de arkiverade upp­

gifterna lagras i en databas tillsammans med andra upp­

gifter på ett sådant sätt att de inte längre kan användas

för förebyggande, utredning, avslöjande eller lagföring av

brott eller verkställighet av straffrättsliga påföljder. Lämp­

lig längd av arkiveringsperioden bör vara avhängig av

syftet med arkiveringen och de registrerade personernas

legitima intressen. I fråga om arkivering för historiska

ändamål kan man fastställa en mycket lång period.

HQTI

Uppgifter får också raderas genom att datamediet för­

störs.

HQUI

När det gäller icke korrekta, ofullständiga eller inte längre

aktuella uppgifter som överförts eller gjorts tillgängliga

för en annan medlemsstat och vidarebehandlas av dom­

stolsliknande myndigheter, med vilket avses myndigheter

med behörighet att fatta rättsligen bindande beslut, bör

rättelse, strykning eller blockerande utföras enligt natio­

nell lagstiftning.

HQVI

För att kunna garantera en hög skyddsnivå för person­

uppgifter om enskilda personer krävs det gemensamma

bestämmelser för att fastställa om de uppgifter som be­

handlas av behöriga myndigheter i medlemsstaterna upp­

fyller laglighets- och kvalitetskraven.

HQWI

Därför bör man på europeisk nivå fastställa de villkor

som ska vara uppfyllda för att medlemsstaternas behöriga

myndigheter ska ha rätt att till myndigheter och privata

parter i medlemsstater överföra och göra tillgängliga per­

sonuppgifter som erhållits från andra medlemsstater. I

många fall är överföring av personuppgifter från dom­

stolsväsendet, polisen eller tullen till privata parter nöd­

vändig för att lagföra brott eller för att avvärja en ome­

delbar och allvarlig fara för allmän säkerhet eller för­

hindra att enskilda personers rättigheter lider allvarlig

skada, till exempel genom att utfärda varningar avseende

förfalskningar av värdepapper till banker och kreditinsti­

tut eller, i fråga om fordonsstölder, genom att överföra

personuppgifter till försäkringsbolag för att förhindra

olaglig handel med stulna motorfordon eller för att för­

bättra villkoren för återförande av stulna motorfordon

från utlandet. Detta innebär inte överföring av arbetsupp­

gifter från polis och domstolar till privata parter.

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/61

HQXI

Reglerna i detta rambeslut avseende överföring av per­

sonuppgifter från domstolsväsendet, polisen eller tullen

till privata parter tillämpas inte på utlämnandet av upp­

gifter till privata parter (såsom försvarsadvokater och

brottsoffer) i samband med brottmål.

HQYI

Den vidare behandlingen av personuppgifter som erhål­

lits från eller gjorts tillgängliga av den behöriga myndig­

heten i en annan medlemsstat, särskilt det att vidarebe­

fordra sådana uppgifter eller göra dem tillgängliga på

nytt, bör omfattas av gemensamma bestämmelser på eu­

ropeisk nivå.

HRPI

När personuppgifter får vidarebehandlas efter det att den

medlemsstat från vilken uppgifterna erhållits har givit sitt

samtycke bör varje medlemsstat ha möjlighet att fastställa

de närmare villkoren för att ge sådant samtycke, inbegri­

pet exempelvis allmänt samtycke för kategorier av infor­

mation och kategorier av ytterligare behandling.

HRQI

När personuppgifter får vidarebehandlas för administra­

tiva förfaranden inbegriper dessa förfaranden också åtgär­

der av reglerings- och tillsynsorgan.

HRRI

Polisens, tullens, domstolarnas eller andra behöriga myn­

digheters legitima verksamheter kan kräva att uppgifter

sänds till myndigheter i tredjestater eller internationella

organ som har skyldigheter i fråga om att förebygga,

utreda, avslöja eller lagföra brott eller verkställa straff­

rättsliga påföljder.

HRSI

Om uppgifter överförs från en medlemsstat till tredjesta­

ter eller internationella organ ska uppgifterna i princip

omfattas av ett adekvat skydd.

HRTI

Om personuppgifter överförs från en medlemsstat till

tredjestater eller internationella organ bör en sådan över­

föring i princip ske först efter det att den medlemsstat

som har lämnat uppgifterna har gett sitt samtycke till

överföringen. Varje medlemsstat bör få bestämma de när­

mare villkoren för att ge sådant samtycke, till exempel

genom ett generellt samtycke för kategorier av uppgifter

eller för vissa angivna tredjestater.

HRUI

För ett effektivt samarbete i fråga om brottsbekämpning

krävs att om ett hot mot en medlemsstats eller en tred­

jestats allmänna säkerhet är så överhängande att det är

omöjligt att i tid inhämta ett förhandsmedgivande bör

den behöriga myndigheten få överföra de relevanta per­

sonuppgifterna till den berörda tredjestaten utan sådant

förhandsmedgivande. Detsamma kan gälla om andra vä­

sentliga, lika betydelsefulla, intressen i en medlemsstat

står på spel, exempelvis om en medlemsstats kritiska

infrastruktur kan bli föremål för ett överhängande hot

eller om en medlemsstats finansiella system kan drabbas

av allvarliga störningar.

HRVI

För att tillförsäkra den registrerade personen ett effektivt

rättsskydd kan det bli nödvändigt att informera denne

om behandlingen av dennes personuppgifter, särskilt

vid synnerligen allvarlig kränkning av dennes rättigheter

som ett resultat av hemlig insamling av uppgifter.

HRWI

Medlemsstaterna bör se till att den registrerade personen

informeras om att personuppgifter kan eller håller på att

samlas in, behandlas eller kan överföras till en annan

medlemsstat för att förebygga, utreda, avslöja och lagföra

brott eller verkställa straffrättsliga påföljder. De närmare

villkoren för den registrerade personens rätt att bli infor­

merad och undantag från denna rätt bör fastställas i den

nationella lagstiftningen. Detta kan genomföras på ett

generellt sätt, t.ex. genom lagstiftning eller offentliggö­

rande av en förteckning över olika typer av uppgiftsbe­

handling.

HRXI

För att kunna garantera skyddet av personuppgifter utan

att äventyra ändamålet med brottsutredningar måste man

fastställa den registrerades rättigheter.

HRYI

Några medlemsstater har gett den berörda personen rätt

till tillgång till uppgifter i brottmål genom ett system där

det nationella tillsynsorganet, i den berörda personens

ställe, utan någon restriktion har tillgång till alla person­

uppgifter som rör den berörda personen och även får

rätta, stryka eller uppdatera icke korrekta uppgifter. I

sådana fall med indirekt tillgång får det i den nationella

lagstiftningen i dessa medlemsstater föreskrivas att det

nationella tillsynsorganet endast kommer att informera

den berörda personen om att alla nödvändiga kontroller

har utförts. Dessa medlemsstater tillhandahåller emellertid

i särskilda fall även möjligheter till direkt tillgång för den

berörda personen, såsom tillgång till rättsliga register för

att erhålla kopior av egna kriminalregisteruppgifter eller

handlingar avseende egna förhör hos polismyndigheterna.

HSPI

Det bör införas gemensamma bestämmelser om konfi­

dentiell och säker uppgiftsbehandling, om ansvar och

påföljder när uppgifterna används på otillåtet sätt av de

behöriga myndigheterna samt om möjligheter för den

registrerade till rättslig prövning. Det ankommer dock

på varje medlemsstat att själv fastställa utformningen av

bestämmelserna om skadeståndsgrundande överträdelser

och om vilka påföljder som ska tillämpas vid överträdelse

av de nationella dataskyddsbestämmelserna.

HSQI

Detta rambeslut gör att principen om allmänhetens till­

gång till offentliga handlingar kan tillgodoses vid tillämp­

ningen av principerna i detta.

sv

L 350/62

Europeiska unionens officiella tidning

30.12.2008

HSRI

När så behövs för att skydda personuppgifter med avse­

ende på behandling som genom sin omfattning eller typ

innebär särskilda risker för grundläggande rättigheter och

friheter, till exempel behandling med ny teknik, nya me­

kanismer eller förfaranden, bör man säkerställa att den

behöriga nationella tillsynsmyndigheten rådfrågas före

upprättandet av behandlingssystem för dessa uppgifter.

HSSI

Inrättandet i medlemsstaterna av tillsynsmyndigheter,

som fullständigt oberoende genomför sina åligganden,

är en mycket viktig del av skyddet av personuppgifter

som behandlas inom ramen för polissamarbetet och det

straffrättsliga samarbetet mellan medlemsstaterna.

HSTI

De tillsynsmyndigheter som redan inrättats i medlemssta­

terna i enlighet med direktiv 95/46/EG bör också kunna

axla ansvaret för de uppgifter som ska utföras av de

nationella tillsynsmyndigheter som ska inrättas i enlighet

med detta rambeslut.

HSUI

Dessa tillsynsmyndigheter bör ha nödvändiga resurser för

att kunna genomföra sina uppgifter, inklusive befogenhet

att

– särskilt när det gäller klagomål från enskilda per­

soner

– undersöka och ingripa eller befogenhet att inleda

rättsliga förfaranden. Dessa tillsynsmyndigheter bör även

bidra till att sörja för insyn i behandlingen av uppgifter i

sina respektive medlemsstater. Emellertid bör deras befo­

genheter inte inkräkta på särskilda regler som fastställts

för brottmål eller domstolsväsendets oberoende.

HSVI

I artikel 47 i fördraget om Europeiska unionen föreskrivs

det att ingenting i det fördraget ska inverka på fördragen

om upprättandet av Europeiska gemenskaperna eller på

senare fördrag och rättsakter om ändring eller komplet­

tering av dessa. Följaktligen påverkar detta rambeslut inte

skyddet av personuppgifter enligt gemenskapsrätten, sär­

skilt inte det skydd som föreskrivs i direktiv 95/46/EG,

Europaparlamentets och rådets förordning (EG) nr

45/2001 av den 18 december 2000 om skydd för en­

skilda då gemenskapsinstitutionerna och gemenskapsor­

ganen behandlar personuppgifter och om den fria rörlig­

heten för sådana uppgifter (1) och Europaparlamentets

och rådets direktiv 2002/58/EG av den 12 juli 2002

om behandling av personuppgifter och integritetsskydd

inom sektorn för elektronisk kommunikation (direktiv

om integritet och elektronisk kommunikation) (2).

HSWI

Detta rambeslut påverkar inte bestämmelserna om sådan

olaglig tillgång till uppgifter som avses i rådets rambeslut

2005/222/RIF av den 24 februari 2005 om angrepp mot

informationssystem (3).

HSXI

Detta rambeslut påverkar inte medlemsstaternas eller uni­

onens gällande skyldigheter och åtaganden enligt bilate­

rala och/eller multilaterala avtal med tredjestater. Fram­

tida avtal bör följa bestämmelserna om utbyte med tred­

jestater.

HSYI

Flera rättsakter som antagits på grundval av avdelning VI

i fördraget om Europeiska unionen innehåller särskilda

bestämmelser om skydd av personuppgifter som överförs

eller på något annat sätt behandlas i enlighet med de

rättsakterna. I några fall utgör dessa bestämmelser en

komplett och enhetlig uppsättning regler som omfattar

alla relevanta aspekter av dataskydd (principer om upp­

gifternas kvalitet, regler om datasäkerhet, reglering av de

registrerades rättigheter och skydd, organisation av tillsyn

och ansvar) och i dessa regleras frågor mer detaljerat än i

detta rambeslut. De tillämpliga dataskyddsbestämmel­

serna i dessa rättsakter, särskilt de som reglerar funk­

tionssättet för Europol, Eurojust, Schengens informations­

system (SIS) och tullinformationssystemet (TIS) samt de

rättsakter genom vilka medlemsstaternas myndigheter ges

direkt tillgång till vissa datasystem i andra medlemsstater,

bör inte påverkas av detta rambeslut. Detsamma gäller de

dataskyddsbestämmelser som reglerar automatisk över­

föring av DNA-profiler, fingeravtrycksuppgifter och upp­

gifter ur nationella fordonsregister i enlighet med rådets

beslut 2008/615/RIF av den 23 juni 2008 om ett för­

djupat gränsöverskridande samarbete, särskilt för be­

kämpning av terrorism och gränsöverskridande brottslig­

het (4).

HTPI

I andra fall är räckvidden för dataskyddsbestämmelser i

rättsakter som antagits i enlighet med avdelning VI i

fördraget om Europeiska unionen mer begränsade. Ofta

fastställs det i dessa rättsakter särskilda villkor för den

medlemsstat som från en annan medlemsstat tar emot

information innehållande personuppgifter i fråga om de

ändamål för vilka mottagaren kan använda uppgifterna,

medan det i fråga om övriga dataskyddsaspekter hänvisas

till Europarådets konvention om skydd för enskilda vid

automatisk databehandling av personuppgifter av den

28 januari 1981 eller till nationell lagstiftning. I den

mån det i bestämmelserna i dessa rättsakter fastställs

villkor för mottagande medlemsstater för användning el­

ler vidare överföring av personuppgifter vilka är strängare

än villkoren i motsvarande bestämmelser i detta rambe­

slut, ska dessa förstnämnda inte heller påverkas. I alla

övriga avseenden ska de regler som fastställs i detta ram­

beslut gälla.

HTQI

Detta rambeslut påverkar inte Europarådets konvention

om skydd för enskilda vid automatisk databehandling av

personuppgifter eller tilläggsprotokollet av den 8 novem­

ber 2001 till denna konvention eller Europarådets kon­

ventioner om straffrättsligt samarbete.

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/63

H1I egt l XL QRNQNRPPQL ³N QN

H2I egt l RPQL SQNWNRPPRL ³N SWN

H3I eut l VYL QVNSNRPPUL ³N VWN

H4I eut l RQPL VNXNRPPXL ³N QN

HTRI

Eftersom målet för detta rambeslut, nämligen att fastställa

gemensamma bestämmelser om skydd av personupp­

gifter som behandlas inom ramen för polissamarbete

och straffrättsligt samarbete, inte i tillräcklig utsträckning

kan uppnås av medlemsstaterna och det därför, på grund

av åtgärdens omfattning och verkningar, bättre kan upp­

nås på unionsnivå, kan unionen vidta åtgärder i enlighet

med subsidiaritetsprincipen i artikel 5 i fördraget om

upprättandet av Europeiska gemenskapen, till vilken det

hänvisas i artikel 2 i fördraget om Europeiska unionen. I

enlighet med proportionalitetsprincipen i artikel 5 i för­

draget om upprättandet av Europeiska gemenskapen går

detta rambeslut inte utöver vad som är nödvändigt för att

uppnå detta mål.

HTSI

Förenade kungariket deltar i detta rambeslut i enlighet

med artikel 5 i protokollet om införlivande av Schengen­

regelverket inom Europeiska unionens ramar, fogat till

fördraget om Europeiska unionen och fördraget om upp­

rättandet av Europeiska gemenskapen, och i enlighet med

artikel 8.2 i rådets beslut 2000/365/EG av den 29 maj

2000 om en begäran från Förenade konungariket Stor­

britannien och Nordirland om att få delta i vissa bestäm­

melser i Schengenregelverket (1).

HTTI

Irland deltar i detta rambeslut i enlighet med artikel 5 i

protokollet om införlivande av Schengenregelverket inom

Europeiska unionens ramar, fogat till fördraget om Euro­

peiska unionen och fördraget om upprättandet av Euro­

peiska gemenskapen, och i enlighet med artikel 6.2 i

rådets beslut 2002/192/EG av den 28 februari 2002

om Irlands begäran om att få delta i vissa bestämmelser

i Schengenregelverket (2).

HTUI

När det gäller Island och Norge utgör detta rambeslut, i

enlighet med avtalet mellan Europeiska unionens råd och

Republiken Island och Konungariket Norge om dessa

staters associering till genomförandet, tillämpningen och

utvecklingen av Schengenregelverket (3), en utveckling av

bestämmelser i Schengenregelverket vilka rör det område

som avses i artikel 1.H och 1.I i rådets beslut

1999/437/EG (4) om vissa tillämpningsföreskrifter för

det avtalet.

HTVI

När det gäller Schweiz utgör detta rambeslut, i enlighet

med avtalet mellan Europeiska unionen, Europeiska ge­

menskapen och Schweiziska edsförbundet om Schwei­

ziska edsförbundets associering till genomförandet, till­

ämpningen och utvecklingen av Schengenregelverket (5),

en utveckling av de bestämmelser i Schengenregelverket

vilka rör det område som avses i artikel 1.H och 1.I i

beslut 1999/437/EG, jämförd med artikel 3 i rådets be­

slut 2008/149/RIF (6), om ingående av det avtalet på

Europeiska unionens vägnar.

HTWI

När det gäller Liechtenstein utgör detta rambeslut, i en­

lighet med protokollet mellan Europeiska unionen, Euro­

peiska gemenskapen, Schweiziska edsförbundet och Fur­

stendömet Liechtenstein om Furstendömet Liechtensteins

anslutning till avtalet mellan Europeiska unionen, Euro­

peiska gemenskapen och Schweiziska edsförbundet om

Schweiziska edsförbundets associering till genomföran­

det, tillämpningen och utvecklingen av Schengenregelver­

ket, en utveckling av bestämmelser i Schengenregelverket

vilka omfattas av det område som avses i artikel 1.H och

1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets

beslut 2008/262/RIF (7), om undertecknande av det pro­

tokollet på Europeiska unionens vägnar.

HTXI

Detta rambeslut står i överensstämmelse med de grund­

läggande rättigheter och principer som erkänns framför

allt i Europeiska unionens stadga om de grundläggande

rättigheterna (8). Detta rambeslut syftar till att garantera

full respekt för rätten till det skydd för privatlivet och det

skydd av personuppgifter som kommer till uttryck i ar­

tiklarna 7 och 8 i stadgan.

hÄrigenom fÖreskrivs fÖljandeN

Artikel 1

Syfte och tillämpningsområde

1.

Syftet med detta rambeslut är att säkerställa en hög

skyddsnivå för fysiska personers grundläggande fri- och rättig­

heter, särskilt när det gäller deras rätt till privatliv, med avseende

på behandling av personuppgifter inom ramen för polissamar­

bete och straffrättsligt samarbete enligt avdelning VI i fördraget

om Europeiska unionen och samtidigt garantera en allmän sä­

kerhet på hög nivå.

2.

I enlighet med detta rambeslut ska medlemsstaterna

skydda fysiska personers grundläggande fri- och rättigheter,

och särskilt deras rätt till privatliv, när personuppgifter i syfte

att förebygga, utreda, avslöja eller lagföra brott eller verkställa

straffrättsliga påföljder

a) överförs, har överförts, görs eller har gjorts tillgängliga mel­

lan medlemsstaterna,

sv

L 350/64

Europeiska unionens officiella tidning

30.12.2008

H1I egt l QSQL QNVNRPPPL ³N TSN

H2I egt l VTL WNSNRPPRL ³N RPN

H3I egt l QWVL QPNWNQYYYL ³N SVN

H4I egt l QWVL QPNWNQYYYL ³N SQN

H5I eut l USL RWNRNRPPXL ³N URN

H6I eut l USL RWNRNRPPXL ³N UPN

H7I eut l XSL RVNSNRPPXL ³N UN

H8I eut c SPSL QTNQRNRPPWL ³N QN

b) överförs, har överförts, görs eller har gjorts tillgängliga av

medlemsstaterna till myndigheter eller informationssystem

som inrättats i enlighet med avdelning VI i fördraget om

Europeiska unionen, eller

c) överförs, har överförts, görs eller har gjorts tillgängliga för

medlemsstaternas behöriga myndigheter av myndigheter eller

informationssystem som inrättats i enlighet med fördraget

om Europeiska unionen eller fördraget om upprättandet av

Europeiska gemenskapen.

3.

Detta rambeslut gäller för sådan behandling av personupp­

gifter som helt eller delvis utförs automatiskt samt för annan

behandling än automatisk av sådana personuppgifter som ingår

i eller kommer att ingå i ett register.

4.

Detta rambeslut påverkar inte viktiga nationella säkerhets­

intressen och särskild underrättelseverksamhet inom området

nationell säkerhet.

5.

Detta rambeslut hindrar inte medlemsstaterna från att fö­

reskriva strängare säkerhetsåtgärder för skydd av personupp­

gifter som samlas in eller behandlas på nationell nivå än de

som fastställs i detta rambeslut.

Artikel 2

Definitioner

I detta rambeslut gäller följande definitioner:

a) personuppgifter: varje upplysning som avser en identifierad

eller identifierbar fysisk person (den registrerade). En identi­

fierbar person är en person som kan identifieras, direkt eller

indirekt, framför allt genom hänvisning till ett identifierings­

nummer eller till en eller flera faktorer som är specifika för

hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella

eller sociala identitet.

b) behandling av personuppgifter och behandling: varje åtgärd eller

serie av åtgärder som vidtas med personuppgifter, vare sig

det sker på automatisk väg eller inte, till exempel insamling,

registrering, organisering, lagring, bearbetning eller ändring,

hämtning, läsning, användning, utlämnande genom överför­

ing, spridning eller annat tillhandahållande av uppgifter,

sammanställning eller samkörning, blockering, radering eller

förstöring.

c) blockering: markering av lagrade personuppgifter med syftet

att begränsa behandlingen av dessa i framtiden.

d) register med personuppgifter och register: varje strukturerad

samling av personuppgifter som är tillgänglig enligt särskilda

kriterier, oavsett om samlingen är centraliserad, decentralise­

rad eller spridd på grundval av funktionella eller geografiska

förhållanden.

e) registerförare: varje organ som behandlar personuppgifter för

den registeransvariges räkning.

f) mottagare: varje organ till vilken uppgifterna utlämnas.

g) den registrerades samtycke: varje slag av frivillig, uttrycklig och

informerad viljeyttring genom vilken den registrerade godtar

behandling av personuppgifter som rör honom.

h) behöriga myndigheter: byråer eller organ som inrättats genom

rättsakter antagna av rådet enligt avdelning VI i fördraget

om Europeiska unionen, samt polismyndigheter, tullmyndig­

heter, domstolar eller andra behöriga myndigheter i med­

lemsstaterna som genom nationell lagstiftning är bemyndi­

gade att behandla personuppgifter inom tillämpningsområ­

det för detta rambeslut.

i) registeransvarig: en fysisk eller en juridisk person, en myndig­

het, en byrå eller varje annat organ som ensamt eller till­

sammans med andra bestämmer ändamålen och medlen för

behandlingen av personuppgifter.

j) markering: markering av lagrade personuppgifter utan syfte

att begränsa behandlingen av dessa i framtiden.

k) avidentifiering: att ändra personuppgifter på ett sådant sätt att

detaljerna beträffande personliga eller sakliga förhållanden

inte längre eller endast med oproportionerligt stor insats i

fråga om tid, kostnader och arbete kan tillskrivas en identi­

fierad eller identifierbar fysisk person.

Artikel 3

Principerna om lagenlighet, proportionalitet och ändamål

1.

De behöriga myndigheterna får inom ramen för sina upp­

gifter samla in personuppgifter endast för särskilda, uttryckligt

angivna och berättigade ändamål och uppgifterna får endast

behandlas för det ändamål som låg till grund för insamlingen

av dem. Behandlingen av uppgifterna ska vara lagenlig och

adekvat, relevant och inte orimlig i förhållande till det ändamål

för vilket de samlades in.

2.

Vidare behandling för ett annat ändamål är tillåten om

a) denna vidare behandling inte är oförenlig med de ändamål

för vilket uppgifterna samlades in,

b) de behöriga myndigheterna i enlighet med tillämpliga rätts­

liga bestämmelser är bemyndigade att behandla sådana upp­

gifter för ett sådant annat ändamål, och

c) denna behandling är nödvändig och står i proportion till det

andra ändamålet.

Dessutom får de överförda personuppgifterna behandlas vidare

av den behöriga myndigheten för historiska, statistiska eller

vetenskapliga ändamål, under förutsättning att medlemsstaterna

föreskriver lämpliga säkerhetsåtgärder, som avidentifiering av

uppgifterna.

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/65

Artikel 4

Rättelse, radering och blockering

1.

Personuppgifter ska rättas om de är felaktiga samt, om så

är möjligt och nödvändigt, kompletteras eller aktualiseras.

2.

Personuppgifter ska raderas eller avidentifieras när dessa

inte längre behövs för de ändamål för vilka de lagligen insam­

lades eller lagligen vidare bearbetas. Arkivering av de uppgifter

som införts i ett separat dataset under en lämplig period i över­

ensstämmelse med national lagstiftning ska inte påverkas av

denna bestämmelse.

3.

Personuppgifter ska inte raderas utan blockeras, om det

finns skälig grund att anta att en radering skulle kunna påverka

den registrerades legitima intressen. Blockerade uppgifter får

endast behandlas för det ändamål som hindrade att de radera­

des.

4.

Om personuppgifterna ingår i ett domstolsbeslut eller ak­

ten i samband med utfärdandet av ett rättsligt beslut ska rät­

telse, radering eller blockering utföras i enlighet med nationella

bestämmelser om rättsliga förfaranden.

Artikel 5

Fastställande av tidsfrister för radering och kontroll

För radering av personuppgifter eller en regelbunden kontroll av

nödvändigheten av lagringen av uppgifterna ska lämpliga tids­

frister fastställas. Genom föreskrifter om förfarandena ska det

garanteras att tidsfristerna efterlevs.

Artikel 6

Behandling av särskilda kategorier av uppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt

ursprung, politiska åsikter, religiös eller filosofisk övertygelse

eller medlemskap i fackförening samt uppgifter som rör hälsa

och sexualliv får endast förekomma när detta är absolut nöd­

vändigt och om det i den nationella lagstiftningen tillhandahålls

tillräckliga skyddsåtgärder.

Artikel 7

Datoriserade beslut

Ett beslut som har negativa rättsliga följder för den registrerade

eller som väsentligt berör honom eller henne och som enbart

grundas på en automatisk behandling av uppgifter avsedd att

bedöma vissa personliga egenskaper hos den registrerade ska

endast vara tillåtet om detta föreskrivs i en lag där det även

föreskrivs bestämmelser till skydd för den registrerades legitima

intressen.

Artikel 8

Kontroll av kvaliteten på de uppgifter som överförs eller

görs tillgängliga

1.

De behöriga myndigheterna ska vidta alla rimliga åtgärder

för att se till att personuppgifter som är felaktiga, ofullständiga

eller inaktuella inte överförs eller görs tillgängliga. De behöriga

myndigheterna ska därför i görligaste mån kontrollera kvaliteten

på personuppgifterna innan dessa överförs eller görs tillgängliga.

Vid all överföring av uppgifter ska, så långt detta är möjligt,

sådan tillgänglig information läggas till som gör att den motta­

gande medlemsstaten kan bedöma graden av korrekthet, full­

ständighet, aktualitet och tillförlitlighet. Om personuppgifter

överförs utan att någon begäran har gjorts ska den mottagande

myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är

nödvändiga för det ändamål som låg till grund för överföringen.

2.

Om det visar sig att felaktiga uppgifter har överförts eller

att uppgifter olovligen har överförts ska mottagaren omedelbart

underrättas om detta. Uppgifterna måste ofördröjligen rättas,

raderas eller blockeras i enlighet med artikel 4.

Artikel 9

Tidsfrister

1.

När den överförande myndigheten överför uppgifter eller

gör dessa tillgängliga, får den enligt nationell lagstiftning och i

enlighet med artiklarna 4 och 5 meddela de tidsfrister för lag­

ring av uppgifterna efter vilka mottagaren ska radera eller block­

era uppgifterna eller kontrollera om dessa fortfarande behövs.

Denna skyldighet ska inte tillämpas, om dessa uppgifter vid

utgången av tidsfristerna krävs för en pågående utredning, lag­

föring av brott eller verkställighet av straffrättsliga påföljder.

2.

Om den överförande myndigheten inte har angivit en

tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna

4 och 5 för lagring av uppgifterna enligt de mottagande med­

lemsstaternas nationella lagstiftning tillämpas.

Artikel 10

Registrering och dokumentation

1.

Varje överföring av personuppgifter ska registreras eller

dokumenteras för att man ska kunna kontrollera om behand­

lingen av uppgifterna är lagenlig, utföra egenkontroll samt ga­

rantera integritet och säkerhet för uppgifterna.

2.

Registrering och dokumentation enligt punkt 1 ska på

begäran översändas till den för skydd av uppgifter behöriga

tillsynsmyndigheten. Den behöriga tillsynsmyndigheten får an­

vända dessa uppgifter endast för att kontrollera skyddet av

personuppgifter, för att se till att behandlingen fungerar tillfreds­

ställande och för att sörja för uppgifternas integritet och säker

uppgiftsbehandling.

Artikel 11

Behandling av personuppgifter som överförts från eller

gjorts tillgängliga av en annan medlemsstat

Personuppgifter som överförts från eller gjorts tillgängliga av

den behöriga myndigheten i en annan medlemsstat får, i enlig­

het med kraven i artikel 3.2, endast vidarebehandlas för följande

ändamål, utöver dem för vilka de överfördes eller gjordes till­

gängliga:

sv

L 350/66

Europeiska unionens officiella tidning

30.12.2008

a) För att förebygga, utreda, avslöja eller lagföra andra brott

eller verkställa andra straffrättsliga påföljder än de för vilka

uppgifterna överfördes eller gjordes tillgängliga.

b) För andra rättsliga eller administrativa förfaranden med di­

rekt anknytning till förebyggande, utredning, avslöjande eller

lagföring av brott eller verkställighet av straffrättsliga påfölj­

der.

c) För att avvärja en omedelbar och allvarlig fara för den all­

männa säkerheten.

d) För varje annat syfte endast med förhandsmedgivande från

den överförande medlemsstaten eller med den registrerades

samtycke givet i överensstämmelse med nationell lagstift­

ning.

Dessutom får de överförda personuppgifterna behandlas vidare

av de behöriga myndigheterna för historiska, statistiska eller

vetenskapliga ändamål under förutsättning att medlemsstaterna

föreskriver lämpliga säkerhetsåtgärder som exempelvis avidenti­

fiering av uppgifterna.

Artikel 12

Iakttagande av nationella restriktioner för behandling av

uppgifter

1.

Om det, enligt den överförande medlemsstatens nationella

lagstiftning, under särskilda omständigheter gäller särskilda be­

gränsningar i fråga om utbyte av uppgifter mellan behöriga

myndigheter inom den medlemsstaten, ska den överförande

myndigheten informera mottagaren om dessa begränsningar.

Mottagaren ska se till att dessa begränsningar för behandlingen

följs.

2.

Vid tillämpning av punkt 1 ska medlemsstaterna inte till­

ämpa några andra begränsningar när det gäller överföringen av

uppgifter till andra medlemsstater eller till byråer eller organ

som inrättats i enlighet med avdelning VI i fördraget om Euro­

peiska unionen än de som gäller motsvarande nationella över­

föringar av uppgifter.

Artikel 13

Överföring till behöriga myndigheter i tredjestater eller till

internationella organ

1.

Medlemsstaterna ska föreskriva att personuppgifter som

överförts eller gjorts tillgängliga av den behöriga myndigheten

i en annan medlemsstat får överföras till tredjestater eller inter­

nationella organ endast om

a) detta är nödvändigt för förebyggande, utredning, avslöjande

eller lagföring av brott eller verkställighet av straffrättsliga

påföljder,

b) den mottagande myndigheten i tredjestaten eller det motta­

gande internationella organet har ansvar för förebyggande,

utredning, avslöjande eller lagföring av brott eller för verk­

ställigheten av straffrättsliga påföljder,

c) den medlemsstat från vilken uppgifterna erhölls har gett sitt

samtycke till överföringen i enlighet med sin nationella lag­

stiftning, och om

d) berörd tredjestat eller internationellt organ sörjer för en ade­

kvat skyddsnivå för den avsedda databehandlingen.

2.

Överföring utan förhandsmedgivande enligt punkt 1 c ska

tillåtas endast om överföringen av uppgifter är absolut nödvän­

dig för att kunna avvärja en omedelbar och allvarlig fara för den

allmänna säkerheten i en medlemsstat eller en tredjestat eller för

en medlemsstat väsentliga intressen och ett förhandsmedgivande

inte kan erhållas i tid. Den myndighet som ansvarar för att

bevilja medgivandet ska informeras utan dröjsmål.

3.

Med avvikelse från punkt 1 d får personuppgifter över­

föras om

a) den nationella lagstiftningen i den medlemsstat som överför

uppgifterna föreskriver detta på grund av

i) den registrerades legitima specifika intressen, eller

ii) legitima faktiska intressen, främst viktiga allmänna intres­

sen, eller

b) tredjestaten eller mottagande internationella organ sörjer för

skyddsåtgärder som av den berörda medlemsstaten bedöms

som adekvata i enlighet med dennas nationella lagstiftning.

4.

Bedömningen av om den skyddsnivå som avses i punkt 1

d är adekvat ska ske på grundval av alla de förhållanden som

har samband med en eller flera överföringar av personuppgifter.

Särskild hänsyn ska tas till uppgifternas art, den föreslagna be­

handlingens eller behandlingarnas ändamål och varaktighet, ur­

sprungsstaten och den stat eller internationella organ som utgör

slutdestination för uppgifterna, den lagstiftning, både allmän

och sektoriell, som gäller i den berörda tredjestaten eller för

det berörda internationella organet samt de yrkesregler och

säkerhetsbestämmelser som ska tillämpas.

Artikel 14

Överföring till privata parter i medlemsstaterna

1.

Medlemsstaterna ska föreskriva att personuppgifter som

överförts från eller gjorts tillgängliga av den behöriga myndig­

heten i en annan medlemsstat endast får överföras till privata

parter om

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/67

a) den behöriga myndigheten i den medlemsstat från vilken

uppgifterna erhållits har samtyckt till överföring i enlighet

med sin nationella lagstiftning,

b) inga legitima specifika intressen för den registrerade perso­

nen hindrar överföringen, och om

c) överföringen i särskilda fall är absolut nödvändig för att den

behöriga myndighet som överför uppgifterna till en privat

part ska kunna

i) utföra en uppgift den lagenligen tilldelats,

ii) förebygga, utreda, avslöja eller lagföra brott eller verk­

ställa straffrättsliga påföljder,

iii) avvärja en omedelbar och allvarlig fara för den allmänna

säkerheten, eller

iv) förhindra att enskilda personers rättigheter lider allvarlig

skada.

2.

Den behöriga myndighet som överför uppgifterna till en

privat part ska underrätta denna om för vilka ändamål upp­

gifterna uteslutande får användas.

Artikel 15

Information på begäran av den behöriga myndigheten

Mottagaren ska på begäran informera den behöriga myndighet

som har överfört uppgifter eller gjort dem tillgängliga om hur

dessa behandlas.

Artikel 16

Information till den registrerade

1.

Medlemsstaterna ska se till att den registrerade informeras

om insamling eller behandling av personuppgifter av deras be­

höriga myndigheter i enlighet med nationell lagstiftning.

2.

Om personuppgifter har överförts eller gjorts tillgängliga

mellan medlemsstaterna, får varje medlemsstat i enlighet med

bestämmelserna i sin nationella lagstiftning enligt punkt 1, be­

gära att den andra medlemsstaten inte informerar den registre­

rade. I sådana fall ska den senare medlemsstaten inte informera

den registrerade utan förhandsmedgivande från den andra med­

lemsstaten.

Artikel 17

Rätt till tillgång

1.

Varje registrerad ska ha rätt att på begäran, med rimliga

intervall, utan hinder och utan större tidsutdräkt eller kostnader

erhålla

a) åtminstone en bekräftelse från den registeransvarige eller från

den behöriga nationella tillsynsmyndigheten på huruvida

uppgifter som rör honom eller henne har överförts eller

gjorts tillgängliga samt information om till vilka mottagare

eller mottagarkategorier uppgifterna har lämnats ut och in­

formation om vilka uppgifter som behandlas, eller

b) åtminstone en bekräftelse från den behöriga nationella till­

synsmyndigheten på att alla nödvändiga kontroller har ut­

förts.

2.

Medlemsstaterna får anta lagstiftning som begränsar till­

gången till information enligt punkt 1 a, om denna begränsning

med vederbörligt beaktande av vederbörandes legitima intressen

är en nödvändig och rimlig åtgärd för att

a) hindra obstruktion mot officiella eller rättsliga utredningar,

förundersökningar eller förfaranden,

b) inte inverka menligt på förebyggande, upptäckt, utredning

och lagföring av brott eller verkställighet av straffrättsliga

påföljder,

c) skydda allmän säkerhet,

d) skydda nationell säkerhet,

e) skydda den registrerade eller andra personers fri- och rättig­

heter.

3.

Varje vägran till tillgång eller begränsning av denna ska

skriftligen meddelas den registrerade. De sakliga och rättsliga

skäl som beslutet grundar sig på ska därvid också meddelas.

Det sistnämnda meddelandet kan underlåtas om skäl enligt

punkt 2 a-e föreligger. I samtliga dessa fall ska den registrerade

meddelas att han eller hon kan överklaga till den behöriga

nationella tillsynsmyndigheten, en rättslig myndighet eller dom­

stol.

Artikel 18

Rätt till rättelse, radering eller blockering av uppgifter

1.

Den registrerade ska ha rätt att förvänta sig att den regis­

teransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att

rätta, radera eller blockera personuppgifter som registrerats

inom ramen för detta rambeslut. Medlemsstaterna ska fastställa

huruvida den registrerade får göra anspråk på denna rättighet

direkt gentemot den registeransvarige eller via den behöriga

nationella tillsynsmyndigheten. Om den registeransvarige vägrar

att rätta, radera eller blockera måste vägran meddelas skriftligen

och den registrerade måste informeras om de möjligheter som

tillhandahålls inom den nationella lagstiftningen att anföra kla­

gomål eller begära prövning. När klagomålet eller begäran om

prövning behandlats ska den registrerade informeras om huru­

vida den registeransvarige handlat korrekt eller ej. Medlemssta­

terna får även föreskriva att den registrerade ska informeras av

den behöriga nationella tillsynsmyndigheten om att en översyn

har utförts.

sv

L 350/68

Europeiska unionens officiella tidning

30.12.2008

2.

Om den registrerade bestrider korrektheten av en perso­

nuppgift och det inte kan fastställas huruvida denna är korrekt

får denna uppgift markeras.

Artikel 19

Rätt till ersättning

1.

Var och en som lidit skada till följd av en otillåten be­

handling av personuppgifter eller av någon annan åtgärd som är

oförenlig med de nationella bestämmelser som antagits till följd

av detta rambeslut ska ha rätt till ersättning för den skada han

lidit av den registeransvarige eller av en annan ansvarig myndig­

het enligt nationell lagstiftning.

2.

Om den behöriga myndigheten i en medlemsstat överför

personuppgifter kan mottagaren inte åberopa det faktum att de

överförda uppgifterna varit felaktiga för att undgå det ansvar

som denne i enlighet med den nationella lagstiftningen har

gentemot den skadelidande. Om mottagaren utbetalar skade­

stånd för en skada som vållats av att felaktigt överförda upp­

gifter kommit till användning ska den överförande behöriga

myndigheten ersätta mottagaren det skadestånd som utbetalats

men därvid ta med i beräkningen eventuella felaktigheter som

kan ha begåtts av mottagaren.

Artikel 20

Rättsmedel

Utan att det påverkar något administrativt förfarande som kan

användas innan ett ärende anhängiggörs vid en rättslig instans

ska den registrerade ha rätt att inför domstol föra talan mot

kränkningar av sådana rättigheter som skyddas av den tillämp­

liga nationella lagstiftningen.

Artikel 21

Sekretess i samband med behandlingen av uppgifter

1.

Var och en som får tillgång till personuppgifter som faller

under tillämpningsområdet för detta rambeslut får endast be­

handla dessa i sin egenskap av anställd vid den behöriga myn­

digheten eller efter instruktioner från denna, såvida det inte

föreligger rättsliga skyldigheter till annan behandling.

2.

Var och en som arbetar för en behörig myndighet i en

medlemsstat ska vara bunden av samtliga dataskyddsbestämmel­

ser som gäller för respektive behörig myndighet.

Artikel 22

Säkerhet i samband med behandlingen av uppgifter

1.

Medlemsstaterna ska se till att de behöriga myndigheterna

vidtar lämpliga tekniska och organisatoriska åtgärder för att

skydda personuppgifter från att utplånas genom olyckshändelse

eller otillåtna handlingar och från att gå förlorade genom

olyckshändelse samt från ändringar, otillåten spridning av eller

otillåten tillgång till uppgifter, särskilt om behandlingen innefat­

tar överföring av uppgifter i ett nätverk och/eller om uppgif­

terna gjorts tillgängliga genom direkt automatisk åtkomst, samt

mot varje annat slag av otillåten behandling, varvid hänsyn

särskilt ska tas till de risker som behandlingen innebär och arten

av de uppgifter som ska skyddas. Dessa åtgärder ska med be­

aktande av den befintliga tekniska nivån och de kostnader som

är förenade med åtgärdernas genomförande leda till att en

lämplig säkerhetsnivå uppnås i förhållande till de risker som

är förknippade med behandlingen och arten av de uppgifter

som ska skyddas.

2.

När det gäller automatisk databehandling ska varje med­

lemsstat vidta lämpliga åtgärder för att

a) förhindra att obehöriga kommer åt datorutrustning som an­

vänds för behandling av personuppgifter (åtkomstskydd för

utrustning),

b) förhindra att databärare läses, kopieras, ändras eller avlägsnas

av obehöriga (databärarkontroll),

c) förhindra obehörig införing av uppgifter och obehörig

granskning, ändring eller radering av lagrade personuppgifter

(lagringskontroll),

d) förhindra att obehöriga kan använda system för automatisk

databehandling med hjälp av utrustning för dataöverföring

(användarkontroll),

e) se till att personer som är behöriga att använda ett system

för automatisk databehandling endast har tillgång till upp­

gifter som omfattas av deras behörighet (åtkomstkontroll),

f) se till att det kan kontrolleras och fastställas till vilka organ

personuppgifter har överförts eller kan överföras och för

vilka organ uppgifterna har gjorts tillgängliga eller kan göras

tillgängliga med hjälp av utrustning för dataöverföring (kom­

munikationskontroll),

g) se till att det finns möjlighet att i efterhand kontrollera och

fastställa vilka personuppgifter som förts in i ett automatiskt

databehandlingssystem, samt när och av vem uppgifterna

infördes (indatakontroll),

h) förhindra obehörig läsning, kopiering, ändring eller radering

av personuppgifter i samband med överföring av sådana

uppgifter eller under transport av databärare (transportkont­

roll),

i) se till att de system som används kan återställas vid stör­

ningar (återställande),

j) se till att system fungerar, att funktionsfel rapporteras (drift­

säkerhet) och att de lagrade uppgifterna inte kan förvanskas

genom funktionsfel i systemet (dataintegritet).

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/69

3.

Medlemsstaternas ska sörja för att endast sådana personer

får utses till registerförare som kan ge garantier för att vidta de

nödvändiga tekniska och organisatoriska åtgärderna enligt

punkt 1 och beaktar anvisningarna i artikel 21. Den behöriga

myndigheten ska övervaka registerföraren i dessa avseenden.

4.

Personuppgifter får endast behandlas av en registerförare

på grundval av en rättsakt eller ett skriftligt avtal.

Artikel 23

Föregående samråd

Medlemsstaterna ska sörja för att de behöriga nationella tillsyn­

smyndigheterna rådfrågas före behandling av personuppgifter

när nya behandlingssystem inrättas om

a) särskilda uppgiftskategorier enligt artikel 6 behandlas, eller

om

b) behandlingens typ, särskilt användning av ny teknik, nya

mekanismer eller förfaranden, i övrigt innebär särskilda ris­

ker för registrerades grundläggande fri- och rättigheter och

framför allt deras rätt till privatliv.

Artikel 24

Påföljder

Medlemsstaterna ska anta lämpliga bestämmelser för att säker­

ställa att detta rambeslut genomförs fullt ut och framför allt

föreskriva effektiva, proportionella och avskräckande påföljder

för överträdelse av bestämmelser som antagits i enlighet med

detta rambeslut.

Artikel 25

Nationella tillsynsmyndigheter

1.

Varje medlemsstat ska se till att det utses en eller flera

myndigheter med uppgift att inom dess territorium vägleda och

övervaka tillämpningen av de bestämmelser som medlemssta­

terna antagit i enlighet med detta rambeslut. Dessa myndigheter

ska vara fullt oberoende när de fullgör sina åligganden.

2.

Varje tillsynsmyndighet ska framför allt ha

a) utredande befogenheter, som befogenhet att få tillgång till

uppgifter som blir föremål för behandling och befogenhet att

samla in all information som är nödvändig för att utföra

tillsynen,

b) faktisk befogenhet att ingripa, som till exempel att kunna

avge yttranden innan en behandling äger rum, att se till att

sådana yttranden i lämplig omfattning offentliggörs, att

kunna besluta om blockering, radering eller förstöring av

uppgifter, att kunna besluta om tillfälligt eller definitivt för­

bud mot behandling, att kunna ge den registeransvarige en

varning eller tillrättavisning eller att kunna hänskjuta frågor

till nationella parlament eller andra politiska institutioner,

c) befogenhet att inleda rättsliga förfaranden när de nationella

bestämmelser som antagits till följd av detta rambeslut har

överträtts eller att uppmärksamma de rättsliga myndighe­

terna på dessa överträdelser. Beslut av tillsynsmyndigheten,

som ger upphov till klagomål bör kunna överklagas till dom­

stol.

3.

Var och en ska kunna vända sig till tillsynsmyndigheten

med en begäran om skydd för sina fri- och rättigheter med

avseende på behandling av personuppgifter. Den berörda per­

sonen ska informeras om vilka följder hans begäran har fått.

4.

Medlemsstaterna ska föreskriva att tillsynsmyndighetens

ledamöter och personal ska vara bundna av de för respektive

behörig myndighet gällande dataskyddsbestämmelserna och ha

tystnadsplikt med avseende på konfidentiell information som de

har tillgång till även sedan deras uppdrag eller anställning upp­

hört.

Artikel 26

Förhållande till avtal med tredjestater

Detta rambeslut ska inte påverka medlemsstaternas eller unio­

nens skyldigheter och åtaganden enligt de bilaterala och/eller

multilaterala avtal med tredjestater som förelåg när detta ram­

beslut antogs.

När dessa avtal tillämpas ska överföringen till en tredjestat av

personuppgifter som erhållits från en annan medlemsstat ge­

nomföras med respekt för artikel 13.1 c eller 13.2, i tillämpliga

fall.

Artikel 27

Utvärdering

1.

Medlemsstaterna ska senast den 27 november 2013 rap­

portera till kommissionen om de nationella åtgärder som de har

vidtagit för att säkerställa fullständig efterlevnad av detta ram­

beslut, framför allt när det gäller de bestämmelser som redan

ska följas när uppgifter samlas in. Kommissionen ska särskilt

undersöka konsekvenserna av dessa bestämmelser för tillämp­

ningsområdet för detta rambeslut i enlighet med i artikel 1.2.

2.

Kommissionen ska inom ett år lämna rapport till Europa­

parlamentet och rådet om resultatet av den utvärdering som

avses i punkt 1 och tillsammans med rapporten lämna lämpliga

förslag till ändringar av detta rambeslut.

sv

L 350/70

Europeiska unionens officiella tidning

30.12.2008

Artikel 28

Förhållande till tidigare antagna unionsakter

Om rättsakter som antagits enligt avdelning VI i fördraget om

Europeiska unionen före den dag då detta rambeslut träder i

kraft och som reglerar utbytet av personuppgifter mellan med­

lemsstaterna eller tillgång för medlemsstaternas utsedda myndig­

heter till informationssystem som inrättats enligt fördraget om

upprättandet av Europeiska gemenskapen innehåller särskilda

villkor för den mottagande medlemsstatens användning av så­

dana uppgifter, ska dessa villkor ha företräde framför bestäm­

melserna i rambeslutet när det gäller användning av uppgifter

som tagits emot eller gjorts tillgängliga av en annan medlems­

stat.

Artikel 29

Genomförande

1.

Medlemsstaterna ska vidta de åtgärder som är nödvändiga

för att följa bestämmelserna i detta rambeslut före den 27 no­

vember 2010.

2.

Senast vid denna tidpunkt ska medlemsstaterna till rådets

generalsekretariat och kommissionen överlämna texten till de

bestämmelser genom vilka skyldigheterna enligt detta rambeslut

införlivas med deras nationella lagstiftning samt upplysningar

om de tillsynsmyndigheter som avses i artikel 25. På grundval

av denna information och en skriftlig rapport som kommissio­

nen utarbetar med hjälp av denna information ska rådet före

den 27 november 2011 bedöma i vilken utsträckning medlems­

staterna har följt bestämmelserna i detta rambeslut.

Artikel 30

Ikraftträdande

Detta rambeslut träder i kraft den tjugonde dagen efter det att

det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 27 november 2008.

På rådets vägnar

mN alliotMmarie

Ordförande

sv

30.12.2008

Europeiska unionens officiella tidning

L 350/71

iii

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

rÄttsakter som antagits i enlighet med avdelning vi i

fÖrdraget om europeiska unionen

RÅDETS BESLUT

av den 6 april 2009

om inrättande av Europeiska polisbyrån (Europol)

(2009/371/RIF)

europeiska unionens rÅd har beslutat fÖljande

med beaktande av fördraget om upprättandet av Europeiska

unionen, särskilt artiklarna 30.1 b, 30.2 och 34.2 c,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande ( 1 ), och

av följande skäl:

HQI

Inrättandet

av

en

europeisk

polisbyrå

(Europol)

besluta­

des inom ramen för fördraget om Europeiska unionen av

den 7 februari 1992 och reglerades i en konvention om

inrättandet av en europeisk polisbyrå (nedan kallad Euro­

polkonventionen) som utarbetats på grundval av artikel K.3

i fördraget om Europeiska unionen ( 2 ).

HRI

Europolkonventionen har varit föremål för ett antal änd­

ringar fastlagda i tre protokoll som trätt i kraft efter en

långdragen ratifikationsprocess. När konventionen ersätts

med ett beslut kommer det därför att bli lättare att vid

behov införa ytterligare ändringar.

(3) En

förenkling

och

förbättring

av

Europols

rättsliga

ram

kan delvis uppnås genom att Europol inrättas som en

EU-enhet, finansierad genom Europeiska unionens all­

männa budget, eftersom de generella reglerna och förfar­

andena då kommer att vara tillämpliga.

HTI

De

rättsliga

instrument

om

inrättande

av

liknande

EU-

enheter som antagits på senare tid på områden som

omfattas av avdelning VI i fördraget om Europeiska uni­

onen (rådets beslut 2002/187/RIF av den 28 februari

2002 om inrättande av Eurojust för att stärka kampen

mot grov brottslighet ( 3 ) och rådets beslut 2005/681/RIF

av den 20 september 2005 om inrättande av Europeiska

polisakademin (Cepol) ( 4 ) har haft formen av rådsbeslut,

eftersom sådana beslut lättare kan anpassas efter ändrade

förutsättningar och nya politiska prioriteringar.

(5) Ett

inrättande

av

Europol

som

en

EU-enhet,

finansierad

genom Europeiska unionens allmänna budget, kommer

att stärka Europaparlamentets roll i kontrollen av Euro­

pol, genom att Europarlamentet deltar i antagandet av

budgeten, inbegripet tjänsteförteckningen och förfarandet

för beviljande av ansvarsfrihet.

HVI

Att låta Europol omfattas av de generella regler och för­

faranden som gäller för liknande EU-enheter kommer att

medföra en administrativ förenkling, med följden att Eu­

ropol kan ägna mer av sina resurser åt sina huvudupp­

gifter.

HWI

En

ytterligare

förenkling

och

förbättring

av

Europols

funktion kan uppnås genom åtgärder som syftar till att

öka Europols möjligheter att bistå och stödja medlems­

staternas brottsbekämpande myndigheter utan att ge Eu­

ropols personal verkställande befogenheter.

(8)

En sådan förbättring är att säkerställa att Europol kan

bistå medlemsstaternas behöriga myndigheter när det gäl­

ler att bekämpa särskilda former av allvarlig brottslighet,

utan den nuvarande begränsningen att det måste före­

ligga faktiska omständigheter som visar på förekomsten

av en brottslig organisation eller struktur.

HYI Inrättandet

av

gemensamma

utredningsgrupper

bör

främ­

jas och det är viktigt att personal från Europol kan delta i

dessa. För att se till att detta deltagande blir möjligt i alla

medlemsstater bör det garanteras att personal från Euro­

pol inte åtnjuter immunitet när de deltar i en stödjande

funktion i gemensamma utredningsgrupper. Detta kom­

mer att bli möjligt efter antagandet av en förordning i

detta syfte på grundval av artikel 16 i Protokollet om

Europeiska gemenskapernas immunitet och privilegier.

HQPI

För

att

undvika

onödiga

förfaranden

bör

Europols

natio­

nella enheter ha direkt tillgång till alla uppgifter i Euro­

pols informationssystem.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/37

H 1 I y´´²¡®¤¥ ¡¶ ¤¥® QW ª¡®µ¡²© RPPX Hä®®µ ¥ª ¯¦¦¥®´¬©§§ª¯²´ © eutIN

H 2 I egt c SQVL RWNQQNQYYUL ³N QN

H 3 I egt l VSL VNSNRPPRL ³N QN

H 4 I eut l RUVL QNQPNRPPUL ³N VSN

HQQI

För att förverkliga sina mål kommer Europol att be­

handla personuppgifter automatiserat eller i strukturerade

manuella register. Man bör därför vidta de åtgärder som

behövs för att garantera en skyddsnivå för personupp­

gifter motsvarande åtminstone den som följer av princi­

perna i Europarådets konvention om skydd för enskilda

vid automatisk databehandling av personuppgifter, un­

dertecknad i Strasbourg den 28 januari 1981, samt se­

nare ändringar, så snart som dessa ändringar har trätt i

kraft i medlemsstaterna.

(12) Rådets

rambeslut

om

skydd

av

personuppgifter

som

be­

handlas inom ramen för polissamarbete och straffrättsligt

samarbete vid behandlingen av personuppgifter kommer

att tillämpas på medlemsstaternas överföring av person­

uppgifter till Europol. De dataskyddsbestämmelser som

berörs i det här beslutet kommer inte att påverkas av

det rambeslutet och det här beslutet bör innehålla sär­

skilda bestämmelser om skyddet av personuppgifter som

reglerar dessa frågor närmare på grund av Europols sär­

skilda karaktär, uppgifter och befogenheter.

HQSI

Det finns ett behov av ett uppgiftsskyddsombud som

ansvarar för att på ett oberoende sätt se till att behand­

lingen av personuppgifter är lagenlig och att bestämmel­

serna i detta beslut om behandling av personuppgifter

följs, vilket även gäller behandlingen av personuppgifter

om Europols personal, som är skyddad av artikel 24 i

rådets förordning (EG) nr 45/2001 av den 18 december

2000 om skydd för enskilda då gemenskapsinstitutio­

nerna och gemenskapsorganen behandlar personupp­

gifter och om den fria rörligheten av sådana uppgifter ( 1 ).

HQTI

Europols

nuvarande

möjligheter

att

införa

och

förvalta

system för behandling av uppgifter till stöd för sina ar­

betsuppgifter bör utökas. Sådana tillkommande system

för behandling av uppgifter bör genom ett styrelsebeslut,

som ska godkännas av rådet, inrättas och underhållas i

enlighet med de allmänna principerna för skydd av upp­

gifter i Europarådets konvention om skydd av individer

med avseende på automatisk behandling av personupp­

gifter av den 28 januari 1981 och Europarådets minister­

kommittés rekommendation R(87) 15 av den 17 septem­

ber 1987.

(15) Detta

beslut

gör

det

möjligt

att

ta

hänsyn

till

principen

om allmänhetens tillgång till offentliga handlingar.

HQVI

För

att

kunna

utföra

sitt

uppdrag

bör

Europol

samarbeta

med europeiska organ, kontor och byråer som sörjer för

tillräckligt skydd av uppgifter, däribland Eurojust.

HQWI

Europol

bör

kunna

ingå

överenskommelser

och

samar­

betsavtal med institutioner, organ, kontor och byråer

som har anknytning till unionen eller gemenskapen för

att dessa tillsammans effektivare ska kunna bekämpa all­

varlig brottslighet som faller under båda parters behörig­

het samt för att undvika dubbelarbete.

(18) Europols

möjligheter

att

samarbeta

med

tredjestater

och

organisationer bör rationaliseras för att säkra överens­

stämmelse med Europeiska unionens generella politik i

detta hänseende, och det bör antas nya bestämmelser om

hur sådant samarbete bör ske i framtiden.

HQYI

Förvaltningen

av

Europol

bör

förbättras

genom

förenk­

lade förfaranden, en mer generell beskrivning av styrel­

sens uppdrag och genom införandet av en generell regel

om att alla beslut bör fattas med två tredjedels majoritet.

(20) Det

är

också

önskvärt

att

det

införs

bestämmelser

om

ökad kontroll över Europol via Europaparlamentet för

att säkerställa att Europol förblir en organisation som

är fullt ansvarig och öppen för insyn, samtidigt som

man vederbörligen beaktar behovet av att säkerställa sek­

retessen för operativ information.

HRQI

Domstolskontrollen

över

Europol

kommer

att

utövas

i

enlighet med artikel 35 i fördraget om Europeiska unio­

nen.

(22) För att Europol ska kunna fortsätta att utföra sina upp­

drag efter bästa förmåga bör det föreskrivas omsorgsfullt

utformade övergångsbestämmelser.

HRSI

Eftersom

målet

för

detta

beslut,

nämligen

inrättandet

av

en enhet som är ansvarig för samarbetet inom brottsbe­

kämpande verksamhet på unionsnivå, inte i tillräcklig

utsträckning kan uppnås av medlemsstaterna och det

därför, på grund av åtgärdens omfattning och verkningar,

bättre kan uppnås på unionsnivå, kan unionen vidta åt­

gärder i enlighet med subsidiaritetsprincipen, som defini­

eras i artikel 5 i fördraget om upprättandet av Europeiska

gemenskapen och som det hänvisas till i artikel 2 i för­

draget om Europeiska unionen. I enlighet med propor­

tionalitetsprincipen i artikel 5 i fördraget om upprättan­

det av Europeiska gemenskapen går detta beslut inte utö­

ver vad som är nödvändigt för att uppnå detta mål.

SV

L 121/38

Europeiska unionens officiella tidning

15.5.2009

H 1 I egt l XL QRNQNRPPQL ³N QN

HRTI

Detta

beslut

respekterar

de

grundläggande

rättigheterna

och iakttar de principer som erkänns särskilt i Europeiska

unionens stadga om de grundläggande rättigheterna.

hÄrigenom fÖreskrivs fÖljandeN

kapitel i

INRÄTTANDE OCH ARBETSUPPGIFTER

Artikel 1

Inrättande

1. Genom

detta

beslut

ersätts

bestämmelserna

i

konventio­

nen på grundval av artikel K.3 i fördraget om Europeiska uni­

onen om inrättandet av en europeisk polisbyrå (”Europolkon­

ventionen”).

Europol ska ha sitt säte i Haag, Nederländerna.

2. Europol,

enligt

detta

beslut,

ska

betraktas

som

den

rätts­

liga efterträdaren till Europol som inrättades genom Europol­

konventionen.

3. Europol

ska

samarbeta

med

en

enda

nationell

enhet

i

varje

medlemsstat, vilken ska inrättas eller utses i enlighet med arti­

kel 8.

Artikel 2

Rättskapacitet

1. Europol

ska

vara

en

juridisk

person.

2. I

varje

medlemsstat

ska

Europol

ha

den

mest

omfattande

rättskapacitet som lagstiftningen i den medlemsstaten kan till­

erkänna juridiska personer. Europol ska särskilt kunna förvärva

och avyttra fast och lös egendom samt föra talan inför dom­

stolar och andra myndigheter.

3. Europol ska ha behörighet att sluta en överenskommelse

om säte med Konungariket Nederländerna.

Artikel 3

Målsättning

Europol ska ha som målsättning att stödja och stärka medlems­

staternas behöriga myndigheters insatser och deras ömsesidiga

samarbete vad gäller förebyggandet av och kampen mot orga­

niserad brottslighet, terrorism och andra former av allvarlig

brottslighet som berör två eller flera medlemsstater.

I detta beslut avses med behöriga myndigheter alla offentliga or­

gan i medlemsstaterna som enligt den nationella lagstiftningen

är behöriga att förebygga och bekämpa brottslighet.

Artikel 4

Behörighet

1. Europols

behörighet

ska

omfatta

organiserad

brottslighet,

terrorism och andra former av allvarlig brottslighet som för­

tecknas i bilagan som berör två eller flera medlemsstater, på

ett sådant sätt att det krävs en gemensam åtgärd från medlems­

staternas sida på grund av brottslighetens omfattning, betydelse

och följder.

2. På

rekommendation

av

styrelsen

ska

rådet

fastställa

sina

prioriteringar för Europol, med särskild hänsyn till strategiska

analyser och hotbilder som utarbetats av Europol.

3. Europols

behörighet

ska

också

omfatta

brott

som

hör

samman med sådan brottslighet. Följande brott ska anses höra

samman med sådan brottslighet:

a) Brott som begås för att anskaffa medel till att begå gärningar

som omfattas av Europols behörighet.

b) Brott som begås för att underlätta eller utföra gärningar som

omfattas av Europols behörighet.

c) Brott som begås för att undgå lagföring och straff för gär­

ningar som omfattas av Europols behörighet.

Artikel 5

Arbetsuppgifter

1. Europol

ska

ha

följande

huvuduppgifter:

a) Samla in, lagra, behandla, analysera och utbyta information

och underrättelser.

b) Utan dröjsmål underrätta de behöriga myndigheterna i med­

lemsstaterna via den nationella enhet som avses i artikel 8

om information som berör dem och om eventuella samband

som konstaterats mellan brottsliga gärningar.

c) Underlätta utredningar i medlemsstaterna, särskilt genom att

översända all relevant information till de nationella enhe­

terna.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/39

d) Anmoda de behöriga myndigheterna i de berörda medlems­

staterna att inleda, genomföra eller samordna utredningar

och att föreslå att en gemensam utredningsgrupp i särskilda

fall inrättas.

e) Förse medlemsstaterna med underrättelser och analytiskt

stöd i samband med större internationella händelser.

f) Utarbeta hotbildsbedömningar, strategiska analyser och all­

männa lägesrapporter i samband med Europols målsättning,

inbegripet hotbildbedömningar avseende organiserad brotts­

lighet.

2. De

uppgifter

som

anges

i

punkt

1

ska

omfatta

stöd

till

medlemsstaterna när de samlar in och analyserar information

från Internet för att bidra till att identifiera brottslig verksamhet

som underlättats eller bedrivits genom användning av Internet.

3. Europol

ska

ha

följande

ytterligare

uppgifter:

a) Utveckla specialkunskaper om utredningsförfarandena vid

medlemsstaternas behöriga myndigheter och ge råd om ut­

redningar.

b) Tillhandahålla strategiska underrättelser för att underlätta och

främja en effektiv och rationell användning av tillgängliga

resurser på nationell nivå och unionsnivå för operativ verk­

samhet och stöd till sådan verksamhet.

4. I

fråga

om

det

mål

som

anges

i

artikel

3

får

Europol

dessutom, inom ramen för sina personal- och budgetresurser

och inom de gränser som styrelsen fastställer, bistå medlems­

staterna genom stöd, rådgivning och forskning särskilt på föl­

jande områden:

a) Utbildning av personal vid deras behöriga myndigheter,

eventuellt i samarbete med Europeiska polisakademin.

b) Organisation av och utrustning till dessa myndigheter genom

att underlätta tillhandahållandet av tekniskt bistånd mellan

medlemsstaterna.

c) Brottsförebyggande metoder.

d) Tekniska och forensiska metoder och analys samt utred­

ningsförfaranden.

5. Europol

ska

också

verka

som

centralbyrå

för

bekämpande

av förfalskning av euron i enlighet med rådets beslut

2005/511/RIF av den 12 juli 2005 om skydd av euron mot

förfalskning genom att Europol utses till centralbyrå för bekäm­

pande av förfalskning av euron ( 1 ). Europol får även främja

samordning av de åtgärder som genomförs av medlemsstaternas

behöriga myndigheter eller inom ramen för gemensamma ut­

redningsgrupper för att bekämpa förfalskning av euron, i före­

kommande fall i samverkan med EU-enheter och organ i tredje

stater. Europol får, om så begärs, lämna ekonomiskt stöd till

utredningar av euroförfalskning

Artikel 6

Deltagande i gemensamma utredningsgrupper

1. Europols personal får delta i en stödjande funktion i ge­

mensamma utredningsgrupper, inklusive sådana grupper som

inrättats i enlighet med artikel 1 i rådets rambeslut

2002/465/RIF av den 13 juni 2002 om gemensamma utred­

ningsgrupper ( 2 ), i enlighet med artikel 13 i konventionen av

den 29 maj 2000 om ömsesidig rättslig hjälp i brottmål mellan

Europeiska unionens medlemsstater ( 3 ), eller i enlighet med ar­

tikel 24 i konventionen av den 18 december 1997 om ömse­

sidigt bistånd och samarbete mellan tullförvaltningar ( 4 ), i den

mån som dessa grupper utreder brott för vilka Europol har

behörighet enligt artikel 4 i det här beslutet.

Europols personal får, inom de gränser som fastställs i lagstift­

ningen i de medlemsstater där den gemensamma utrednings­

gruppen är verksam och i enlighet med den överenskommelse

som avses i punkt 2, delta i all verksamhet och utbyta infor­

mation med alla medlemmar i den gemensamma utrednings­

gruppen, i enlighet med punkt 4. De ska emellertid inte delta i

genomförandet av eventuella tvångsåtgärder.

2. Det

administrativa

genomförandet

av

Europolpersonalens

deltagande i gemensamma utredningsgrupper ska fastställas i en

överenskommelse mellan direktören och de behöriga myndig­

heterna i de medlemsstater som deltar i den gemensamma ut­

redningsgruppen, med deltagande av de nationella enheterna.

Reglerna för sådana överenskommelser ska fastställas av styrel­

sen.

3. I

de

bestämmelser

som

avses

i

punkt

2

ska

det

anges

vilka villkor Europols personal ska ställas till den gemensamma

utredningsgruppens förfogande.

4. I

enlighet

med

den

överenskommelse

som

avses

i

punkt

2

får Europols personal upprätthålla direkta kontakter med med­

lemmarna i en gemensam utredningsgrupp och förse medlem­

mar och avdelade medlemmar i den gemensamma utrednings­

gruppen, i enlighet med detta beslut, med information från alla

komponenter i de informationsbehandlingssystem som avses i

artikel 10. Vid sådana direkta kontakter ska Europol samtidigt

informera de nationella enheterna i de medlemsstater som är

företrädda i gruppen samt de medlemsstater som lämnade in­

formationen om kontakterna.

SV

L 121/40

Europeiska unionens officiella tidning

15.5.2009

H 1 I eut l QXUL QVNWNRPPUL ³N SUN

H 2 I egt l QVRL RPNVNRPPRL ³N QN

H 3 I egt c QYWL QRNWNRPPPL ³N SN

H 4 I egt c RTL RSNQNQYYXL ³N RN

5. Information

som

någon

i

Europols

personal

erhåller

me­

dan han eller hon ingår i en gemensam utredningsgrupp får,

med samtycke från och under ansvar av den medlemsstat som

lämnade informationen, läggas till i vilken som helst av kom­

ponenterna i det informationsbehandlingssystem som avses i

artikel 10 på de villkor som anges i detta beslut.

6. Under

verksamhet

som

utförs

av

en

gemensam

utred­

ningsgrupp ska Europols personal, när det gäller brott som

begås mot den eller av den, vara underkastad den nationella

lagstiftning som är tillämplig på personer med jämförbara ar­

betsuppgifter i den medlemsstat där verksamheten äger rum.

Artikel 7

Framställningar från Europol om inledande av

brottsutredningar

1. Medlemsstaterna ska behandla varje framställning från Eu­

ropol om att de ska inleda, genomföra eller samordna utred­

ningar i särskilda fall och ta sådana framställningar under veder­

börligt övervägande. Medlemsstaterna ska underrätta Europol

om huruvida den begärda utredningen kommer att inledas.

2. Innan

Europol

gör

en

framställning

om

inledande

av

brottsutredningar ska Europol underrätta Eurojust om detta.

3. Om

de

behöriga

myndigheterna

i

medlemsstaten

beslutar

att inte efterkomma en framställning från Europol, ska de un­

derrätta Europol om sitt beslut och om skälen till detta, utom

om de inte kan ange något skäl på grund av att

a) detta skulle skada viktiga nationella säkerhetsintressen, eller

b) det skulle äventyra ett framgångsrikt genomförande av på­

gående utredningar eller enskilda personers säkerhet.

4. Svar på framställningar från Europol om att inleda, ge­

nomföra eller samordna utredningar i särskilda fall och under­

rättelser till Europol om resultatet av utredningar ska lämnas

genom de behöriga myndigheterna i medlemsstaterna i enlighet

med bestämmelserna i detta beslut och den relevanta nationella

lagstiftningen.

Artikel 8

Nationella enheter

1. Varje

medlemsstat

ska

inrätta

eller

utse

en

nationell

enhet

med ansvar för att utföra de uppgifter som anges i denna

artikel. En tjänsteman ska utses i varje medlemsstat som chef

för den nationella enheten.

2. Den nationella enheten ska fungera som det enda sam­

bandsorganet mellan Europol och de behöriga myndigheterna i

medlemsstaterna. Medlemsstaterna får dock tillåta direktkontakt

mellan utsedda behöriga myndigheter och Europol på villkor

som ska fastställas av medlemsstaten i fråga, däribland att kon­

takt först tas med den nationella enheten.

Den nationella enheten ska samtidigt från Europol erhålla even­

tuell information som utbytts under direkta kontakter mellan

Europol och utsedda behöriga myndigheter. Förbindelserna mel­

lan den nationella enheten och de behöriga myndigheterna ska

regleras av nationell lagstiftning och särskilt relevanta nationella

konstitutionella krav.

3. Medlemsstaterna

ska

vidta

nödvändiga

åtgärder

för

att

säkerställa att de nationella enheterna kan utföra sina uppgifter

och, särskilt, att de har tillgång till relevanta nationella uppgifter.

4. De

nationella

enheterna

ska

a) på eget initiativ förse Europol med den information och de

underrättelser som är nödvändiga för att Europol ska kunna

utföra sina uppgifter,

b) besvara framställningar från Europol om information, under­

rättelser och råd,

c) uppdatera information och underrättelser,

d) utvärdera information och underrättelser med iakttagande av

nationell lagstiftning för de behöriga myndigheternas räkning

och översända detta material till dem,

e) göra framställningar till Europol om råd, information, under­

rättelser och analyser,

f) överföra information till Europol för lagring i Europols da­

tabaser,

g) säkerställa att allt informationsutbyte mellan Europol och

dem själva sker enligt lag.

5. Utan

att

det

påverkar

medlemsstaternas

ansvar

för

att

upprätthålla lag och ordning och skydda den inre säkerheten

ska en nationell enhet inte vara skyldig att i ett konkret fall

överföra information eller underrättelser om det skulle medföra

att

a) viktiga nationella säkerhetsintressen skadas, eller

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/41

b) ett framgångsrikt genomförande av en pågående utredning

eller enskilda personers säkerhet äventyras, eller

c) uppgifter som sätts i samband med organisationer eller sär­

skild underrättelseverksamhet inom området för statens sä­

kerhet lämnas ut.

6. De

nationella

enheternas

kostnader

för

förbindelserna

med

Europol ska bäras av medlemsstaterna och ska, med undantag

för anslutningskostnader, inte debiteras Europol.

7. Cheferna för de nationella enheterna ska, på eget initiativ

eller på begäran av styrelsen eller direktören, sammanträda re­

gelbundet för att bistå Europol i operativa frågor, särskilt för att

a) överväga och utarbeta förslag som förbättrar Europols ope­

rativa effektivitet och uppmuntra medlemsstaternas engage­

mang,

b) utvärdera de rapporter och analyser som Europol upprättar i

enlighet med artikel 5.1 f, samt utveckla åtgärder för att

hjälpa till att genomföra slutsatserna i dessa,

c) stödja inrättandet av gemensamma utredningsgrupper med

deltagande av Europol i enlighet med artikel 5.1 d och arti­

kel 6.

Artikel 9

Sambandsmän

1. Varje

nationell

enhet

ska

utstationera

minst

en

sambands­

man till Europol. Om inte annat anges i särskilda bestämmelser

i detta beslut ska dessa sambandsmän vara underkastade den

utstationerande medlemsstatens nationella lagstiftning.

2. Sambandsmännen

ska

utgöra

nationella

sambandskontor

vid Europol och ska av sina nationella enheter ges i uppdrag att

företräda dessas intressen inom Europol i enlighet med den

utstationerande medlemsstatens nationella lagstiftning och i en­

lighet med de bestämmelser som gäller för Europols förvaltning.

3. Utan

att

det

påverkar

tillämpningen

av

artikel

8.4

och

8.5

ska sambandsmännen

a) förse Europol med information från den utstationerande na­

tionella enheten,

b) vidarebefordra information från Europol till den utstatione­

rande nationella enheten,

c) samarbeta med Europols personal genom att lämna informa­

tion och råd, och

d) delta i utbytet av information från sina nationella enheter

med sambandsmännen från andra medlemsstater under deras

ansvar i enlighet med nationell lagstiftning. Detta bilaterala

utbyte får också omfatta brott som ligger utanför Europols

behörighet, om det är tillåtet enligt nationell lagstiftning.

4. Artikel

35

ska

i

tillämpliga

delar

gälla

även

sambandsmän­

nens verksamhet.

5. Sambandsmännens

rättigheter

och

skyldigheter

gentemot

Europol ska fastställas av styrelsen.

6. Sambandsmännen

ska

åtnjuta

de

privilegier

och

den

im­

munitet som är nödvändiga för att de ska kunna utföra sina

uppgifter, i enlighet med artikel 51.2.

7. Europol

ska

se

till

att

sambandsmännen

har

fullständig

information om och är delaktiga i all Europols verksamhet, i

den utsträckning detta är förenligt med deras ställning.

8. Europol

ska

kostnadsfritt

ställa

nödvändiga

lokaler

till

medlemsstaternas förfogande i Europols byggnad och ge till­

räckligt stöd för att sambandsmännen ska kunna utöva sin

verksamhet. Alla andra kostnader som uppstår i samband

med utstationeringen av sambandsmän ska bäras av den utsta­

tionerande medlemsstaten, inbegripet kostnaderna för sam­

bandsmännens utrustning, om inte styrelsen i samband med

upprättandet av Europols budget rekommenderar annat i ett

särskilt fall.

kapitel ii

INFORMATIONSBEHANDLINGSSYSTEM

Artikel 10

Informationsbehandling

1. I

den

utsträckning

det

är

nödvändigt

för

att

Europol

ska

kunna uppnå sina mål ska Europol behandla information och

underrättelser, även personuppgifter, i enlighet med detta beslut.

Europol ska upprätta och förvalta Europols informationssystem

som avses i artikel 11 och de analysregister som avses i arti­

kel 14. Europol får även upprätta och driva andra system som

behandlar personuppgifter och som har inrättats i enlighet med

punkterna 2 och 3 i den här artikeln.

2. Styrelsen

ska

förslag

av

direktören

och

efter

att

ha

beaktat de möjligheter som erbjuds genom Europols befintliga

system för behandling av uppgifter och rådfrågat den gemen­

samma tillsynsmyndigheten fatta beslut om att upprätta ett nytt

system för behandling av personuppgifter. Styrelsens beslut ska

föreläggas rådet för godkännande.

SV

L 121/42

Europeiska unionens officiella tidning

15.5.2009

3. Det

styrelsebeslut

som

avses

i

punkt

2

ska

fastställa

enligt

vilka villkor och med vilka begränsningar Europol får upprätta

det nya systemet för behandling av personuppgifter. Styrelse­

beslutet får medge behandling av personuppgifter om personer i

de kategorier som avses i artikel 14.1, dock ej behandling av

personuppgifter som avslöjar ras eller etniskt ursprung, politiska

åsikter, religiös eller filosofisk övertygelse och medlemskap i

fackförening samt behandling av uppgifter om hälsa eller sex­

ualliv. Styrelsebeslutet ska garantera att de åtgärder och princi­

per som avses i artiklarna 18, 19, 20, 27, 29 och 35 genomförs

på rätt sätt. Framför allt ska man i styrelsebeslutet definiera

syftet med det nya systemet, tillgången till och användningen

av uppgifter samt tidsgränser för lagring och utplåning av upp­

gifter.

4. Europol

får

behandla

uppgifter

i

syfte

att

fastställa

huru­

vida dessa uppgifter är relevanta för Europols arbetsuppgifter

och kan införas i Europols informationssystem enligt artikel 11

och de analysregister som avses i artikel 14 eller andra system

för behandling av personuppgifter som upprättats i enlighet

med punkterna 2 och 3 i den här artikeln. Styrelsen ska på

förslag av direktören och efter att ha rådfrågat den gemen­

samma tillsynsmyndigheten fatta beslut om villkoren för be­

handling av sådana uppgifter, särskilt när det gäller tillgång

till och användning av uppgifterna samt tidsgränser för lagring

och utplåning av uppgifterna vilka inte får överskrida sex må­

nader, med vederbörlig hänsyn till de principer som avses i

artikel 27. Styrelsens beslut ska föreläggas rådet för godkän­

nande.

Artikel 11

Europols informationssystem

1. Europol

ska

förvalta

Europols

informationssystem.

2. Europol

ska

se

till

att

bestämmelserna

i

detta

beslut

om

driften av Europols informationssystem följs. Europol ska an­

svara för att Europols informationssystem fungerar väl tekniskt

och driftsmässigt och ska särskilt vidta alla nödvändiga åtgärder

för att se till att de åtgärder som avses i artiklarna 20, 29, 31

och 35 angående Europols informationssystem tillämpas kor­

rekt.

3. Den

nationella

enheten

i

varje

medlemsstat

ska

ansvara

för

förbindelserna med Europols informationssystem. Den ska sär­

skilt ansvara för de säkerhetsåtgärder som anges i artikel 35

rörande den databehandlingsutrustning som används på den

berörda medlemsstatens territorium, den kontroll som anges i

artikel 20 samt, i den mån den berörda medlemsstatens lagar

och andra författningar samt förfaranden så fordrar, för en

korrekt tillämpning av detta beslut i andra hänseenden.

Artikel 12

Innehållet i Europols informationssystem

1. Europols

informationssystem

får

endast

användas

för

att

behandla sådana uppgifter som är nödvändiga för utförandet av

Europols uppgifter. De uppgifter som införs ska gälla

a) personer som, i enlighet med den berörda medlemsstatens

nationella lagstiftning, misstänks för att ha begått eller varit

delaktiga i ett brott som omfattas av Europols behörighet

eller som har dömts för ett sådant brott,

b) personer avseende vilka det i enlighet med den berörda med­

lemsstatens nationella lagstiftning finns faktiska indikationer

på eller rimliga skäl att anta att de kommer att begå brott

som omfattas av Europols behörighet.

2. Uppgifter

om

de

personer

som

avses

i

punkt

1

får

endast

innehålla följande upplysningar:

a) Efternamn, namn som ogift, förnamn och i förekommande

fall aliasnamn eller antagna namn.

b) Födelsedatum och födelseort.

c) Medborgarskap.

d) Kön.

e) Den berörda personens hemvist, yrke och vistelseort.

f) Personnummer, körkort, identitetshandlingar och passuppgif­

ter.

g) Vid behov, andra kännetecken som möjliggör identifiering,

särskilt speciella objektiva och bestående fysiska känne­

tecken, t.ex. fingeravtrycksuppgifter och DNA-profil (upprät­

tad utifrån den icke-kodande delen av DNA).

3. Förutom

de

upplysningar

som

anges

i

punkt

2

får

Euro­

pols informationssystem också användas för att behandla föl­

jande uppgifter om de personer som avses i punkt 1:

a) Brott, påstådda brott och uppgift om när och var och hur de

har (påstås ha) begåtts.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/43

b) De medel som har använts eller kan komma att användas för

att begå de brottsliga gärningarna, inbegripet information

om juridiska personer.

c) De avdelningar som handlägger ärendet och deras aktbeteck­

ningar.

d) Misstanke om tillhörighet till en kriminell organisation.

e) Fällande domar, om de rör brott som omfattas av Europols

behörighet.

f) Den part som för in uppgifterna.

Dessa uppgifter kan föras in även om de ännu inte hänvisar till

personer. Om Europol själv för in uppgifterna ska förutom

aktbeteckningen även källan till uppgifterna anges.

4. Ytterligare information om de personer som avses i punkt

1 som finns hos Europol eller de nationella enheterna får på

begäran överlämnas till varje nationell enhet eller till Europol.

De nationella enheterna ska göra detta med iakttagande av sin

nationella lagstiftning.

I de fall där denna ytterligare information rör ett eller flera brott

som hör samman med sådan brottslighet, enligt definitionen i

artikel 4.3, ska de uppgifter som lagrats i Europols informa­

tionssystem förses med en markering för att ge de nationella

enheterna och Europol möjlighet att utbyta information om

sådana brott.

5. Om

ett

förfarande

som

har

inletts

mot

den

berörda

per­

sonen slutgiltigt läggs ned, eller om denne slutgiltigt frikänns,

ska de uppgifter som rör det mål där någotdera beslutet har

fattats utplånas.

Artikel 13

Användning av Europols informationssystem

1. De

nationella

enheterna,

sambandsmännen

samt

direk­

tören, de biträdande direktörerna och vederbörligen bemyndigad

personal vid Europol ska ha rätt att direkt föra in och söka efter

uppgifter i Europols informationssystem. Europol får söka efter

uppgifter om det är nödvändigt för att Europol ska kunna ut­

föra sina arbetsuppgifter i ett visst fall. De nationella enheternas

och sambandsmännens hämtning av uppgifter ska ske i enlighet

med lagar och andra författningar samt förfaranden som gäller

för den part som företar sökningen, om inte annat följer av

kompletterande bestämmelser i detta beslut.

2. Endast

den

part

som

har

fört

in

uppgifter

får

ändra,

rätta

eller utplåna dem. Om en annan part har anledning att anta att

uppgifter som avses i artikel 12.2 är felaktiga, eller om den

önskar komplettera dem, ska den omedelbart underrätta den

part som har fört in uppgifterna. Den part som har fört in

uppgifterna ska utan dröjsmål undersöka sådan information

och om det är nödvändigt omedelbart ändra, komplettera, rätta

eller utplåna uppgifterna.

3. Om

systemet

innehåller

uppgifter

som

avses

i

artikel

12.3

rörande en person, kan varje part föra in sådana kompletterande

uppgifter som avses i den bestämmelsen. Om uppgifterna står i

uppenbar motsägelse till varandra ska de berörda parterna råd­

göra med varandra och nå enighet.

4. Om

en

part

har

för

avsikt

att

helt

utplåna

uppgifter

som

avses i artikel 12.2 som den har fört in om en person och

uppgifter som avses i artikel 12.3 rörande denna person har

förts in av andra parter, ska ansvaret enligt dataskyddslagstift­

ningen enligt artikel 29.1 och rätten att ändra, komplettera,

rätta och utplåna sådana uppgifter som avses i artikel 12.2

överföras till nästa part som fört in sådana uppgifter som avses

i artikel 12.3 om den personen. Den part som har för avsikt att

utplåna uppgifterna ska informera den part på vilken ansvaret

enligt dataskyddslagstiftningen överförs om sin avsikt.

5. Den part som söker efter, för in eller ändrar uppgifter i

Europols informationssystem är ansvarig för att sökningen, in­

förandet eller ändringarna är lagliga. Denna part måste kunna

identifieras. Överföringen av information mellan nationella en­

heter och de behöriga myndigheterna i medlemsstaterna ska

regleras av nationell lagstiftning.

6. Förutom de nationella enheterna och de personer som

avses i punkt 1 får också de behöriga myndigheter som med­

lemsstaterna har utsett för detta ändamål göra sökningar i Euro­

pols informationsregister. Resultatet av en sådan sökning ska

dock endast visa om de begärda uppgifterna finns tillgängliga

i Europols informationsregister. Ytterligare information kan då

erhållas genom den nationella enheten.

7. Information

om

de

behöriga

myndigheter

som

har

utsetts

i enlighet med punkt 6, inklusive senare ändringar, ska över­

sändas till rådets generalsekretariat, som ska offentliggöra infor­

mationen i Europeiska unionens officiella tidning.

Artikel 14

Analysregister

1. När

det

är

nödvändigt

för

att

Europol

ska

kunna

utföra

sina arbetsuppgifter får Europol i analysregister lagra, ändra och

använda uppgifter om brottslighet som omfattas av dess behö­

righet, inbegripet uppgifter om brott som hör samman med

sådan brottslighet enligt artikel 4.3. Analysregistren får innehålla

uppgifter om följande personkategorier:

a) De personer som avses i artikel 12.1.

SV

L 121/44

Europeiska unionens officiella tidning

15.5.2009

b) Personer som kan kallas att vittna i utredningar om de aktu­

ella brotten eller i efterföljande straffrättsliga förfaranden.

c) Personer som har varit offer för något av de aktuella brotten

eller avseende vilka det finns vissa omständigheter som ger

anledning att anta att de skulle kunna bli offer för ett sådant

brott.

d) Kontakter eller medhjälpare.

e) Personer som kan lämna uppgifter om de aktuella brotten.

Behandling av personuppgifter som avslöjar ras eller etniskt

ursprung, politiska åsikter, religiös eller filosofisk övertygelse

eller medlemskap i fackförening samt behandling av uppgifter

som rör hälsa och sexualliv ska tillåtas endast om det är strikt

nödvändigt med hänsyn till ändamålet med det berörda registret

och om dessa uppgifter kompletterar andra personuppgifter

som redan förts in i samma register. Det ska vara förbjudet

att i strid med de ovannämnda reglerna om ändamål välja ut

en särskild kategori av personer enbart på grundval av de ovan­

nämnda känsliga uppgifterna.

Rådet ska med kvalificerad majoritet efter att ha hört Europa­

parlamentet anta tillämpningsföreskrifter för analysregistren

som utarbetats av styrelsen efter det att den erhållit ett yttrande

från den gemensamma tillsynsmyndigheten; dessa föreskrifter

ska innehålla ytterligare detaljer, särskilt rörande de kategorier

av personuppgifter som avses i denna artikel, om säkerheten för

dessa uppgifter och om intern kontroll av deras användning.

2. Analysregister

ska

upprättas

för

analysändamål,

vilka

defi­

nieras som insamling, behandling eller användning av uppgifter

för att bistå vid brottsutredningar. Varje analysprojekt ska med­

föra att en analysgrupp inrättas, till vilken följande deltagare ska

vara nära knutna:

a) Analytiker och annan personal vid Europol som har utsetts

av direktören.

b) Sambandsmän och/eller experter från de medlemsstater som

lämnar informationen eller som berörs av analysen på det

sätt som avses i punkt 4.

Endast analytikerna ska ha tillstånd att föra in och ändra upp­

gifter i det berörda registret. Alla deltagare i analysgruppen får

hämta uppgifter i registret.

3. Om

inte

annat

följer

av

artikel

8.5

ska

de

nationella

enhe­

terna, på Europols begäran eller på eget initiativ, till Europol

översända all information som Europol kan behöva för det

berörda analysregistret. Medlemsstaterna ska översända uppgif­

terna endast om behandling av dessa för brottsförebyggande,

analys och brottsbekämpning också är tillåten enligt deras na­

tionella lagstiftning. Beroende på hur brådskande saken är, får

uppgifter från de utsedda behöriga myndigheterna sändas direkt

till analysregistren i enlighet med artikel 8.2.

4. Om analysen är av allmän karaktär och av strategiskt slag

ska alla medlemsstater, genom sambandsmän och/eller experter,

vara fullt delaktiga i resultatet av analysen, särskilt genom att

Europols rapporter översänds till dem.

Om en analys rör ett specifikt fall som inte berör alla medlems­

stater och har ett direkt operativt syfte, ska företrädare för

följande medlemsstater delta i den:

a) Medlemsstater från vilka den information härrör som har lett

till att ett beslut om att upprätta analysregistret fattades, eller

vilka berörs direkt av den informationen och medlemsstater

som analysgruppen senare inbjudit att delta i analysen efter­

som även de kommit att beröras.

b) Medlemsstater som vid en sökning i den indexfunktion som

avses i artikel 15 finner att de har behov av att ta del av

informationen och som gör detta gällande under de villkor

som anges i punkt 5 i den här artikeln.

5. De

bemyndigade

sambandsmännen

kan

göra

gällande

be­

hovet av att ta del av information. Varje medlemsstat ska utse

och bemyndiga ett begränsat antal sådana sambandsmän.

En sambandsman ska göra gällande behovet av att ta del av

information enligt punkt 4 andra stycket led b i en motiverad

skrivelse som har godkänts av dennes överordnade myndighet i

dennes medlemsstat och översänts till alla deltagare i analysen.

Sambandsmannen blir därefter fullt ut delaktig i den pågående

analysen.

Om en invändning framförs inom analysgruppen, ska sam­

bandsmannens deltagande skjutas upp till dess att ett förlik­

ningsförfarande har avslutats, vilket ska bestå av följande tre

faser:

a) Analysdeltagarna ska sträva efter att nå enighet med den

sambandsman som har gjort gällande behovet av att ta del

av information. Detta får ta högst åtta dagar i anspråk.

b) Om enighet inte kan nås, ska cheferna för de berörda na­

tionella enheterna och direktören sammanträda inom tre

dagar för att försöka nå enighet.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/45

c) Om oenigheten kvarstår, ska de berörda parternas företrä­

dare i Europols styrelse sammanträda inom åtta dagar. Om

den berörda medlemsstaten inte avstår från att göra gällande

sitt behov att ta del av information, ska det beslutas i sam­

förstånd om dess deltagande.

6. Det

är

endast

den

medlemsstat

som

överför

en

uppgift

till

Europol som ska bedöma dess känslighetsgrad och hur denna

känslighet varierar och fastställa hur uppgiften ska hanteras.

Varje spridning eller operativ användning av överförda uppgifter

ska beslutas av den medlemsstat som överförde uppgifterna till

Europol. Om det inte går att fastställa vilken medlemsstat som

överfört uppgifterna till Europol, ska beslutet om spridning eller

operativ användning av uppgifter fattas av analysdeltagarna. En

medlemsstat eller en medverkande expert som ansluter sig till

en pågående analys får särskilt inte sprida eller använda upp­

gifter utan föregående samtycke från de medlemsstater som i

första hand berörs.

7. Med

avvikelse

från

punkt

6

ska,

i

sådana

fall

där

Europol

efter den tidpunkt då uppgifter förs in i ett analysregister

konstaterar att uppgifterna avser en person eller ett föremål

om vilka en annan medlemsstat eller en tredje part redan har

fört in uppgifter i registret, berörda medlemsstaten eller tredje

parten omedelbart underrättas om det samband som har kon­

staterats, i enlighet med artikel 17.

8. Europol

får

bjuda

in

experter

från

sådana

enheter

som

avses i artiklarna 22.1 eller 23.1 att medverka i en analysgrupps

verksamhet, om

a) det finns en gällande överenskommelse eller ett gällande

samarbetsavtal enligt artiklarna 22.2 och 23.2 mellan Euro­

pol och den berörda enheten med lämpliga bestämmelser

om informationsutbyte, inklusive överföring av personupp­

gifter, samt om sekretess för den utbytta informationen,

b) medverkan av experter från enheten ligger i medlemsstater­

nas intresse,

c) enheten är direkt berörd av analysarbetet, och

d) alla deltagare enas om att låta experterna från enheten med­

verka i analysgruppens verksamhet.

På de villkor som anges i leden b, c och d i första stycket ska

Europol bjuda in experter från Europeiska byrån för bedrägeri­

bekämpning att medverka i analysgruppens verksamhet, om

analysprojektet berör bedrägerier eller annan olaglig verksamhet

som påverkar Europeiska gemenskapernas finansiella intressen.

Medverkan av experter från en enhet i en analysgrupps verk­

samhet ska regleras av en överenskommelse mellan Europol och

enheten. Reglerna för sådana överenskommelser ska fastställas

av styrelsen.

Uppgifter om överenskommelserna mellan Europol och enhe­

terna ska sändas till den gemensamma tillsynsmyndigheten, som

får lämna alla synpunkter som den anser nödvändiga till styrel­

sen.

Artikel 15

Indexfunktion

1. Europol

ska

skapa

en

indexfunktion

för

de

uppgifter

som

finns lagrade i analysregistren.

2. Direktören,

de

biträdande

direktörerna,

personal

och

sam­

bandsmän vid Europol med vederbörligt bemyndigande samt

vederbörligen bemyndigade tjänstemän vid de nationella enhe­

terna ska ha rätt att få tillgång till indexfunktionen. Indexfunk­

tionen ska vara utformad så att det på grundval av de uppgifter

som söks klart framgår för den person som använder den om

ett analysregister innehåller uppgifter som är av intresse för

utförandet av den personens arbetsuppgifter.

3. Tillgången

till

indexfunktionen

ska

bestämmas

ett

så­

dant sätt att det är möjligt att avgöra om en viss uppgift finns

lagrad i ett analysregister eller inte, men utan att det är möjligt

att konstatera samband eller dra slutsatser om registrets inne­

håll.

4. Styrelsen

ska

fastställa

de

närmare

förfarandena

för

ut­

formningen av indexfunktionen, inbegripet villkoren för tillgång

till indexfunktionen, efter utlåtande av den gemensamma till­

synsmyndigheten.

Artikel 16

Instruktion om att upprätta ett analysregister

1. För

varje

analysregister

ska

direktören

i

en

instruktion

om

att registret ska upprättas ange

a) registrets benämning,

b) registrets ändamål,

c) de kategorier av personer om vilka uppgifter lagras,

d) den typ av uppgifter som ska lagras, samt sådana person­

uppgifter som avslöjar ras eller etniskt ursprung, politiska

åsikter, religiös eller filosofisk övertygelse eller medlemskap

i fackförening liksom uppgifter om hälsa och sexualliv som

är strikt nödvändiga,

SV

L 121/46

Europeiska unionens officiella tidning

15.5.2009

e) den allmänna bakgrunden till instruktionen om att upprätta

registret,

f) deltagarna i analysgruppen vid den tidpunkt då registret upp­

rättas,

g) de förutsättningar under vilka personuppgifter som lagras i

registret får översändas, till vilka mottagare och enligt vilket

förfarande,

h) tidsfristerna för kontroll av uppgifter och hur länge de får

lagras,

i) hur loggar skapas.

2. Styrelsen

och

den

gemensamma

tillsynsmyndigheten

ska

omedelbart underrättas av direktören om instruktionen om att

upprätta registret eller eventuella senare ändringar av de enligt

punkt 1 angivna uppgifterna och ska tillställas akten. Den ge­

mensamma tillsynsmyndigheten får lämna alla synpunkter som

den anser nödvändiga till styrelsen. Direktören får begära att

den gemensamma tillsynsmyndigheten gör detta inom en viss

tidsperiod.

3. Analysregister

får

bevaras

i

högst

tre

år.

Före

utgången

av

denna treårsperiod ska Europol undersöka om det är nödvän­

digt att registret bevaras. Direktören får, om det är strikt nöd­

vändigt för registrets ändamål, besluta att registret ska bevaras

under ytterligare en treårsperiod. Styrelsen och den gemen­

samma tillsynsmyndigheten ska omedelbart underrättas av di­

rektören om de omständigheter i ärendet som gör att det är

strikt nödvändigt att bevara registret. Den gemensamma tillsyns­

myndigheten ska lämna alla synpunkter som den anser nödvän­

diga till styrelsen. Direktören får begära att den gemensamma

tillsynsmyndigheten gör detta inom en viss tidsperiod.

4. Styrelsen

får

när

som

helst

anmoda

direktören

att

ändra

en instruktion om upprättande av ett analysregister eller att

avsluta ett analysregister. Styrelsen ska besluta från och med

vilket datum sådana ändringar eller avslutanden ska gälla.

kapitel iii

GEMENSAMMA BESTÄMMELSER OM

INFORMATIONSBEHANDLING

Artikel 17

Skyldighet att lämna uppgifter

Utan att det påverkar tillämpningen av artikel 14.6 och 14.7,

ska Europol utan dröjsmål till de nationella enheterna, och på

deras begäran till deras sambandsmän, lämna alla uppgifter som

rör deras medlemsstat och de samband som har kunnat kon­

stateras mellan brott som omfattas av Europols behörighet en­

ligt artikel 4. Information och underrättelser om andra allvarliga

brott som Europol får kännedom om när den utför sina upp­

gifter får också lämnas.

Artikel 18

Bestämmelser om kontroll av hämtning av uppgifter

Europol ska i samarbete med medlemsstaterna inrätta lämpliga

kontrollmekanismer som möjliggör kontroll av lagligheten hos

hämtning av uppgifter i något av dess dataregister som används

för att behandla personuppgifter och på begäran ge medlems­

staterna tillgång till loggarna. De uppgifter som samlas in på

detta sätt får endast användas för sådan kontroll av Europol och

de tillsynsmyndigheter som avses i artiklarna 33 och 34 och ska

utplånas efter arton månader, om inte uppgifterna är nödvän­

diga för en pågående kontroll. Styrelsen ska anta närmare be­

stämmelser för sådana kontrollmekanismer efter att ha hört den

gemensamma tillsynsmyndigheten.

Artikel 19

Regler om användning av uppgifter

1. Personuppgifter

som

hämtats

ur

något

av

Europols

data­

behandlingsregister eller översänts på annat lämpligt sätt ska

överföras eller användas endast av medlemsstaternas behöriga

myndigheter för att förebygga och bekämpa brottslighet som

omfattas av Europols behörighet och för att förebygga och

bekämpa andra allvarliga former av brottslighet. Europol får

använda uppgifterna endast för att utföra sina arbetsuppgifter.

2. Om en medlemsstat eller en tredjestat eller tredje part när

den lämnar vissa uppgifter anger att de omfattas av särskilda

användningsrestriktioner i medlemsstaten eller tredjestaten eller

hos den tredje parten, ska dessa restriktioner även respekteras av

användaren av uppgifterna, förutom i de särskilda fall där den

nationella lagstiftningen kräver att man gör avsteg från använd­

ningsrestriktionerna till förmån för rättsliga myndigheter, lag­

stiftande organ eller alla andra oberoende instanser som upp­

rättats genom lag och som ansvarar för tillsynen av de behöriga

nationella myndigheterna. I sådana fall ska uppgifterna användas

endast efter samråd med den medlemsstat som lämnat uppgif­

terna, vars intressen och åsikter i möjligaste mån ska beaktas.

3. Användning

av

uppgifterna

för

andra

ändamål

eller

av

andra myndigheter än de behöriga nationella myndigheterna

ska vara möjlig endast efter samråd med den medlemsstat

som lämnade uppgifterna och i den mån denna medlemsstats

nationella lagstiftning tillåter det.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/47

Artikel 20

Tidsfrister för lagring och utplåning av uppgifter i

dataregister

1. Uppgifter

i

dataregister

får

inte

lagras

av

Europol

längre

än

vad som är nödvändigt för att Europol ska kunna utföra sina

arbetsuppgifter. Behovet av att fortsätta lagra uppgifterna ska

undersökas senast tre år efter deras införande. Kontrollen av

uppgifter som lagras i Europols informationssystem och utplå­

ningen av dem ska utföras av den enhet som har fört in dem.

Kontrollen av uppgifter som lagras i andra dataregister hos

Europol och utplåningen av dem ska utföras av Europol. Euro­

pol ska automatiskt, tre månader i förväg, underrätta medlems­

staterna om utgången av tidsfristerna för kontroll av lagringen

av uppgifter.

2. När de utför kontrollen kan de enheter som anges i punkt

1 tredje och fjärde meningarna besluta att fortsätta att lagra

uppgifterna till nästa kontroll, som ska ske efter ytterligare en

treårsperiod om detta är nödvändigt för att Europol ska kunna

utföra sina arbetsuppgifter. Om något beslut om fortsatt lagring

av uppgifterna inte fattas ska uppgifterna automatiskt raderas.

3. Om

en

medlemsstat

i

sina

nationella

dataregister

raderar

uppgifter som överförts till Europol och som Europol lagrar i

andra dataregister, ska den informera Europol om detta. Europol

ska i sådana fall radera uppgifterna om de inte är av intresse av

andra skäl, mot bakgrund av underrättelser som är mera om­

fattande än dem som den överförande medlemsstaten har till­

gång till. Europol ska informera den berörda medlemsstaten om

att dessa uppgifter kommer att fortsätta lagras.

4. Sådana

uppgifter

får

inte

raderas

om

det

skulle

skada

in­

tressen hos den registrerade som behöver skydd. I sådana fall får

uppgifterna endast användas med den registrerades medgivande.

Artikel 21

Tillgång till uppgifter från andra informationssystem

Om Europol enligt unionens rättsliga instrument eller interna­

tionella eller nationella rättsliga instrument har rätt till datori­

serad tillgång till uppgifter från andra nationella eller interna­

tionella informationssystem, får Europol på detta sätt inhämta

personuppgifter, om det är nödvändigt för att Europol ska

kunna utföra sina arbetsuppgifter. De tillämpliga bestämmel­

serna i sådana Europeiska unionens rättsliga instrument eller

internationella eller nationella rättsliga instrument ska reglera

Europols tillgång till och användning av dessa uppgifter, om

de föreskriver striktare regler för tillgång och användning än

detta beslut.

kapitel iv

FÖRBINDELSER MED PARTNER

Artikel 22

Förbindelserna med unionens eller gemenskapens

institutioner, organ, kontor och byråer

1. I

den

utsträckning

det

är

lämpligt

för

att

utföra

sina

upp­

gifter får Europol upprätta och upprätthålla samarbetsförbindel­

ser med institutioner, organ, kontor och byråer som inrättats

genom eller på grundval av fördraget om Europeiska unionen

och fördraget om upprättandet av Europeiska gemenskaperna,

särskilt följande:

a) Eurojust.

b) Europeiska byrån för bedrägeribekämpning (Olaf) ( 1 ).

c) Europeiska byrån för förvaltningen av det operativa samar­

betet vid Europeiska unionens medlemsstaters yttre gränser

(Frontex) ( 2 ).

d) Europeiska polisakademin (Cepol).

e) Europeiska centralbanken.

f) Europeiska centrumet för kontroll av narkotika och narkoti­

kamissbruk (ECNN) ( 3 ).

2. Europol

ska

ingå

överenskommelser

eller

samarbetsavtal

med enheter som avses i punkt 1. Sådana överenskommelser

eller samarbetsavtal får avse utbyte av operativ, strategisk och

teknisk information, även personuppgifter och sekretessbelagda

uppgifter. En sådan överenskommelse eller ett sådant samarbets­

avtal får endast ingås efter godkännande av styrelsen, som dess­

förinnan, vad beträffar utbyte av personuppgifter, erhållit den

gemensamma tillsynsmyndighetens yttrande.

3. Innan

den

överenskommelse

eller

det

gällande

avtal

som

avses i punkt 2 träder i kraft, får Europol direkt erhålla och

använda information, även personuppgifter, från de enheter

som avses i punkt 1, i den utsträckning som det är nödvändigt

för ett lagenligt utförande av Europols uppgifter och får på de

villkor som fastställs i artikel 24.1 direkt överföra information,

även personuppgifter, till sådana enheter i den utsträckning som

det är nödvändigt för ett lagenligt utförande av mottagarens

uppgifter.

SV

L 121/48

Europeiska unionens officiella tidning

15.5.2009

H 1 I k¯­­©³³©¯®¥®³ ¢¥³¬µ´ QYYYOSUROegL eksgL eµ²¡´¯­ ¡¶ ¤¥® RX ¡°²©¬

QYYY ¯­ ©®²ä´´¡®¤¥ ¡¶ ¥® ¥µ²¯°¥©³« ¢¹²å ¦ö² ¢¥¤²ä§¥²©¢¥«ä­°®©®§

Ho¬¡¦I Hegt l QSVL SQNUNQYYYL ³N RPIN

H 2 I r夥´³ ¦ö²¯²¤®©®§ HegI ®² RPPWORPPT ¡¶ ¤¥® RV ¯«´¯¢¥² RPPT ¯­

©®²ä´´¡®¤¥ ¡¶ ¥® ¥µ²¯°¥©³« ¢¹²å ¦ö² ¦ö²¶¡¬´®©®§¥® ¡¶ ¤¥´ ¯°¥²¡´©¶¡

³¡­¡²¢¥´¥´ ¶©¤ eµ²¯°¥©³«¡ µ®©¯®¥®³ ­¥¤¬¥­³³´¡´¥²³ ¹´´²¥ §²ä®³¥²

Heut l STYL RUNQQNRPPTL ³N QIN

H 3 I fö²¯²¤®©®§ HegI ®² QYRPORPPV ¡¶ ¤¥® QR ¤¥£¥­¢¥² RPPV ¯­

eµ²¯°¥©³«¡ £¥®´²µ­¥´ ¦ö² «¯®´²¯¬¬ ¡¶ ®¡²«¯´©«¡ ¯£¨ ®¡²«¯´©«¡­©³³í

¢²µ« Heut l SWVL RWNQRNRPPVL ³N QIN

4. Europols

överföring

av

sekretessbelagda

uppgifter

till

de

enheter som avses i punkt 1 ska endast kunna tillåtas i den

utsträckning en överenskommelse om sekretess föreligger mel­

lan Europol och mottagaren.

Artikel 23

Förbindelserna med tredjestater och organisationer

1. I

den

utsträckning

det

krävs

för

att

utföra

sina

uppgifter

får Europol också upprätta och upprätthålla samarbetsförbindel­

ser med

a) tredjestater,

b) organisationer såsom

i) internationella organisationer och deras underställda of­

fentligrättsliga organ,

ii) andra offentligrättsliga organ som inrättats genom, eller

på grundval av, en överenskommelse mellan två eller

flera stater, och

iii) Internationella kriminalpolisorganisationen (Interpol).

2. Europol

ska

ingå

överenskommelser

med

de

enheter

som

avses i punkt 1 och som omfattas av förteckningen i artikel 26.1

a. Sådana överenskommelser får avse utbyte av operativ, strate­

gisk eller teknisk information, inbegripet personuppgifter och

sekretessbelagda uppgifter, om de överförts via en utsedd kon­

taktpunkt som ingår i den överenskommelse som avses i punkt

6 b i den här artikeln. Sådana överenskommelser får endast

ingås efter godkännande av rådet efter samråd med styrelsen

och, vad avser utbyte av personuppgifter, efter att genom sty­

relsen ha erhållit den gemensamma tillsynsmyndighetens ytt­

rande.

3. Innan

de

överenskommelser

som

avses

i

punkt

2

träder

i

kraft, får Europol direkt ta emot och använda information, även

personuppgifter och sekretessbelagda uppgifter, i den utsträck­

ning det är nödvändigt för ett lagenligt utförande av Europols

uppgifter.

4. Innan

de

överenskommelser

som

avses

i

punkt

2

träder

i

kraft får Europol på de villkor som fastställs i artikel 24.1 direkt

överföra information, utom personuppgifter och sekretessbe­

lagda uppgifter, till de enheter som avses i punkt 1 i den här

artikeln i den utsträckning det är nödvändigt för ett lagenligt

utförande av mottagarens uppgifter.

5. Europol

får

de

villkor

som

fastställs

i

artikel

24.1

direkt

överföra annan information än personuppgifter och sekretess­

belagda uppgifter till de enheter som avses i punkt 1 i den här

artikeln och som inte omfattas av förteckningen i artikel 26.1 a,

i den utsträckning det är absolut nödvändigt i enskilda fall för

att förebygga eller bekämpa brottslighet som omfattas av Euro­

pols behörighet.

6. Europol

får

de

villkor

som

fastställs

i

artikel

24.1

till

de

enheter som avses i punkt 1 i den här artikeln överföra

a) personuppgifter och sekretessbelagda uppgifter, när det i ett

enskilt fall är nödvändigt för att förebygga och bekämpa

brottslighet som omfattas av Europols behörighet, och

b) personuppgifter, när Europol har ingått en överenskommelse

enligt punkt 2 i den här artikeln med den berörda enheten

som medger att sådana uppgifter överföras på grundval av

en bedömning att en tillräcklig skyddsnivå för uppgifterna

säkerställs hos denna enhet.

7. Europols

överföring

av

sekretessbelagda

uppgifter

till

de

enheter som avses i punkt 1 ska endast kunna tillåtas i den

utsträckning en överenskommelse om sekretess föreligger mel­

lan Europol och mottagaren.

8. Med avvikelse från punkterna 6 och 7 och utan att det

påverkar tillämpningen av artikel 24.1 får Europol överföra

personuppgifter och sekretessbelagda uppgifter som den för­

fogar över till de enheter som avses i punkt 1 i den här artikeln,

om direktören anser att överföringen av uppgifter är absolut

nödvändig för att skydda de berörda medlemsstaternas väsent­

liga intressen inom ramen för Europols målsättningar eller för

att förhindra en överhängande fara för brott eller terrorism.

Direktören ska under alla omständigheter beakta den data­

skyddsnivå som gäller för instansen i fråga i syfte att göra en

avvägning mellan denna dataskyddsnivå och ovan nämnda in­

tressen. Direktören ska så snart som möjligt informera styrelsen

och den gemensamma tillsynsmyndigheten om sitt beslut och

om grunden för bedömningen av om den dataskyddsnivå som

de berörda enheterna erbjuder är tillräcklig.

9. Innan

personuppgifter

överförs

i

enlighet

med

punkt

8

ska

direktören bedöma tillräckligheten av den dataskyddsnivå som

de berörda enheterna erbjuder med beaktande av samtliga om­

ständigheter i samband med överföringen av personuppgifter,

särskilt

a) uppgifternas art,

b) uppgifternas avsedda ändamål,

c) varaktigheten av den avsedda behandlingen,

d) de allmänna eller särskilda dataskyddsbestämmelser som gäl­

ler för enheten,

e) huruvida enheten har gått med på särskilda villkor avseende

de uppgifter som Europol har begärt.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/49

Artikel 24

Överföring av uppgifter

1. Om

uppgifterna

i

fråga

har

överförts

till

Europol

av

en

medlemsstat, ska Europol överföra dem till de enheter som

avses i artikel 22.1 och artikel 23.1 endast med medlemsstatens

samtycke. Den berörda medlemsstaten kan ge sitt föregående

samtycke vilket kan vara generellt eller förenat med särskilda

villkor till en sådan överföring. Samtycket kan återkallas när

som helst.

Om uppgifterna inte har överförts av en medlemsstat, ska Euro­

pol försäkra sig om att överföringen av dessa uppgifter inte

a) kan hindra en medlemsstat från att vederbörligen utföra de

arbetsuppgifter som hör till dess behörighet,

b) riskerar att hota den allmänna säkerheten eller den allmänna

ordningen i en medlemsstat eller skada staten på något annat

sätt.

2. Europol

ska

ansvara

för

att

överföringen

av

uppgifter

är

laglig. Europol ska föra ett register över alla överföringar som

utförs enligt denna artikel och över grunderna för överföring­

arna. Uppgifter får överföras endast om mottagaren gör ett

åtagande om att uppgifterna kommer att användas endast för

de ändamål för vilka de överfördes.

Artikel 25

Information från privata parter och privatpersoner

1. I

detta

beslut

avses

med

a) privata parter: enheter och organ som inrättats enligt en med­

lemsstats eller en tredjestats lagstiftning, framför allt bolag

och företag, näringslivsorganisationer, ideella organisationer

och andra juridiska personer som regleras av privaträtten och

som inte faller under artikel 23.1,

b) privatpersoner: alla fysiska personer.

2. Om det är nödvändigt för det lagenliga utförandet av dess

uppgifter får Europol behandla information, även personupp­

gifter, från privata parter på de villkor som fastställs i punkt 3.

3. Personuppgifter

från

privata

parter

får

behandlas

av

Euro­

pol på följande villkor:

a) Personuppgifter från privata parter som bildats enligt en

medlemsstats lagstiftning får endast behandlas av Europol

om de överförts via den medlemsstatens nationella enhet i

enlighet med nationell lag. Europol får inte direkt kontakta

privata parter i medlemsstaterna för att erhålla information.

b) Personuppgifter från privata parter som bildats enligt lagstift­

ningen i en tredjestat med vilken Europol i enlighet med

artikel 23 ingått ett samarbetsavtal som medger utbyte av

personuppgifter, får endast överföras till Europol via kon­

taktpunkten i det landet såsom det fastställts i det gällande

samarbetsavtalet och i enlighet med detta.

c) Personuppgifter från privata parter som bildats enligt lagstift­

ningen i en tredjestat med vilken Europol inte har något

samarbetsavtal som medger utbyte av personuppgifter, får

endast behandlas av Europol om

i) den berörda privata parten återfinns i förteckningen i

artikel 26.2, och

ii) Europol och den berörda privata parten har ingått ett

samförståndsavtal om överföring av information, även

personuppgifter, som bekräftar lagligheten i att den pri­

vata parten samlar in och överför personuppgifterna och

föreskriver att de överförda personuppgifterna endast får

användas för det lagenliga utförandet av Europols upp­

gifter. Ett sådant samförståndsavtal får endast ingås efter

godkännande av styrelsen som dessförinnan inhämtat ett

yttrande från den gemensamma tillsynsmyndigheten.

Om de överförda uppgifterna påverkar en medlemsstats in­

tressen, ska Europol omedelbart informera den berörda med­

lemstatens nationella enhet.

4. Utöver

behandlingen

av

uppgifter

från

privata

parter

enligt

punkt 3 får Europol direkt hämta och behandla uppgifter, även

personuppgifter, från offentligt tillgängliga källor, t.ex. medier

och tillhandahållare av offentliga uppgifter och kommersiella

upplysningar, i enlighet med dataskyddsbestämmelserna i detta

beslut. I enlighet med artikel 17 ska Europol vidarebefordra all

relevant information till de nationella enheterna.

5. Information,

även

personuppgifter,

från

privatpersoner

får

behandlas av Europol om de har erhållits via en nationell enhet

i enlighet med nationell lag eller via en kontaktpunkt i en

tredjestat med vilken Europol har ingått ett samarbetsavtal i

enlighet med artikel 23. Om Europol erhåller information,

även personuppgifter, från en privatperson som är bosatt i en

tredjestat med vilken Europol inte har något samarbetsavtal, får

Europol endast överföra den till den berörda medlemsstat eller

tredjestat med vilken Europol har ingått ett samarbetsavtal enligt

artikel 23. Europol får inte direkt kontakta privatpersoner för

att erhålla information.

SV

L 121/50

Europeiska unionens officiella tidning

15.5.2009

6. De

personuppgifter

som

överförs

till

eller

erhålls

från

Eu­

ropol enligt punkt 3 c i den här artikeln får endast behandlas

för att införa dem i Europols informationssystem enligt arti­

kel 11 och arbetsregistren för analysändamål enligt artikel 14,

eller andra system för behandling av personuppgifter som in­

förts i enlighet med artikel 10.2 och 10.3, om sådana uppgifter

anknyter till andra uppgifter som redan införts i ett av ovan

nämnda system, eller att sådana uppgifter anknyter till en na­

tionell enhets tidigare förfrågan inom ett av ovan nämnda sy­

stem.

Ansvaret för de uppgifter som Europol behandlar och som har

överförts på de villkor som fastställs i punkterna 3 b, 3 c och 4

i den här artikeln samt den information som överförs via en

kontaktpunkt i en tredjestat med vilken Europol har ingått ett

samarbetsavtal i enlighet med artikel 23 ska ligga hos Europol i

enlighet med artikel 29.1 b.

7. Direktören

ska

lägga

fram

en

uttömmande

rapport

till

styrelsen vad avser tillämpningen av denna artikel två år efter

den dag då detta beslut börjar tillämpas. Styrelsen kan på den

gemensamma tillsynsmyndighetens råd eller på eget initiativ

vidta varje åtgärd som anses lämplig enligt artikel 37.9 b.

Artikel 26

Tillämpningsföreskrifter för Europols förbindelser

1. Rådet

ska

med

kvalificerad

majoritet

efter

att

ha

hört

Europaparlamentet

a) fastställa en förteckning över de tredjestater och organisatio­

ner som avses i artikel 23.1 med vilka Europol ska ingå

överenskommelser; förteckningen ska utarbetas av styrelsen

och revideras vid behov, och

b) anta tillämpningsföreskrifter för Europols förbindelser med

de enheter som avses i artiklarna 22.1 och 23.1, inbegripet

för utbyte av personuppgifter och sekretessbelagd informa­

tion. Tillämpningsföreskrifterna ska förberedas av styrelsen

som dessförinnan ska inhämta ett yttrande från den gemen­

samma tillsynsmyndigheten.

2. Styrelsen

ska

fastställa

och

vid

behov

upprätta

en

förteck­

ning över privata parter med vilka Europol får ingå samför­

ståndsavtal i enlighet med artikel 25.3 c ii samt anta reglerna

för innehållet i och förfarandet för sådana samförståndsavtal

efter att ha inhämtat ett yttrande från den gemensamma till­

synsmyndigheten.

kapitel v

DATASKYDD OCH DATASÄKERHET

Artikel 27

Dataskyddsnivå

Utan att det påverkar tillämpningen av särskilda bestämmelser i

detta beslut ska Europol beakta principerna i Europarådets kon­

vention om skydd av individer med avseende på automatisk

behandling av personuppgifter av den 28 januari 1981 och

Europarådets ministerkommittés rekommendation R(87) 15 av

den 17 september 1987. Europol ska iaktta dessa principer vid

behandling av personuppgifter som bland annat avser automa­

tiserade och icke-automatiserade uppgifter som Europol innehar

i form av register, särskilt alla strukturerade samlingar av per­

sonuppgifter som är tillgängliga enligt bestämda kriterier.

Artikel 28

Uppgiftsskyddsombud

1. Styrelsen

ska

förslag

från

direktören

utse

ett

uppgifts­

skyddsombud som ska vara anställd vid Europol. Vid fullgöran­

det av sina arbetsuppgifter ska uppgiftsskyddsombudet agera på

ett oberoende sätt.

2. Uppgiftsskyddsombudet

ska

särskilt

ha

följande

uppgifter:

a) På ett oberoende sätt säkerställa att behandlingen av person­

uppgifter är lagenlig och att bestämmelserna i detta beslut

om behandling av personuppgifter följs, vilket även gäller

behandling av Europols personals personuppgifter.

b) Säkerställa att ett skriftligt register över överföring och mot­

tagande av personuppgifter förs i enlighet med detta beslut.

c) Säkerställa att de registrerade på egen begäran informeras

om sina rättigheter enligt detta beslut.

d) Samarbeta med de tjänstemän vid Europol som ansvarar för

förfaranden, utbildning och rådgivning om databehandling.

e) Samarbeta med den gemensamma tillsynsmyndigheten.

f) Utarbeta en årlig rapport och överlämna den till styrelsen

och till den gemensamma tillsynsmyndigheten.

3. Uppgiftsskyddsombudet

ska,

för

fullgörandet

av

sina

upp­

gifter, ha tillgång till alla uppgifter som behandlas av Europol

och tillträde till Europols samtliga lokaler.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/51

4. Om

uppgiftsskyddsombudet

anser

att

bestämmelserna

om

behandling av personuppgifter i detta beslut inte har iakttagits,

ska denne underrätta direktören och begära att åtgärder vidtas

för att lösa den bristande överensstämmelsen inom en fastställd

tidsfrist.

Om direktören inte inom den fastställda tidsfristen vidtar åtgär­

der mot underlåtenheten att följa beslutet när det gäller behand­

ling av personuppgifter, ska uppgiftsskyddsombudet informera

styrelsen och tillsammans med styrelsen enas om en fastställd

tidsfrist för gensvar.

Om styrelsen inte inom den fastställda tidsfristen vidtar åtgärder

mot underlåtenheten att följa beslutet när det gäller behandling

av personuppgifter, ska uppgiftsskyddsombudet hänskjuta frå­

gan till den gemensamma tillsynsmyndigheten.

5. Styrelsen

ska

anta

ytterligare

tillämpningsföreskrifter

rö­

rande uppgiftsskyddsombudet. Dessa tillämpningsföreskrifter

ska särskilt avse utnämning och entledigande av uppgiftsskydds­

ombudet samt dennes arbetsuppgifter, åligganden och befogen­

heter samt säkerställande av uppgiftsskyddsombudets obe­

roende.

Artikel 29

Ansvar för skyddet av uppgifter

1. Ansvaret

för

de

uppgifter

som

behandlas

vid

Europol,

särskilt vad gäller lagenligheten av insamling och överföring

till Europol, registrering av uppgifter liksom uppgifternas exakt­

het och aktualitet samt kontroll av lagringstidsfristerna ska ligga

hos

a) den medlemsstat som har registrerat eller överfört uppgif­

terna,

b) Europol, vad beträffar uppgifter som överförts till Europol av

tredje parter, inklusive uppgifter som överförts av privata

parter i enlighet med artikel 25.3 b och 25.3 c och arti­

kel 25.4 samt uppgifter som överförts via kontaktpunkten i

en tredjestat, som Europol slutit ett samarbetsavtal med en­

ligt artikel 23, eller som är resultatet av Europols analysar­

bete.

2. Uppgifter

som

har

överförts

till

Europol

men

ännu

inte

förts in i något av Europols dataregister ska förbli under den

översändande partens dataskyddsansvar. Europol ska dock an­

svara för att säkerställa datasäkerheten för sådana uppgifter i

enlighet med artikel 35.2, till dess att dessa uppgifter har förts

in i ett dataregister och endast är tillgängliga för bemyndigad

personal vid Europol, eller bemyndigade tjänstemän hos den

part som lämnade uppgifterna. Om Europol efter en bedömning

har anledning att anta att de uppgifter som har lämnats är

felaktiga eller inte längre aktuella, ska Europol informera den

part som lämnade uppgifterna om detta.

3. Med

förbehåll

för

andra

bestämmelser

i

detta

beslut

ska

Europol dessutom ansvara för alla uppgifter som organisationen

behandlar.

4. Om

Europol

har

bevis

för

att

de

uppgifter

som

införts

i

ett

av Europols informationssystem som avses i kapitel II är fel­

aktiga i sak eller har lagrats på ett olagligt sätt, ska Europol

informera berörd medlemsstat eller part om detta.

5. Europol

ska

lagra

uppgifter

ett

sådant

sätt

att

det

går

att identifiera vilken medlemsstat eller tredje part som har över­

fört dem, eller konstatera att de är resultatet av Europols analys­

arbete.

Artikel 30

Individens rätt att få tillgång till uppgifter

1. Var

och

en

ska

ha

rätt

att

med

rimliga

tidsintervall

information om att personuppgifter som gäller honom eller

henne har behandlats vid Europol, att få dessa uppgifter i en

form som är begriplig eller få sådana uppgifter kontrollerade,

under alla omständigheter på de villkor som anges i denna

artikel.

2. Varje

person

som

önskar

utöva

sina

rättigheter

enligt

denna artikel kan till en rimlig kostnad lämna in en begäran

om detta i valfri medlemsstat, till den myndighet som denna

medlemsstat har utsett för detta ändamål. Den myndigheten ska

utan dröjsmål hänskjuta begäran till Europol, och, under alla

omständigheter, inom en månad efter mottagandet.

3. Begäran

ska

besvaras

av

Europol

utan

onödigt

dröjsmål

och, under alla omständigheter, inom tre månader från det att

den mottogs av Europol, i enlighet med denna artikel.

4. Europol

ska

samråda

med

de

behöriga

myndigheterna

i

de

berörda medlemsstaterna innan beslut fattas om svar på en

begäran enligt punkt 1. Ett beslut om tillgång till personupp­

gifter ska vara avhängigt av om det finns ett nära samarbete

mellan Europol och de medlemsstater som direkt berörs om

dessa uppgifter lämnas ut. I de fall en medlemsstat motsätter

sig Europols förslag till svar ska den meddela Europol grunderna

för detta.

5. Tillgång

till

information

som

svar

en

begäran

enligt

punkt 1 ska vägras när avslaget är nödvändigt för att

a) Europol ska kunna utföra sina arbetsuppgifter på ett korrekt

sätt,

b) skydda säkerhet och allmän ordning i medlemsstaterna eller

för att förhindra brott,

c) garantera att någon nationell utredning inte kommer att

äventyras,

d) skydda tredje parters rättigheter och friheter.

SV

L 121/52

Europeiska unionens officiella tidning

15.5.2009

Vid bedömning av om ett undantag är tillämpligt ska hänsyn tas

till den berörda personens intressen.

6. Om

en

begäran

enligt

punkt

1

om

meddelande

av

infor­

mation har avslagits, ska Europol underrätta personen i fråga

om att kontroller har utförts, utan att avslöja huruvida person­

uppgifter om honom eller henne behandlas vid Europol eller

inte.

7. Var och en ska ha rätt att begära att den gemensamma

tillsynsmyndigheten med rimliga tidsintervall kontrollerar om

Europols insamling, lagring, behandling och användning av

hans eller hennes personuppgifter har genomförts i överens­

stämmelse med bestämmelserna i detta beslut om behandling

av personuppgifter. Den gemensamma tillsynsmyndigheten ska

underrätta personen i fråga om att kontroller har utförts, utan

att avslöja huruvida uppgifter om honom eller henne behandlas

vid Europol eller inte.

Artikel 31

Den registrerades rätt till rättelse och radering av uppgifter

1. Varje person ska ha rätt att begära att Europol rättar eller

utplånar felaktiga uppgifter som berör honom eller henne. Om

det visar sig, antingen till följd av utövandet av denna rättighet

eller på annat sätt, att uppgifter som lagras hos Europol, vilka

har överförts av tredje parter eller är resultatet av Europols egna

analyser, är felaktiga eller att deras införande eller lagring strider

mot detta beslut, ska Europol rätta eller radera dessa uppgifter.

2. Om de uppgifter som är felaktiga eller har behandlats i

strid med detta beslut har överförts direkt till Europol av med­

lemsstaterna, ska de berörda medlemsstaterna rätta eller radera

dem i samarbete med Europol.

3. Om

felaktiga

uppgifter

har

överförts

något

annat

till­

lämpligt sätt, eller om felaktigheterna hos uppgifter som läm­

nats av medlemsstater beror på att överföringen skett på ett

felaktigt sätt eller strider mot bestämmelserna i detta beslut,

eller om felaktigheterna beror på registrering, hantering eller

lagring av Europol som är felaktig eller strider mot bestämmel­

serna i detta beslut, ska Europol rätta eller radera dem i sam­

arbete med de berörda medlemsstaterna.

4. I de fall som avses i punkterna 1, 2 och 3 ska de med­

lemsstater eller tredje parter som har mottagit uppgifterna in­

formeras utan dröjsmål. Mottagande medlemsstater och tredje

parter ska också rätta eller radera dessa uppgifter. När det inte

är möjligt att radera uppgifterna ska de blockeras, för att för­

hindra varje framtida behandling.

5. Europol

ska

skriftligen

utan

onödigt

dröjsmål

informera

sökanden och, under alla omständigheter inom tre månader, att

uppgifter som berör honom eller henne har rättats eller rade­

rats.

Artikel 32

Överklaganden

1. Europol

ska

i

sitt

svar

en

begäran

om

kontroll

av

eller

tillgång till uppgifter eller en begäran om rättelse och radering

av uppgifter, informera den person som gör framställningen om

dennes rätt att överklaga till den gemensamma tillsynsmyndig­

heten om sökande inte är nöjd med beslutet. Denna person kan

också hänskjuta frågan till den gemensamma tillsynsmyndighe­

ten om begäran inte besvarats inom de tidsfrister som anges i

artiklarna 30 eller 31.

2. Om

den

person

som

gör

framställningen

överklagar

be­

slutet till den gemensamma tillsynsmyndigheten ska denna

myndighet pröva överklagandet.

3. När ett överklagande rör ett beslut i enlighet med artik­

larna 30 och 31 ska den gemensamma tillsynsmyndigheten

samråda med nationella tillsynsmyndigheter eller den behöriga

domstolen i den medlemsstat som uppgiften härrör ifrån, eller

den direkt berörda medlemsstaten. Den gemensamma tillsyns­

myndighetens beslut, som kan innebära ett förbud mot överför­

ing av uppgifterna, ska fattas i nära samråd med den nationella

tillsynsmyndigheten eller den behöriga domstolen.

4. När

ett

överklagande

rör

tillgång

till

uppgifter

som

Euro­

pol har fört in i Europols informationsregister, uppgifter som

lagrats i analysregistren eller något annat register som inrättats

av Europol för behandling av personuppgifter enligt artikel 10,

och om Europol fortfarande har invändningar, måste den ge­

mensamma tillsynsmyndigheten fatta sitt beslut med två tredje­

dels majoritet av ledamöterna för att kunna bortse från sådana

invändningar, efter att ha hört Europol och medlemsstaten eller

medlemsstaterna i enlighet med artikel 30.4. Om denna majo­

ritet inte kan uppnås ska den gemensamma tillsynsmyndigheten

underrätta den person som gör framställningen om avslaget,

utan att lämna några uppgifter som kan avslöja om det finns

några personuppgifter om den personen eller inte.

5. När

ett

överklagande

rör

kontroll

av

uppgifter

som

en

medlemsstat har infört i Europols informationsregister, uppgifter

som lagrats i analysregistren eller något annat register som

inrättats av Europol för behandling av personuppgifter enligt

artikel 10, ska den gemensamma tillsynsmyndigheten försäkra

sig om att nödvändiga kontroller har genomförts på ett korrekt

sätt i nära samråd med den nationella tillsynsmyndigheten i den

medlemsstat som har infört uppgifterna. Den gemensamma till­

synsmyndigheten ska underrätta den person som gör framställ­

ningen om att kontroller har genomförts, utan att lämna några

uppgifter som kan avslöja om det finns några personuppgifter

om den personen eller inte.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/53

6. När

överklagandet

rör

kontroll

av

uppgifter

som

Europol

har infört i Europols informationsregister, eller uppgifter som

lagrats i analysregistren eller något annat register som inrättats

av Europol för behandling av personuppgifter enligt artikel 10,

ska den gemensamma tillsynsmyndigheten försäkra sig om att

nödvändiga kontroller har genomförts av Europol. Den gemen­

samma tillsynsmyndigheten ska underrätta den person som gör

framställningen om att kontroller har genomförts, utan att

lämna några uppgifter som kan avslöja om det finns några

personuppgifter om den personen eller inte.

Artikel 33

Nationell tillsynsmyndighet

1. Varje

medlemsstat

ska

utse

en

nationell

tillsynsmyndighet

som ska ha till uppgift att oberoende och i enlighet med na­

tionell lagstiftning kontrollera att den berörda medlemsstatens

registreringar, sökningar och överföringar till Europol av per­

sonuppgifter är lagenliga och att försäkra sig om att sådana

registreringar, sökningar eller överföringar inte kränker den re­

gistrerades rättigheter. För detta ändamål ska den nationella till­

synsmyndigheten i de nationella enheternas eller sambandsmän­

nens lokaler få tillgång till de uppgifter som medlemsstaten har

fört in i Europols informationssystem eller i något annat register

som inrättats av Europol för behandling av personuppgifter

enligt artikel 10, i enlighet med tillämpliga nationella förfaran­

den.

För att kunna utöva sin tillsyn ska de nationella tillsynsmyndig­

heterna ha tillgång till lokaler och akter hos de respektive sam­

bandsmännen vid Europol.

Dessutom ska de nationella tillsynsmyndigheterna i enlighet

med tillämpliga nationella förfaranden övervaka de nationella

enheternas och sambandsmännens verksamhet i den utsträck­

ning denna verksamhet rör skydd av personuppgifter. De ska

också hålla den gemensamma tillsynsmyndigheten informerad

om alla åtgärder de vidtar avseende Europol.

2. Var och en ska ha rätt att begära att den nationella till­

synsmyndigheten säkerställer att registreringen hos eller över­

föringen till Europol, i vilken form den än sker, av uppgifter

som berör honom eller henne liksom medlemsstatens sökningar

efter uppgifter är lagenlig.

Denna rättighet ska utövas i enlighet med den nationella lag­

stiftningen i den medlemsstat där begäran görs.

Artikel 34

Gemensam tillsynsmyndighet

1. En

oberoende

gemensam

tillsynsmyndighet

ska

upprättas,

som i enlighet med detta beslut ska granska Europols verksam­

het för att säkerställa att lagringen, behandlingen och använd­

ningen av de uppgifter som Europol innehar inte kränker in­

dividens rättigheter. Den gemensamma tillsynsmyndigheten ska

dessutom övervaka lagenligheten av överföringen av uppgifter

från Europol. Den gemensamma tillsynsmyndigheten ska bestå

av högst två medlemmar eller företrädare, eventuellt biträdda av

suppleanter, för var och en av de oberoende nationella tillsyn­

smyndigheterna, med erforderliga kvalifikationer och utses för

fem år av varje medlemsstat. Varje delegation ska ha en röst.

Den gemensamma tillsynsmyndigheten ska bland sina medlem­

mar utse en ordförande.

Den gemensamma tillsynsmyndighetens medlemmar ska vid

fullgörandet av sina uppgifter inte ta emot instruktioner från

något annat organ.

2. Europol

ska

bistå

den

gemensamma

tillsynsmyndigheten

vid utförandet av dess arbetsuppgifter. Europol ska särskilt

a) tillhandahålla de upplysningar som den gemensamma tillsyns­

myndigheten begär och ge den tillgång till alla handlingar och

akter liksom tillgång till uppgifter som finns lagrade i dess

register,

b) när som helst ge den gemensamma tillsynsmyndigheten fri

tillgång till alla sina lokaler,

c) verkställa den gemensamma tillsynsmyndighetens beslut om

överklaganden.

3. Den

gemensamma

tillsynsmyndigheten

ska

vara

behörig

att pröva frågor om tillämpning och tolkning i samband med

Europols verksamhet när det gäller behandling och användning

av personuppgifter, att pröva frågor rörande oberoende kontrol­

ler som utförs av medlemsstaternas tillsynsmyndigheter eller

avser utövandet av rätten till tillgång till information, liksom

att utarbeta harmoniserade förslag till gemensamma lösningar

på befintliga problem.

4. Om

den

gemensamma

tillsynsmyndigheten

konstaterar

att

bestämmelserna i detta beslut inte har respekterats vid lag­

ringen, behandlingen eller användningen av personuppgifter,

ska den till direktören framställa de klagomål som den anser

vara nödvändiga samt begära att få ett svar inom en angiven

tidsfrist. Direktören ska informera styrelsen om hela förfarandet.

Om den gemensamma tillsynsmyndigheten inte är nöjd med

direktörens svar, ska den hänskjuta frågan till styrelsen.

5. Den

gemensamma

tillsynsmyndigheten

ska,

för

att

kunna

genomföra sina uppgifter och bidra till en mer konsekvent till­

lämpning av reglerna och förfarandena för behandling av upp­

gifter, vid behov samarbeta med andra tillsynsmyndigheter.

SV

L 121/54

Europeiska unionens officiella tidning

15.5.2009

6. Den

gemensamma

tillsynsmyndigheten

ska

regelbundet

upprätta rapporter över sin verksamhet. Dessa rapporter ska

översändas till Europaparlamentet och rådet. Styrelsen ska ges

tillfälle att lämna synpunkter, som ska bifogas rapporterna.

Den gemensamma tillsynsmyndigheten ska besluta om dess

verksamhetsrapport ska offentliggöras, och i så är fall på vilket

sätt den ska offentliggöras.

7. Den

gemensamma

tillsynsmyndigheten

ska

anta

sin

ar­

betsordning med två tredjedels majoritet av ledamöterna och

översända den till rådet för godkännande. Rådet ska besluta

med kvalificerad majoritet.

8. Den

gemensamma

tillsynsmyndigheten

ska

inrätta

en

in­

tern kommitté som ska bestå av en medlem med rösträtt från

varje medlemsstat. Kommittén ska ha till uppgift att med alla

lämpliga medel pröva de överklaganden som avses i artikel 32.

Om parterna begär det ska de höras av kommittén, och de kan

då biträdas av sina rådgivare om de så önskar. De beslut som

fattas i detta sammanhang ska vara slutgiltiga gentemot alla

berörda parter.

9. Den

gemensamma

tillsynsmyndigheten

får

inrätta

en

eller

flera andra kommittéer utöver den som avses i punkt 8.

10. Den

gemensamma

tillsynsmyndigheten

ska

rådfrågas

rö­

rande den del av Europols budget som berör den. Dess yttrande

ska bifogas det aktuella budgetförslaget.

11. Den

gemensamma

tillsynsmyndigheten

ska

biträdas

av

ett sekretariat vars uppgifter ska fastställas i arbetsordningen.

Artikel 35

Datasäkerhet

1. Europol

ska

vidta

de

tekniska

och

organisatoriska

åtgärder

som är nödvändiga för genomförandet av detta beslut. Åtgär­

derna ska anses nödvändiga om kostnaden för dem står i pro­

portion till den åsyftade målsättningen om skydd.

2. När

det

gäller

databehandling

vid

Europol

ska

varje

med­

lemsstat och Europol vidta åtgärder för att kunna

a) vägra varje obehörig person åtkomst till datorutrustning som

används för behandling av personuppgifter (åtkomstskydd

för utrustning),

b) förhindra att datamedia läses, kopieras, ändras eller avlägsnas

av en obehörig person (datamediaskydd),

c) förhindra obehörig registrering av data och varje obehörig

åtkomst, ändring eller utplåning av personuppgifter (skydd

för lagrade data),

d) förhindra att obehöriga personer kan använda datasystem via

datakommunikation (användarkontroll),

e) säkerställa att alla som är behöriga att använda ett system för

behandling av uppgifter endast har åtkomst till de uppgifter

för vilka de är behöriga (behörighetskontroll),

f) säkerställa att det är möjligt att kontrollera och konstatera

till vilka enheter personuppgifter får överföras via datakom­

munikation (kommunikationskontroll),

g) säkerställa att det kan kontrolleras och konstateras vilka

personuppgifter som har införts i datasystemen, samt när

och av vem uppgifterna infördes (indatakontroll),

h) förhindra obehörig läsning, kopiering, ändring eller radering

av personuppgifter i samband med överföring av sådana

uppgifter eller under transport av databärare (transportkon­

troll),

i) säkerställa att de installerade systemen omedelbart kan åter­

ställas vid avbrott (återställande),

j) säkerställa att systemet fungerar felfritt, att uppkomna funk­

tionsfel omedelbart rapporteras (driftsäkerhet) och att de lag­

rade uppgifterna inte kan förvanskas genom ett funktionsfel i

systemet (dataintegritet).

kapitel vi

ORGANISATION

Artikel 36

Europols organ

Europols organ utgörs av

a) styrelsen,

b) direktören.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/55

Artikel 37

Styrelsen

1. Styrelsen

ska

bestå

av

en

företrädare

för

varje

medlemsstat

och en företrädare från kommissionen. Varje styrelseledamot

ska ha en röst. Varje styrelseledamot får företrädas av en supp­

leant. Denne ska ha rätt att rösta för den ordinarie ledamoten i

dennes frånvaro.

2. Ordföranden

och

vice

ordföranden

i

styrelsen

ska

väljas

av

och inom den grupp av tre medlemsstater som gemensamt har

utarbetat rådets 18-månadersprogram. De ska inneha sina be­

fattningar under den period på 18 månader som motsvarar

rådets program. Ordföranden ska under denna tid inte företräda

sin medlemsstat i styrelsen. Vice ordföranden ska på eget initi­

ativ ersätta ordföranden om han/hon har förhinder.

3. Ordföranden

ska

ansvara

för

att

styrelsen

effektivt

utför

sina uppgifter enligt punkt 9 och se till att arbetet särskilt

inriktas på strategiska frågor och Europols viktigaste uppgifter

enligt artikel 5.1.

4. Ordföranden

ska

biträdas

av

styrelsens

sekretariat.

Sekre­

tariatet ska särskilt

a) aktivt och oavbrutet delta i att organisera, samordna och

säkerställa enhetlighet i styrelsens arbete. Det ska under ord­

föranden ansvar och ledning bistå denne i att söka lösningar,

b) tillhandahålla styrelsen det administrativa stöd som är nöd­

vändigt för att den ska kunna genomföra sina uppgifter.

5. Direktören

ska

delta

i

styrelsens

möten,

utan

rösträtt.

6. Styrelseledamöter

eller

deras

suppleanter

samt

direktören

får biträdas av experter.

7. Styrelsen

ska

sammanträda

minst

två

gånger

om

året.

8. Styrelsen

ska

fatta

beslut

med

två

tredjedels

majoritet

av

ledamöterna om inte annat föreskrivs i detta beslut.

9. Styrelsen

ska

a) anta en strategi för Europol med riktmärken för att kunna

mäta om de fastställda målen har uppnåtts,

b) utöva tillsyn över direktörens arbete, inklusive genomföran­

det av styrelsens beslut,

c) fatta beslut om tillämpningsföreskrifter i enlighet med detta

beslut,

d) på förslag från direktören och efter samtycke av kommissio­

nen anta de tillämpningsföreskrifter som ska gälla för Euro­

pols personal,

e) anta budgetförordningen och utse en räkenskapsförare i en­

lighet med kommissionens förordning (EG, Euratom) nr

2343/2002 av den 19 november 2002 med rambudgetför­

ordning för de gemenskapsorgan som avses i artikel 185 i

rådets förordning (EG, Euratom) nr 1605/2002 med budget­

förordning för Europeiska gemenskapernas allmänna bud­

get ( 1 ), efter att ha hört kommissionen,

f) inrätta en internrevision och utse dess revisionspersonal, som

ska vara medlemmar av Europols personal. Styrelsen ska

anta ytterligare tillämpningsföreskrifter för internrevisionen.

Dessa tillämpningsföreskrifter bör särskilt omfatta uttagning,

entledigande, arbetsuppgifter, åligganden, befogenheter och

garantier för internrevisionens oberoende. Internrevisionen

ska endast vara ansvarig inför styrelsen och ska ha tillgång

till alla nödvändiga handlingar för att kunna utöva sin verk­

samhet,

g) anta en förteckning över minst tre kandidater till tjänsterna

som direktör och biträdande direktörer och lägga fram den

för rådet,

h) utföra för alla andra uppgifter som rådet tilldelar den, särskilt

inom ramen för tillämpningsföreskrifter för detta beslut,

i) fastställa sin arbetsordning, inbegripet bestämmelser om sek­

retariatets oberoende ställning.

10. Styrelsen

ska

varje

år

a) anta ett utkast till beräkning av intäkter och kostnader, in­

klusive utkastet till tjänsteförteckning som ska läggas fram

för kommissionen samt den slutliga budgeten,

b) efter det att kommission har avgivit ett yttrande, anta en

verksamhetsplan för Europols framtida verksamhet som be­

aktar medlemsstaternas operationella behov och hur detta

påverkar Europols budget och personalsituation,

SV

L 121/56

Europeiska unionens officiella tidning

15.5.2009

H 1 I egt l SUWL SQNQRNRPPRL ³N WRN

c) anta en verksamhetsberättelse om Europols verksamhet un­

der det föregående året, inklusive en redogörelse för vilka

resultat som har uppnåtts i frågor som har prioriterats av

rådet.

Dessa handlingar ska läggas fram för rådet för godkännande.

Rådet ska översända dem till Europaparlamentet för kännedom.

11. Inom

fyra

år

efter

den

dag

detta

beslut

har

börjat

tillämpas och vart fjärde år därefter, ska styrelsen beställa en

oberoende extern utvärdering av genomförandet av detta beslut

och den verksamhet som bedrivits av Europol.

Styrelsen ska för detta ändamål utfärda närmare anvisningar för

utvärderingen.

Utvärderingsrapporten ska läggas fram för Europaparlamentet,

rådet och kommissionen.

12. Styrelsen

får

besluta

att

inrätta

arbetsgrupper.

Reglerna

för detta och för hur arbetsgrupperna ska fungera, ska fastställas

i arbetsordningen.

13. Styrelsen

ska

utöva

de

befogenheter

som

anges

i

arti­

kel 39.3 i frågor som rör direktören, utan att det påverkar

tillämpningen av artikel 38.1 och 38.7.

Artikel 38

Direktör

1. Europol

ska

ledas

av

en

direktör

som

med

kvalificerad

majoritet ska utses av rådet från en förteckning över minst tre

kandidater som lagts fram av styrelsen, för en period av fyra år.

På förslag från styrelsen som har utvärderat direktörens insatser

kan rådet förlänga direktörens mandat en gång för en period

som inte överstiger fyra år.

2. Direktören ska bistås av tre biträdande direktörer som ska

utses enligt det i punkt 1 angivna förfarandet för en period av

fyra år som kan förnyas en gång. Deras uppgifter ska närmare

anges av direktören.

3. Styrelsen

ska

fastställa

regler

för

urvalet

av

kandidater

till

tjänsten som direktör eller biträdande direktör, inbegripet för­

längningen av deras mandat. Dessa regler ska innan de träder i

kraft godkännas av rådet med kvalificerad majoritet.

4. Direktören

ska

ansvara

för

a) utförandet av Europols uppgifter,

b) den löpande administrationen,

c) utövandet av de befogenheter som anges i artikel 39.3 gent­

emot personalen och de biträdande direktörerna, utan att

punkterna 2 och 7 i den här artikeln åsidosätts,

d) att förbereda och genomföra styrelsens beslut och besvara

framställningar från styrelsen,

e) stöd till styrelsen ordförande vid förberedelsen av styrelse­

mötena,

f) att utarbeta ett utkast till beräkning av intäkter och kost­

nader, inklusive utkastet till tjänsteförteckning och det pre­

liminära arbetsprogrammet,

g) att utarbeta den rapport som avses i artikel 37.10 c,

h) genomförandet av Europols budget,

i) att regelbundet underrätta styrelsen om genomförandet av de

prioriteringar som rådet har fastställt samt om Europols yttre

förbindelser,

j) i samarbete med styrelsen inrätta och tillämpa ett effektivt

och ändamålsenligt förfarande för tillsyn och utvärdering av

Europols verksamhet när det gäller att uppnå dess mål; di­

rektören ska regelbundet till styrelsen lämna rapport om

resultatet av denna tillsyn,

k) utföra alla andra uppgifter som direktören ska ha enligt detta

beslut.

5. Direktören

ska

ansvara

för

utförandet

av

sina

uppgifter

inför styrelsen.

6. Direktören

ska

vara

Europols

lagliga

företrädare.

7. Genom

beslut

av

rådet

med

kvalificerad

majoritet

kan

direktören och de biträdande direktörerna entledigas efter ytt­

rande från styrelsen. Styrelsen ska fastställa de regler som ska

tillämpas i sådana fall. Dessa regler ska innan de träder kraft

godkännas av rådet, som ska fatta beslut med kvalificerad ma­

joritet.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/57

Artikel 39

Personal

1. Tjänsteföreskrifterna

för

tjänstemän

i

Europeiska

gemen­

skaperna och anställningsvillkoren för övriga anställda i Euro­

peiska gemenskaperna (nedan kallade tjänsteföreskrifterna respek­

tive anställningsvillkoren) i rådets förordning (EEG, Euratom,

EKSG) nr 259/68 ( 1 ), samt de bestämmelser som antagits ge­

mensamt av Europeiska gemenskapernas institutioner för till­

ämpningen av tjänsteföreskrifterna och anställningsvillkoren,

ska gälla för direktören, de biträdande direktörerna och den

personal vid Europol som anställs efter den dag då detta beslut

börjar tillämpas.

2. Vid

tillämpningen

av

tjänsteföreskrifterna

och

anställnings­

villkoren ska Europol anses vara en byrå i den mening som

avses i artikel 1a.2 i tjänsteföreskrifterna.

3. Europol

ska

gentemot

personalen

och

direktören

ha

de

befogenheter som tillsättningsmyndigheten ges enligt tjänstefö­

reskrifterna och som den myndighet som ingår anställningsavtal

ges enligt anställningsvillkoren för övriga anställda i enlighet

med artikel 37.13 och artikel 38.4 c i detta beslut.

4. Europols

personal

ska

bestå

av

tillfälligt

anställda

och/eller

kontraktsanställda. Styrelsen ska årligen ge sitt samtycke om

direktören har för avsikt att bevilja avtal som ska gälla tills

vidare. Styrelsen ska besluta om vilka tjänster i tjänsteförteck­

ningen som är avsedda för tillfälligt anställda och som endast

får tillsättas med personal rekryterad från medlemsstaternas be­

höriga myndigheter. Personal som rekryteras till sådana tjänster

ska vara tillfälligt anställda enligt artikel 2 a i anställningsvillko­

ren, och får endast beviljas anställningsavtal för en bestämd tid

som får förlängas en gång för en bestämd tid.

5. Medlemsstaterna

får

utstationera

nationella

experter

till

Europol. I detta fall ska styrelsen anta de genomförandebestäm­

melser som är nödvändiga.

6. Europol

ska

tillämpa

principerna

i

förordning

(EG)

nr

45/2001 på behandlingen av personuppgifter om Europols per­

sonal.

kapitel vii

SEKRETESS

Artikel 40

Sekretess

1. Europol

och

medlemsstaterna

ska

vidta

lämpliga

åtgärder

för att säkerställa skyddet av uppgifter som omfattas av sekre­

tess och som samlats in av eller utbytts med Europol med

tillämpning av detta beslut. För detta ändamål ska rådet med

kvalificerad majoritet efter att ha hört Europaparlamentet anta

av styrelsen utarbetade lämpliga regler för sekretesskydd. Dessa

regler ska innehålla bestämmelser om i vilka situationer Europol

kan utbyta sekretessbelagd information med tredje parter.

2. När

Europol

avser

att

anförtro

personer

verksamheter

som

är känsliga ur säkerhetssynpunkt, ska medlemsstaterna åta sig

att på begäran av direktören utföra säkerhetskontroller av sina

egna berörda medborgare, i enlighet med sina nationella be­

stämmelser, och att bistå varandra vid utförandet av denna

uppgift. Den myndighet som med stöd av nationella bestäm­

melser är behörig, ska endast informera Europol om resultaten

av säkerhetskontrollen. Resultaten ska vara bindande för Euro­

pol.

3. Varje

medlemsstat

och

Europol

får

endast

utse

personer

som är särskilt kvalificerade och underkastade säkerhetskontroll

att behandla uppgifter vid Europol. Styrelsen ska anta regler för

säkerhetskontroll av Europols personal. Direktören ska regel­

bundet informera styrelsen om hur säkerhetskontrollen av Euro­

pols personal fortskrider.

Artikel 41

Diskretions- och tystnadsplikt

1. Ledamöterna

i

styrelsen,

direktören,

de

biträdande

direktö­

rerna, Europols anställda och sambandsmännen ska avhålla sig

från varje handling och varje uttalande som skulle kunna skada

Europols anseende eller dess verksamhet.

2. Ledamöterna

i

styrelsen,

direktören,

de

biträdande

direktö­

rerna, Europols anställda och sambandsmännen samt varje an­

nan person, som uttryckligen har ålagts diskretions- och tyst­

nadsplikt, får inte till någon obehörig person eller till allmän­

heten sprida sakförhållanden eller upplysningar som kommer

till deras kännedom i deras tjänsteutövning eller vid utövandet

av deras verksamhet. Detta gäller inte för sakförhållanden eller

upplysningar som är för obetydliga för att omfattas av sekre­

tesskrav. Diskretions- och tystnadsplikten ska kvarstå även efter

att de har avslutat sin tjänst, sitt anställningsavtal eller sin verk­

samhet. Den särskilda skyldighet som avses i första meningen

ska meddelas särskilt av Europol, varvid de rättsliga följderna av

en överträdelse ska påpekas. Meddelandet ska vara skriftligt.

3. Ledamöterna

i

styrelsen,

direktören,

de

biträdande

direktö­

rerna, Europols anställda och sambandsmännen samt andra per­

soner som är underkastade den skyldighet som anges i punkt 2

får inte utan hänvändelse till direktören eller, om det rör sig om

direktören, till styrelsen, avlägga vittnesmål i eller utom domstol

eller uttala sig om de uppgifter som har kommit till deras

kännedom i deras tjänsteutövning eller vid utövandet av deras

verksamhet.

SV

L 121/58

Europeiska unionens officiella tidning

15.5.2009

H 1 I egt l UVL TNSNQYVXL ³N QN

Styrelsen, eller i förekommande fall direktören, ska kontakta

domstol eller annan behörig myndighet för att säkerställa att

nödvändiga åtgärder vidtas enligt den nationella lagstiftning

som är tillämplig på den berörda myndigheten.

Sådana åtgärder kan vidtas antingen för att närmare regler för

vittnesmål ska fastställas för att säkerställa att sekretess bibehålls

för uppgifterna eller, om den nationella lagstiftningen så tillåter,

för att vägra utlämnande av uppgifter i den mån det krävs för

att skydda Europols eller en medlemsstats intressen.

Om det enligt en medlemsstats lagstiftning finns en rätt att

vägra vittna, ska personer som avses i punkt 2 som kallats att

vittna vara skyldiga att skaffa tillstånd att vittna. Tillståndet ska

beviljas av direktören eller, om det är denne som är kallad att

vittna, av styrelsen. Om en sambandsman kallas att vittna med

anledning av uppgifter denne mottagit från Europol, får tillstån­

det inte ges förrän den medlemsstat som sänt den berörde sam­

bandsmannen har givit sitt samtycke till detta. Skyldigheten att

ansöka om tillstånd att vittna ska kvarstå även efter att de har

avslutat sin tjänst, sitt anställningsavtal eller sin verksamhet.

När det finns en möjlighet att vittnesmålet kan komma att

omfatta information och underrättelser som en medlemsstat

har överfört till Europol eller som tydligt rör en medlemsstat,

ska denna medlemsstats synpunkter inhämtas innan tillståndet

beviljas.

Tillstånd att vittna får vägras endast i den mån det är nödvän­

digt för att skydda överordnade skyddsvärda intressen för Euro­

pol eller den eller de berörda medlemsstaterna.

4. Varje

medlemsstat

ska

behandla

alla

överträdelser

av

den

diskretions- eller tystnadsplikt som avses i punkterna 2 eller 3

som överträdelser av skyldigheter i deras egen lagstiftning om

tystnadsplikt eller skydd av sekretessbelagt material.

De ska säkerställa att dessa regler och bestämmelser är tillämp­

liga även på deras egna tjänstemän som i samband med sin

tjänsteutövning har kontakt med Europol.

kapitel viii

BUDGETBESTÄMMELSER

Artikel 42

Budget

1. Europols

intäkter

ska,

utan

att

det

påverkar

andra

typer

av

inkomster, bestå av ett bidrag från gemenskapen som anslås i

Europeiska unionens allmänna budget (kommissionens avsnitt)

från och med den dag då detta beslut börjar tillämpas. Finansie­

ringen av Europol ska godkännas av Europaparlamentet och

rådet (nedan kallad budgetmyndigheten) i enlighet med det inter­

institutionella avtalet av den 17 maj 2006 mellan Europaparla­

mentet, rådet och kommissionen om budgetdisciplin och sund

ekonomisk förvaltning ( 1 ).

2. Europols

utgifter

ska

omfatta

kostnader

för

personal,

ad­

ministration, infrastruktur och drift.

3. Direktören

ska

göra

en

preliminär

beräkning

av

Europols

intäkter och utgifter för påföljande budgetår, inklusive en pre­

liminär tjänsteförteckning, och överlämna denna till styrelsen.

Den preliminära tjänsteförteckningen ska omfatta fasta eller till­

fälliga tjänster samt uppgift om utstationerade nationella exper­

ter och ska ange antal, lönegrad och anställningskategori för

den personal som är anställd vid Europol under det aktuella

budgetåret.

4. Inkomster

och

utgifter

ska

balansera

varandra.

5. Styrelsen

ska

anta

utkastet

till

beräkning

av

intäkter

och

utgifter, inklusive utkastet till tjänsteförteckning och det preli­

minära arbetsprogrammet, och överlämna detta underlag till

kommissionen senast den 31 mars varje år. Om kommissionen

har invändningar mot den preliminära beräkningen, ska den

underrätta styrelsen om detta inom 30 dagar efter mottagandet

av den preliminära beräkningen.

6. Kommissionen

ska

vidarebefordra

beräkningen

till

budget­

myndigheten, tillsammans med det preliminära förslaget till

Europeiska gemenskapernas allmänna budget.

7. På

grundval

av

denna

beräkning

ska

kommissionen

i

det

preliminära förslaget till Europeiska gemenskapernas allmänna

budget, som den ska förelägga budgetmyndigheten i enlighet

med artikel 272 i fördraget om upprättandet av Europeiska

gemenskapen, ta upp de medel som den bedömer vara nödvän­

diga med avseende på tjänsteförteckningen samt det bidragsbe­

lopp som ska belasta den budgeten.

8. Budgetmyndigheten

ska,

när

den

antar

Europeiska

gemen­

skapernas allmänna budget, bevilja de anslag som utgör bidraget

till Europol och Europols tjänsteförteckning.

9. Styrelsen

ska

anta

Europols

budget

och

tjänsteförteck­

ningen. De ska vara slutligt antagna efter det slutliga antagandet

av Europeiska gemenskapernas allmänna budget. I förekom­

mande fall ska de anpassas i enlighet därmed genom antagandet

av en reviderad budget.

10. Alla

eventuella

ändringar

av

budgeten,

inklusive

tjänste­

förteckningen, ska göras i enlighet med förfarandet i punkterna

5–9.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/59

H 1 I eut c QSYL QTNVNRPPVL ³N QN

11. Styrelsen

ska

snarast

möjligt

meddela

budgetmyndighe­

ten om den har för avsikt att genomföra ett projekt som kan få

betydande effekter på finansieringen av dess budget, särskilt

projekt som rör fastigheter, till exempel hyra eller förvärv av

byggnader. Styrelsen ska underrätta kommissionen om sådana

planer. Om en av budgetmyndighetens parter har meddelat att

den har för avsikt att avge ett yttrande, ska den vidarebefordra

detta yttrande till styrelsen inom sex veckor från det att bud­

getmyndigheten underrättades om projektet.

Artikel 43

Genomförande och kontroll av budgeten

1. Direktören

ska

genomföra

Europols

budget.

2. Europols

räkenskapsförare

ska

senast

den

28

februari

efter

utgången av varje budgetår översända de preliminära räkenska­

perna till kommissionens räkenskapsförare tillsammans med en

rapport om budgetförvaltning och ekonomisk förvaltning för

samma budgetår. Kommissionens räkenskapsförare ska konsoli­

dera institutionernas och de decentraliserade organens prelimi­

nära redovisningar i enlighet med artikel 128 i rådets förord­

ning (EG, Euratom) nr 1605/2002 av den 25 juni 2002 med

budgetförordningen för Europeiska gemenskapernas allmänna

budget ( 1 ).

3. Kommissionens räkenskapsförare ska senast den 31 mars

efter utgången av varje budgetår översända Europols preliminära

räkenskaper till revisionsrätten tillsammans med en rapport om

budgetförvaltningen och den ekonomiska förvaltningen för

samma budgetår. Rapporten om budgetförvaltningen och den

ekonomiska förvaltningen för det budgetåret ska också över­

sändas till Europaparlamentet och rådet.

4. Efter

mottagandet

av

revisionsrättens

iakttagelser

om

Eu­

ropols preliminära räkenskaper, i enlighet med artikel 129 i

förordning (EG, Euratom) nr 1605/2002, ska direktören på

eget ansvar upprätta Europols slutliga redovisning och över­

lämna den till styrelsen för yttrande.

5. Styrelsen

ska

avge

ett

yttrande

om

Europols

slutliga

redo­

visning.

6. Senast

den

1

juli

efter

utgången

av

varje

budgetår

ska

direktören överlämna den slutliga redovisningen tillsammans

med styrelsens yttrande till Europaparlamentet, rådet, kommis­

sionen och revisionsrätten.

7. Den

slutliga

redovisningen

ska

offentliggöras.

8. Senast

den

30

september

ska

direktören

översända

ett

svar

till revisionsrätten på dess iakttagelser. Direktören ska även

översända en kopia av detta svar till styrelsen.

9. Direktören

ska,

Europaparlamentets

begäran,

lägga

fram alla uppgifter som behövs för att förfarandet för beviljande

av ansvarsfrihet för det berörda budgetåret ska fungera väl, i

enlighet med artikel 146.3 i förordning (EG, Euratom) nr

1605/2002.

10. Europaparlamentet ska före den 30 april år n + 2, på

rekommendation av rådet som ska fatta sitt beslut med kvalifi­

cerad majoritet, bevilja direktören ansvarsfrihet för budgetens

genomförande under budgetår n.

Artikel 44

Budgetförordning

Budgetförordningen för Europol ska antas av styrelsen efter

samråd med kommissionen. Bestämmelserna får inte avvika

från förordning (EG, Euratom) nr 2343/2002, såvida detta

inte avser särskilda krav när det gäller Europols verksamhet.

Det krävs ett förhandsgodkännande av kommissionen för att

anta bestämmelser som avviker från förordning (EG, Euratom)

nr 2343/2002. Budgetmyndigheten ska underrättas om dessa

avvikelser.

kapitel ix

ÖVRIGA BESTÄMMELSER

Artikel 45

Bestämmelser om tillgång till Europols handlingar

På grundval av ett förslag från direktören och senast sex måna­

der efter den dag då detta beslut börjar tillämpas ska styrelsen

anta bestämmelser om tillgång till Europols handlingar med

beaktande av de principer och begränsningar som anges i Eu­

ropaparlamentets och rådets förordning (EG) nr 1049/2001 av

den 30 maj 2001 om allmänhetens tillgång till Europaparla­

mentets, rådets och kommissionens handlingar ( 2 ).

Artikel 46

Sekretessbelagda EU-uppgifter

Europol ska tillämpa de säkerhetsprinciper och miniminormer

som fastställs i rådets beslut 2001/264/EG av den 19 mars

2001 om antagande av rådets säkerhetsbestämmelser ( 3 ) för

sekretessbelagda EU-uppgifter.

Artikel 47

Språk

1.

Europol ska omfattas av bestämmelserna i förordning nr 1

av den 15 april 1958 om vilka språk som ska användas i

Europeiska ekonomiska gemenskapen ( 4 ).

2. Styrelsen

ska

enhälligt

besluta

om

Europols

interna

språk­

användning.

SV

L 121/60

Europeiska unionens officiella tidning

15.5.2009

H 1 I egt l RTXL QVNYNRPPRL ³N QN

H 2 I egt l QTUL SQNUNRPPQL ³N TSN

H 3 I egt l QPQL QQNTNRPPQL ³N QN

H 4 I egt QWL VNQPNQYUXL ³N SXUOUXN

3. De

översättningar

som

är

nödvändiga

för

Europols

arbete

ska utföras av Översättningscentrum för Europeiska unionens

organ ( 1 ).

Artikel 48

Information till Europaparlamentet

Rådets ordförande, styrelsens ordförande och direktören ska

framträda inför Europaparlamentet på dess begäran för att dis­

kutera frågor som rör Europol, med beaktande av diskretions-

och tystnadsplikten.

Artikel 49

Bedrägeribekämpning

De regler som fastställs i Europaparlamentets och rådets förord­

ning (EG) nr 1073/1999 av den 25 maj 1999 om utredningar

som utförs av Europeiska byrån för bedrägeribekämpning

(Olaf) ( 2 ) ska tillämpas på Europol. Styrelsen ska på grundval

av ett förslag från direktören och senast sex månader efter

den dag då detta beslut börjar tillämpas anta de erforderliga

genomförandeåtgärder som kan komma att undanta operativa

uppgifter från Olafs utredningar.

Artikel 50

Överenskommelse om säte

Bestämmelserna rörande Europols lokaler i den stat där den har

sitt säte och de resurser som ska tillhandahållas av den staten

samt de särskilda regler som i den staten är tillämpliga på

direktören, ledamöterna i styrelsen, de biträdande direktörerna

samt Europols tjänstemän och deras familjemedlemmar ska efter

styrelsens godkännande fastställas i en överenskommelse om

säte mellan Europol och Konungariket Nederländerna.

Artikel 51

Privilegier och immunitet

1. Protokollet

om

Europeiska

gemenskapernas

immunitet

och privilegier samt en särskild förordning antagen på grundval

av artikel 16 i protokollet om Europeiska gemenskapernas im­

munitet och privilegier ska tillämpas på Europols direktör, bi­

trädande direktörer och personal.

2. Protokollet

om

Europeiska

gemenskapernas

immunitet

och privilegier ska gälla för Europol.

3. Nederländerna

och

de

övriga

medlemsstaterna

ska

komma

överens om att de sambandsmän som utstationerats från de

övriga medlemsstaterna samt deras familjemedlemmar ska om­

fattas av de privilegier och den immunitet som är nödvändiga

för utförandet av sambandsmännens uppgifter vid Europol.

Artikel 52

Ansvar för obehörig eller felaktig behandling av uppgifter

1. Varje

medlemsstat

ska

i

enlighet

med

sin

nationella

lag­

stiftning vara ansvarig för all skada som åsamkas en person till

följd av rättsliga eller faktiska fel i uppgifter som lagras eller

behandlas vid Europol. Endast den medlemsstat där den skade­

bringande handlingen företogs kan bli föremål för en skade­

ståndstalan från den skadelidande, som ska vända sig till de

domstolar som är behöriga enligt den berörda medlemsstatens

nationella lagstiftning. En medlemsstat kan inte åberopa det

faktum att en annan medlemsstat eller Europol har förmedlat

felaktiga uppgifter för att undgå det ansvar som medlemsstaten i

enlighet med den nationella lagstiftningen har gentemot en

skadelidande.

2. Om sådana rättsliga eller faktiska fel som avses i punkt 1

har uppstått till följd av en felaktig uppgiftsöverföring eller av

att en eller flera medlemsstater inte fullgjort sina skyldigheter

enligt detta beslut eller av en obehörig eller felaktig lagring eller

behandling av Europol, ska Europol eller den eller de berörda

medlemsstaterna vara skyldiga att på anmodan återbetala vad

som utbetalats i skadestånd i enlighet med punkt 1, såvitt inte

uppgifterna har använts i strid med detta beslut av den med­

lemsstat på vars territorium skadan orsakades.

3. Varje

oenighet

mellan

den

medlemsstat

som

har

betalat

kompensation i enlighet med punkt 1 och Europol eller en

annan medlemsstat om principen eller beloppet för denna åter­

betalning ska underställas styrelsen, som ska besluta med två

tredjedelars majoritet av ledamöterna.

Artikel 53

Annat skadeståndsansvar

1. Europols avtalsrättsliga ansvar ska regleras av den lagstift­

ning som är tillämplig på avtalet i fråga.

2. Vad beträffar utomobligatoriskt ansvar ska Europol, obe­

roende av ett ansvar enligt artikel 52, ersätta de skador som

orsakats av dess organ eller personal under tjänsteutövning, i

den mån skadorna har vållats av dem och utan avseende på de

olika förfarandena för att kräva ersättning för skada i medlems­

staterna lagstiftning.

3. Den

skadelidande

ska

ha

rätt

att

kräva

att

Europol

avstår

från en åtgärd eller upphäver den.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/61

H 1 I r夥´³ ¦ö²¯²¤®©®§ HegI ®² RYVUOYT ¡¶ ¤¥® RX ®¯¶¥­¢¥² QYYT ¯­

µ°°²ä´´¡®¤¥ ¡¶ ¥´´ ö¶¥²³ä´´®©®§³£¥®´²µ­ ¦ö² eµ²¯°¥©³«¡ µ®©¯®¥®³

¯²§¡® Hegt l SQTL WNQRNQYYTL ³N QIN

H 2 I egt l QSVL SQNUNQYYYL ³N QN

4. De

nationella

domstolar

i

medlemsstaterna

som

ska

vara

behöriga att pröva tvister som rör Europols ansvar enligt denna

artikel ska fastställas med hänvisning till rådets förordning (EG)

nr 44/2001 av den 22 december 2000 om domstols behörighet

och om erkännande och verkställighet av domar på privaträt­

tens område ( 1 ).

Artikel 54

Ansvar med avseende på Europols deltagande i

gemensamma utredningsgrupper

1. Den

medlemsstat,

inom

vars

territorium

skador

orsakats

av Europolpersonal som i samband med sitt bistånd till opera­

tiva åtgärder är verksam i den medlemsstaten i enlighet med

artikel 6, ska ersätta skadorna enligt de villkor som gäller för

skada som orsakats av dess egna tjänstemän.

2. Om

inte

annat

överenskommits

med

den

berörda

med­

lemsstaten, ska Europol ersätta denna medlemsstat hela det be­

lopp som den har utbetalat till offren eller deras rättsinnehavare

för sådana skador som avses i punkt 1. Alla tvister mellan

medlemsstaten och Europol om principen eller beloppet för

ersättningen ska hänskjutas till styrelsen, som ska avgöra frågan.

kapitel x

ÖVERGÅNGSBESTÄMMELSER

Artikel 55

Allmänt rättsligt övertagande

1. Detta

beslut

påverkar

inte

den

rättsliga

verkan

av

avtal

som ingåtts av Europol, såsom den inrättades genom Europol­

konventionen, före den dag då detta beslut börjar tillämpas.

2. Punkt

1

ska

särskilt

gälla

de

överenskommelser

om

säte

som ingåtts på grundval av artikel 37 i Europolkonventionen

och de avtal mellan Konungariket Nederländerna och övriga

medlemsstater som ingåtts på grundval av artikel 41.2 i Euro­

polkonventionen samt alla internationella avtal, inbegripet deras

bestämmelser om informationsutbyte, och kontrakt som Euro­

pol ingått, skulder som åligger Europol och egendom som för­

värvats av Europol såsom den inrättades enligt Europolkonven­

tionen.

Artikel 56

Direktör och biträdande direktörer

1. Den

direktör

och

de

biträdande

direktörer

som

utsetts

grundval av artikel 29 i Europolkonventionen ska för sina åter­

stående mandatperioder vara direktör och biträdande direktörer

enligt artikel 38 i detta beslut. Om mandatperioden löper ut

inom ett år efter den dag då detta beslut börjar tillämpas, ska

deras mandat automatiskt förlängas fram till ett år efter den dag

då detta beslut börjar tillämpas.

2. Om direktören eller en eller flera biträdande direktörer

inte vill eller kan handla i enlighet med punkt 1, ska styrelsen

utse en tillförordnad direktör eller en eller flera tillförordnade

biträdande direktörer för en period på högst 18 månader, i

avvaktan på det utnämningsförfarande som föreskrivs i arti­

kel 38.1 och 38.2.

Artikel 57

Personal

1. Med

avvikelse

från

artikel

39

ska

alla

anställningsavtal

som ingåtts av Europol, i den form som de upprättats genom

Europolkonventionen och förutsatt att de är i kraft på tillämp­

lighetsdagen för detta beslut, fortsätta att gälla tills de löper ut

och de kan inte förlängas på grundval av Europols tjänsteföre­

skrifter ( 2 ) efter den dag då detta beslut börjar tillämpas.

2. All

personal

med

sådana

anställningsavtal

som

avses

i

punkt 1 ska erbjudas möjligheten att ingå avtal om tillfällig

anställning enligt artikel 2 a i anställningsvillkoren i de olika

grader som anges i tjänsteförteckningen eller om kontraktsan­

ställning enligt artikel 3a i anställningsvillkoren.

För detta ändamål ska ett internt urvalsförfarande, begränsat till

personal som har ett avtal med Europol på tillämplighetsdagen

för detta beslut, genomföras efter ikraftträdandet och inom två

år från och med den dag då detta beslut börjar tillämpas, av den

myndighet som bemyndigats att ingå anställningsavtal, för att

kontrollera sökandenas förmåga, effektivitet och integritet.

Beroende på arbetsuppgifternas art och nivå kommer godkända

sökande att erbjudas antingen ett avtal om tillfällig anställning

eller ett avtal om kontraktsanställning för en tid som minst ska

motsvara den tid som återstår enligt det kontrakt som ingicks

före den dag då detta beslut börjar tillämpas.

3. Om

Europol

ingått

ett

andra

avtal

för

en

bestämd

tid

före

den dag då detta beslut börjar tillämpas och den anställde god­

tagit ett avtal om tillfällig anställning eller kontraktsanställning

enligt villkoren i punkt 2 tredje stycket, får en avtalad förläng­

ning därefter gälla tills vidare, i enlighet med artikel 39.4.

4. Om

ett

avtal

som

ska

gälla

tills

vidare

ingåtts

av

Europol

före

den dag då detta beslut börjar tillämpas och den anställda perso­

nen godtog ett avtal om tillfällig anställning eller kontrakts­

anställning enligt villkoren i punkt 2 tredje stycket, ska det avtalet

ingås för att gälla tills vidare i enlighet med artikel 8 första stycket

och artikel 85.1 i anställningsvillkoren.

SV

L 121/62

Europeiska unionens officiella tidning

15.5.2009

H 1 I egt l QRL QVNQNRPPQL ³N QN

H 2 I r夥´³ ¡«´ ¡¶ ¤¥® S ¤¥£¥­¢¥² QYYX ¯­ ¡®´¡§¡®¤¥ ¡¶ ´ªä®³´¥¦ö²¥í

³«²©¦´¥² ¦ö² ¡®³´ä¬¬¤¡ ¶©¤ eµ²¯°¯¬ Hegt c RVL SPNQNQYYYL ³N RSIN

5. Tjänsteföreskrifterna

för

anställda

vid

Europol

och

andra

relevanta instrument ska fortsätta att gälla för anställda som inte

anställs i enlighet med punkt 2. Med avvikelse från kapitel 5 i

tjänsteföreskrifterna för anställda vid Europol ska den procent­

sats för den årliga anpassningen av lönerna som beslutas av

rådet i enlighet med artikel 65 i tjänsteföreskrifterna gälla för

Europols personal.

Artikel 58

Budget

1. Förfarandet

för

beviljande

av

ansvarsfrihet

för

de

budgetar

som godkänts på grundval av artikel 35.5 i Europolkonventio­

nen ska genomföras i enlighet med de regler som fastställs i

artikel 36.5 i Europolkonventionen och den budgetförordning

som antagits på grundval av artikel 35.9 i Europolkonventio­

nen.

2. Vid

det

förfarande

för

beviljande

av

ansvarsfrihet

som

beskrivs i punkt 1 ska följande gälla:

a) Vid förfarandet för beviljande av ansvarsfrihet för de årliga

räkenskaperna för året före den dag då detta beslut börjar

tillämpas ska den gemensamma kontrollkommittén fortsatt

vara verksam i enlighet med de förfaranden som fastställs på

grundval av artikel 36 i Europolkonventionen. Förfarandet

för beviljande av ansvarsfrihet som fastställs i Europolkon­

ventionen ska tillämpas i den mån det krävs för detta än­

damål.

b) Den styrelse som avses i artikel 36 i detta beslut ha rätt att

besluta om vem som ska överta ansvaret för de uppgifter

som tidigare utfördes av styrekonomen och budgetkommit­

tén på grundval av Europolkonventionen.

3. Alla

utgifter

som

följer

av

Europols

åtaganden

i

enlighet

med den budgetförordning som antagits på grundval av arti­

kel 35.9 i Europolkonventionen före den dag då detta beslut

börjar tillämpas, och som ännu inte har betalats vid denna

tidpunkt, ska betalas på det sätt som beskrivs nedan i punkt

4 i den här artikeln.

4. Före

utgången

av

en

tolvmånadersperiod

efter

den

dag

detta beslut börjar tillämpas, ska styrelsen fastställa det belopp

som ska täcka de utgifter som avses i punkt 3. Ett motsvarande

belopp som finansierats genom det ackumulerade överskottet

från de budgetar som godkänts på grundval av artikel 35.5 i

Europolkonventionen ska överföras till den första budget som

upprättas enligt detta beslut och ska utgöra en inkomst som

avsatts för ett särskilt ändamål för att täcka denna utgift.

Om överskottet inte är tillräckligt för att täcka den utgift som

avses i punkt 3 ska medlemsstaterna bidra med nödvändiga

medel i enlighet med de förfaranden som fastställs på grundval

av Europolkonventionen.

5. Återstoden

av

överskotten

i

de

budgetar

som

godkänts

grundval av artikel 35.5 i Europolkonventionen ska återbetalas

till medlemsstaterna. Det belopp som ska utbetalas till var och

en av medlemsstaterna ska härvid beräknas med utgångspunkt i

medlemsstaternas årliga bidrag till Europols budgetar, fastställda

på grundval av artikel 35.2 i Europolkonventionen.

Återbetalningen till medlemsstaterna ska ske inom tre månader

efter det att det belopp som täcker de utgifter som avses i punkt

3 har fastställts och det förfarande för beviljande av ansvarsfri­

het för budgetar som godkänts på grundval av artikel 35.5 i

Europolkonventionen har avslutats.

Artikel 59

Bestämmelser som ska utformas och antas före den dag då

detta beslut börjar tillämpas

1. Den

styrelse

som

inrättats

grundval

av

Europolkonven­

tionen, den direktör som utsetts på grundval av den konventio­

nen och den gemensamma tillsynsmyndighet som inrättats på

grundval av den konventionen ska förbereda antagandet av

följande instrument:

a) De regler avseende rättigheter och skyldigheter för sam­

bandsmän som avses i artikel 9.5.

b) De tillämpningsföreskrifter för analysregister som avses i

artikel 14.1 tredje stycket.

c) De föreskrifter för Europols förbindelser som avses i arti­

kel 26.1 b.

d) De tillämpningsföreskrifter för Europols personal som avses i

artikel 37.9 d.

e) De regler för urval och entledigande av direktören och de

biträdande direktörerna som avses i artikel 38.3 och 38.7.

f) De regler för sekretesskydd som avses i artikel 40.1.

g) Den budgetförordning som avses i artikel 44.

h) Instrument som krävs för att förbereda tillämpningen av

detta beslut.

2. Vid antagandet av de åtgärder som anges i punkt 1 a, d, e,

g och h ska styrelsen ha den sammansättning som anges i

artikel 37.1. Styrelsen ska anta åtgärderna i enlighet med de

förfaranden som anges i de bestämmelser som det hänvisas

till i punkt 1 a, d, e och g i den här artikeln.

Rådet ska anta de åtgärder som anges i punkt 1 b, c och f i

enlighet med de förfaranden som det hänvisas till i punkt 1 b, c

och f.

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/63

Artikel 60

Ekonomiska åtgärder och beslut som ska antas före den

dag då detta beslut börjar tillämpas

1. Styrelsen

ska

i

sin

sammansättning

enligt

artikel

37.1

anta

alla ekonomiska åtgärder och beslut som krävs för tillämp­

ningen av den nya budgetramen.

2. De

åtgärder

och

beslut

som

avses

ovan

i

punkt

1

ska

antas i enlighet med förordning (EG, Euratom) nr 2343/2002

och bland annat omfatta följande:

a) Utformning och antagande av alla åtgärder och beslut som

avses i artikel 42 i fråga om det första budgetåret efter den

dag då detta beslut börjar tillämpas.

b) Utseende av en räkenskapsförare enligt artikel 37.9 e senast

den 15 november året före det första budgetåret efter den

dag då detta beslut börjar tillämpas.

c) Inrättande av internrevisionen enligt artikel 37.9 f.

3. Beslut

om

godkännande

av

transaktioner

som

hänför

sig

till det första budgetåret efter den dag då detta beslut börjar

tillämpas ska fattas av den direktör som utsetts enligt artikel 29

i Europolkonventionen från och med den 15 november året

före det första budgetåret efter den dag då detta beslut börjar

tillämpas. Från och med denna dag ska direktören också ha rätt

att vid behov delegera uppgiften som räkenskapsförare. När

räkenskapsförarens uppgifter utförs ska kraven i förordning

(EG, Euratom) nr 2343/2002 iakttas.

4. Beslut

om

förhandskontrollen

av

transaktioner

som

hän­

för sig till det första budgetåret efter den dag då detta beslut

börjar tillämpas ska fattas av den styrekonom som utsetts enligt

artikel 27.3 i Europolkonventionen under perioden mellan den

15 november och den 31 december året före det första budget­

året efter den dag då detta beslut börjar tillämpas. Styrekono­

men ska utföra denna uppgift i enlighet med förordning (EG,

Euratom) nr 2343/2002.

5. En del av de övergångskostnader från året före det första

budgetåret efter den dag då detta beslut börjar tillämpas som

uppkommer när Europol förbereder sig för den nya budgetra­

men ska belasta Europeiska unionens allmänna budget. Finan­

sieringen av dessa kostnader får ges formen av ett bidrag från

gemenskapen.

kapitel xi

SLUTBESTÄMMELSER

Artikel 61

Införlivande

Medlemsstaterna ska se till att deras nationella lagstiftning över­

ensstämmer med detta beslut senast från och med den dag då

detta beslut börjar tillämpas.

Artikel 62

Ersättande

Detta beslut ersätter Europolkonventionen och protokollet om

privilegier och immunitet för Europol, medlemmar i organen,

dess biträdande direktörer och dess tjänstemän från och med

den dag då detta beslut börjar tillämpas.

Artikel 63

Upphävande

Såvida inte annat föreskrivs i detta beslut ska alla genomföran­

debestämmelser för Europolkonventionen upphöra att gälla den

dag då detta beslut börjar tillämpas.

Artikel 64

Ikraftträdande och tillämplighet

1. Detta

beslut

träder

i

kraft

den

tjugonde

dagen

efter

det

att

det har offentliggjorts i Europeiska unionens officiella tidning.

2. Beslutet ska tillämpas från och med den 1 januari 2010

eller tillämpningsdatum för den förordning som avses i arti­

kel 51.1, beroende på vilket datum som infaller senast.

Artiklarna 57.2 andra stycket, 59, 60 och 61 ska tillämpas från

och med den dag då detta beslut träder i kraft.

Utfärdat i Luxemburg den 6 april 2009.

På rådets vägnar

jN pospÍŠil

Ordförande

SV

L 121/64

Europeiska unionens officiella tidning

15.5.2009

BILAGA

fö²´¥£«®©®§ ö¶¥² ¡®¤²¡ ¦¯²­¥² ¡¶ §²¯¶ ¢²¯´´³¬©§¨¥´ ³¯­ eµ²¯°¯¬ ¨¡² ¢¥¨ö²©§¨¥´ ¡´´ ¡²¢¥´¡ ­¥¤ © ¥®¬©§¨¥´ ­¥¤ ¡²´©«¥¬ TNQZ

— o¬¡§¬©§ ®¡²«¯´©«¡¨¡®¤¥¬N

— i¬¬¥§¡¬ °¥®®©®§´¶ä´´N

— b²¯´´³¬©§¨¥´ ³¯­ ¨¡² ³¡­¢¡®¤ ­¥¤ ®µ«¬¥ä²¡ ¯£¨ ²¡¤©¯¡«´©¶¡ ä­®¥®N

— i¬¬¥§¡¬ ­ä®®©³«¯³­µ§§¬©®§N

— mä®®©³«¯¨¡®¤¥¬N

— h¡®¤¥¬ ­¥¤ ³´µ¬®¡ ¦¯²¤¯®N

— m¯²¤ ¯£¨ §²¯¶ ­©³³¨¡®¤¥¬N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ ­ä®³«¬©§¡ ¯²§¡® ¯£¨ ¶ä¶®¡¤¥²N

— mä®®©³«¯²¯¶L ¯¬¡§¡ ¦²©¨¥´³¢¥²ö¶¡®¤¥ ¯£¨ ´¡§¡®¤¥ ¡¶ §©³³¬¡®N

— r¡³©³­ ¯£¨ ¦²ä­¬©®§³¦©¥®´¬©§¨¥´N

— o²§¡®©³¥²¡¤ ³´ö¬¤N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ «µ¬´µ²¦ö²¥­å¬L ©®¢¥§²©°¥´ ¡®´©«¶©´¥´¥² ¯£¨ «¯®³´¶¥²«N

— s¶©®¤¬¥²© ¯£¨ ¢¥¤²ä§¥²©N

— b¥³«¹¤¤¡²¶¥²«³¡­¨¥´ ¯£¨ µ´°²¥³³®©®§N

— fö²¦¡¬³«®©®§ ¯£¨ °©²¡´«¯°©¥²©®§N

— fö²¦¡¬³«®©®§ ¡¶ ¡¤­©®©³´²¡´©¶¡ ¤¯«µ­¥®´ ¯£¨ ¨¡®¤¥¬ ­¥¤ ³å¤¡®¡ ¦ö²¦¡¬³«®©®§¡²N

— p¥®®©®§¦ö²¦¡¬³«®©®§ ¯£¨ ¦ö²¦¡¬³«®©®§ ¡¶ ¢¥´¡¬®©®§³­¥¤¥¬N

— itM¢²¯´´³¬©§¨¥´N

— k¯²²µ°´©¯®N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ ¶¡°¥®L ¡­­µ®©´©¯® ¯£¨ ³°²ä®§ä­®¥®N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ ¨¯´¡¤¥ ¤ªµ²¡²´¥²N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ ¨¯´¡¤¥ ¶ä¸´¡²´¥² ¯£¨ ¶ä¸´³¯²´¥²N

— m©¬ªö¢²¯´´N

— o¬¡§¬©§ ¨¡®¤¥¬ ­¥¤ ¨¯²­¯®°²¥°¡²¡´ ¯£¨ ¡®¤²¡ ´©¬¬¶ä¸´³µ¢³´¡®³¥²N

nä² ¤¥´ §ä¬¬¥² ¤¥ ¦¯²­¥² ¡¶ ¢²¯´´³¬©§¨¥´ ³¯­ ä² µ°°´¡§®¡ © ¡²´©«¥¬ TNQ ¡¶³¥³ © ¤¥´´¡ ¢¥³¬µ´ ­¥¤

a) ¢²¯´´³¬©§¨¥´ ³¯­ ¨¡² ³¡­¢¡®¤ ­¥¤ ®µ«¬¥ä²¡ ¯£¨ ²¡¤©¯¡«´©¶¡ ä­®¥®Z sådana brott som uppräknas i artikel 7.1 i konventionen

¯­ ¤¥´ ¦¹³©³«¡ ³«¹¤¤¥´ ¡¶ ®µ«¬¥ä²¡ ä­®¥® µ®¤¥²´¥£«®¡¤ © w©¥® ¯£¨ n¥· y¯²« ¤¥® S ­¡²³ QYXPL ¯£¨ ³¯­ ²ö²

®µ«¬¥ä²¡ ¯£¨O¥¬¬¥² ²¡¤©¯¡«´©¶¡ ä­®¥® ³¯­ ¤¥ ¤¥¦©®©¥²¡³ © ¢å¤¥ ¡²´©«¥¬ QYW © ¦ö²¤²¡§¥´ ¯­ µ°°²ä´´¡®¤¥´ ¡¶ eµ²¯°¥©³«¡

¡´¯­¥®¥²§©§¥­¥®³«¡°¥® ¯£¨ © ²å¤¥´³ ¤©²¥«´©¶ YVORYOeµ²¡´¯­ ¡¶ ¤¥® QS ­¡ª QYYV ¯­ ¦¡³´³´ä¬¬¡®¤¥ ¡¶ §²µ®¤¬ä§§¡®¤¥

³ä«¥²¨¥´³®¯²­¥² ¦ö² ³«¹¤¤ ¡¶ ¡²¢¥´³´¡§¡²®¡³ ¯£¨ ¡¬¬­ä®¨¥´¥®³ ¨ä¬³¡ ­¯´ ¤¥ ¦¡²¯² ³¯­ µ°°³´å² ´©¬¬ ¦ö¬ª¤ ¡¶ ª¯®©³¥²¡®¤¥

³´²å¬®©®§ H 1 IL

b) ©¬¬¥§¡¬¡ ®ä´¶¥²« ¦ö² ©®¶¡®¤²©®§Z de handlingar som i vinstsyfte avsiktligen underlättar inresan till, vistelsen på eller arbete

©®¯­ ­¥¤¬¥­³³´¡´¥²®¡³ ´¥²²©´¯²©µ­L © ³´²©¤ ­¥¤ ¢¥³´ä­­¥¬³¥² ¯£¨ ´©¬¬ä­°¬©§¡ ¶©¬¬«¯² © ­¥¤¬¥­³³´¡´¥²®¡L

SV

15.5.2009 Europeiska

unionens

officiella

tidning L

121/65

( 1 ) EGT L 159, 29.6.1996, s. 1.

c) ­ä®®©³«¯¨¡®¤¥¬Z rekrytering, transport, överföring, förvaring eller mottagande av personer genom hot eller våld eller

¡®¤²¡ ¦¯²­¥² ¡¶ ´¶å®§L ¢¯²´¦ö²¡®¤¥L ¢¥¤²ä§¥²©L ¶©¬³¥¬¥¤¡®¤¥L ­©³³¢²µ« ¡¶ ­¡«´ ¥¬¬¥² µ´®¹´´ª¡®¤¥ ¡¶ ®å§¯®³ ³å²¢¡²¡

³©´µ¡´©¯® ¥¬¬¥² §¥®¯­ §©¶¡®¤¥ ¥¬¬¥² ­¯´´¡§¡®¤¥ ¡¶ ¢¥´¡¬®©®§ ¥¬¬¥² ¦ö²­å®¥² ¦ö² ¡´´ ¥²¨å¬¬¡ ³¡­´¹£«¥ ¦²å® ¥® °¥²³¯® ³¯­

¨¡² «¯®´²¯¬¬ ö¶¥² ®å§¯® ¡®®¡® °¥²³¯®L © ¥¸°¬¯¡´¥²©®§³³¹¦´¥N m¥¤ ¥¸°¬¯¡´¥²©®§ ³«¡ å´­©®³´¯®¥ ¡¶³¥³ ¥¸°¬¯¡´¥²©®§ ¡¶

¡®®¡®³ °²¯³´©´µ´©¯® ¥¬¬¥² ¡®¤²¡ ¦¯²­¥² ¡¶ ³¥¸µ¥¬¬ ¥¸°¬¯¡´¥²©®§L ¦²¡­³´ä¬¬®©®§L ¦ö²³ä¬ª®©®§ ¯£¨ ³°²©¤®©®§ ¡¶ ¢¡²®°¯²®¯í

§²¡¦©³«´ ­¡´¥²©¡¬L ´¶å®§³¡²¢¥´¥L ³¬¡¶¥²© ¥¬¬¥² ³¬¡¶¥²©¬©«®¡®¤¥ ³¥¤¶ä®ª¯²L ´²ä¬¤¯­ ¥¬¬¥² ¡¶¬ä§³®¡®¤¥ ¡¶ ¯²§¡®L

d) ¨¡®¤¥¬ ­¥¤ ³´µ¬®¡ ¦¯²¤¯®Z brottslighet som har samband med stöld eller tillgrepp av bilar, lastbilar, långtradare, lastbilars

¥¬¬¥² ¬å®§´²¡¤¡²¥³ ¬¡³´L ¢µ³³¡²L ­¯´¯²£¹«¬¡²L ¨µ³¶¡§®¡² ¯£¨ ª¯²¤¢²µ«³¦¯²¤¯®L ¡®¬ä§§®©®§³¦¯²¤¯®L ²¥³¥²¶¤¥¬¡² ³¡­´ ¨ä¬¥²©

­¥¤ ¤¥³³¡ ¦ö²¥­å¬L

e) ©¬¬¥§¡¬ °¥®®©®§´¶ä´´Z de brott som räknas upp i artikel 6.1–3 i Europarådets konvention om penningtvätt, spårande,

¢¥³¬¡§ ¯£¨ ¦ö²¶¥²«¡®¤¥ ¡¶ ¶©®®©®§ ¡¶ ¢²¯´´L µ®¤¥²´¥£«®¡¤ © s´²¡³¢¯µ²§ ¤¥® X ®¯¶¥­¢¥² QYYPL

f) ¯¬¡§¬©§ ®¡²«¯´©«¡¨¡®¤¥¬Z de brott som räknas upp i artikel 3.1 i Förenta nationernas konvention av den 20 december

QYXX ¯­ ¢¥«ä­°¡®¤¥ ¡¶ ©¬¬¥§¡¬ ¨¡®¤¥¬ ­¥¤ ®¡²«¯´©«¡ ¯£¨ °³¹«¯´²¯°¡ ä­®¥® ³¡­´ © ¤¥ ¢¥³´ä­­¥¬³¥² ³¯­ 䮤²¡²

¥¬¬¥² ¥²³ä´´¥² ¤¥®®¡ «¯®¶¥®´©¯®N

d¥ ¦¯²­¥² ¡¶ ¢²¯´´ ³¯­ ¯­®ä­®³ © ¡²´©«¥¬ T ¯£¨ © ¤¥®®¡ ¢©¬¡§¡ ³«¡ ¢¥¤ö­¡³ ¡¶ ­¥¤¬¥­³³´¡´¥²®¡³ ¢¥¨ö²©§¡ ­¹®¤©§¨¥´¥²

© ¥®¬©§¨¥´ ­¥¤ ¬¡§³´©¦´®©®§¥® © ²¥³°¥«´©¶¥ ­¥¤¬¥­³³´¡´N

SV

L 121/66

Europeiska unionens officiella tidning

15.5.2009

Sammanfattning av betänkandet

Dataskyddsrambeslutet

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Dataskyddsrambeslutet utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.

Dataskyddsrambeslutets bestämmelser innehåller i huvudsak följande. Syfte och tillämpningsområde (artikel 1), definitioner (artikel 2), grundläggande principer för personuppgiftsbehandlingen, bl.a. principer om ändamål (artikel 3), rättelse, radering och blockering samt regelbunden kontroll av nödvändigheten av lagringen av uppgifterna (artiklarna 4 och 5), behandling av känsliga uppgifter (artikel 6), bestämmelser som stadgar att ett automatiserat beslutsförfarande är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen (artikel 7), kvalitetskontroll (artikel 8), registrering och dokumentation (artikel 10), bestämmelser om begränsningar i rätten att behandla uppgifter, däribland tidsfrister för gallring av uppgifter, iakttagande av nationella restriktioner och andra användarbegränsningar (artiklarna 9 och 12), förutsättningar för överföring av uppgifter till tredjeland, internationella organ och privata subjekt i medlemsstaterna (artiklarna 13 och 14), den registrerades rättigheter i olika avseenden, bl.a. rätt till information, rättelse, skadestånd och tillgång till rättsmedel (artiklarna 16–20), tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter (artiklarna 21 och 22), föregående samråd (artikel 23), påföljder (artikel 24), nationella tillsynsmyndigheter (artikel 25), förhållandet mellan dataskyddsrambeslutet och andra överenskommelser med tredjeland respektive befintliga rättsakter (artiklarna 26 och 28).

Sverige har genom beslut av riksdagen den 30 oktober 2008 (bet. 2008/09:JuU7, rskr. 2008/09:41) godkänt utkastet till dataskyddsrambeslutet. Som grund för beslutet har regeringens proposition den 18 september 2008 om Godkännande av dataskyddsrambeslutet (2008/09:16) legat, i vilken det gjordes en preliminär bedömning av vilka lagändringar som kunde bli nödvändiga med anledning av dataskyddsrambeslutet. Propositionen innehöll dock inte några lagförslag.

I våra kommittédirektiv (dir 2010:17) har regeringen framhållit att de frågeställningar som är i behov av närmare analys är avgränsningen av dataskyddsrambeslutets tillämpningsområde, behandlingen av känsliga uppgifter samt användningsbegränsningar. Vi har dock vid en genomgång av prop. 2008/09:16 funnit att det, förutom dessa områden, även finns ett tjugotal andra frågor som regeringen i nämnda proposition har påpekat bör utredas ytterligare.

Vårt arbete har därför omfattat samtliga frågeställningar.

Vilka svenska myndigheter omfattas av dataskyddsrambeslutet?

I vårt arbete har vi inledningsvis gjort bedömningen att dataskyddsrambeslutets regelverk har påverkan på följande myndigheter som ägnar sig helt eller delvis åt brottsbekämpande verksamhet;

  • Kustbevakningen,
  • Polisen,
  • Åklagarväsendet,
  • Skatteverket och
  • Tullverket

Dessutom har vi ansett att följande andra myndigheter i rättskedjan också påverkas av dataskyddsrambeslutets regler;

  • Kriminalvården,
  • Kronofogdemyndigheten samt
  • Allmänna domstolar och allmänna förvaltningsdomstolar

Närmare om utredningens arbete

Utöver genomgången av dataskyddsrambeslutet har vi i vårt arbete gjort jämförelser med svensk rätt, främst i form av personuppgiftslagens bestämmelser och de aktuella registerförfattningar som rör ovan nämnda myndigheter. Vi har vidare gjort en kartläggning av den lagstiftning om internationellt samarbete som föreligger inom området för dessa myndigheter, samt gjort en genomgång av aktuella sekretessbestämmelser inom området.

Efter en jämförelse mellan dataskyddsrambeslutet och gällande svensk rätt har vi lämnat förslag till nya eller kompletterande bestämmelser för att Sverige ska leva upp till dataskyddsrambeslutets krav.

I vårt arbete har vi utgått från gällande svenska författningar, med undantag av polisdatalagen (2010:361) som träder i kraft den 1 mars 2012. Vi har inte beaktat arbetet med justeringar av gällande registerförfattningar som i nuläget pågår inom Regeringskansliet, eftersom någon proposition till ny lagstiftning ännu inte har beslutats.

Frågan om att ta fram förslag till bestämmelser som reglerar möjligheten för svenska myndigheter att ställa villkor m.m. för användningen av uppgifter som överförs till andra stater, har vi bedömt ligga utanför vårt uppdrag.

Nedan redogörs kortfattat för de delar av dataskyddsrambeslutet som vi anser bör föranleda ändringar och tillägg i svensk rätt samt våra förslag i dessa delar. Övriga delar av dataskyddsrambeslutet bedömer vi inte ska föranleda någon ändring i lag eller förordning.

Avgränsningen av dataskyddsrambeslutets tillämpningsområde

Behandling av personuppgifter vid polisiärt eller straffrättsligt samarbete i annat syfte än att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder, faller utanför dataskyddsrambeslutets tillämpningsområde.

Dataskyddsrambeslutets tillämpningsområde omfattar uppgifter som överförs eller görs tillgängliga m.m. mellan medlemsstater.

I artikel 1.3 i dataskyddsrambeslutet klargörs att bestämmelserna omfattar behandling av personuppgifter som utförs helt eller delvis automatiserat eller som ingår i eller är avsedda att ingå i register.

Enligt vår bedömning ska svensk lagstiftning anpassas till dataskyddsrambeslutet när detta är möjligt och lämpligt för att beslutet ska följas.

Enligt artikel 1.4 i dataskyddsrambeslutet undantas från rambeslutet ”viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet”.

Vad gäller Säkerhetspolisen anser vi att hela dess verksamhet bör omfattas av begreppet nationell säkerhet, i den mening som avses i dataskyddsrambeslutet. Säkerhetspolisen ska därför enligt vår bedömning vara undantagen från dataskyddsrambeslutets tillämpningsområde.

Annan verksamhet än Säkerhetspolisens föreslås inte ska undantas från tillämpningsområdet.

Ny lagstiftning om användarbegränsningar vid behandling av personuppgifter

För att uppfylla dataskyddsrambeslutets krav föreslår vi en ny lag – lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

I dag finns bestämmelser som reglerar situationer då en svensk myndighet erhåller information eller bevismaterial med användningsbegränsningar (villkor för användningen) från en utländsk myndighet.

Sådana bestämmelser finns i de internationella samarbetslagarna – lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamarbete, samt lagen (2000:344) om Schengens informationssystem.

I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.

De internationella samarbetslagarna ovan har dock ett mer vitt tillämpningsområde än dataskyddsrambeslutet. Samarbetslagarna täcker vidare inte allt samarbete i form av uppgiftsutbyte som myndigheterna utövar.

Mot bakgrund härav föreslår vi därför att en ny lag ska införas inom området.

Alternativet till att införa en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de ovan nämnda internationella samarbetslagarna. Då den av oss nu föreslagna lagen enbart omfattar personuppgiftsbehandling av uppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, hade ett sådant alternativ varit mindre lämpligt.

Ett annat alternativ till införandet av en ny lag hade varit att placera bestämmelserna i myndigheternas registerförfattningar. Vi anser dock att det för tillämparna blir tydligast att de nya bestämmelserna finns i en särskild lag. Enligt vår mening lämpar det sig bäst att specialregler inom ett visst område finns i en särskild lag till vilken sedan hänvisningar görs i de aktuella myndigheternas registerförfattningar (jfr 2 kap. 2 § tryckfri-

hetsförordningen). Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.

Vår föreslagna lag omfattar följande myndigheter; Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar och allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten och Ekobrottsmyndigheten.

Vi föreslår att den nya lagen ska innehålla bestämmelser om lagens tillämpningsområde m.m. (1–3 §§), ändamål för vidarebehandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av personuppgifter till privat part inom den Europeiska unionen (6 §), iakttagande av nationella restriktioner (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).

Lagens bestämmelser motsvarar artikel 3.2 jämförd med artikel 11 samt artiklarna 9, 12, 13, 14 och 16.2 i dataskyddsrambeslutet.

Dataskyddsrambeslutets regler (artikel 26) om förhållandet till avtal med tredjestater föranleder enligt vår mening inte någon ändring i lag eller förordning. Vad gäller dataskyddsrambeslutets regler (artikel 28) om förhållandet till tidigare antagna unionsakter anser vi dock att det bör tydliggöras i övergångsbestämmelserna till vår föreslagna lag att avvikande användningsbegränsningar i tidigare beslutade EU-akter ska gälla i stället för användningsbegränsningarna i vår föreslagna lag.

Vi föreslår vidare att nya hänvisningsparagrafer till vår föreslagna lag ska införas i de registerförfattningar som enligt vår mening omfattas av dataskyddsrambeslutets regler (se ovan).

Utlämnande med stöd av handlingsoffentligheten

Bestämmelserna om användarbegränsningar m.m. i dataskyddsrambeslutet reglerar endast vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär bl.a. att de bestämmelser om t.ex. användarbegränsningar som ställs upp i rambeslutet – och som ligger till grund för vårt förslag till ny lagstiftning inom området (se ovan) – endast avser en inskränkning för enskilda att få del av personuppgifter i en viss form. Dataskyddsrambeslutets bestämmelser strider således inte mot allmänhetens rätt att ta del av allmänna handlingar. Dataskyddsrambeslutets bestämmelser om användningsbegränsningar m.m. föranleder vidare inte någon ändring i offentlighets- och sekretesslagen (2009:400).

Tillägg i ändamålsbestämmelserna i myndigheternas registerförfattningar

Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter (artikel 3). Som anförts ovan anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där det är möjligt och lämpligt. I svensk rätt saknas i dag – i stort sett – uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgiftsbehandling som följer av myndigheternas internationella åtaganden.

För att tydliggöra myndigheternas fullgöranden av förpliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de registerförfattningar som reglerar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet. Den kompletterande ändamålsbestämmelsen föreslås ska få lydelsen ”fullgöra förpliktelser som följer av internationella åtaganden”. Vad avser Kriminalvården samt de allmänna domstolarna och de allmänna förvaltningsdomstolarna, bedömer vi inte att det finns behov av kompletterande bestämmelser.

Ändringar i bestämmelserna om behandlingen av känsliga uppgifter i myndigheternas registerförfattningar

Dataskyddsrambeslutets bestämmelser (artikel 6) innehåller regler för behandling av känsliga uppgifter som rör ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt hälsa och sexualliv. Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga adekvata skyddsåtgärder i den nationella lagstiftningen.

Mot bakgrund härav – och för att få till stånd en språklig likformighet mellan myndigheternas registerförfattningar – föreslår vi därför att justeringar görs i de paragrafer i registerförfattningarna som reglerar känsliga uppgifter, på så sätt att begreppet absolut nödvändigt genomgående införs.

Vidare föreslår vi att ett motsvarande tillägg av begreppet absolut nödvändigt ska införas i registerförfattningarna för Kronofogdemyndigheten, de allmänna domstolarna och de allmänna förvaltningsdomstolarna, polisen, åklagarväsendet och Tullverket vad gäller behandlingen av känsliga uppgifter vid dels diarieföring, dels då uppgifterna har lämnats i ett mål, ett ärende, en anmälan eller liknande och dels vid själva handläggningen.

Vissa justeringar i övriga författningar

Dataskyddsrambeslutets regler om rättelse och skadestånd föranleder tillägg i förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot, vari det anges att bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd ska tillämpas.

Märkning av uppgifter

Eftersom dataskyddsrambeslutets bestämmelser omfattar personuppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat, bedömer vi att en märkning varifrån uppgifterna härstammar är både nödvändig och möjlig, för att reglerna i dataskyddsrambeslutet, om t.ex. användningsbegränsningar ska kunna tillämpas på rätt sätt. Utarbetandet av ett system med märkning av uppgifter överlämnas till de myndigheter som utbyter de aktuella uppgifterna.

Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som vi föreslår med anledning av dataskyddsrambeslutet, föreligger enligt vår mening inte.

Framtagande av sådana system för märkning av uppgifter hos myndigheterna kan komma att innebära vissa kostnader.

Europolanställdas befattning med hemliga uppgifter

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.

Allmänt om Europol och Europolrådsbeslutet

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det polisiära samarbetet i unionen. Genom Europolrådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat samt vad avser bestämmelser om informationsbehandling och dataskydd.

I varje medlemsstat finns en nationell enhet som är förbindelselänk mellan Europol och medlemsstaten.

Vid Europols huvudkontor arbetar särskilda sambandsmän som är utsända från respektive medlemsland. Sambandsmännen är inte anställda av Europol utan är utskickade från medlemsländerna och lyder under sitt medlemslands nationella enhet. Frågan om tystnadsplikten m.m. för sambandsmännen är inte föremål för vår prövning (jfr vårt ursprungliga kommittédirektiv, 2010:17, s. 6).

Inom Europol finns även personal som är direkt anställd av Europol (Europoltjänstemän). Eftersom dessa Europoltjänstemän är anställda av Europol, arbetar de under EU:s särskilda bestämmelser och är inte knutna till medlemsländernas regler.

Enligt artikel 41.2 i Europolrådsbeslutet får Europols anställda och sambandsmännen samt andra som uttryckligen ålagts diskretions- och tystnadsplikt - ”inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet”.

I artikel 41.3 finns vidare bestämmelser som reglerar vad ”… Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2…” har att rätta sig efter inför ett eventuellt avläggande av vittnesmål i eller utom domstol eller uttalande om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

I artikel 41.4 första stycket anges att medlemsstaterna ska behandla alla överträdelser av diskretions- eller tystnadsplikten enligt artiklarna 41.2 och 41.3 som överträdelse av skyldigheter i staternas egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

I artikel 41.4 andra stycket anges vidare att medlemsstaterna ska säkerställa att dessa regler och bestämmelser är tillämpliga även på deras egna

tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.

För anställda vid de olika EU-organen gäller även interna tjänsteföreskrifter, av vilka framgår att tjänstemännen har rätt till yttrandefrihet med hänsyn tagen till principer om lojalitet och opartiskhet.

Från gemenskapens sida förväntas att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

Reglering om tystnadsplikt m.m. i svensk rätt

Enligt 2 kap. 1 § offentlighets- och sekretesslagen gäller förbud för myndighet att röja eller utnyttja en uppgift enligt lagen, eller lag eller förordning som lagen hänvisar till.

Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken.

I nämnda bestämmelse är det således kriminaliserat när någon röjer en uppgift som han eller hon är förpliktad att hålla hemlig ”…enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning…”

Reglerna i 2 kap. 2 § brottsbalken möjliggör en reglering av brott som begåtts utom riket, t.ex. i Europols huvudkvarter i Haag, Nederländerna.

Vår bedömning i denna del

De Europolanställda tjänstemännen omfattas inte av samma regler som de som handhar Europolfrågor vid nationella enheten i Sverige eller sambandsmännen i Europol. För att svensk rätt ska anses motsvara de krav som ställs i artikel 41.1 i Europolrådsbeslutet anser vi att det krävs kompletteringar i svenska författningar.

Det är således inte tillräckligt att frågorna regleras i ett rådsbeslut, utan detta måste också genomföras i svensk lagstiftning.

En ny lag är enligt vår mening att föredra jämfört med ändringar i 20 kap. 3 § brottsbalken.

Vi föreslår därför införandet av en ny lag med följande lydelse.

En svensk medborgare får inte obehörigen röja eller utnyttja en uppgift som han eller hon har fått kännedom om genom att delta i Europeiska polisbyråns (Europols) verksamhet på grund av anställning vid Europol.

Vi finner i denna del inte att det kan anses vara rimligt att svensk lagstiftning ska utsträckas längre än vad avser svenska medborgare.

Vår föreslagna lag ska omfatta personer som både är och har varit anställda vid Europol. Då bestämmelsen således enbart utgör en reglering av tystnadsplikt och inte en begränsning av rätten att ta del av allmänna handlingar enligt 2 kap. 2 § tryckfrihetsförordningen, krävs inte någon följdändring i offentlighets- och sekretesslagen.

Utredningens lagförslag

Förslag till lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens tillämpningsområde m.m. 1 § I denna lag finns bestämmelser om användningsbegränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

2 § Denna lag gäller endast vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

3 § Denna lag gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad.

Lagen gäller även för annan vidarebehandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökn