Prop. 2017/18:232
Brottsdatalag
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 19 april 2018
Stefan Löfven
Morgan Johansson (Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår att EU:s nya dataskyddsdirektiv i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med den föreslagna lagen är både att skydda fysiska personers grundläggande rättigheter och friheter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Lagen ska vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar.
Regeringen föreslår också vissa ändringar i offentlighets- och sekretesslagen, lagen om belastningsregister, lagen om misstankeregister, domstolsdatalagen och lagen om internationellt polisiärt samarbete.
Lagändringarna föreslås träda i kraft den 1 augusti 2018.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. brottsdatalag,
2. lag om ändring i lagen (1998:620) om belastningsregister,
3. lag om ändring i lagen (1998:621) om misstankeregister,
4. lag om ändring i offentlighets- och sekretesslagen (2009:400),
5. lag om ändring i domstolsdatalagen (2015:728),
6. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete.
7. lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning,
8. lag om ändring i brottsdatalagen (2018:000).
2. Lagtext
Regeringen har följande förslag till lagtext.
2.1. Förslag till brottsdatalag
Härigenom föreskrivs1 följande.
1 kap. Allmänna bestämmelser
Syftet med lagen
1 § Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här benämnt dataskyddsdirektivet.
Syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.
3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
4 § Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i den ursprungliga lydelsen.
Lagen gäller inte heller i sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.
Avvikande bestämmelser i annan författning
5 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.
Definitioner
6 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Behandling av personuppgifter En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Behörig myndighet
1. En myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller
2. en annan aktör som har anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte.
Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Dataskyddsombud Den som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter
behandlas författningsenligt och på ett korrekt sätt enligt vad som närmare anges i lagen.
Genetiska uppgifter Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen. Internationell organisation En organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. Medlemsstat En stat som är medlem i Europeiska unionen samt Island, Liechtenstein, Norge och Schweiz. Mottagare Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Personuppgiftsansvarig Den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Registrerad Den fysiska person som personuppgiften gäller. Tillsynsmyndigheten Myndighet som regeringen utser enligt dataskyddsdirektivet för att utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Tredjeland En stat som inte är en medlemsstat.
Tredje man Någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter. Uppgift som rör hälsa Personuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
2 kap. Behandling av personuppgifter
Grundläggande krav på behandlingen
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.
2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om
1. det är nödvändigt för diarieföring, eller
2. uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Ändamål
3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.
Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.
4 § Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att
1. det finns en rättslig grund enligt 1 § för den nya behandlingen, och
2. det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet.
I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning enligt första stycket inte göras.
5 § En behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.
Författningsenlig och korrekt behandling
6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.
Personuppgifternas kvalitet
7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Åtskillnad mellan olika slag av personuppgifter
9 § Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.
10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta särskiljas från personuppgifter som grundar sig på personliga bedömningar. Om det inte framgår av sammanhanget eller på annat sätt vad uppgiften grundas på ska det tydliggöras genom en särskild upplysning.
Känsliga personuppgifter
11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.
Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.
12 § Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
13 § Personuppgifter som avses i 11 och 12 §§ (känsliga personuppgifter) får alltid behandlas med stöd av 2 §.
14 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Rättelse, uppdatering och radering
15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.
När personuppgifter lämnas ut till en behörig myndighet ska mottagaren så långt det är möjligt ges information som gör att det går att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.
Längsta tid som personuppgifter får behandlas
17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom denna lags tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsätta behandla personuppgifterna.
Automatiserade beslut
19 § Om ett beslut har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne och beslutet enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet prövat på nytt av någon person.
Automatiserade beslut får inte enbart grundas på känsliga personuppgifter.
Överföring av personuppgifter till en annan medlemsstat
20 § Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare.
Uppgiftslämnande för rättsstatistik
21 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Behandling för ändamål utanför denna lags tillämpningsområde
22 § Innan personuppgifter som behandlas med stöd av denna lag behandlas för ett ändamål utanför lagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet.
I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning enligt första stycket inte göras.
3 kap. Personuppgiftsansvarigas skyldigheter
Personuppgiftsansvarets omfattning
1 § Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas.
3 § Den personuppgiftsansvarige ska när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).
4 § Den personuppgiftsansvarige ska se till att det i automatiserade behandlingssystem som regel inte är möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
5 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.
Tillgången till personuppgifter
6 § Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Konsekvensbedömning och förhandssamråd
7 § Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.
Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (förhandssamråd).
Säkerheten för personuppgifter
Säkerhetsåtgärder
8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.
Personuppgiftsincidenter
9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
Anmälan behöver inte göras om det är osannolikt att personuppgiftsincidenten har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.
Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige
1. har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,
2. har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet, eller
3. skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.
I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.
11 § Den personuppgiftsansvarige får avstå från att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. någon annans rättigheter och friheter skyddas. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
Samarbete med tillsynsmyndigheten
12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Dataskyddsombud
13 § Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
14 § Dataskyddsombud ska
1. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,
2. informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter,
3. på begäran ge den personuppgiftsansvarige råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,
4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och
5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.
15 § Den som fullgör uppgift som dataskyddsombud får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.
Personuppgiftsbiträden
16 § Den personuppgiftsansvarige får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på den personuppgiftsansvariges vägnar. Innan ett personuppgiftsbiträde anlitas ska den personuppgiftsansvarige försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behand-
lingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.
17 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd från den personuppgiftsansvarige.
18 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige.
Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.
19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvar
20 § Två eller flera behöriga myndigheter är gemensamt personuppgiftsansvariga om de gemensamt bestämmer ändamålen med och medlen för personuppgiftsbehandlingen.
Den registrerade får utöva sina rättigheter enligt lagen mot var och en av de gemensamt personuppgiftsansvariga.
Bemyndigande
21 § Regeringen får meddela föreskrifter om skyldighet att föra register över kategorier av behandling av personuppgifter och skyldighet att införa interna rutiner för anmälan av överträdelser.
4 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 § Den personuppgiftsansvarige ska göra följande allmänna information tillgänglig för den registrerade:
1. den personuppgiftsansvariges identitet och kontaktuppgifter,
2. dataskyddsombudets kontaktuppgifter,
3. kategorier av ändamål för behandlingen,
4. rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av uppgifterna,
5. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och
6. möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.
Personrelaterad information
2 § Den personuppgiftsansvarige ska i ett enskilt fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta till vara sina rättigheter:
1. den rättsliga grunden för behandlingen,
2. kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,
3. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och
4. övrig nödvändig information. Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.
3 § Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och få följande skriftliga information:
1. vilka personuppgifter om sökanden som behandlas,
2. varifrån personuppgifterna kommer,
3. den rättsliga grunden för behandlingen,
4. ändamålen med behandlingen,
5. mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,
6. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det,
7. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och
8. möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.
Utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.
4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § har rätt att på begäran få närmare information om beslutet av den personuppgiftsansvarige.
Begränsning av rätten till information
5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. någon annans rättigheter och friheter skyddas.
Om förutsättningarna i första stycket är uppfyllda, är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 9 eller 10 §.
Om den personuppgiftsansvarige inte är en myndighet, gäller undantagen i första och andra styckena även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gäller dock om uppgifterna
1. har lämnats ut till tredje man, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision,
2. behandlas enbart för vetenskapliga, statistiska eller historiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.
Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.
Möjligheten att begära kontroll genom tillsynsmyndigheten
8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.
Rätten till rättelse, radering och begränsning av behandlingen
9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne, om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.
Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.
10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne, om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om det krävs radering för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
Avgiftsfri information
12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.
Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.
5 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 § Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande rättigheter och friheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.
Tillsynsmyndighetens uppgifter
2 § Tillsynsmyndigheten ska
1. utöva allmän tillsyn över personuppgiftsbehandling,
2. handlägga klagomål från registrerade,
3. utföra kontroll enligt 3 §, och
4. på begäran bistå en tillsynsmyndighet i en annan medlemsstat. Tillsynen ska inte omfatta behandling av personuppgifter inom ramen för domstolarnas dömande verksamhet.
3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär en sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.
Myndigheten får vägra att utföra kontrollen om begäran är orimlig eller uppenbart ogrundad.
4 § Tillsynsmyndigheten ska vid förhandssamråd enligt 3 kap. 7 § och när det i övrigt är påkallat ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få
1. tillgång till alla personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,
3. tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och
4. den hjälp och den information som behövs för tillsynen.
Förebyggande befogenheter
6 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.
Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.
Korrigerande befogenheter
7 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten
1. genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,
2. förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
3. förbjuda fortsatt behandling om bristen är allvarlig, eller
4. besluta om en sanktionsavgift enligt 6 kap. Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.
Verkställighet av beslut
8 § Tillsynsmyndighetens beslut får inte verkställas omedelbart.
Samarbete med tillsynsmyndigheter i andra medlemsstater
9 § Tillsynsmyndigheten får vägra en begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat endast om det skulle strida mot en lag eller en förordning att tillmötesgå den.
10 § När tillsynsmyndigheten på begäran bistår en tillsynsmyndighet i en annan medlemsstat har den de befogenheter som anges i 5–7 §§.
11 § Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).
12 § Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.
6 kap. Administrativa sanktionsavgifter
Överträdelser som kan leda till en sanktionsavgift
1 § En sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av någon av
1. 2 kap. 1–5, 7–12 eller 14–18 §§, 19 § andra stycket eller 22 §,
2. 3 kap. 2–8 §§, eller
3. 8 kap. 1–6 §§ eller 8 §. En sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar en sådan incident, låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
2 § En sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträdelse av 3 kap. 5, 6 eller 8 §.
En sanktionsavgift får också tas ut om ett personuppgiftsbiträde låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
Hur sanktionsavgiften ska bestämmas
3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor.
Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften bestämmas till högst 10 000 000 kronor.
Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
4 § Vid bedömningen av om någon sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till
1. om överträdelsen varit uppsåtlig eller berott på oaktsamhet,
2. den skada, fara eller kränkning som överträdelsen inneburit,
3. överträdelsens karaktär, svårhetsgrad och varaktighet,
4. vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa verkningarna av överträdelsen, och
5. om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala en sanktionsavgift.
5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut en avgift.
Beslut om sanktionsavgift
6 § Tillsynsmyndigheten beslutar om sanktionsavgift.
Sanktionsavgiften tillfaller staten.
7 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Betalning av sanktionsavgift
8 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Bemyndigande
9 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt denna lag.
7 kap. Skadestånd och överklagande
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.
Överklagande
Överklagande av personuppgiftsansvariga myndigheters beslut
2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket, eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten. Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
4 § Andra beslut enligt denna lag än de som avses i 2 och 3 §§ får inte överklagas.
8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
Förutsättningar för överföring
1 § En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i
Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen
1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet, och
3. omfattas av
a) ett beslut om adekvat skyddsnivå enligt 3 §,
b) tillräckliga skyddsåtgärder enligt 4 §, eller
c) ett undantag för särskilda situationer enligt 5 §. En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation, ska särskilt beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter.
2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.
Om medgivandet på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller någon annan medlemsstat.
Beslut om adekvat skyddsnivå
3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit under de förutsättningar som anges i 1 och 2 §§. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.
Tillräckliga skyddsåtgärder
4 § Om det inte finns något beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter, under de förutsättningar som anges i 1 och 2 §§, ändå överföras till ett tredjeland eller en internationell organisation om
1. skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller
2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.
Överföring i särskilda situationer
5 § Om det inte finns något beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en samling av överföringar, av personuppgifter, under de förutsättningar som anges i 1 och 2 §§, göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att
1. värna den registrerades eller någon annan fysisk persons vitala intressen, eller andra berättigade intressen som den registrerade har,
2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller
4. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.
Vidareöverföring
6 § En svensk behörig myndighet får inte tillåta att sådana personuppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte någon behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.
7 § När en svensk behörig myndighet ska ta ställning till om personuppgifter som har överförts från Sverige till en annan medlemsstat, som har överfört dem till ett tredjeland eller en internationell organisation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i tredjelandet eller hos den internationella organisationen som uppgifterna ska vidareöverföras till.
Överföring till andra än behöriga myndigheter
8 § En svensk behörig myndighet får i ett enskilt fall överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Personuppgifterna får överföras endast om de övriga förutsättningarna i 1 och 2 §§ är uppfyllda och om
1. det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en uppgift enligt 1 kap. 2 § som den har ansvar för,
2. den svenska myndigheten informerar den som ska ta emot personuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och
3. det skulle vara ineffektivt eller olämpligt att överföra dem till en behörig myndighet i tredjelandet.
Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs.
Första och andra styckena gäller inte en sådan annan aktör som är behörig myndighet enligt definitionen i 1 kap. 6 §.
Villkor om användningsbegränsning
9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
10 § En svensk behörig myndighet får vid överföring av personuppgifter till ett tredjeland eller en internationell organisation i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildes rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.
1. Denna lag träder i kraft den 1 augusti 2018.
2. Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. Bestämmelsen i 3 kap. 5 § om loggning tillämpas från och med den 6 maj 2023 i fråga om automatiserade behandlingssystem som inrättats före den 6 maj 2016.
4. En sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har skett efter ikraftträdandet.
5. Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.
6. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
2.2. Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs att 1 b § lagen (1998:620) om belastningsregister1 ska upphöra att gälla vid utgången av juli 2018.
1 Senaste lydelse av 1 b § 2013:331.
2.3. Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs att 1 b § lagen (1998:621) om misstankeregister1ska upphöra att gälla vid utgången av juli 2018.
1 Senaste lydelse av 1 b § 2013:332.
2.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 9 kap. 2 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 17 kap. 7 c §, och närmast före 17 kap. 7 c § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
2 §1
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2017:496) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,
10. lagen ( 2013:329 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,
11. lagen (2015:63) om utbyte av upplysningar med anledning av
FATCA-avtalet,
10. lagen (2015:63) om utbyte av upplysningar med anledning av
FATCA-avtalet,
12. lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton,
11. lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton,
13. lagen (2017:182) om automatiskt utbyte av land-för-landrapporter på skatteområdet, och
12. lagen (2017:182) om automatiskt utbyte av land-för-landrapporter på skatteområdet,
14. lagen (2017:1000) om en europeisk utredningsorder.
13. lagen (2017:1000) om en europeisk utredningsorder, och
14. brottsdatalagen (2018:000).
1 Senaste lydelse 2017:1012.
17 kap.
Internationellt samarbete avseende behandling av personuppgifter
7 c §
Sekretess gäller i tillsynsmyndighetens verksamhet enligt 5 kap. brottsdatalagen (2018:000) för uppgift som, utan samband med en svensk begäran, har lämnats av en tillsynsmyndighet i en stat inom Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz, om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs.
För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.
Denna lag träder i kraft den 1 augusti 2018.
2.5. Förslag till lag om ändring i domstolsdatalagen (2015:728)
Härigenom föreskrivs att 5 § domstolsdatalagen (2015:728) ska ha följande lydelse.
Lydelse enligt prop. 2017/18:113 Föreslagen lydelse
5 §
De avvikande bestämmelser som finns i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom
Europeiska unionen eller i föreskrifter som regeringen har meddelat i anslutning till den lagen, ska tillämpas i stället för bestämmelserna i denna lag. Detsamma gäller i fråga om Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.
De avvikande bestämmelser som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur, ska tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 augusti 2018.
2.6. Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete
Härigenom föreskrivs att 6 kap. 2 § lagen (2017:496) om internationellt polisiärt samarbete ska upphöra att gälla vid utgången av juli 2018.
2.7. Förslag till lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning
Härigenom föreskrivs i fråga om lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning
dels att punkt 4 i ikraftträdande- och övergångsbestämmelserna ska upphöra att gälla,
dels att 1 kap. 4 § ska ha följande lydelse.
Lydelse enligt prop. 2017/18:105 Föreslagen lydelse
1 kap.
4 §
Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen(1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen(2018:000) eller föreskrifter som har meddelats i anslutning till den lagen.
Denna lag träder i kraft den 1 april 2019 i fråga om 1 kap. 4 § och i övrigt den 1 augusti 2018.
2.8. Förslag till lag om ändring i brottsdatalagen (2018:000)
Härigenom föreskrivs att 3 kap. 9 § brottsdatalagen (2018:000) ska ha följande lydelse.
Lydelse enligt lagförslag 2.1 Föreslagen lydelse
3 kap.
9 §
Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten ska rapporteras enligt säkerhetsskyddslagen(1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
Anmälan behöver inte göras om det är osannolikt att personuppgiftsincidenten har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet.
Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten ska rapporteras enligt säkerhetsskyddslagen(2018:000) eller föreskrifter som har meddelats i anslutning till den lagen.
Anmälan behöver inte göras om det är osannolikt att personuppgiftsincidenten har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet.
Denna lag träder i kraft den 1 april 2019.
3. Ärendet och dess beredning
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet. Dataskyddsdirektivet bifogas som bilaga 1.
Regeringen beslutade den 17 mars 2016 kommittédirektiv om genomförande av dataskyddsdirektivet (dir. 2016:21). Utredningen om 2016 års dataskyddsdirektiv redovisade den 5 april 2017 delbetänkandet Brottsdatalag (SOU 2017:29), i vilket utredningen föreslår att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Lagen ska gälla för myndigheters behandling av personuppgifter vid bl.a. brottsbekämpning, lagföring och straffverkställighet. Delbetänkandets lagförslag behandlas i denna proposition. En sammanfattning av delbetänkandet och dess lagförslag finns i bilaga 2 och 3. Delbetänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/03283/L4).
Utredningens slutbetänkande redovisades den 4 oktober 2017 (SOU 2017:74). I detta föreslås de anpassningar som krävs i rättsväsendets centrala registerförfattningar. Det föreslås också vissa ändringar i den föreslagna brottsdatalagen och följdändringar med anledning av det i delbetänkandet lämnade förslaget att lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) ska upphävas. Lagförslagen som rör brottsdatalagen och 2013 års lag behandlas i denna proposition. Slutbetänkandets övriga lagförslag kommer att tas om hand i två kommande propositioner. En sammanfattning av slutbetänkandet och dess lagförslag som behandlas i denna proposition finns i bilaga 5 och 6. Slutbetänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/07698/L4). Utredningens uppdrag innefattar inte vilken myndighet som ska utses till tillsynsmyndighet eller hur tillsynsverksamheten ska organiseras.
Regeringen beslutade den 22 december 2014 att tillkalla en särskild utredare med uppdrag att överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur genom att tillsynen över behandling av personuppgifter samlas hos en myndighet (dir. 2014:164). Genom tilläggsdirektiv den 17 december 2015 beslutade regeringen om förlängd utredningstid (dir. 2015:139). Utredningen (Ju 2015:02) redovisade sitt uppdrag i betänkandet Ett samlat ansvar för
tillsyn över den personliga integriteten (SOU 2016:65). Betänkandet innehåller bl.a. en kartläggning över vilken tillsyn över behandling av personuppgifter som bedrivs i dag och överväganden om den i större utsträckning kan samlas hos en myndighet. Det behandlar också frågor om vilken eller vilka myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive dataskyddsdirektivet och som ska representera Sverige i Europeiska dataskyddsstyrelsen. Även frågor om hur företrädare för tillsynsmyndigheten ska utses och hur verksamheten ska organiseras behandlas i betänkandet. I denna proposition behandlas de delar av betänkandet som är nödvändiga för genomförandet av dataskyddsdirektivet. En sammanfattning av betänkandet och dess lagförslag finns i bilaga 8 och 9. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 10. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2016/06793/Å).
Lagrådet
Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 11. Lagrådets yttrande finns i bilaga 12. Lagrådets synpunkter och förslag behandlas i avsnitt 6.1.3, 6.4.4, 6.6, 7.6.4, 8.1.3, 8.1.4, 10.2.7, 11.3.1, 12.6.2, 12.7.2 och 15.2.3 samt i författningskommentaren. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts. Vidare har, efter förslag från Lagrådet, de bestämmelser som upplyser om regeringens föreskriftsrätt tagits bort.
Hänvisningar till S3
4. Dagens reglering och reformer på dataskyddsområdet
4.1. Huvuddragen i dagens personuppgiftsreglering
4.1.1. Regeringsformen och Europakonventionen
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor
vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00).
Även Europeiska unionens (EU) stadga om de grundläggande rättigheterna (rättighetsstadgan) innehåller bestämmelser om behandling av personuppgifter (se avsnitt 4.7.1).
Hänvisningar till S4-1-1
- Prop. 2017/18:232: Avsnitt 4.1.3
4.1.2. Personuppgiftslagen
Grundläggande begrepp
Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgifter. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen register den allmänt använda termen för datoriserade uppgiftssamlingar. Termen register används fortfarande i vissa författningar.
Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. I personuppgiftslagen (1998:204) nämns inte register utan det talas i stället om behandling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas benämns dock alltjämt den registrerade.
Lagens tillämpningsområde
Genom personuppgiftslagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, här kallat 1995 års dataskyddsdirektiv. Lagen innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av
personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.
Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.
Behandling av uppgifter om juridiska personer (som definitionsmässigt inte utgör personuppgifter) omfattas inte av personuppgiftslagen.
Grundläggande krav för behandlingen
I 9 § personuppgiftslagen slås fast vissa grundläggande krav för behandling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna är felaktiga eller ofullständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.
Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas.
Tillåten och otillåten behandling
I 10–12 §§ finns en uttömmande uppräkning av de fall där behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. Återkallar personen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.
I vissa fall får personuppgifter behandlas även om den registrerade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.
Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger
vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.
Behandling av känsliga personuppgifter
I 13 § personuppgiftslagen förbjuds behandling av känsliga personuppgifter. Med det avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv.
Förbudet mot behandling av känsliga personuppgifter är inte undantagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de enligt 15 § behandlas. Vidare görs i 16 § undantag för nödvändig behandling, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.
Undantag görs också i 17 § för ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.
Likaså finns det undantag i 18 § för behandlingen av känsliga personuppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om brott och behandling av personnummer
Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.
Uppgifter om personnummer och samordningsnummer får enligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Automatiserade beslut
Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.
Information till den registrerade
Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personuppgiftsansvariges skyldighet att självmant lämna information till registrerade gäller enligt 23 § i första hand uppgifter som den registrerade själv har lämnat. Har uppgifterna samlats in från annan källa, föreskrivs i 24 § att den personuppgiftsansvarige självmant ska informera den registrerade när uppgifterna registreras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av uppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.
Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen. Informationsskyldigheten omfattar bara sådana uppgifter som den registrerade inte redan känner till.
Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökanden behandlas, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteckning, utom i de fall där uppgifterna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.
Informationsskyldigheten gäller enligt 27 § inte heller om uppgifterna omfattas av sekretess eller tystnadsplikt.
Rättelse
Personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.
Säkerheten vid behandling
I 30 och 31 §§personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säkerheten.
Överföring av personuppgifter till tredjeland
Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överfö-
ring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.
I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kommissionen) anses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.
Tillsyn
Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyndighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda registerförfattningar. Inspektionen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§personuppgiftslagen regleras tillsynsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.
Sanktioner
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada och kränkning av den personliga integriteten för den registrerade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både personskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.
En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gärning som omfattas av ett vitesföreläggande enligt lagen.
4.1.3. Personuppgiftslagens förhållande till annan lagstiftning
I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de
verksamhetsområden som berörs av det nya dataskyddsdirektivet, vilket redovisas närmare i det följande. Regleringen har, av de skäl som anges i avsnitt 4.1.1, normalt lagform.
Författningar som reglerar personuppgiftsbehandling är ofta konstruerade så att de gäller utöver personuppgiftslagen. Det innebär att författningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämpningsområde är lagen (2001:617) om behandling av personuppgifter inom kriminalvården ett exempel på det.
Det finns emellertid även författningar som gäller i stället för personuppgiftslagen. Det innebär att de i sin helhet ersätter personuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa anges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsområde för flertalet av de centrala författningarna. Det gäller t.ex. polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433).
Hänvisningar till S4-1-3
4.2. Särregler för brottsbekämpande verksamhet
4.2.1. Polisen
Allmänt om polisdatalagen
Polisdatalagen är generellt utformad och gäller i polisens brottsbekämpande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekämpande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Eftersom det, med undantag för den sistnämnda lagen, inte har ingått i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.
Lagens tillämpningsområde
Polisdatalagen gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Ekobrottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av uppgifter om juridiska personer.
I annan verksamhet än den brottsbekämpande tillämpar Polismyndigheten personuppgiftslagen, om det inte finns en specialreglering. Myndigheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som
den bedriver enligt utlännings- och medborgarskapslagstiftningen, om det inte är fråga om brottsbekämpning.
Förhållandet till personuppgiftslagen
Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamål för behandling och utlämnande av uppgifter
I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får behandlas. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns i polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov eller till andra delar av polisverksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndighetens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som myndigheten ansvarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekretessbrytande bestämmelser som gäller i förhållande till Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap.16–18 §§polisdatalagen.
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Register som regleras särskilt i polisdatalagen
Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.
Behandling av personuppgifter för forensiska ändamål
I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål. Där regleras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regleringen i övrigt i lagen, på grund av att avdelningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gallring. När det gäller behandling av känsliga personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet
I 6 kap. polisdatalagen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens personuppgiftsbehandling, som delvis avviker från regleringen för Polismyndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
4.2.2. Tullverket
Lagens tillämpningsområde
Tullbrottsdatalagen (2017:447), som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, reglerar all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Lagen gäller enligt 1 kap. 2 § endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 4 § i viss utsträckning även på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen gäller i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamål för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter får enligt 2 kap. 5 § behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen får enligt 2 kap. 6 § också behandlas för vissa sekundära ändamål. Sådan behandling får ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är enligt samma paragraf också tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten och i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså får personuppgifter i ett enskilt fall behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler finns för behandling av vissa personuppgifter från transportföretag.
Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 12 § finns en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket finns i 2 kap. 13 §.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 10 § inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.
4.2.3. Kustbevakningen
Allmänt om kustbevakningsdatalagen
För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen. Lagen reglerar i princip all behandling av personuppgifter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av personuppgifter i annan operativ verksamhet som Kustbevakningen bedriver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Förhållandet till personuppgiftslagen
Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.
De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.
Personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myndighet eller mellanfolklig organisation. Personuppgifter får även behandlas om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ända-
mål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol eller utländsk kustbevaknings- eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket.
Behandling av känsliga personuppgifter
I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av känsliga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
4.2.4. Skatteverket
Lagens tillämpningsområde
Skattebrottsdatalagen (2017:452), som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, reglerar all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får enligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det. Tillämpningsområdet omfattar även sådana brott.
Skattebrottsdatalagen gäller enligt 1 kap. 2 § endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 4 § i viss utsträckning även på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen gäller i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter får enligt 2 kap. 5 § behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen får enligt 2 kap. 6 § också behandlas för vissa sekundära ändamål. Sådan behandling får ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är enligt samma paragraf också tillåten bl.a. när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. Personuppgifter får i ett enskilt fall behandlas även för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 11 och 12 §§ finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbekämpande myndigheter och till en utländsk myndighet eller mellanfolklig organisation.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.
4.2.5. Åklagarväsendet
Åklagare har till uppgift både att bekämpa och lagföra brott, men eftersom åklagares brottsbekämpning huvudsakligen syftar till att lagföra redovisas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 4.3.1.
Hänvisningar till S4-2-5
4.2.6. Lagen om internationellt polisiärt samarbete
Lagen (2017:496) om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra stater i den utsträckning som följer av internationella överenskommelser. Om inte annat följer av lagen om internationellt polisiärt samarbete eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller polisdatalagen för polisens behandling av personuppgifter vid sådant samarbete.
I 7 kap. lagen om internationellt polisiärt samarbete finns bestämmelser om uppgiftsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant uppgiftsutbyte. I 8 kap. regleras på motsvarande sätt uppgiftsutbyte enligt CBE-direktivet. I 9 kap. finns bestämmelser om uppgiftsutbyte i informationssystemet för viseringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Detta kapitel i lagen reglerar den behandling av personuppgifter som är tillåten för dessa syften.
Hänvisningar till S4-2-6
- Prop. 2017/18:232: Avsnitt 14.11
4.2.7. Lagen om internationellt tullsamarbete
Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även överträdelser som hanteras i Tullverkets verksamhet under Effektiv handel.
I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regleringen gäller för både spontant uppgiftsutbyte och utlämnande av uppgifter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör underrätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i paragrafen angivna situationer.
Hänvisningar till S4-2-7
- Prop. 2017/18:232: Avsnitt 14.11
4.2.8. Lagen om register över tillträdesförbud vid idrottsarrangemang
Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polismyndigheten och idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt
2 § med hjälp av automatiserad behandling föra ett tillträdesförbudsregister, som innehåller uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena framhålls att Polismyndighetens personuppgiftsbehandling enligt lagen åtminstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).
4.3. Särregler för lagföring
Hänvisningar till S4-3
- Prop. 2017/18:232: Avsnitt 6.1.2
4.3.1. Åklagarväsendet
Allmänt om åklagardatalagen
Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och kustbevakningsdatalagen. Lagen gäller för behandling av personuppgifter i åklagarväsendets operativa verksamhet. Personuppgifter får behandlas både i åklagares brottsbekämpande verksamhet och om det behövs för att åklagare ska kunna fullgöra andra operativa uppgifter enligt bestämmelser i lag eller förordning. Behandling för sistnämnda ändamål ligger utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs. åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten. Lagen gäller däremot inte för behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller i stället.
Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 § finns hänvisningar som innebär att ett flertal bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom åklagarväsendet. De primära ändamålen för behandling anges uttömmande i 2 kap. 5 § åklagardatalagen. Personuppgifter får behandlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Personuppgifter får
även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åklagare ska kunna fullgöra andra författningsreglerade uppgifter.
De sekundära ändamålen är aktuella när personuppgifter som får behandlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt de sekundära ändamålen, som anges i 2 kap. 6 §, får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till åklagarväsendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.
Hänvisningar till S4-3-1
- Prop. 2017/18:232: Avsnitt 4.2.5
4.3.2. Domstolsväsendet
Allmänt om domstolsdatalagen
Domstolsdatalagen (2015:728) gäller vid behandling av personuppgifter i de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tullverkets och Skatteverkets motsvarande lagar – tillämplig i all rättskipande och rättsvårdande verksamhet vid de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.
I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om internationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straffrättsliga påföljder som är av intresse.
Förhållandet till personuppgiftslagen
Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
Behandling av känsliga personuppgifter
I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
4.3.3. Register över ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötesstraff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraftvunnen dom.
Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföreläggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.
Förordningen om register över strafförelägganden
I förordningen (1997:902) om register över strafförelägganden regleras i 2 § Tullverkets rätt att föra register över utfärdade strafförelägganden och i 4 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se avsnitt 4.4.3 beträffande sistnämnda register).
Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, för visst uppgiftslämnande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.
Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åklagardatalagen är generellt tillämplig och när den infördes konstaterades det att särreglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (prop. 2014/15:63, s. 66). De särregler som avsåg åklagarväsendet upphävdes därför.
Förordningen om register över ordningsbot
I förordningen (1997:903) om register över ordningsbot ges Polismyndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot.
Registret används inte bara av Polismyndigheten utan även av Säkerhetspolisen, Tullverket och Kustbevakningen. All registrering av förelägganden av ordningsbot utfärdade vid Polismyndigheten, Tullverket och Kustbevakningen hanteras i registret. Enligt 4 § får Säkerhetspolisen ha direktåtkomst till registret och Tullverket och Kustbevakningen får ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos respektive myndighet.
Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. I
5 § anges uttömmande vilka uppgifter registret får innehålla.
Hänvisningar till S4-3-3
- Prop. 2017/18:232: Avsnitt 4.4.3
4.4. Särregler för verkställighet av straff
4.4.1. Särreglering bara för vissa former av verkställighet
Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter
Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga påföljder. Det gäller fängelsestraff och frivårdspåföljder i form av skyddstillsyn och villkorlig dom med samhällstjänst.
Både Polismyndigheten och Kronofogdemyndigheten har uppgifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.
Överlämnande till särskild vård
Om rätten beslutar om överlämnande till särskild vård enligt 31 kap. brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap. brottsbalken är det andra myndigheter som ansvarar för verkställigheten. Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är det socialnämnden eller ett hem där sådan vård meddelas som ansvarar för verkställigheten.
Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen (1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av ett landsting för verkställigheten.
Är påföljden ungdomsvård eller ungdomstjänst ansvarar socialnämnden för verkställigheten. I de fall där påföljden bestäms till sluten ungdomsvård ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.
De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.
4.4.2. Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst
Allmänt om lagen om behandling av personuppgifter inom kriminalvården
Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier finns i stället i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.
Lagens tillämpningsområde
Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om personer som
– är föremål för personutredning, – är häktade,
– är dömda till fängelse, skyddstillsyn eller villkorlig dom med före-
skrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder i Sverige,
– på någon annan grund är intagna i häkte eller kriminalvårdsanstalt,
eller
– annars transporteras av Kriminalvårdens transporttjänst.
Förhållandet till personuppgiftslagen
Lagen om behandling av personuppgifter inom kriminalvården gäller utöver personuppgiftslagen och innehåller bara vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller inom Kriminalvården.
Ändamålen med behandlingen
Personuppgifter får enligt 3 § lagen behandlas bara om det behövs för att
– Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag
eller förordning,
– underlätta tillgången till sådana uppgifter om verkställighet av påföljd
eller häktning som rättsväsendets myndigheter behöver, eller
– upprätthålla säkerheten och förebygga brott under den tid som häkt-
ning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.
Behandling av känsliga personuppgifter
Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
Förordningen om behandling av personuppgifter inom kriminalvården
I förordningen om behandling av personuppgifter inom kriminalvården finns dels generella regler om vilka uppgifter som får behandlas, dels bestämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person förekommer inom kriminalvården. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.
Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan påföljd i Sverige får finnas i registret.
Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får finnas i registret. Registrering förutsätter dessutom att vissa särskilda omständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.
Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.
4.4.3. Verkställighet av bötesstraff
Regler om verkställighet av böter
Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötesstraff antingen genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att belopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller föreläggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.
Uppbörd av böter
Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett föreläggande av ordningsbot eller ett strafföreläggande. Polismyndigheten ansvarar även för uppbörd av böter som utdömts av allmän domstol.
I Polismyndighetens verksamhet med uppbörd av böter tillämpas personuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägganden av ordningsbot och strafförelägganden (se avsnitt 4.3.3). Registren är bl.a. avsedda att utgöra hjälpmedel i Polismyndighetens roll som central uppbördsmyndighet.
I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är avsedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. En utredare har haft i uppdrag att anpassa förslagen till EU:s dataskyddsreform. Uppdraget redovisas i departementspromemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3). Promemorian har remitterats.
Verkställighet av böter som inte betalas frivilligt
Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att förvandlas till fängelse. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§bötesverkställighetslagen, dels i 17– 23 §§bötesverkställighetsförordningen.
Hänvisningar till S4-4-3
- Prop. 2017/18:232: Avsnitt 4.3.3
4.4.4. Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och ungdomstjänst
Rättspsykiatrisk vård
När det gäller rättspsykiatrisk vård finns det ingen särskild reglering av personuppgiftsbehandling i sådan verksamhet, utan patientdatalagen (2008:355) gäller för vårdgivares behandling av personuppgifter liksom inom annan hälso- och sjukvård (1 kap.1 och 3 §§patientdatalagen). I övrigt tillämpas personuppgiftslagen.
I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgiftslagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på journalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansvarig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndighet, landsting eller kommun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och där finns också vissa bestämmelser om behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.
Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare
Statens institutionsstyrelse, som ansvarar för verkställighet av sluten ungdomsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgiftslagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, domar i brottmål och straffprocessuella tvångsmedel.
Kommunala myndigheter tillämpar också lagen om behandling av personuppgifter inom socialtjänsten i verksamhet enligt lagstiftningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller missbrukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överlämnande till särskild vård enligt lagen om vård av missbrukare eller till ungdomstjänst eller ungdomsvård.
4.4.5. Internationellt samarbete rörande verkställighet av straffrättsliga påföljder
Ett flertal lagar och förordningar reglerar internationellt samarbete beträffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om
erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndigheter vars registerförfattningar har redovisats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.
4.5. Regler om personuppgiftsbehandling hos andra aktörer än myndigheter
4.5.1. Uppgifter om brottsbekämpning, lagföring eller straffverkställighet
Det är inte bara myndigheter som behandlar uppgifter som rör brottsbekämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträckning sådana uppgifter får behandlas regleras dels i personuppgiftslagen, dels i andra författningar som ligger utanför direktivets tillämpningsområde.
Som framgår i avsnitt 4.1.2 förbjuds andra än myndigheter i personuppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personuppgifter om lagöverträdelser får behandlas bl.a. om behandlingen
– är nödvändig för att fullgöra en föreskrift på socialtjänstområdet, – avser uppgift i fristående skolors elevvårdsverksamhet eller motsva-
rande verksamhet hos enskilda anordnare av högskoleutbildning,
– är nödvändig för att kontrollera att en jävssituation inte föreligger i
advokatverksamhet eller annan juridisk verksamhet, eller
– bara avser enstaka uppgift som är nödvändig för att anmälningsskyl-
dighet enligt lag ska kunna fullgöras.
Hänvisningar till S4-5-1
4.5.2. Offentliga försvarare och annat juridiskt biträde
I förundersökningar och brottmålsrättegångar biträds både den misstänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den som är advokat får enligt huvudregeln i 21 kap. 5 § rättegångsbalken utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen (1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträdande jurist eller någon annan som är lämplig för uppdraget. Motsvarande krav ställs på den som enligt 5 § lagen (1999:997) om särskild företrädare för barn får utses till särskild företrädare. Den som fullgör uppgifter som offentlig försvarare,
målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning personuppgifter som härrör från förundersökningar, brottmålsrättegångar och straffverkställighet.
I 8 kap. rättegångsbalken finns bestämmelser om advokatväsendet. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets styrelse och disciplinnämnd enligt 8 kap.6 och 7 §§rättegångsbalken utövar över advokaterna.
Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksamhet redbart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.
Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.
4.5.3. Idrottsorganisationer
En idrottsorganisation får enligt 7 § lagen om register över tillträdesförbud vid idrottsarrangemang behandla personuppgifter från det tillträdesförbudsregister som Polismyndigheten för, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesförbudsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automatiserad behandling.
4.6. Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Allmänt om lagen
Lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (i fortsättningen dataskyddsrambeslutet). Lagen gäller när personuppgifter överförs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz eller Liechtenstein eller mellan en svensk myndighet och ett EU-organ eller EU-informationssystem.
Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i paragrafen.
Personuppgifter som en svensk myndighet har tagit emot får enligt 5 § endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internationella organ.
I lagen finns också bestämmelser om villkor för användningen av personuppgifter.
Hänvisningar till S4-6
- Prop. 2017/18:232: Avsnitt 4.7.3
4.7. Gällande unionsrättsakter
4.7.1. Rättighetsstadgan
I artikel 8 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Hänvisningar till S4-7-1
- Prop. 2017/18:232: Avsnitt 4.1.1
4.7.2. Dataskyddsdirektivet från 1995
Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i 1995 års dataskyddsdirektiv. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 4.1.2), gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Hänvisningar till S4-7-2
- Prop. 2017/18:232: Avsnitt 14.1.2
4.7.3. Dataskyddsrambeslutet
Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlemsstater och EUorgan och mellan medlemsstater och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.
Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 4.6).
Hänvisningar till S4-7-3
- Prop. 2017/18:232: Avsnitt 14.1
4.8. Europeiska unionens dataskyddsreform
4.8.1. Två nya rättsliga instrument
Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle ersätta 1995 års dataskyddsdirektiv pågick länge. Kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattade inte bara en förordning med en generell reglering som skulle ersätta 1995 års dataskyddsdirektiv utan även ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.
Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Förslaget till förordning baserades till stor del på den struktur och reglering som finns i 1995 års dataskyddsdirektiv. Generellt innebar förslaget stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en rad nyheter jämfört med dataskyddsdirektivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum.
Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv.
4.8.2. En dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, här kallat dataskyddsförordningen, börjar tillämpas den 25 maj 2018.
Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personuppgiftslagen upphävas. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande föreskrifter och i övrigt anpassas till den.
Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Från förordningens tillämpningsområde undantas personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften ligger i stället under det nya dataskyddsdirektivets tillämpningsområde (se avsnitt 4.8.3).
En särskild utredare har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen fick namnet Dataskyddsutredningen. Dataskyddsutredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv. Betänkandet Dataskyddslag redovisades den 12 maj 2017 (SOU 2017:39 Ny dataskyddslag). Lagrådsremissen Ny dataskyddslag beslutades av regeringen den
21 december 2017. Propositionen Ny dataskyddslag (prop. 2017/18:105) beslutades av regeringen den 15 februari 2018. I propositionen lämnas förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, här kallad dataskyddslagen.
Hänvisningar till S4-8-2
4.8.3. Ett nytt dataskyddsdirektiv
Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat direktivet, ska vara genomfört i nationell rätt senast den 6 maj 2018.
Direktivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.
Hänvisningar till S4-8-3
- Prop. 2017/18:232: Avsnitt 4.8.2
4.8.4. Viss personuppgiftsbehandling ligger utanför båda instrumenten
Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.
Vidare undantas den personuppgiftsbehandling som förekommer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.
4.9. Dataskyddskonventionen
Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt
huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
I konventionen anges krav på de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.
Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.
Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.
Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.
5. Det nya dataskyddsdirektivet
5.1. Allmänt om direktivet
Det nya dataskyddsdirektivet riktar sig till medlemsstaterna och kräver att de genomför viss lagstiftning inom två år efter ikraftträdandet. Det innebär att direktivet ska vara genomfört senast den 6 maj 2018. Direktivet är indelat i tio kapitel och innehåller totalt 65 artiklar.
I detta avsnitt beskrivs kortfattat innehållet i samtliga artiklar, för att skapa en översiktlig bild av vilka krav på lagstiftning som direktivet ställer. Det närmare innehållet i artiklarna redovisas i de kapitel som behandlar sakfrågorna.
Av skäl 99 framgår att Storbritannien och Irland inte är bundna av bestämmelserna i direktivet i vissa delar.
Danmark ska enligt skäl 100 inom sex månader efter antagandet av direktivet besluta om man ska genomföra direktivet i sin nationella lagstiftning eller inte.
Av skäl 101–103 framgår att Norge, Island, Schweiz och Liechtenstein är bundna av direktivet genom att de har anslutit sig till Schengenregelverket.
5.2. Innehållet i direktivet
Artiklarna 1–3: Allmänna bestämmelser
Enligt artikel 1 innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot och förebygga och förhindra hot mot den allmänna säkerheten. Syftet
med direktivet är att dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndigheter, detta utbyte varken begränsas eller förbjuds av hänsyn till skyddet för fysiska personer mot behandling av personuppgifter. Det slås också fast att direktivet inte hindrar att medlemsstaterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.
Artikel 2 anger direktivets tillämpningsområde. Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av personuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personuppgiftsbehandling som utförs av unionens institutioner eller andra organ.
Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses med personuppgift, behandling, register, behörig myndighet, personuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsincident. Vidare definieras genetiska och biometriska uppgifter.
Artiklarna 4–11: Principer
I artikel 4 anges grundläggande principer för behandling av personuppgifter. Personuppgifter ska
– behandlas på ett lagligt och korrekt sätt, – samlas in för särskilda, uttryckligt angivna och berättigade ändamål
och inte behandlas på ett sätt som står i strid med dessa ändamål,
– vara adekvata, relevanta och inte för omfattande i förhållande till de
syften för vilka de behandlas,
– vara korrekta och, om nödvändigt, uppdaterade, – inte möjliggöra identifiering av den registrerade under längre tid än
nödvändigt, och
– behandlas på ett sätt som säkerställer säkerheten för uppgifterna.
Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personuppgiftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.
Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när personuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.
Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.
I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om felaktiga personuppgifter har överförts eller personuppgifter överförts olagligen ska mottagaren omedelbart underrättas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.
Enligt artikel 8 är behandling laglig endast om och i den utsträckning behandlingen är nödvändig för att behöriga myndigheter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och ändamålet med behandlingen.
I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskapliga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.
Artikel 10 reglerar behandling av det som brukar kallas känsliga personuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgifter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåtgärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om det är fråga om uppgifter som den registrerade själv har offentliggjort.
I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de enbart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grundval av känsliga personuppgifter ska förbjudas.
Artiklarna 12–18: Den registrerades rättigheter
Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättigheter. Informationen ska vara koncis, lättillgänglig och språkligt lättfattlig. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begäran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en registrerads begäran är uppenbart ogrundad eller orimlig får den personuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.
I artikel 13 anges vilken information som alltid måste göras tillgänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begränsning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.
Artikel 14 behandlar den registrerades rätt till tillgång till personuppgifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till personuppgifterna och följande information:
– ändamålen med behandlingen och den rättsliga grunden,
– vilka kategorier av personuppgifter som behandlas, – vilka mottagare eller kategorier av mottagare som har fått personupp-
gifterna,
– hur länge uppgifterna kommer att lagras eller, om det inte är möjligt,
kriterierna för att fastställa lagringstiden,
– rätten att begära rättelse, radering eller begränsning av behandlingen,
och
– rätten att klaga hos en tillsynsmyndighet och dess kontaktuppgifter.
Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgärden är nödvändig och proportionell, helt eller delvis begränsa den registrerades rätt till tillgång till personuppgifter och information i syfte att undvika att förundersökningar och andra utredningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.
Artikel 16 behandlar rätten till rättelse eller radering av personuppgifter eller begränsning av behandlingen och vilka skyldigheter den personuppgiftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade.
I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall begränsa behandlingen av uppgifterna.
Enligt artikel 17 ska den registrerades rättigheter även kunna utövas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.
I artikel 18 öppnas möjlighet att föreskriva att rätten till information, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredning och straffrättsliga förfaranden.
Av skäl 107 framgår att direktivet inte hindrar att det i nationell straffprocesslagstiftning finns bestämmelser om den registrerades rätt till information, tillgång till och rättelse eller radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden och begränsningar i dessa rättigheter.
Artiklarna 19–28: Personuppgiftsansvarig och personuppgiftsbiträde
Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.
Artikel 20 behandlar inbyggt dataskydd och dataskydd som standard. Artikel 21 öppnar en möjlighet att låta två eller flera personuppgiftsansvariga ha gemensamt personuppgiftsansvar för ett register.
I artikel 22 regleras vilka krav som ställs när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Som huvudregel får ett personuppgiftsbiträde enligt artikel 23 bara behandla uppgifter enligt instruktioner från den personuppgiftsansvarige.
Artikel 24 innehåller detaljerade regler om personuppgiftsansvarigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begäran göras tillgängliga för tillsynsmyndigheten.
Enligt artikel 26 ska personuppgiftsansvariga och personuppgiftsbiträden på begäran samarbeta med tillsynsmyndigheten.
I artikel 27 ställs krav på att den personuppgiftsansvarige gör en förhandsbedömning av behandlingens konsekvenser för skyddet av personuppgifter när det gäller en ny typ av behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.
Artikel 28 ställer krav på att den personuppgiftsansvarige under vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.
Artiklarna 29–31: Säkerhet för personuppgifter
Artikel 29 innehåller krav på säkerhet i samband med behandlingen av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska – med beaktande av bl.a. kostnaderna och behandlingens art, omfattning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomstskydd för utrustning, kontroll av datamedier, lagringskontroll, användar-
kontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, transportkontroll, återställande, driftsäkerhet och dataintegritet.
I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsynsmyndigheten utan dröjsmål och enligt huvudregeln senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.
Artikel 31 innehåller regler om information till den registrerade om en personuppgiftsincident och i vilka fall det inte krävs någon sådan information.
Artiklarna 32–34: Dataskyddsombud
Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett dataskyddsombud. Undantag får göras för domstolars och andra oberoende rättsliga myndigheters dömande verksamhet. Flera myndigheter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentliggöras, dels meddelas till tillsynsmyndigheten.
Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet kan delta i frågor som rör skyddet av personuppgifter och stödja dataskyddsombudet i hans eller hennes uppgifter.
Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efterlevs och att samarbeta med och vara en kontaktpunkt för tillsynsmyndigheten.
Artiklarna 35–40: Överföring av personuppgifter till tredjeländer eller internationella organisationer
I artikel 35 anges allmänna principer för överföring av personuppgifter till tredjeland och internationella organisationer. Där föreskrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstillstånd till överföringen.
Artikel 36 reglerar överföring till mottagare i tredjeland eller internationella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt tillstånd.
Även om det inte finns något beslut om en adekvat skyddsnivå får, enligt artikel 37, uppgifter överföras till mottagare i ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säkerställas i ett enskilt fall.
I artikel 38 görs också undantag för överföring i särskilda situationer, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.
Artikel 39 reglerar överföring direkt till vissa mottagare som inte är behöriga myndigheter.
Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveckla rutiner för det internationella samarbetet för att underlätta en effektiv
tillämpning av lagstiftningen om skydd för personuppgifter och att också erbjuda bistånd till tredjeland och internationella organisationer i det syftet.
Artiklarna 41–51: Oberoende tillsynsmyndigheter
Enligt artikel 41 ska varje medlemsstat utse en eller flera myndigheter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt dataskyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.
Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt oberoende när den utför sina uppgifter och utövar sina befogenheter enligt direktivet. I artikeln utvecklas vilka krav som ska vara uppfyllda för att myndigheten ska anses vara oberoende.
De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett oberoende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.
Enligt artikel 44 ska inrättandet av myndigheten och regler och förfaranden för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.
Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsynsmyndigheten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.
Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till uppgifterna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge registrerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgiftsfritt behandla klagomål från registrerade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.
Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsynsmyndigheten ska ha rätt att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogenheter t.ex. att kunna varna den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med de bestämmelser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyndigheten ska också ha rätt att anmäla överträdelser till rättsliga myndigheter.
De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanismer för att rapportera överträdelser av direktivet.
Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rapport om sin verksamhet. Rapporten ska överlämnas till parlamentet, regeringen
och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommissionen.
Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och senast inom en månad och får bara vägra att tillmötesgå en begäran om myndigheten inte är behörig eller det skulle stå i strid med direktivet, unionsrätt eller nationell rätt. Kommissionen får genom genomförandeakter ange formerna för ömsesidigt bistånd.
I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personuppgifter enligt direktivet.
Artiklarna 52–57: Rättsmedel, ansvar och sanktioner
Artikel 52 reglerar rätten för registrerade att lämna in klagomål över personuppgiftsbehandling till en tillsynsmyndighet. Har klagomålet lämnats till fel myndighet ska den utan dröjsmål överlämna klagomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av klagomålet och vad det resulterar i.
I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bindande och avser dem. Detsamma gäller om tillsynsmyndigheten inte behandlat ett klagomål inom tre månader eller inte informerat den registrerade enligt artikel 52.
Rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde regleras i artikel 54.
Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organisation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hennes räkning.
Den som lidit skada till följd av olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.
Artikel 57 ställer krav på att det finns sanktioner för överträdelser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Artikel 58: Genomförandeakter
Artikel 58 reglerar kommissionens kommittéförfarande.
Artiklarna 59–65: Slutbestämmelser
Enligt artikel 59 upphävs dataskyddsrambeslutet.
I artikel 60 slås fast att direktivet inte påverkar särskilda bestämmelser om skydd av personuppgifter i gällande unionsrättsakter på området för straffrättsligt samarbete och polissamarbete och i artikel 61 regleras förhållandet till tidigare ingångna avtal på området för straffrättsligt samarbete och polissamarbete.
Artikel 62 reglerar kommissionens skyldighet att senast sex år efter ikraftträdandet och därefter vart fjärde år utvärdera direktivet.
I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall föreskriva att datasystem som inrättats före ikraftträdandet ska stå i överensstämmelse med bestämmelsen om loggning i direktivet senast den 6 maj 2023. Under exceptionella omständigheter kan tiden förlängas ytterligare i högst tre år. Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.
Hänvisningar till S5-2
- Prop. 2017/18:232: Avsnitt 4.8.3
6. En ny ramlag och dess tillämpningsområde
Hänvisningar till S6
- Prop. 2017/18:232: Avsnitt 8.2.2
6.1. En ramlag för personuppgiftsbehandling vid brottsbekämpning, lagföring och straffverkställighet bör införas
6.1.1. En ny reglering behövs
Regeringens bedömning: Det behövs en ny reglering för att genomföra dataskyddsdirektivet i svensk rätt. Regleringen ska ha lagform.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna delar utredningens bedömning eller har inget att invända mot den.
Skälen för regeringens bedömning: 1995 års dataskyddsdirektiv – som upphör att gälla när dataskyddsförordningen börjar tillämpas – har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig, vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Lagen gäller således även för verksamheter som omfattas av det nya dataskyddsdirektivet.
Personuppgiftslagen är subsidiär i förhållande till andra lagar och förordningar. Inom flera områden finns det särregler i registerförfattningar som helt eller delvis ersätter personuppgiftslagen. Som framgår av avsnitt 4.2–4.4 utgår registerförfattningarna när det gäller brottsbekämpning, lagföring och straffverkställighet från bestämmelserna i personuppgiftslagen. Antingen gäller registerförfattningarna utöver personuppgiftslagen, och innehåller bara de bestämmelser som avviker från bestämmelserna i den lagen, eller så gäller de i stället för personuppgiftslagen men hänvisar till de bestämmelser i den lagen som ska tillämpas.
Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning
motsvarar de krav på reglering som direktivet ställer. När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen och föreskrifter som har meddelats med stöd av den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – dataskyddsförordningen och kompletterande nationella bestämmelser – kommer inte att vara anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom brottsbekämpning, lagföring och straffverkställighet, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet. Direktivets bestämmelser är av den arten att regleringen lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsakligen i lag. Regeringen delar därför utredningens bedömning att den nya regleringen för att genomföra direktivet ska ha lagform.
Hänvisningar till S6-1-1
6.1.2. En generellt tillämplig men subsidiär lag
Regeringens förslag: Dataskyddsdirektivet ska i huvudsak genomföras genom en ny lag som ska vara generellt tillämplig. Särregler i annan lag eller förordning ska dock gälla framför den nya lagen.
Lagen ska benämnas brottsdatalagen.
Utredningens förslag överensstämmer med i sak med regeringens. Remissinstanserna: De flesta remissinstanserna är positiva till utredningens förslag eller har inget att invända mot det. Dataskydd.net ifrågasätter dock nyttan med speciallagstiftningar om dataskyddsdirektivet genomförs med en generell reglering. Förvaltningsrätten i Stockholm framhåller att det är önskvärt att direktivet genomförs i registerförfattningar. Domstolsverket påpekar att det är önskvärt att subsidiaritetsbestämmelser i ramlagen och dataskyddslagen utformas på liknande sätt.
Sveriges advokatsamfund efterfrågar en spärr för att förtydliga att möjligheten till subsidiaritet inte gäller i den mån avvikelsen åsidosätter direktivet.
Skälen för regeringens förslag
En generell reglering
I föregående avsnitt gör regeringen bedömningen att dataskyddsdirektivet ska genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lagstiftning, framför allt i berörda myndigheters registerförfattningar, eller genom att det införs en helt ny lag.
Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ändamål personuppgifterna behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlemsstat kan behöva tillämpa inte bara personuppgiftslagen och polisdatalagen, utan också lagen om internationellt polisiärt samarbete eller 2013 års lag. Alternativet att genom-
föra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer sammanhållen reglering.
Det finns dock flera nackdelar med att placera den nya regleringen i de olika registerförfattningarna. En sådan är att registerförfattningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den generella regleringen. Regeringen instämmer därför till skillnad från Dataskydd.net och Förvaltningsrätten i Stockholm i utredningens förslag att så långt som möjligt skapa ett gemensamt regelverk för behandling av personuppgifter inom direktivets tillämpningsområde som kompletteras av registerförfattningar. Det bör därför införas en ny ramlagstiftning för brottsbekämpning, lagföring och straffverkställighet. Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 6.4.3.
Lagen bör vara subsidiär
Ramlagen kommer att vara anpassad till skyldigheterna och kraven i direktivet. I utredningens uppdrag har ingått att anpassa myndigheternas registerförfattningar till ramlagen. Även andra författningar som innehåller bestämmelser om personuppgiftsbehandling på ramlagens tillämpningsområde måste ses över så att de, i den mån de innehåller bestämmelser som avviker från ramlagen, inte står i strid med direktivet.
Av artikel 18 framgår att det är tillåtet att i nationell rätt ha regler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 10.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestämmelser om information.
Mot den bakgrunden instämmer regeringen i utredningens förslag att ramlagen, på samma sätt som personuppgiftslagen, bör vara subsidiär i förhållande till bestämmelser i lag eller annan författning.
När det gäller subsidiaritetsbestämmelsens utformning ifrågasätter
Domstolsverket om den föreslagna subsidiaritetsbestämmelsen är tillräcklig för att uppfylla kravet i artikel 18. Domstolsverket anser också att bestämmelsen i ramlagen ska utformas på liknande sätt som den utformas i dataskyddslagen på dataskyddsförordningens område. Regeringen anser att en allmän subsidiaritetsbestämmelse liknande den som i nuläget gäller i 2 § personuppgiftslagen är tillräcklig och konstaterar att övervägandena om utformningen gör sig gällande även på förordningens område. Mot denna bakgrund anser regeringen att utredningens förslag ska vara utgångspunkt för utformningen av subsidiaritetsbestämmelsen.
Ordalydelsen bör dock vara i enlighet med den som föreslås i den kommande dataskyddslagen (prop. 2017/18:105 s. 8).
I det lagstiftningsärendet efterfrågade Lagrådet ytterligare överväganden angående skälen för en ordning som innebär att föreskrifter i förordning ska gälla framför dataskyddslagens bestämmelser. Lagrådet påpekade vidare att detta innebär att räckvidden av den formella lagkraftens princip enligt 8 kap. 18 § regeringsformen begränsas (Ny dataskyddslag, prop. 2017/18:105 s. 331 f.).
I den propositionen anför regeringen att det på dataskyddsområdet är en väl etablerad ordning att även föreskrifter på förordningsnivå kan ges företräde framför den generella regleringen om skydd för personuppgifter. En förutsättning för detta är givetvis att föreskrifterna har beslutats med stöd av regeringens restkompetens eller med stöd av ett bemyndigande i lag.
Enligt regeringens bedömning kommer det även i fortsättningen finnas ett stort behov av både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter även på dataskyddsdirektivets tillämpningsområde. Mot denna bakgrund gör regeringen bedömningen att såväl lagar som förordningar som avviker från ramlagen bör ha företräde framför ramlagen, på motsvarande sätt som hittills har gällt i förhållande till personuppgiftslagen.
När personuppgiftslagen infördes övervägdes om det skulle införas en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot 1995 års dataskyddsdirektiv (Integritet, Offentlighet, Informationsteknik, SOU 1997:39, s. 210 f.). Datalagskommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon motsvarande nytta. Sveriges advokatsamfund har påtalat att en sådan spärr borde införas i ramlagen.
Befintlig lagstiftning har setts över genom utredningen och andra översyner på området. Utredningen har i likhet med Datalagskommittén bedömt att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personuppgiftslagen. Regeringen delar denna uppfattning. När ny eller ändrad lagstiftning övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet.
En delvis ändrad struktur
Som framgår av avsnitt 4.2 och 4.3 gäller bl.a. polisdatalagen, kustbevakningsdatalagen, åklagardatalagen och domstolsdatalagen i stället för personuppgiftslagen. Dessa författningar innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksamhet. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en systematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ramlagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade registerförfattningarna kommer därför att behöva anpassas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikelser från bestämmelserna i ramlagen.
De registerförfattningar som i dag gäller utöver personuppgiftslagen måste också anpassas så att de i stället ska gälla utöver ramlagen.
En konsekvens av den ändrade strukturen är att vissa bestämmelser som nu finns i registerförfattningarna bör flyttas till ramlagen, om de är av den arten att de bör gälla för all verksamhet inom direktivets tillämpningsområde. Som exempel kan nämnas regler om hur känsliga personuppgifter får behandlas (se avsnitt 8.1.4). Om det finns behov av särregler för de olika myndigheterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av ramlagen kommer att lämnas i en kommande proposition.
Lagens benämning
Ramlagen kommer som framgår av avsnitt 6.4 att tillämpas när behöriga myndigheter behandlar personuppgifter inom ramen för brottsbekämpning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tillämpas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.
Ett namn som skulle kunna återspegla lagens huvudsakliga innehåll men ändå är förhållandevis kort är lagen om behandling av personuppgifter vid brottsbekämpning, lagföring och straffverkställighet. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet) när den nu gällande polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (prop. 2009/10:85 s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hänvisning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).
De registerförfattningar som har införts på direktivets tillämpningsområde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen, domstolsdatalagen och tullbrottsdatalagen. Ett alternativ är därför, som utredningen föreslår, att benämna ramlagen brottsdatalagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.
Nackdelen med benämningen brottsdatalag är att det inte framgår att lagen gäller för behandling av personuppgifter vid straffverkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straffverkställighet och brott gör att namnet inte är missvisande. I avsnitt 6.4.3 föreslår regeringen att lagen även ska omfatta behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till uppväger dock nackdelen att det inte uttömmande anger lagens tillämpningsområde. Lagen bör därför benämnas brottsdatalagen.
Lagen bör kompletteras av en förordning
Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detaljregler bör inte tas in i lagen utan regleras i förordning. Regeringen delar utredningens bedömning att det är nödvändigt att komplettera brottsdatalagen med en förordning för att genomföra direktivet i dess helhet.
6.1.3. Ramlagens syfte
Regeringens förslag: Syftet med ramlagen ska vara dels att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten anser att det inte med tillräcklig tydlighet framgår att den nya ramlagen även ska syfta till att värna en effektiv och rättssäker informationshantering för brottsbekämpningen.
Datainspektionen anser att det bör tydliggöras att ett syfte särskilt ska vara att skydda fysiska personers personliga integritet vid behandling av personuppgifter.
Skälen för regeringens förslag: Av artikel 1.2 framgår att det nya dataskyddsdirektivet har dubbla syften. Regleringen ska skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt ska den säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdatalagen anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Bestämmelser om syftet med en reglering saknar normalt egentligt materiellt innehåll. Man kan därför fråga sig om det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte enbart en symbolisk eller informativ betydelse att uttryckligen slå fast lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rättstillämpningen genom att det ger vägledning för tolkningen av de materiella bestämmelserna i lagen (Myndighetsdatalag, SOU 2015:39, s. 220).
Det finns därför skäl att införa en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften. Att fysiska personers grundläggande rättigheter och friheter ska skyddas vid behandling av personuppgifter är en central målsättning för regleringen. Samtidigt är vissa intrång i den personliga integriteten nödvändiga för att myndigheterna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brottsutredning eller brottmålsrättegång innehåller ofta personuppgifter om
såväl brottsoffer, misstänkta och vittnen som tjänstemän som deltar i verksamheten. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde. Regeringen delar till skillnad från Polismyndigheten och Datainspektionen utredningens bedömning att den dubbla målsättningen och balansen mellan de olika intressena bäst tillgodoses och uttrycks genom en bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att samtidigt säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra.
I lagrådsremissens förslag till reglering angavs ”att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter” som ett syfte. Mot bakgrund av hur direktivet är utformat och för att tydliggöra att det är fråga om rättigheter och friheter i direktivets mening förordar Lagrådet att uttrycket ”fri- och rättigheter” där det förekommer i lagtexten ersätts med ”rättigheter och friheter”. Regeringen håller med Lagrådet om att en sådan formulering förtydligar att det rör sig om rättigheter och friheter i direktivets mening och ändrar därför till den lydelsen även på övriga ställen där uttrycket förekommer.
6.1.4 2013 års lag bör upphävas
Regeringens förslag: Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom
Europeiska unionen och vissa hänvisningar till den lagen ska upphävas.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det.
Skälen för regeringens förslag: Enligt artikel 59 ska dataskyddsrambeslutet upphöra att gälla samma dag som medlemsstaterna ska ha införlivat direktivet i nationell rätt.
Rambeslutet bygger i huvudsak på 1995 års dataskyddsdirektiv. Eftersom Sverige i princip genomförde det direktivet även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmelser som motsvarade artiklarna i rambeslutet i personuppgiftslagen och i myndigheternas registerförfattningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EUmedlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sammanhållen som möjligt. Regeringen delar därför utredningens bedömning att 2013 års lag ska upphävas. Därmed bör också alla de bestämmelser som hänvisar till den lagen upphävas. Sådana hänvisningar finns dels i myndigheternas
registerförfattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tillämpningsområde. Hänvisningarna i de lagar som inte är registerförfattningar och i domstolsdatalagen behandlas i denna proposition. Hänvisningarna i övriga registerförfattningar kommer att ses över i samband med anpassningen av dem.
6.2. Definitioner
Regeringens förslag: Vissa uttryck som används i ramlagen ska definieras.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser är positiva till eller har inte några invändningar mot förslaget. Förvaltningsrätten i Stockholm anser att uttrycket register bör definieras. Dataskydd.net anser att uttrycken profilering och pseudonymisering bör definieras samt att utredningens definition av biometriska uppgifter bör ändras. Rättsmedicinalverket belyser vikten av att det blir en tydlig och ändamålsenlig reglering av hanteringen av uppgifter om avlidna.
Skälen för regeringens förslag
Definitionerna bör ligga så nära direktivets definitioner som möjligt
I artikel 3 definieras vissa uttryck som är av grundläggande betydelse för förståelsen av bestämmelserna i direktivet. Definitionerna överensstämmer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförordningen. Som framgår av avsnitt 6.4.4 kommer de myndigheter som är behöriga i ramlagens mening att också tillämpa förordningen i delar av sin verksamhet. För att underlätta tillämpningen finns det därför, som utredningen föreslår, skäl att i så stor utsträckning som möjligt använda direktivets terminologi så att definitionerna i ramlagen och förordningen blir så lika som möjligt. Det innebär att motsvarande definitioner i personuppgiftslagen inte bör användas i den mån de avviker från direktivets terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning.
I artikel 3.3 finns en definition av uttrycket ”begränsning av behandling”. Som framgår av avsnitt 10.4.3 stämmer direktivets definition inte överens med vad som får antas vara avsikten med åtgärden. En definition i enlighet med direktivets lydelse blir därför missvisande och en definition i enlighet med syftet blir innehållslös. Regeringen delar därför utredningens bedömning att begränsning av behandling inte bör definieras i ramlagen.
Både 1995 års dataskyddsdirektiv och det nya dataskyddsdirektivet innehåller en definition av uttrycket register. När 1995 års dataskyddsdirektiv genomfördes ville man komma bort från registerbegreppet som redan då ansågs otidsenligt (prop. 1997/98:44 s. 39). Någon definition av register infördes därför inte i personuppgiftslagen. Definitionen i direktivet användes i stället för att avgränsa lagens tillämpningsområde genom att det i 5 § anges att lagen även gäller för manuell behandling av person-
uppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Som framgår av avsnitt 6.4.5 instämmer regeringen i utredningens bedömning att tillämpningsområdet för ramlagen nu ska anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Därför anser regeringen till skillnad från Förvaltningsrätten i Stockholm att det inte finns anledning att definiera uttrycket register.
I direktivet definieras vidare profilering och pseudonymisering, uttryck som enligt Dataskydd.net bör definieras även i ramlagen. Profilering nämns i artikel 11 som ett exempel på beslut som grundas enbart på automatiserad behandling. I artikel 24.1 e anges att det register som den personuppgiftsansvarige ska föra över personuppgiftsbehandling i tillämpliga fall ska innehålla uppgifter om användningen av profilering. Pseudonymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. I likhet med utredningen anser regeringen inte att termerna bör användas i ramlagen och några definitioner av dem behövs därför inte.
Nedan följer en redogörelse för ett antal centrala definitioner som bör finnas i ramlagen. Ytterligare uttryck som föreslås definieras i ramlagen kommer att behandlas i anslutning till de delar av direktivet de hänför sig till.
Behandling av personuppgifter
Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med 1995 års dataskyddsdirektiv och 3 § personuppgiftslagen. Definitionen i ramlagen bör, som utredningen föreslår, nära ansluta till direktivets text. Behandling av personuppgifter bör därför definieras som en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring.
Biometriska uppgifter
Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen, som ansiktsbilder eller fingeravtrycksuppgifter. Biometriska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 8.1.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken utsträckning sådana uppgifter får behandlas.
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr prop. 2008/09:132 s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
I direktivets definition av biometriska uppgifter anges ansiktsbilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen. Här kan även anmärkas att de personuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter inte i sig utgör biometriska uppgifter.
Ramlagen bör innehålla en definition av uttrycket biometriska uppgifter. Dataskydd.net anser till skillnad från utredningen att en definition inte ska begränsas till uppgifter som tagits fram genom särskild teknisk behandling. Regeringen delar dock utredningens uppfattning att direktivets definition ska vara utgångspunkt för definitionen i ramlagen. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsatser om vad som omfattas. Biometriska uppgifter ska därför definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.
Genetiska uppgifter
Genetiska uppgifter definieras inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Med genetiska uppgifter avses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och som framför allt härrör från en analys av ett biologiskt prov från personen i fråga. I skäl 23 anges att det är kromosom-, dna- och rna-analyser eller andra analyser som gör det möjligt att inhämta sådan information som avses.
Genetiska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 8.1.4). Definitionen av vad som avses med genetiska uppgifter får därmed betydelse för i vilken utsträckning uppgifter som tas fram vid analys av prover från människokroppen får behandlas.
I direktivets definition nämns information om fysiologi eller hälsa. Det går dock även att få fram annan information genom analys av ett sådant
biologiskt prov, exempelvis information om en persons biogeografiska ursprung. I framtiden kommer man troligen att kunna ta fram ytterligare uppgifter ur sådana prover.
Mot den bakgrunden har utredningen ansett att all information som rör nedärvda eller förvärvade genetiska kännetecken för en person och som kan tas fram ur ett prov från människokroppen bör anses vara genetiska uppgifter. Det bör också gälla information som på motsvarande sätt kan tas fram ur spår som påträffas på en brottsplats, exempelvis blodspår. Regeringen delar denna bedömning och att det bör framgå av definitionen i lagen. Det innebär att definitionen av genetiska uppgifter i ramlagen blir något vidare än den i dataskyddsförordningen, men i likhet med utredningen anser regeringen inte att detta bör orsaka några problem i praktiken. Detta har heller inte ifrågasatts av någon remissinstans.
Genetiska uppgifter bör således definieras som personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen.
Mottagare
Enligt artikel 3.10 omfattar uttrycket mottagare i princip samtliga personer, myndigheter eller andra organ till vilka personuppgifter lämnas ut. Myndigheter som får del av personuppgifter för att kunna utföra ett särskilt uppdrag ska dock inte anses som mottagare. I skäl 22 anges som exempel på myndigheter som får del av personuppgifter för att utföra särskilda uppdrag, skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering av värdepappersmarknader.
I 3 § personuppgiftslagen, som genomför artikel 2 g i 1995 års dataskyddsdirektiv, anges att en myndighet inte ska anses som mottagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som åsyftas kommenteras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma innebörd som motsvarande uttryck i direktivet (prop. 1997/98:44 s. 116). En motsvarande definition behövs i ramlagen.
Mottagare bör, i likhet med vad utredningen föreslår, definieras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Personuppgift
Med personuppgift avses enligt både 1995 års dataskyddsdirektiv och det nya direktivet varje upplysning som avser en fysisk person som är identifierad eller som direkt eller indirekt kan identifieras. I definitionen i artikel 3.1 exemplifieras personuppgifter som upplysningar om namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Det framgår inte uttryckligen av direktivet om det gäller för uppgifter om avlidna personer eller inte. Definitionen av personuppgift omfattar enligt sin ordalydelse även uppgifter om avlidna personer. Definitionen är densamma som i artikel 4.1 i dataskyddsförordningen. I skäl 27 i för-
ordningen anges emellertid att den inte gäller för behandling av personuppgifter om avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av sådana personuppgifter. Det kan inte ha varit avsikten att behandling av uppgifter om avlidna skulle omfattas av direktivet men inte av förordningen när definitionerna av personuppgift i princip är identiska. Regeringen betraktar det i likhet med utredningen som ett rent förbiseende att inte motsvarande skäl finns i direktivet. För att tydliggöra att personuppgift har samma betydelse som i förordningen bör det framgå av definitionen att den inte omfattar uppgifter om avlidna personer. Rättsmedicinalverket påtalar särskilt vikten av att det blir en tydlig och ändamålsenlig reglering av hanteringen av uppgifter om avlidna. Denna synpunkt kommer att tas om hand i samband med att speciallagstiftningen som verket tillämpar ses över.
Personuppgifter bör alltså definieras som varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.
Registrerad
I direktivets definition av personuppgift i artikel 3.1 anges att en identifierad eller identifierbar fysisk person benämns registrerad. Definitionen av personuppgift är utformad på samma sätt i 1995 års dataskyddsdirektiv. I 3 § personuppgiftslagen definieras däremot den registrerade som den som en personuppgift avser.
Utredningen har bedömt att det blir tydligare att definiera vad som avses med en registrerad än att låta det ingå som en del av definitionen av personuppgift. Regeringen delar den bedömningen och anser att registrerad därför bör definieras som den fysiska person som personuppgiften rör. Det blir då en skillnad i förhållande till dataskyddsförordningen men det saknar praktisk betydelse.
Uppgift som rör hälsa
Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen definierar vad som avses med uppgift som rör hälsa. Enligt artikel 3.14 avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I skäl 24 anges att det gäller information om en persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Där ges också exempel på vilka uppgifter som kan anses avse hälsa. Som utredningen föreslår bör ramlagen innehålla en definition av vad som avses med uppgift som rör hälsa som motsvarar definitionen i direktivet. Uppgift som rör hälsa bör definieras som personuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
Uppgifter om hälsa räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 8.1.4).
6.3. Dataskyddsbestämmelser i tidigare rättsakter och avtal
Regeringens bedömning: Det behövs inte någon särskild reglering för att genomföra artiklarna 60 och 61 i direktivet.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen efterfrågar ett klargörande om hur unionsrättsakter som trätt i kraft efter den 6 maj 2016 förhåller sig till direktivet och ramlagen.
Skälen för regeringens bedömning
Innehållet i direktivet och nuvarande reglering
Enligt artikel 60 ska direktivet inte påverka tillämpningen av särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare. En förutsättning är dock att rättsakterna reglerar behandlingen av personuppgifter mellan medlemsstaterna eller medlemsstaternas tillgång till informationssystem som är relevanta för direktivets tillämpningsområde. Kommissionen ska enligt artikel 62.6 se över om tidigare rättsakter behöver anpassas till direktivet och, om så behövs, lägga fram förslag till ändring av dessa rättsakter. De tidigare rättsakterna på området ska alltså fortsätta att gälla tills de ändras eller upphävs.
Som exempel på tidigare rättsakter som ska kvarstå oförändrade nämns i skäl 94 rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (rådets akt av den 29 maj 2000).
Enligt artikel 61 ska internationella avtal som rör överföring av personuppgifter till tredjeland eller internationella organisationer och som ingicks av medlemsstaterna före den 6 maj 2016 fortsätta att gälla tills de ändras, ersätts eller återkallas. En förutsättning är dock att avtalen är förenliga med unionsrätten så som den tillämpades före angivet datum.
En liknande bestämmelse finns i artikel 26 i dataskyddsrambeslutet. Enligt den ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtalen med tredjeland som redan gällde när rambeslutet antogs. Artikel 26 ansågs inte kräva någon lagstiftningsåtgärd (prop. 2012/13:73 s. 108).
Bestämmelser om skydd för personuppgifter i tidigare rättsakter
Det finns en rad unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som innehåller bestämmelser om skydd av personuppgifter. Sådana bestämmelser ska alltså gälla i stället för direktivet om de är äldre än det. På motsvarande sätt bör sådana svenska lagar och förordningar som genomför de tidigare antagna unionsrättsakterna ges företräde framför ramlagen. En genomgång av äldre rättsakter som trätt i kraft före direktivet och som därmed gäller i stället för direktivet redovisas i delbetänkandet Brottsdatalag (SOU 2017:29, s. 155 f.).
En unionsrättsakt av intresse i sammanhanget är Europolförordningen (Europaparlamentets och rådets förordning [EU] 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning [Europol] och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF). Förordningen ska, med något undantag, tillämpas från och med den 1 maj 2017. Den antogs den 11 maj 2016 och trädde i kraft 20 dagar efter att den hade offentliggjorts i Europeiska unionens officiella tidning, vilket gjordes den 24 maj 2016. Förordningen har alltså trätt i kraft efter den 6 maj 2016 och omfattas därför inte av artikel 60. Förordningen innehåller bestämmelser om behandling av personuppgifter, men som Datainspektionen påpekar är det oklart hur den förhåller sig till direktivet. Hur olika EU-rättsakter förhåller sig till varandra är inte en fråga för medlemsstaterna utan något som får avgöras av allmänna EUrättsliga principer.
Avtal om överföring till tredjeland och internationella organisationer
Som framgått ovan ska internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer och som ingåtts före den 6 maj 2016 fortsätta att gälla. Med internationella avtal bör i detta sammanhang förstås varje gällande bilateralt eller multilateralt avtal mellan medlemsstater och tredjeland eller med internationella organisationer inom området för straffrättsligt samarbete och polissamarbete som rör överföring av personuppgifter.
Som exempel på bilateralt avtal om informationsutbyte som Sverige ingått med tredjeland kan nämnas avtalet med Thailand om samarbete mellan brottsbekämpande myndigheter för att bekämpa organiserad brottslighet (SÖ 2013:3). Avtalet innehåller till viss del bestämmelser om dataskydd, som hänvisar till internationella överenskommelser. Avtalet med Bosnien och Hercegovinas ministerråd om samarbete mellan brottsbekämpande myndigheter (SÖ 2013:4) innehåller liknande bestämmelser.
Sverige har även ingått ett flertal bilaterala avtal när det gäller informationsutbyte på tullområdet, t.ex. med USA och Ryssland. Avtalet med USA är genomfört i förordningen (1988:146) om tillämpning av en överenskommelse mellan Sverige och Amerikas Förenta Stater om ömsesidigt bistånd i tullfrågor. Avtalet med Ryssland regleras i förordningen (1994:8) om tillämpning av en överenskommelse mellan Sverige och Ryska federationen om ömsesidigt bistånd i tullfrågor och förordningen (1998:318) om tillämpning av ett avtal mellan Sverige och Ryssland om ömsesidigt bistånd vid bekämpning av vissa fiskala brott.
Det behövs inte någon särskild reglering för att genomföra artiklarna 60 och 61 i direktivet
Av artiklarna 60 och 61 följer att särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området och internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer som medlemsstaterna ingått innan direktivet antogs ska tillämpas framför direktivet och gälla tills de ändras eller upphävs. Det är alltså inte fråga om någon tillfällig eller övergående reglering, utan en
inskränkning i direktivets tillämpningsområde. De tidigare unionsrättsakter och avtal som Sverige ingått med tredjeland har i allt väsentligt genomförts i svensk rätt. I den mån sådana lagar och förordningar reglerar dataskydd på ramlagens tillämpningsområde bör de, i likhet med vad utredningen föreslår, gälla framför ramlagen.
I avsnitt 6.1.2 föreslås att ramlagen ska vara subsidiär. Där diskuteras framför allt förhållandet mellan ramlagen och myndigheternas registerförfattningar, men resonemanget gör sig gällande även här. Mot den bakgrunden delar regeringen utredningens bedömning att några särskilda bestämmelser som genomför artiklarna 60 och 61 inte behövs.
6.4. Utformningen av tillämpningsområdet
6.4.1. Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften
Regeringens förslag: Ramlagens tillämpningsområde ska knytas till behandling av personuppgifter som behöriga myndigheter utför för vissa syften.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna är positiva till utredningens förslag eller har inget att invända mot det. Flera remissinstanser påtalar emellertid svårigheterna med gränsdragning i förhållande till dataskyddsförordningens tillämpningsområde (se närmare avsnitt 6.7).
Skälen för regeringens förslag: Direktivet ska enligt artikel 2.1 tilllämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Personuppgiftsbehandling inom direktivets tillämpningsområde är enligt artikel 2.2 d i dataskyddsförordningen undantagen från förordningens tillämpningsområde. Eftersom förordningen är direkt tillämplig i svensk rätt och gäller för all personuppgiftsbehandling som regleras av unionsrätt och inte omfattas av direktivet är avgränsningen av ramlagens tilllämpningsområde en central fråga.
Direktivet gäller för all personuppgiftsbehandling inom sitt tillämpningsområde, även om den är helt nationell. Det är en betydande skillnad i förhållande till dataskyddsrambeslutet, som bara gäller för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU-medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s informationssystem. I övrigt är tillämpningsområdet för direktivet och rambeslutet angivet på i stort sett samma sätt – båda omfattar behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Direktivets tillämpningsområde omfattar också personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om regleringen i ramlagen kan utgå från hur tillämpningsområdet är utformat i 2013 års lag.
Tillämpningsområdet för 2013 års lag bygger på i vilken verksamhet personuppgifter behandlas. En sådan lösning är enkel och tydlig för tilllämparen. Som nyss nämnts bygger direktivets tillämpningsområde på dels syftet med behandlingen, dels om det är en behörig myndighet som utför den. Att enbart knyta ramlagens tillämpningsområde till i vilken verksamhet personuppgiftsbehandling utförs skulle därför, som utredningen anför, göra det för vidsträckt. Som exempel kan nämnas att man i Kriminalvårdens häktesverksamhet behandlar personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administrativa frihetsberövanden, t.ex. tvångsvård eller häktning enligt konkurslagen (1987:672). Om syftet med förvaringen i häkte är brottsbekämpning, lagföring, straffverkställighet eller ordningshållning ligger det under direktivets tillämpningsområde. Är det däremot fråga om ett frihetsberövande av något annat slag gäller som regel dataskyddsförordningen.
Tillämpningsområdet kan dock inte heller knytas enbart till syftet med personuppgiftsbehandlingen. Kameraövervakning kan tas som exempel för att illustrera det. Fast monterade kameror får sättas upp i exempelvis banklokaler och butikslokaler, om syftet med övervakningen ska vara att förebygga, avslöja eller utreda brott. Bankens eller butikens personuppgiftsbehandling i samband med sådan övervakning skulle därmed omfattas av ramlagens tillämpningsområde om enbart syftet med behandlingen var avgörande. I och med att banker och butiker inte träffas av direktivets definition av behörig myndighet ligger deras personuppgiftsbehandling dock utanför tillämpningsområdet. En annan sak är att Polismyndighetens behandling av de personuppgifter som har samlats in av en bank vid exempelvis ett rån omfattas av tillämpningsområdet, eftersom myndigheten omfattas av definitionen av behörig myndighet och syftet med behandlingen är att utreda brott.
Regeringen instämmer därför i utredningens slutsats att ramlagens tilllämpningsområde måste knytas både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Om en behörig myndighet behandlar personuppgifter för något av de syften som anges i ramlagen är lagen tillämplig, oavsett om behandlingen endast utförs i ringa omfattning eller under kort tid. Innan frågan om vad som är en behörig myndighet (se avsnitt 6.4.4) behandlas är det nödvändigt att först redovisa för vilka syften personuppgifter får behandlas. I avsnitt 6.7 diskuteras sedan olika gränsdragningsfrågor knutna till uttrycket behörig myndighet och syftena med behandlingen.
6.4.2. Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet
Regeringens förslag: Ramlagen ska gälla vid behandling av personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: Direktivets tillämpningsområde omfattar personuppgiftsbehandling som utförs i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
I svensk rätt brukar man skilja mellan å ena sidan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och å andra sidan verksamhet som syftar till att utreda och beivra konkreta brott (se t.ex. 2 § polislagen [1984:387] och 2 kap. 7 § polisdatalagen). Vid genomförandet av unionsrättsakter där det talas om att förebygga och utreda brott har ordet brott därför tolkats så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som exempelvis underrättelseverksamhet tar sikte på (prop. 2010/11:129 s. 110 och prop. 2012/13:73 s. 63). Samma tolkning bör göras nu.
Uttrycket förebygga, förhindra och upptäcka brottslig verksamhet – som används i flera av de berörda myndigheternas registerförfattningar – bör ges samma tolkning som hittills. I förarbetena till polisdatalagen diskuteras underrättelseverksamheten ingående (prop. 2009/10:85 s. 104 f.). Där vidgas också användningen av begreppet till att avse vad som där betecknas som underrättelsestyrd verksamhet. All sådan verksamhet, såväl på lokal nivå som regional och central nivå, och även annan planlagd verksamhet som betecknas som underrättelsestyrd bör således omfattas av ramlagens tillämpningsområde.
Spaningsverksamhet som inte är hänförlig till brottsutredande verksamhet är normalt underrättelsestyrd, exempelvis när spaning bedrivs lokalt för att kartlägga droghandel, prostitution eller någon annan typ av lokal brottslighet. Spaningsverksamhet av nu aktuellt slag bedrivs framför allt av Polismyndigheten och bör omfattas av tillämpningsområdet.
Polismyndigheten bedriver emellertid även annan verksamhet som brukar räknas till brottsförebyggande arbete, t.ex. förebyggande insatser som riktar sig till brottsoffer eller personer som riskerar att utsättas för brott. I sådant arbete torde behovet av att behandla personuppgifter vara begränsat. Det kan diskuteras om sådan brottsofferverksamhet som har anknytning till pågående eller avslutade brottsutredningar, t.ex. uppföljning av meddelade kontaktförbud eller personskydd som beviljats med anledning av begångna brott, bör hänföras till uppgiften att utreda brott eller ses som brottsförebyggande arbete. Det saknar dock betydelse i detta sammanhang eftersom det i båda fallen är en uppgift som omfattas av ramlagens tillämpningsområde. Även behandlingen av personuppgifter vid Polismyndighetens kommunikationscentraler har i viss utsträckning ansetts falla under polisdatalagens tillämpningsområde och bör därmed omfattas av ramlagens tillämpningsområde (prop. 2009/10:85 s. 140 f.).
Tullverket bedriver brottsförebyggande arbete som rör framför allt otillåten införsel av varor. Även den verksamheten, som innefattar bl.a. underrättelseverksamhet och sådan kartläggning och spaning som nyss nämnts, ligger inom ramlagens tillämpningsområde.
I förarbetena till 2013 års lag anses uttrycken upptäcka och beivra brott stämma bättre överens med språkbruket i svensk rätt än uttrycken avslöja och lagföra brott (prop. 2012/13:73 s. 63). Utredningen har ansett att den bedömningen bör gälla avseende uttrycket upptäcka brott men att ut-
trycket lagföra brott bör användas i ramlagen i stället för beivra brott av följande skäl.
Uttrycket utreda och beivra brott används i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen och 2 kap. 5 § åklagardatalagen. Samma uttryck används också i 2 kap. 5 § tullbrottsdatalagen. Utreda brott omfattar framför allt arbete som utförs inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, medan förenklade förfaranden som mynnar ut i att strafföreläggande eller föreläggande av ordningsbot utfärdas i stället för att åtal väcks hänförs till beivra brott. Uttrycket beivra brott passar därför väl för Polismyndighetens, Tullverkets, Kustbevakningens och åklagares verksamhet, men mindre väl för handläggningen vid de allmänna domstolarna när de dömer någon till ansvar för brott och bestämmer påföljd. Däremot täcker uttrycket lagföra brott, som används i direktivet, såväl de förenklade förfaranden som Polismyndigheten, Tullverket, Kustbevakningen och åklagare tillämpar som handläggningen i domstol. Ordet lagföra framstår också som mer modernt än beivra. Regeringen instämmer i utredningens bedömning och anser därför att det mer vittomfattande uttrycket lagföra brott bör väljas i ramlagen. Frågan om även myndigheternas registerförfattningar bör ändras på motsvarande sätt kommer att behandlas när anpassningar av dessa görs.
Uttrycket verkställa påföljd används i dag inte i någon av de berörda myndigheternas registerförfattningar. Däremot används det i 2013 års lag. I förarbetena till den lagen anges att regleringen omfattar bl.a. Kriminalvården och Statens institutionsstyrelse (prop. 2012/13:73 s. 61 f.). Regeringen delar utredningens uppfattning även i denna del och anser att terminologin i 2013 års lag framstår som lämplig och bör användas även i ramlagen.
Ramlagen bör således gälla vid personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det innebär att lagen kan bli tillämplig vid underrättelseverksamhet och annan brottsförebyggande verksamhet, förundersökning och liknande utredningar som hänvisar till reglerna om förundersökning, åtalsprövning, strafföreläggande och föreläggande av ordningsbot, domstols handläggning av brottmål och verkställighet av påföljder. Det är dock inte tillräckligt att personuppgiftsbehandlingen utförs i något av dessa syften. Det krävs också att det är en behörig myndighet som utför den, vilket utvecklas i avsnitt 6.4.4.
6.4.3. Personuppgiftsbehandling som rör allmän ordning och säkerhet
Regeringens förslag: Ramlagen ska gälla vid behandling av personuppgifter som utförs i syfte att upprätthålla allmän ordning och säkerhet.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten förespråkar att uttrycket ”övervaka allmän ordning och säkerhet” bör användas i stället för ”upprätt-
hålla allmän ordning och säkerhet”. Kriminalvården anser att upprätthålla allmän ordning och säkerhet innebär en onödig begränsning som kan medföra att exempelvis vissa transporter faller utanför tillämpningsområdet. Kriminalvården förordar vidare att förebygga och förhindra hot mot den allmänna ordningen och säkerheten används i stället. Umeå universitet och Dataskydd.net ifrågasätter om inte informationssäkerhetsområdet bör omfattas av ramlagen.
Skälen för regeringens förslag
Tillämpningsområdet ska omfatta skydd av allmän säkerhet
Direktivets tillämpningsområde inkluderar personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, men att sådan verksamhet också kan innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Det anges också att verksamheten även omfattar upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.
Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. En av Polismyndighetens huvuduppgifter enligt 2 § polislagen är att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten och att övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat. Befogenheterna att ingripa finns bl.a. i 13–13 c §§polislagen.
Även Kustbevakningen har vissa ordningshållande arbetsuppgifter. De rör främst sådant uppträdande i trafiken till sjöss som stör ordningen eller utgör en omedelbar fara för ordningsstörning. En kustbevakningstjänsteman har också rätt att ingripa för att avvärja brott som avser trafikregler och säkerhetsanordningar för sjötrafiken, vattenförorening från fartyg och dumpning av avfall i vatten. Vid ett ingripande i någon av dessa situationer har en kustbevakningstjänsteman enligt 3 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning rätt att avvisa, avlägsna eller omhänderta den som stör ordningen eller utgör en omedelbar fara för den enligt reglerna i 13 § polislagen. Kustbevakningen har också särskilda ordningshållande uppgifter enligt lagstiftningen om sjöfartsskydd respektive hamnskydd.
I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning. Det beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan ofta också övergå i brottsbekämpning. Det ansågs dock föra för långt att betrakta mer renodlad övervakning och ordningshållande verksamhet som brottsbekämpande. Den verksamheten skulle därmed inte omfattas av polisdatalagens tillämpningsområde (prop. 2009/10:85 s. 75).
I artikel 1.1 anges att direktivet omfattar personuppgiftsbehandling i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om det bara är ordningshållande verksamhet som är en del av brottsbekämpningen som omfattas av direktivets tillämpningsområde. Om bara ordningshållande verksamhet som utgör en del av brottsbekämpningen skulle omfattas av direktivet, skulle det dock inte ha funnits något skäl att nämna den verksamheten särskilt. Personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten räknas upp i artikeln och i skäl 12 tydliggörs att det handlar om ingripanden mot sådant som inte i sig är brott som exempelvis tvångsåtgärder vid demonstrationer. Mot den bakgrunden är det enligt utredningen tydligt att direktivet omfattar mer än det som kan sägas höra till den traditionella brottsbekämpande verksamheten. Ramlagen bör ha ett tillämpningsområde som motsvarar direktivets. Regeringen delar utredningens uppfattning och lagen bör därför gälla även för personuppgiftsbehandling som utförs för ordningshållande syften.
Åtgärder för att skydda allmän säkerhet är som framgått något annat än att skydda den nationella säkerheten. Det sistnämnda är Säkerhetspolisens arbetsuppgift och behandlas i avsnitt 6.5.1.
Vilket uttryckssätt bör användas?
I svensk rätt har uttrycket allmän ordning och säkerhet använts under lång tid i olika polisrättsliga författningar. Uttrycket, som inte har någon legaldefinition, är vittomfattande och svårdefinierat. Det används bl.a. i ordningslagen (1993:1617) och polislagen.
I polislagen används uttrycket i 1 § som anger polisverksamhetens ändamål. Där sägs att polisens arbete syftar till att upprätthålla allmän ordning och säkerhet och att i övrigt tillförsäkra allmänheten skydd och hjälp. I kommentaren till polislagen framhålls att det i polisens uppgift att upprätthålla allmän ordning och säkerhet inte bara ligger att motverka och beivra straffsanktionerade handlingar. Även i övrigt har polisen viss skyldighet att söka säkerställa förutsättningarna för en i möjligaste mån trygg och friktionsfri samlevnad medborgarna emellan (se Nils-Olof Berggren och Johan Munck, Polislagen, En kommentar, 11 uppl. 2015, i fortsättningen Berggren m.fl., s. 35).
I 1 § polislagen används alltså uttrycket allmän ordning och säkerhet som ett överordnat begrepp som både omfattar brottsutredning och annan brottsbekämpande verksamhet och olika former av övervakning. Det återspeglar den helhetssyn på polisens alla olika funktioner som eftersträvas. I de enskilda bestämmelserna i lagen, särskilt när det gäller polismans befogenheter, används uttrycket i en snävare mening som ligger mera i linje med regleringen i ordningslagen. Den lagen tar sikte på regler som riktar sig till allmänheten och som rör användningen av allmänna utrymmen och samfärdseln samt sammankomster och tillställningar av olika slag.
Uttrycket allmän ordning och säkerhet används inte helt konsekvent ens i polislagen. I vissa av bestämmelserna används uttrycket ”den allmänna ordningen” medan ”ordningen och säkerheten” används i någon
bestämmelse. Av förarbetena till 13–13 c §§ kan inte utläsas att lagstiftaren har avsett någon egentlig skillnad mellan uttryckssätten eller att de skulle avse olika situationer. Både 13 a och 13 c §§polislagen infördes för att komma till rätta med de problem som polisen ställs inför i samband med större evenemang (prop. 1996/97:175 s. 23 f.). Det är också sådana situationer som skäl 12 i direktivet förefaller ta sikte på, eftersom myndighetsutövning vid demonstrationer, större idrottsevenemang och upplopp nämns uttryckligen. Regeringen anser, i likhet med utredningen, att uttrycket allmän ordning och säkerhet bör användas i ramlagen för att säkerställa att lagens tillämpningsområde täcker den verksamhet som är avsedd. Det stämmer också överens med hur Polismyndighetens uppgifter anges i bl.a. polislagen.
Ibland anges att polisen ska upprätthålla allmän ordning och säkerhet och ibland att polisen ska övervaka allmän ordning och säkerhet. I 2 § polislagen anges att en av polisens huvuduppgifter är att övervaka den allmänna ordningen och säkerheten. Detta uttryckssätt menar Polismyndigheten bör användas i ramlagen. Övervakning kan ha många olika former, t.ex. att någon i en ledningscentral följer trafikflödet eller allmänhetens rörelser på en viss plats via övervakningskameror. Det kan även vara fråga om automatisk hastighetsövervakning med övervakningskameror och allmän trafikövervakning på vägar eller fasta kontrollplatser. Övervakning kan också innebära att polisen rutinmässigt med bil passerar vissa lokaler eller områden eller att polismän eller bevakningspersonal tillfälligt eller stadigvarande bevakar en viss plats eller byggnad. För att upprätthålla allmän ordning och säkerhet krävs normalt fysisk närvaro på platsen där oordning förekommer eller riskerar att göra det. Uttrycket övervaka den allmänna ordningen och säkerheten är således mera vittomfattande än uttrycket upprätthålla allmän ordning och säkerhet. Det kan därför ifrågasättas om uttrycket övervaka skulle ge en avgränsning som går utöver vad direktivet avser. Regeringen delar mot denna bakgrund utredningens bedömning att uttrycket upprätthålla allmän ordning och säkerhet bäst återspeglar vad som enligt skäl 12 avses med direktivets uttryck skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det bör därför användas för att avgränsa tillämpningsområdet för ramlagen. När det gäller Kriminalvårdens synpunkt finns det anledning att återkomma till frågan om transport i avsnitt 6.7.
I begreppet allmän ordning och säkerhet har ansetts ligga att det ska vara något som berör allmänheten, dvs. samhällsmedlemmarna i gemen, vem som helst eller en obestämd krets av enskilda (Berggren m.fl. s. 35 f. och där anmärkt litteratur).
Anpassningar av registerförfattningar
Genom att ramlagen föreslås omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet kommer den att ha ett vidare tillämpningsområde än polisdatalagen. Frågan om det bör föranleda att polisdatalagens tillämpningsområde anpassas till ramlagens kommer att behandlas i samband med att myndigheternas registerförfattningar anpassas.
Kustbevakningsdatalagen gäller enligt 1 kap. 2 § behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör både brottsbekämpning och annan operativ verksamhet som sjöövervakning och räddningstjänst. I 5 kap. regleras personuppgiftsbehandling i den verksamhet som inte är brottsbekämpande. Där regleras personuppgiftsbehandling i verksamhet som gäller både upprätthållande och övervakning av allmän ordning och säkerhet. Även denna lag kommer att ses över i samband med anpassningarna av registerförfattningarna.
Omfattas informationssäkerhet?
Samhällets beroende av informationsteknik har enligt regeringen utvecklats till att bli en fråga om nationell och internationell säkerhet (Förebygga, förhindra och försvåra – den svenska strategin mot terrorism, skr. 2014/15:146 s. 26). I bl.a. 31 § personuppgiftslagen och 7 och 9 §§säkerhetsskyddslagen (1996:627) finns bestämmelser om informationssäkerhet. Den som är ansvarig för en verksamhet ska se till att informationssäkerheten håller tillräckligt hög nivå. Alla myndigheter och organ som hanterar känslig information förutsätts arbeta aktivt med att skydda sin information.
I likhet med 1995 års dataskyddsdirektiv innehåller direktivet bestämmelser om informationssäkerhet. Direktivet innebär skärpningar i olika avseenden, bl.a. ställs det krav på att personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten. Både Umeå universitet och Dataskydd.net anser att informationssäkerhet bör omfattas av ramlagens tilllämpningsområde. Direktivets bestämmelser om informationssäkerhet tar – på samma sätt som 1995 års dataskyddsdirektiv – enbart sikte på att personuppgiftsansvariga bär ett särskilt ansvar för informationssäkerheten när det gäller de personuppgifter de behandlar. Det finns däremot inget som tyder på att det nya direktivet är avsett att omfatta förebyggande arbete som rör informationssäkerhet i allmänhet eller verksamhet för att förebygga och förhindra de hot som samhället kan ställas inför på informationssäkerhetens område. Tvärtom tyder skrivningarna i skäl 12 på att det som åsyftas är hot mot fysisk säkerhet. Regeringen anser därför i likhet med utredningen att när begreppet allmän ordning och säkerhet används i ramlagen för att ange tillämpningsområdet bör det inte omfatta informationssäkerhet.
6.4.4. Vad är en behörig myndighet?
Regeringens förslag: Behörig myndighet ska definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller en annan aktör som har anförtrotts myndighetsutövning för något av dessa syften, när den behandlar personuppgifter för ett sådant syfte.
Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Kammarrätten i Stockholm anser att orden ”anförtrotts myndighetsutövning” ska användas i stället för uttrycket ”utövar
myndighet” som utredningen föreslår. Flera remissinstanser, däribland
Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län och Malmö kommun, anser att definitionen av en behörig myndighet kan leda till felbedömningar av när ramlagen är tillämplig och att den skulle behöva förtydligas. Sjöfartsverket efterfrågar ett förtydligande av vilka myndigheter som är behöriga. Datainspektionen påpekar att det skulle kunna uppstå konkurrenssituationer när samma behandling har olika syften.
Skälen för regeringens förslag: Ramlagen ska gälla för personuppgiftsbehandling som behöriga myndigheter utför för vissa syften. Det bör därför definieras vad som avses med behörig myndighet i ramlagen.
Utredningens förslag utgår från den bedömning som gjordes i förarbetena till 2013 års lag att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i direktivet än att i lag räkna upp de myndigheter som ska tillämpa lagen (prop. 2012/13:73 s. 62). Genom att direktivet har ett så brett tillämpningsområde är det inte lämpligt att i författningstext peka ut alla myndigheter som har sådana uppgifter att de ska betraktas som behöriga myndigheter i ramlagens mening. Det är också svårt att i lagtext ange de kategorier som enligt viss lagstiftning har behörighet att utöva myndighet inom ramlagens tillämpningsområde. En uppräkning av myndigheter och andra aktörer skulle visserligen – som flera remissinstanser, däribland Sjöfartsverket, påpekar – förenkla för tilllämpande aktörer och framstå som tydligare, men den riskerar att bli ofullständig. Dessutom skulle en sådan uppräkning behöva förses med åtskilliga undantag, eftersom inte all deras personuppgiftsbehandling regleras i ramlagen. Definitionen bör därför enligt regeringens mening utgå från myndigheternas uppgifter och de andra aktörernas rätt att utöva myndighet.
I artikel 3.7 definieras behörig myndighet som en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten eller ett annat organ eller annan enhet som har anförtrotts myndighetsutövning för något av detta. Som framgår av avsnitt 6.4.2 och 6.4.3 bör en delvis annan formulering väljas för avgränsningen av ramlagens tillämpningsområde. Samma formulering bör användas i definitionen av behörig myndighet. Behörig myndighet bör således vara en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som har anförtrotts myndighetsutövning för något av dessa syften. Både Lagrådet och Kammarrätten i
Stockholm förordar formuleringen ”anförtrotts myndighetsutövning” framför begreppet ”utöva myndighet”. Regeringen håller med om att orden ”anförtrotts myndighetsutövning” gör definitionen tydligare och därför bör användas i ramlagen.
För aktörer som inte är myndigheter har det betydelse om personuppgifter behandlas som ett led i myndighetsutövning eller inte. Personuppgifter som andra aktörer behandlar när de inte utövar myndighet ligger utanför ramlagens tillämpningsområde. När det gäller myndigheter omfattas däremot all personuppgiftsbehandling inom ramlagens tillämpningsområde, oavsett om den har samband med myndighetsutövning eller inte.
Arbetsuppgifterna och syftet med behandlingen är avgörande för när en myndighet är behörig
Som utredningen beskriver är det självklart att vissa myndigheter på grund av sina uppgifter ska betraktas som behöriga myndigheter enligt ramlagen. Det är Polismyndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, de allmänna domstolarna och Kriminalvården som främst kommer att behandla personuppgifter som omfattas av ramlagens tillämpningsområde.
Dessa myndigheter har emellertid även uppgifter som ligger utanför ramlagens tillämpningsområde. Det gäller i hög grad Polismyndigheten och de allmänna domstolarna men också Tullverket, Kustbevakningen och Skatteverket, där den brottsbekämpande verksamheten bara utgör en del av den totala verksamheten. Även åklagare har vissa operativa uppgifter som inte omfattas av ramlagens tillämpningsområde. Den omständigheten att en myndighet har vissa uppgifter inom ramlagens tillämpningsområde gör inte att myndigheten i all sin verksamhet är behörig myndighet i ramlagens mening. Som exempel kan nämnas Skatteverket, där myndighetens brottsbekämpande enhet omfattas av definitionen av behörig myndighet, medan de enheter som arbetar med folkbokföring eller fastställande av skatt inte gör det. En myndighet kan således vara både behörig och icke behörig i ramlagens mening beroende på vilka arbetsuppgifter som utförs (se skäl 11).
Lagrådet förordar att definitionen av behörig myndighet förtydligas så att det framgår att myndigheten respektive aktören är behörig endast när den behandlar personuppgifter för sådana syften som omfattas av ramlagen. Att ramlagen endast gäller vid personuppgiftsbehandling för syftena brottsbekämpning, lagföring, straffverkställighet, och upprätthållande av allmän ordning och säkerhet framgår av avsnitt 6.4.2 och 6.4.3. Regeringen håller med Lagrådet om att det framgår tydligare att en myndighet kan vara både behörig och icke behörig beroende på omständigheterna, om det läggs in i definitionen att en myndighet är behörig endast när den behandlar personuppgifter för ett syfte som omfattas av ramlagen. Genom att regleringen i direktivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde kommer det att krävas av de behöriga myndigheterna och de enskilda tjänstemännen att de i större utsträckning än i dag överväger syftet med behandlingen av personuppgifter och om behandlingen ligger inom ramlagens tillämpningsområde. Om personuppgifter behandlas för något annat syfte än brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän och säkerhet ska ramlagen inte tillämpas.
Dubbla regelverk
Det är framför allt de myndigheter som arbetar med brottsbekämpning som kommer att möta gränsdragningsproblem. Detta har också påtalats av flera remissinstanser. Det beror bl.a. på att deras verksamhet är sådan att det inte alltid från början är tydligt om syftet med behandlingen är brottsbekämpande eller inte. Även på andra områden kan gränsdragningen ibland vara svår.
I avsnitt 6.7 redovisas vissa principer som regeringen anser bör vara vägledande i gränsdragningen. I det enskilda fallet blir det dock den
behöriga myndigheten och den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig. Detta är ett resultat av den nya EU-regleringen på området som är svårt att undvika. Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör dock inte överdrivas. Redan i dag tillämpar myndigheterna olika regelverk – personuppgiftslagen och myndighetsanknutna registerförfattningar – beroende på i vilken verksamhet personuppgifterna behandlas. Problematiken med dubbla regleringar när det gäller personuppgiftsbehandling är således inte ny.
Så som tillämpningsområdet för direktivet är utformat kommer fler myndigheter och andra aktörer än enbart myndigheterna i rättskedjan att i viss del av sin verksamhet behöva tillämpa ramlagen. Det gäller exempelvis den som bedriver sluten ungdomsvård eller rättspsykiatrisk vård. Vidare kommer andra aktörer som utövar myndighet inom ramlagens tillämpningsområde att behöva tillämpa den när de behandlar personuppgifter för sådana syften som lagen reglerar. De ska då betraktas som behöriga myndigheter i ramlagens mening och tillämpa den. En del av aktörerna har hittills enbart tillämpat personuppgiftslagen och kommer att i fortsättningen tillämpa dataskyddsförordningen i huvuddelen av sin verksamhet. Det ställs alltså krav på att de, när personuppgiftslagen upphör att gälla, noga överväger för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.
Datainspektionen lyfter i sammanhanget fram att det i praktiken borde uppstå situationer där samma behandling har olika syften, vilket skulle kunna leda till en konkurrenssituation. Regeringen delar utredningens uppfattning att behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas antingen av ramlagens eller dataskyddsförordningens tillämpningsområde. Ramlagen och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behandling däremot flera olika syften kan regelverken vara tillämpliga parallellt.
Det bör då betraktas som olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk.
6.4.5. Helt eller delvis automatiserad behandling
Regeringens förslag: Ramlagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm efterfrågar bredare resonemang kring vilka behandlingar som omfattas av ramlagen och efterfrågar särskilt vad som gäller för behandlingar i ostrukturerat material. Dataskydd.net anser att ramlagen även ska omfatta behandlingar som inte är helt eller delvis automatiserade.
Skälen för regeringens förslag: En fråga är vilka slags behandlingar som ska omfattas av tillämpningsområdet. Enligt artikel 2.2 är direktivet tillämpligt på sådan behandling av personuppgifter som helt eller delvis
företas på automatiserad väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses enligt artikel 3.6 en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Tillämpningsområdet är detsamma enligt 1995 års dataskyddsdirektiv och dataskyddsförordningen. Det finns däremot ingen möjlighet att göra undantag för behandlingar i ostrukturerat material som Förvaltningsrätten i Stockholm har lyft i sitt remissvar (jfr. 5 a § personuppgiftslagen). Regeringen återkommer till frågor om informationsskyldighet när det gäller ostrukturerat material i avsnitt 10.2.8.
Som anges i avsnitt 6.2 ville man komma bort från registerbegreppet redan när personuppgiftslagen infördes. Personuppgiftslagen gäller därför för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen i personuppgiftslagen har varit utgångspunkt vid utformningen av tillämpningsområdet för myndigheternas registerförfattningar. Mot den bakgrunden instämmer regeringen – till skillnad från Dataskydd.net – i utredningens bedömning att tillämpningsområdet för ramlagen bör anges på samma sätt. Det innebär ingen skillnad i sak i förhållande till direktivet. Att formuleringen skiljer sig något från hur tillämpningsområdet uttrycks i dataskyddsförordningen saknar enligt regeringens bedömning någon praktisk betydelse.
6.5. Undantag från tillämpningsområdet
6.5.1. Personuppgiftsbehandling som rör nationell säkerhet
Regeringens förslag: Ramlagen ska inte gälla vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Undantaget ska också gälla i de fall där Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
Lagen ska inte heller gälla när Försvarsmakten har att tillämpa lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inget undantag gällande verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.
Remissinstanserna: Polismyndigheten och Uppsala universitet efterfrågar en definition av begreppet nationell säkerhet. Försvarsmakten föreslår att begreppet Sveriges säkerhet ska användas i stället för begreppet nationell säkerhet.Säkerhetspolisen anser att det finns skäl att överväga om inte hela myndighetens brottsbekämpande verksamhet borde undantas från ramlagen. Dataskydd.net anser att Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet inte bör undantas
från tillämpningsområdet. Försvarsmakten anser vidare att undantaget bör gälla även Försvarsmaktens personuppgiftsbehandling som rör nationell säkerhet.
Skälen för regeringens förslag
Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet undantas
Enligt artikel 2.3 a ska direktivet inte tillämpas på personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Av skäl 14 framgår att verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av personuppgifter inom verksamhet som avser den gemensamma utrikes- och säkerhetspolitiken inte omfattas av direktivets tillämpningsområde.
1995 års dataskyddsdirektiv gäller inte för sådan personuppgiftsbehandling som inte omfattades av EG-rätten när direktivet antogs, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör statens säkerhet eller försvar. I förarbetena till personuppgiftslagen framhöll regeringen att om viss offentlig verksamhet generellt skulle undantas från lagen fanns det risk för att viss behandling inom den sektorn inte skulle omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Personuppgiftslagen gjordes därför generellt tillämplig och omfattar även sådan verksamhet som då föll utanför EG-rätten. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, garanteras att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning (prop. 1997/98:44 s. 41).
Säkerhetspolisen anför med hänvisning till artikel 2.3 a och skäl 14 i direktivet att det finns utrymme att göra undantag för myndighetens brottsbekämpande verksamhet i sin helhet eftersom de hanterar nationella säkerhetsfrågor. Dataskydd.net anser i stället att Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet inte bör undantas från tillämpningsområde. Undantaget i det nya dataskyddsdirektivet är utformat så att det utesluter viss verksamhet, inte vissa typer av myndigheter eller organisationer. Säkerhetspolisens verksamhet ligger i allt väsentligt utanför direktivets tillämpningsområde. Till Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott och att utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör till nationell säkerhet. Säkerhetspolisen har även andra uppgifter som hör till nationell säkerhet eller har ett mycket nära samband med sådan verksamhet. Av samma skäl som det inte bör anges i ramlagen vilka myndigheter som ska tillämpa den bör inte Säkerhetspolisens personuppgiftsbehandling generellt undantas från ramlagens tillämpningsområde. Redan i dag har myndigheten vissa uppgifter som omfattas av direktivets tilllämpningsområde och det kan inte uteslutas att myndigheten i framtiden får nya sådana uppgifter. Regeringen anser därför i likhet med utredningen att undantaget bör utformas så att det endast träffar de delar av
Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet.
I förarbetena till 2013 års lag diskuterades ingående hur motsvarande undantag i dataskyddsrambeslutet skulle formuleras och där stannade regeringen för att begreppet nationell säkerhet borde användas (prop. 2012/13:73 s. 69 f.). I 19 kap. brottsbalken används numera begreppet Sveriges säkerhet i stället för det äldre rikets säkerhet. När begreppet byttes ut konstaterade regeringen att innebörden av vad som betraktas som rikets säkerhet förändrats och fått ett vidare tillämpningsområde (prop. 2013/14:51 s. 20). I propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89) används också begreppet Sveriges säkerhet.
Utredningen föreslår att begreppet nationell säkerhet bör användas i ramlagen. Polismyndigheten och Uppsala universitet efterfrågar en definition av begreppet nationell säkerhet. Försvarsmakten anser att begreppet Sveriges säkerhet ska användas i stället för nationell säkerhet.
Undantagen från tillämpningsområdet både i direktivet och dataskyddsförordningen utgår emellertid från begreppet ”nationell säkerhet” – det är ett centralt begrepp för EU:s dataskyddsreform – och regeringen anser därför i likhet med utredningen att det uttrycket bör användas i ramlagen för att avgränsa dess tillämpningsområde. Eftersom det här handlar om att förhålla sig till unionsrättens gränser ser regeringen ingen motsättning i att använda det EU-rättsliga begreppet, samtidigt som ”Sveriges säkerhet” används för att ur ett nationellt perspektiv beskriva tillämpningsområdet för annan lagstiftning. En definition av begreppet ”nationell säkerhet” skulle visserligen kunna underlätta för att avgöra om ramlagen är tillämplig eller inte. Samtidigt rör det sig om ett EU-rättsligt begrepp, som avgränsar EU:s kompetens gentemot medlemsstaterna. I förlängningen är det upp till EU-domstolen att avgöra begreppets närmare innebörd. Mot den bakgrunden anser regeringen att det inte är lämpligt att definiera begreppet ”nationell säkerhet” inom ramen för detta lagstiftningsärende.
Säkerhetspolisens personuppgiftsbehandling kommer dock inte att lämnas oreglerad inom området nationell säkerhet. I slutbetänkandet Brottsdatalag – kompletterande lagstiftning (SOU 2017:74 s. 597 f.) föreslås en ny lag om Säkerhetspolisens behandling av personuppgifter. Förslaget kommer att behandlas i en senare proposition.
Det finns även andra myndigheter som i viss omfattning hanterar personuppgifter rörande nationell säkerhet. Det gäller bl.a. Polismyndigheten, åklagare och allmänna domstolar när de behandlar personuppgifter i mål och ärenden som rör brott mot Sveriges säkerhet. Det kan inte uteslutas att även andra myndigheter i viss utsträckning hanterar sådana personuppgifter.
De överväganden som gjordes när personuppgiftslagen infördes gör sig fortfarande gällande. Nationell säkerhet bör därför inte undantas generellt från den nya lagens tillämpningsområde. Det är en mycket liten del av Polismyndighetens, åklagares och de allmänna domstolarnas verksamhet som rör nationell säkerhet. Det saknas enligt regeringens mening skäl att undanta den mycket begränsade personuppgiftsbehandling som utförs av dessa myndigheter på det området från ramlagens tillämpningsområde. De bör därför på samma sätt som i dag tillämpa samma regler som gäller för behandling av personuppgifter i verksamheten i övrigt vid utredning eller handläggning av brottmål och därtill anknutna ärenden enligt rätte-
gångsbalken som rör Sveriges säkerhet. Detsamma bör gälla om någon annan myndighet undantagsvis skulle hantera sådana personuppgifter, exempelvis om Kriminalvården skulle ha tillgång till någon personuppgift som rör nationell säkerhet vid verkställighet av påföljd.
Säkerhetspolisen ska tillämpa ramlagen i vissa fall
Även om merparten av Säkerhetspolisens personuppgiftsbehandling undantas från ramlagens tillämpningsområde, finns det viss behandling i myndighetens operativa verksamhet som bör omfattas av ramlagen eftersom den inte rör nationell säkerhet.
Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådan hjälp omfattas personuppgiftsbehandlingen av ramlagens tillämpningsområde om den avser brottsbekämpning, lagföring eller verksamhet för att upprätthålla allmän ordning och säkerhet.
Enligt 30 § förordningen (2014:1102) med instruktion för Polismyndigheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbekämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (prop. 2013/14:110 s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av ramlagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.
Polismyndighetens biträde till Säkerhetspolisen
En särskild fråga är vad som ska gälla för Polismyndigheten när den övertar uppgifter från Säkerhetspolisen eller biträder den på något annat sätt.
Enligt 28 § instruktionen för Polismyndigheten ska myndigheten bistå vid polisverksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Polismyndigheten ska vidare, i den utsträckning som myndigheterna kommer överens om, lämna tekniskt biträde och annan hjälp till Säkerhetspolisen. Bestämmelsen är en spegling av 13 § instruktionen för Säkerhetspolisen.
Enligt 15 § instruktionen för Säkerhetspolisen får biträdande säkerhetspolischefen i samråd med chefen för Nationella operativa avdelningen, trots den ansvarsfördelning som annars gäller mellan myndigheterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska lämnas över till Polismyndigheten för fortsatt handläggning. Bestämmelsen motsvarar 30 § instruktionen för Polismyndigheten.
Eftersom det när Säkerhetspolisen begär biträde av Polismyndigheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § in-
struktionen för Säkerhetspolisen i de flesta fall är fråga om en arbetsuppgift som ligger utanför direktivets tillämpningsområde, bör Polismyndigheten inte tillämpa ramlagen i vidare mån än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där.
Försvarsmaktens tillämpning av ramlagen
Försvarsmakten bedriver viss verksamhet som kan sägas falla inom ramlagens tillämpningsområde. Det rör t.ex. militärpolisen och militära skyddsvakter när de utför uppgifter med polismans befogenhet. Motsvarande kan gälla i samband med att Försvarsmakten lämnar stöd till polisen vid terrorismbekämpning.
Enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst får Försvarsmakten bl.a. behandla personuppgifter i myndighetens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen om det är nödvändigt för att klarlägga verksamhet som innefattar hot mot rikets säkerhet, eller vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet. Lagen kan därför bli tillämplig när Försvarsmakten lämnar stöd till polisen enligt lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning, men också när militärpolisen och militära skyddsvakter utför sina uppgifter. Mot denna bakgrund finns det, som Försvarsmakten påpekar, skäl att undanta även Försvarsmaktens behandling av personuppgifter som sker enligt lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst från ramlagens tillämpningsområde.
Det kan i detta sammanhang även nämnas att Utredningen Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (Fö2017:03) bl.a. ska bedöma om den reglering som gäller vid behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst är ändamålsenligt utformad samt analysera om den personuppgifts-behandling i Försvarsmakten som i dag regleras i personuppgiftslagen helt eller delvis bör regleras särskilt. Utredningsuppdraget ska redovisas senast den 31 juli 2018.
6.5.2. Den gemensamma utrikes- och säkerhetspolitiken
Enligt skäl 14 undantas medlemsstaternas behandling av personuppgifter i verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken från direktivets tillämpningsområde. Regeringen kan i likhet med utredningen inte se att någon av de som är behöriga myndigheter i ramlagens mening bedriver verksamhet inom detta område. Det finns därför inget behov av att från ramlagens tillämpningsområde undanta någon myndighet eller verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Detta har inte heller ifrågasatts av någon remissinstans.
6.6. Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten
Regeringens bedömning: Behandling av personuppgifter på tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar behöver inte regleras.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Justitiekanslern och Domstolsverket anser att en upplysningsbestämmelse om ramlagens förhållande till offentlighetsprincipen och till tryck- och yttrandefriheten bör övervägas. Ingen annan remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens bedömning: I skäl 16 framhålls att direktivet inte påverkar tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar.
I dataskyddsförordningen finns bestämmelser som ger utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för personuppgifter och, å andra sidan, yttrande- och informationsfriheten och offentlighetsprincipen. Enligt artikel 85.1 i förordningen ska medlemsstaternas nationella lagstiftning förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Den ska omfatta personuppgiftsbehandling för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 i förordningen föreskriva om undantag eller avvikelser från stora delar av förordningens bestämmelser om det behövs för att förena rätten till integritet med yttrande- eller informationsfriheten.
Enligt artikel 86 i förordningen får personuppgifter i allmänna handlingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen. Enligt regeringens förslag i propositionen Ny dataskyddslag har tryckfrihetsförordningen och yttrandefrihetsgrundlagen företräde framför dataskyddsförordningen och den föreslagna dataskyddslagens bestämmelser (prop. 2017/18:105 s. 187).
I avsnitt 6.1.2 har den föreslagna brottsdatalagens förhållande till annan lagstiftning behandlats. Regeringen föreslår under rubriken Avvikande bestämmelser i annan författning en bestämmelse som innebär att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från lagen, så tillämpas den bestämmelsen. Paragrafen motsvarar
2 § personuppgiftslagen. Även den paragrafen har rubriken Avvikande bestämmelser i annan författning.
I 7 § första stycket personuppgiftslagen finns dessutom – under rubriken Förhållandet till tryck- och yttrandefriheten – en bestämmelse som anger att lagen inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. I 8 § samma lag finns en motsvarande bestämmelse när det gäller offentlighetsprincipen. Enligt 1 kap. 7 § i förslaget till dataskyddslag ska förordningen och lagen inte tillämpas i den
utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Mot bakgrund av att remissförslaget inte innehåller någon bestämmelse som på liknande sätt behandlar relationen till grundlagarna anser Lagrådet att det finns behov av att ytterligare överväga detta förhållande i den fortsatta beredningen. Lagrådet framhåller även när det gäller förhållandet till mediegrundlagarna att det finns skäl att särskilt framhålla att Justitiekanslern torde vara en behörig myndighet vid fullgörandet av uppgifter som åklagare avseende tryck- och yttrandefrihetsbrott.
Behandling av personuppgifter i samband med utlämnande av allmänna handlingar ligger utanför direktivets tillämpningsområde. Av förslaget till reglering av ramlagens tillämpningsområde framgår att den gäller vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder och vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (se avsnitt 6.4).
När det gäller förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen i övrigt kan regeringen konstatera följande. I förarbetena till personuppgiftslagen framhålls att bestämmelser i vanlig lag inte kan ta över bestämmelser i grundlag. Regeringen ansåg att lagtexten i syfte att klargöra och underlätta tillämpningen ändå borde innehålla en uttrycklig erinran om att bestämmelserna i personuppgiftslagen inte ska tillämpas om en sådan tillämpning skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. En sådan erinran ansågs viktig för att inskärpa att tillämpningen vid fall av möjliga konflikter ska präglas av försiktighet och respekt för det grundlagsskyddade området (prop. 1997/98:44 s. 51 f. och s. 119).
I propositionen Ny dataskyddslag (2017/18:105 s. 42) konstateras att det är angeläget att dataskyddsförordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsskyddade området och att en sådan osäkerhet skulle kunna påverka vitala delar av opinionsskapande verksamhet som är av grundläggande betydelse för demokratin och som skyddas genom bl.a. censurförbudet och meddelarfriheten. Regeringen anser vidare i den propositionen att det förhållandet att den unionsrättsliga dataskyddsregleringen är en direkt tillämplig förordning, som dessutom kan leda till kännbara sanktionsavgifter, innebär ett än större behov av ett förtydligande av förhållandet till tryck- och yttrandefrihetsregleringen.
Den föreslagna brottsdatalagen ska gälla vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder och i syfte att upprätthålla allmän ordning och säkerhet. De skäl som anges för en upplysningsbestämmelse i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 49 f.) och dataskyddslagen (prop. 2017/18:105 s. 41 f.) gör sig därför inte gällande på ramlagens tillämpningsområde.
Regeringen delar därför – till skillnad från Justitiekanslern och Domstolsverket – utredningens bedömning att den föreslagna subsidiaritetsbe-
stämmelsen inte behöver kompletteras med en särskild reglering som tydliggör att ramlagen inte ska tillämpas vid en konflikt med regleringen i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Enligt 23 kap. 14 § andra stycket rättegångsbalken får en undersökningsledare hos rätten begära ett förordnande om att en allmän handling som kan antas ha betydelse som bevis ska tillhandahållas. I 38 kap. 8 § rättegångsbalken finns en motsvarande bestämmelse som är generell och som kan åberopas exempelvis av en målsägande. En myndighet, eller någon annan aktör som omfattas av reglerna om allmänna handlingar, kan alltså med stöd av någon av dessa regler åläggas att lämna ut en allmän handling till en förundersökning eller brottmålsrättegång. Det gäller dock inte en handling för vilken sekretess gäller enligt 15 kap. 1 eller 2 § offentlighets- och sekretesslagen (2009:400), som reglerar utrikessekretess respektive försvarssekretess, eller 16 kap. 1 § samma lag som reglerar statsfinanssekretess. Det gäller inte heller en handling vars innehåll är sådant att någon som haft befattning med handlingen inte får höras som vittne om dess innehåll. Likaså undantas handlingar som kan avslöja yrkeshemligheter, om det inte finns synnerlig anledning. Enligt regeringens bedömning kommer tillämpningen av 23 kap. 14 § och 38 kap. 8 §rättegångsbalken inte att påverkas i samband med att de nya EU-rättsakterna ska börja tillämpas.
6.7. Gränsdragningsfrågor som rör tillämpningsområdet
6.7.1. Bedömningen av gränsdragningsfrågor
Regeringens bedömning: Vid bedömningen av om viss personuppgiftsbehandling faller under ramlagens eller dataskyddsförordningens tillämpningsområde har det avgörande betydelse om den som behandlar personuppgiften är en behörig myndighet och i vilket syfte uppgiften behandlas.
Det är en fråga för rättstillämpningen att slutligt avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser påtalar problematiken med dubbla regelverk. Många remissinstanser efterfrågar mer ledning om en viss verksamhet faller inom eller utanför ramlagens tillämpningsområde, däribland Justitiekanslern, Finansinspektionen och Havs- och vattenmyndigheten. Vissa remissinstanser anser att utredningen i sin redovisning har gjort felaktiga eller olämpliga bedömningar av om en viss verksamhet ska falla under ramlagens tillämpningsområde eller inte, däribland Polismyndigheten, Kustbevakningen och Kriminalvården.
Skälen för regeringens bedömning: Som tidigare konstaterats är det, vid bedömningen av om ramlagen är tillämplig på viss behandling av personuppgifter, av avgörande betydelse om den som behandlar personuppgiften är en behörig myndighet och i vilket syfte den behandlas. Flera remissinstanser, däribland Svea hovrätt och Datainspektionen, påtalar särskilt att utredningen på ett förtjänstfullt sätt redogjort för gränsdrag-
ningsfrågor som kan uppkomma beträffande ramlagens tillämpningsområde. Regeringen delar också utredningens syn på hur gränsdragningsproblemen ska behandlas, dvs. med utgångspunkt i frågorna om den som behandlar uppgiften är en behörig myndighet och i vilket syfte en personuppgift behandlas.
Många remissinstanser påtalar svårigheterna med dubbla regelverk i form av ramlagen med tillhörande förordning inom direktivets område och dataskyddsförordningen med den föreslagna kompletterande lagen samt därutöver myndighetsspecifika registerförfattningar. Flera remissinstanser efterfrågar också mer ledning om en viss verksamhet faller inom eller utanför ramlagens tillämpningsområde, däribland Justitiekanslern när myndigheten tar emot och eller överklagar beslut gällande ersättning till målsägandebiträden och offentliga försvarare enligt lagen (2005:73) om rätt för Justitiekanslern att överklaga vissa beslut, Finansinspektionen gällande myndighetens roll i ärenden enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden och underrättelse till Polismyndigheten vid misstanke om penningtvätt eller finansiering av terrorism enligt lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism (sedan den 1 augusti 2017 ersatt av lagen [2017:630] om åtgärder mot penningtvätt och finansiering av terrorism) och Havs- och vattenmyndigheten rörande vissa frågor om fiskelagen (1993:787), däribland beslag. Som utredningen och även flera remissinstanser konstaterar är det emellertid inte möjligt att inom ramen för detta lagstiftningsärende ge klara svar på om vissa enskilda verksamheter eller arbetsuppgifter kommer att omfattas av ramlagens tillämpningsområde eller inte. Det kommer att uppstå många frågor som kommer att få lösas i den praktiska tillämpningen och i slutändan av domstol när det gäller de exakta gränserna. Det kommer även, som Datainspektionen påpekar, vara av stor vikt att de behöriga myndigheterna genom olika insatser, t.ex. interna arbetsdokument och utbildningar, styr handläggarna vid tveksamhet om vilket regelverk som är tillämpligt.
Vissa remissinstanser anser dock att utredningen i sin redovisning gjort felaktiga bedömningar av om en viss verksamhet ska falla under ramlagens tillämpningsområde, exempelvis påpekar både Polismyndigheten och Kustbevakningen att det är olyckligt om olika delar av behöriga myndigheters kontrollverksamheter kommer att falla under olika regelverk och Kriminalvården anser att transport av personer har så stark anknytning till ramlagens tillämpningsområde att den verksamheten bör omfattas oavsett bakomliggande ändamål.
Som nämnts ovan bör gränsdragningsfrågorna behandlas med utgångspunkt i frågorna om den som behandlar uppgiften är en behörig myndighet och i vilket syfte en personuppgift behandlas. Utifrån dessa förutsättningar har utredningen hållit en rak och konsekvent linje i sina bedömningar av de olika verksamheterna och om de faller inom eller utanför ramlagens tillämpningsområde. Mot bakgrund av den gränsdragning som EU valt att göra mellan dataskyddsdirektivets och dataskyddsförordningens tillämpningsområden, där syftet med en behandling av personuppgifter är avgörande, är det ofrånkomligt att båda regelverken kommer att kunna bli tillämpliga i samma arbetsmoment för olika syften.
Sammantaget delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssättet i gränsdragningsfrågor. Ytterligare väg-
ledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet. Regeringen konstaterar att det är en fråga för rättstillämpningen att slutligt avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall. I avsnitt 6.7.2 nedan redogörs för ett antal allmänna principer som presenterats i delbetänkandet Brottsdatalag (SOU 2017:29) i vägledande syfte.
Hänvisningar till S6-7-1
6.7.2. Utgångspunkter
Det är enligt regeringens mening nödvändigt att ge tillämparna information om hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig. Det är också viktigt att ge de behöriga myndigheterna förutsättningar att kunna utveckla en gemensam syn på olika tilllämpningsfrågor. Det gäller särskilt myndigheterna i rättskedjan.
Mot denna bakgrund anser regeringen att det finns anledning att i det följande redogöra för ett antal allmänna principer som presenterats i delbetänkandet Brottsdatalag (SOU 2017:29) i vägledande syfte. Utredningen utvecklar dessa principer ytterligare genom exempel från olika verksamheter inom ramlagens tillämpningsområde (se SOU 2017:29 s. 185–234). Det kan tilläggas att utredningens redovisning inte är någon uttömmande genomgång av vad som kan göra ramlagen tillämplig.
För att ge ytterligare vägledning behandlas ett flertal gränsdragningsfrågor med exempel i författningskommentaren.
Om någon annan än en behörig myndighet behandlar personuppgifter är ramlagen inte tillämplig
Ett grundläggande krav för att ramlagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet i lagens mening och att behandlingen görs för något av de syften som anges där. Som framgår av avsnitt 6.4.4 pekas det inte ut vilka myndigheter som är behöriga. Det är enligt den föreslagna definitionen de myndigheter som fullgör uppgifter inom ramlagens tillämpningsområde och andra aktörer som utövar myndighet i samma syften som är behöriga. Är den som behandlar personuppgifterna inte en behörig myndighet gäller inte ramlagen för personuppgiftsbehandlingen.
Många myndigheter och andra aktörer är skyldiga att anmäla om det uppstått misstanke om brott. En sådan skyldighet medför inte att anmälaren ska betraktas som behörig myndighet i ramlagens mening, om anmälaren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som ramlagen omfattar.
Det förhållandet att en privat aktör har satt upp en övervakningskamera t.ex. i en bank eller butikslokal i syfte att förebygga, avslöja eller utreda brott innebär inte heller att behandlingen av de personuppgifter som erhålls genom övervakningen görs av en behörig myndighet i ramlagens mening. Företaget eller personen i fråga ägnar sig nämligen inte åt myndighetsutövning.
Varken typen av personuppgiftsbehandling eller personuppgiftens karaktär är avgörande för om ramlagen ska tillämpas
Det är, som tidigare nämnts, syftet med behandlingen av personuppgifter i det enskilda fallet som avgör om behandlingen över huvud taget omfattas av ramlagens tillämpningsområde. Genom att syftet avgör när det gäller personuppgiftsbehandling som omfattas av unionsrätten, kan en behörig myndighets behandling av samma personuppgift antingen styras av ramlagens eller dataskyddsförordningens regler. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas.
Myndighetsutövning som har överlåtits till andra än myndigheter
I viss lagstiftning överlåts myndighetsutövning inom ramlagens tillämpningsområde till andra aktörer. Är det fråga om myndighetsutövning för ett sådant syfte som anges i ramlagen ska ramlagen tillämpas på behandlingen av personuppgifter, t.ex. när föremål tas i beslag för att säkra utredningen av ett brott eller framtida förverkande. Den som har rätt att vidta sådana åtgärder anses nämligen vara en behörig myndighet i ramlagens mening. Det gäller t.ex. om en tjänsteman i Havs- och vattenmyndigheten tar egendom i beslag för ett misstänkt fiskebrott eller om en annan aktör handhar verkställighet av en straffrättslig påföljd.
Ramlagen ska tillämpas i viss verksamhet för att stödja en behörig myndighet
Myndigheterna i rättskedjan behöver ibland stöd från myndigheter med annan kompetens. Sådan stödverksamhet kan avse t.ex. forensisk, medicinsk eller psykiatrisk kompetens. Stödet kan också avse särskilda resurser. Den som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör vid utförandet av sådana uppgifter anses som behörig myndighet och tillämpa ramlagen.
Annat stöd som inte är författningsreglerat och som lämnas till en behörig myndighet av en myndighet eller annan aktör som inte själv är behörig myndighet i ramlagens mening ligger däremot utanför ramlagens tillämpningsområde, t.ex. stöd från myndigheter som deltar i olika insatser för att förebygga brott eller att samverka mot brott och oordning. Ett exempel är när en statlig myndighet som t.ex. Pensionsmyndigheten bistår åklagare i förundersökningar om ekonomisk brottslighet.
När de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska ramlagen tillämpas
I brottmål får i viss utsträckning talan föras om annat än ansvar för brott. När de processuella reglerna om talan om ansvar för brott tillämpas på en talan som rör något annat, som t.ex. enskilda anspråk, rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreglerna ansetts väga över andra intressen. Då bör sidofrågan anses vara så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen. Ramlagen bör också tillämpas vid bevistalan mot någon under 15 år.
Om sambandet med ansvarsfrågan upphör, bör ramlagen inte tillämpas på den fortsatta handläggningen. Enskilda anspråk som överklagas enbart av enskild part är exempel på det.
Ramlagen ska inte tillämpas av den som får tillgång till ett visst register eller en viss typ av uppgifter
Den omständigheten att någon som inte har brottsbekämpande, lagförande, straffverkställande eller ordningshållande uppdrag ges tillgång till ett register som förs av en myndighet med ett sådant uppdrag innebär inte att den förra ska betraktas som behörig myndighet. Det gäller även den som på annat sätt får del av uppgifter om lagöverträdelser. Den som får tillgång till domar eller till vissa uppgifter ur t.ex. belastningsregistret eller registret över tillträdesförbud blir alltså inte en behörig myndighet av det skälet. För att ramlagen ska vara tillämplig krävs att uppgifterna i fråga behandlas av en behörig myndighet för något av de syften som ramlagen anger.
Kontrollverksamhet och allmän övervakning
Flera av de myndigheter som har till uppgift att bekämpa brott bedriver också i större eller mindre utsträckning kontrollverksamhet. Det gäller framför allt Polismyndigheten, Tullverket, Kustbevakningen och Skatteverket. Det kan gälla exempelvis gränskontroll, tullkontroll, utlänningskontroll eller skattekontroll. Personuppgiftsbehandling inom ramen för sådan kontrollverksamhet ligger utanför ramlagens tillämpningsområde i den mån den inte utförs i brottsbekämpande syfte. Det gäller även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter.
Förutom författningsreglerad kontrollverksamhet bedriver vissa brottsbekämpande myndigheter också allmän övervakning. Den allmänna övervakningen är oreglerad och har inte så konkret utformning eller tydligt brottsbekämpande syfte att behandlingen av personuppgifter kan hänföras under ramlagen.
Ramlagen ska inte tillämpas när syftet med behandlingen inte längre är brottsbekämpning eller något annat som regleras i lagen
Personuppgifter som från början behandlas för något av de syften som är en förutsättning för att ramlagen ska vara tillämplig kan med tiden visa sig sakna betydelse för dessa syften. Som exempel kan nämnas att Tullverket tar en viss mängd vitt pulver i beslag i tron att det är fråga om narkotika men att det senare visar sig vara något som inte är straffbart att inneha. Utöver den behandling av personuppgifter som är nödvändig för att avsluta ärendet och arkivera det får uppgifterna inte längre behandlas i den brottsbekämpande verksamheten. Ramlagen är då inte längre tilllämplig. Att ett enskilt anspråk som ursprungligen har behandlats tillsammans med frågan om ansvar för brottet avskiljs för handläggning i den för tvistemål föreskrivna ordningen är ett annat exempel på när ramlagen inte längre ska tillämpas.
Hänvisningar till S6-7-2
- Prop. 2017/18:232: Avsnitt 6.7.1
7. Rättslig grund och ändamål för behandling av personuppgifter
7.1. Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser
Regeringens bedömning: Det bör göras tydligare skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten, Malmö kommun och Uppsala universitet ser positivt på att det görs tydligare skillnad mellan bestämmelser om rättslig grund och bestämmelser om ändamål. Övriga remissinstanser yttrar sig inte i denna del.
Skälen för regeringens bedömning
Dagens ändamålsbestämmelser
En grundläggande princip för all personuppgiftsbehandling är att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. De får inte heller behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I registerförfattningar finns det därför normalt bestämmelser om för vilka ändamål personuppgifter får behandlas. Syftet är att ange ramen för vilken behandling som är tillåten. På så sätt kan användning och spridning av personuppgifter begränsas.
I de brottsbekämpande myndigheternas registerförfattningar delas ändamålen upp i primära och sekundära, se bl.a. 2 kap.7 och 8 §§polisdatalagen, 2 kap.5 och 6 §§åklagardatalagen och 2 kap.5 och 6 §§tullbrottsdatalagen. Bestämmelserna har samma utformning och liknande innehåll. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen brottsbekämpande verksamhet. Polismyndigheten får t.ex. enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller till enskilda för att tillgodose deras behov. Tullverket får t.ex. enligt 2 kap. 6 § tullbrottsdatalagen behandla redan insamlade uppgifter när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter. Det kan också vara fråga om att personuppgifter i den brottsbekämpande verksamheten behöver lämnas till verksamhet i samma myndighet som inte är brottsbekämpande för den verksamhetens behov.
Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt både hur personuppgifter får användas i den brottsbekäm-
pande verksamheten och för vilka ändamål uppgifterna får behandlas för att lämnas ut till andra.
Informationshanteringsutredningens slutsatser
Informationshanteringsutredningen (Ju 2011:11) anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling. Det finns enligt den utredningen risk att tillämparen blandar samman ändamål med rättslig grund och godtar ett i författning bestämt allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål och drar den felaktiga slutsatsen att kravet på att det ska finnas särskilda, uttryckligt angivna och berättigade ändamål för behandlingen därmed är uppfyllt. Informationshanteringsutredningen anser att det skulle ge ett bättre integritetsskydd om personuppgiftsansvariga enbart vore hänvisade till att, utifrån de grundläggande kraven i 9 § första stycket c personuppgiftslagen, på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka personuppgifter som är adekvata och inte för många för den aktuella behandlingen. Därför innehåller förslaget till myndighetsdatalag inga ändamålsbestämmelser och förutsätter inte heller att sådana ska finnas. I förslaget anges endast att personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet (SOU 2015:39 s. 277 f.).
Förslaget har fått ett blandat mottagande. Vissa remissinstanser anser att ändamålsbestämmelser har betydelse för att göra det tydligt för enskilda inom vilka ramar myndigheter får samla in och behandla personuppgifter och menar att den föreslagna bestämmelsen är alltför vag. Andra är positiva till förslaget och framhåller att det förenklar bedömningen av vilken personuppgiftsbehandling som är tillåten.
Bestämmelser om rättslig grund
Både dataskyddsdirektivet och dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså endast om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas.
Kravet på att det alltid ska finnas en rättslig grund för behandlingen av personuppgifter är inte nytt. Det framgår av artikel 7 i 1995 års dataskyddsdirektiv och kommer till uttryck i bl.a. 10 § personuppgiftslagen. Det förs dock inga resonemang kring kravet på rättslig grund i förarbetena till de brottsbekämpande myndigheternas registerförfattningar. Regeringen håller därför med utredningen om att det finns skäl att nu lyfta fram den frågan och diskutera hur kravet på rättslig grund förhåller sig till de primära och sekundära ändamålen i registerförfattningarna.
I likhet med utredningen anser regeringen att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det är därför lämpligt att det görs tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser. Hur man bör se på ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar behandlas i avsnitt 7.5.
7.2. Rättslig grund för behandling – huvudregeln
Regeringens förslag: Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att begreppet behövs bör användas i lagtexten i stället för begreppet nödvändigt. Myndigheten uttrycker även oro för att kravet på att uppgiften ska vara reglerad motverkar myndigheternas arbete med att utveckla arbetsmetoder och samverkan med andra aktörer. Datainspektionen väcker frågan om det förhållandet att underrättelseverksamheten i viss utsträckning är oreglerad kan leda till problem när det gäller att fastställa rättslig grund för behandling av personuppgifter i sådan verksamhet. Övriga remissinstanser yttrar sig inte särskilt om förslaget.
Skälen för regeringens förslag
När finns det rättslig grund för behandlingen?
Som anges i avsnitt 7.1 utgår dataskyddsregleringen från att varje behandling av personuppgifter måste ha en rättslig grund för att vara laglig.
Enligt artikel 8.1 i direktivet är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder eller skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten. För att uppfylla direktivets krav måste nationell rätt ange ramarna för när behandling av personuppgifter är tillåten. Den rättsliga grunden bör enligt skäl 33 vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. I ramlagen bör det därför tas in bestämmelser som anger vad som är tilllåtna rättsliga grunder för behandling av personuppgifter.
Tillämpningsområdet och den rättsliga grunden uttrycks på ett korresponderande sätt i direktivet. Samma uttryckssätt som används för att avgränsa ramlagens tillämpningsområde bör därför användas i bestämmelsen om rättslig grund (se avsnitt 6.4.2 och 6.4.3). Det innebär att den uppgift som ska ligga till grund för personuppgiftsbehandlingen ska utföras av en behörig myndighet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Personuppgiftsbehandlingen ska vara nödvändig för uppgiften och ha stöd i unionsrätt eller nationell rätt.
Nödvändighetsrekvisitet
Personuppgiftsbehandlingen ska vara nödvändig för att den behöriga myndigheten ska kunna utföra sina uppgifter. Enligt Svenska Akademiens Ordbok betyder ordet ”nödvändig” att någonting absolut fordras eller inte kan underlåtas. I unionsrätten har kravet på nödvändighet inte samma strikta innebörd. Artikel 7 i 1995 års dataskyddsdirektiv har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att personuppgifter behandlas (Integritet – Offentlighet – Informationsteknik, SOU 1997:39, s. 359). Den slutsatsen får stöd av ett avgörande av EU-domstolen i vilket domstolen uttalar att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser (dom av den 16 december 2008, Huber, C-524/06). Domen bör kunna utgöra stöd även för tolkningen av det nya direktivet. Ordet ”nödvändig” bör därför tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften.
Polismyndigheten förespråkar att begreppet ”behövs” används i lagtexten för att undvika bokstavstolkningar med icke avsedda begränsningar som följd. I bestämmelsen om rättslig grund i artikel 6.1 i dataskyddsförordningen anges att behandling är laglig om den är nödvändig i vissa angivna fall. Regeringen anser därför, i likhet med utredningen, att ordet ”nödvändigt” bör användas även i ramlagen. En enhetlig terminologi bör, som flertalet remissinstanser påpekar, underlätta tillämpningen av dataskyddsregelverket. Personuppgifter ska alltså få behandlas bara om det är nödvändigt för att utföra vissa uppgifter.
I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.
Stöd för behandlingen i unionsrätt eller nationell rätt
Den uppgift som den behöriga myndigheten ska utföra ska ha stöd i unionsrätt eller nationell rätt. Frågan är vad som avses med det. Regeringen håller med utredningen om att det inte kan vara personuppgiftsbehandlingen i sig som avses. Om så skulle vara fallet skulle de behöriga myndigheterna endast kunna behandla personuppgifter för att utföra sina uppgifter i den utsträckning det, utöver den reglering som fastställer uppgiften, också finns uttryckliga bestämmelser om att personuppgifter får behandlas för att utföra den uppgiften. Artikeln bör i stället tolkas så att personuppgiftsbehandlingen alltid ska gå att härleda till den behöriga myndighetens uppgifter så som de kommer till uttryck i unionsrätten eller i nationell lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter. Det bör framgå av ramlagen. I bestämmelsen bör därför anges att uppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att utföra en sådan uppgift. Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller EU-rättsakter här i landet med den verkan som följer av EU-fördragen. Unionsrätten är därmed en del av den svenska rättsordningen. EU-förordningar är att jämställa med svensk lag.
Grunden för att behandla personuppgifter finns alltså i regleringen av den behöriga myndighetens uppgifter. Som exempel kan nämnas att det i 2 § polislagen (1984:387) anges att en av Polismyndighetens huvuduppgifter är att utreda och beivra brott. Den arbetsuppgiften preciseras av bestämmelser i framför allt rättegångsbalken som reglerar hur förundersökning ska bedrivas och i vilka fall en polisman får utfärda föreläggande om ordningsbot. Ytterligare bestämmelser finns i bl.a. lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och olika lagar om användningen av straffprocessuella tvångsmedel. På motsvarande sätt anges det i 3 § förordningen (2007:853) med instruktion för Kustbevakningen att myndigheten bl.a. ska bedriva övervakning för att förebygga och ingripa mot störningar i sjötrafiken, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott och utreda och beivra eller bistå med utredningen av brott. Vilka brott Kustbevakningen har till uppgift att ingripa mot framgår bl.a. av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning och lagen (2000:1225) om straff för smuggling. Hur det ska göras regleras framför allt i rättegångsbalken och nyss nämnda lagar. Regleringar av motsvarande slag finns för övriga behöriga myndigheter.
Grunden för att behandla personuppgifter kan även finnas i regler som primärt gäller för andra myndigheter. Skyldigheten enligt 23 kap. 3 § andra stycket rättegångsbalken att biträda åklagare vid brottsutredning utgör rättslig grund för att polisen ska kunna överlämna personuppgifter till åklagare i det brottsbekämpande arbetet. Motsvarande bestämmelser finns för Tullverket, Skatteverket och Kustbevakningen.
Genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är enligt regeringens mening kravet i direktivet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt.
Polismyndigheten anför att arbetet med att utveckla nya arbetsmetoder och samverkansformer inte bör motverkas genom otillräckliga förutsättningar. För Polismyndighetens del anser regeringen att 2 § polislagen många gånger bör kunna ge rättsligt stöd för personuppgiftsbehandling i sådana situationer. Eftersom stödet för arbetsuppgiften inte behöver finnas i lag utan även kan framgå av förordning eller annat beslut av regeringen bör det, som Uppsala universitet påpekar, finnas tillräckliga verktyg för att i övrigt möjliggöra flexibilitet. Här kan även påpekas att myndigheters verksamhet enligt den svenska legalitetsprincipen måste vara fastställd i enlighet med svensk rätt. Datainspektionen lyfter frågan om rättslig grund för behandling av personuppgifter i underrättelseverksamhet. Även om underrättelseverksamheten i vissa avseenden inte är lika reglerad som t.ex. brottsutredande verksamhet så har de myndigheter som bedriver underrättelseverksamhet ålagts den uppgiften i författning, t.ex. framgår det av 3 § förordningen (2007:853) med instruktion för Kustbevakningen att Kustbevakningen ska förhindra och upptäcka brottslig verksamhet. Författningsstödet för uppgiften tillsammans med ramlagen och registerförfattningarna, ger enligt regeringens mening rättslig grund för personuppgiftsbehandlingen.
Lagrådet har uttalat att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt i registerförfattningar. Det
har därför ansetts att det inte behövs någon särskild bestämmelse som ger stöd för behandling av personuppgifter för bl.a. planering och uppföljning av verksamheten (se t.ex. Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, prop. 2004/05:164, s. 179 och Åklagardatalag, prop. 2014/15:63, s. 63). Någon särskild bestämmelse om att sådan behandling är tillåten behövs därför inte i ramlagen. Enligt utredningen bör motsvarande bedömning göras när det gäller registervård. Personuppgiftsansvariga måste kunna behandla personuppgifter om det behövs för att se till att bestämmelserna om personuppgiftsbehandling efterlevs. Regeringen håller med utredningen om att registervård måste anses vara en integrerad del av den personuppgiftsansvariges skyldigheter enligt ramlagen och registerförfattningarna och att det följaktligen inte behöver regleras särskilt att personuppgiftsbehandling för registervård är tillåten. Datainspektionen delar den bedömningen.
7.3. Rättslig grund i undantagsfall för diarieföring och handläggning
Regeringens förslag: Personuppgifter får alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget. Dataskydd.net anser att den bestämmelse som föreslås bör ändras på sådant sätt att den kräver användning av pseudonymiserade uppgifter i så hög utsträckning som möjligt. Övriga remissinstanser yttrar sig inte särskilt om förslaget.
Skälen för regeringens förslag: De myndigheter som ska tillämpa ramlagen tar dagligen emot stora mängder information av vitt skilda slag, ofta i elektronisk form. De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen ska som huvudregel allmänna handlingar som kommit in till en myndighet registreras, dvs. diarieföras, så snart som möjligt. Syftet är bl.a. att garantera allmänhetens tillgång till allmänna handlingar. En myndighet måste därför alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och liknande. Det gäller även i de fall där den behöriga myndigheten inte behöver behandla personuppgifterna för att utföra sina uppgifter (prop. 2009/10:85 s. 112 f.). Det bör i ramlagen tydliggöras att det är en tillåten rättslig grund för behandling.
I skäl 16 finns det stöd för att ha en sådan bestämmelse om rättslig grund. Där uttalas nämligen att direktivet inte påverkar principen om allmänhetens rätt att få tillgång till allmänna handlingar.
Dataskydd.net förespråkar ett krav på pseudonymisering vid diarieföring och handläggning i syfte att öka dataskyddet. Som utvecklas i avsnitt 8.1.5 följer det av de grundläggande kraven på behandling av personuppgifter att avidentifiering bör användas i så stor utsträckning som
möjligt. Kan en uppgift utföras tillfredsställande även om personuppgifterna utelämnas är de grundläggande kraven på adekvans och personuppgifternas omfattning inte uppfyllda (jfr SOU 2015:39 s. 285). Som sagts ovan förutsätter emellertid myndigheternas skyldighet att bl.a. garantera allmänhetens tillgång till allmänna handlingar att de handlingar som inkommit diarieförs och behandlas i oförändrat skick. Mot denna bakgrund finns det enligt regeringen inte skäl att införa ett krav på pseudonymisering i den bestämmelse som nu föreslås.
7.4. Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål
Regeringens förslag: Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna yttrar sig inte särskilt om förslaget.Justitiekanslern anser att bestämmelsen är mycket allmänt hållen och har svårt att förstå innebörden av den och hur den kommer att förhålla sig till registerförfattningarna. Även Domstolsverket tycker att det bör klargöras vad som avses med ändamål i bestämmelsens mening. Enligt Domstolsverket ställer direktivet krav på att det i författning regleras för vilka specifika ändamål en behörig myndighet får behandla personuppgifter. Uppsala universitet anser att utredningens tolkning av direktivets krav på reglering av ändamål förefaller rimlig, liksom förslaget att ändamålet ska dokumenteras särskilt om det inte framgår av sammanhanget.
Skälen för regeringens förslag
Behandling för särskilda, uttryckligt angivna och berättigade ändamål
Den omständigheten att viss behandling är rättsligt grundad innebär inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Den personuppgiftsansvarige måste också iaktta övriga krav som gäller för behandling av personuppgifter.
I artikel 4.1 b i direktivet anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Liknande reglering finns i artikel 6.1 b i 1995 års dataskyddsdirektiv, som har genomförts genom 9 § första stycket c personuppgiftslagen. En liknande bestämmelse bör tas in i ramlagen.
Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för många uppgifter behandlas (se avsnitt 8.1.2). Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in.
Att ändamålen ska vara berättigade innebär enligt regeringens mening en koppling till den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till den tilllämpliga rättsliga grunden. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken personuppgiftsbehandling som kan aktualiseras på området för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att personuppgiftsbehandlingen är berättigad i de fallen.
Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven (jfr prop. 2009/10:85 s. 98). I ramlagen bör det därför tydliggöras att all behandling ska utföras för särskilda, uttryckligt angivna och berättigade ändamål.
Bestämmelsen tar sikte på ändamålen i det enskilda fallet som t.ex. en förundersökning om ett visst brott eller ett ärende om förordnande av målsägandebiträde i ett visst fall. I avsnitt 9.2.7 föreslås att ändamålen med behandlingen ska förtecknas i det register som myndigheten ska föra och i avsnitt 10.2.6 att den personuppgiftsansvarige ska tillhandahålla allmän information om ändamålen med behandlingen. Det innebär inte att den personuppgiftsansvarige måste förteckna respektive lämna information om alla de enskilda fall där myndigheten behandlar personuppgifter. Det som avses är de typer av ändamål som myndigheten behandlar personuppgifter för. Som exempel kan nämnas att Polismyndigheten behandlar personuppgifter bl.a. för att ta emot anmälningar om brott, genomföra förundersökningar, verkställa uppbörd av bötesstraff och dokumentera ingripanden vid ordningsstörningar och att Kriminalvården behandlar personuppgifter för att verkställa olika straffrättsliga påföljder och hantera vissa andra frihetsberövanden.
I artikel 8.2 anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Uttrycken ”syftet med behandlingen” och ”behandlingens ändamål” används ofta synonymt när man diskuterar personuppgiftsbehandling. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken ”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första uttrycket men bestämd form i det senare kan tolkas som att det första uttrycket avser bestämmelser om rättslig grund (brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet), medan det andra avser ändamålen för behandlingen i det enskilda fallet. Om någon skillnad är avsedd är det enligt regeringens mening den enda rimliga tolkningen.
Regeringen anser därmed, i likhet med Uppsala universitet men till skillnad mot Domstolsverket, att den föreslagna generella bestämmelsen om rättslig grund i ramlagen tillsammans med bestämmelsen om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, uppfyller kraven i direktivet på hur regleringen ska vara
utformad. Innebörden av den nu föreslagna bestämmelsen och hur den förhåller sig till registerförfattningarna, frågor som Justitiekanslern och
Domstolsverket väcker, utvecklas vidare i avsnitt 7.5. Frågan om det bör regleras vilka personuppgifter som får behandlas diskuteras i avsnitt 8.1.5.
Ändamålen ska framgå
En särskild fråga är vad som avses med att ändamålen ska vara uttryckligt angivna. Det finns i dag inget generellt krav på att ändamålsbestämningen ska dokumenteras. Enligt 3 kap. 3 § polisdatalagen och 4 kap. 2 § kustbevakningsdatalagen ska det dock genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifter som har gjorts gemensamt tillgängliga behandlas. Bestämmelserna tillkom i samband med att möjligheten att göra uppgifter gemensamt tillgängliga reglerades. Syftet är att ge den som söker information motsvarande upplysningar som han eller hon skulle ha fått om uppgifterna hade behandlats i traditionella register. Motsvarande gäller för Tullverkets och Skatteverkets brottsbekämpande verksamhet.
Oftast framgår det av sammanhanget för vilket ändamål personuppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställigheten av ett visst straff). Behovet av att upplysa om för vilka ändamål personuppgifter behandlas gör sig framför allt gällande i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behandlas, t.ex. i underrättelseverksamheten. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksamhet det görs. Det underlättar både för den enskilde och för tillsynsmyndigheten om ändamålet är tydligt. Om det ändamål för vilket personuppgifter behandlas inte framgår av sammanhanget eller på annat sätt bör det därför tydliggöras genom en särskild upplysning. En bestämmelse om det bör tas in i ramlagen.
Det krav på att ändamålet för behandlingen ska framgå som gäller för några av de behöriga myndigheterna omfattar bara uppgifter som har gjorts gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga (se t.ex. 3 kap. 1 § polisdatalagen). Om uppgifter behandlas av en liten, klart avgränsad grupp vet de inblandade personerna som regel varifrån uppgifterna kommer och varför de behandlas. Mot den bakgrunden kan det finnas skäl att göra undantag från kravet på särskild upplysning för uppgifter som inte har gjorts gemensamt tillgängliga. Regeringen återkommer till den frågan i samband med att de brottsbekämpande myndigheterna registerförfattningar anpassas till den nya ramlagen.
7.5. Är dagens primära och sekundära ändamålsbestämmelser snarare bestämmelser om rättslig grund?
Regeringens bedömning: Bestämmelserna i de brottsbekämpande myndigheternas registerförfattningar som kallas primära och sekundära ändamålsbestämmelser bör snarare ses som en del av den rättsliga grunden för behandling av personuppgifter.
Utredningens bedömning stämmer överens med regeringens. Remissinstanserna: Ingen remissinstans invänder mot bedömningen.
Skälen för regeringens bedömning
De primära ändamålsbestämmelserna
Som framgår av avsnitt 7.1 anser regeringen att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det kan leda till att tillämparen förväxlar ändamål med rättslig grund och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet. Ett exempel som utredningen tar upp är uppgiftssamlingen benämnd ”Kringresande” som fördes av Polismyndigheten i Skåne. Säkerhets- och integritetsskyddsnämnden kritiserade vid sin granskning bl.a. att ändamålet med personuppgiftsbehandlingen var alldeles för vitt. Personuppgifterna hade samlats in för specifika ändamål men lagrades och behandlades sedan i uppgiftssamlingen för ändamålet länsövergripande brottslighet. Ändamålet låg visserligen inom ramen för sådan underrättelseverksamhet som avses i 2 kap. 7 § 1 polisdatalagen. Det uppfyllde dock enligt Säkerhets- och integritetsnämnden inte det grundläggande kravet på att behandling bara ska utföras för särskilda, uttryckligt angivna och berättigade ändamål (uttalande den 15 november 2013, dnr 173–2013).
Enligt förslaget i avsnitt 7.4 ska all behandling av personuppgifter utföras för särskilda, uttryckligt angivna och berättigade ändamål. Som anges i det avsnittet är det i förhållande till ändamålen som det ska prövas vilka personuppgifter som är adekvata och relevanta för behandlingen och att inte för många personuppgifter behandlas. Prövningen av att personuppgifter inte behandlas under längre tid än nödvändigt ska också ske i förhållande till ändamålen (avsnitt 8.2.2). Ändamålen måste därmed vara tillräckligt specifika för att ge ledning för dessa bedömningar.
Som utredningen påpekar måste författningsbestämmelser som anger för vilket eller vilka ändamål personuppgifter får behandlas i en viss verksamhet vara generellt utformade, eftersom de ska kunna tåla utvecklingen av ny teknik och vissa förändringar i myndighetens sätt att arbeta. En ändamålsbestämmelse bör dock samtidigt ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behandlingen.
Regeringen delar mot denna bakgrund utredningens bedömning att de primära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar snarare bör ses som bestämmelser om rättslig
grund. Bestämmelserna tydliggör att personuppgiftsbehandling är tillåten när arbetsuppgifterna fullgörs. När de brottsbekämpande myndigheternas registerförfattningar anpassas till den nya ramlagen kommer regeringen att ta ställning till om innehållet i de primära ändamålsbestämmelserna bör behållas.
De sekundära ändamålsbestämmelserna
Av avsnitt 7.1 framgår att de sekundära ändamålsbestämmelserna reglerar i vilken utsträckning personuppgifter som behandlas för något primärt ändamål även får behandlas för att lämnas till andra för att tillgodose deras behov. Enligt bestämmelserna får personuppgifter behandlas framför allt för att ge andra myndigheter information som behövs i viss typ av verksamhet där, eller för att lämna information till andra verksamheter inom den egna myndigheten för att de ska kunna utföra en viss arbetsuppgift.
På samma sätt som de primära ändamålsbestämmelserna är de sekundära i stor utsträckning allmänt hållna. I 2 kap. 8 § polisdatalagen anges t.ex. i punkten 1 att personuppgifter får lämnas ut om de behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket. Det motsvarar de primära ändamålsbestämmelserna i de mottagande myndigheternas registerförfattningar. Även de sekundära ändamålsbestämmelserna bör därför enligt regeringens mening snarare ses som bestämmelser om rättslig grund. I samband med att de brottsbekämpande myndigheternas registerförfattningar anpassas till ramlagen, kommer regeringen att även ta ställning till om innehållet i de sekundära ändamålsbestämmelserna bör behållas.
7.6. Behandling för nya ändamål
7.6.1. Nuvarande reglering av behandling för nya ändamål
I 9 § första stycket d personuppgiftslagen finns en generell bestämmelse om vidarebehandling. Där regleras finalitetsprincipen, enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelsen gäller för alla myndigheter i rättskedjan.
De sekundära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar innehåller särskilda regler om vidarebehandling. De reglerar, som framgår av avsnitt 7.5, när det är tillåtet att behandla personuppgifter som behandlas för något av de primära ändamålen för att tillhandahålla information till andra myndigheter eller till andra verksamheter inom den egna myndigheten för deras behov. Det handlar alltså alltid om behandling av redan insamlade uppgifter för nya ändamål. Av t.ex. 2 kap. 6 § skattebrottsdatalagen följer att personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos andra brottsbekämpande
myndigheter. Syftet med de sekundära ändamålsbestämmelserna är att underlätta för tillämparen. Han eller hon behöver endast avgöra om det är nödvändigt att lämna information som behövs i en annan brottsbekämpande myndighets verksamhet men tvingas inte att i de situationer som anges i den sekundära ändamålsbestämmelsen avgöra om utlämnandet är förenligt med det ursprungliga ändamålet med personuppgiftsbehandlingen. De sekundära ändamålen är inte uttömmande. För att personuppgifter som behandlas för ett primärt ändamål ska få vidarebehandlas för något annat ändamål än de sekundära, måste det emellertid göras en bedömning att vidarebehandlingen är förenlig med finalitetsprincipen. De sekundära ändamålen omfattar behandling för ändamål som ligger både inom och utanför den föreslagna ramlagens tillämpningsområde. I avsnitt 7.6.2 behandlas vad som föreslås gälla i fråga om behandling för nya ändamål inom ramlagens tillämpningsområde. Behandling för nya ändamål utanför ramlagens tillämpningsområde behandlas i avsnitt 7.6.3 och 7.6.4.
7.6.2. Nya ändamål inom ramlagens tillämpningsområde
Regeringens förslag: Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att
1. det finns en rättslig grund för den nya behandlingen, och
2. det är nödvändigt och proportionerligt att personuppgifterna be-
handlas för det nya ändamålet.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att den föreslagna prövningen stoppar upp processen med tröghet och ökad administration som följd, särskilt som utredningen anger att bedömningen inte bara ska göras för viss typsituation, utan även i det enskilda fallet. Enligt Polismyndigheten är det tillräckligt från integritetssynpunkt att de övriga kraven på behandling av personuppgifter följs även vid behandling för nya ändamål inom ramlagens tillämpningsområde. Myndigheten undrar vidare vad som avses med begreppet nödvändig i det här förslaget och tycker att det framstår som märkligt att ställa ett krav på proportionalitet just för behandling för nya ändamål, eftersom det kan tolkas som att annan behandling inte behöver vara proportionerlig. Datainspektionen anser att förslaget är en viktig begränsning av behöriga myndigheters möjligheter att behandla personuppgifter för nya ändamål, mot bakgrund av att finalitetsprincipen inte längre kommer att sätta gränsen för när behandling för nya ändamål får ske. Sveriges advokatsamfund anser, med hänvisning till regeringsformen, att förslaget bör kompletteras på så sätt att det i lagtexten även anges att det nya ändamålet ska vara godtagbart i ett demokratiskt samhälle. Övriga remissinstanser yttrar sig inte i denna del.
Skälen för regeringens förslag
Behandling för nya ändamål inom ramlagens tillämpningsområde är förenlig med det ursprungliga ändamålet
Som framgår av avsnitt 6.4.1 gäller dataskyddsförordningen för all personuppgiftsbehandling som omfattas av unionsrätt men som inte ligger inom ramlagens tillämpningsområde. En behörig myndighet måste därför alltid avgöra om ändamålen med behandlingen av personuppgifter omfattas av ramlagens tillämpningsområde, oavsett om det är första gången en uppgift behandlas eller om den ska behandlas för nya ändamål. I detta avsnitt diskuteras behandling för nya ändamål inom ramlagens tillämpningsområde.
I artikel 4.1 b i direktivet regleras finalitetsprincipen, enligt vilken personuppgifter inte får behandlas på ett sätt som står i strid med insamlingsändamålet. Samtidigt framgår det av artikel 4.2 att behandling för andra ändamål inom direktivets tillämpningsområde än det för vilket personuppgifterna samlades in ska tillåtas, om den personuppgiftsansvarige enligt unionsrätten eller nationell rätt är bemyndigad att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller nationell rätt. Regeringen håller med utredningen om att det måste innebära att all behandling för ändamål som ligger inom direktivets tilllämpningsområde ska anses vara förenlig med insamlingsändamålen, under förutsättning att behandlingen är nödvändig och står i proportion till det nya ändamålet. Det saknar alltså betydelse om det är den personuppgiftsansvarige som ursprungligen samlat in personuppgifterna som utför behandlingen för det nya ändamålet eller om det är en annan personuppgiftsansvarig, så länge de båda är behöriga myndigheter och behandlingen ligger inom direktivets tillämpningsområde. Även behandling för att lämna ut personuppgifter till någon som inte är en behörig myndighet kan omfattas av direktivet, om ändamålet för den behandlingen ligger inom direktivets tillämpningsområde. Så kan vara fallet exempelvis om Polismyndigheten vid utredningen av ett bidragsbrott behöver skicka personuppgifter till Centrala studiestödsnämnden för att få information för utredningen av brottet. Om utlämnandet däremot enbart görs för att Centrala studiestödsnämnden ska kunna återkräva felaktigt utbetalda lån eller bidrag ligger ändamålet utanför ramlagens tillämpningsområde.
Mot denna bakgrund anser regeringen av samma skäl som utredningen redovisar, att det inte bör finnas någon bestämmelse om finalitetsprincipen i ramlagen.
Det ska vara nödvändigt och proportionerligt att personuppgifter behandlas för nya ändamål
Som framgår av avsnitt 7.2 och 7.4 ska det alltid finnas en rättslig grund och särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som utförs. Ändamålen har framför allt betydelse för att kunna kontrollera att de personuppgifter som behandlas är relevanta och adekvata för behandlingen och att inte för många personuppgifter behandlas (se avsnitt 8.1.2). Det är dock inte tillräckligt att kontrollera om personuppgifterna är adekvata och relevanta enbart när behand-
lingen påbörjas, utan det måste göras kontinuerligt. Finns det inte längre behov av att behandla personuppgifterna ska behandlingen av dem upphöra (se avsnitt 8.2.2).
Om personuppgifter behandlas för nya ändamål kan det leda till ökad spridning av uppgifterna genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ökat intrång i enskildas personliga integritet. Regeringen håller därför med
Datainspektionen om att det är viktigt att en noggrann prövning görs innan personuppgifter behandlas för ett nytt ändamål. Mot detta behöver emellertid även ställas vikten av att myndigheterna ges möjlighet att använda insamlad information på ett effektivt sätt, i linje med vad Polismyndigheten anför. Att myndigheter kan använda information på ett effektivt sätt och även samverka och utbyta information med varandra är viktiga målsättningar i kampen mot bl.a. grov organiserad brottslighet och terrorism.
Enligt artikel 4.2 får personuppgifter behandlas för ett nytt ändamål om behandlingen är nödvändig och står i proportion till det nya ändamålet. Det innebär att det behöver prövas om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan behandlingen påbörjas. Regeringen håller med utredningen om att det är fråga om en annan prövning än den som ska göras fortlöpande vid all personuppgiftsbehandling. Prövningen tar sikte på om det är nödvändigt och proportionerligt att de redan insamlade uppgifterna behandlas för ett nytt ändamål. För att tydliggöra att en särskild prövning krävs när personuppgifter ska behandlas för nya ändamål bör det, i motsats till vad
Polismyndigheten tycker, tas in en bestämmelse i ramlagen som anger under vilka förutsättningar behandling för nya ändamål inom lagens tillämpningsområde är tillåten. Nedan beskrivs närmare vilken prövning som regeringen menar bör göras.
Det ska finnas en rättslig grund för den nya behandlingen
Artikel 4.2 är inte utformad på samma sätt som artikel 8.1, där den tilllåtna rättsliga grunden för behandling regleras. Artiklarna innehåller dock enligt regeringens mening i grunden samma krav. Eftersom det alltid måste finnas en tillåten rättslig grund för behandling av personuppgifter gäller det naturligtvis även vid behandling för nya ändamål. En första förutsättning för att behandling för ett nytt ändamål ska vara tillåten bör därför vara att det finns en rättslig grund för den nya behandlingen. Det krävs alltså att den nya behandlingen är nödvändig för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Ett vanligt exempel är att det vid utredningen av ett brott upptäcks att brottet i fråga har betydelse för underrättelseverksamhet om annan brottslighet, t.ex. att vapen påträffas som skulle kunna ha samband med andra händelser. Ett annat exempel är att ett rutinmässigt dna-prov leder till att det blir träff på ett annat brott med tidigare okänd gärningsman.
Kravet på nödvändighet
För att behandling för ett nytt ändamål ska vara tillåten ska det också vara nödvändigt att personuppgifterna behandlas för det nya ändamålet. I bedömningen av om det finns en tillåten rättslig grund för behandling ingår överväganden om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra vissa angivna uppgifter (se avsnitt 7.2). Det är inte klart om kravet på nödvändighet i artikel 4.2 avser något annat än det krav som ingår i bedömningen av om det finns rättslig grund för behandlingen. För en åklagare kan det t.ex. vara nödvändigt att behandla personuppgifter både i en förundersökning om ett visst brott och för att ta ställning till om ett nyupptäckt brott behöver utredas. Enligt regeringens bedömning bör utgångspunkten vara att om det finns en rättslig grund för att behandla personuppgifter för att t.ex. avgöra frågan om förundersökning ska påbörjas om det nyupptäckta brottet, så är personuppgiftsbehandlingen också nödvändig för det nya ändamålet. Med den utgångspunkten är det bara i rena undantagsfall som kravet på nödvändighet enligt artikel 4.2, utöver kravet på rättslig grund, begränsar möjligheten att behandla personuppgifter för nya ändamål.
Eftersom direktivet ställer upp ett krav på nödvändighet både när det gäller rättslig grund och när det gäller behandling för nya ändamål anser regeringen dock, i likhet med utredningen, att bestämmelsen om behandling för nya ändamål bör innehålla ett krav på nödvändighet.
Polismyndigheten väcker frågan om begreppet nödvändig har en annan innebörd i den nu föreslagna bestämmelsen än i den föreslagna bestämmelsen om rättslig grund. Enligt regeringen bör, av samma skäl som anges i avsnitt 7.2, begreppet även i den nu aktuella bestämmelsen tolkas som att det är fråga om något som behövs, snarare än något som absolut fordras eller inte kan underlåtas. Om en viss behandling för ett nytt ändamål kan anses tillåten enligt bestämmelsen blir ytterst en fråga som får avgöras i rättstillämpningen.
Kravet på proportionalitet
Direktivet ställer även krav på att behandling för ett nytt ändamål ska stå i proportion till det nya ändamålet. Att det tydligt uttrycks att det ska göras en proportionalitetsbedömning är en nyhet i förhållande till 1995 års dataskyddsdirektiv. Att åtgärder som myndigheter vidtar ska vara proportionerliga är emellertid en viktig grundprincip såväl inom EUrätten som i nationell rätt och gäller, som Polismyndigheten påpekar, för all personuppgiftsbehandling.
Utredningen menar att kravet på proportionalitet innebär att skälen för att personuppgifterna behandlas för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för den enskilde. Regeringen instämmer i den bedömningen. Vad som står att vinna med behandlingen ska alltså vägas mot intrånget i enskildas integritet. Om det har inträffat ett allvarligt brott behöver Polismyndigheten t.ex. göra sökningar i olika register där det förekommer uppgifter om personer som kan ha begått likartade brott tidigare. En sådan sökning innebär naturligtvis att en bredare krets av registrerade kan drabbas av intrång än om man redan har en utpekad misstänkt. Proportionalitetsbedömningen ska inte göras i förhål-
lande till varje enskild uppgift i registren, utan behovet av sökningen ska vägas mot det samlade intrånget av att sökningen görs.
För proportionalitetsbedömningen har det också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de används. Att behandla en adressuppgift för nya ändamål är t.ex. generellt sett mer harmlöst än att behandla en uppgift som rör hälsa eller sexualliv.
En fråga är om det är proportionerligt att använda information från exempelvis förundersökningar för underrättelseverksamhet eller brottsförebyggande arbete, eftersom sådan verksamhet till sin natur inte är lika konkret. Det kan då vara svårare att avgöra vad som står att vinna med behandlingen. Samtidigt är det många gånger av avgörande betydelse för möjligheten att avslöja och utreda pågående eller framtida brottslighet att uppgifter om vissa personers brottsliga aktivitet eller kontakter får föras över från t.ex. den brottsutredande verksamheten till underrättelseverksamheten.
Tillämparen måste ställa sig frågan om intresset av att behandla personuppgifterna för det nya ändamålet väger tyngre än intresset av att något integritetsintrång inte sker. Om t.ex. en person redan är misstänkt för brott och misstanke uppkommer om att han eller hon begått ytterligare brott som kan ha betydelse för påföljden, utgår lagstiftningen från att brotten ska utredas tillsammans och att en gemensam påföljd för brotten ska kunna dömas ut. Den misstänktes intresse av att uppgifterna inte behandlas vid utredningen om det senare brottet väger då normalt inte lika tungt som intresset av att brotten utreds och behandlas i domstol samtidigt.
Syftet med ett krav på proportionalitet är alltså att det ska göras en bedömning av behovet av att behandla personuppgifter för nya ändamål ställt i relation till intrånget. Som Polismyndigheten påpekar synes utredningen mena att bedömningen ska göras i varje enskilt fall. Enligt regeringen utesluter dock inte kravet på proportionalitet att vissa typer av nya ändamål generellt sett anses vara av så stort värde att de alltid väger upp integritetsintrånget. Regeringen anser alltså att det kan bli aktuellt med proportionalitetsbedömningar som avser typsituationer. Polismyndigheten anmärker även att ett krav på proportionalitet vid behandling för nya ändamål kan tolkas som att annan behandling inte behöver vara proportionerlig. Här finns därför skäl att klargöra att det nu aktuella proportionalitetskravet inte ska uppfattas på det sättet. Den proportionalitetsprövning det nu är fråga om tar sikte på om det är proportionerligt att redan insamlade uppgifter behandlas för nya ändamål. De krav som i övrigt gäller för behandling av personuppgifter framgår av andra bestämmelser.
Sammanfattningsvis bör ramlagen alltså innehålla en bestämmelse om att personuppgifter får behandlas för ett nytt ändamål inom lagens tilllämpningsområde under förutsättning att det finns en rättslig grund för den nya behandlingen och det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Sveriges advokatsamfund anser att lagtexten även bör uppställa ett krav på att det nya ändamålet ska vara godtagbart i ett demokratiskt samhälle. Enligt regeringen är det dock tillräckligt att kraven på rättslig grund samt nödvändighet och proportionalitet är uppfyllda, eftersom behandlingen för det nya ändamålet därmed får anses vara godtagbar i ett demokratiskt samhälle.
Den nya prövningen ställd i relation till dagens ändamålsbestämmelser
En behörig myndighet kan ha behov av att behandla personuppgifter för nya ändamål både för att använda uppgifterna i den egna verksamheten och för att lämna ut dem till någon annan. Som framgår av avsnitt 7.1 skiljer de ändamålsbestämmelser som i dag finns i de brottsbekämpande myndigheternas registerförfattningar mellan behandling för den egna brottsbekämpande verksamhetens behov och behandling för att tillhandahålla information för andras behov. När personuppgifter som samlats in av en myndighet för att utreda ett visst brott senare används av samma myndighet för att utreda ett annat brott anses behandlingen i den senare utredningen omfattas av de primära ändamålen. När personuppgifter lämnas ut som ett led i myndighetens egen brottsbekämpande verksamhet, inte i syfte att tillgodose någon annans behov, anses utlämnandet också omfattas av de primära ändamålen. När personuppgifter däremot lämnas ut för att de behövs i brottsbekämpande verksamhet hos en annan myndighet anses utlämnandet falla under de sekundära ändamålen. Med den bestämmelse som nu föreslås kommer det att sakna betydelse om behandlingen för det nya ändamålet utförs för behov i myndighetens egen brottsbekämpande verksamhet eller för att tillgodose en annan myndighets behov av information, så länge ändamålet med behandlingen ligger inom ramlagens tillämpningsområde. Det centrala blir i stället den prövning om dels rättslig grund, dels nödvändighet och proportionalitet som alltid ska göras innan personuppgifter får behandlas för ett nytt ändamål.
Som anges i avsnitt 7.5 bör bestämmelserna i de brottsbekämpande myndigheternas registerförfattningar om primära och sekundära ändamål inte ses som ändamålsbestämmelser, utan snarare bestämmelser om rättslig grund för behandling av personuppgifter. I avsnittet anges även att regeringen kommer att ta ställning till frågan om bestämmelserna bör behållas i samband med att registerförfattningarna anpassas till ramlagen. Oavsett om bestämmelserna kommer att behållas eller inte gör regeringen bedömningen att den nya regleringen inte kommer att påverka möjligheten för myndigheterna att lämna ut uppgifter i de fall som räknas upp i de sekundära ändamålsbestämmelserna. Syftet med de bestämmelserna är att underlätta för tillämparen genom att han eller hon endast behöver avgöra om det är nödvändigt att lämna information som behövs i en annan brottsbekämpande myndighets verksamhet, utan att behöva ta ställning till om utlämnandet är förenligt med finalitetsprincipen. Lagstiftaren har bedömt att det är förenligt med det ursprungliga ändamålet med behandlingen att vidarebehandla personuppgifterna i de angivna situationerna. Enligt regeringen måste det som regel anses både nödvändigt och proportionerligt att behandla personuppgifter för att tillhandahålla information i de situationer som i dag räknas upp i de sekundära ändamålsbestämmelserna. Att någon prövning i vissa fall inte behövs behandlas i avsnitt 7.6.5.
7.6.3. Nya ändamål utanför ramlagens tillämpningsområde – dataskyddsförordningen är tillämplig
Regeringens bedömning: Det behövs inte någon upplysningsbestämmelse i ramlagen om att dataskyddsförordningen gäller vid behandling för ändamål som ligger utanför ramlagens tillämpningsområde.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att ramlagen ska innehålla en upplysningsbestämmelse om att dataskyddsförordningen gäller vid behandling för ändamål som ligger utanför ramlagens tillämpningsområde.
Remissinstanserna: Den enda remissinstans som framför synpunkter i denna del är Kriminalvården som anser att det är otydligt om, hur och i vilken utsträckning uppgifter som behandlas med stöd av ramlagen kommer att kunna behandlas för ändamål som faller utanför lagen. Enligt
Kriminalvården är det även oklart om ett utlämnande med anledning av en uppgiftsskyldighet för ett ändamål som inte ryms inom ramlagen, ska anses falla in under ramlagen eller dataskyddsförordningen.
Skälen för regeringens bedömning
Från ramlagen till dataskyddsförordningen
Som anges i avsnitt 7.6.1 finns den nuvarande regleringen av vidarebehandling av personuppgifter dels i 9 § första stycket d personuppgiftslagen där finalitetsprincipen slås fast, dels i de sekundära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar. De sekundära ändamålsbestämmelserna reglerar behandling för ändamål som ligger både inom och utanför den föreslagna ramlagens tillämpningsområde. I detta avsnitt diskuteras behandling för nya ändamål utanför ramlagens tillämpningsområde.
Behöriga myndigheter kan ha behov av att behandla personuppgifter som behandlas med stöd av ramlagen för ändamål som ligger utanför ramlagens tillämpningsområde, framför allt för att lämna ut dem till myndigheter och andra aktörer som inte är behöriga myndigheter för deras behov. Ett exempel på det kan vara att Kustbevakningen lämnar personuppgifter till Sjöfartsverket, Transportstyrelsen eller en miljömyndighet efter en fartygskollision. Ett annat exempel är att Polismyndigheten lämnar personuppgifter till Försäkringskassan inom ramen för myndighetsöverskridande samverkan, om syftet med utlämnandet är att kontrollera riktigheten av bidrag eller andra utbetalningar. Personuppgifter som en behörig myndighet behandlar enligt ramlagen kan också behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan exempelvis behöva lämnas till den inom myndigheten som beslutar i fråga om pass eller vapenlicens.
I artikel 9 regleras vad som gäller när personuppgifter som behandlas med stöd av direktivet ska behandlas för ändamål utanför direktivets tilllämpningsområde. Där anges att personuppgifter som har samlats in för ändamål inom direktivets tillämpningsområde inte får behandlas för
andra ändamål, såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas, utom när behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 34 framhålls att dataskyddsförordningen är tillämplig på överföring av personuppgifter för ändamål som inte omfattas av direktivet. Dataskyddsförordningen är därmed tillämplig redan på de behöriga myndigheternas behandling för att tillhandahålla personuppgifter till andra myndigheter, om ändamålet med behandlingen ligger utanför ramlagens tillämpningsområde.
Vad innebär det att dataskyddsförordningen är tillämplig?
För behandling av personuppgifter i verksamhet som omfattas av unionsrätten kommer antingen direktivets eller dataskyddsförordningens reglering att gälla. Direktivet och förordningen kan vara tillämpliga parallellt om samma personuppgift behandlas för olika syften, men de kan aldrig tillämpas samtidigt på personuppgiftsbehandling som bara har ett syfte (se avsnitt 6.4.4).
Regleringen i artikel 9 i direktivet innebär att direktivets, och därmed ramlagens, bestämmelser över huvud taget inte ska tillämpas vid behandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska som regel enbart göras med utgångspunkt i bestämmelserna i dataskyddsförordningen. Enligt förslaget till en ny dataskyddslag ska bestämmelserna i dataskyddsförordningen, med vissa undantag, gälla även i verksamhet utanför unionsrättens tillämpningsområde (prop. 2017/18:105 s. 28 f.). Eftersom behandlingen för ett nytt ändamål som inte omfattas av direktivet i de flesta fall blir en ny behandling enligt förordningen är det inte fråga om någon vidarebehandling, vilket gör att finalitetsprincipen inte ska tillämpas på den behandlingen. Det innebär att finalitetsprincipen aldrig blir tillämplig när personuppgifter som behandlas med stöd av ramlagen ska behandlas för nya ändamål (se även avsnitt 7.6.2).
Utredningen anser att ramlagen bör innehålla en bestämmelse som upplyser om att det är dataskyddsförordningen som ska tillämpas när personuppgifter behandlas för ändamål som inte omfattas av ramlagens tillämpningsområde. Regeringen gör dock bedömningen att någon sådan upplysningsbestämmelse inte behövs. Vilken personuppgiftsbehandling som omfattas av ramlagen kommer att framgå av bestämmelsen om lagens tillämpningsområde (se avsnitt 6.4.1). Personuppgiftsbehandling för ändamål som faller utanför ramlagen kommer att regleras av dataskyddsförordningen eller i undantagsfall av viss sektorspecifik reglering.
När personuppgifter lämnas ut med anledning av en uppgiftsskyldighet för ändamål som faller utanför ramlagen, ett exempel som Kriminalvården tar upp, ska alltså i de flesta fall dataskyddsförordningen tillämpas. Av avsnitt 7.6.4 framgår att det utöver reglerna i förordningen bör finnas en bestämmelse i ramlagen enligt vilken en särskild prövning krävs innan personuppgifter som behandlas med stöd av ramlagen behandlas för nya ändamål som inte omfattas av lagen.
Regleringen i dataskyddsförordningen
Dataskyddsförordningen utgår, på samma sätt som direktivet, från att varje behandling av personuppgifter måste vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i förordningen. Om ingen av dem är tillämplig är behandlingen inte laglig och får därmed inte utföras. Regeringen håller med utredningen om att det är punkterna c, d och e som i de flesta fall aktualiseras när behöriga myndigheter lämnar ut personuppgifter för ändamål utanför ramlagens tillämpningsområde. De rättsliga grunderna enligt de punkterna är:
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Förutom att behandlingen för att lämna ut uppgifter ska vara rättsligt grundad enligt artikel 6 behöver den även i övrigt ske i enlighet med bestämmelserna i förordningen. Förordningens regler om bl.a. principer för behandling av personuppgifter, registrerades rättigheter och personuppgiftsansvarigas skyldigheter måste alltså också iakttas.
7.6.4. Nya ändamål utanför ramlagens tillämpningsområde – en prövning ska göras innan personuppgifter behandlas för nya ändamål
Regeringens förslag: Innan personuppgifter som behandlas med stöd av ramlagen behandlas för ändamål utanför lagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget. Enligt
Datainspektionen krävs det särskilda överväganden för att placera en bestämmelse om personuppgiftsbehandling på dataskyddsförordningens område i ramlagen. Domstolsverket ifrågasätter om det är möjligt att införa en bestämmelse i ramlagen som reglerar personuppgiftsbehandling utanför lagens tillämpningsområde. Polismyndigheten anser att det kommer att bli mer svårbedömt i vilka situationer uppgifter kan lämnas för nya ändamål och efterfrågar därför klargöranden i det avseendet. Övriga remissinstanser har inget att invända mot förslaget.
Skälen för regeringens förslag
Finns det utrymme och behov av att inom dataskyddsförordningens tillämpningsområde ha specifik reglering i svensk rätt om behandling av personuppgifter för att tillhandahålla information?
Regeringen instämmer i utredningens bedömning att det inte råder någon tvekan om att det enligt dataskyddsförordningen är tillåtet att i nationell rätt reglera utlämnandefrågor och andra former av behandling för nya ändamål på det område som det nu är fråga om. Det handlar om behöriga myndigheters behandling av personuppgifter för nya ändamål utanför ramlagens tillämpningsområde för att främst fullgöra rättsliga förpliktelser eller utföra uppgifter av allmänt intresse. Frågan är då om det finns behov av att i svensk rätt specificera villkoren för sådan personuppgiftsbehandling. I avsnitt 7.6.2 föreslår regeringen att det ska göras en särskild prövning innan personuppgifter som behandlas enligt ramlagen ska behandlas för nya ändamål inom lagens tillämpningsområde. Genom prövningen ska det säkerställas dels att det finns en tillåten rättslig grund för den nya behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Om motsvarande prövning inte skulle krävas vid behandling för nya ändamål utanför ramlagens tillämpningsområde, skulle det enligt utredningens mening uppstå en omotiverad skillnad mellan de två situationerna. Regeringen håller med utredningen om det. Det vore inte rimligt att kräva en noggrannare prövning för behandling för nya ändamål inom ramlagens tillämpningsområde än utanför det.
Det kan tilläggas att personuppgifter som behandlas med stöd av dataskyddsförordningen i regel endast får behandlas för nya ändamål om behandlingen är förenlig med finalitetsprincipen. Det måste således göras en prövning av om det nya ändamålet är förenligt med det ändamål som uppgifterna samlades in för, när personuppgifter vidarebehandlas enligt förordningen. Som anges i avsnitt 7.6.3 blir finalitetsprincipen inte tilllämplig när personuppgifter som behandlas med stöd av ramlagen ska behandlas för nya ändamål inom dataskyddsförordningens tillämpningsområde, eftersom det då blir fråga om en ny behandling enligt förordningen.
Även om det är olika prövningar som ska göras krävs det alltså en prövning innan personuppgifter behandlas för nya ändamål både inom ramlagens och inom dataskyddsförordningens tillämpningsområde. Mot den bakgrunden anser regeringen, i likhet med utredningen, att det är rimligt att kräva en prövning även när personuppgifter som behandlas med stöd av ramlagen ska behandlas för ändamål utanför lagens tillämpningsområde. En bestämmelse om det bör föras in i ramlagen. Med anledning av Datainspektionens och Domstolsverkets tveksamhet till att placera en sådan bestämmelse i ramlagen kan påpekas att prövningen ska göras innan behandlingen av personuppgifterna för det nya ändamålet påbörjas. Vidare är syftet med bestämmelsen att personuppgifter som behandlas med stöd av ramlagen inte används på ett integritetskränkande sätt. Mot den bakgrunden och då det inte finns någon annan naturlig placering av bestämmelsen anser regeringen att den bör införas i ramlagen.
Utformningen av regleringen
Som framgår av avsnitt 7.6.1 innehåller de sekundära ändamålsbestämmelserna som i dag finns i de brottsbekämpande myndigheternas registerförfattningar särskilda regler om vad som gäller när redan insamlade uppgifter ska behandlas för nya ändamål. Dagens reglering innebär att det ska prövas om det är nödvändigt att tillhandahålla personuppgifterna i de situationer som räknas upp i de sekundära ändamålsbestämmelserna. För att Polismyndigheten och Tullverket ska få lämna information till andra verksamheter inom respektive myndighet krävs det också särskilda skäl (se 2 kap. 8 § första stycket 4 polisdatalagen och 2 kap. 6 § första stycket 4 tullbrottsdatalagen). I förarbetena framhålls att kravet på särskilda skäl innebär att information inte får tillhandahållas rutinmässigt utan att det i det enskilda fallet måste finnas särskilda skäl som talar för att informationen bör tillhandahållas den andra verksamheten (prop. 2009/10:85 s. 322 och prop. 2016/17:91 s. 102).
Som nyss nämnts föreslår regeringen i avsnitt 7.6.2 att det ska prövas om det är nödvändigt och proportionerligt att personuppgifter behandlas för ett nytt ändamål inom ramlagens tillämpningsområde. Syftet med kravet på proportionalitet är att det ska göras en bedömning av behovet av att behandla personuppgifter för nya ändamål ställt i relation till intrånget i den personliga integriteten.
Oavsett om man ställer krav på särskilda skäl eller nödvändighet och proportionalitet är det centrala att det görs en prövning av skälen för att behandla personuppgifter för ett nytt ändamål innan uppgifterna behandlas för det ändamålet. Det skulle skapa en enhetlig tillämpning och underlätta för myndigheterna om den prövning som ska göras innan personuppgifter behandlas för nya ändamål är densamma oavsett om det nya ändamålet ligger inom eller utanför ramlagens tillämpningsområde.
Regeringen håller därför med utredningen om att den prövning som bör krävas innan personuppgifter behandlas för nya ändamål utanför ramlagens tillämpningsområde bör avse om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. En sådan prövning utgör en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet. Eftersom prövningen är ett krav som ställs när personuppgifter som behandlas med stöd av ramlagen ska behandlas för ändamål utanför den lagen, kommer kravet inte i konflikt med regleringen i dataskyddsförordningen.
Innan personuppgifter behandlas för ett nytt ändamål inom ramlagens tillämpningsområde ska det enligt förslaget i avsnitt 7.6.2 även säkerställas att det finns en tillåten rättslig grund för den nya behandlingen. Att det ska finnas en rättslig grund för behandlingen när personuppgifter behandlas för ändamål utanför ramlagens tillämpningsområde kommer i de allra flesta fall att regleras i artikel 6 i dataskyddsförordningen och bör inte upprepas i den nationella regleringen. Det bör därför framgå att det innan behandling påbörjas för ett nytt ändamål utanför ramlagens tilllämpningsområde – utöver de krav som gäller enligt förordningen – ska säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet.
Lagrådet anser att det är oklart hur den nu aktuella prövningen förhåller sig rättsligt och praktiskt till den nya prövning som ska göras enligt dataskyddsförordningen och påpekar att den föreslagna regleringen saknar stöd i direktivet och dataskyddsförordningen. Lagrådet kan därför inte tillstyrka den föreslagna paragrafen utan anser att den ska utgå. Som det har konstaterats ovan innebär prövningen att innan behandling påbörjas för ett nytt ändamål utanför ramlagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Regeringen bedömer därför att prövningen inte kommer i konflikt med regleringen i dataskyddsförordningen. Enligt regeringen hindrar inte heller regleringen i direktivet att en sådan prövning införs. Direktivet medger tvärtom att medlemsstaterna har starkare skyddsåtgärder än vad som krävs enligt direktivet (se bl.a. avsnitt 8.1.4).
Som anförts ovan föreslår regeringen i avsnitt 7.6.2 att det ska göras en särskild prövning innan personuppgifter som behandlas enligt ramlagen ska behandlas för nya ändamål inom ramlagens tillämpningsområde. Genom prövningen ska det bl.a. säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Enligt dataskyddsförordningen ska i motsvarande situation en prövning enligt finalitetsprincipen göras. Som anges i avsnitt 7.6.3 blir finalitetsprincipen dock inte tillämplig när personuppgifter som behandlas med stöd av ramlagen ska behandlas för nya ändamål inom dataskyddsförordningens tillämpningsområde, eftersom det då blir fråga om en ny behandling enligt förordningen. Om en prövning av nödvändighet och proportionalitet inte skulle krävas vid behandling för nya ändamål utanför ramlagens tillämpningsområde, skulle det uppstå en omotiverad skillnad mellan de två situationerna och en lucka i dataskyddsregelverket i den här delen. Regeringen föreslår mot denna bakgrund inte någon ändring i förhållande till lagrådsremissens lagförslag i det här avseendet. Hur prövningen ska göras i praktiken bör överlämnas till rättstillämpningen.
Polismyndigheten efterfrågar klargöranden i fråga om i vilka situationer uppgifter kan lämnas för nya ändamål. I avsnitt 7.6.2 utvecklas vad kraven på nödvändighet och proportionalitet innebär. Som exempel på när det skulle kunna vara nödvändigt och proportionerligt att behandla uppgifter för nya ändamål utanför ramlagens tillämpningsområde kan följande nämnas. Det kan finnas information i Polismyndighetens brottsbekämpande verksamhet om att en person har sådana kontakter i kriminella kretsar att han eller hon vid en helhetsbedömning t.ex. ter sig olämplig för att få en viss befattning eller tillstånd att bedriva viss verksamhet. Det kan då anses vara nödvändigt och proportionerligt att informationen tillhandahålls för att användas vid prövningen av anställnings- eller tillståndsärendet. Det kan på motsvarande sätt vara nödvändigt och proportionerligt att lämna information om det i Tullverkets brottsbekämpande verksamhet kommer fram uppgifter om hur personer kringgår regelverket som har betydelse för hur verksamheten Effektiv handel bör inrikta sina kontroller. Vidare får det anses både nödvändigt och proportionerligt att personuppgifter som behandlas i brottsbekämpande verksamhet behandlas för arkivering.
Av avsnitt 7.5 framgår att dagens bestämmelser i de brottsbekämpande myndigheternas registerförfattningar om primära och sekundära ändamål
inte bör ses som ändamålsbestämmelser, utan snarare bestämmelser om rättslig grund för behandling av personuppgifter. Av avsnittet framgår även att regeringen avser att ta ställning till frågan om bestämmelserna bör behållas i samband med att registerförfattningarna anpassas till ramlagen. Oavsett om bestämmelserna kommer att behållas eller inte gör regeringen samma bedömning i fråga om utlämnanden för ändamål utanför ramlagens tillämpningsområde som i fråga om utlämnanden för ändamål inom ramlagens tillämpningsområde, nämligen att den nya regleringen inte kommer att påverka möjligheterna för myndigheterna att lämna ut uppgifter i de fall som räknas upp i de sekundära ändamålsbestämmelserna. Som anges i avsnitt 7.6.2 måste det enligt regeringen som regel anses både nödvändigt och proportionerligt att behandla personuppgifter för att tillhandahålla information i de situationer som i dag räknas upp i de sekundära ändamålsbestämmelserna.
7.6.5. Uppgiftsskyldighet ersätter prövningen
Regeringens förslag: I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning av om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet inte göras.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att en prövning av om behandlingen är nödvändig och proportionerlig för det nya ändamålet ska göras innan uppgifter lämnas med stöd av 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt om förslaget.
Skälen för regeringens förslag
Författningsreglerad uppgiftsskyldighet
Enligt de sekundära ändamålsbestämmelserna är det i dag tillåtet att lämna uppgifter i den utsträckning det finns skyldighet att göra det enligt lag eller förordning. Sådana skyldigheter kan avse ändamål både inom och utanför ramlagens tillämpningsområde.
Både i förundersöknings- och brottmålsförfarandet finns det omfattande skyldigheter att informera myndigheter och andra. I förundersökningskungörelsen (1947:948) finns ingående bestämmelser om uppgiftsskyldighet. Sådana skyldigheter föreskrivs också i bl.a. förordningen (1996:271) om mål och ärenden i allmän domstol, förordningen (1990:893) om underrättelse om dom i vissa brottmål, m.m. och 12 § strafföreläggandekungörelsen (1970:60), där det regleras till vilka fysiska eller juridiska personer domar, beslut och underrättelser i brottmål ska expedieras. Liknande skyldigheter finns även på andra områden. Enligt
36 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården har Polismyndigheten en vidsträckt skyldighet att lämna underrättelser till Kriminalvården.
Även i andra fall är behöriga myndigheter skyldiga att lämna viss information. Ett exempel är 14 kap. 1 § 2 socialtjänstlagen (2001:453)
enligt vilken rättspsykiatrisk undersökningsverksamhet, Kriminalvården, Polismyndigheten och Säkerhetspolisen är skyldiga att genast anmäla till socialnämnden om de i sin verksamhet får kännedom om eller misstänker att barn far illa. Ett annat exempel är 2 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet enligt vilken myndigheter som samverkar enligt lagen i vissa fall är skyldiga att lämna uppgifter till varandra.
När det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekretess ska brytas. Lagstiftaren får då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt. Enligt regeringens mening bör sådan uppgiftsskyldighet ersätta den föreslagna prövningen av om det är nödvändigt och proportionerligt att personuppgifter behandlas för nya ändamål, oavsett om det gäller ändamål inom eller utanför ramlagens tillämpningsområde. Det bör tydliggöras i bestämmelserna.
Om det i lag eller förordning bara föreskrivs en möjlighet, men ingen skyldighet, att lämna uppgifter ska myndigheten däremot pröva om det är nödvändigt och proportionerligt att lämna dem, eftersom lagstiftaren då inte har gjort den prövningen. En annan sak är att myndighetens prövning i sådana fall ofta torde mynna ut i att det är nödvändigt och proportionerligt att lämna uppgifterna.
Uppgiftslämnande enligt 6 kap. 5 § offentlighets- och sekretesslagen
En särskild fråga är hur man ska se på uppgiftslämnande med stöd av 6 kap. 5 § offentlighets- och sekretesslagen. Enligt den paragrafen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen anses innebära en skyldighet att lämna uppgifter (se t.ex. Behandling av personuppgifter inom studiestödsområdet, prop. 2008/09:96 s. 80 och prop. 2009/10:85 s. 120 f.). Trots att uppgiftslämnande enligt paragrafen betraktas som en uppgiftsskyldighet anser utredningen att den inte gör prövningen av nödvändighet och proportionalitet enligt ramlagen obehövlig. Som skäl för ställningstagandet anges att bestämmelser om sekretess har ett annat syfte än bestämmelser om skydd av personuppgifter. Enligt regeringen bör dock en myndighets skyldighet enligt 6 kap. 5 § offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över omfattas av undantaget när en prövning av om det är nödvändigt och proportionerligt att personuppgifter behandlas för nya ändamål inte ska göras. I annat fall finns risk att det uppstår en normkollision mellan 6 kap. 5 § offentlighets- och sekretesslagen och den nu föreslagna bestämmelsen.
7.7. Behandling för vetenskapliga, statistiska och historiska ändamål inom ramlagens tillämpningsområde
Regeringens förslag: En behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom ramlagens tillämpningsområde.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget. Uppsala universitet ställer sig frågande till förslaget då det ger intryck av att det författningsstöd som finns för att behandla personuppgifter i den ordinarie verksamheten skulle vara tillräckligt för att behandla uppgifterna även för vetenskapliga, statistiska och historiska ändamål, samtidigt som EU:s dataskyddsreform kräver att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter och svenska regler inom forskningsområdet kräver att forskning på personuppgifter om lagöverträdelser genomgår etikprövning av en etikprövningsnämnd. Dataskydd.net anser att lagförslaget bör kompletteras med ett krav på att uppgifterna ska pseudonymiseras om det inte finns särskilda skäl till varför detta vore olämpligt. Övriga remissinstanser yttrar sig inte särskilt om förslaget.
Skälen för regeringens förslag: Enligt artikel 4.3 kan behandling inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som omfattas av direktivets tillämpningsområde, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Generella frågor om arkivering tas upp i avsnitt 8.2. Som framgår av det avsnittet faller behandling av personuppgifter för arkivändamål av allmänt intresse in under dataskyddsförordningen. I detta avsnitt diskuteras enbart behandling för vetenskapliga, statistiska och historiska ändamål inom direktivets tillämpningsområde.
Att det i direktivet lyfts fram att behandling kan inbegripa vetenskaplig, statistisk eller historisk användning gör det tydligt att direktivets övriga bestämmelser ska tillämpas även vid behandling för sådana ändamål. Det ska alltså finnas en rättslig grund för behandlingen (se avsnitt 7.2). De personuppgifter som behandlas ska vidare vara adekvata och relevanta och de får inte heller vara för omfattande i förhållande till de vetenskapliga, statistiska eller historiska ändamålen (se avsnitt 8.1.2). På samma sätt som den personuppgiftsansvarige vid behandling för andra ändamål inom ramlagens tillämpningsområde ska se till att personuppgifterna inte behandlas under längre tid än vad som behövs för de ändamålen (se avsnitt 8.2.2), får behandling för historiska, statistiska eller vetenskapliga ändamål inte heller pågå längre än vad som behövs för dessa ändamål. En bestämmelse som genomför artikel 4.3 bör tas in i ramlagen.
Artikel 4.3 reglerar bara behandling för historiska, statistiska och vetenskapliga ändamål inom direktivets tillämpningsområde. Eftersom endast behöriga myndigheter får behandla personuppgifter enligt ramlagen är det bara dessa myndigheters behandling av uppgifter för sådana ändamål som kan omfattas av ramlagen. Det gäller dock bara behöriga
myndigheters vetenskapliga, statistiska eller historiska användning av personuppgifter för sådana ändamål som rör brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Som exempel kan nämnas statistikbehandling som en uppföljande åtgärd till brottsbekämpande verksamhet. Statistikbehandling som rör t.ex. vapenärenden eller ärenden enligt ordningslagen ligger däremot utanför ramlagens tillämpningsområde. Andra myndigheters behandling av statistik rörande brottsbekämpning, lagföring och straffverkställighet, exempelvis Brottsförebyggande rådets sammanställning av rättsstatistik, ligger också utanför ramlagens tillämpningsområde.
Som Uppsala universitet påpekar ställer artikel 4.3 krav på lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Eftersom direktivets övriga bestämmelser ska tillämpas även vid behandling för historiska, statistiska och vetenskapliga ändamål kommer bl.a. de bestämmelser som föreslås om grundläggande krav på behandling av personuppgifter, personuppgiftsansvarigas skyldigheter och enskildas rättigheter att vara tillämpliga vid behandling för sådana ändamål. Vidare kommer det sökförbud som föreslås gälla i fråga om känsliga personuppgifter att vara tillämpligt även vid behandling för nu nämnda ändamål (avsnitt 8.1.4). Enligt regeringen är kravet på lämpliga skyddsåtgärder därmed uppfyllt.
Uppsala universitet väcker även frågan hur den föreslagna bestämmelsen förhåller sig till regelverket på forskningsområdet. Som framgått ovan gäller bestämmelsen behöriga myndigheters historiska, statistiska eller vetenskapliga användning av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. När de behöriga myndigheterna behandlar personuppgifter för syften utanför ramlagens tillämpningsområde ska i de flesta fall dataskyddsförordningen tillämpas (avsnitt 7.6.3). I dataskyddsförordningen finns bestämmelser som rör behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och förordningen både förutsätter och gör det möjligt att införa nationella bestämmelser som närmare preciserar förutsättningarna för behandling av personuppgifter för sådana forskningsändamål (se bl.a. artikel 9.2 j och 89.1 i dataskyddsförordningen). Den personuppgiftsbehandling som avses i bestämmelsen i ramlagen ska alltså skiljas från personuppgiftsbehandling för forskningsändamål. När t.ex. statistiska undersökningar utgör en integrerad del av ett forskningsprojekt där behandlingen av personuppgifter sker för vetenskapliga eller historiska forskningsändamål blir ramlagen inte tillämplig. Viss ledning till vad som avses med forskningsändamål enligt dataskyddsförordningen finns i skäl 159 och 160 i förordningen. I Forskningsdatautredningens betänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) föreslås en forskningsdatalag som ska komplettera dataskyddsförordningen och gälla vid behandling av personuppgifter för forskningsändamål. Förslaget bereds inom Regeringskansliet.
Vad gäller synpunkten från Dataskydd.net så anser regeringen av samma skäl som anges i avsnitt 7.3 att det saknas behov av att införa ett krav på pseudonymisering i den föreslagna bestämmelsen.
Hänvisningar till S7-7
- Prop. 2017/18:232: Avsnitt 18.1
8. Övriga principer för behandling av personuppgifter
Hänvisningar till S8
- Prop. 2017/18:232: Avsnitt 10.4.2
8.1. Grundläggande krav på behandlingen
8.1.1. Ingen generell bestämmelse om grundläggande principer
Regeringens förslag: Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.
Regeringens bedömning: Ramlagen bör inte innehålla någon generell bestämmelse om de grundläggande principerna för behandling av personuppgifter. Principerna bör i stället regleras i sitt sammanhang.
Utredningens förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Den enda remissinstans som yttrar sig i denna del är Havs- och vattenmyndigheten som tycker att ordet korrekt i lagförslaget bör ersättas med skäligt eller rimligt eller något annat ord som bättre speglar syftet med bestämmelsen.
Skälen för regeringens förslag och bedömning
De grundläggande principerna regleras i sitt sammanhang
Som framgår av avsnitt 7 krävs det en rättslig grund för att personuppgifter överhuvudtaget ska få behandlas. Är behandlingen rättsligt grundad ska särskilda, uttryckligt angivna och berättigade ändamål bestämmas för den. Utifrån de ändamålen får det sedan avgöras vilka personuppgifter som får behandlas och vilka övriga krav som ställs.
I artikel 4.1 anges allmänna principer för behandling av personuppgifter. Artikeln överensstämmer i allt väsentligt med artikel 6 i 1995 års dataskyddsdirektiv. Den artikeln har genomförts i 9 § personuppgiftslagen, som reglerar de grundläggande principerna för personuppgiftsbehandling. Stora delar av paragrafen gäller för de behöriga myndigheterna, antingen för att deras registerförfattningar gäller utöver personuppgiftslagen eller för att det uttryckligen hänvisas till delar av paragrafen i de registerförfattningar som gäller i stället för personuppgiftslagen. Regleringen i 9 § har således tillämpats länge och är väl inarbetad i myndigheternas verksamhet. Mot den bakgrunden skulle det kunna finnas skäl att ta in en motsvarande bestämmelse i ramlagen.
Paragrafer som är allmänt hållna och bygger på uppräkningar av grundläggande principer med ett påtagligt abstrakt innehåll blir emellertid lätt intetsägande och riskerar därigenom att inte i alla avseenden tilllämpas på det sätt som är avsett. För att regleringen ska bli klar och tydlig håller regeringen med utredningen om att artikel 4.1 vid genomförandet bör delas upp och principerna i de olika punkterna bör behandlas i direkt anslutning till regleringen av de frågor som respektive princip tar sikte på. På det sättet blir det uppenbart att principerna utgör materiella bestämmelser, vilket både förbättrar skyddet för den enskilde och underlättar för tillämparen.
Genomförandet av de grundläggande principerna
Enligt regeringen bör det alltså inte tas in någon motsvarighet till personuppgiftslagens generella bestämmelse om grundläggande krav på behandlingen i ramlagen. De grundläggande kraven på behandling av personuppgifter bör i stället behandlas i sitt sammanhang.
Ändamålen med behandlingen regleras i artikel 4.1 b. Principen har ett konkret och viktigt innehåll som bör lyftas fram. Den behandlas i avsnitt 7.4.
Kvaliteten på och omfattningen av de personuppgifter som behandlas regleras i artikel 4.1 c och d. Uppgifterna ska vara adekvata, relevanta och korrekta. Den principen bör behandlas tillsammans med artikel 6, enligt vilken åtskillnad ska göras mellan personuppgifter som rör olika kategorier av registrerade, och artikel 7.1, enligt vilken personuppgifter som grundar sig på fakta så långt möjligt ska skiljas från personuppgifter som grundar sig på personliga bedömningar. Frågorna behandlas i avsnitt 8.1.2 och 8.1.3.
I artikel 4.1 d föreskrivs även att alla rimliga åtgärder måste vidtas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Den principen tas upp i anslutning till artiklarna 7.2 och 7.3, som behandlar åtgärder för att säkerställa att felaktiga, ofullständiga eller inaktuella personuppgifter inte överförs eller görs tillgängliga. Frågorna behandlas i avsnitt 8.1.6.
Personuppgifter ska enligt artikel 4.1 e inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Den principen hänger nära samman med artikel 5 som reglerar tidsgränser för lagring. Hur länge personuppgifter får behandlas tas upp i avsnitt 8.2.2.
Artikel 4.1 f behandlar säkerheten för personuppgifter och bör genomföras tillsammans med artikel 29, som också reglerar säkerhet i samband med behandling. Den frågan diskuteras i avsnitt 9.3.
Krav på författningsenlig och korrekt behandling
Enligt artikel 4.1 a ska personuppgifter behandlas på ett lagligt och korrekt sätt. De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. Att en myndighet ska agera i enlighet med lag framstår som en självklarhet och är djupt förankrat i den svenska förvaltningstraditionen. Det gäller också att handläggningen ska ske på ett korrekt sätt. Det bör emellertid tydliggöras i ramlagen att personuppgifter alltid ska behandlas lagligt och på ett korrekt sätt.
Principen om laglighet innefattar att det ska finnas en rättslig grund för behandlingen (se avsnitt 7.2 och 7.3). Att använda ordet laglig kan lätt leda till motsatsslut. Eftersom det finns behov av att i andra bestämmelser i ramlagen reglera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer anser regeringen, i likhet med utredningen, att uttrycket ”författningsenlig” är lämpligare att använda i ramlagen.
När det gäller principen om korrekthet kan det vid en jämförelse med andra språkversioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stäl-
let att uppgifterna ska behandlas ”rimeligt”. I den engelska används termen ”fairly”, vilket betyder rättvist, skäligt eller rimligt. Den franska språkversionen använder termen ”loyale” som har motsvarande betydelse. Användningen av dessa termer tyder enligt utredningens mening på att en intresseavvägning ska göras, vilket inte lika tydligt framgår av den svenska termen ”korrekt”. Utredningen tolkar artikeln så att det som avses med korrekt sätt är att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen. Regeringen tolkar artikeln på samma sätt. Eftersom ordet ”korrekt” används i både direktivet och i motsvarande bestämmelse i artikel 5.1 a i dataskyddsförordningen bör ordet dock inte, som Havs- och vattenmyndigheten tycker, ersättas med något annat ord.
Hänvisningar till S8-1-1
- Prop. 2017/18:232: Avsnitt 18.1
8.1.2. Personuppgifter ska vara korrekta och adekvata
Regeringens förslag: De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
De personuppgifter som behandlas ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot förslaget.
Skälen för regeringens förslag
Personuppgifter ska vara korrekta och uppdaterade
Enligt artikel 4.1 d ska personuppgifter vara korrekta och, om nödvändigt, uppdaterade. Motsvarande bestämmelse finns i artikel 6.1 d i 1995 års dataskyddsdirektiv. Artikeln har genomförts i 9 § första stycket g personuppgiftslagen, enligt vilken personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. En bestämmelse med det innehållet bör tas in i ramlagen. Regeringen anser att direktivets formulering bör användas.
En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får man söka ledning i ändamålen med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade personuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 4:e uppl. 2011, i fortsättningen Öman m.fl., s. 206).
Bedömningen av om en personuppgift är korrekt ska inte bara utgå från ändamålen för behandlingen. Att uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om
lagöverträdelser har en särskild karaktär måste också beaktas. Frågan om en uppgift är korrekt måste därför även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den. Om t.ex. en person anmäler en annan för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör vid vilket vissa uppgifter tas tillbaka eller ändras innebär inte att de först nedtecknade uppgifterna i anmälan är felaktiga. Om det sedan vid en rättegång visar sig att personen i fråga lämnar nya uppgifter eller ändrar tidigare påståenden återspeglar ändå en uppteckning av tidigare förhör vad som sades vid det tillfället och är därigenom korrekt. Särskilt när det gäller utsagor från personer som hörs under en förundersökning eller vid en rättegång och som har ett personligt intresse av resultatet av handläggningen utgår lagstiftningen från att uppgifterna kan komma att ändras. Det krav på korrekthet som kan ställas när det gäller personuppgifter som behandlas vid utsagor måste därför inskränkas till att utsagorna återges så som de har lämnats och att dokumentationen av dem följer gällande regler.
För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. Att uppgifter som grundar sig på fakta i så stor utsträckning som möjligt ska skiljas från uppgifter som grundar sig på personliga bedömningar behandlas i avsnitt 8.1.3.
De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman m.fl. s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. När ärendet har avslutats är det dock inte nödvändigt att uppdatera en adressuppgift.
I flera av myndigheternas registerförfattningar anges att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. En bestämmelse med motsvarande innehåll bör tas in i ramlagen. Bestämmelserna finns i dag i de paragrafer som reglerar användningen av känsliga personuppgifter (se bl.a. 2 kap. 10 § tredje stycket polisdatalagen och 2 kap. 7 § tredje stycket kustbevakningsdatalagen). Regleringen har lett till viss osäkerhet om signalementsuppgifter är känsliga personuppgifter. Bestämmelsen i ramlagen bör därför placeras tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska betraktas som känsliga personuppgifter. Ett signalement kan dock innehålla uppgifter ur vilka man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter (se avsnitt 8.1.4).
Personuppgifter ska vara adekvata och relevanta
Enligt artikel 4.1 c ska personuppgifter vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. En bestämmelse med det innehållet bör tas in i ramlagen. Att uppgifterna ska vara adekvata och relevanta innebär att ovidkommande uppgifter inte får behandlas. Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur
många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. överskottsinformation ska hanteras, dvs. uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet. Om uppgifterna inte behöver behandlas för något annat tillåtet ändamål får de inte lagras för framtida behov. Det finns regler om i vilken utsträckning överskottsinformation över huvud taget får behandlas i vissa sammanhang (se t.ex. 27 kap. 23 a § rättegångsbalken).
8.1.3. Olika typer av personuppgifter ska skiljas från varandra
Regeringens förslag: Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.
Personuppgifter som grundar sig på fakta ska så långt det är möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar. Om det inte framgår av sammanhanget eller på annat sätt vad uppgiften grundas på ska det tydliggöras genom en särskild upplysning.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Säkerhets- och integritetsskyddsnämnden anser att det bör övervägas att införa en ny särskild beteckning för den kategori av registrerade som, utan att vara misstänkta för brott, är misstänkta för att ha utövat eller komma att utöva brottslig verksamhet och uttryckligen nämna den kategorin i lagtexten. Syftet skulle vara att uppnå en tillfredställande åtskillnad mellan sådana personer och personer som det inte finns några som helst misstankar mot. Polismyndigheten tycker däremot inte att det bör krävas olika kategorier av misstänkta, utan med misstänkta bör avses såväl de som är misstänkta för visst brott som de som är misstänkta för att ha utövat eller komma att utöva brottslig verksamhet.
Datainspektionen saknar resonemang kring innebörden av förslaget att uppgifter som grundar sig på fakta ska skiljas från uppgifter som grundar sig på bedömning och betonar att förslaget inte får innebära någon försämring jämfört med dagens reglering. Hovrätten för Västra Sverige anser att formuleringen ”så långt det är möjligt” inte tillför något och ifrågasätter därför om den behöver finnas i lagtexten.
Skälen för regeringens förslag
Särskiljande mellan olika typer av personuppgifter
Enligt artikel 6 ska den personuppgiftsansvarige i tillämpliga fall och så långt det är möjligt skilja mellan personuppgifter som rör olika kategorier av registrerade. Som exempel på olika kategorier av registrerade nämns personer som har begått eller är på väg att begå brott, personer som har dömts för brott, brottsoffer eller personer som p.g.a. vissa om-
ständigheter kan antas vara brottsoffer och andra som berörs av ett brott, t.ex. vittnen, personer som kan lämna information om brott eller personer som har kontakter med eller band till personer som misstänks för eller är dömda för brott. Enligt artikel 7.1 ska personuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar.
Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en viss person behandlas. Inom ramlagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av det sammanhang i vilket personuppgifterna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig (jfr prop. 2009/10:85 s. 146 f.).
Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Vid handläggningen i domstol anges det tydligt vem som är misstänkt, tilltalad, målsägande, vittne eller anhörig till någon av dessa. En sådan uppdelning uppfyller enligt regeringen kravet på särskiljande. I förundersökningsprotokoll görs på motsvarande sätt skillnad mellan olika personkategorier (se 20 och 21 §§ förundersökningskungörelsen [1947:948]).
Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. I 3 kap. 3 § polisdatalagen anges därför att det vid behandling av gemensamt tillgängliga uppgifter genom en särskild upplysning eller på annat sätt ska framgå för vilket närmare ändamål personuppgifter behandlas och om en personuppgift har gjorts gemensamt tillgänglig som ett led i övervakningen av en allvarligt kriminellt belastad person. Om uppgifterna kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat brottslig verksamhet ska det enligt 3 kap. 4 § framgå att personen inte är misstänkt. Vidare föreskrivs att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet, dvs. där ändamålet inte är att utreda ett konkret brott, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av särskilda omständigheter är onödigt. Motsvarande gäller i Kustbevakningens brottsbekämpande verksamhet enligt 4 kap.2 och 3 §§kustbevakningsdatalagen samt för Tullverket och Skatteverket i deras brottsbekämpande verksamhet (se 3 kap. 3 och 4 §§ i både tullbrottsdatalagen och skattebrottsdatalagen). Även enligt 3 kap. 3 § åklagardatalagen ska det framgå om de uppgifter som behandlas rör en person som inte är misstänkt.
De bestämmelser som finns i dessa registerförfattningar är inarbetade men uppfyller inte helt direktivets krav. Det krävs också regler för övriga behöriga myndigheter. Det bör därför tas in en bestämmelse i ramlagen om att den personuppgiftsansvarige så långt det är möjligt ska skilja mellan personuppgifter som rör olika kategorier av registrerade. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori en person hör bör det tydliggöras genom en särskild upplysning.
Det är framför allt när uppgifter behandlas utanför sitt ursprungliga sammanhang som en särskild upplysning kan behövas (jfr prop.
2009/10:85 s. 146 f.). Kraven på särskild upplysning i de brottsbekämpande myndigheternas registerförfattningar gäller uppgifter som har gjorts gemensamt tillgängliga. Om uppgifter behandlas av en liten, klart avgränsad grupp vet de inblandade personerna som regel varifrån uppgifterna kommer, varför de behandlas och om en omnämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller om han eller hon tillhör någon annan kategori. Mot den bakgrunden kan det finnas skäl att göra undantag från kravet på särskild upplysning för uppgifter som inte har gjorts gemensamt tillgängliga. Regeringen återkommer till den frågan i samband med att de brottsbekämpande myndigheternas registerförfattningar anpassas till den nya ramlagen.
Det bör också tas in en bestämmelse i ramlagen om att personuppgifter som grundar sig på fakta bör skiljas från uppgifter som grundar sig på personliga bedömningar. Om det inte framgår av sammanhanget eller på annat sätt vad uppgiften grundas på bör det tydliggöras genom en särskild upplysning. Det som nyss sagts om att det kan finnas skäl att göra undantag från kravet på särskilda upplysningar bör gälla även för nu aktuella uppgifter som inte gjorts gemensamt tillgängliga.
Äldre personuppgifter
Det utvidgade kravet på särskilda upplysningar väcker frågan om de behöriga myndigheterna blir skyldiga att förse alla äldre personuppgifter som saknar sådana upplysningar med det. Eftersom kravet är att så långt möjligt skilja mellan olika typer av uppgifter anser regeringen, i likhet med utredningen, att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar. Om tveksamhet uppstår i ett enskilt fall och det är möjligt att tillfoga en särskild upplysning bör det dock göras. Formuleringen ”så långt det är möjligt” kan alltså få betydelse i bl.a. de fall då det är fråga om äldre personuppgifter. Med det i beaktande, och då direktivet endast kräver att åtskillnad görs mellan olika typer av uppgifter så långt det är möjligt, anser regeringen till skillnad mot Hovrätten för Västra
Sverige att formuleringen behövs.
Kategorin misstänkta
Säkerhets- och integritetsskyddsnämnden och Polismyndigheten framför synpunkter som rör den kategori av registrerade som benämns misstänkta. Den föreslagna uppräkningen i lagtexten av olika kategorier av registrerade är endast exemplifierande, varför det enligt regeringen saknas skäl att lägga till ytterligare kategorier. Som Säkerhets- och integritetsskyddsnämnden påpekar är det av stor vikt att det framgår om en person inte är misstänkt vare sig för brott eller för att utöva brottslig verksamhet. Om den bestämmelse som nu föreslås i ramlagen därför bör kompletteras av bestämmelser i registerförfattningarna motsvarande den bestämmelse som i dag finns i 3 kap. 4 § polisdatalagen, är en fråga som regeringen avser att återkomma till när anpassningen av registerförfattningarna sker. Som Datainspektionen betonar är tanken inte att förslaget ska innebära någon försämring för enskilda jämfört med dagens reglering. Med det som utgångspunkt kommer regeringen, när registerförfatt-
ningarna anpassas till den nya regleringen, även att se över övriga bestämmelser om särskilda upplysningar som finns i dem.
Lagrådet föreslår att ”tilltalad” läggs till i lagtexten som exempel på en kategori av registrerade. Som just har nämnts är uppräkningen av kategorier av registrerade exemplifierande och därför finns det enligt regeringen inte skäl att lägga till tilltalad som ytterligare en kategori. Detta hindrar dock inte att det i sammanhang där det är relevant tydliggörs att personuppgifter som behandlas rör tilltalade.
8.1.4. Känsliga personuppgifter
Regeringens förslag: Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. Om uppgifter om en person behandlas får de dock kompletteras med sådana personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.
Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Känsliga personuppgifter får alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser kommenterar inte förslaget. Norrköpings kommun anser att ordet ras kan ersättas med formuleringen nationellt eller etniskt ursprung. Hovrätten för Västra Sverige anser att ordet ”absolut” inte tillför något. Justitiekanslern ifrågasätter, mot bakgrund av att andra författningar ska innehålla bestämmelser om behandling av biometriska och genetiska uppgifter, om ramlagen bör innehålla ett krav på att sådan behandling ska vara absolut nödvändig eller om förutsättningarna för att behandla sådana uppgifter i stället uttömmande bör anges i de andra författningarna. Polismyndigheten menar att det saknas skäl för att utvidga begreppet känsliga personuppgifter till att omfatta biometriska och genetiska uppgifter och att samlingsbegreppet i stället bör vara särskilda kategorier av personuppgifter. Polismyndigheten tillstyrker vidare förslaget om ett generellt sökförbud, men påpekar att myndighetens registerförfattning kommer att behöva innehålla omfattande undantag från förbudet och att ramlagen bör innehålla ett generellt undantag för sökningar som sker i registervårdande syfte. Även
Säkerhets- och integritetsskyddsnämnden understryker vikten av att registervårdande åtgärder regleras i de författningar som genomför direktivet. Domstolsverket ser problem med att förbjuda sökningar som sker i ett visst syfte, eftersom det enligt verket kan vara svårt att såväl när en sökning genomförs som i efterhand bedöma syftet med sökningen. Enligt Datainspektionen får det föreslagna sökförbudet inte innebära någon
utvidgning i förhållande till dagens möjligheter att söka på känsliga personuppgifter. Inspektionen ser det även som viktigt att syftet med sökningar på känsliga personuppgifter dokumenteras, både ur ett verksamhets- och tillsynsperspektiv. Statens institutionsstyrelse anser att sökförbudet blir mer ändamålsenligt och träffsäkert när det utgår från syftet med sökningen. Myndigheten lyfter samtidigt fram att det föreslagna förbudet torde öka möjligheterna att söka på känsliga personuppgifter på så sätt att det blir möjligt att söka på sådana uppgifter om sökningen begränsas till en viss person. Vid sökningar på känsliga personuppgifter i en persons journal går det inte att få fram något urval av personer.
Skälen för regeringens förslag
Nuvarande reglering
I lagstiftning om behandling av personuppgifter har känsliga personuppgifter en särställning. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Som huvudregel är det förbjudet att behandla känsliga personuppgifter. Från förbudet görs i 14–19 §§personuppgiftslagen undantag för vissa situationer, t.ex. när den enskilde har samtyckt till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna skäl. Enligt 8 § personuppgiftsförordningen (1998:1191) får känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Definitionen av känsliga personuppgifter i personuppgiftslagen bildar utgångspunkten för regleringen i de behöriga myndigheternas registerförfattningar. Enligt registerförfattningarna får känsliga personuppgifter inte behandlas enbart på grund av vad som är känt om en person i dessa avseenden (se t.ex. 2 kap. 8 § åklagardatalagen). Om uppgifter om en person redan behandlas på någon annan grund, får de dock enligt de flesta registerförfattningarna kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen (se t.ex. 2 kap. 10 § polisdatalagen). Innebörden av bestämmelserna är att det t.ex. inte är tillåtet att föra särskilda register över personer baserat på deras politiska åsikter. Förekommer en person i en förundersökning eller något annat ärende, får dock uppgifter om politisk åskådning behandlas, om det bedöms vara absolut nödvändigt för syftet med behandlingen. Det kan t.ex. vara fallet om motivet för ett brott är politiskt. Något krav på att behandlingen är absolut nödvändig gäller enligt 13 § domstolsdatalagen inte i domstolarnas rättskipande och rättsvårdande verksamhet.
Fler kategorier av uppgifter blir känsliga personuppgifter
Enligt artikel 10 ska behandling av vissa kategorier av personuppgifter vara tillåten endast om det är absolut nödvändigt och om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller nationell rätt, utförs för att skydda intressen som är av grundläggande
betydelse för den registrerade eller en annan fysisk person eller rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
De kategorier av personuppgifter som räknas upp i artikel 10 är till största delen de som i dag betecknas som känsliga personuppgifter, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv. Dessutom anges biometriska uppgifter för att unikt identifiera en fysisk person, genetiska uppgifter och uppgifter om sexuell läggning i artikeln. De nya kategorierna behandlas i det följande. Det finns även skäl att diskutera om ordet ras bör användas i ramlagen.
I artikel 10 benämns uppgifterna ”särskilda kategorier av personuppgifter”. Samma uttryck används i 1995 års dataskyddsdirektiv. I personuppgiftslagen benämns sådana personuppgifter ”känsliga personuppgifter”. Polismyndigheten förespråkar att ”särskilda kategorier av personuppgifter” används som samlingsbegrepp i stället för att begreppet ”känsliga personuppgifter” utvidgas. Regeringen håller dock med utredningen om att uttrycket ”känsliga personuppgifter” är tydligare än ”särskilda kategorier av uppgifter” och därför bör användas i ramlagen. (jfr prop. 2017/18:105 s. 75).
Genetiska uppgifter
Med genetiska uppgifter avses enligt den definition som föreslås i avsnitt 6.2 personuppgifter som rör sådana nedärvda eller förvärvade kännetecken för en fysisk person som kan tas fram ur ett prov från personen. Det handlar framför allt om information som kan tas fram vid dnaanalyser, men även motsvarande information som tas fram genom andra analyser omfattas. Eftersom nedärvda eller förvärvade genetiska kännetecken för en fysisk person kan framgå av ett spår som påträffas vid utredning av ett brott omfattas även analys av spåren, trots att de då inte går att härleda till en identifierad person.
Genetiska uppgifter behandlas vid dna-analyser för att ta fram dna-profiler eller forensiska uppslag. Sådan behandling förekommer enbart i den forensiska verksamheten, som i Polismyndigheten sköts av Nationellt forensiskt centrum. Även Rättsmedicinalverket kan göra sådana analyser på begäran av Polismyndigheten eller en annan myndighet som omfattas av ramlagens tillämpningsområde. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer.
Själva dna-profilen, som behandlas i framför allt Polismyndighetens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift.
Biometriska uppgifter
Med biometriska uppgifter avses enligt den föreslagna definitionen personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Som konstateras i avsnitt 6.2 omfattas inte fotografier och filmer som inte bearbetas tekniskt i det syftet av definitionen av biometriska uppgifter. Vidare kan nämnas att de personuppgifter, t.ex. fingeravtryck,
som förekommer i ett rättsutlåtande eller som bevisuppgift och som baseras på en teknisk bearbetning av biometriska uppgifter, inte i sig utgör biometriska uppgifter. Inte heller utgör uppgifter som beskriver förhållanden mellan detaljer i olika fingeravtryck, dna-analyser eller andra jämförelsematerial biometriska uppgifter.
Definitionen omfattar brottsbekämpande myndigheters hantering av fingeravtryck. Fingeravtryck som har tagits med stöd av rättegångsbalken eller lagen (1991:572) om särskild utlänningskontroll får behandlas i de fingeravtrycks- och signalementsregister som förs enligt 4 kap. 11 § polisdatalagen. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får också behandlas om uppgiften kommit fram vid utredning om brott. Även oidentifierade fingeravtryck omfattas således av definitionen av biometriska uppgifter, eftersom det är möjligt att med hjälp av sådana identifiera den person som har avsatt dem.
Uppgifter om huruvida någon förekommer i Polismyndighetens fingeravtrycks- och signalementsregister eller dna-register är inte biometriska uppgifter. Däremot är den behandling som utförs vid jämförelse mellan olika fingeravtryck eller dna-profiler behandling av biometriska uppgifter.
Uppgifter om sexualliv och sexuell läggning
Enligt direktivet är uppgifter om fysiska personers sexualliv och sexuella läggning känsliga personuppgifter. I artikel 8 i 1995 års dataskyddsdirektiv och i 13 § personuppgiftslagen föreskrivs att uppgifter om sexualliv är en känslig personuppgift. Uppräkningen i ramlagen av känsliga personuppgifter bör omfatta uppgifter om både sexualliv och sexuell läggning.
Ordet ras
Ras har länge ansetts vara en känslig personuppgift. I uppräkningen i direktivet av vad som utgör känsliga personuppgifter nämns också ras. I skäl 37 klargörs att användningen av ordet ras inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser.
Frågan om utmönstring av ordet ras ur svensk lagstiftning har länge varit aktuell. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen inte heller någon grund för att använda ordet ras om människor. Enligt vad riksdagen anförde riskerar användningen av ordet ras i författningstext att underblåsa fördomar. Riksdagen konstaterade dock, i anledning av en motion, att det inte var möjligt att utmönstra ordet ras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella konventioner eller författningar som genomför direktiv. Regeringen uppmanades att gå igenom i vilken utsträckning ordet ras förekom i författningar som inte grundas på internationella texter och där så var möjligt föreslå en annan definition (bet. 1997/98:KU29 s. 7).
Ordet ras har på senare år ersatts med andra uttryck i regeringsformen och i diskrimineringslagen (2008:567) och medvetet utelämnats i ett antal lagar. Exempelvis ersattes ordet ras i regeringsformen genom att uttrycket ”annat liknande förhållande” lades till efter etniskt ursprung och hudfärg. Med ”annat liknande förhållande” åsyftas i första hand
sådana föreställningar om ras som omfattas av ordet ras enligt den tidigare lydelsen (prop. 2009/10:80 s. 152).
Den omständigheten att direktivet använder ordet ras hindrar, som utredningen påpekar, inte att det i ramlagen används ett annat ord eller uttryck, förutsatt att det har samma betydelse. Att använda uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” som finns i bl.a. regeringsformen skulle emellertid inte fungera i ramlagen. Om hudfärg skulle räknas upp bland känsliga personuppgifter skulle det skapa problem för de brottsbekämpande myndigheterna, eftersom det skulle leda till att bilder på identifierbara personer skulle utgöra känsliga personuppgifter om hudfärgen syns. Avsikten med dataskyddsreformen kan inte rimligen vara att alla bilder på personer ska anses utgöra känsliga personuppgifter. Det får stöd av skäl 51 i dataskyddsförordningen där det bl.a. anges att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Det är enligt regeringen inte heller lämpligt att använda formuleringen ”etniskt ursprung eller annat liknande förhållande”. Det skulle för det första leda till osäkerhet om det är någon skillnad mellan de olika uttryckssätten. För det andra skulle det lämna ett alltför stort tolkningsutrymme och kunna leda till att de behöriga myndigheterna antingen behandlar känsliga personuppgifter i för stor utsträckning eller inte behandlar sådana uppgifter trots att det är sakligt motiverat. Regeringen anser därför i likhet med utredningen att det är nödvändigt att även fortsättningsvis använda ordet ras. Den formulering som Norrköpings kommun föreslår, ”nationellt eller etniskt ursprung”, ser regeringen alltså inte heller som något gångbart alternativ. Detta innebär att regleringen i ramlagen kommer att överensstämma med artikel 9 i dataskyddsförordningen.
Känsliga personuppgifter bör som huvudregel inte få behandlas i större utsträckning än i dag
Enligt direktivet ska behandling av särskilda kategorier av personuppgifter vara tillåten endast om den är absolut nödvändig och om det finns lämpliga skyddsåtgärder. Dessutom ska behandlingen vara tillåten enligt unionsrätt eller nationell rätt, alternativt ska den göras för att skydda intressen av grundläggande betydelse för den registrerade eller någon annan fysisk person eller avse uppgifter som har offentliggjorts av den som personuppgifterna rör.
Enligt gällande rätt får flertalet av de behöriga myndigheterna behandla känsliga personuppgifter om de behandlar uppgifter om personen i fråga på någon annan grund, men då bara om det är absolut nödvändigt för syftet med behandlingen. Domstolarna får emellertid behandla känsliga personuppgifter i större utsträckning. Enligt 13 § domstolsdatalagen får känsliga personuppgifter inte utgöra den enda grunden för behandlingen. Det behöver dock inte vara uppgifter om den person som de känsliga personuppgifterna rör som behandlas, utan det är enligt förarbetena tillräckligt att det finns en annan konkret grund för behandlingen. Det ställs inte heller något krav på att behandlingen ska vara absolut nödvändig. Skälet till denna mer generösa reglering är att det av principiella skäl
ansågs uteslutet att genom bestämmelser i lag inskränka domarnas frihet att formulera domskäl i syfte att undvika att känsliga personuppgifter behandlas. Det anges vidare att det strängt taget inte är någon skillnad mellan i vilken utsträckning domstolarna behöver behandla känsliga personuppgifter och andra personuppgifter (Domstolsdatalag, prop. 2014/15:148, s. 49).
Dagens regelverk är således betydligt mer restriktivt än direktivets reglering, eftersom känsliga personuppgifter i de flesta fall endast får behandlas tillsammans med andra uppgifter om personen i fråga. Hovrätten för Västra Sverige ifrågasätter behovet av ordet ”absolut” i bestämmelsen. Att behandlingen ska vara absolut nödvändig är ett krav som direktivet ställer och som därför bör komma till uttryck i ramlagen.
Enligt artikel 1.3 är det tillåtet att ha starkare skyddsåtgärder än de som fastställs i direktivet. Den nuvarande regleringen har fungerat väl för de berörda myndigheterna och kravet på att känsliga personuppgifter bara får behandlas om uppgifter om personen behandlas av annat skäl är enligt regeringens mening en sådan lämplig skyddsåtgärd som direktivet fordrar. Känsliga personuppgifter bör därför bara få behandlas om uppgifter om personen samtidigt behandlas på någon annan grund och det är absolut nödvändigt för ändamålet med behandlingen. Regleringen i ramlagen bör dock utformas på ett något annorlunda sätt än i myndigheternas registerförfattningar för att det ska bli tydligare vilka uppgifter som utgör känsliga personuppgifter och när dessa får behandlas.
De behöriga myndigheterna behandlar i stor utsträckning vissa typer av känsliga personuppgifter. Det gäller framför allt uppgifter om hälsa, t.ex. i förundersökningar och mål om vålds- och sexualbrott och i personutredningar. För sådana ändamål är behandling av uppgifter om hälsa givetvis absolut nödvändig. Regeringen vill därför understryka att någon förändring av synen på vad som är absolut nödvändigt vid behandling av känsliga personuppgifter inte är avsedd. Känsliga personuppgifter ska alltjämt användas restriktivt och en bedömning av om kravet är uppfyllt ska göras i det enskilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan myndigheterna, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt.
Som framgår av avsnitt 6.4.4 kommer flera myndigheter och andra aktörer att tillämpa ramlagen. Flera av dem har ingen särskild registerförfattning utan tillämpar i dag personuppgiftslagen med tillhörande förordning. Eftersom huvudregeln enligt personuppgiftslagen är att det är förbjudet att behandla känsliga personuppgifter och 8 § personuppgiftsförordningen bara medger undantag för vissa typer av behandling kan det inte undvikas att dessa myndigheter och aktörer sannolikt kommer att kunna behandla känsliga personuppgifter i större utsträckning med den nya regleringen. Det gäller dock bara när de utför uppgifter inom ramlagens tillämpningsområde och är en rimlig konsekvens av att de anses vara behöriga myndigheter i ramlagens mening.
Behandling av genetiska och biometriska uppgifter
Som nyss nämnts har genetiska och biometriska uppgifter inte tidigare ingått i uppräkningen av vad som är känsliga personuppgifter. I förarbetena till lagen (2006:351) om genetisk integritet m.m. uttalas att genetisk
information kan avslöja såväl hälsotillstånd som etnisk tillhörighet och därför är att betrakta som känsliga personuppgifter (Genetisk integritet m.m., prop. 2005/06:64, s. 63). Det är osäkert vilket genomslag det uttalandet har fått i praktiken och om de särskilda restriktioner som gäller för behandlingen av känsliga personuppgifter därför tillämpas på genetiska och biometriska uppgifter.
Fingeravtryck och framför allt dna-spår får en allt större betydelse i den brottsutredande verksamheten. Tekniken utvecklas hela tiden och möjliggör i dag dels analyser av oerhört små mängder dna, dels att nya typer av uppgifter kan tas fram ur dna-spår. Det är därför viktigt att behandling av personuppgifter i samband med hanteringen av fingeravtryck, dna-spår och dna-profiler är tydligt reglerad.
Det är vanligt att polisen hittar fingeravtryck eller dna-spår från någon som inte förekommer i fingeravtrycks- eller dna-registren. Som tidigare nämnts utgör sådana oidentifierade fingeravtryck eller dna-spår som genomgår särskild teknisk behandling för att möjliggöra unik identifiering biometriska uppgifter. Regeln om att känsliga personuppgifter endast får behandlas om någon annan uppgift om personen i fråga samtidigt behandlas fungerar därmed inte när det gäller oidentifierade avtryck eller spår. Det finns därför skäl att reglera behandlingen av genetiska och biometriska uppgifter särskilt. Sådana uppgifter bör få behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att dessa kategorier av uppgifter regleras särskilt är en lagteknisk fråga och innebär inte att de ska betraktas på något annat sätt än övriga kategorier av känsliga personuppgifter. När det gäller frågan som Justitiekanslern väcker, om inte förutsättningarna för att få behandla biometriska och genetiska uppgifter uttömmande bör anges i andra författningar än ramlagen, håller regeringen med utredningen om att ramlagen bör innehålla en sådan bestämmelse som föreslås. Eftersom det är fråga om grundläggande krav för att få behandla två kategorier av känsliga personuppgifter hör bestämmelsen hemma i ramlagen, dessutom ska kravet på absolut nödvändighet som anges i bestämmelsen gälla generellt för alla behöriga myndigheter.
Behandling för diarieföring eller liknande
Som framgår av avsnitt 7.3 måste en myndighet alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och andra liknande handlingar. De som ska tillämpa ramlagen föreslås därför få behandla personuppgifter för diarieföring och för att utföra andra nödvändiga handläggningsuppgifter. Det bör gälla även i de fall där sådana handlingar innehåller känsliga personuppgifter, eftersom det ligger utanför myndighetens kontroll om sådana uppgifter finns i handlingarna. Det bör framgå att sådan behandling är tillåten.
Lagrådet förordar att bestämmelserna om känsliga personuppgifter formuleras annorlunda än i lagrådsremissens förslag. Det rör sig om en redaktionell ändring som bl.a. innebär att benämningen känsliga personuppgifter flyttas från 2 kap. 13 § till 2 kap. 11 §. Regeringen anser dock att de olika förutsättningarna för att behandla biometriska och genetiska uppgifter respektive övriga kategorier av känsliga personuppgifter fram-
kommer tydligare med den formulering av bestämmelserna som följer av lagrådsremissens förslag. Bestämmelserna bör därför inte omformuleras på det sätt som Lagrådet föreslår. Däremot anser regeringen att en mindre redaktionell ändring bör göras i 2 kap. 13 § jämfört med förslaget i lagrådsremissen.
Ett generellt sökförbud
Sökning på känsliga personuppgifter kan möjliggöra exempelvis kartläggning av personer med viss politisk ståndpunkt eller religiös uppfattning. Sökningar för sådana ändamål bör som huvudregel inte tillåtas. I flera av de behöriga myndigheternas registerförfattningar finns förbud mot att som sökbegrepp använda uppgifter som avslöjar känsliga personuppgifter (se t.ex. 3 kap. 5 § polisdatalagen). Det kan dock i vissa fall vara befogat att använda känsliga personuppgifter vid sökningar. Flera registerförfattningar ger därför möjlighet att i begränsad utsträckning använda sådana uppgifter som sökbegrepp (se t.ex. 14 och 15 §§domstolsdatalagen). För Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndigheten gäller förbuden att använda känsliga personuppgifter som sökbegrepp endast vid sökningar i personuppgifter som har gjorts gemensamt tillgängliga. De får alltså använda känsliga personuppgifter som sökbegrepp vid sökningar i uppgifter som endast ett fåtal personer har tillgång till. Detsamma gäller för Tullverket och Skatteverket i deras brottsbekämpande verksamhet.
Enligt direktivet krävs det inget förbud mot att använda känsliga personuppgifter vid sökning, men sådana uppgifter får behandlas endast om det finns lämpliga skyddsåtgärder för behandlingen. En verkningsfull skyddsåtgärd är att som huvudregel förbjuda att känsliga personuppgifter används vid sökning och att sedan reglera eventuella undantag från den regeln. Det bör därför som utredningen föreslår även i fortsättningen vara förbjudet att utföra sökningar som avslöjar känsliga personuppgifter. Eftersom inte alla behöriga myndigheter har en registerförfattning bör ett generellt sökförbud tas in i ramlagen.
Användningen av ordet sökbegrepp i bestämmelserna om sökförbud har lett till problem i tillämpningen. Vid en strikt tolkning av dessa bestämmelser skulle t.ex. en sökning på ordet islam inte få göras, eftersom uppgifter som avslöjar religiös övertygelse inte får användas som sökbegrepp. Islam är emellertid också ett vanligt personnamn som det måste vara möjligt att få använda vid sökning. Ett annat exempel är att ett sjukhus eller en kyrka, där ett brott begåtts, används som sökbegrepp av utredningsskäl. Sökningen kan ge träff på personer och därigenom avslöja uppgifter som rör hälsa eller religiös uppfattning samtidigt som det finns utredningsskäl att använda platsen som sökbegrepp. Regeringen håller därför med utredningen om att förbudet i ramlagen i stället bör utgå från syftet med sökningen. Det bör inte vara tillåtet att göra sökningar i syfte att få fram urval av personer grundade på känsliga personuppgifter. Detta stämmer enligt regeringens bedömning väl överens med syftet med dagens reglering (se t.ex. prop. 2009/10:85 s. 155). Med en sådan utformning överensstämmer sökförbudet i ramlagen även med sökförbudet i den föreslagna dataskyddslagen som ska innehålla kom-
pletterande bestämmelser till EU:s dataskyddsförordning (prop. 2017/18:105 s. 90 f.).
Datainspektionen ser det som viktigt att det föreslagna sökförbudet inte utökar möjligheterna att söka på känsliga personuppgifter. Att förbudet utformas på ett annat sätt än i dag är inte tänkt att utvidga möjligheterna att använda känsliga personuppgifter för sökning. Genom att sökförbudet placeras i ramlagen kommer det tvärtom att gälla i större utsträckning än i dag, eftersom sökförbuden i flera av registerförfattningarna enbart gäller vid sökningar i uppgifter som har gjorts gemensamt tillgängliga. När syftet blir avgörande för om en sökning är tillåten eller inte kommer vidare olika former av kodning av personuppgifter för att möjliggöra sammanställningar grundade på känsliga personuppgifter inte att vara tillåtna, vilket innebär ett skydd mot missbruk.
Däremot kommer sökningar på t.ex. egennamn som också kan avslöja känsliga personuppgifter att vara tillåtna, eftersom syftet med sökningen då är att få fram närmare information om en person med ett visst namn, inte att få fram ett urval av personer grundat på känsliga personuppgifter. Det blir därför, som Datainspektionen påpekar, viktigt att dokumentera syftet med en sökning av det slaget såvida inte syftet med sökningen framgår av sammanhanget. Det underlättar både intern kontroll och tillsyn över verksamheten.
Det kommer också att, som Statens institutionsstyrelse lyfter fram, vara tillåtet att söka på känsliga personuppgifter om sökningen begränsas till att gälla en viss person, eftersom sökresultatet då inte kommer att utvisa något urval av personer. Skyddet för enskilda tillgodoses i de fallen genom bestämmelsen om under vilka förutsättningar känsliga personuppgifter överhuvudtaget får behandlas. Inte heller dagens sökförbud syftar till att förbjuda den typen av begränsade sökningar. Vidare kommer det att vara tillåtet att utföra sökningar i registervårdande syfte och i syfte att utöva tillsyn, något som Polismyndigheten och Säkerhets- och integritetsskyddsnämnden betonar vikten av, eftersom sökningar för sådana syften inte träffas av förbudet.
Även vid tillåtna sökningar kan sökningen resultera i ett urval av personer grundat på känsliga personuppgifter. I exemplet med namnet Islam kan en sökning på egennamnet ge träffar både på personer med det namnet och personer som bekänner sig till en viss tro. I vilken utsträckning det sedan är tillåtet att behandla uppgifterna i sammanställningen får prövas mot huvudregeln för behandling av känsliga personuppgifter.
Domstolsverket ser problem med det sökförbud som föreslås eftersom det enligt verket kan vara svårt att bedöma syftet med en viss sökning.
Det exempel Domstolsverket tar upp är att om allmänheten begär att en behörig myndighet ska ta fram vissa uppgifter för ett utlämnande, får myndigheten som regel inte efterfråga vad syftet med begäran är. Regeringen gör här följande överväganden. Vid utlämnande av en allmän handling som sker på begäran av en enskild har tryckfrihetsförordningens bestämmelser företräde framför dataskyddsregelverket (prop. 2017/18:105 s. 40 f.). Den behöriga myndigheten har att i varje enskilt fall bedöma om de uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Utgör uppgifterna en allmän handling ska de lämnas ut såvida de inte omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning. Sekre-
tessbestämmelser som kan vara tillämpliga i sammanhanget är bl.a. 18 kap.1–2 §§ och 35 kap. 1 §offentlighets- och sekretesslagen.
I de behöriga myndigheternas registerförfattningar tillåts i viss utsträckning användning av känsliga personuppgifter vid sökning. Bestämmelserna kommer att behöva anpassas till att sökförbudet i ramlagen är annorlunda utformat än dagens reglering. Utgångspunkten är att de behöriga myndigheterna inte ska få använda känsliga personuppgifter vid sökning i större utsträckning än i dag. För någon eller några av de behöriga myndigheterna kan dock förbudet i dag vara för snävt. Vid utredning av brott kan de brottsbekämpande myndigheterna ha behov av att kunna söka på andra uppgifter än brottsrubriceringar eller uppgifter som beskriver en persons utseende, exempelvis uppgifter om sexualliv vid utredningen av en våldtäkt. Regeringen återkommer till frågan om sökning med användande av känsliga personuppgifter i samband med att registerförfattningarna anpassas till ramlagen.
8.1.5. Inga ytterligare regler om vilka personuppgifter som får behandlas
Regeringens bedömning: Utöver reglerna om känsliga personuppgifter bör det inte tas in några regler i ramlagen om vilka personuppgifter som får behandlas.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: De remissinstanser som uttalar sig om bedömningen är Polismyndigheten som tillstyrker den och Datainspektionen som ställer sig tveksam till om direktivets krav blir uppfyllda då det inte närmare anges i ramlagen vilka personuppgifter som får behandlas.
Skälen för regeringens bedömning
Ingen uttömmande reglering av vilka personuppgifter som får behandlas
Enligt artikel 8.2 ska det i nationell rätt bl.a. föreskrivas vilka personuppgifter som ska behandlas. Ur ett integritetsperspektiv är det naturligtvis väsentligt att en myndighet inte behandlar andra personuppgifter än vad som behövs för myndighetens verksamhet. Regeringen håller med utredningen om att det inte är rimligt att tolka artikeln på det sättet att det i ramlagen eller i de särskilda registerförfattningarna måste räknas upp exakt vilka personuppgifter som får behandlas. Att i författning uttömmande reglera vilka personuppgifter, eller ens alla kategorier av personuppgifter, som får behandlas är en närmast omöjlig uppgift, eftersom det inte på förhand går att bedöma vilka uppgifter som kan få betydelse. Särskilt i mångfacetterade verksamheter som polisens och domstolarnas skulle det behövas mycket omfångsrika uppräkningar av vilka uppgifter som skulle få behandlas. Inte bara för dessa utan även för övriga behöriga myndigheter skulle det krävas omfattande och grundliga undersökningar innan det skulle kunna slås fast vilka personuppgifter som bör få behandlas. Saken kompliceras dessutom av att det skulle behöva preciseras beträffande varje enskild personkategori vilka personuppgifter som får behandlas för just den kategorin.
Behovet av att behandla personuppgifter skiljer sig åt beroende på om det är fråga om förundersökning, brottmålsrättegång, verkställighet av påföljd eller att upprätthålla allmän ordning och säkerhet. Vissa behöriga myndigheter har behov av att behandla fler typer av personuppgifter än andra. En allmängiltig förteckning skulle därför inte fungera. Skulle någon personkategori eller kategori av uppgifter saknas skulle det inte finnas rättsligt stöd för behandlingen även om den var nödvändig. Förutom att en detaljbetonad uppräkning av det slaget skulle strida mot svensk lagstiftningstradition skulle den försvåra möjligheterna för behöriga myndigheter att bedriva en effektiv verksamhet. Den som behöver behandla personuppgifter skulle nämligen alltid behöva konsultera en omfattande förteckning för att kunna avgöra om behandlingen av en viss personuppgift var tillåten. En uppräkning av det slaget skulle också riskera att snabbt bli inaktuell och skulle därför behöva uppdateras ofta.
Eftersom ett av syftena med direktivet enligt artikel 1.2 b är att säkerställa att behöriga myndigheters utbyte av personuppgifter inte begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter kan avsikten med artikel 8.2 enligt regeringens mening inte vara att det i nationell rätt ska finnas uttömmande uppräkningar av vilka personuppgifter som får behandlas.
Som framgår av avsnitt 7.4 och 8.1.2 föreslås att vissa grundläggande bestämmelser motsvarande dem som i dag finns i 9 § personuppgiftslagen ska tas in i ramlagen. Förslagen innebär att personuppgifter enbart får behandlas för särskilda, uttryckliga och berättigade ändamål. Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas och de personuppgifter som behandlas ska vara korrekta och, om nödvändigt, uppdaterade. Att behandla ovidkommande eller onödigt många personuppgifter i förhållande till de bestämda ändamålen strider därmed mot regelverket. Dessa grundläggande krav – tillsammans med bl.a. rättegångsbalkens och brottsbalkens regler – innebär därför såväl en kvantitativ som en kvalitativ begränsning av vilka personuppgifter som får behandlas.
Till skillnad mot Datainspektionen håller regeringen med utredningen om att de föreslagna grundläggande kraven och regleringen av när känsliga personuppgifter får behandlas, tillsammans med andra tillämpliga regler, därför innebär en tillräcklig avgränsning av vilka slags personuppgifter som behöriga myndigheter får behandla. Det finns därför inget behov av ytterligare regler om det i ramlagen.
Avidentifiering bör användas i så stor utsträckning som möjligt
En fråga som särskilt bör uppmärksammas är det faktiska behovet av att använda namnuppgifter eller andra uppgifter som direkt identifierar en person, t.ex. personnummer. Kan en uppgift utföras tillfredsställande även om personuppgifterna utelämnas är de grundläggande kraven på adekvans och personuppgifternas omfattning inte uppfyllda (jfr SOU 2015:39 s. 285).
Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av myndigheterna och inte bara då uppgif-
ten registreras eller på annat sätt samlas in i verksamheten. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den hanteringen. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende i vilket personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver behandlas i ett senare skede, t.ex. vid verksamhetsuppföljning eller vid publicering på myndighetens webbplats för att informera allmänheten om ett principiellt viktigt avgörande. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgifter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering bör användas i så stor utsträckning som möjligt.
8.1.6. Åtgärder för att säkerställa personuppgifternas kvalitet
Regeringens förslag: Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga rättas utan onödigt dröjsmål. Detsamma gäller för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga.
Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.
När personuppgifter lämnas ut till en behörig myndighet, ska mottagaren så långt det är möjligt ges information som gör att det går att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
Alla rimliga åtgärder ska också vidtas för att personuppgifter som behandlas på ett otillåtet sätt utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.
I stället för att personuppgifterna raderas, ska behandlingen av uppgifterna begränsas utan onödigt dröjsmål om uppgifterna behöver finnas kvar av bevisskäl.
Regeringens bedömning: Skyldigheten att underrätta mottagare av personuppgifterna om att de är felaktiga eller behandlas på otillåtet sätt kan regleras i förordning.
Utredningens förslag överensstämmer i sak med regeringens förslag och bedömning.
Remissinstanserna: Hovrätten för Västra Sverige anser att formuleringen ”så långt det är möjligt” inte tillför något konkret när det gäller informationsskyldigheten som gör det möjligt för mottagare av personuppgifter att bedöma uppgifternas kvalitet, och är därför tveksam till om den behövs. Domstolsverket efterlyser en ingående analys av när det kan bli aktuellt med radering inom ramlagens tillämpningsområde, mot bakgrund av att lagen nästan uteslutande kommer att tillämpas av myndigheter och det följaktligen i de flesta fall kommer att bli fråga om att radera personuppgifter som finns i allmänna handlingar. Domstolsverket efterfrågar också ett klargörande resonemang om vad som avses med rättelse och begränsning. Enligt Sveriges advokatsamfund finns det en överhängande risk för att brottsbekämpande myndigheter inte kommer
att kontrollera riktigheten av personuppgifter som behandlas i brottsutredande verksamhet. Sveriges advokatsamfund anser därför att det bör införas regler om kontrollåtgärder i förordning.
Skälen för regeringens förslag och bedömning
Felaktiga uppgifter ska rättas och uppgifter som behandlas på otillåtet sätt ska raderas
Av artikel 4.1 d framgår att alla rimliga åtgärder ska vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas utan dröjsmål raderas eller rättas. Av artikeln framgår inte i vilka fall uppgifterna ska rättas och i vilka fall de ska raderas. När det gäller korrigering på begäran av registrerade görs det däremot skillnad mellan vilka åtgärder som ska vidtas med felaktiga uppgifter respektive med uppgifter som behandlas på ett otillåtet sätt. Enligt artikel 16.1 ska felaktiga personuppgifter rättas, medan uppgifter som behandlas i strid med vissa uppräknade bestämmelser i direktivet enligt artikel 16.2 ska raderas. Regeringen anser i likhet med utredningen att de två korrigeringsalternativen bör användas under samma förutsättningar oavsett om korrigering görs på den personuppgiftsansvariges eget initiativ eller på begäran av registrerade. Regleringen i ramlagen bör därför utgå från att felaktiga personuppgifter ska rättas och att personuppgifter som behandlas på otillåtet sätt ska raderas.
Korrigeringsalternativen
Enligt artikel 4.1 d är det enbart felaktiga personuppgifter som omfattas av kravet på korrigering. Med hänsyn till att den personuppgiftsansvarige enligt artikel 7.2 ska se till att inte bara felaktiga utan även ofullständiga och inaktuella personuppgifter inte överförs eller görs tillgängliga, bör kravet på rättelse i ramlagen även omfatta ofullständiga och inaktuella uppgifter. I avsnitt 8.1.2 föreslås att personuppgifter bara behöver vara uppdaterade om det är nödvändigt. Därför bör det inte krävas att inaktuella uppgifter korrigeras annat än om det är nödvändigt.
Radering anges som ett korrigeringsalternativ i artikel 4.1 d. Regeringen anser som nyss nämnts att de förutsättningar som gäller för radering på begäran av enskild bör gälla även när frågan om radering väcks av den personuppgiftsansvarige. Av artikel 16.2 framgår att radering kan komma i fråga dels om behandlingen av personuppgifter står i strid med de bestämmelser som genomför artiklarna 4, 8 och 10, dels om det krävs för att den personuppgiftsansvarige ska uppfylla en rättslig förpliktelse. Frågan som Domstolsverket väcker, när det i praktiken kan bli aktuellt att använda radering inom ramlagens tillämpningsområde, utvecklas i avsnitt 10.4.2.
Enligt artikel 16.3 ska den personuppgiftsansvarige begränsa behandlingen av personuppgifterna i stället för att radera dem, om den registrerade bestrider att de är korrekta och det inte kan fastställas eller om personuppgifterna behöver sparas som bevisning. Begränsning av behandlingen nämns inte som ett korrigeringsalternativ i artikel 4.1 d. Som tidigare nämnts medger direktivet att medlemsstaterna har starkare skyddsåtgärder än vad som krävs enligt direktivet. Mot den bakgrunden bör be-
gränsning av behandlingen läggas till som ett korrigeringsalternativ, eftersom personuppgifter kan behöva sparas som bevisning till skydd för den registrerade även när den personuppgiftsansvarige själv upptäcker att uppgifterna behandlas på otillåtet sätt. Begränsning av behandlingen på den grunden att det inte kan fastställas om personuppgifterna är korrekta blir däremot inte aktuell när korrigering görs på den personuppgiftsansvariges eget initiativ (jfr avsnitt 10.4.3).
Domstolsverket efterfrågar ett klargörande av vad som avses med rättelse och begränsning. I avsnitt 8.1.2 diskuteras vad som avses med att en uppgift är korrekt. Som redogörs för närmare i avsnitt 10.4.1 kan rättelse innebära att en felaktig eller ofullständig personuppgift ersätts av en annan uppgift som är korrekt ur ett objektivt perspektiv eller kompletteras med en uppgift om de rätta förhållandena så att den blir fullständig i objektiv mening. En felaktig uppgift kan också rättas på det sättet att den tas bort utan att ersättas. Begränsning av behandling kan, som beskrivs i avsnitt 10.4.3, ske bl.a. genom att uppgifterna avskiljs från det datasystem där de behandlas eller genom att tillgången till uppgifterna inskränks. Har behandlingen av en personuppgift begränsats får uppgiften som utgångspunkt inte längre behandlas utom för det ändamål som föranledde begränsningen.
Spridning av felaktiga uppgifter och uppgifter som behandlas på otillåtet sätt ska förhindras
Enligt artikel 7.2 ska de behöriga myndigheterna vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig myndighet ska också, i den mån det är praktiskt möjligt, kontrollera kvaliteten på personuppgifterna innan de överförs eller görs tillgängliga. Regleringen hänger naturligt samman med kravet på rättelse av felaktiga personuppgifter. I kravet på att den personuppgiftsansvarige ska göra allt för att rätta felaktiga, ofullständiga eller inaktuella personuppgifter i den egna verksamheten ligger också ett ansvar för att se till att sådana uppgifter inte lämnas ut eller görs tillgängliga. Det bör tydliggöras genom en bestämmelse i ramlagen. Däremot finns det inget behov av att särskilt reglera att den personuppgiftsansvarige ska kontrollera kvaliteten på personuppgifter innan de lämnas ut eller görs tillgängliga. Det får anses följa av det generella kravet på att den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att rätta felaktiga uppgifter.
Artikel 7.2 gäller felaktiga, ofullständiga eller inaktuella personuppgifter, medan artikel 7.3 föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga personuppgifter har överförts eller att personuppgifter har överförts olagligen. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen begränsas i enlighet med artikel 16. Vad som avses med att uppgifter olagligen överförts är inte helt klart, men i och med att radering och begränsning av behandlingen nämns som korrigeringsalternativ bör, som utredningen konstaterar, underrättelseskyldigheten omfatta också personuppgifter som behandlas på otillåtet sätt. Den personuppgiftsansvarige bör alltså vara skyldig att se till att inte heller personuppgifter som behandlas på ett otillåtet sätt lämnas ut eller görs tillgängliga.
Om det upptäcks att felaktiga personuppgifter eller personuppgifter som behandlas på otillåtet sätt har lämnats ut är det naturligt att den som har fått uppgifterna underrättas, så att uppgifterna kan rättas eller raderas eller behandlingen av dem begränsas. Skyldigheten för mottagaren att rätta, radera eller begränsa behandlingen av uppgifterna behöver inte regleras särskilt, eftersom alla behöriga myndigheter omfattas av den föreslagna skyldigheten att korrigera uppgifter som är felaktiga eller behandlas på otillåtet sätt. Underrättelseskyldigheten kan regleras i förordning.
Sveriges advokatsamfund ser en risk för att de brottsbekämpande myndigheterna inte kommer att efterkomma de regler som nu föreslås om personuppgifters kvalitet och förespråkar därför regler om kontrollåtgärder på förordningsnivå. Det är naturligtvis viktigt att de föreslagna reglerna kommer att få genomslag i praktiken. Regeringen förutsätter att behöriga myndigheter kommer att följa regelverket och anser inte att det, utöver den kontroll som kommer att ligga i tillsynsmyndighetens uppdrag (se avsnitt 11), behöver införas några förordningsbestämmelser om kontrollåtgärder.
Information i samband med utlämnande eller tillgängliggörande av personuppgifter
Vid all överföring av personuppgifter ska enligt artikel 7.2 så långt möjligt sådan nödvändig information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad uppgifterna är korrekta, fullständiga och tillförlitliga och i vilken utsträckning de är aktuella. Bestämmelsen kompletterar skyddet för den enskilde när det gäller kvaliteten på personuppgifter genom att den som tar emot uppgifterna ges möjlighet att göra en egen bedömning av deras kvalitet. Mottagaren kan då fullgöra sin skyldighet att kontrollera kvaliteten på personuppgifter som kommer från andra behöriga myndigheter. En bestämmelse om att sådan information så långt det är möjligt ska lämnas i samband med att personuppgifter lämnas ut bör tas in i ramlagen. Informationen till mottagaren kan exempelvis avse information om var personuppgifterna kommer från, vad man vet om uppgiftslämnaren, när och för vilket ändamål uppgifterna hämtades in och om uppgifterna grundar sig på fakta eller personliga bedömningar. Det kan också vara av värde för mottagaren att få veta om personuppgifterna är eller har varit föremål för domstolsbehandling och om förfarandet i så fall är avslutat. Hovrätten för Västra Sverige är tveksam till om formuleringen ”så långt det är möjligt” behövs. Eftersom formuleringen finns i artikel 7.2 ställer direktivet inte något krav på att informationsskyldigheten är absolut. Regeringen gör bedömningen att skyldigheten att lämna information bara bör gälla så långt det är möjligt, eftersom det torde variera från fall till fall i vilken utsträckning den utlämnande myndigheten har information som gör det möjligt att bedöma personuppgifternas kvalitet.
8.2. Längsta tid som personuppgifter får behandlas
Hänvisningar till S8-2
- Prop. 2017/18:232: Avsnitt 7.7
8.2.1. Terminologin bör renodlas
Regeringens bedömning: För att skilja mellan arkivrättsliga regler och regler om dataskydd bör orden bevarande och gallring bara användas i den betydelse de har i arkivlagstiftningen. Regleringen i ramlagen bör utgå från hur länge personuppgifter får behandlas för ändamål inom lagens tillämpningsområde.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten, Datainspektionen, Umeå tingsrätt och Riksarkivet är positiva till att terminologin renodlas och anser att det bidrar till ett tydligare regelverk. Övriga remissinstanser yttrar sig inte särskilt om bedömningen.
Skälen för regeringens bedömning: Regleringen av bevarande av personuppgifter är komplex. Arkivreglerna innebär att allmänna handlingar ska bevaras i arkiv och bär på så sätt upp handlingsoffentligheten.
Enligt 3 § arkivlagen (1990:782) ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen och forskningens behov. Allmänna handlingar får enligt 10 § samma lag gallras, men det ska då beaktas att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning. Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning. Med gallring avses att handlingar eller uppgifter sorteras ut och förstörs. Gallring av elektroniska upptagningar innebär normalt att information raderas från databäraren. Som gallring räknas enligt Riksarkivets föreskrifter förstöring av allmänna handlingar och uppgifter i allmänna handlingar (se t.ex. 2 kap. 1 § RA-FS 2009:1). Överföring till annan databärare räknas som gallring om överföringen medför informationsförlust, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet (SOU 2015:39 s. 526). Informationen behöver således inte förstöras för att det ska vara fråga om gallring.
Regeringen gav i oktober 2017 en särskild utredare i uppdrag att göra en bred översyn av arkivområdet, bl.a. mot bakgrund av den ökande digitaliseringen. Utredaren ska bl.a. se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området. Uppdraget ska redovisas senast den 18 november 2019 (dir 2017:106).
I flertalet registerförfattningar finns det bestämmelser om bevarande och gallring (se bl.a. 3 kap.9–15 §§polisdatalagen, 2 kap. 10 § åklagardatalagen, 4 kap.8–14 §§kustbevakningsdatalagen och 7 § lagen om behandling av personuppgifter inom kriminalvården). Gallring enligt dessa författningar görs för att skydda den enskildes integritet. Sådana regler finns också i 4 kap. tullbrottsdatalagen och 4 kap. skattebrottsdatalagen.
De personuppgifter som behöriga myndigheter behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska bevaras, medan presumtionen enligt reglerna om skydd för personuppgifter är den motsatta. I 8 § andra stycket personuppgiftslagen har arkivlagstiftningen getts företräde genom att det anges att bestämmelser om längsta tid för bevarande inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Den principen bör som utredningen föreslår, som utgångspunkt, gälla även fortsättningsvis.
Som nyss nämnts syftar gallringsbestämmelserna i myndigheternas registerförfattningar till att skydda enskildas integritet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppen bevarande och gallring enbart användas i den betydelse de har i arkivlagstiftningen. I ramlagen bör regleringen i stället utgå från hur länge personuppgifter får behandlas för ändamål inom ramlagens tillämpningsområde. Regeringen återkommer till de ändringar som kan behövas i registerförfattningarna i samband med att dessa anpassas till ramlagen.
Hänvisningar till S8-2-1
- Prop. 2017/18:232: Avsnitt 8.2.2
8.2.2. Hur länge får personuppgifter behandlas?
Regeringens förslag: Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom ramlagens tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsätta behandla personuppgifterna.
Regeringens bedömning: Att behöriga myndigheter ska ha rutiner för att säkerställa att reglerna om längsta tid för behandling av personuppgifter respekteras kan regleras i förordning.
Utredningens förslag överensstämmer med regeringens förslag och bedömning.
Remissinstanserna: Domstolsverket ifrågasätter att behandling av personuppgifter för arkivändamål ska omfattas av dataskyddsförordningens tillämpningsområde. Enligt Domstolsverket är det inte lämpligt att olika regler ska gälla beroende på om domstolarna behandlar uppgifterna medan målet fortfarande pågår eller efter det att målet har avlutats och arkiverats. Domstolsverket efterfrågar också en närmare diskussion om vad det innebär att den personuppgiftsansvarige årligen ska se över behovet av att fortsätta behandla personuppgifter. Eftersom ramlagen endast kommer att vara tillämplig på pågående mål och ärenden kan inte verket se att det kan komma att finnas personuppgifter som behandlas av domstolarna under längre tid än nödvändigt. Umeå tingsrätt anser, mot bakgrund av att det ofta finns behov av att få tillgång till personuppgifter som finns i avslutade mål, att det noga bör analyseras om en årlig över-
syn är ändamålsenlig i de allmänna domstolarnas verksamhet. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet och nuvarande reglering
Enligt artikel 4.1 e ska personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det ska enligt artikel 5 föreskrivas lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet av att lagra personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs. Behandling kan enligt artikel 4.3 inbegripa arkivändamål av allmänt intresse.
En bestämmelse som motsvarar artikel 4.1 e finns i artikel 6.1 e i 1995 års dataskyddsdirektiv, som har genomförts genom 9 § första stycket i personuppgiftslagen. Där anges att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen är inte tillämplig för polisen, Kustbevakningen och åklagarväsendet. Den är inte heller tillämplig för Tullverket eller Skatteverket i deras brottsbekämpande verksamhet. I dessa myndigheters registerförfattningar finns det i stället särskilda bestämmelser med motsvarande innehåll.
Personuppgifter får bara behandlas så länge de behövs för ändamål inom ramlagens tillämpningsområde
För de behöriga myndigheterna gäller redan i dag att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det gäller antingen för att de tillämpar 9 § personuppgiftslagen eller för att deras registerförfattningar innehåller en motsvarande bestämmelse. En motsvarande bestämmelse om hur länge personuppgifter får behandlas bör tas in i ramlagen. För att tydliggöra att det inte är fråga om bevarande i arkivlagens mening bör ordet behandlas användas i stället för bevaras. Personuppgifter bör alltså inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om en behörig myndighet behandlar en personuppgift för flera ändamål samtidigt varierar tiden för hur länge uppgiften behöver behandlas. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge.
Artikel 5 ger två möjligheter när det gäller att säkerställa att personuppgifter inte behandlas längre än nödvändigt. Enligt artikeln ska det fastställas lämpliga tidsgränser för antingen radering av personuppgifter eller periodisk översyn av behovet av att lagra personuppgifter. Eftersom det enligt artikel 4.3 är tillåtet att behandla personuppgifter för arkivändamål av allmänt intresse kan det inte rimligen krävas att uppgifterna ska raderas. Enligt regeringen bör artikeln tolkas så att det ska finnas frister för när behandlingen av personuppgifterna för ändamål inom direktivets tillämpningsområde ska upphöra.
De flesta registerförfattningar föreskriver som nyss nämnts frister för när behandlingen av personuppgifterna för ändamål som anges i författningarna ska upphöra. I bestämmelserna anges att personuppgifterna ska gallras senast vid en viss tidpunkt. Regeringen avser att se över terminologin för att renodla den i samband med att registerförfattningarna anpassas till ramlagen (se avsnitt 8.2.1).
De frister som finns täcker dock inte all personuppgiftsbehandling som utförs av de behöriga myndigheterna. Regeringen håller med utredningen om att det varken är möjligt eller lämpligt att i ramlagen ställa upp en generell frist för när behandlingen av personuppgifter för ändamål inom ramlagens tillämpningsområde ska upphöra, eftersom det varierar hur länge myndigheterna behöver kunna behandla olika typer av personuppgifter. Regleringen i ramlagen bör därför utgå från möjligheten att föreskriva tidsgränser för periodisk översyn av behovet av att behandla personuppgifter.
Enligt huvudregeln får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om den regeln kompletteras med en bestämmelse om att den behöriga myndigheten – om det saknas frist för när uppgifter inte längre får behandlas för ändamål inom ramlagens tillämpningsområde – en gång om året ska se över behovet av att fortsatt behandla personuppgifterna, säkerställs att behandlingen upphör när det inte längre finns behov av den. För de behöriga myndigheter som inte har en registerförfattning, eller där registerförfattningen inte innehåller någon särskild frist för när personuppgifter inte längre får behandlas, kommer sistnämnda regel att gälla.
Det är viktigt att de behöriga myndigheterna ser till att de frister för längsta tid för behandling som finns respekteras och skapar rutiner för att se över behovet av att fortsatt behandla personuppgifter. Regeringen anser, i likhet med utredningen, att de särskilda fristerna och den föreslagna bestämmelsen om periodisk översyn kan kompletteras med föreskrifter på lägre nivå om att de behöriga myndigheterna ska ha rutiner för att se till att bestämmelserna efterlevs. Direktivets krav på procedurrelaterade åtgärder blir därmed uppfyllt.
Domstolsverket och Umeå tingsrätt har väckt frågan hur kravet på årlig översyn förhåller sig till domstolarnas verksamhet. Kravet på årlig översyn gäller endast om det saknas frist för hur länge personuppgifter får behandlas för ändamål inom ramlagens tillämpningsområde. Som framgår ovan är syftet med både årlig översyn och fastställda frister för när personuppgiftsbehandling ska upphöra, att säkerställa att behöriga myndigheter följer huvudregeln att personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om det är nödvändigt för domstolarna att behandla personuppgifter så länge mål och ärenden pågår, torde den årliga översynen för domstolarnas del kunna vara mycket generell. Av direktivets krav på fastställda tidsgränser för antingen radering eller periodisk översyn är det senare alternativet det minst ingripande.
Behandling för arkivändamål
Enligt 8 § andra stycket personuppgiftslagen hindrar lagens bestämmelser om hur länge personuppgifter får bevaras inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen gäller för några av de behöriga myndigheterna. Arkivlagstiftningen har alltså i fråga om allmänna handlingar företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid. För polisen, åklagarväsendet och Kustbevakningen har det gjorts undantag från 8 § andra stycket. I de myndigheternas registerförfattningar finns i stället som nyss nämnts särskilda regler om gallring. Motsvarande reglering finns för Tullverkets och Skatteverkets brottsbekämpande verksamhet.
Enligt artikel 4.3 kan behandling inbegripa arkivändamål av allmänt intresse. För att tydliggöra att personuppgifter får arkiveras när de inte längre behövs för något av de andra i ramlagen tillåtna ändamålen bör det tas in en bestämmelse i ramlagen som motsvarar 8 § andra stycket personuppgiftslagen. I vilken utsträckning personuppgifterna ska gallras regleras i det arkivrättsliga regelverket.
Det bör anmärkas att behandling för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde, oavsett om det är den behöriga myndigheten som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet. Domstolsverket har ifrågasatt detta, men eftersom dataskyddsdirektivet och följaktligen den föreslagna ramlagen endast gäller för behöriga myndigheters personuppgiftsbehandling för vissa syften (se avsnitt 6), faller behandling av personuppgifter för arkivändamål av allmänt intresse in under dataskyddsförordningen. Umeå tingsrätt har påpekat att domstolarna ofta har behov av att få tillgång till personuppgifter som finns i avslutade mål. Om ett avslutat brottmål har arkiverats blir dataskyddsförordningen tillämplig på de arkiverade personuppgifterna. Det hindrar inte att de arkiverade personuppgifterna hämtas för att behandlas i ett nyinkommet brottmål. Det blir då ramlagen och eventuell annan lagstiftning som genomför dataskyddsdirektivet som ska tillämpas på de hämtade personuppgifterna.
8.3. Automatiserade beslut
Regeringens förslag: Om ett beslut har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne och beslutet enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet prövat på nytt av någon person. Automatiserade beslut får inte enbart grundas på känsliga personuppgifter.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt om förslaget.
Skälen för regeringens förslag: I artikel 11 föreskrivs att det ska införas förbud mot automatiserade beslut som inbegriper profilering, såvida
inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är föreskrivet lämpliga skyddsåtgärder för den enskilde. Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Enligt skäl 38 ska skyddsåtgärderna innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Sådana beslut som avses i artikel 11 får inte grundas på känsliga personuppgifter, om inte lämpliga skyddsåtgärder har vidtagits.
Med automatiserade beslut avses beslut som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid. Automatiserade beslut förekommer i viss utsträckning inom den svenska förvaltningen, men det rör sig främst om beslut i skattefrågor och i frågor som regleras i socialförsäkringsbalken. Inom ramlagens tillämpningsområde förekommer det i dag inga automatiserade beslut, men med teknikutvecklingen kan det inte uteslutas att det i framtiden kommer att finnas sådana. Eftersom direktivet sätter gränser för beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne och som enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, bör ramlagen innehålla en bestämmelse om sådana beslut. Det finns dock inget skäl att öppna för möjligheten att meddela automatiserade beslut som enbart grundar sig på känsliga personuppgifter. Sådana beslut bör därför inte tillåtas.
I 29 § personuppgiftslagen finns en liknande bestämmelse om automatiserade beslut. Den bör tjäna som utgångspunkt för hur bestämmelsen i ramlagen utformas.
Information avseende automatiserade beslut behandlas i avsnitt 10.2.9 och överklagande i avsnitt 13.4.
Hänvisningar till S8-3
- Prop. 2017/18:232: Avsnitt 18.1
8.4. Användningsbegränsning
Regeringens förslag: Om det inte är särskilt föreskrivet får villkor för behandlingen av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare.
Regeringens bedömning: Att mottagaren ska informeras om sådana villkor kan regleras i förordning.
Utredningens förslag överensstämmer i huvudsak med regeringens förslag och bedömning. Utredningen föreslår att det i vissa författningar som innehåller bestämmelser om användningsbegränsningar ska införas en upplysning om att det i ramlagen finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Remissinstanserna: Ingen remissinstans invänder mot förslaget och bedömningen.
Skälen för regeringens förslag och bedömning: I artikel 9.3 föreskrivs skyldighet för behöriga myndigheter att informera mottagare av
personuppgifter om att det har ställts upp begränsningar för hur uppgifterna får behandlas och att sådana användningsbegränsningar måste respekteras. Enligt artikel 9.4 ska fastställda villkor för behandlingen av personuppgifter inte tillämpas i förhållande till mottagare i andra medlemsstater eller på byråer eller organ som har inrättats i enlighet med bestämmelserna om straffrättsligt samarbete och polissamarbete i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), med undantag för sådana villkor som är tillämpliga när personuppgifter i motsvarande fall lämnas ut nationellt.
Rätten att ställa upp användningsbegränsningar ska enligt artikel 9.3 framgå av unionsrätten eller av nationell rätt. Artikeln skapar ingen rätt för behöriga myndigheter att ställa upp användningsbegränsningar, utan innebär endast en skyldighet att informera när sådana villkor har ställts upp på grund av andra regler. Informationsskyldigheten kan regleras i förordning.
Användningsbegränsningar ska enligt artikel 9.4 inte tillämpas i förhållande till mottagare i andra medlemsstater eller EU-organ, utom sådana villkor som är tillämpliga när personuppgifter i motsvarande fall lämnas ut nationellt. Artikeln torde innebära att användningsbegränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i andra medlemsstater än vad som är tillåtet i förhållande till mottagare i den egna medlemsstaten.
Det bör regleras att användningsbegränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i en annan medlemsstat eller ett EU-organ än vad som gäller i förhållande till mottagare i Sverige, om det inte är särskilt föreskrivet. Bestämmelser om när användningsbegränsningar får ställas upp finns inom ramlagens tillämpningsområde i lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1219) om internationellt tullsamarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, lagen (2017:496) om internationellt polisiärt samarbete och lagen (2017:1000) om en europeisk utredningsorder.
Av artikel 60 framgår att direktivet inte ska påverka särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området som trädde i kraft den 6 maj 2016 eller tidigare, vilka gäller behandling mellan medlemsstater eller tillgång till informationssystem som inrättats på grundval av fördragen och som är relevanta för direktivets tillämpningsområde (se avsnitt 6.3). Dataskyddsbestämmelser i sådana rättsakter ska alltså gälla framför direktivet. Om det enligt en sådan rättsakt är tillåtet att ställa upp användningsbegränsningar i förhållande till andra medlemsstater, trots att motsvarande möjlighet inte finns när det gäller nationella mottagare, bör därför bestämmelser om det kunna behållas. Bestämmelserna om användningsbegränsningar i de författningar som nämns ovan kommer således att gälla framför den bestämmelse som nu föreslås. Mot den bakgrunden bör sådana upplysningsbestämmelser som utredningen föreslår inte införas i aktuella författningar. Artikel 9.4 får tolkas som att den avser användningsbegränsningar i samband med uppgiftsutbyte i andra fall.
Hänvisningar till S8-4
- Prop. 2017/18:232: Avsnitt 18.1
8.5. Uppgifter till rättsstatistiken
Regeringens förslag: Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig om förslaget. Skälen för regeringens förslag: I avsnitt 6.1.2 anges att de brottsbekämpande myndigheternas registerförfattningar kommer att gälla utöver ramlagen och att en konsekvens av den ändrade strukturen är att vissa bestämmelser som i dag finns i registerförfattningarna kommer att behöva flyttas till ramlagen, om de är av den arten att de bör gälla för all verksamhet inom direktivets tillämpningsområde.
I 9 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 14 § polisdatalagen, 2 kap. 12 § åklagardatalagen, 2 kap. 15 § tullbrottsdatalagen och 2 kap. 14 § skattebrottsdatalagen föreskrivs att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik. Eftersom regleringen är av generell natur håller regeringen med utredningen om att en bestämmelse om det i stället bör införas i ramlagen.
Kustbevakningen har i dag ingen skyldighet att lämna sådan statistik och det finns därför ingen bestämmelse om uppgiftslämnande till rättsstatistiken i kustbevakningsdatalagen. Det hindrar inte att regleringen placeras i ramlagen.
Hänvisningar till S8-5
- Prop. 2017/18:232: Avsnitt 18.1
9. Personuppgiftsansvariga och personuppgiftsbiträden
9.1. Vad innebär personuppgiftsansvar?
9.1.1. Definition av personuppgiftsansvarig
Regeringens förslag: Personuppgiftsansvarig ska i ramlagen definieras som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Personuppgiftsansvar är ett centralt begrepp i dataskyddslagstiftningen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den enskilde kan vända sig till för att göra sina rättigheter gällande. Den personuppgiftsansvarige har det ansvaret. Det är viktigt att det tydligt framgår vem som är personuppgiftsansvarig och därför bör det i ramlagen definieras vad som avses med det.
Personuppgiftsansvarig definieras i artikel 3.8 i direktivet som en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Definitionen i direktivet motsvarar den som finns i 3 § personuppgiftslagen (1998:204). Definitionen är väl inarbetad och bör därför användas även i ramlagen. Det bör dock framgå att endast behöriga myndigheter kan vara personuppgiftsansvariga. Personuppgiftsansvarig bör följaktligen definieras som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Av artikel 3.8 i direktivet följer även en möjlighet att i nationell rätt bestämma vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. I de brottsbekämpande myndigheternas registerförfattningar anges i dag vem som är personuppgiftsansvarig för den aktuella verksamheten. Regeringen återkommer till hur detta ska regleras i samband med att registerförfattningarna anpassas till den nya ramlagen. När det gäller de verksamheter där endast ramlagen är tillämplig instämmer regeringen i utredningens bedömning att definitionen i ramlagen ger tillräcklig vägledning för vem som är personuppgiftsansvarig.
Hänvisningar till S9-1-1
- Prop. 2017/18:232: Avsnitt 18.1
9.1.2. Personuppgiftsansvarets omfattning
Regeringens förslag: Den personuppgiftsansvarige ska vara ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anser att bestämmelsen om personuppgiftsansvarigas allmänna ansvar knappast handlar om deras skyldigheter och därför bör flyttas till kapitel 1. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Av ramlagen ska det framgå vad den personuppgiftsansvarige är skyldig att göra i olika situationer, t.ex. samarbeta med tillsynsmyndigheten, vidta säkerhetsåtgärder och utse dataskyddsombud. Detta bör regleras i ett eget kapitel i lagen som även omfattar personuppgiftsbiträden och deras skyldigheter.
Enligt artikel 4.4 i direktivet ska den personuppgiftsansvarige inte bara ansvara för att personuppgiftsbehandlingen utförs på ett lagligt och korrekt sätt och i övrigt i enlighet med de grundläggande principer som gäller för behandlingen, utan även kunna visa att principerna efterlevs. Det bör i ramlagen klargöras hur långt personuppgiftsansvaret sträcker sig. I en sådan grundläggande bestämmelse bör den personuppgiftsansvariges helhetsansvar slås fast. I likhet med utredningen anser regeringen att den bestämmelsen bör placeras först i det kapitel som gäller personuppgiftsansvariga, personuppgiftsbiträden och deras skyldigheter.
Enligt skäl 50 i direktivet bör personuppgiftsansvariga åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. På så sätt kommer personuppgiftsansvaret att omfatta dels den personuppgiftsbehandling som förekommer vid den behöriga myn-
digheten, dels den personuppgiftsbehandling som ett personuppgiftsbiträde utför på den personuppgiftsansvariges vägnar.
Den personuppgiftsansvariges helhetsansvar får också betydelse för det skadeståndsrättsliga ansvaret och ansvaret för eventuella sanktionsavgifter. Regeringen återkommer till dessa frågor (se avsnitt 13.3.2 och 12.4).
Den omständigheten att det har utsetts ett dataskyddsombud påverkar inte personuppgiftsansvaret, eftersom ett dataskyddsombud inte har något ansvar för personuppgiftsbehandlingen (se avsnitt 9.5.3).
Enligt artikel 23 ska den som får tillgång till personuppgifter endast behandla dem enligt instruktion från den personuppgiftsansvarige. Varje medarbetare måste därför vid behandling av personuppgifter se till att regelverket för sådan behandling följs, men ansvaret för att medarbetarna får tillräckliga instruktioner och den utbildning som krävs vilar på den personuppgiftsansvarige.
Hänvisningar till S9-1-2
- Prop. 2017/18:232: Avsnitt 18.1
9.2. Skyldigheten att säkerställa författningsenlig behandling
9.2.1. Tekniska och organisatoriska åtgärder
Regeringens förslag: Den personuppgiftsansvarige ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas.
Den personuppgiftsansvarige ska också genom lämpliga tekniska och organisatoriska åtgärder se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd). I automatiserade behandlingssystem ska det som regel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
Regeringens bedömning: Vilka omständigheter som ska beaktas när den personuppgiftsansvarige beslutar om tekniska och organisatoriska åtgärder kan regleras i förordning.
Att den personuppgiftsansvarige ska anta interna strategier för dataskydd kan också regleras i förordning.
Utredningens förslag överensstämmer i sak med regeringens förslag och bedömning.
Remissinstanserna: Datainspektionen invänder att artikel 20.2 i direktivet inte medger att kravet på dataskydd som standard begränsas till automatiserade behandlingssystem. Vidare anser inspektionen att uppräkningen i artikel 20.2 bör tas in i ramlagen. Malmö kommun anför att de utökade säkerhetskraven är betungande och ställer sig frågande till att de införs, särskilt när endast en begränsad del av myndighetens verksamhet omfattas av ramlagens tillämpningsområde. Norrköpings kommun framhåller att det med hänsyn till upphandlingsreglerna kan finnas praktiska svårigheter med att byta ut eller justera befintliga standardprogram inför ikraftträdandet av lagförslaget. Polismyndigheten anser att begreppet dataskydd som standard ingår i begreppet inbyggt dataskydd. Myndigheten anför vidare att begreppsbildningen bör ses över och göras
konsekvent i det fortsatta lagstiftningsarbetet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
Enligt artikel 19.1 ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med direktivet. Åtgärderna ska vidtas med beaktande av behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter. Åtgärderna ska ses över och uppdateras vid behov. Enligt artikel 19.2 ska åtgärderna, om det står i proportion till behandlingen, omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
I artikel 20.1 regleras principen om inbyggt dataskydd. Inbyggt dataskydd innebär att den personuppgiftsansvarige, både vid beslut om vilka medel behandlingen ska utföras med och vid själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder som återspeglar dataskyddsprinciper och integrerar nödvändiga skyddsåtgärder i behandlingen. Åtgärderna ska vidtas med beaktande av den senaste utvecklingen, kostnader för genomförandet, behandlingens art, omfattning, sammanhang och ändamål och risken för fysiska personers rättigheter och friheter. Pseudonymisering anges som exempel på en åtgärd som bör vidtas och uppgiftsminimering som exempel på en dataskyddsprincip som bör genomföras.
I artikel 20.2 kommer principen om dataskydd som standard till uttryck. Enligt artikeln ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten avser mängden insamlade uppgifter, behandlingens omfattning, hur länge uppgifterna får lagras och uppgifternas tillgänglighet. Framför allt ska åtgärderna säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal andra personer.
Bestämmelserna om tekniska och organisatoriska åtgärder saknar motsvarighet i 1995 års dataskyddsdirektiv och i personuppgiftslagen. I 31 § personuppgiftslagen finns dock bestämmelser om säkerhetsåtgärder.
Lämpliga tekniska och organisatoriska åtgärder ska vidtas
Artikel 4.1 i direktivet innehåller allmänna och grundläggande principer för behandling av personuppgifter. Av artikel 4.4 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa efterlevnaden av dessa grundläggande principer. Enligt artikel 19.1 är den personuppgiftsansvarige skyldig att vidta lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med gällande rätt. Den artikeln tar sikte på de åtgärder som behövs för att bl.a. de grundläggande principerna om behandling av personuppgifter i artikel 4.1 ska kunna efterlevas.
Artikel 19.1 bör genomföras, men det är inte möjligt att i ramlagen ange vilka tekniska och organisatoriska åtgärder som den personupp-
giftsansvarige bör vidta. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om. Vilka omständigheter som den personuppgiftsansvarige ska beakta vid beslut om åtgärder kan regleras i förordning. Vilka tekniska och organisatoriska åtgärder som kan krävas varierar också beroende på vilka personuppgifter som ska behandlas. Det kan vara lämpligt att regeringen eller den myndighet som regeringen bestämmer vid behov utfärdar närmare riktlinjer på området.
Enligt artikel 19.1 ska den personuppgiftsansvarige inte bara säkerställa att behandlingen utförs författningsenligt utan också kunna visa att så är fallet. Det bör innebära att den personuppgiftsansvarige bl.a. ska se till att behandlingar och vidtagna åtgärder dokumenteras och att det är tekniskt möjligt att spåra behandlingar genom loggning och att loggningen följs upp. Den personuppgiftsansvariges generella ansvar att vidta åtgärder bör tydliggöras i en särskild bestämmelse.
Enligt artikel 19.2 ska den personuppgiftsansvarige, om det står i proportion till behandlingen, anta lämpliga strategier för dataskydd. I skäl 53 anges att det är interna strategier som avses. Eftersom både direktivet och dataskyddsförordningen använder termen strategier bör den användas i regleringen på nationell nivå.
Direktivet ger ingen vägledning i fråga om vad som krävs för att skyldigheten att anta strategier ska vara proportionerlig. Enligt utredningens mening bör i vart fall personuppgiftsansvariga under vars ansvar det dagligen behandlas en större mängd personuppgifter eller hanteras behandlingssystem av större omfattning åläggas att anta interna strategier för skydd av personuppgifter. Det omfattar merparten av de behöriga myndigheterna inom ramlagens tillämpningsområde. Om en myndighet endast i liten omfattning behandlar personuppgifter inom ramlagens tilllämpningsområde finns det inte samma behov av sådana strategier. Mot den bakgrunden anser regeringen att alla personuppgiftsansvariga bör vara skyldiga att anta interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning. En bestämmelse om det kan tas in i förordning.
Inbyggt dataskydd
Begreppet inbyggt dataskydd innebär att integritetsfrågor ska påverka itsystemen från förstudie och kravställning via design och utveckling till användning och avveckling. Genom krav på att integritetsfrågor ska beaktas under hela tidsperioden kan säkerheten i systemen höjas och författningsenlig och korrekt behandling underlättas. Artikel 20.1 bör mot den bakgrunden genomföras i ramlagen.
På samma sätt som när det gäller artikel 19.1 är det inte möjligt att i ramlagen ange vilka tekniska och organisatoriska åtgärder som den personuppgiftsansvarige bör vidta för att leva upp till principen om inbyggt dataskydd. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om och vilka personuppgifter som ska behandlas. Det handlar främst om åtgärder för att minimera mängden personuppgifter, begränsa åtkomsten till uppgifterna och på olika sätt skydda dem. Vilka omständigheter som ska beaktas vid beslut om sådana åtgärder kan regleras i förordning.
Dataskydd som standard
Begreppen inbyggt dataskydd och dataskydd som standard är svårtillgängliga, vilket Polismyndighetens remissynpunkt belyser. Regeringen har dock svårt att se att begreppen skulle bli enklare att förhålla sig till med en annan begreppsbildning än den som utredningen har använt och som utgår från direktivets lydelse. Regeringen använder därför begreppen på samma sätt som utredningen.
Dataskydd som standard kan, som utredningen angett, sägas innebära att arbetsflödena i ett system automatiskt ska styra användaren mot ett integritetssäkert arbetssätt och att grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas. Direktivet föreskriver att personuppgiftsansvariga ska vidta lämpliga åtgärder för att i standardfallet säkerställa att så sker. Ramlagen bör innehålla en bestämmelse om detta.
Regeringen instämmer i utredningens bedömning att skyldigheten bör gälla oavsett omständigheterna. Den personuppgiftsansvarige ska alltså säkerställa dataskydd som standard oavsett vilken behandling eller vilka personuppgifter det rör sig om och utan hänsyn till vad åtgärderna kostar. Dataskydd som standard bör i princip gälla i alla system där personuppgifter behandlas, men det måste finnas visst utrymme för avsteg från huvudregeln i de fall där den personuppgiftsansvarige inte har rätt att införa sådana åtgärder. Som exempel kan nämnas standardprogram som Word och Outlook, där användaren inte råder över de tekniska lösningarna. De behöriga myndigheterna måste dock kunna använda även sådana system. Mot den bakgrunden instämmer regeringen i utredningens bedömning att kravet på dataskydd som standard endast bör gälla i automatiserade behandlingssystem. En sådan ordning kan, till skillnad från vad Datainspektionen har anfört, inte anses vara oförenlig med direktivet. Vad som avses med automatiserade behandlingssystem behandlas i avsnitt 9.2.2.
Även om kravet på dataskydd som standard endast gäller i automatiserade behandlingssystem måste de behöriga myndigheterna säkerställa att även behandling i de standardprogram som används lever upp till de grundläggande kraven på behandling av personuppgifter.
I artikel 20.2 anges att den personuppgiftsansvariges skyldighet gäller mängden insamlade uppgifter, behandlingens omfattning, lagringstiden och uppgifternas tillgänglighet. Regleringen avser alltså inte enbart tillgången till personuppgifter i sig, utan åtgärder ska även vidtas för att säkerställa att inte fler personuppgifter än nödvändigt behandlas, att uppgifterna endast behandlas på ett sådant sätt och så länge som det är nödvändigt och uppgifterna inte görs tillgängliga för fler personer än vad som är nödvändigt. Datainspektionen anser att uppräkningen i artikel 20.2 bör tas in i ramlagen. Regeringen instämmer dock i utredningens bedömning en sådan uppräkning i lagen kan riskera att låsa myndigheterna vid viss utformning av automatiserade behandlingssystem. Direktivets uppräkning bör därför inte föras över till lagen.
Hänvisningar till S9-2-1
- Prop. 2017/18:232: Avsnitt 18.1
9.2.2. Loggning
Regeringens förslag: Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning som det är särskilt föreskrivet.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Domstolsverket anser att det med utredningens förslag är svårt för en personuppgiftsansvarig att veta när skyldigheten att t.ex. föra loggar är uppfylld och menar att detta är särskilt allvarligt med hänsyn till risken för att drabbas av sanktionsavgift. Säkerhetspolisen anför att kraven på loggning är nya och kostnadsdrivande och att det därför finns ett stort behov av en övergångsbestämmelse avseende bestämmelserna om loggning. Datainspektionen avstyrker förslaget om att kravet på loggning ska begränsas till automatiserade behandlingssystem och anför att begränsningen riskerar att försämra skyddet för den enskildes personliga integritet i förhållande till nuvarande regelverk. Datainspektionen anser vidare att det bör författningsregleras hur loggarna får användas. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Innehållet i direktivet och nuvarande reglering
Artikel 25.1 föreskriver att loggar, dvs. dokumentation, ska föras över vissa typer av behandlingar i automatiserade behandlingssystem. Loggningen ska avse insamling, ändring, läsning, utlämning (inklusive överföringar), sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling, vem som har läst eller lämnat ut personuppgifter och vilka som har fått tillgång till dem. Av artikel 25.2 framgår att loggarna bara bör användas för att kontrollera om behandlingen är tillåten, för att säkerställa personuppgifternas integritet och säkerhet, för egenkontroll och för straffrättsliga förfaranden. Här avses med att säkerställa personuppgifternas integritet att de ska skyddas mot förvanskning eller förändring. Loggarna ska, enligt artikel 25.3, på begäran göras tillgängliga för tillsynsmyndigheten. Bestämmelsen riktar sig även till personuppgiftsbiträden.
Som tidigare nämnts ställs krav på säkerhetsåtgärder i 31 § personuppgiftslagen. De anses även omfatta loggning och liknande åtgärder. Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår att det, beroende på känsligheten hos personuppgifterna, bör finnas en behandlingshistorik (logg) som sparas viss tid så att åtkomsten till uppgifterna kan kontrolleras. Enligt råden bör en behandlingshistorik normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Historiken bör, beroende på hur känsliga personuppgifterna är, ange t.ex. läsning, ändring, utplåning eller kopiering av personuppgifter (Säkerhet för personuppgifter, Datainspektionens allmänna råd, november 2008, s. 22). Bestämmelser om loggning kan även finnas i myndighetsföreskrifter.
Loggning i automatiserade behandlingssystem
Loggning är en säkerhetsåtgärd som innebär att behandlingshistorik sparas under en viss tid. Det är en teknisk funktion i systemet som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Loggning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information både om hur behandlingssystemen används och om externa och interna angrepp mot systemen. Loggning är således mycket viktig för det interna säkerhetsarbetet. Den ger också tillsynsmyndigheten nödvändig information för granskning i efterhand av hur personuppgifter har behandlats. Det bör finnas en bestämmelse i ramlagen som slår fast att det krävs loggning. I vilken utsträckning som loggning bör göras kan regleras i förordning.
Direktivet föreskriver att loggar ska föras över behandlingar i automatiserade behandlingssystem men uttrycket definieras inte. Det används endast i artikel 25.1 som handlar om loggning och i artikel 29.2 som räknar upp olika säkerhetsåtgärder. I den sistnämnda artikeln används uttrycket i samband med behörig åtkomst till automatiserade behandlingssystem och loggning av aktivitet i sådana system. Att uttrycket ”automatiserade behandlingssystem” bara används i dessa sammanhang talar för att det är en viss typ av system som avses och således inte it-system generellt. Den tolkningen framstår också som mest rimlig med tanke på vilka krav som ställs på loggning. Ser man till syftet med loggningen framstår behovet av den som störst vid användning av verksamhetsspecifika behandlingssystem.
Loggar bör alltså föras i automatiserade behandlingssystem. Regeringen anser i likhet med utredningen att automatiserade behandlingssystem i detta sammanhang bör avse för verksamheten särskilt utformade eller anpassade behandlingssystem där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. Däremot bör standardprogram som Word, Outlook och Excel, av samma skäl som anges när det gäller dataskydd som standard, inte omfattas av de i direktivet preciserade kraven på loggning. Olika lagringsytor, som t.ex. usb-minnen och anställdas personliga mappar på den egna datorn, bör också undantas från de kraven. Personuppgiftsregleringen i övrigt gäller däremot för behandling som utförs i sådan programvara och på sådana lagringsytor även om de inte omfattas av de preciserade kraven på loggning. De närmare detaljerna kan regleras på lägre normgivningsnivå.
Förslaget att de mer preciserade kraven på loggning i direktivet ska begränsas till automatiserade behandlingssystem ska inte uppfattas som att kraven på annan behandling av personuppgifter i sådana system är lägre än vad som gäller för behandling i andra system.
Loggning är ett viktigt inslag i det övergripande kravet på att personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, vilket innebär att loggning kan krävas även i andra fall. Vilka uppgifter som kan behöva loggas kan dock variera. Det kan t.ex. vara viktigare med loggning i system som ett flertal personer använder än i system som enbart ett fåtal har tillgång till. Mot bakgrund av att alla de detaljkrav på loggning som direktivet ställer upp inte alltid är möjliga att leva upp till i alla system, bör regleringen i ram-
lagen begränsas till vad som krävs enligt direktivet. Som utredningen konstaterar riskerar respekten för regleringen att urholkas om det ställs detaljkrav som den personuppgiftsansvarige inte kan leva upp till.
Även om ramlagens krav på loggning inte gäller i andra system än automatiserade behandlingssystem bör de personuppgiftsansvariga när det är tekniskt möjligt ha loggning även i sådana system. Loggning krävs normalt även där för att ge tillräckligt underlag för intern kontroll. Dessutom måste personuppgiftsansvariga se till att behandling av integritetskänsliga personuppgifter inte utförs vid sidan av automatiserade behandlingssystem i syfte att kringgå ramlagens krav. Tillsynsmyndigheten bör också i enskilda fall kunna ställa krav på loggning om det är en skydds- eller säkerhetsåtgärd som är nödvändig för att behandlingen ska omgärdas med tillräckligt skydd.
Sammanfattningsvis anser regeringen, trots att Datainspektionen har avstyrkt förslaget, att kravet på loggning ska begränsas till automatiserade behandlingssystem.
Det kommer att behövas tid för myndigheterna att göra de verksamhets- och systemanalyser som krävs för att klarlägga i vilken utsträckning dagens system för loggning uppfyller regleringen och vilka eventuella förändringar som kan behövas. Som Säkerhetspolisen anför kan de nya kraven också komma att bli kostnadsdrivande. I avsnitt 17.2.3 redogör regeringen för behovet av övergångsbestämmelser, bl.a. när det gäller bestämmelserna om loggning i automatiserade behandlingssystem.
Vad ska loggas?
Loggar bör föras över de typer av behandlingar som anges i artikel 25.1. Därutöver bör även överföringar till tredjeland eller internationella organisationer loggas.
En behandlingshistorik bör normalt vara utformad så att den avslöjar felaktig eller obehörig användning av personuppgifter. När det gäller läsning och utlämning av personuppgifter ska enligt direktivet loggarna göra det möjligt att få fram viss typ av information. Eftersom loggning är ett automatiskt förfarande kan endast viss information om behandlingen dokumenteras. Det rör sig främst om datum och tidpunkt för behandlingen. Information om vem som har behandlat personuppgiften går också att få fram om de anställda har tilldelats behörigheter och det krävs inloggning i systemen. När det gäller utlämnande av uppgifter kan identiteten på den som har lämnat ut uppgifterna endast fastställas om de lämnats ut elektroniskt via systemet. Detsamma gäller överföringar till tredjeland eller internationella organisationer. Det bör dock vara möjligt att logga om en medarbetare har överfört, laddat ner eller skrivit ut uppgifter. Det är däremot inte möjligt att logga om uppgifterna sedan lämnas ut på annat sätt än elektroniskt, t.ex. muntligen eller på papper. Det kan också vara svårt att logga om uppgifterna lämnas ut via e-post.
Loggarna över läsning och utlämning ska enligt direktivet göra det möjligt att fastställa motiveringen för behandlingen. I skäl 57 anges att identiteten på den person som läst eller lämnat ut uppgifter bör loggas och från den identifieringen skulle det kunna vara möjligt att fastställa motiveringen till behandlingen. Skälen till att någon i ett visst fall tar del av eller lämnar ut en viss personuppgift kan dock knappast fastställas
automatiskt genom loggning. En skyldighet att automatiskt logga motiveringen till varför personuppgifter behandlas bör därför inte införas.
I artikel 25 anges att loggarna över läsning och utlämning även ska visa vilka som har fått tillgång till personuppgifterna. Kravet skulle kunna avse både intern och extern tillgång. Det som avses här torde dock framför allt vara de personer eller myndigheter till vilka uppgifterna har lämnats ut. Sådan information kan bara loggas om utlämnandet görs elektroniskt via systemet. Det kan t.ex. göras om någon har direktåtkomst till vissa uppgifter i ett system eller om uppgifter överförs elektroniskt efter förfrågan. Den utlämnande myndigheten bör genom loggning kunna fastställa vilken annan myndighet som har fått tillgång till viss information, men knappast få fram information om vilken medarbetare hos den andra myndigheten som har tagit del av informationen. Sådan information bör dock finnas hos mottagaren, om detta är en behörig myndighet. Detta bör vara tillräckligt för att uppfylla kraven i direktivet. Domstolsverket anser att det är svårt att veta när skyldigheten att föra loggar är uppfylld. Vad som ska loggas bör regleras i förordning eller genom föreskrifter på lägre normgivningsnivå eftersom behov, arbetssätt och tekniska möjligheter att logga varierar. Genom införandet av sådana föreskrifter bör tillräcklig vägledning vad gäller skyldigheten att föra loggar finnas.
Hur ska loggarna användas?
De flesta behöriga myndigheter för redan i dag loggar som en del av informationssäkerhetsarbetet. Tanken är inte att de behöriga myndigheterna ska åläggas att föra ytterligare en logg enbart för personuppgiftsbehandlingen. De system för loggning som i dag används främst i informationssäkerhetssyfte bör normalt kunna användas även för kontroll ur ett integritetsskyddsperspektiv. Av artikel 25.2 framgår att loggar endast får användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet och för straffrättsliga förfaranden. Det innebär att loggarna bara får användas i informationssäkerhetssyfte.
Syftet med loggning är att åtkomsten till personuppgifterna ska kunna kontrolleras, bl.a. för att göra det möjligt att utreda felaktig eller obehörig användning av uppgifterna. För att det ska kunna göras måste loggarna sparas en viss tid. Loggning kan också ha en förebyggande funktion. Det förutsätter att användarna informeras om att det förs loggar och att de kontrolleras. Loggningen bör alltså följas upp och loggarna skyddas mot otillåtna ändringar.
Det är viktigt att skilja mellan själva loggningen och uppföljning av loggningen. Logguppföljning bör göras systematiskt och återkommande i syfte att upptäcka och motverka obehörig åtkomst. Uppföljning bör också göras vid misstanke om att någon obehörigen tagit del av personuppgifter. Det kan vidare finnas anledning att följa upp behandlingshistoriken t.ex. på områden där det finns särskilt integritetskänsliga personuppgifter eller behörigheter som ger stora möjligheter till åtkomst. Det kan också finnas skäl att kontrollera vissa inloggningsmönster. Myndigheterna bör ha rutiner för logguppföljningen. Den personuppgiftsansvarige bör exempelvis ge riktlinjer och vägledning till den som kontrollerar
loggarna beträffande vad som kan vara obehörig åtkomst. Vid logguppföljning måste också reglerna om meddelarfrihet och efterforskningsförbud i tryckfrihetsförordningen och yttrandefrihetsgrundlagen beaktas, vilket innebär att möjligheten till uppföljning i vissa fall begränsas eller kan vara otillåten.
Det är av största vikt att loggningssystem inte missbrukas eller används för andra syften än som varit avsett. I likhet med utredningen anser dock regeringen att det inte bör författningsregleras hur loggarna får användas, eftersom detta skulle riskera att låsa fast myndigheterna vid ett visst arbetssätt eller omöjliggöra användning som kan visa sig vara nödvändig. Detta innebär inte att användningen av loggar bör vara helt oreglerad. Utöver myndigheternas interna föreskrifter och riktlinjer får tillsynsmyndigheten ge vägledning för användningen av loggar, t.ex. genom allmänna råd och riktlinjer.
Loggarna utgör sådan dokumentation som tillsynsmyndigheten har rätt att på begäran få del av. Någon särskild bestämmelse som föreskriver att loggarna ska göras tillgängliga för tillsynsmyndigheten behövs därför inte.
9.2.3. Tillgången till personuppgifter
Regeringens förslag: Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Nuvarande reglering
I de flesta registerförfattningar inom ramlagens tillämpningsområde finns det bestämmelser som begränsar medarbetarnas tillgång till personuppgifter. Så är fallet i exempelvis 2 kap. 11 § polisdatalagen (2010:361), 2 kap. 9 § åklagardatalagen (2015:433) och 8 § domstolsdatalagen (2015:728). Av paragraferna framgår att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Tillgången till personuppgifter ska begränsas
I artikel 4.1 c, som anger de grundläggande principerna för behandling, föreskrivs att personuppgifter inte får vara för omfattande i förhållande till de syften för vilka de behandlas. Av artikel 29.2 e, som behandlar säkerhetsåtgärder, framgår att den personuppgiftsansvarige eller personuppgiftsbiträdet ska säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet. Frågan är om det i ramlagen bör tas in en generell bestämmelse om tillgången till personuppgifter.
När stora informationsmängder är samlade på ett sådant sätt att integritetskänsliga personuppgifter är enkelt sökbara på elektronisk väg finns
det uppenbara risker för intrång i den personliga integriteten. I förarbetena till flera av registerförfattningarna påtalas vikten av att det säkerställs att integritetskänsliga personuppgifter görs tillgängliga bara för dem som behöver uppgifterna för sitt arbete. Vem som har rätt att använda personuppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten (se bl.a. prop. 2009/10:85 s. 94 och prop. 2011/12:45 s. 87 f.). I förarbetena till åklagardatalagen konstateras att det är en hörnsten i skyddet av enskildas integritet att åtkomst endast medges till de personuppgifter som den enskilde tjänstemannen behöver för att kunna utföra sina arbetsuppgifter (prop. 2014/15:63 s. 59).
Ju fler personer i en myndighet som har tillgång till personuppgifter, desto större är risken för obehörig åtkomst eller spridning av uppgifterna. Att utbilda användarna i informationssäkerhets- och dataskyddsfrågor är en viktig organisatorisk säkerhetsåtgärd, men det är ofta inte tillräckligt. Att tillgången till personuppgifter i så stor utsträckning som möjligt faktiskt begränsas till vad var och en behöver för att utföra sitt arbete är viktigt för att skapa ett tillfredsställande internt skydd för personuppgifter vid myndigheters informationshantering.
Mot den bakgrunden finns det ett generellt behov av att begränsa tillgången till personuppgifter. En bestämmelse om detta bör därför tas in i ramlagen. Den personuppgiftsansvarige ska alltid vara skyldig att pröva anställdas och uppdragstagares behov av tillgång till personuppgifter utifrån vad arbetsuppgifterna kräver och begränsa tillgången i enlighet med det. Bestämmelsen bör gälla personuppgifter i både den behöriga myndighetens egna system och system som myndigheten får tillgång till genom direktåtkomst eller andra former av informationsutbyte.
Eftersom bestämmelsen bör vara generell kan det finnas behov av närmare riktlinjer för hur tillgången till personuppgifter bör avgränsas för de enskilda tjänstemännen. Det kan regleras i myndigheternas registerförfattningar eller i föreskrifter på myndighetsnivå. Det kan också regleras i interna styrdokument hos den behöriga myndigheten.
Hänvisningar till S9-2-3
- Prop. 2017/18:232: Avsnitt 18.1
9.2.4. Konsekvensbedömning
Regeringens förslag: Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.
Regeringens bedömning: Vad en konsekvensbedömning ska innehålla och kraven i övrigt på bedömningen kan regleras i förordning.
Utredningens förslag överensstämmer med regeringens förslag och bedömning.
Remissinstanserna yttrar sig inte särskilt i dessa delar. Skälen för regeringens förslag och bedömning: I artikel 27.1 i direktivet föreskrivs att den personuppgiftsansvarige i vissa fall ska göra en bedömning av konsekvenserna för skyddet av personuppgifter när det
gäller planerad personuppgiftsbehandling. En konsekvensbedömning ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Enligt artikel 27.2 ska en konsekvensbedömning innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter och uppgift om dels vilka åtgärder som planeras för att hantera dessa risker, dels skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter och för att visa att direktivet efterlevs.
Det behövs en bestämmelse i ramlagen som reglerar personuppgiftsansvarigas skyldighet att göra konsekvensbedömningar. En konsekvensbedömning bör göras om det kan antas att en ny typ av behandling kommer att medföra särskild risk för intrång i registrerades personliga integritet. En konsekvensbedömning bör också göras om betydande förändringar av redan pågående behandlingar förväntas leda till sådan risk. Det framgår av artikel 27.1 vilka omständigheter som särskilt ska beaktas vid bedömningen av risken.
I skäl 58 anges att konsekvensbedömningarna bör omfatta relevanta system och processer för behandlingen men inte enskilda fall. Det tydliggörs i artikeln genom att det ska röra sig om en typ av behandling. Samma uttryck bör, som utredningen föreslår, användas i ramlagen.
Konsekvensbedömningen ska innehålla viss i direktivet angiven information. Det följer indirekt av det kravet att konsekvensbedömningen ska dokumenteras, exempelvis i en skriftlig rapport. Det bör regleras vilken information konsekvensbedömningen ska innehålla och att den ska dokumenteras, men detta kan göras i förordning.
Det finns inte något som hindrar att personuppgiftsansvariga gör konsekvensbedömningar även i andra fall, t.ex. om en typ av behandling förväntas leda till risk för intrång i registrerades personliga integritet men risken inte är så påtaglig att en konsekvensbedömning krävs enligt lagen. Sådana konsekvensbedömningar kan vara nödvändiga vid bedömningar av bl.a. vilka säkerhets- och skyddsåtgärder som krävs.
9.2.5. Förhandssamråd med tillsynsmyndigheten
Regeringens förslag: Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (förhandssamråd).
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser, med hänvisning till uttalanden på dataskyddsförordningens område från den s.k. artikel 29-gruppen, att den personuppgiftsansvarige inte bör vara skyldig att samråda med tillsynsmyndigheten om åtgärder har vidtagits för att minska risken för intrång i den registrerades personliga integritet i tillräcklig omfattning.
Skälen för regeringens förslag
Innehållet i direktivet
I artikel 28.1 föreskrivs att den personuppgiftsansvarige eller personuppgiftsbiträdet under vissa förutsättningar ska samråda med tillsynsmyndigheten inför behandling av personuppgifter som kommer att ingå i ett nytt register, s.k. förhandssamråd. Sådant samråd ska bl.a. äga rum om en konsekvensbedömning visar att behandlingen skulle leda till hög risk för de registrerades rättigheter och friheter om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.
Tillsynsmyndigheten får enligt artikel 28.3 upprätta en förteckning över vilka typer av behandlingar som kräver förhandssamråd. Den personuppgiftsansvarige ska enligt artikel 28.4 lämna in konsekvensbedömningen till tillsynsmyndigheten tillsammans med eventuell övrig information som myndigheten behöver för att kunna bedöma behandlingen.
I artikel 28.5 regleras förfarandet hos tillsynsmyndigheten. Myndigheten ska, om den anser att den planerade behandlingen inte är förenlig med direktivet, inom viss tid lämna skriftliga råd till den personuppgiftsansvarige eller personuppgiftsbiträdet. Tillsynsmyndigheten får då utnyttja alla de befogenheter som den har.
Nuvarande reglering
Enligt artikel 20 i 1995 års dataskyddsdirektiv ska medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för de registrerades fri- och rättigheter och säkerställa att dessa kontrolleras innan de påbörjas. Sådana förhandskontroller ska utföras av tillsynsmyndigheten efter anmälan från den personuppgiftsansvarige. Artikeln har genomförts i 41 § personuppgiftslagen. Där föreskrivs att regeringen får meddela föreskrifter om att sådana behandlingar som innebär särskilda risker för intrång i den personliga integriteten ska anmälas till tillsynsmyndigheten för förhandskontroll.
I 2 § polisdataförordningen (2010:1155) regleras när Polismyndigheten och Säkerhetspolisen ska samråda med Datainspektionen. Sådant samråd ska äga rum när myndigheterna planerar nya it-system av större omfattning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten och när det genomförs betydande förändringar i sådana system. Samråd ska äga rum i god tid innan beslut i frågan fattas. Paragrafen föreskriver även samråd med Säkerhets- och integritetsskyddsnämnden i vissa frågor. En likadan bestämmelse om samråd med Datainspektionen finns i 2 § kustbevakningsdataförordningen (2012:146).
En generell samrådsskyldighet för alla personuppgiftsansvariga
Enligt direktivet ska den personuppgiftsansvarige vara skyldig att samråda med tillsynsmyndigheten vid planering av behandling av personuppgifter i ett nytt register på ett sätt som kan leda till hög risk för intrång i registrerades personliga integritet. Samråd ska äga rum om en konsekvensbedömning visar att behandlingen kommer att medföra sådan risk om åtgärder inte vidtas för att minska risken eller om typen av behand-
ling i sig kan anses innebära sådan risk. Vid bedömningen ska särskilt användandet av ny teknik, nya rutiner eller nya förfaranden beaktas.
Samrådsskyldigheten enligt artikel 28.1 ska gälla för alla personuppgiftsansvariga. Det bör därför i ramlagen tas in en bestämmelse som riktar sig till de personuppgiftsansvariga och som ålägger dem skyldighet att samråda med tillsynsmyndigheten i vissa situationer. Personuppgiftsbiträdens skyldigheter vid förhandssamråd behandlas i avsnitt 9.6.5.
I direktivet krävs det bara konsekvensbedömning och samråd inför helt nya former av behandling. Det måste dock anses vara lika viktigt med samråd inför betydande förändringar av redan pågående behandlingar som kan antas medföra särskild risk för intrång i den personliga integriteten. Skyldigheten att upprätta konsekvensbedömningar bör därför även omfatta den situationen (se avsnitt 9.2.4). Motsvarande bör gälla för samrådsskyldigheten. För att underlätta för den personuppgiftsansvarige och för att säkerställa att förhandssamrådet träffar rätt situationer bör tillsynsmyndigheten genom föreskrifter kunna ange vilka typer av behandlingar som ska omfattas av förhandssamråd.
Samråd blir främst aktuellt när den personuppgiftsansvarige har gjort en konsekvensbedömning som visar att behandlingen innebär en särskild risk för intrång i registrerades personliga integritet. Vid samrådet bör den personuppgiftsansvarige redovisa vilka åtgärder som planeras för att minska risken. Datainspektionen anser att samråd inte ska behöva hållas när den personuppgiftsansvarige har vidtagit tillräckliga åtgärder för att minska risken för intrång. Som utredningen påpekar kan det vara svårt för den personuppgiftsansvarige att på egen hand avgöra vilka åtgärder som är tillräckliga. Regeringen utesluter dock inte att vidtagna åtgärder från den personuppgiftsansvariges sida kan befria från samrådsskyldigheten. I vilken utsträckning samråd inte bör krävas för att den personuppgiftsansvarige har vidtagit åtgärder som minskat risken för intrång till en godtagbar nivå, bör överlämnas åt rättstillämpningen att avgöra.
Samråd aktualiseras också om typen av behandling, särskilt med beaktande av ny teknik, nya rutiner eller nya förfaranden, i sig innebär särskild risk för intrång i registrerades personliga integritet och en konsekvensbedömning med anledning av det har gjorts. I sådana fall är resultatet av konsekvensbedömningen inte avgörande för om samråd med tillsynsmyndigheten ska äga rum.
Det är viktigt att samrådet äger rum så tidigt i utvecklingsprocessen som möjligt. Då kan frågor om integritetsskydd beaktas på ett bättre sätt. Samtidigt bör förhandssamrådet inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för tillsynsmyndigheten att ta ställning till. Samrådet bör äga rum i god tid innan behandlingen påbörjas eller större förändringar av redan pågående behandlingar genomförs.
Vid förhandssamråd bör den personuppgiftsansvarige lämna in konsekvensbedömningen och eventuell annan information som tillsynsmyndigheten kan behöva för sin prövning.
Tillsynsmyndighetens befogenheter
Enligt artikel 28.5 ska tillsynsmyndigheten inom ramen för förhandssamrådet använda sina befogenheter, om den anser att den planerade behandlingen inte är författningsenlig. Tillsynsmyndigheten bör i dessa situatio-
ner ha möjlighet att använda sina förebyggande befogenheter gentemot den personuppgiftsansvarige. Myndigheten ska inom ramen för förhandssamrådet ge den personuppgiftsansvarige skriftliga råd. Myndigheten har också möjlighet att utfärda varning för att behandla personuppgifterna på det planerade sättet (se avsnitt 11.7.5). Om den personuppgiftsansvarige ignorerar råden och varningen och påbörjar behandlingen kan tillsynsmyndigheten vidta andra åtgärder, t.ex. utfärda ett föreläggande eller besluta om sanktionsavgift (se avsnitt 11.7.6 och 12.5.2). Korrigerande åtgärder ska dock inte vidtas inom ramen för förhandssamrådet utan är i stället ett led i tillsynsmyndighetens allmänna tillsynsuppgifter enligt ramlagen.
Direktivet innehåller vissa detaljbestämmelser om tillsynsmyndighetens roll vid förhandssamråd. De skriftiga råden till den personuppgiftsansvarige ska lämnas inom sex veckor från det att begäran om samråd mottogs. Tiden får förlängas med en månad om den planerade behandlingen är komplicerad. I så fall ska tillsynsmyndigheten inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige om förlängningen och om orsakerna till den. Detaljerna kring detta kan regleras i förordning.
9.2.6. Samarbete med tillsynsmyndigheten
Regeringens förslag: Den personuppgiftsansvarige ska samarbeta med tillsynsmyndigheten när den utför sina uppgifter enligt ramlagen och föreskrifter som har meddelats i anslutning till lagen.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inte något att invända mot förslaget. Skälen för regeringens förslag: Enligt artikel 26 ska den personuppgiftsansvarige på begäran samarbeta med tillsynsmyndigheten när den utför sina uppgifter. Personuppgiftsbiträden har samma skyldighet (se avsnitt 9.6.5). Det finns i dag ingen uttrycklig regel om personuppgiftsansvarigas samarbete med tillsynsmyndigheten.
Direktivets krav på samarbete med tillsynsmyndigheten måste anses gå utöver det som ryms i den allmänna samverkansskyldigheten enligt förvaltningslagen. Regleringen av tillsynsmyndighetens undersökningsbefogenheter täcker inte heller helt den samarbetsskyldighet som krävs enligt direktivet. Samarbetsskyldigheten innebär inte bara att den personuppgiftsansvarige ska ge tillsynsmyndigheten tillgång till det material och de resurser som den har rätt till. Bestämmelsen innebär även att den personuppgiftsansvarige ska underlätta för tillsynsmyndigheten att utöva sina tillsynsbefogenheter på ett effektivt sätt.
Som framgår av avsnitt 11.7.3 får tillsynsmyndigheten inte använda tvång mot den personuppgiftsansvarige för att kunna utöva sin tillsyn. Även mot den bakgrunden är det viktigt att den personuppgiftsansvarige ges en uttrycklig skyldighet att samarbeta med tillsynsmyndigheten. Det bör därför tas in en bestämmelse i ramlagen som slår fast att den personuppgiftsansvarige är skyldig att samarbeta med tillsynsmyndigheten.
Samarbetsskyldigheten aktualiseras när tillsynsmyndigheten utför sina uppgifter enligt ramlagen och de föreskrifter som utfärdas i anslutning
till den. Den personuppgiftsansvarige ska alltså vara skyldig att samarbeta med tillsynsmyndigheten när den utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas författningsenligt, vidtar åtgärder för att bistå en tillsynsmyndighet i en annan medlemsstat och ger råd inom ramen för bl.a. förhandssamråd.
Vad samarbetsskyldigheten mer konkret kommer att innebära för den personuppgiftsansvarige hör samman med vilka befogenheter som tillsynsmyndigheten ges. Den frågan behandlas i avsnitt 11.7.
9.2.7. Skyldighet att förteckna behandlingar
Regeringens bedömning: Den personuppgiftsansvariges skyldighet att förteckna de kategorier av behandlingar som denne ansvarar för får regleras i förordning.
Utredningens förslag överensstämmer med regeringens bedömning. Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning
Innehållet i direktivet
Enligt artikel 24.1 ska personuppgiftsansvariga föra register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. I artikeln anges i detalj vilka uppgifter som registret ska innehålla. I artikel 24.2 föreskrivs motsvarande skyldighet för personuppgiftsbiträden (se avsnitt 9.6.4).
Registren ska enligt artikel 24.3 upprättas skriftligen, vilket även innefattar elektronisk form, och på begäran göras tillgängliga för tillsynsmyndigheten.
Nuvarande reglering
Personuppgiftsansvariga har i dag ingen skyldighet att föra register över de behandlingar som de ansvarar för. I stället är de enligt artikel 18.1 i 1995 års dataskyddsdirektiv skyldiga att anmäla behandling av personuppgifter som är helt eller delvis automatiserad till tillsynsmyndigheten. Tillsynsmyndigheten ska enligt artikel 21.2 föra ett register över de behandlingar som har anmälts till myndigheten. Enligt artikel 18.2 behöver dock någon anmälan till tillsynsmyndigheten inte göras om den personuppgiftsansvarige utser ett personuppgiftsombud, som bl.a. ska ha till uppgift att föra register över de behandlingar som utförs av den personuppgiftsansvarige. Artiklarna har genomförts i 36, 37 och 39 §§personuppgiftslagen och i 3–7 §§personuppgiftsförordningen (1998:1191). Anmälningsskyldigheten regleras i 36 § första stycket personuppgiftslagen. Av 7 § personuppgiftsförordningen framgår att Datainspektionen ska föra register över de behandlingar av personuppgifter som anmälts till inspektionen.
Myndigheterna i rättskedjan är dock inte anmälningsskyldiga enligt 36 § personuppgiftslagen. Enligt 3 § 3 personuppgiftsförordningen gäller undantag från anmälningsskyldigheten bl.a. för behandling av person-
uppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Myndigheternas registerförfattningar är sådana särskilda föreskrifter. Datainspektionen för således inget register över dessa behandlingar.
För några av myndigheterna föreskrivs att ett personuppgiftsombud ska utses och, genom hänvisning till 39 § personuppgiftslagen, att ombudet ska föra en förteckning över de behandlingar som utförs (se exempelvis 2 kap. 2 § 9 och 5 § polisdatalagen och 2 kap. 2 § 9 och 4 § åklagardatalagen). Detsamma gäller för domstolarna, men ombudets skyldighet att föra en förteckning över behandlingarna regleras i 11 § domstolsdatalagen.
En dokumentationsskyldighet införs
I direktivet läggs uppgiften att föra register över de behandlingar som utförs på de personuppgiftsansvariga och, i tillämpliga fall, personuppgiftsbiträdena (se avsnitt 9.6.4 om personuppgiftsbiträden).
Av skäl 56 framgår att de personuppgiftsansvariga bör föra register för att visa att behandlingen sker i överensstämmelse med direktivet och att dessa register bör tjäna som grund för övervakningen av behandlingen. Ett av syftena med dokumentationen är alltså att underlätta tillsynsmyndighetens kontroll, men även att underlätta intern kontroll och granskning av den personuppgiftsbehandling som utförs. Dokumentationen bör också kunna vara till hjälp när information ska lämnas till registrerade. Det behövs en bestämmelse som reglerar skyldigheten att dokumentera behandlingen men den kan tas in i förordning.
Av artikel 24 framgår att personuppgiftsansvariga och personuppgiftsbiträden ska föra register över de kategorier av behandling som de ansvarar för. Vad som avses med kategorier av behandling framgår inte. Begreppet bör dock inte tolkas så att alla typer av behandlingar som förekommer ska dokumenteras. En sådan tolkning skulle leda till en alltför omfattande dokumentationsskyldighet. En kategori av behandlingar kan i stället vara behandling av personuppgifter i ett specifikt register eller inom ramen för ett särskilt projekt eller behandling av personuppgifter för en typ av ändamål, t.ex. registrering av brottsanmälningar och handläggning av brottmål.
Vad ska dokumenteras?
I artikel 24.1 räknas det upp vilka uppgifter som ska anges i registret. Registret bör innehålla samtliga dessa uppgifter, vilket kan regleras i förordning.
Tillsynsmyndigheten föreslås på begäran få upplysningar om och dokumentation av behandling av personuppgifter från den personuppgiftsansvarige (se avsnitt 11.7.3). Det register över behandlingar som den personuppgiftsansvarige ska föra utgör sådan dokumentation. Någon särskild bestämmelse om att registret ska göras tillgänglig för tillsynsmyndigheten behövs därför inte.
9.2.8. Anmälan av överträdelser
Regeringens bedömning: Att den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelserna om behandling av personuppgifter, får regleras i förordning.
Utredningens förslag överensstämmer med regeringens bedömning. Remissinstanserna: Norrköpings kommun anför att offentliga myndigheter inte kan garantera fullständig anonymitet för enskilda som lämnar in handlingar där den enskildes identitet går att utläsa.
Skälen för regeringens bedömning: Enligt artikel 48 ska behöriga myndigheter inrätta effektiva mekanismer för att uppmuntra konfidentiell rapportering av överträdelser av bestämmelserna som genomför direktivet. Någon motsvarande reglering finns inte i dag.
Regeringen anser i likhet med utredningen att bestämmelsen får uppfattas som ett krav på att behöriga myndigheter ska ha en särskild ordning för interna anmälningar av överträdelser av bestämmelser om personuppgiftsbehandling. Detta kan regleras i förordning.
Som utvecklas i avsnitt 9.5.3 ingår det i dataskyddsombudens arbetsuppgifter att övervaka efterlevnaden av tillämpliga dataskyddsbestämmelser. I det ingår att genomföra de granskningar som behövs för myndighetens interna kontroll. Det är därför naturligt att låta dataskyddsombuden ta emot interna anmälningar om överträdelser och avgöra om de bör bli föremål för kontroll. Dataskyddsombud har som regel tillgång till de flesta behandlingssystem och personuppgifter. Ombuden bör också ha den kunskap som krävs för att utreda en eventuell överträdelse och kunna bedöma vad en anmälan bör leda till. Det kan t.ex. vara en rekommendation till den personuppgiftsansvarige att vidta åtgärder eller att dataskyddsombudet själv anmäler överträdelsen till tillsynsmyndigheten, om den negligeras av den personuppgiftsansvarige.
Det kan inte uteslutas att anställda i vissa fall avhåller sig från att anmäla iakttagelser om överträdelser på grund av rädsla för repressalier från kollegor, chefer eller arbetsgivaren. Kravet på konfidentiell rapportering innebär enligt utredningens mening att den interna ordningen ska skydda anmälaren. Till skillnad från vad som kan vara fallet vid anmälningar om allvarliga missförhållanden av annat slag i verksamheten, bör det underlag som krävs för utredningen av överträdelsen i princip finnas i behandlingssystemen. En anmälan torde därför kunna göras anonymt utan att det äventyrar möjligheterna att utreda frågan.
Direktivet ställer inte upp några krav på hur anmälan ska göras. Ordningen kan därmed bestå av allt från en enkel manuell brevlådefunktion till ett avancerat systemstöd. Enligt utredningens mening bör det överlämnas till de behöriga myndigheterna att bestämma hur anmälan om överträdelser av bestämmelser om personuppgiftsbehandling bör göras. Det måste dock säkerställas att anmälan kan göras på ett sådant sätt att anmälarens identitet inte avslöjas. Eftersom det är fråga om interna anmälningar och inte ingivande av handlingar som därmed blir allmänna handlingar bör det inte, som Norrköpings kommun anför, vara omöjligt att garantera enskildas anonymitet.
Hänvisningar till S9-2-8
9.3. Säkerheten för personuppgifter
Regeringens förslag: Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.
Regeringens bedömning: Vilka omständigheter som ska beaktas för att uppnå en lämplig skyddsnivå kan regleras i förordning.
Utredningens förslag överensstämmer med regeringens förslag och bedömning.
Remissinstanserna: Polismyndigheten anför att det torde underlätta vid tillämpningen om skillnaden mellan vad som är skyddsåtgärder och vad som är säkerhetsåtgärder tydliggörs. Datainspektionen anser att de faktorer som anges i artikel 29.1 i direktivet bör komma till uttryck i lagen i stället för i förordning.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
Enligt artikel 29.1 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller känsliga personuppgifter. Åtgärderna ska vara lämpliga med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter. I artikel 29.2 ställs mer konkreta krav på vilka typer av åtgärder som ska vidtas för att förhindra att uppgifterna hamnar i orätta händer och säkerställa att det går att kontrollera viss behandling och att de system som används fungerar tillfredsställande.
Artikel 29 kompletterar det grundläggande kravet på säkerhet i artikel 4.1 f. Där framgår att personuppgifter, med användning av lämpliga tekniska eller organisatoriska åtgärder, ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.
Nuvarande reglering
Säkerhetsåtgärder regleras i artikel 17.1 i 1995 års dataskyddsdirektiv. Den bestämmelsen motsvarar i stort innehållet i artikel 29.1 i det nya direktivet, men det ställs inte lika konkreta krav som i artikel 29.2.
Artikel 17.1 i 1995 års direktiv har genomförts i 31 § första stycket personuppgiftslagen. Där föreskrivs att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas och att åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur känsliga de behandlade personuppgifterna är. Vidare föreskrivs i 32 § person-
uppgiftslagen att tillsynsmyndigheten i enskilda fall får besluta om säkerhetsåtgärder enligt 31 §.
Datainspektionen ges i 16 § personuppgiftsförordningen möjlighet att meddela föreskrifter om bl.a. säkerhetsåtgärder. Inspektionen har dock inte meddelat några sådana föreskrifter utan har i stället valt att ge närmare vägledning genom allmänna råd.
Myndigheternas registerförfattningar hänvisar antingen till personuppgiftslagens bestämmelser (t.ex. 2 kap. 2 § första stycket 7 polisdatalagen) eller saknar sådana bestämmelser, vilket innebär att personuppgiftslagens bestämmelser ändå är tillämpliga (t.ex. 2 § lagen [2001:617] om behandling av personuppgifter inom kriminalvården). I några registerförfattningar finns det dock bestämmelser som preciserar de allmänna kraven i personuppgiftslagen.
Bestämmelser om informationssäkerhet finns även i andra författningar, t.ex. i arkivlagen (1990:782) och säkerhetsskyddslagen (1996:627) med tillhörande förordningar och i föreskrifter meddelade av Myndigheten för samhällsskydd och beredskap (exempelvis MSBFS 2016:1 Föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet).
Bara en bestämmelse om säkerhetsåtgärder
Det bör tas in en bestämmelse om skyddet för personuppgifter i ramlagen. Frågan är inledningsvis hur man ska se på förhållandet mellan artikel 4.1 f och artikel 29 i direktivet.
Artikel 4.1 f slår fast en grundläggande princip för all behandling av personuppgifter och riktar sig till personuppgiftsansvariga. Bestämmelserna i artikel 29 är mer konkreta och riktar sig även till personuppgiftsbiträden. Båda artiklarna föreskriver dock en skyldighet att säkerställa lämplig säkerhet för personuppgifter med hjälp av tekniska och organisatoriska åtgärder. I artikel 29 utvecklas hur det ska uppnås och vilka åtgärder som ska vidtas. Artikel 29 får därför ses som en precisering av den grundläggande princip som anges i artikel 4.1 f. Det behövs följaktligen inte två olika bestämmelser om säkerhetsåtgärder i ramlagen.
Kraven på säkerhetsåtgärder
Artikel 29.1 motsvarar i princip 31 § första stycket personuppgiftslagen. Frågan är om artikel 29.2, som anger mer konkreta åtgärder, kräver några särskilda lagstiftningsåtgärder. Dataskyddsrambeslutet innehåller en likadan uppräkning av åtgärder. Vid genomförandet av rambeslutet bedömdes att personuppgiftslagens bestämmelser, även om de var mer generellt utformade, motsvarade rambeslutets bestämmelser om säkerhet och att dess mer preciserade bestämmelser därför inte krävde några lagändringar (prop. 2008/09:16 s. 52). Motsvarande bedömning gjordes när Schengenkonventionen genomfördes i svensk rätt (prop. 1999/2000:64 s. 148). Även vid genomförandet av motsvarande bestämmelser om säkerhet i det rådsbeslut som ersatte konventionens bestämmelser om Schengens informationssystem gjordes bedömningen att det inte krävdes några författningsändringar (prop. 2009/10:86 s. 25).
Regeringen anser att det saknas anledning att göra en annan bedömning i fråga om artikel 29.2 i direktivet än vad som gjorts tidigare. En
generellt utformad regel om grundläggande krav på åtgärder får alltså anses vara tillräcklig för att uppfylla kraven i direktivet. Som utredningen har framhållit är det med hänsyn till den tekniska utvecklingen och förändringar i samhället knappast lämpligt eller möjligt att på ett ändamålsenligt och långsiktigt sätt författningsreglera detaljerade krav på säkerhetsåtgärder. Det bör dock framgå att sådana åtgärder ska vidtas för att skydda personuppgifterna, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom oavsiktliga händelser. Härigenom kommer också de mer preciserade åtgärderna i artikel 29.2 tydligare till uttryck. Punkterna a–h behandlar olika sätt att skydda personuppgifter mot obehörig eller otillåten behandling. Punkterna i och j behandlar åtgärder för att förhindra förlust, förstöring eller skada bl.a. genom olyckshändelse. Även ramlagens bestämmelser om loggning och begränsning av tillgången till personuppgifter kan ses som förtydliganden av de åtgärder som anges i artikel 29.2.
Regeringen anser i likhet med utredningen, men till skillnad från Datainspektionen, att vilka omständigheter som bör beaktas för att uppnå en lämplig skyddsnivå kan regleras i förordning. Utöver de omständigheter som anges i 31 § personuppgiftslagen bör behandlingens art, omfattning, sammanhang och ändamål beaktas. Särskild hänsyn bör tas till i vilken utsträckning känsliga personuppgifter behandlas och hur integritetskänsliga övriga personuppgifter som behandlas är.
Polismyndigheten anför att innebörden av begreppen skyddsåtgärder och säkerhetsåtgärder bör tydliggöras. Regeringen anser dock att det, utifrån de förslag som nu lämnas, inte är lämpligt att utveckla begreppens innebörd närmare i detta sammanhang.
Om det uppstår behov av att ytterligare precisera vilka åtgärder som den personuppgiftsansvarige bör vidta kan det göras genom föreskrifter i förordning eller på myndighetsnivå. Riktlinjer kan också lämnas genom allmänna råd.
Personuppgiftsbiträdenas skyldigheter tas upp i avsnitt 9.6.5.
9.4. Personuppgiftsincidenter
9.4.1. Vad är en personuppgiftsincident?
Regeringens förslag: Personuppgiftsincident ska i ramlagen definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: En personuppgiftsincident är enligt artikel 3.11 en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Personuppgiftsincident är ett nytt begrepp när det gäller dataskydd. På informationssäkerhetsområdet är ordet incident dock etablerat.
Med en incident avses att något allvarligt och oplanerat har inträffat.
En personuppgiftsincident motsvarar till viss del vad som i dagligt tal brukar kallas dataintrång. Med personuppgiftsincident avses dock inte bara ett sådant avsiktligt intrång, utan även olyckshändelser och andra oavsiktliga händelser som får oönskade effekter, t.ex. brand. I 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och i 10 a § säkerhetsskyddsförordningen (1996:633) används uttrycket it-incident för att beskriva i princip samma sak. Eftersom personuppgiftsincident används i dataskyddsförordningen bör det ordet användas i ramlagen. Ordet tydliggör att det rör sig om en händelse som får oönskade effekter för skyddet av personuppgifter.
En incident kan inträffa genom yttre påverkan, men kan också bero på interna brister eller otillåtet handlande av någon inom organisationen. Det som är väsentligt för definitionen av personuppgiftsincident är inte hur händelsen uppkommit eller vem som åstadkommit den utan effekten av den.
Både direktivet och dataskyddsförordningen innehåller regler om personuppgiftsincidenter och definierar dem på samma sätt. Motsvarande begrepp bör användas i ramlagen. Personuppgiftsincident bör således definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
Hänvisningar till S9-4-1
- Prop. 2017/18:232: Avsnitt 18.1
9.4.2. Anmälan till tillsynsmyndigheten
Regeringens förslag: Den personuppgiftsansvarige ska inom 72 timmar anmäla en personuppgiftsincident till tillsynsmyndigheten, utom i de fall där incidenten ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen. Någon anmälan behöver inte göras om det är osannolikt att incidenten har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
Regeringens bedömning: Anmälningsförfarandet och vad anmälan ska innehålla kan regleras i förordning.
Utredningens förslag överensstämmer i huvudsak med regeringens förslag och bedömning. Utredningen föreslår att någon anmälan inte ska behöva göras om det kan antas att en incident inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
Remissinstanserna: Säkerhetspolisen och Försvarets radioanstalt instämmer i bedömningen att det bör införas ett undantag från skyldigheten att anmäla en personuppgiftsincident till tillsynsmyndigheten om händelsen ska anmälas enligt säkerhetsskyddsförordningen (1996:633).
Datainspektionen framhåller att begreppet ”osannolikt” används i direktivet och föreslår att det begreppet används i stället för ”kan antas”, eftersom det enligt inspektionen är en stor skillnad mellan att något kan antas och att något anses vara osannolikt. Norrköpings kommun önskar vägledning i fråga om dels hur tidsfristen ska beräknas om en incident inträffar på en helgdag, dels hur en personuppgiftsansvarig ska anses ha
fått kännedom om en incident. Dataskydd.net invänder mot att den personuppgiftsansvarige själv får avgöra om en incident ska anmälas till tillsynsmyndigheten eller inte.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
Enligt artikel 30.1 ska den personuppgiftsansvarige vid en personuppgiftsincident, utan onödigt dröjsmål och om möjligt inom 72 timmar, anmäla incidenten till tillsynsmyndigheten. Någon anmälan behöver emellertid inte göras om det är osannolikt att incidenten medför risk för fysiska personers rättigheter och friheter. I artikel 30.3 anges vad en anmälan till tillsynsmyndigheten ska innehålla. En anmälan ska bl.a. beskriva personuppgiftsincidentens art, de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits för att åtgärda den. Om det inte är möjligt att tillhandahålla all information samtidigt får den enligt artikel 30.4 tillhandahållas i omgångar.
Nuvarande reglering
Det finns inga bestämmelser om personuppgiftsincidenter i personuppgiftslagen eller myndigheternas registerförfattningar. Incidenter behandlas inte heller i Datainspektionens allmänna råd om säkerhet. Däremot ska incidenter i it-system rapporteras av andra skäl. I 20 § första stycket förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap föreskrivs att en myndighet skyndsamt ska rapportera it-incidenter som inträffat i myndighetens it-system till Myndigheten för samhällsskydd och beredskap. Det gäller om incidenten allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. En myndighet som tillhandahåller it-tjänster åt en annan organisation ska informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte it-incidenter som enligt 10 a § säkerhetsskyddsförordningen ska rapporteras till Säkerhetspolisen eller Försvarsmakten. Exempel på sådana incidenter är incidenter i informationssystem där hemliga uppgifter som gäller Sveriges säkerhet behandlas eller i it-system som särskilt behöver skyddas mot terrorism. Säkerhetskyddsförordningen gäller för myndigheter, kommuner och landsting och för vissa bolag, föreningar, stiftelser och enskilda.
Anmälningsskyldigheten bör regleras i ramlagen
Som framgått är myndigheter skyldiga att rapportera it-incidenter, men den rapporteringen görs till andra myndigheter än tillsynsmyndigheten och har ett annat syfte. Regleringen i artikel 30 tar sikte på skyddet för de personuppgifter som påverkas av incidenten och konsekvenserna för registrerade. En personuppgiftsincident som inte snabbt åtgärdas kan leda till att registrerade drabbas av såväl ekonomisk skada som personlig kränkning. I skäl 61 nämns som exempel på skador som kan uppkomma vid en personuppgiftsincident bl.a. identitetsstöld och identitetsbedrägeri,
diskriminering, skadat anseende och röjande av personuppgifter som är sekretesskyddade.
I ramlagen bör det föreskrivas att den personuppgiftsansvarige inom viss tid ska anmäla personuppgiftsincidenter till tillsynsmyndigheten. Undantaget från anmälningsskyldighet vid incidenter som inte medfört risk för registrerade bör också framgå. Någon anmälan behöver t.ex. inte göras om incidenten har påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Regeringen anser i likhet med
Datainspektionen att formuleringen av bestämmelsen bör följa direktivets lydelse. Av skäl 61 framgår att det är den personuppgiftsansvarige som ska visa att det är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.
Regeringen instämmer vidare i utredningens bedömning att behovet av att skydda hemliga uppgifter som rör Sveriges säkerhet är så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av sådan information Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde hindrar inte direktivet att sådana uppgifter som ska anmälas enligt 10 eller 10 a § säkerhetsskyddsförordningen undantas från anmälningsskyldigheten till tillsynsmyndigheten. Motsvarande undantag kommer att gälla enligt den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Undantaget i brottsdatalagen bör utformas i linje med formuleringen i dataskyddslagen, dvs. anmälningsskyldigheten bör inte gälla personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen (prop. 2017/18:105 s. 7).
Vad ska anmälan innehålla?
Det bör regleras vad en anmälan till tillsynsmyndigheten ska innehålla, men det kan göras i förordning. En anmälan av en personuppgiftsincident ska enligt artikel 30.3 beskriva personuppgiftsincidentens art, dvs. vad det är som har inträffat. Om det är möjligt bör det också anges vilka kategorier av och ungefärligt antal registrerade och personuppgiftsposter som berörs. Beroende på vad som har inträffat kan det ibland vara svårt att överblicka hur många personuppgifter som berörs av incidenten och hur många registrerade som kan ha drabbats. Den personuppgiftsansvarige bör dock åtminstone redovisa en ungefärlig uppskattning. Dessutom bör anmälan innehålla en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. En preliminär bedömning av konsekvenserna av incidenten bör göras av den personuppgiftsansvarige. Beskrivningen av vilka åtgärder som vidtagits bör även omfatta åtgärder för att mildra personuppgiftsincidentens negativa effekter. Anmälan bör också innehålla namnet på och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt hos den personuppgiftsansvarige.
Anmälningsförfarandet
En anmälan till tillsynsmyndigheten bör göras så snabbt som möjligt och senast inom 72 timmar, vilket bör framgå av ramlagen. Norrköpings kommun har efterfrågat klargöranden i fråga om när fristen börjar löpa om en incident inträffar på en helgdag. Avgörande är enligt direktivet när den personuppgiftsansvarige har fått kännedom om incidenten och inte när den har inträffat. Det är dock inte möjligt att i detta sammanhang närmare ange kriterierna för när en personuppgiftsansvarig ska anses ha fått kännedom om en incident. Eftersom det är fråga om regler till skydd för enskildas integritet är det dock av största vikt att anmälan görs så snart det kan ske.
Anmälningsförfarandet kan i övrigt regleras i förordning. Om anmälan görs senare än 72 timmar efter det att den personuppgiftsansvarige har fått kännedom om personuppgiftsincidenten, bör anmälan innehålla en förklaring till förseningen. Senare anmälan bör komma ifråga endast i särskilda fall där längre tid krävs för att överblicka personuppgiftsincidenten och dess konsekvenser. Informationen bör få lämnas i omgångar om det inte är möjligt att lämna all information samtidigt. Det bör således inte fördröja anmälan.
Om en anmälan av en personuppgiftsincident innebär att sekretessbelagda uppgifter behöver lämnas till tillsynsmyndigheten måste sekretessen kunna brytas. En bestämmelse som föreskriver att personuppgiftsansvariga ska anmäla en personuppgiftsincident till tillsynsmyndigheten innebär en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Sekretess hindrar då inte att uppgifterna lämnas.
I 11 kap. 1 § offentlighets- och sekretesslagen regleras överföring av sekretess vid tillsyn. Där anges att om en myndighet i verksamhet som avser tillsyn, får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Vid anmälan av en personuppgiftsincident överförs således eventuell sekretess som gäller för uppgiften till tillsynsmyndigheten.
9.4.3. Underrättelse till den registrerade
Regeringens förslag: Om en personuppgiftsincident har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten. Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige har vidtagit vissa skyddsåtgärder eller om den skulle kräva oproportionerligt stora ansträngningar. Den registrerade behöver inte heller underrättas om incidenten om det gäller sekretess eller tystnadsplikt för uppgifterna.
Regeringens bedömning: Vilken information en underrättelse ska innehålla kan regleras i förordning.
Utredningens förslag överensstämmer med regeringens förslag och bedömning.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
Enligt artikel 31.1 ska den personuppgiftsansvarige, om en personuppgiftsincident sannolikt kommer att leda till hög risk för fysiska personers rättigheter och friheter, utan onödigt dröjsmål informera registrerade om incidenten. Informationen ska enligt artikel 31.2 innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och beskriva de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. Kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt ska också uppges.
I vissa fall behöver registrerade inte underrättas. Det gäller enligt artikel 31.3 om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten eller om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för registrerades rättigheter och friheter inte längre kommer att finnas. Underrättelseskyldigheten gäller inte heller om den skulle kräva en oproportionerlig ansträngning. Då ska i stället allmänheten informeras eller en liknande åtgärd vidtas som innebär att den registrerade informeras på ett lika effektivt sätt. Underrättelse till den registrerade får också, enligt artikel 31.5, senareläggas, begränsas eller utelämnas på de villkor och av de skäl som anges i artikel 13.3.
Om den personuppgiftsansvarige inte har underrättat den registrerade, men tillsynsmyndigheten anser att personuppgiftsincidenten medför så hög risk att han eller hon bör underrättas, får tillsynsmyndigheten enligt artikel 31.4 kräva att den personuppgiftsansvarige gör det. Tillsynsmyndigheten kan också besluta att någon underrättelse inte krävs därför att något av de villkor som anges i artikel 31.3 är uppfyllt.
I vilka fall ska registrerade underrättas?
Skyldigheten att underrätta registrerade om en personuppgiftsincident och undantagen från skyldigheten bör regleras i ramlagen, medan detaljerna i förfarandet kan regleras i förordning. Underrättelse bör lämnas utan onödigt dröjsmål om personuppgiftsincidenten kan antas leda till särskild risk för otillbörligt intrång i registrerades personliga integritet. Av skäl 62 framgår att syftet med underrättelsen bl.a. är att den registrerade ska kunna vidta nödvändiga försiktighetsåtgärder.
Hur snabbt den personuppgiftsansvarige kan informera de registrerade beror på omständigheterna i det enskilda fallet. I skäl 62 framhålls att behovet av att mildra en omedelbar skaderisk kräver att de registrerade underrättas omgående, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade incidenter kan motivera längre tid för underrättelsen. Framför allt bör personuppgiftsincidentens art och den registrerades intresse av och möjlighet att själv vidta åtgärder för att begränsa skadan beaktas. Även den tid det tar för den personuppgiftsansvarige att vidta akuta åtgärder för att begränsa skadan, avhjälpa fel och liknande bör beaktas.
I ramlagen bör det också regleras under vilka omständigheter någon underrättelse till den registrerade inte behöver lämnas. Underrättelseskyldighet bör inte gälla om något av de villkor som anges i artikel 31.3 är
uppfyllda. Det innebär att den registrerade inte behöver underrättas om den personuppgiftsansvarige har vidtagit lämpliga skyddsåtgärder. Om t.ex. personuppgifter gått förlorade vid en brand men det finns tillfredsställande back-up-rutiner kan risken vara så låg att någon underrättelse inte krävs. Någon underrättelse krävs inte heller om den personuppgiftsansvarige har vidtagit åtgärder som säkerställer att det inte längre finns särskild risk för otillbörligt intrång. Det kan t.ex. vara fråga om att tillgången till ett register har begränsats till dess att den personuppgiftsansvarige har kunnat överblicka konsekvenserna av incidenten. Den registrerade behöver inte heller underrättas om det skulle kräva en oproportionerlig ansträngning av den personuppgiftsansvarige. Det skulle kunna vara fallet om en personuppgiftsincident t.ex. påverkar ett mycket stort antal registrerade. Då bör i stället allmänheten informeras på lämpligt sätt eller en liknande åtgärd vidtas för att de registrerade ska få nödvändig information.
Vilken information ska lämnas?
Det bör regleras vilken information som ska lämnas till den registrerade vid en personuppgiftsincident. Det kan göras i förordning.
Begränsning av information till den registrerade
Informationen till den registrerade får senareläggas, begränsas eller utelämnas i vissa fall. Syftet är enligt direktivet att undvika att rättsliga utredningar, förundersökningar eller andra förfaranden hindras eller att undvika menlig inverkan på brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder och att skydda allmän eller nationell säkerhet eller andra personers rättigheter och friheter. Informationen får begränsas endast i den utsträckning och så länge som begränsningen är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda personens grundläggande rättigheter och berättigade intressen.
Bestämmelser som begränsar rätten till information är nödvändiga för att de behöriga myndigheterna ska kunna utföra sina uppdrag på ett effektivt sätt. Det är framför allt regleringen i offentlighets- och sekretesslagen som tillgodoser det behovet. Även den relativt begränsade information som ska lämnas till den registrerade vid en personuppgiftsincident skulle t.ex. kunna skada en förundersökning i ett initialt skede eller avslöja att uppgifter om personen finns i ett sekretessreglerat register. I ramlagen bör det därför tas in en regel som klargör att sekretess och tystnadsplikt har företräde framför rätten till information vid personuppgiftsincidenter.
Tillsynsmyndighetens befogenheter
Enligt artikel 31.4 ska tillsynsmyndigheten ha möjlighet att förelägga den personuppgiftsansvarige att informera den registrerade, om det inte har gjorts. Det skulle kunna bli aktuellt om tillsynsmyndigheten gör en annan bedömning av behovet av att underrätta de registrerade. Den skyldigheten behöver inte regleras särskilt, eftersom den ryms i förslaget om tillsynsmyndighetens korrigerande befogenheter (se avsnitt 11.7.6).
9.4.4. Dokumentations- och underrättelseskyldighet
Regeringens bedömning: Den personuppgiftsansvariges skyldighet att dokumentera personuppgiftsincidenter kan regleras i förordning.
Även skyldigheten att i vissa fall underrätta behöriga myndigheter i andra medlemsstater kan regleras i förordning.
Utredningens förslag överensstämmer med regeringens bedömning. Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning
Dokumentation av personuppgiftsincidenter
Enligt artikel 30.5 ska den personuppgiftsansvarige dokumentera alla personuppgiftsincidenter som avses i artikel 30.1, inbegripet omständigheterna rörande incidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationsskyldigheten bör regleras i förordning.
Eftersom dokumentationsskyldigheten är knuten till artikel 30.1 är det oklart om det endast är sådana incidenter som ska anmälas till tillsynsmyndigheten som ska dokumenteras eller om tanken är att även sådana mindre allvarliga incidenter som inte behöver anmälas ska dokumenteras. I motsvarande bestämmelse i dataskyddsförordningen, artikel 33.5, anges att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter.
Regeringen instämmer i utredningens bedömning att en dokumentationsskyldighet endast för sådana personuppgiftsincidenter som anmäls till tillsynsmyndigheten skulle vara av begränsat värde, eftersom dokumentation om dem ska finnas i anmälan. I direktivet anges att dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av artikeln. För att det ska vara möjligt bör därför alla personuppgiftsincidenter dokumenteras.
Underrättelseskyldighet
Om personuppgiftsincidenten rör personuppgifter som kommer från eller har lämnats till en personuppgiftsansvarig i en annan medlemsstat, ska samma information som lämnas till tillsynsmyndigheten utan onödigt dröjsmål lämnas till den som lämnade eller tog emot uppgifterna i den andra medlemsstaten. Det framgår av artikel 30.6.
En bestämmelse om underrättelseskyldighet bör tas in i förordning. Skyldigheten bör korrespondera med skyldigheten att göra en anmälan till tillsynsmyndigheten. Det innebär att om någon anmälan inte görs dit, antingen på grund av att incidenten medfört så låg risk att anmälan inte krävs eller på grund av att incidenten rör nationell säkerhet, gäller inte underrättelseskyldigheten.
Utgångspunkten är att en uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. I 8 kap. 3 § 1 offentlighets- och sekretesslagen görs dock undantag från huvudregeln om uppgiftslämnandet regleras särskilt i lag eller förordning. Eftersom det föreslås en bestämmelse om att behöriga myndigheter i andra medlemsstater ska underrättas i vissa fall, kommer sekretess inte att hindra att informationen lämnas.
Ett personuppgiftsbiträde har enligt direktivet ingen skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheten eller att underrätta registrerade om incidenter. Eftersom den personuppgiftsansvarige ska anmäla personuppgiftsincidenter till tillsynsmyndigheten behöver den personuppgiftsansvarige även få kännedom om incidenter som inträffat hos personuppgiftsbiträdet. Det bör därför införas en skyldighet för personuppgiftsbiträden att underrätta den personuppgiftsansvarige om sådana incidenter (se avsnitt 9.6.5).
Hänvisningar till S9-4-4
9.5. Dataskyddsombud
Hänvisningar till S9-5
- Prop. 2017/18:232: Avsnitt 10.2.6
9.5.1. Definition av dataskyddsombud
Regeringens förslag: Dataskyddsombud ska i ramlagen definieras som den som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt enligt vad som närmare anges i lagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att endast fysiska personer ska kunna utses till dataskyddsombud.
Remissinstanserna: Datainspektionen anser att definitionen av dataskyddsombud i ramlagen bör inkludera juridiska personer.
Skälen för regeringens förslag: I direktivet talas det på flera ställen om dataskyddsombud, men det finns inte någon definition av den termen.
I 3 § personuppgiftslagen definieras personuppgiftsombud, som motsvarar det som i direktivet kallas dataskyddsombud. Där anges att ett personuppgiftsombud är den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Personuppgiftsombud är visserligen ett inarbetat begrepp men dataskyddsombud är den term som används både i direktivet och i dataskyddsförordningen. Den termen bör, som utredningen föreslår, användas även i ramlagen.
Dataskyddsombud bör definieras i ramlagen. Definitionen av personuppgiftsombud i personuppgiftslagen kan då tjäna som förebild. För att terminologin i ramlagen ska bli enhetlig bör uttrycket författningsenlig användas. Datainspektionen anser, med hänvisning till artikel 29-gruppens vägledning om dataskyddsombud, att även juridiska personer bör inkluderas i definitionen. Regeringen håller med Datainspektionen om det. Dataskyddsombud bör därför definieras som den som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt enligt vad som närmare anges i ramlagen.
Hänvisningar till S9-5-1
- Prop. 2017/18:232: Avsnitt 18.1
9.5.2. Krav på dataskyddsombud
Regeringens förslag: Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen framhåller att om en personuppgiftsansvarig utser flera dataskyddsombud måste det vara tydligt för den registrerade hur denne ska kunna utöva sina rättigheter. Inspektionen anser vidare att de krav på dataskyddsombudets kvalifikationer som följer av artikel 32.2. i direktivet bör anges i ramlagen eller förordningen.
Justitiekanslern påpekar att det är något oklart hur brottsdatalagens och dataskyddsförordningens regler om dataskyddsombud förhåller sig till varandra och anför att frågan kan behöva belysas närmare. Justitiekanslern tolkar reglerna som att en myndighet som tillämpar båda regelverken ska utse och anmäla dataskyddsombud dels enligt brottsdatalagen, dels enligt dataskyddsförordningen. Sveriges advokatsamfund anför att det med hänsyn till intresset av dataskyddsombudens oberoende ställning kan vara lämpligt att dessa normalt anlitas externt.
Skälen för regeringens förslag
Innehållet i direktivet
Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett dataskyddsombud, offentliggöra ombudets kontaktuppgifter och meddela tillsynsmyndigheten vem som har utsetts och hans eller hennes kontaktuppgifter. Domstolars och andra oberoende rättsliga myndigheters dömande verksamhet får undantas från skyldigheten att utnämna dataskyddsombud.
Dataskyddsombud ska utnämnas på grundval av sina yrkesmässiga kvalifikationer, sin sakkunskap om lagstiftning och praxis rörande dataskydd och sin förmåga att fullgöra de uppgifter som åläggs dataskyddsombud. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter med hänsyn tagen till organisationsstruktur och storlek.
Alla personuppgiftsansvariga ska utse dataskyddsombud
Eftersom direktivet föreskriver en skyldighet för personuppgiftsansvariga att utnämna dataskyddsombud bör en bestämmelse om det tas in i ramlagen.
I dataskyddsförordningen finns inte någon allmän skyldighet för personuppgiftsansvariga att utse dataskyddsombud. Däremot gäller enligt artikel 37.1 en sådan skyldighet för myndigheter och andra offentliga organ. Dataskyddsombud ska också utses av personuppgiftsansvariga eller personuppgiftsbiträden vilkas kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Detsamma gäller om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser.
Det föreslås nu att endast behöriga myndigheter ska kunna vara personuppgiftsansvariga. Som framgår av avsnitt 6.4.4 kan en behörig myn-
dighet vara antingen en myndighet som har de i ramlagen angivna uppgifterna eller en annan aktör som utövar myndighet för något av dessa syften. Myndigheter som bedriver verksamhet inom ramlagens tillämpningsområde bör vara skyldiga att utse dataskyddsombud. Frågan är om även andra aktörer än myndigheter bör vara skyldiga att utse dataskyddsombud.
I direktivet görs ingen skillnad mellan myndigheter och andra organ när det gäller att utse dataskyddsombud. Det talar för att alla personuppgiftsansvariga ska utse dataskyddsombud. Aktörer som bedriver verksamhet inom ramlagens tillämpningsområde, oavsett om det rör sig om en myndighet eller ett privat organ, behandlar ofta integritetskänsliga personuppgifter för relativt känsliga ändamål och det är av stor vikt att den interna kontrollen i sådana verksamheter fungerar tillfredsställande. Om en privat aktör inte behöver utse ett dataskyddsombud enligt förordningen kan det ifrågasättas om det behövs ett ombud enbart för ett begränsat uppdrag inom ramlagens tillämpningsområde. Behandlingen enligt ramlagen är emellertid av sådan art att det bör finnas ett dataskyddsombud som övervakar personuppgiftsbehandlingen. Regeringen anser därför i likhet med utredningen att alla personuppgiftsansvariga bör vara skyldiga att utse ett eller flera dataskyddsombud.
Bestämmelserna om dataskyddsombud i dataskyddsförordningen respektive brottsdatalagen bör, i enlighet med Justitiekanslerns tolkning, uppfattas som att en myndighet som tillämpar båda regelverken är skyldig att utse och anmäla dataskyddsombud enligt såväl förordningen som lagen. Det finns ingenting som hindrar att samma ombud utses för båda regelverken.
Ett eller flera dataskyddsombud ska utses
I artikel 32.1 anges att den personuppgiftsansvarige ska utse ett dataskyddsombud. Bestämmelsen bör inte tolkas så att endast ett ombud får utses. I större myndighetsorganisationer kan det vara svårt för en enda person att ensam utföra de uppgifter som ett dataskyddsombud ska ha i framtiden. Flera dataskyddsombud bör därmed kunna utses för en behörig myndighet.
Man kan tänka sig att det finns behöriga myndigheter som bedriver likartad verksamhet i nära anslutning till varandra och att det av den anledningen skulle kunna vara lämpligt att utse ett gemensamt ombud. Så skulle exempelvis kunna vara fallet med vissa domstolar. När myndigheter samarbetar i informationssystem som är gemensamma för flera myndigheter kan det också finnas behov av ett dataskyddsombud som kan se till helheten och eventuellt hjälpa enskilda registrerade i förhållande till samtliga inblandade myndigheter. I skäl 63 nämns som exempel att flera personuppgiftsansvariga gemensamt kan utse ett dataskyddsombud t.ex. vid gemensamma resurser i centralenheter. Mot den bakgrunden är det tydligt att det bör vara möjligt att utnämna samma dataskyddsombud för flera behöriga myndigheter. Detta behöver dock inte författningsregleras.
Dataskyddsombudens kvalifikationer
Vilka kvalifikationer och vilken kunskap den som utses till dataskyddsombud bör ha varierar naturligtvis. Enligt artikel 32.2 ska dataskyddsombudet utnämnas på grundval av sina yrkesmässiga kvalifikationer och, i synnerhet, sin sakkunskap om lagstiftning och praxis i fråga om dataskydd samt förmåga att fullgöra de uppgifter som avses i artikel 34.
Datainspektionen anser att kraven på dataskyddsombudets kvalifikationer bör anges i ramlagen eller i förordning. Enligt regeringens bedömning kan sådana krav anges i förordning.
Enligt skäl 63 bör den nödvändiga nivån på sakkunskap fastställas med utgångspunkt i den personuppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas. Det kan således krävas mer av ett dataskyddsombud i en stor organisation som behandlar många känsliga personuppgifter och för olika ändamål än av ett ombud i en mindre organisation där en begränsad mängd uppgifter behandlas. Det ligger i varje personuppgiftsansvarigs intresse att dataskyddsombudet har tillräcklig kunskap, erfarenhet och förmåga att utföra sina uppgifter.
Som Sveriges advokatsamfund anför vore det en fördel med hänsyn till intresset av oberoende dataskyddsombud om ombuden kunde rekryteras externt. Enligt skäl 63 kan dock dataskyddsombudet vara en av den personuppgiftsansvariges medarbetare som fått särskild utbildning beträffande lagstiftning och praxis i fråga om dataskydd. Det är alltså möjligt att anlita dataskyddsombud såväl inom som utanför den egna organisationen. Uppgiften att vara dataskyddsombud kan utföras på deltid eller heltid.
Information om dataskyddsombuden
Den personuppgiftsansvarige bör anmäla till tillsynsmyndigheten vem som har utsetts till dataskyddsombud och när ombudet entledigas. Det är viktigt att tillsynsmyndigheten får information om det, eftersom ombuden bl.a. ska ha till uppgift att samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den i vissa fall (se avsnitt 9.5.3).
I avsnitt 10.2.6 behandlas den personuppgiftsansvariges skyldighet att göra information om dataskyddsombudets kontaktuppgifter tillgänglig.
9.5.3. Dataskyddsombudens arbetsuppgifter
Regeringens förslag: Dataskyddsombud ska ha vissa i ramlagen angivna arbetsuppgifter.
Regeringens bedömning: Skyldigheten att underlätta dataskyddsombudens verksamhet kan regleras i förordning.
Utredningens förslag överensstämmer i huvudsak med regeringens förslag och bedömning. Enligt utredningens förslag ska dataskyddsombud vara skyldiga att anmäla till tillsynsmyndigheten om personuppgiftsansvariga bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.
Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
I artikel 34 anges vilka arbetsuppgifter som ett dataskyddsombud ska ha. Dataskyddsombud ska informera och ge råd till den personuppgiftsansvarige och de anställda som utför personuppgiftsbehandling om deras skyldigheter enligt direktivet och annan unionsrätt eller medlemsstaternas bestämmelser om dataskydd. Ombuden ska också övervaka efterlevnaden av dessa regler och av den personuppgiftsansvariges strategier för skyddet av personuppgifter. I arbetsuppgifterna ingår vidare att på begäran ge råd beträffande konsekvensbedömningar och att övervaka genomförandet av dem. Dataskyddsombud ska samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den i frågor som rör behandling av personuppgifter, särskilt när det gäller förhandssamråd enligt artikel 28. Ombuden ska, om det är lämpligt, samråda med tillsynsmyndigheten även i andra frågor.
Enligt artikel 33.1 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige ska enligt artikel 33.2 stödja dataskyddsombudet i utförandet av de arbetsuppgifter som anges i artikel 34. Det ska göras genom att den personuppgiftsansvarige tillhandahåller de resurser som krävs för att ombudet ska kunna fullgöra uppgifterna och ger ombudet tillgång till personuppgifter och itsystem. Den personuppgiftsansvarige ska också se till att dataskyddsombudets kunskaper upprätthålls.
I skäl 63 framhålls att dataskyddsombud bör kunna utföra sina uppdrag och uppgifter på ett oberoende sätt.
Nuvarande reglering
Enligt 38–40 §§personuppgiftslagen ska personuppgiftsombud självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och påpeka eventuella brister. Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter, och vidtas inte rättelse efter påpekande, ska ombudet anmäla det till tillsynsmyndigheten. Personuppgiftsombud ska även i övrigt samråda med tillsynsmyndigheten. Personuppgiftsombuden ska också föra förteckning över de behandlingar som den personuppgiftsansvarige utför och som skulle ha omfattats av anmälningsskyldighet om inte ombudet hade funnits. Personuppgiftsombud ska dessutom hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
Ombudens arbetsuppgifter enligt direktivet
Dataskyddsombudens roll påminner i stora delar om personuppgiftsombudens. Dataskyddsombuden har dock genom direktivet fått delvis nya arbetsuppgifter och en något förändrad roll. Flertalet av de arbetsuppgifter som ska anförtros dataskyddsombud har t.ex. karaktären av intern rådgivning, vilket inte är fallet i dag. Dataskyddsombuden har också fått ett tydligare uppdrag att bistå tillsynsmyndigheten.
Det bör i ramlagen föreskrivas att dataskyddsombud självständigt ska kontrollera att de personuppgiftsansvariga behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger personuppgiftsansvariga. Kravet på självständighet infördes i personuppgiftslagen eftersom 1995 års dataskyddsdirektiv anger att ombudet ”på ett oberoende sätt” ska kunna kontrollera den personuppgiftsansvarige. I skäl 63 uttrycks samma sak. Självständighetskravet innebär att den personuppgiftsansvarige inte bör utse ett ombud som har en alltför underordnad ställning i organisationen. För att ombuden ska vara oberoende på det sätt som direktivet förutsätter måste han eller hon också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina arbetsuppgifter på ett självständigt sätt.
I artikel 34 b anges att dataskyddsombudens kontroll ska omfatta ansvarstilldelning, information till och utbildning av personal som deltar i behandlingen och tillhörande granskning. Regeringen anser i likhet med utredningen att det inte är lämpligt att i detalj författningsreglera vad ombuden ska granska. Hur omfattande ombudens kontroll bör vara får som i dag avgöras efter omständigheterna i det enskilda fallet. Uppräkningen i direktivet kan dock tjäna som vägledning. Ombuden bör också påpeka eventuella brister för de personuppgiftsansvariga så att de blir medvetna om dem och har möjlighet att vidta lämpliga åtgärder.
Dataskyddsombud bör informera och ge råd till personuppgiftsansvariga och de som behandlar personuppgifter under dennes ledning om deras skyldigheter enligt ramlagen och andra författningar som rör personuppgiftsbehandling. Det handlar främst om att göra den personuppgiftsansvarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera registrerade, att ha säkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Om den personuppgiftsansvarige begär det ska ombudet ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på rätt sätt.
Dataskyddsombud ska även samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling av personuppgifter. Det gäller särskilt vid sådant förhandssamråd som avses i artikel 28 (se avsnitt 9.2.5). Samarbetet innebär också att ombuden, när det är lämpligt, ska samråda med tillsynsmyndigheten även i andra frågor som rör personuppgiftsbehandling.
Dataskyddsombudens roll påminner om internrevisorers. För att ombuden ska kunna utöva intern kontroll bör de inte ges arbetsuppgifter som kan komma i konflikt med kontrolluppgiften. Det kan t.ex. vara olämpligt att låta dataskyddsombud utbilda personalen eller ansvara för att den får annan information, eftersom det är åtgärder som omfattas av den interna granskningen. I större myndigheter torde det inte innebära några svårigheter att hålla isär dessa arbetsuppgifter. I mindre organisationer kan det dock vara svårare. Det är då viktigt att dataskyddsombudet trots sin dubbla roll kan utöva kontrollen på ett oberoende sätt. En lösning kan vara att anlita ett dataskyddsombud utanför den egna organisationen.
Bör dataskyddsombud även ges andra arbetsuppgifter?
Dagens personuppgiftsombud ska enligt 40 § personuppgiftslagen hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Det framgår inte av förarbetena vad hjälpen innebär och frågan är om dataskyddsombud bör ha den arbetsuppgiften.
Personuppgiftsombud fungerar enligt uppgift främst som kontaktpunkt för registrerade i frågor om rättelse och är normalt inte den som i praktiken rättar personuppgifter. Personuppgiftsombud verkar emellertid också användas som kontaktpunkt för registrerade i andra frågor som rör behandling av personuppgifter. I förarbetena till polisdatalagen påtalas vikten av att registrerade enkelt kan vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandling och om rättelse av felaktiga uppgifter (prop. 2009/10:85 s. 93). Liknande uttalanden finns också i förarbetena till andra registerförfattningar (se t.ex. prop. 2014/15:148 s. 91). Det förefaller således finnas behov av att ombudet hjälper registrerade även med andra frågor.
Det är naturligt att dataskyddsombuden fungerar som kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter på samma sätt som personuppgiftsombuden. Den personuppgiftsansvarige ska också enligt artikel 13.1 självmant göra dataskyddsombudens kontaktuppgifter tillgängliga för registrerade. Det talar för att dataskyddsombuden bör ha samma roll i förhållande till enskilda som personuppgiftsombud har i dag. Regeringen anser dock inte att det bör författningsregleras vad dataskyddsombud ska göra i egenskap av kontaktpunkt för enskilda.
Enligt personuppgiftslagen ska ett personuppgiftsombud anmäla till tillsynsmyndigheten om han eller hon misstänker att den personuppgiftsansvarige bryter mot gällande bestämmelser och inte vidtar rättelse. Någon sådan skyldighet föreskrivs inte i direktivet. Som utredningen påpekar är det viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets påpekanden. Till skillnad från utredningen anser regeringen dock inte att dataskyddsombuden bör ha en sådan författningsreglerad skyldighet att anmäla eventuella överträdelser till tillsynsmyndigheten som personuppgiftsombuden har i dag. Någon motsvarande anmälningsskyldighet gäller inte på dataskyddsförordningens område och enligt regeringen är det inte motiverat att införa en sådan skyldighet endast inom ramlagens tillämpningsområde.
Dataskyddsombudens verksamhet ska underlättas
För att dataskyddsombuden ska kunna utföra sina arbetsuppgifter krävs det att de personuppgiftsansvariga gör det möjligt och tillhandahåller de resurser som ombuden behöver. Den personuppgiftsansvarige ska t.ex. göra ombudet delaktig i frågor och beslut som rör behandling av personuppgifter. Ombuden bör också få tillgång till all dokumentation gällande personuppgiftsbehandlingen och, i den utsträckning det behövs, tillgång till de personuppgifter som behandlas. Den personuppgiftsansvarige bör även se till att ombudet ges utrymme för vidareutbildning och annan kunskapsinhämtning. Bestämmelser om det som nu har sagts kan tas in i förordning.
9.6. Personuppgiftsbiträden
9.6.1. Definition av personuppgiftsbiträde
Regeringens förslag: Personuppgiftsbiträde ska i ramlagen definieras som den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Utredningens förslag överensstämmer delvis med regeringens. Enligt utredningens förslag ska personuppgiftsbiträde definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.
Remissinstanserna: Datainspektionen ochSveriges advokatsamfund påpekar att artikel 3.9 i direktivet inte innehåller något krav på skriftliga avtal eller skriftliga överenskommelser vid anlitande av personuppgiftsbiträden och anför att denna skillnad mellan direktivets och lagens lydelser kan leda till oklarheter vid tillämpningen. De anser därför att direktivets definition ska användas.
Skälen för regeringens förslag: Personuppgiftsbiträde definieras i artikel 3.9 som en fysisk eller juridisk person, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det motsvarar i sak definitionen i 3 § personuppgiftslagen. Utredningen anser att det ska framgå av definitionen att det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse mellan personuppgiftsbiträdet och den personuppgiftsansvarige. Som Datainspektionen och Sveriges advokatsamfund invänder, ställer direktivets definition av personuppgiftsbiträde inte något krav på en skriftlig överenskommelse.
Mot den bakgrunden anser regeringen, till skillnad från utredningen, att inte heller ramlagens definition bör innehålla något krav på en skriftlig överenskommelse. Personuppgiftsbiträde bör mot den bakgrunden definieras som den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Därmed kommer definitionen att överensstämma med den som finns i dataskyddsförordningen.
Ett personuppgiftsbiträde måste alltid finnas utanför den personuppgiftsansvariges organisation. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.
Hänvisningar till S9-6-1
- Prop. 2017/18:232: Avsnitt 18.1
9.6.2. Anlitande av personuppgiftsbiträden
Regeringens förslag: Den personuppgiftsansvarige ska, om det är lämpligt, få anlita personuppgiftsbiträden. En personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
Det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.
Ett personuppgiftsbiträde ska inte få anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd från den personuppgiftsansvarige.
Regeringens bedömning: Vad avtalet eller överenskommelsen ska innehålla kan regleras i förordning.
Det som i övrigt ska gälla för tillstånd från den personuppgiftsansvarige att få anlita ett annat personuppgiftsbiträde kan regleras i förordning.
Utredningens förslag överensstämmer i sak med regeringens förslag och bedömning.
Remissinstanserna: Eskilstuna tingsrätt anser att det saknas en analys av när det kan anses vara lämpligt att anlita privata underbiträden. Sveriges advokatsamfund efterfrågar en ytterligare analys av riskerna vid anlitande av personuppgiftsbiträden som bedriver sin verksamhet utomlands, särskilt eftersom sådana biträden kan behöva lämna uppgifter till utländska myndigheter.
Skälen för regeringens förslag och bedömning
Innehållet i direktivet
Enligt artikel 22.1 får den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att vidta lämpliga tekniska och organisatoriska åtgärder, så att behandlingen uppfyller kraven i direktivet och säkerställer att den registrerades rättigheter skyddas.
Personuppgiftsbiträdets behandling ska enligt artikel 22.3 regleras genom ett avtal eller annan rättsakt enligt unionsrätten eller nationell rätt. Avtalet ska enligt artikel 22.4 vara skriftligt.
Av artikel 22.3 framgår att föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter ska regleras i avtalet eller motsvarande. Därutöver ska vissa krav och villkor särskilt anges, t.ex. att personuppgiftsbiträdet säkerställer att personer som har tillstånd att behandla personuppgifterna har tystnadsplikt. Personuppgiftsbiträdet ska också radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har avslutats och radera befintliga kopior av personuppgifterna, om inte lagring av dem krävs enligt unionsrätten eller nationell rätt.
Enligt artikel 22.2 får personuppgiftsbiträdet inte anlita ett annat personuppgiftsbiträde utan skriftligt förhandstillstånd av den personuppgiftsansvarige. Om ett allmänt tillstånd har erhållits, ska personuppgiftsbiträdet alltid informera den personuppgiftsansvarige om planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden.
Nuvarande reglering
Regler om personuppgiftsbiträden finns i artikel 17.2 och 17.3 i 1995 års dataskyddsdirektiv, som har genomförts i 30 och 31 §§personuppgiftslagen. Enligt 31 § andra stycket ska den personuppgiftsansvarige, när denne anlitar ett personuppgiftsbiträde, förvissa sig om att biträdet kan vidta de säkerhetsåtgärder som krävs och se till att biträdet gör det. Det är dock den personuppgiftsansvarige som har ansvaret gentemot den registrerade även när ett personuppgiftsbiträde anlitas (prop. 1997/98:44
s. 93). Det ska enligt 30 § andra stycket personuppgiftslagen finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet ska vidta de säkerhetsåtgärder som avses i 31 § första stycket för att skydda personuppgifterna.
Myndigheternas registerförfattningar hänvisar antingen till dessa paragrafer eller saknar avvikande bestämmelser.
Personuppgiftsbiträden ska kunna anlitas
På direktivets område är det ovanligt att myndigheter anlitar utomstående privata aktörer för behandling av personuppgifter, men det kan förekomma. Ibland träffas också överenskommelser mellan myndigheter där en myndighet agerar personuppgiftsbiträde åt en annan. Det behövs därför bestämmelser i ramlagen som reglerar anlitandet av personuppgiftsbiträden.
På samma sätt som i dag bör det krävas att den personuppgiftsansvarige försäkrar sig om att personuppgiftsbiträdet ska vidta nödvändiga säkerhetsåtgärder och ser till att det görs. Artikel 22.1 omfattar inte bara säkerhetsåtgärder, utan även andra tekniska och organisatoriska åtgärder som säkerställer att behandlingen är författningsenlig och utförs på ett korrekt sätt och att personuppgifterna skyddas. Den personuppgiftsansvarige bör innan ett personuppgiftsbiträde anlitas bl.a. förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna har hos biträdet. Bestämmelsen måste anses gå längre än de nu gällande kraven på personuppgiftsansvariga. Bestämmelsen i ramlagen bör därför ha en något vidare formulering än motsvarande bestämmelse i personuppgiftslagen.
Ansvarsfördelningen mellan den personuppgiftsansvarige och personuppgiftsbiträdet
Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs på dennes vägnar. Den personuppgiftsansvarige ansvarar således både i förhållande till tillsynsmyndigheten och i förhållande till registrerade för att reglerna i ramlagen och andra tillämpliga författningar följs vid personuppgiftsbehandling hos ett personuppgiftsbiträde. Den personuppgiftsansvarige kan uppdra åt biträdet att utföra viss behandling av personuppgifter, men kan inte avsäga sig personuppgiftsansvaret och de skyldigheter som följer med det. Den personuppgiftsansvarige är också skadeståndsskyldig gentemot enskilda vid felaktig behandling av personuppgifter hos personuppgiftsbiträdet. Att biträdet kan bli skadeståndsskyldigt gentemot den personuppgiftsansvarige är en annan sak.
Den omständigheten att flera bestämmelser i direktivet riktar sig direkt till personuppgiftsbiträden innebär ingen förändring av ansvarsfördelningen mellan personuppgiftsansvariga och personuppgiftsbiträden. Tillsynsmyndigheten får dock i vissa fall utkräva ansvar även av personuppgiftsbiträden. Om ett personuppgiftsbiträde t.ex. inte vidtar nödvändiga säkerhetsåtgärder kan tillsynsmyndigheten vidta åtgärder mot både
biträdet och den personuppgiftsansvarige. Likaså kan båda åläggas sanktionsavgift för sådana brister hos biträdet.
Personuppgiftsbiträdets roll ska regleras i en överenskommelse
På samma sätt som i dag bör det krävas ett skriftligt avtal eller någon annan skriftlig överenskommelse mellan personuppgiftsbiträdet och den personuppgiftsansvarige. I artikel 22.3 anges relativt utförligt vad ett sådant avtal ska innehålla. I jämförelse med motsvarande bestämmelse i 1995 års dataskyddsdirektiv ställs det väsentligt högre krav på innehållet. Ramlagen bör dock inte tyngas av alltför detaljerade bestämmelser. Även om det i dag anges i personuppgiftslagen vad ett personuppgiftsbiträdesavtal ska innehålla anser regeringen därför att den mer detaljbetonade regleringen bör finnas i förordning.
Anlitande av underbiträden
Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen reglerar förutsättningarna för när ett personuppgiftsbiträde får anlita ett annat personuppgiftsbiträde, ett underbiträde.
Det är av grundläggande betydelse att den personuppgiftsansvarige känner till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning. Av ramlagen bör det därför framgå att ett personuppgiftsbiträde inte får anlita ett annat personuppgiftsbiträde utan att den personuppgiftsansvarige har lämnat skriftligt tillstånd till det. Att personuppgiftsbiträden som har fått ett generellt tillstånd att anlita underbiträden ska vara skyldiga att informera den personuppgiftsansvarige när underbiträden anlitas kan regleras i förordning. Syftet med informationen är att den personuppgiftsansvarige ska ha möjlighet att invända mot anlitandet av nya biträden.
Eskilstuna tingsrätt har efterfrågat en analys av när det kan anses vara lämpligt att anlita privata underbiträden. Regeringen anser dock inte att det är lämpligt att utöver regleringen i direktivet ställa upp några särskilda kriterier för när biträden får anlitas. Vid tveksamheter kring det tilltänkta biträdets