Prop. 2017/18:269
Brottsdatalag – kompletterande lagstiftning
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 14 juni 2018
Stefan Löfven
Morgan Johansson (Justitiedepartementet)
Propositionens huvudsakliga innehåll
EU:s nya dataskyddsdirektiv kommer i huvudsak att genomföras genom brottsdatalagen. Den lagen kommer att vara generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan lag eller förordning. För myndigheterna i rättskedjan krävs viss särreglering som även i fortsättningen kommer att finnas i särskilda registerförfattningar.
Regeringen föreslår nya lagar om personuppgiftsbehandling på brottsdatalagens område för polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och kriminalvården. Lagarna ska gälla utöver brottsdatalagen och enbart innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från den lagen. Regeringen föreslår också ändringar i andra lagar som en följd av att de nya registerförfattningarna beslutas.
De nya lagarna och lagändringarna föreslås träda i kraft den 1 januari 2019.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om polisens behandling av personuppgifter inom brottsdatalagens område,
2. lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område,
3. lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område,
4. lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område,
5. lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område,
6. lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område,
7. lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område,
8. lag om ändring i rättegångsbalken,
9. lag om ändring i polislagen (1984:387), 10. lag om ändring i säkerhetsskyddslagen (1996:627), 11. lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,
12. lag om ändring i lagen (2000:344) om Schengens informationssystem,
13. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,
14. lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang,
15. lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet,
16. lag om ändring i offentlighets- och sekretesslagen (2009:400), 17. lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas,
18. lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang,
19. lag om ändring i domstolsdatalagen (2015:728), 20. lag om ändring i utlänningsdatalagen (2016:27), 21. lag om ändring i tullagen (2016:253), 22. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete,
23. lag om ändring i säkerhetsskyddslagen (2018:585), 24. lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400).
2. Lagtext
Regeringen har följande förslag till lagtext.
2.1. Förslag till lag om polisens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter:
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och
3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och 7 kap.
2 § Denna lag gäller inte vid behandling av personuppgifter enligt
2. lagen (1998:620) om belastningsregister,
3. lagen (1998:621) om misstankeregister,
4. lagen (2000:344) om Schengens informationssystem,
5. lagen (2006:444) om passagerarregister, eller
6. lagen (2014:400) om Polismyndighetens elimineringsdatabas.
3 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Personuppgiftsansvar
4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten, som inte är åklagarverksamhet, i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.
Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.
Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Definitioner
5 § I denna lag avses med
dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material,
dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och
fingeravtryck: avtryck av finger eller hand.
Behandling av uppgifter om juridiska personer
6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 4 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter,
4. 4 kap. 1–4 och 6–11 §§ om längsta tid som personuppgifter får behandlas,
5. 5 kap. 18–20 §§ om behandling av personuppgifter i penningtvättsregister, och
6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
Lagens uppbyggnad
7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. I 4 kap. finns bestämmelser om längsta tid för behandling av personuppgifter.
För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.
För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap.
I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap.
I 7 kap. finns bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Särskilda upplysningar
3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Känsliga personuppgifter
4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp.
6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Utlämnande av personuppgifter
7 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till
1. Interpol,
2. Europol, eller
3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.
Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.
9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten,
Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där.
11 § En idrottsorganisation har, trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud.
12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§.
Personuppgifter från transportföretag
13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 § 1 och 2.
Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).
14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller bearbetas på annat sätt.
Rätt att meddela föreskrifter
15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
Särskilda upplysningar
3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av
2 § första stycket 2 eller 5.
4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.
Sökning
5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,
4. övervakas enligt 2 § första stycket 2,
5. har anmält ett brott,
6. är målsägande i ett ärende som rör ansvar för brott,
7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende,
8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
9. har gett in eller tillhandahållits en handling, 10. är anmäld som försvunnen, 11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller
12. är efterlyst.
6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,
3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller
4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.
Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.
Direktåtkomst
7 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.
Rätt att meddela föreskrifter
8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av
6 §.
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. begränsning av tillgången till sådana personuppgifter som avses i 5 §,
2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och
3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Detta kapitel gäller bara för automatiserad behandling.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas:
1. 5 kap. 7 § om uppgifter i register över dna-profiler,
2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister,
3. 5 kap. 20 § om uppgifter i penningtvättsregister,
4. 5 kap. 22 § om uppgifter i det internationella registret,
5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och
6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5.
Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott
3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.
4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4–7 får som längst behandlas under den tid som anges i 7–11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7–11 §§.
7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.
Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket.
8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.
Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket.
9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Rätt att meddela föreskrifter
12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–11 §.
13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–11 §, och
2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.
5 kap. Register
Register över dna-profiler
Rätten att föra register
1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. fullgöra förpliktelser som följer av internationella åtaganden, och
4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen.
Dna-registret
2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som
1. genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller
2. har godkänt strafföreläggande som avser villkorlig dom.
3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.
Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod.
Utredningsregistret
4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse.
Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.
Spårregistret
5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person.
Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod.
6 § Dna-profiler i spårregistret får jämföras med dna-profiler
1. som inte kan hänföras till en identifierbar person,
2. som finns i dna-registret, eller
3. som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som
Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt.
Längsta tid som personuppgifter får behandlas
7 § Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.
Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.
Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Uppgifter i registret får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Prover för dna-analys
8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för.
9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.
Direktåtkomst
10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten,
Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dnaprofiler som regleras i detta kapitel.
Fingeravtrycks- och signalementsregister
Rätten att föra register
11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. fullgöra förpliktelser som följer av internationella åtaganden,
4. underlätta identifiering av okända personer, och
5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716).
Innehåll i registren
12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som
1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller
2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.
Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott.
Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister.
13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller mer och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år.
14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om
1. fingeravtryck,
2. signalement,
3. fotografi,
4. videoupptagning,
5. identifieringsuppgifter,
6. ärendenummer, och
7. brottskod.
Längsta tid som personuppgifter får behandlas
15 § Uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person får inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.
Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
16 § Uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande får inte behandlas längre än vad som behövs för det ändamålet.
Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Direktåtkomst
17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.
Penningtvättsregister
Rätten att föra register
18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet
1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller
2. som innefattar finansiering av terrorism.
19 § I penningtvättsregister får personuppgifter behandlas som
1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,
2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller
3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §.
Längsta tid som personuppgifter får behandlas
20 § Personuppgifter i penningtvättsregister får inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Det internationella registret
Rätten att föra register
21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete.
Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten.
Längsta tid som personuppgifter får behandlas
22 § Personuppgifter i det internationella registret får inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Tillträdesförbudsregistret
Rätten att föra register
23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud.
Innehåll i registret
24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud:
1. namn,
2. personnummer eller samordningsnummer,
3. folkbokföringsadress och annan stadigvarande adress,
4. alias,
5. fotografi,
6. anknytning till idrott och idrottsorganisation,
7. omfattningen och giltighetstiden av beslut om tillträdesförbud, och
8. överträdelse av gällande tillträdesförbud.
25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud.
Längsta tid som personuppgifter får behandlas
26 § Uppgifter i tillträdesförbudsregistret får endast behandlas så länge tillträdesförbudet gäller.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Rätt att meddela föreskrifter
27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst,
2. tillgången till personuppgifter i penningtvättsregister och det internationella registret, och
3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret får behandlas för arkivändamål av allmänt intresse eller vetenskap-
liga, statistiska eller historiska ändamål under längre tid än vad som anges i 15, 16, 20, 22 och 26 §§.
6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål
Ändamål
1 § Vid Nationellt forensiskt centrum får personuppgifter behandlas om det behövs för att
1. sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 2 ska kunna utföras,
2. utföra forensiska analyser, undersökningar eller jämförelser åt den egna myndigheten eller åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket eller allmän domstol,
3. begära forensiska analyser, undersökningar eller jämförelser av eller utföra sådana åtgärder åt
a) Rättsmedicinalverket,
b) ett utländskt forensiskt laboratorium, eller
c) en utländsk brottsbekämpande myndighet eller en mellanfolklig organisation eller ett EU-organ med brottsbekämpande uppgifter,
4. begära forensiska analyser eller undersökningar av andra svenska expertorgan, eller
5. ta fram uppslag i syfte att underlätta arbetet med att förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott, genom att använda resultat från sådana åtgärder som anges i 2 eller i 2 § andra stycket.
Personuppgifter får också behandlas vid Nationellt forensiskt centrum om det behövs för
1. forskning och statistik, eller
2. kvaliteten i den forensiska verksamheten.
2 § Vid en annan enhet inom Polismyndigheten än Nationellt forensiskt centrum får personuppgifter behandlas om enheten behöver det för att sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 1 § första stycket 2 ska kunna utföras av centrumet.
Personuppgifter får även behandlas vid en sådan annan enhet om enheten behöver det för att utföra forensiska analyser, undersökningar eller jämförelser.
3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas för nya ändamål inom tillämpningsområdet för brottsdatalagen (2018:000).
I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap.4 och 22 §§brottsdatalagen.
Känsliga personuppgifter
4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § om det är absolut nödvändigt för ändamålet med behandlingen.
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.
Längsta tid som personuppgifter får behandlas
6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades.
Utlämnande av personuppgifter
7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten,
Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.
8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Rätt att meddela föreskrifter
9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §.
10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering.
7 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2–4 eller 7–11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs polisdatalagen (2010:361).
3. En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
4. Den upphävda lagen gäller fortfarande för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet.
2.2. Förslag till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
2 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Personuppgiftsansvar
3 § Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Behandling av uppgifter om juridiska personer
4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 3 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1–5 och 8–11 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap. Grundläggande bestämmelser om behandling
Rättsliga grunder
1 § Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Särskilda upplysningar
3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Känsliga personuppgifter
4 § Tullverket får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp.
6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
Utlämnande av personuppgifter
7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till
1. Interpol,
2. Europol,
3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller
4. en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).
Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §.
Personuppgifter från transportföretag
10 § Personuppgifter som lämnas till Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för att utföra en uppgift som anges i 1 § 1 eller 2.
Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).
11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna.
12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som
1. är eller har varit misstänkt för brott,
2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller
3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.
Rätt att meddela föreskrifter
13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
Särskilda upplysningar
3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av
2 § första stycket 2.
4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.
Sökning
5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,
4. övervakas enligt 2 § första stycket 2,
5. har anmält ett brott,
6. är målsägande i ett ärende som rör ansvar för brott,
7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
8. har gett in eller tillhandahållits en handling,
9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
10. är efterlyst.
6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,
3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller
4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.
Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.
Direktåtkomst
7 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av
2 §.
Rätt att meddela föreskrifter
8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av
6 §.
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. begränsning av tillgången till sådana personuppgifter som avses i 5 §,
2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och
3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling av personuppgifter.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.
3 § Personuppgifter som med stöd av 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom
Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst, ska omedelbart förstöras om de visar sig sakna betydelse för att utföra en uppgift som anges i 2 kap. 1 § 1 eller 2.
Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personuppgifter.
Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott
4 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.
5 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter
utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
6 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
7 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 får som längst behandlas under den tid som anges i 8–11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 8–11 §§.
8 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.
Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket.
9 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.
Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket.
10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Rätt att meddela föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8–11 §,
2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8–11 §, och
3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.
5 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2–5 eller 8–11 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs tullbrottsdatalagen (2017:447).
2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
2.3. Förslag till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.
2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Personuppgiftsansvar
3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Behandling av uppgifter om juridiska personer
4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 3 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1–4 och 6–9 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Rättsliga grunder
1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Särskilda upplysningar
3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Känsliga personuppgifter
4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp.
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Utlämnande av personuppgifter
6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till
1. Interpol,
2. Europol,
3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller
4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).
Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndig-
heten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.
Rätt att meddela föreskrifter
9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
3. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
4. Uppgifter som har rapporterats till Kustbevakningens ledningscentral.
5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Särskilda upplysningar
3 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det
genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.
Sökning
4 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har gett in eller tillhandahållits en handling,
8. är anmäld som försvunnen,
9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
10. är efterlyst.
5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till.
Direktåtkomst
6 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.
Rätt att meddela föreskrifter
7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av
5 §.
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. begränsning av tillgången till sådana personuppgifter som avses i 4 §,
2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och
3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Detta kapitel gäller bara för automatiserad behandling.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott
3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.
4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter som finns i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3–5 får som längst behandlas under den tid som anges i 7–9 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7–9 §§.
7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Rätt att meddela föreskrifter
10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–9 §, och
2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–9 §.
5 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 § om särskilda upplysningar, eller
3. 4 kap. 2–4 eller 7–9 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom denna lag upphävs kustbevakningsdatalagen (2012:145).
3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
4. Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.
2.4. Förslag till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott.
Personuppgiftsansvar
2 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Behandling av uppgifter om juridiska personer
3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 2 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1–4, 7 och 8 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap. Grundläggande bestämmelser om behandling
Rättsliga grunder
1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Särskilda upplysningar
3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Sökning
Känsliga personuppgifter
4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
Beskattningsdatabasen
6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen.
Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas.
Utlämnande av personuppgifter
7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.
Rätt att meddela föreskrifter
10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning av brott.
3. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Särskilda upplysningar
3 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.
Sökning
4 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har gett in eller tillhandahållits en handling,
8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.
5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.
Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller
3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer.
Direktåtkomst
6 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av
2 §.
Rätt att meddela föreskrifter
7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av
5 §.
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. begränsning av tillgången till sådana personuppgifter som avses i 4 §,
2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och
3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Detta kapitel gäller bara för automatiserad behandling.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Första stycket gäller inte personuppgifter i ärenden om utredning av brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av brott
3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.
4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
5 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3 får som längst behandlas under den tid som anges i 7 och 8 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7 och 8 §§.
7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen
gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Rätt att meddela föreskrifter
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§,
2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket, 7 och 8 §§, och
3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.
5 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 § om särskilda upplysningar, eller
3. 4 kap. 2–4, 7 eller 8 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs skattebrottsdatalagen (2017:452).
3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
2.5. Förslag till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagarmyndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att
1. förebygga eller förhindra brottslig verksamhet,
2. utreda eller lagföra brott,
3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, eller
4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet.
Personuppgiftsansvar
2 § Åklagarmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Behandling av uppgifter om juridiska personer
3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 2 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap. Grundläggande bestämmelser om behandling
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att Åklagarmyndigheten eller Ekobrottsmyndigheten ska kunna utföra följande uppgifter:
1. förebygga eller förhindra brottslig verksamhet,
2. utreda eller lagföra brott,
3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,
4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller
5. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Särskilda upplysningar
3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.
Känsliga personuppgifter
4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Utlämnande av personuppgifter
5 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till
1. Eurojust,
2. Interpol,
3. Europol, eller
4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.
Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten,
Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).
7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §.
Rätt att meddela föreskrifter
8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).
Personuppgifter som får göras gemensamt tillgängliga
2 § Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga.
Sökning
3 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende,
7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
8. är eller har varit åklagare i ett ärende eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller
9. har gett in eller tillhandahållits en handling.
4 § Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende.
Direktåtkomst
5 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten,
Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.
Rätt att meddela föreskrifter
6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §, utöver vad som framgår av
4 §.
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. gemensamt tillgängliga uppgifter, och
2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Detta kapitel gäller bara för automatiserad behandling.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter i ärenden
2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft.
3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga personuppgifter
4 § Personuppgifter som inte kan hänföras till ett ärende får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Rätt att meddela föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §,
2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 4 §, och
3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.
5 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, eller
2. 4 kap. 2 eller 4 § om den längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs åklagardatalagen (2015:433).
3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
Hänvisningar till S2-5
- Prop. 2017/18:269: Avsnitt 18.1
2.6. Förslag till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personuppgifter:
1. allmän domstol, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet, och
2. allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder.
Personuppgiftsansvar
2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Rättsliga grunder
3 § Personuppgifter får behandlas om det är nödvändigt för handläggning av mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder eller om upprätthållande av allmän ordning och säkerhet.
Behandling för nya ändamål
4 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Behandling av personnummer
5 § Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Sökbegränsningar
6 § Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar sådana personuppgifter som avses i 2 kap.11 och 12 §§brottsdatalagen (2018:000) eller uppgifter om nationell anknytning.
Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Förbudet
gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende.
7 § Förbudet i 6 § första stycket gäller inte användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar hälsa.
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott.
Elektroniskt utlämnande av personuppgifter
9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
10 § Direktåtkomst får endast medges
1. en allmän domstol,
2. en allmän förvaltningsdomstol, eller
3. en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst.
Personuppgifter i avgjorda mål och ärenden
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft.
Administrativa sanktionsavgifter
12 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
– 3 § om rättsliga grunder för behandling av personuppgifter, eller – 6 § första stycket om sökförbud. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
13 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
14 § Beslut i sådana frågor som avses i 7 kap. 2 § brottsdatalagen (2018:000) som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig, får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen.
Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas.
1. Denna lag träder i kraft den 1 januari 2019.
2. Domstolsdatalagen (2015:728) i lydelsen före den 25 maj 2018 gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.
3. En sanktionsavgift enligt 12 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
2.7. Förslag till lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen.
Personuppgiftsansvar
2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.
2 kap. Grundläggande bestämmelser om behandling av personuppgifter
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:
1. verkställa häktning eller straffrättsliga påföljder,
2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,
3. biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling för nya ändamål
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).
Känsliga personuppgifter
3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Utlämnande av personuppgifter
4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för
1. prövning och genomförande av överflyttning av straffverkställighet,
2. transitering och förvaring av en person som är frihetsberövad för utredning av eller lagföring för brott eller straffverkställighet, eller
3. tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet.
Längsta tid som personuppgifter får behandlas
5 § Personuppgifter som behandlas automatiserat får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas.
Rätt att meddela föreskrifter
6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. vilka personuppgifter som får behandlas enligt 1 §,
2. utlämnande av personuppgifter i andra fall än som anges i 4 §,
3. frågor som rör elektroniskt utlämnande genom direktåtkomst,
4. längsta tid som personuppgifter får behandlas, och
5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §.
3 kap. Säkerhetsregistret
Rätten att föra register
1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att
1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och
2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.
Säkerhetsregistrets innehåll
2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning.
I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon
1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer,
2. förbereder rymning eller försöker rymma,
3. blir föremål för fritagning,
4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller
5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot.
3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler.
4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.
Känsliga personuppgifter
5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.
Direktåtkomst
6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och
Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i säkerhetsregistret.
Längsta tid som personuppgifter får behandlas
7 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att
1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte,
2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller
3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om inne-
hållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret.
4 kap. Övriga bestämmelser
Administrativa sanktionsavgifter
1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 4 § om särskild upplysning, eller
3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas.
En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).
1. Denna lag träder i kraft den 1 januari 2019.
2. Genom lagen upphävs lagen (2001:617) om behandling av personuppgifter inom kriminalvården.
3. En sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
4. Den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.
5. Den upphävda lagen gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.
2.8. Förslag till lag om ändring i rättegångsbalken
Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
28 kap. 12 a §1
Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNAanalys av provet och registrera
DNA-profilen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (2010:361).
Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dnaanalys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
12 b §2
Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om
1. syftet är att genom en DNAanalys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och
1. syftet är att genom en dnaanalys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och
2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.
Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över
DNA-profiler som förs enligt polis-datalagen (2010:361)eller i övrigt användas för annat ändamål än det för vilket provet har tagits.
Analysresultatet får inte jämföras med de dna-profiler som finns registrerade i register över dna-profiler som förs enligt lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller i övrigt användas för annat ändamål än det för vilket provet har tagits.
Första stycket gäller inte den som är under 15 år.
Denna lag träder i kraft den 1 januari 2019.
1 Senaste lydelse 2010:363. 2 Senaste lydelse 2010:363.
2.9. Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 §1
Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminalåtkomst.
Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller
Säkerhets-
polisen.
Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.
Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.
Denna lag träder i kraft den 1 januari 2019.
1 Senaste lydelse 2014:588.
2.10. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)
Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 §1
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:361).
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas.
1. Denna lag träder i kraft den 1 januari 2019.
2. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361).
1 Senaste lydelse 2010:365.
2.11. Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen
Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
16 §1
Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.
Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt.
Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.
Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, skall omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.
Denna lag träder i kraft den 1 januari 2019.
1 Senaste lydelse 1999:434.
2.12. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 §1
Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.
Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polis-datalagen (2010:361) eller annan svensk författning.
Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt brottsdatalagen (2018:000), lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller någon annan författning.
Denna lag träder i kraft den 1 januari 2019.
1 Senaste lydelse 2014:595.
2.13. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
Härigenom föreskrivs att 1 kap.1 och 5 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §1
Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer.
Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrottsdatalagen (2017:447).
Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver.
5 §2
Uppgifter som behandlas enligt 4 § får även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
b) revision och annan analys- eller kontrollverksamhet,
c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
d) utsökning och indrivning,
2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447),
2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:000) om
Tullverkets behandling av personuppgifter inom brottsdatalagens område,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
1 Senaste lydelse 2017:449. 2 Senaste lydelse 2018:231.
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Denna lag träder i kraft den 1 januari 2019.
2.14. Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang
Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 a §1
En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang.
En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
Denna lag träder i kraft den 1 januari 2019.
1 Senaste lydelse 2015:55.
2.15. Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet
Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §1
Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.
Nämnden ska även utöva tillsyn över den behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister som utförs av Polismyndigheten,
Säkerhetspolisen och
Ekobrottsmyndigheten. När det gäller Säkerhetspolisen ska tillsynen även avse behandling enligt polisdatalagen (1998:622). Tillsynen ska särskilt avse sådan behandling som avses i2 kap. 10 § polisdatalagen (2010:361) och 5 §
polisdatalagen (1998:622) samt
12 § lagen om polisens allmänna spaningsregister.
Nämnden ska även utöva tillsyn över den behandling av personuppgifter som utförs av Polismyndigheten,
Säkerhetspolisen och
Ekobrottsmyndigheten enligt brottsdatalagen (2018:000) och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 11 § brottsdatalagen.
Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.
3 §
Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för sådana tvångsmedel eller varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om användningen av tvångsmedel och därmed sammanhängande verksamhet eller behandlingen av personuppgifter har skett i enlighet med lag
Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon
1. har utsatts för sådana tvångsmedel som avses i 1 § och om användningen av dem och verksamhet som hänger samman med dem har varit i enlighet med lag eller annan författning, eller
2. varit föremål för sådan per-
1 Senaste lydelse 2014:652.
eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts.
sonuppgiftsbehandling som avses i 1 § och om den har utförts i enlighet med lag eller annan författning.
Nämnden ska underrätta den enskilde om att kontrollen har utförts.
Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.
4 §
Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.
Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.
1. Denna lag träder i kraft den 1 januari 2019.
2. Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen (2010:361) eller polisdatalagen (1998:622).
3. Äldre föreskrifter gäller fortfarande för nämndens tillsyn över annan personuppgiftsbehandling än den som anges i punkten 2 som utförts före ikraftträdandet.
2.16. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 18 kap.2 och 18 §§, 35 kap.1, 4 a, 10 och 10 b §§ och 37 kap. 7 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
18 kap.
2 §1
Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § 1 lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till
Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i
1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:452),
1. 2 kap. 1 § 1 lagen (2018:000) om Tullverkets behandling av personuppgifter inom brotts-datalagens område 2 kap. 1 § 1,
2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen (2017:447), eller
2. 2 kap. 1 § 1 lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, eller
3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevaknings-datalagen (2012:145).
3. lagen (2018:000) om
Skatteverkets behandling av personuppgifter inom brottsdatalagens område.
Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
1 Senaste lydelse 2017:456.
18 §2
Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).
Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
35 kap.
1 §3
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 4 kap. polis-datalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag,
7. register som förs av Skatteverket enligt lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt tullbrottsdatalagen
9. register som förs av Tullverket enligt lagen (2018:000) om Tull-
2 Senaste lydelse 2010:369. 3 Senaste lydelse 2017:1076.
(2017:447) eller som annars behandlas där med stöd av samma lag, eller
verkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag.
10. register som förs enligt lagen ( 2010:362 ) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
4 a §4
Sekretess gäller i verksamhet som avser förande av register enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Sekretess gäller i verksamhet som avser förande av tillträdesförbudsregistret enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
10 §5
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627)samt i förordning som har meddelats med stöd i den lagen,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627)och i förordning som har meddelats med stöd i den lagen,
3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken ,
3. enligt vad som föreskrivs i
4. enligt vad som föreskrivs i
– lagen (1998:621) om misstankeregister,
4 Senaste lydelse 2015:53. 5 Senaste lydelse 2017:456.
– polisdatalagen (2010:361), – lagen (2018:000) om polisens behandling av personuppgifter
inom brottsdatalagens område,
– skattebrottsdatalagen (2017:452) ,
– lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,
– tullbrottsdatalagen (2017:447) ,
– lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område,
– kustbevakningsdatalagen (2012:145) ,
– lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område,
– åklagardatalagen (2015:433), – lagen (2018:000) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, eller – förordningar som har stöd i dessa lagar, eller
– förordningar som har stöd i dessa lagar.
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken .
10 b §6
Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang.
Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
37 kap.
7 §7
Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).
Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
6 Senaste lydelse 2015:53. 7 Senaste lydelse 2010:369.
1. Denna lag träder i kraft den 1 januari 2019.
2. Äldre föreskrifter gäller fortfarande för sådan verksamhet som avses i 6 kap. 1 § 1 polisdatalagen (2010:361).
3. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen.
4. Äldre föreskrifter gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Hänvisningar till S2-16
- Prop. 2017/18:269: Avsnitt 18.24
2.17. Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas
Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndighetens elimineringsdatabas1
dels att 6 och 7 §§ ska upphöra att gälla,
dels att rubriken närmast före 7 § ska utgå,
dels att 1, 2, 4, 11 och 12 §§ och rubrikerna närmast före 2, 11 och 12 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §2
Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med DNAanalyser (elimineringsdatabasen) i enlighet med denna lag.
Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid DNA-analyser och hanteringen av DNA-spår.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser och hanteringen av dna-spår.
Begreppen
DNA-profil och
DNA-analys som används i lagen har samma betydelse som i polisdatalagen (2010:361).
Begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
Förhållandet till personuppgifts-
lagen
Förhållandet till annan reglering
2 §
Denna lag gäller utöver person-uppgiftslagen (1998:204).
Denna lag gäller utöver brotts-datalagen (2018:000).
4 §
En DNA-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med DNA-profiler i eli-
En dna-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med dna-profiler i elimi-
1 Senaste lydelse av lagens rubrik 2014:600
6 § 2014:600. 2 Senaste lydelse 2014:600.
mineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra DNA-profiler i de DNAregister som regleras i 4 kap. polisdatalagen (2010:361).
neringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra dna-profiler i de dna-register som regleras i 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Avser DNAprofilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det
DNA-register som regleras i 4 kap. polisdatalagen.
En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Om dna-profilen avser en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dnaregister som regleras i 5 kap. lagen om polisens behandling av personuppgifter inom brottsdatalagens område.
En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med
DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNA-profiler i elimineringsdatabasen.
En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dnaanalyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dna-profiler i elimineringsdatabasen.
Gallring Längsta tid för behandling
11 §3
Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler.
Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.
Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som rör anställda vid Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades.
Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.
Uppgifter som rör andra än de Uppgifter som rör andra än de
3 Senaste lydelse 2014:600
som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde.
som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten upphörde.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.
Rättelse och skadestånd Skadestånd
12 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 §.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som avses i 13 eller 14 §.
Denna lag träder i kraft den 1 januari 2019.
2.18. Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang
Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang
dels att 2, 4, 6, 8–10, 12 och 15 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 2, 4, 8–10, 12 och 15 §§ ska utgå,
dels att nuvarande 3, 5, 7, 11, 13 och 14 §§ ska betecknas 2, 4, 5, 6, 7 och 8 §§,
dels att rubriken till lagen samt 1 §, de nya 2, 4, 6 och 7 §§,
dels att rubrikerna närmast före nuvarande 3, 5, 6, 11 och 14 §§ ska sättas närmast före de nya 2, 4, 5, 6 och 8 §§,
dels att det ska införas en ny paragraf, 3 §, och närmast före de nya 3 och 7 §§ nya rubriker med följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Lag om register över tillträdesförbud
vid idrottsarrange-
mang
Lag om idrottsorganisationers
behandling av uppgifter om till-
trädesförbud
1 §
Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Syftet med denna lag är att göra det möjligt för idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
2 §
Denna lag gäller behandling av personuppgifter för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller vid
1. Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret, och
2. idrottsorganisationers behandling av personuppgifter från tillträdesförbudsregistret.
Denna lag gäller vid idrottsorganisationers behandling av personuppgifter från det tillträdesförbudsregister som förs enligt lagen (2018:218) om polisens behandling av personuppgifter inom brottsdatalagens område för att upprätthålla gällande beslut om tillträdesförbud.
Lagen gäller behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller
Lagen gäller för behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i
är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §.
eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §.
Förhållandet till annan reglering
3 §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför.
6 §
Tillgången till personuppgifter ska begränsas till vad den som arbetar vid Polismyndigheten eller som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget.
Tillgången till personuppgifter ska begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter.
Längsta tid som personuppgifter får behandlas
7 §
En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs.
Personuppgifter som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret får inte behandlas efter det att tillträdesförbudets giltighetstid löpt ut eller om tillträdesförbudet dessförinnan upphävts.
Denna lag träder i kraft den 1 januari 2019.
2.19. Förslag till lag om ändring i domstolsdatalagen (2015:728)
Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728)
dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:250) om ändring i den lagen ska upphöra att gälla,
dels att 2 och 16 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.
Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen ( 2018:000 ) om domstolarnas behandling av personuppgifter inom brottsdatalagens område.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
16 §
Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt.
Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
Denna lag träder i kraft den 1 januari 2019.
2.20. Förslag till lag om ändring i utlänningsdatalagen (2016:27)
Härigenom föreskrivs att 15 § utlänningsdatalagen (2016:27) ska ha följande lydelse.
Lydelse enligt prop. 2017/18:254 Föreslagen lydelse
15 §
Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).
Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap.1–2 a §§utlänningslagen åberopas,
2. i ärenden om avvisning och utvisning,
3. i testverksamhet,
4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller
5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361).
5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
2. föreskrifter om gallring.
Denna lag träder i kraft den 1 januari 2019.
2.21. Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
8 §
Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.
Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Tullverket.
Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.
Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.
Denna lag träder i kraft den 1 januari 2019.
2.22. Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete
Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §, 9 kap. 4 och 5 §§, 10 kap. 1–3 §§ och rubriken närmast före 7 kap. 7 § lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 kap.
1 §
Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller
Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller brottsdatalagen (2018:000) och följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete:
– polisdatalagen (2010:361) för polisens behandling av personuppgifter vid internationellt polisiärt samarbete,
– lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område,
– kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och
– lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, eller
– tullbrottsdatalagen (2017:447) för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete.
– lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
7 kap.
1 §
Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler.
Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler.
Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361).
Första och andra styckena gäller endast de register över dna-profiler som regleras i lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
3 §
Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).
Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
4 §
I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).
I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.
Rättelse och skadestånd Skadestånd
7 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
8 kap.
3 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
9 kap.
4 §
Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat.
Detta är dock tillåtet i brådskande fall om
1. de villkor för sökning som anges i 1 § andra stycket är uppfyllda,
2. det är förenligt med svenska intressen att uppgifterna lämnas ut,
3. den stat som har lagt in uppgifterna i systemet samtycker till det, och
4. förutsättningarna i 33 och
34 §§personuppgiftslagen (1998:204) är uppfyllda.
4. förutsättningarna i 8 kap. 1 § brottsdatalagen (2018:000) är uppfyllda.
5 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
10 kap.
1 §
Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe trots 33 § personuppgiftslagen (1998:204) medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).
Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
2 §
På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar ett sådant brott.
Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).
Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område.
Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.
3 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
1. Denna lag träder i kraft den 1 januari 2019.
2. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361).
2.23. Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)
dels att 3 kap. 13 och 14 §§ ska ha följande lydelse,
dels att det i ikraftträdande- och övergångsbestämmelserna ska införas en ny punkt, 5, av följande lydelse.
Lydelse enligt SFS 2018:585 Föreslagen lydelse
3 kap.
13 §
Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas.
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas.
14 §
Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagenhämtas.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av lagen om polisens behandling av personuppgifter inom brottsdatalagens område hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.
5. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361).
2.24. Förslag till lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap.1 och 10 §§offentlighets- och sekretesslagen (2009:400) i stället för lydelsen enligt lagen (2018:591) om ändring i den lagen ska ha följande lydelse.
Lydelse enligt SFS 2018:591 Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen (2018:585),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 4 kap. polis-datalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag,
7. register som förs av Skatteverket enligt lagen (2018:000) om
Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller
9. register som förs av Tullverket enligt lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag.
10. register som förs enligt lagen ( 2010:362 ) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
10 §
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:585)samt i förordning som har meddelats med stöd i den lagen,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:585)och i förordning som har meddelats med stöd i den lagen,
3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken ,
3. enligt vad som föreskrivs i
4. enligt vad som föreskrivs i
– lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (2018:000) om polisens behandling av personuppgifter
inom brottsdatalagens område,
– skattebrottsdatalagen (2017:452) ,
– lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,
– tullbrottsdatalagen (2017:447) ,
– lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område,
– kustbevakningsdatalagen (2012:145) ,
– lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område,
– åklagardatalagen (2015:433), – lagen (2018:000) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, eller – förordningar som har stöd i dessa lagar, eller
– förordningar som har stöd i dessa lagar.
4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken .
3. Ärendet och dess beredning
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet.
Regeringen beslutade den 17 mars 2016 kommittédirektiv om genomförande av dataskyddsdirektivet (dir. 2016:21). Utredningen om 2016 års dataskyddsdirektiv redovisade den 5 april 2017 delbetänkandet Brottsdatalag (SOU 2017:29). I delbetänkandet föreslås att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Regeringen beslutade den 19 april 2018 propositionen Brottsdatalag (prop. 2017/18:232).
Utredningens slutbetänkande Brottsdatalag – kompletterande lagstiftning (SOU 2017:74) redovisades den 4 oktober 2017. Slutbetänkandets lagförslag, utom förslaget som gäller en särskild lag för Säkerhetspolisens behandling av personuppgifter, behandlas i denna proposition. Förslaget om Säkerhetspolisens behandling av personuppgifter kommer att behandlas i en kommande lagrådsremiss. En sammanfattning av betänkandet finns i bilaga 1. Betänkandets lagförslag i relevanta delar finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/07698/L4). Vissa remissinstanser har framfört förslag till ändringar av andra författningar än de som är föremål för översyn inom ramen för detta lagstiftningsärende. Dessa förslag lämnas utan åtgärd.
Chefen för Justitiedepartementet gav i september 2016 en utredare i uppdrag att biträda departementet med att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen (Ju2016/06265/LP). Uppdraget redovisades i augusti 2017 i departementspromemorian En omarbetad domstolsdatalag – anpassning till EU:s dataskyddsförordning (Ds 2017:41). En sammanfattning av promemorian i relevanta delar finns i bilaga 4, och promemorians lagförslag i relevanta delar finns i bilaga 5. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/06965/DOM). Promemorians förslag om anpassning av domstolsdatalagen till dataskyddsförordningen behandlas i propositionen Anpassning av domstolsdatalagen till EU:s dataskyddsförordning (prop. 2017/18:113). I denna proposition behandlar regeringen promemorians förslag om avgränsning av domstolsdatalagens tillämpningsområde och komplettering av lagens ända-
målsbestämmelser. Regeringen avser inte att gå vidare med promemorians övriga förslag.
Lagrådet
Regeringen beslutade den 5 april 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga
8. Regeringen följer i allt väsentligt Lagrådets förslag. En följd av detta är att lagförslagen i avsnitt 2.1–2.5 och 2.7 har utformats som nya lagar i stället för ändringslagar. Lagrådets synpunkter och förslag behandlas i avsnitt 4.4, 5.2, 5.7, 7.1.2, 8.1.2, 9.1.2, 10.1.2, 11.1.2, 13.1.3 och 14.2 samt i författningskommentaren. I förhållande till lagrådsremissens lagförslag har dessutom författningstekniska, språkliga och redaktionella ändringar gjorts. Förslagen i den del som avser ändringar i säkerhetsskyddslagen (2018:585) och lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över de förslagen.
Hänvisningar till S3
4. Befintlig lagstiftning måste anpassas
4.1. Dataskyddsreformen
Europeiska unionens nya dataskyddsreglering består av två rättsliga instrument. Det ena är dataskyddsförordningen och det andra är dataskyddsdirektivet. Reformen innebär att reglerna om personuppgiftsbehandling i framtiden kommer att finnas i två parallella regelverk.
Personuppgiftslagen (1998:204) upphörde att gälla när dataskyddsförordningen började tillämpas den 25 maj 2018. Den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i fortsättningen dataskyddslagen, trädde i kraft samma dag, se prop. 2017/18:105. Dataskyddslagen innehåller bestämmelser av generell karaktär på förordningens område. Dataskyddsförordningen och dataskyddslagen gäller inte när dataskyddsdirektivet är tillämpligt.
Direktivet ska vara genomfört senast den 6 maj 2018. Regeringen föreslår i prop. 2017/18:232 att direktivet i huvudsak ska genomföras genom en ny brottsdatalag. I brottsdatalagen, som ska gälla generellt inom direktivets tillämpningsområde, dras gränsen mot förordningens tillämpningsområde. Där regleras också vilka behöriga myndigheter som ska tillämpa lagen och andra frågor som är gemensamma för alla behöriga myndigheter. Brottsdatalagen kommer därmed, inom lagens tillämpningsområde, att fylla i stort sett samma funktion som personuppgiftslagen tidigare har gjort.
Brottsdatalagen kommer att vara subsidiär till annan lag eller förordning som innehåller bestämmelser som avviker från lagen. På samma sätt som i dag kommer det även i fortsättningen att finnas särskilda registerförfattningar för flertalet av de myndigheter som ska tillämpa brottsdata-
lagen. Dessa författningar behöver anpassas till brottsdatalagen och den nya EU-regleringen.
4.2. Utgångspunkter för anpassningen till brottsdatalagen
Brottsdatalagen kommer att fylla ungefär samma funktion som personuppgiftslagen har gjort i verksamhet som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. Det kommer dock fortfarande att krävas ytterligare reglering som tar hänsyn till de särskilda behov som vissa myndigheter har av att kunna behandla personuppgifter för att utföra sina arbetsuppgifter. Sådan särreglering bör finnas i myndigheternas registerförfattningar.
Regleringen i registerförfattningarna utgår i dag från personuppgiftslagen på så sätt att författningen antingen gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i den lagen, eller att författningen gäller utöver personuppgiftslagen.
Personuppgiftslagen var allmänt hållen och tog bara begränsad hänsyn till de särskilda behov som vissa samhällssektorer har. Genom att brottsdatalagen i stället innehåller bestämmelser som är skräddarsydda för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet minskar behovet av att ha särregler i registerförfattningarna. En utgångspunkt för den nya regleringen är därför att de generella bestämmelserna i brottsdatalagen i så stor utsträckning som möjligt ska ersätta motsvarande bestämmelser i registerförfattningarna.
En annan utgångspunkt är att regleringen i de olika registerförfattningarna bör vara densamma, om det inte finns några sakliga skäl för särlösningar. En mer enhetlig reglering underlättar informationsutbytet, vilket är ett övergripande syfte med direktivet.
Med dessa utgångspunkter behandlas i detta avsnitt vissa övergripande frågor om den kommande utformningen av registerförfattningarna.
4.3. Merparten av bestämmelserna är förenliga med dataskyddsdirektivet
Regeringens bedömning: Merparten av bestämmelserna i registerförfattningarna är förenliga med dataskyddsdirektivet.
Många
bestämmelser behöver dock ändras för att få en enhetlig terminologi i registerförfattningarna.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Med undantag för kriminalvårdens lagstiftning har samtliga aktuella registerförfattningar tillkommit under de senaste åren. Det innebär att de uppfyller kraven som ställs i dataskyddsrambeslutet. Direktivet bygger vidare på regleringen i dataskyddsrambeslutet och registerförfattningarna är därmed till stor del redan anpassade till de krav som ställs i direktivet. Det stora flertalet av
bestämmelserna i registerförfattningarna uppfyller alltså direktivets krav och behöver inte ändras i sak. Det kan dock även i dessa registerförfattningar finnas enskilda bestämmelser som måste ändras för att stå i överensstämmelse med hur brottsdatalagen genomför direktivet. Vissa bestämmelser bör dessutom ändras för att skapa en mer enhetlig utformning av registerförfattningarna eller en terminologi som är anpassad till brottsdatalagen.
Kriminalvårdens registerförfattning avviker i många avseenden från den modernare reglering som gäller för övriga behöriga myndigheter. Kriminalvårdens reglering kräver därför särskilda överväganden.
4.4. Ändringslagar eller nya lagar?
Regeringens förslag: Lagen om behandling av personuppgifter inom kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen ska upphävas och nya lagar om myndigheternas behandling av personuppgifter inom brottsdatalagens område ska införas.
Utredningen föreslår att anpassningarna till brottsdatalagen ska ske genom ändringar i befintliga registerförfattningar.
Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Anpassningen av myndigheternas registerförfattningar till brottsdatalagen innebär omfattande strukturella och redaktionella ändringar i lagen om behandling av personuppgifter inom kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen, vilket även
Lagrådet konstaterar. Lagrådet framhåller att om ändringarna sker i de befintliga lagarna så kommer de att framstå som helt omarbetade eftersom i princip alla paragrafer kommer att vara försedda med ett SFSnummer från 2018 i de konsoliderade versionerna. Vidare får lagarna nya namn som innehåller orden ”behandling av personuppgifter inom brottsdatalagens område” samtidigt som brottsdatalagen utfärdas 2018. Enligt
Lagrådet blir det förvirrande när registerlagarna behåller sina gamla SFSnummer. Mot den bakgrunden kan Lagrådet inte tillstyrka att lagändringarna sker genom ändringslagar utan förordar att samtliga lagar upphävs och ersätts med nya lagar. Att lagarna därmed kan komma att innehålla några bestämmelser som efter en mer ingående analys skulle ha fått en annan utformning kan enligt Lagrådet accepteras med hänsyn till att det är fråga om bestämmelser som överförs från nu gällande lag.
Utredningen framhåller å sin sida att det krävs en total översyn av kriminalvårdens registerlagstiftning för att kriminalvården ska kunna behandlas på ett ändamålsenligt sätt. Utredningen, som inte haft utrymme att göra en sådan total översyn, föreslår därför ingen ny lag, trots att alla bestämmelser ändras och lagen får en ny utformning (SOU 2017:74 s. 547). Även regeringen anser att det kan finnas behov av att i framtiden göra en översyn av kriminalvårdens registerlagstiftning (se avsnitt 13.1.2).
För övriga myndigheters befintliga registerförfattningar finns inte motsvarande behov av en översyn men även beträffande dessa lagar har
det i detta lagstiftningsärende saknats utrymme att göra en sådan analys och granskning av befintliga bestämmelser som normalt sett sker när en ny lag beslutas. Av de skäl som Lagrådet anför anser regeringen dock att nackdelarna med att låta anpassningen till brottsdatalagen ske genom ändringslagar är så stora att myndigheternas registerförfattningar i stället bör upphävas och ersättas med nya lagar, trots att en fullständig översyn av registerförfattningarnas bestämmelser inte har kunnat genomföras.
De nya lagförslagen (avsnitt 2.1–2.5 och 2.7) innebär att myndigheternas registerförfattningar omarbetas författningstekniskt och redaktionellt i förhållande till lagrådsremissens förslag, bl.a. flyttas två paragrafer i polisdatalagen (5 kap. 1 och 2 §§) helt oförändrade till polisens nya registerförfattning. Dessutom behöver övergångsbestämmelserna delvis formuleras om med anledning av att nya lagar föreslås i stället för ändringslagar. Även i övriga delar av propositionen görs redaktionella och språkliga ändringar i förhållande till lagrådsremissen som en följd av de nya lagförslagen. Innehållet i lagförslagen påverkas dock inte i sak av att anpassningen till brottsdatalagen görs i nya lagar i stället för i befintliga registerförfattningar.
De bestämmelser i registerförfattningarna som inte kräver någon saklig ändring i förhållande till dagens reglering kommer inte att kommenteras när respektive författning behandlas. Bestämmelser som enbart blir föremål för mindre ändringar av språklig eller redaktionell karaktär kommer inte heller att tas upp särskilt. Frågan om de nya lagarnas namn behandlas nedan (se t.ex. avsnitt 7.1.2).
4.5. Lagarnas tillämpningsområden
Regeringens förslag: De nya registerförfattningarna ska innehålla bestämmelser om tillämpningsområdet. Regleringen ska i likhet med tillämpningsområdet för brottsdatalagen utgå från syftet med personuppgiftsbehandlingen. Det ska också framgå att registerförfattningarna endast är tillämpliga när en myndighet agerar i egenskap av behörig myndighet.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag
Bestämmelser om tillämpningsområdet bör finnas kvar
Brottsdatalagen kommer att innehålla bestämmelser om lagens tillämpningsområde och det kan därför ifrågasättas om det i fortsättningen behövs några bestämmelser om detta i registerförfattningarna.
Dataskyddsreformen innebär dock att de behöriga myndigheterna kommer att få tillämpa ett flertal författningar vid behandlingen av personuppgifter och det är ofrånkomligt att regleringen blir förhållandevis svåröverskådlig. Redan detta talar för att tillämpningsområdet för varje registerförfattning bör anges så tydligt som möjligt. Inte minst bör det underlätta för myndigheterna om gränsdragningen mot dataskyddsförordningens tillämpningsområde kan klargöras i respektive författning.
Vidare finns i dag vissa mer specifika bestämmelser om registerförfattningarnas tillämpningsområde som kommer att behövas även i fortsättningen. Som exempel kan nämnas bestämmelser om att en viss registerförfattning gäller för flera myndigheter (se t.ex. 1 kap. 2 § polisdatalagen). Mot den bakgrunden instämmer regeringen i utredningens bedömning att det även fortsättningsvis bör finnas bestämmelser om tillämpningsområdet i registerförfattningarna.
Från verksamhet till syfte
Den nuvarande regleringen i registerförfattningarna utgår från den verksamhet där behandlingen av personuppgifter utförs. I brottsdatalagen, som har sin grund i direktivets reglering, är i stället syftet med personuppgiftsbehandlingen avgörande för om lagen är tillämplig eller inte. Det är därför inte möjligt att i de nya lagarna införa bestämmelser som knyts till den verksamhet där behandlingen utförs.
Eftersom regleringen ska utgå från syftet med behandlingen av personuppgifter bör uttrycket brottsbekämpande verksamhet utmönstras. I stället bör tillämpningsområdet utgå från hur 1 kap. 2 § brottsdatalagen är formulerad. Det innebär att tillämpningsområdet bör knytas till att personuppgifter behandlas i något av de syften som anges i brottsdatalagen, nämligen förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Ändringen innebär att tillämpningsområdet för registerförfattningarna kommer att bli något snävare än i dag, eftersom personuppgiftsbehandling som sker i den brottsbekämpande verksamheten men som har syften som ligger utanför brottsdatalagens tillämpningsområde inte kommer att omfattas av regleringen. Ett sådant exempel är när Polismyndigheten lämnar uppgifter från den brottsbekämpande verksamheten till tillståndsverksamheten. Då kommer i stället dataskyddsförordningens regelverk att bli tillämpligt.
Myndigheten ska agera i egenskap av behörig myndighet
Det är inte enbart syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Det krävs också att myndigheten agerar i egenskap av behörig myndighet enligt den lagen. Behörig myndighet definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det bör av bestämmelserna om tillämpningsområdet i respektive registerförfattning framgå att författningen endast är tillämplig när myndigheten agerar i egenskap av behörig myndighet.
Hur förhåller sig brottsdatalagens och registerförfattningarnas tillämpningsområden till varandra?
Den nya regleringens struktur innebär att brottsdatalagen, som ska tillämpas i hela rättskedjan, bildar den yttre ramen för regleringen och att registerförfattningarna inskränker rätten att behandla personuppgifter till behandling i vissa syften i respektive verksamhet. Registerförfattningarnas tillämpningsområden kommer alltså att vara snävare än brottsdata-
lagens. Som exempel kan nämnas att tillämpningsområdet för flertalet registerförfattningar inte omfattar behandling av personuppgifter i syfte att verkställa påföljder eller upprätthålla allmän ordning och säkerhet.
Registerförfattningarna kommer inom sitt respektive tillämpningsområde att gälla utöver brottsdatalagen. Det innebär att de kommer att innehålla undantag, avvikelser och preciseringar i förhållande till brottsdatalagen. Regleringens struktur medför att registerförfattningarna måste läsas tillsammans med brottsdatalagen.
En annan utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. I dag regleras dock framför allt Polismyndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i flera olika författningar, vilket framgår av 1 kap. 3 § polisdatalagen. Det kommer inte heller i fortsättningen alltid att vara möjligt att i en och samma författning reglera all myndighetens personuppgiftsbehandling. Det bör i så stor utsträckning som möjligt framgå av respektive registerförfattning när det finns annan sådan reglering inom brottsdatalagens tillämpningsområde som ersätter bestämmelserna i registerförfattningen.
4.6. Ska registerförfattningarna reglera vissa frågor som inte rör dataskydd?
Regeringens förslag: De nya registerförfattningarna ska innehålla sekretessbrytande bestämmelser. De ska också reglera på vilket sätt personuppgifter får lämnas ut och stadga en viss föreskriftsrätt som inte direkt rör tillämpningsområdet.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag: Registerförfattningarna innehåller i dag inte bara dataskyddsbestämmelser utan också vissa andra bestämmelser som har nära samband med dataskyddsregleringen.
En första kategori är de sekretessbrytande bestämmelser som finns i flertalet registerförfattningar. Vissa sekretessbrytande bestämmelser har tillkommit för att det ska vara möjligt att medge direktåtkomst till personuppgifter medan andra har till syfte att bryta sekretessen för visst informationsutbyte, t.ex. med Interpol och Europol. De sekretessbrytande bestämmelserna har ett så nära samband med personuppgiftsbehandlingen att de har en naturlig plats i registerförfattningarna. Det är också svårt att se att de skulle kunna placeras i någon annan författning. De bör därför föras över till de nya lagarna. Sekretessbrytande bestämmelser finns också i offentlighets- och sekretesslagen (2009:400) och i andra författningar som ska tillämpas av de behöriga myndigheterna. Bestämmelserna i registerförfattningarna reglerar alltså inte uttömmande när sekretessen bryts.
Den andra kategorin är de bestämmelser som reglerar på vilket sätt som personuppgifter får lämnas ut. Exempelvis finns det i flertalet registerförfattningar en bestämmelse som föreskriver att endast enstaka per-
sonuppgifter får lämnas ut på medium för automatiserad behandling. Även dessa bestämmelser måste anses ha sin naturliga plats i registerförfattningarna. De medverkar dessutom indirekt till dataskyddet, eftersom de begränsar möjligheten att lämna ut personuppgifter elektroniskt.
Den tredje kategorin är de bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål och om digital arkivering. Även sådana bestämmelser bör föras över till de nya lagarna.
Genom att dessa frågor även i fortsättningen regleras i registerförfattningarna kan också den nuvarande strukturen behållas så långt möjligt.
5. Generella förändringar
5.1. Liknande behov av förändringar
Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbevakningen, Tullverket och Skatteverket har registerförfattningar som är uppbyggda på samma sätt. Det är framför allt de inledande kapitlen i registerförfattningarna som har ett till stor del likartat innehåll. Eftersom registerförfattningarna har betydande likheter är behovet av förändringar i de nya registerförfattningarna i stor utsträckning desamma. Det finns därför anledning att i detta avsnitt behandla de förändringar som är desamma för alla eller ett flertal av registerförfattningarna.
Kriminalvårdens registerlagstiftning skiljer sig till stora delar från övriga registerförfattningar, men även den innehåller vissa bestämmelser som liknar dem som finns i de övriga registerförfattningarna. När så är fallet behandlas även kriminalvårdens bestämmelser i detta avsnitt.
Domstolarnas registerlagstiftning behandlas i avsnitt 12.
Hänvisningar till S5-1
5.2. En ny lagteknisk struktur
Regeringens förslag: De nya registerförfattningarna ska gälla utöver brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget att registerförfattningarna bör gälla utöver brottsdatalagen. Sveriges advokatsamfund ansluter sig till bedömningen att vald lagteknisk modell ställer särskilda krav på tillämparen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen gäller i stället för personuppgiftslagen (se exempelvis 2 kap. 1 § polisdatalagen). Lagen om behandling av personuppgifter inom kriminalvården har en annan struktur. I 2 § föreskrivs att om inte annat följer av lagen
eller föreskrifter som har meddelats med stöd av den så tillämpas personuppgiftslagen.
Brottsdatalagen är till skillnad från personuppgiftslagen anpassad till de brottsbekämpande myndigheternas verksamhet. I förhållande till brottsdatalagen bör de nya registerförfattningarna endast innehålla de bestämmelser som krävs för att regleringen ska passa för respektive myndighets verksamhet. Registerförfattningarna bör därför utformas så att de gäller utöver brottsdatalagen.
I brottsdatalagen finns alla grundläggande bestämmelser om hur personuppgifter får behandlas. Där regleras också den personuppgiftsansvariges skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. Där anges också vad som gäller för överföring av personuppgifter till tredjeland. Att de nya registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de framför allt bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. I den mån en fråga regleras i brottsdatalagen men inte i registerförfattningen ska alltså brottsdatalagen tillämpas. Det innebär vidare att de bestämmelser som finns i registerförfattningarna ska läsas tillsammans med regleringen i brottsdatalagen. Det kan vara fråga om bestämmelser som t.ex. preciserar vilka särskilda krav som gäller vid behandling av en viss typ av personuppgifter eller hur länge en viss typ av personuppgifter får behandlas. Det kan även finnas bestämmelser som inskränker möjligheten att behandla vissa personuppgifter. En konsekvens av att en registerförfattning gäller utöver brottsdatalagen är att tillämparen inte kan nöja sig med att ta del av registerförfattningens reglering utan också måste tolka bestämmelserna i registerförfattningen i ljuset av regleringen i brottsdatalagen. Om formuleringen av en bestämmelse i en registerförfattning t.ex. medger två olika tolkningar, men bara den ena av dem är förenlig med regleringen i brottsdatalagen, så är det den tolkningen som gäller.
I en författning som gäller utöver en annan upprepas inte bestämmelserna i den överordnade författningen, utom i de fall där det är nödvändigt för förståelsen av en bestämmelse i den förstnämnda författningen. Inte heller görs det hänvisningar till bestämmelserna i den överordnade författningen om det inte är absolut nödvändigt för sammanhanget. En författning som gäller utöver en annan ställer därför särskilda krav på tillämparen.
Lagrådet anför att regelverket är svåröverskådligt eftersom vissa rättsregler utgör preciseringar av ramlagarna, andra är undantag från eller kompletterar dessa. Enligt Lagrådet framstår det som önskvärt att i framtiden försöka åtgärda regelverkets strukturella utformning så att det blir klarare och mer överskådligt. Regeringen delar Lagrådets uppfattning att regelverket framstår som svåröverskådligt men konstaterar att förklaringen till detta till stor del ligger i utformningen av de EU-rättsakter angående personuppgiftsbehandling som Sverige har att förhålla sig till.
5.3. Bestämmelser som inte längre behövs
5.3.1. Undantag från viss informationsskyldighet
Regeringens bedömning: Det behövs inga undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar eller i samband med larm i de nya registerförfattningarna.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Sveriges advokatsamfund påpekar att det finns situationer då en fotograferad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller i en sådan utsatt situation att det kan finnas en skyldighet att informera enligt 4 kap. 2 § brottsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens bedömning: Enligt 23 § personuppgiftslagen ska den personuppgiftsansvarige självmant informera den registrerade om behandling av personuppgifter som samlas in från den registrerade själv. I 2 kap. 2 § tredje stycket polisdatalagen, 2 kap. 2 § tredje stycket kustbevakningsdatalagen och 2 kap. 2 § tredje stycket tullbrottsdatalagen görs undantag från den informationsskyldigheten vid behandling av personuppgifter genom bilder eller ljud och i samband med larm, om det med hänsyn till omständigheterna inte finns tid att informera. Motsvarande undantag för behandling genom bilder eller ljud görs i 2 kap. 2 § tredje stycket skattebrottsdatalagen.
I brottsdatalagen finns ingen skyldighet att självmant informera den registrerade som helt motsvarar 23 § personuppgiftslagen. I 4 kap. 1 § brottsdatalagen föreskrivs att den personuppgiftsansvarige ska göra viss allmän information tillgänglig, exempelvis via den personuppgiftsansvariges webbplats. I 4 kap. 2 § samma lag föreskrivs att den registrerade i specifika fall ska informeras om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter. Därutöver ska den personuppgiftsansvarige enligt 4 kap. 3 § brottsdatalagen till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Den enda bestämmelse i brottsdatalagen som föreskriver en direkt skyldighet att självmant informera den registrerade är alltså 4 kap. 2 § som rör information i specifika fall. Sådana specifika fall kan exempelvis föreligga om den enskilde riskerar att lida någon rättsförlust, t.ex. om känsliga personuppgifter har behandlats på ett otillåtet sätt (se prop. 2017/18:232 s 226 f.).
Informationsskyldigheten enligt 4 kap.2 och 3 §§brottsdatalagen begränsas i 4 kap. 5 § brottsdatalagen. I den sistnämnda paragrafen anges att informationsskyldigheten inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att t.ex. förebygga brott.
När det gäller informationsskyldighet vid behandling av personuppgifter vid ljud- och bildupptagningar kan inledningsvis konstateras att om en person t.ex. fångas på bild som en följd av att han eller hon kameraövervakas enligt bestämmelser i rättegångsbalken eller i underrättelse-
verksamhet gäller normalt sett sekretess enligt 18 kap.1 eller 2 §§offentlighets- och sekretesslagen. Någon skyldighet finns då inte enligt brottsdatalagen att informera personen om att uppgifterna behandlas. Det kan emellertid uppstå situationer då en person fångas på en ljud- eller bildupptagning som inte i sin helhet omfattas av sekretess, exempelvis då en förbipasserande person syns på bilder från en brottsplats eller då polisen öppet dokumenterar ett visst händelseförlopp på grund av oroligheter i samband med en fotbollsmatch eller en demonstration. I dessa fall rör det sig om upptagningar som har tillkommit i annat syfte än att samla in personuppgifter om den berörda personen och personens identitet är som regel okänd. För det fall identiteten är känd, och personen därmed i och för sig skulle kunna informeras om att hans eller hennes personuppgifter behandlas på aktuellt sätt, kan det ifrågasättas vilket värde informationen skulle ha för den enskilde. Under angivna förutsättningar är det svårt att se att personen i fråga skulle riskera att lida någon rättsförlust av behandlingen och alltså föreligger inte heller något sådant specifikt fall som aktualiserar informationsskyldighet. Som Sveriges advokatsamfund har påpekat skulle det kunna uppkomma situationer då en fotograferad eller filmad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller utsatt att det finns en skyldighet att informera enligt 4 kap. 2 § brottsdatalagen. Sådana situationer bör dock endast komma att uppstå undantagsvis. Utgångspunkten måste i stället vara att någon informationsskyldighet som regel inte uppkommer gentemot exempelvis förbipasserande på ljud- och bildupptagningar.
Även i fråga om information som lämnas av registrerade i samband med larm är det svårt att se att de som larmar skulle lida någon rättsförlust av behandlingen och att det skulle föreligga något sådant specifikt fall som aktualiserar informationsskyldighet. De som larmar får anses känna till att deras personuppgifter registreras genom ljudupptagning. Det innebär att det inte behövs någon information för att de registrerade ska kunna ta tillvara sina rättigheter.
Mot bakgrund av vad som anförts ovan bedöms att några undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar och i samband med larm inte behöver införas i de nya registerförfattningarna.
5.3.2. Syftet med lagarna
Regeringens bedömning: Det behövs inga bestämmelser som beskriver syftet med de nya registerförfattningarna.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten har inget emot att bestämmelserna tas bort men betonar att det är viktigt att det framgår att intresset av att skydda den enskildes integritet och intresset av effektiviteten i polisens verksamhet är jämbördiga intressen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens bedömning: Enligt 1 kap. 1 § första stycket brottsdatalagen är syftet med lagen dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Regleringen ger uttryck för att det ska gälla en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde (se prop. 2017/18:232 s. 82).
I 1 kap. 1 § polisdatalagen, 1 kap. 1 § kustbevakningsdatalagen, 1 kap. 1 § åklagardatalagen, 1 kap. 1 § tullbrottsdatalagen och 1 kap. 1 § skattebrottsdatalagen anges det övergripande syftet med respektive lag. Exempelvis anges i 1 kap. 1 § polisdatalagen att syftet med lagen är att ge bl.a. Polismyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och skydda människor mot att deras personliga integritet kränks vid sådan behandling. Brottsdatalagen kommer att tillämpas av alla myndigheter som behandlar personuppgifter inom lagens tillämpningsområde och registerförfattningarna ska läsas tillsammans med brottsdatalagen. Den dubbla målsättningen med brottsdatalagen – att stärka integritetsskyddet och att samtidigt värna om att behöriga myndigheter kan behandla personuppgifter på ett ändamålsenligt sätt – gäller således oavsett om det är t.ex. Polismyndigheten eller Kustbevakningen som behandlar personuppgifter. Det finns då inte skäl att införa bestämmelser i de nya registerförfattningarna som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen. Det finns inte heller skäl att väga eller särskilt ange förhållandet mellan de dubbla syftena i registerförfattningarna utöver vad som framgår av brottsdatalagen. Att syftet inte framgår direkt av var och en av registerförfattningarna innebär inte att integritetsskyddet försvagas.
5.3.3. Behandling av känsliga personuppgifter
Regeringens bedömning: Det behövs inga generella bestämmelser i de nya registerförfattningarna om behandling av känsliga personuppgifter och användning av känsliga personuppgifter som sökbegrepp. Det behövs inte heller bestämmelser om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag till systematik men framhåller att det är viktigt att förslaget inte innebär en försämring av skyddet för den personliga integriteten vid behandling av känsliga personuppgifter. Inspektionen påpekar bl.a. att de generella bestämmelserna i brottsdatalagen om behandling av känsliga personuppgifter därför måste analyseras tillsammans med de eventuella avvikelser, t.ex. avseende sökförbudet, som föreslås för respektive registerförfattning. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens bedömning
Känsliga personuppgifter
I 2 kap.11 och 12 §§brottsdatalagen finns det bestämmelser om känsliga personuppgifter. I 2 kap. 11 § föreskrivs att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Om uppgifter om en person behandlas får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att biometriska uppgifter som används för att identifiera en person och genetiska uppgifter ingår i uppräkningen av känsliga personuppgifter har sin grund i direktivet. Detsamma gäller uppgifter om sexuell läggning, även om de redan tidigare som regel har betraktats som känsliga personuppgifter. Enligt 2 kap. 13 § brottsdatalagen, som hänvisar till 2 kap. 2 §, får känsliga personuppgifter behandlas om det är nödvändigt för diarieföring. Detsamma gäller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
I 5 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 10 § polisdatalagen, 2 kap. 8 § åklagardatalagen, 2 kap. 7 § kustbevakningsdatalagen, 2 kap. 10 § tullbrottsdatalagen och 2 kap. 8 § skattebrottsdatalagen finns det bestämmelser om behandling av känsliga personuppgifter. Eftersom behandling av känsliga personuppgifter regleras i brottsdatalagen, finns det inte skäl att införa motsvarande generella regler i de nya registerförfattningarna.
Uppgifter som beskriver en persons utseende
I 2 kap. 7 § andra stycket brottsdatalagen föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet i stället för i anslutning till bestämmelserna om behandling av känsliga personuppgifter, eftersom den gäller oberoende av om uppgifterna om utseende är känsliga personuppgifter eller inte.
I 2 kap. 10 § tredje stycket polisdatalagen, 2 kap. 7 § tredje stycket kustbevakningsdatalagen, 2 kap. 8 § tredje stycket åklagardatalagen, 2 kap. 10 § tredje stycket tullbrottsdatalagen och 2 kap. 8 § tredje stycket skattebrottsdatalagen finns bestämmelser med motsvarande innehåll. Eftersom det i brottsdatalagen finns en bestämmelse om hur uppgifter om personers utseende ska utformas behöver det inte regleras i registerförfattningarna.
Registerförfattningarna ska inte längre innehålla sökförbud
I 2 kap. 14 § brottsdatalagen föreskrivs ett generellt förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Enligt 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen, 3 kap. 4 § åklagardatalagen, 3 kap. 5 § tullbrottsdatalagen och 3 kap. 5 § skattebrottsdatalagen får känsliga personuppgifter inte användas som sökbegrepp vid sökning i personuppgifter som gjorts gemensamt tillgängliga. Något motsvarande sökförbud finns inte för uppgifter som endast ett fåtal har tillgång till. Enligt 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter inte användas som sökbegrepp om inte regeringen har föreskrivit det.
Mot bakgrund av att brottsdatalagen innehåller ett generellt sökförbud behövs inte bestämmelserna i de nya registerförfattningarna om användning av känsliga personuppgifter som sökbegrepp.
Bestämmelser som innebär undantag från det generella sökförbudet behandlas närmare i bl.a. avsnitt 7.3.3. Som Datainspektionen framhåller är det av vikt att det samlade förslaget om behandling av känsliga personuppgifter inte innebär någon försämring av skyddet för den personliga integriteten. Mot bakgrund av det som anförts i nämnda avsnitt och i prop. 2017/18:232 s. 155 f., bedömer regeringen inte att förslagen i sin helhet får någon sådan effekt.
Hänvisningar till S5-3-3
5.3.4. Särskilda upplysningar
Regeringens förslag: Registerförfattningarna ska enbart innehålla bestämmelser om särskilda upplysningar i fråga om uppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.
Bestämmelserna om särskilda upplysningar ska liksom i dag gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten ansluter sig till utredningens bedömningar om att även fortsatt använda uttrycket misstänkt och rörande särskilda upplysningar om uppgiftslämnarens trovärdighet och riktighet i sak. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om utredningens förslag till bestämmelse i 3 kap. 4 § polisens brottsdatalag är avsedd att utgöra ett komplement till eller avvikelse från kraven i 2 kap.9 och 10 §§brottsdatalagen. Nämnden efterfrågar också ett förtydligande av om kravet på särskild upplysning avseende personer som inte är misstänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verksamhet som undersöks.
Datainspektionen avstyrker utredningens förslag att kravet på särskilda upplysningar enbart ska gälla om personuppgifterna har gjorts
gemensamt tillgängliga. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Bestämmelser om särskilda upplysningar
Enligt 2 kap. 3 § andra stycket brottsdatalagen ska det ändamål som personuppgifter behandlas för tydliggöras genom en särskild upplysning, om det inte framgår av sammanhanget eller på annat sätt. I 2 kap. 9 § brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning. Enligt 2 kap. 10 § brottsdatalagen ska vidare personuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på något annat sätt ska den tydliggöras genom en särskild upplysning.
I flera av registerförfattningarna föreskrivs att det i vissa fall ska lämnas särskilda upplysningar. Bestämmelser om särskilda upplysningar, med något olika innehåll, finns i 3 kap.3 och 4 §§polisdatalagen, 4 kap.2 och 3 §§kustbevakningsdatalagen, 3 kap. 3 § åklagardatalagen, 3 kap.3 och 4 §§tullbrottsdatalagen och 3 kap.3 och 4 §§skattebrottsdatalagen. De särskilda upplysningarna ska avse att personen i fråga inte är misstänkt vare sig för brott eller för att utöva brottslig verksamhet. I fråga om den som är misstänkt för att utöva eller att komma att utöva brottslig verksamhet ska de särskilda upplysningarna belysa uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det ska också finnas en särskild upplysning om ändamålet med behandlingen, om det inte framgår på annat sätt. Bestämmelserna om särskilda upplysningar gäller endast för personuppgifter som har gjorts gemensamt tillgängliga.
Upplysningar om ändamålet med behandlingen
Registerförfattningarna bör inte innehålla bestämmelser som motsvarar brottsdatalagens krav på att ändamålet med behandlingen ska framgå.
Särskilda upplysningar bara om uppgifterna är gemensamt tillgängliga
Kraven på särskilda upplysningar i de brottsbekämpande myndigheternas registerförfattningar gäller alltså enligt nuvarande reglering endast uppgifter som har gjorts gemensamt tillgängliga. Frågan är om det finns skäl att i de nya registerförfattningarna göra undantag från bestämmelserna om särskilda upplysningar för personuppgifter som inte har gjorts gemensamt tillgängliga.
Såväl direktivet som brottsdatalagen ger utrymme för att göra undantag från kravet på särskilda upplysningar i aktuellt fall. Direktivets krav på särskilda upplysningar beträffande vilken kategori en person tillhör och beträffande att fakta ska skiljas från personliga bedömningar gäller bara så långt det är möjligt att lämna sådan information. Kravet i 2 kap. 3 § andra stycket brottsdatalagen, om att ändamålet med behandlingen ska
framgå, följer inte av direktivet utan skapar ett sådant extra skydd för enskildas integritet som direktivet medger att nationell rätt får innehålla.
Behovet av särskilda upplysningar gör sig framför allt gällande om personuppgifter behandlas utanför sitt ursprungliga sammanhang. I förarbetena till polisdatalagen diskuteras ingående skälen för att ha sådana bestämmelser och när särskilda upplysningar inte behövs (se prop. 2009/10:85 s. 145 f.). När ett fåtal personer behandlar uppgifterna och är införstådda med varför det görs finns det inget behov av särskilda upplysningar. I dessa fall tillgodoses integritetsskyddet som de särskilda upplysningarna syftar till att skapa på annat sätt. Regeringen anser därför, till skillnad från Datainspektionen, att kravet på särskilda upplysningar på samma sätt som i dag enbart ska gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.
För de behöriga myndigheter som inte har en reglering som gör skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter kommer bestämmelserna i brottsdatalagen om särskilda upplysningar att gälla utan undantag. Det kan förefalla som om det därmed ställs högre krav på de myndigheter som i dag överhuvudtaget inte behöver förse personuppgifter med särskilda upplysningar, medan de myndigheter som har en sådan reglering får undantag från kraven i brottsdatalagen i vissa fall. Enligt brottsdatalagen ska personuppgifter förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sammanhanget eller på något annat sätt. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. När det gäller andra myndigheter än de brottsbekämpande kommer det därför normalt inte att krävas några särskilda upplysningar och då finns det inte heller skäl att ha något undantag.
Upplysningar om vilken kategori en person tillhör
I brottsdatalagen ställs det delvis andra krav på särskilda upplysningar än i registerförfattningarna. Sådana bestämmelser i registerförfattningarna som innebär att det genom en särskild upplysning ska framgå att en viss person inte är misstänkt täcks, såvitt gäller brottsutredande och lagförande verksamhet, av regleringen i 2 kap. 9 § brottsdatalagen. Det finns därför inte skäl att i registerförfattningarna ha bestämmelser som föreskriver att det ska framgå att en person inte är misstänkt för brott i brottsutredande och lagförande verksamhet.
Underrättelseverksamheten är emellertid i stor utsträckning oreglerad och i den reglering som finns gör man ingen tydlig uppdelning mellan olika kategorier av personer. Det generella krav som uppställs i 2 kap. 9 § brottsdatalagen är därför språkligt mindre väl lämpat att tillämpas i underrättelseverksamhet. Det är än viktigare ur integritetssynpunkt att det i underrättelseverksamheten görs tydlig skillnad mellan personer som har ett direkt samband med den brottsliga verksamheten och andra personer. Mot den bakgrunden bör bestämmelser motsvarande det nuvarande kravet i registerförfattningarna på särskilda upplysningar föras in i de nya registerförfattningarna.
Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om sådana bestämmelser är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdatalagen. Konsekvensen av de föreslagna särreglerna för underrättelseverksamheten i detta avseende är att det preciserade kravet när det gäller särskilda upplysningar om personer som inte är misstänkta gäller istället för det mer generellt hållna kravet på åtskillnad mellan olika kategorier av registrerade.
Det väcker frågan hur man ska se på det förhållandet att begreppet misstänkt används i registerförfattningarna även om personer vilkas uppgifter behandlas i underrättelseverksamhet, trots att regelverket i övrigt förutsätter att ett konkret brott har begåtts för att någon ska kunna betecknas som misstänkt. Misstänkt används i detta sammanhang för att skilja ut personer som kan ha direkt samband med den brottsliga verksamheten från andra (se t.ex. 3 kap. 4 § polisdatalagen och 3 kap. 4 § tullbrottsdatalagen). Användningen av begreppet misstänkt kritiserades av Lagrådet när polisdatalagen infördes. Regeringen valde att behålla det under hänvisning till tidigare lagstiftning på området (se prop. 2009/10:85 s. 150 och 522). Begreppet är så inarbetat att det inte heller bör ändras nu.
Säkerhets- och integritetsskyddsnämnden menar att det bör förtydligas om kravet på särskilda upplysningar avseende personer som inte är misstänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Kravet på särskild upplysning avseende personer som inte är misstänkta tar sikte på personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Den alternativa tolkning som Säkerhets- och integritetsskyddsnämnden tar upp skulle enligt regeringens mening leda till att det eftersträvade integritetsskyddet inte får avsedd effekt. Exempelvis bör uppgifter om en person som är misstänkt för ett trafikbrott i många fall kunna förses med särskild upplysning om att han eller hon inte är misstänkt då uppgifterna behandlas för ändamålet att förebygga, förhindra eller upptäcka sexualbrott.
Särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak
När det gäller bestämmelsen i 2 kap. 10 § brottsdatalagen, som föreskriver att fakta ska skiljas från personliga bedömningar och att det ska anges genom en särskild upplysning om det inte framgår på annat sätt, kan det ifrågasättas om det går att dra en parallell med de bestämmelser som i dag finns i registerförfattningarna. Det är framför allt beträffande uppgifter som behandlas i underrättelseverksamhet som det enligt 3 kap. 4 § polisdatalagen, 4 kap. 3 § kustbevakningsdatalagen, 3 kap. 4 § tullbrottsdatalagen och 3 kap. 4 § skattebrottsdatalagen krävs särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
Ovan nämnda bestämmelser preciserar vilka upplysningar som krävs i fråga om personuppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. En förundersökning rör ett konkret brott och det framgår då som regel direkt av sammanhanget varför det
har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten (se prop. 2009/10:85, s. 151). När det gäller uppgifter som behandlas i underrättelsesyfte är det särskilt angeläget av integritetsskyddskäl att det går att utläsa om den som har lämnat uppgifterna kan anses vara tillförlitlig samt graden av riktighet i sak. Det är t.ex. viktigt att veta om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. Det bör därför även i de nya registerförfattningarna finnas sådana, i förhållande till 2 kap. 10 § brottsdatalagen mer preciserade, bestämmelser som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om bestämmelserna är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdatalagen. Konsekvensen av de föreslagna särreglerna för underrättelseverksamheten är att det mer preciserade kravet när det gäller särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak gäller istället för det allmänna kravet att fakta ska skiljas från bedömningar i 2 kap. 10 § brottsdatalagen.
Kravet på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak bör endast avse uppgifter om den som antas utöva eller komma att utöva den brottsliga verksamheten. Eftersom det krav som gäller för anknytningen till den brottsliga verksamheten således är lågt ställt träffar regleringen en relativt vid personkrets. Så snart det finns något som stöder ett antagande om att en person har direkt samband med brottslig verksamhet och det är fråga om uppgifter som görs gemensamt tillgängliga bör således uppgifterna om personen förses med en särskild upplysning.
Det är vidare endast sådana uppgifter som belyser på vilket sätt personen är knuten till brottsligheten som bör förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det kan, förutom anknytningen till den brottsliga verksamheten, t.ex. röra sig om uppgifter om brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas.
På samma sätt som i dag bör det göras undantag från kravet på särskild upplysning om det inte finns något behov av en sådan, därför att det framgår av sammanhanget vem som är uppgiftslämnare och hur trovärdig uppgiften är eller det av annat skäl är onödigt med en sådan upplysning. Om det t.ex. är fråga om uppgifter som hämtas från förundersökningar eller domar är en särskild upplysning som regel onödig om källan framgår. Enligt förarbetena till polisdatalagen anses det vara onödigt att bedöma trovärdigheten om uppgiftslämnaren är en polisman. Detsamma bör gälla andra tjänstemän med brottsbekämpande uppgifter. Däremot kan det även i ett sådant fall behövas en upplysning om uppgiftens riktighet i sak, eftersom förutsättningarna för att göra en viss iakttagelse kan behöva belysas (se prop. 2009/10:85 s. 341).
Den nuvarande formuleringen av bestämmelserna innebär att det krävs särskild upplysning om det inte på grund av särskilda omständigheter är onödigt. Det har framkommit att det anses vara oklart vilka särskilda
omständigheter som kan föranleda avsteg från huvudregeln och att detta har lett till en omotiverat restriktiv tillämpning. Regleringen bör därför ändras så att det ställs krav på särskilda upplysningar om det inte på grund av omständigheterna är onödigt. Med en sådan formulering undviker man den osäkerhet som kan finnas om vilken typ av omständigheter som kan göra behovet av särskilda upplysningar överflödigt. Om de samlade omständigheterna gör att trovärdigheten och riktigheten kan bedömas bör det vara tillräckligt.
5.3.5. Hänvisningar till offentlighets- och sekretesslagen
Regeringens bedömning: Det behövs inga hänvisningar i de nya registerförfattningarna till att det finns bestämmelser om utlämnande i offentlighets- och sekretesslagen.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Umeå universitet, juridiska institutionen, ansluter sig till utredningens bedömning att hänvisningarna bör upphävas. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens bedömning: I 2 kap. 19 § andra stycket och 5 kap. 9 § andra stycketpolisdatalagen, 3 kap. 8 § andra stycket kustbevakningsdatalagen, 2 kap. 15 § andra stycket åklagardatalagen, 2 kap. 14 § andra stycket tullbrottsdatalagen och 2 kap. 13 § andra stycket skattebrottsdatalagen, som alla reglerar viss föreskriftsrätt, finns det hänvisningar till regleringen om utlämnande i offentlighets- och sekretesslagen. Bestämmelserna erinrar om att det även i offentlighets- och sekretesslagen finns bestämmelser om utlämnande. Syftet med bestämmelserna är enbart att klargöra att det i den lagen finns bestämmelser om utlämnande. Eftersom det finns bestämmelser om utlämnande också i andra författningar, exempelvis i tryckfrihetsförordningen, och hänvisningen är så generellt utformad fyller bestämmelserna i de nuvarande registerförfattningarna inte någon funktion. Bestämmelserna innehåller inte heller någon materiell reglering. Några motsvarande bestämmelser bör därför inte införas i de nya registerlagarna.
5.4. Behov av nya bestämmelser och anpassningar
5.4.1. Uppgifter om juridiska personer
Regeringens förslag: Det ska finnas bestämmelser i de nya registerförfattningarna som rör behandling av uppgifter om juridiska personer, motsvarande de som finns i nuvarande reglering. Hänvisningar ska också göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 1 kap. 6 § polisdatalagen, 1 kap. 3 § kustbevakningsdatalagen, 1 kap. 4 § åklagardatalagen, 1 kap. 4 § tullbrottsdatalagen och 1 kap. 4 § skattebrottsdatalagen föreskrivs att vissa bestämmelser i författningarna även ska tillämpas på uppgifter om juridiska personer. Direktivet gäller enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund.
Bestämmelserna i registerförfattningarna om att de i vissa delar ska tillämpas på uppgifter om juridiska personer behöver inte utmönstras ur regleringen med anledning av dataskyddsreformen. Det är visserligen allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer. Eftersom uppgifter om juridiska personer i många fall samtidigt är indirekta personuppgifter kan behovet av särskilda skyddsregler för uppgifter om juridiska personer diskuteras. I de fall där man tidigare har ansett att det finns goda skäl att ge visst skydd även för uppgifter om juridiska personer finns det emellertid inte skäl att nu göra en annan bedömning. Bestämmelser om skydd för uppgifter om juridiska personer som motsvarar befintliga bestämmelser bör därför införas.
Frågan är då om bestämmelserna enbart bör ta sikte på frågor som regleras i respektive registerförfattning, trots att vissa frågor som i dag regleras i registerförfattningarna och som ska tillämpas även på uppgifter om juridiska personer regleras i brottsdatalagen. Mot bakgrund av förslaget om att införa bestämmelser som motsvarar dagens reglering bör en hänvisning göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.
5.4.2. Administrativa sanktionsavgifter
Regeringens förslag: En sanktionsavgift ska få tas ut av den personuppgiftsansvarige vid överträdelse av vissa bestämmelser i registerförfattningarna. Det gäller överträdelse av bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter, om särskilda upplysningar och om längsta tid för behandling av personuppgifter.
Sanktionsavgiften ska vara högst 10 000 000 kronor.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften bör vara minst 50 000 kr och högst 20 000 000 kr.
Remissinstanserna: Polismyndigheten ifrågasätter att överträdelser av bestämmelser om särskilda upplysningar och längsta tid för behandling av personuppgifter, särskilt inom ramen för sådan komplex verksamhet som brottsbekämpning, ska kunna föranleda sanktionsavgift eftersom det i dessa fall är fråga om tillämpning av bestämmelser som kräver bedömningar. Datainspektionen tillstyrker att det ska vara möjligt att utdöma sanktionsavgifter vid överträdelse av registerförfattningarna. Försvarets radioanstalt ifrågasätter om det är lämpligt att sanktionsavgifter ska
kunna tas ut av myndigheter eftersom tjänstemannaansvar kan utkrävas, det finns möjlighet att utkräva skadestånd vid överträdelser av t.ex. den föreslagna brottsdatalagen och eftersom regeringen också har möjlighet att ställa krav på myndigheter för att komma till rätta med överträdelser.
Sala kommun har anfört att beloppet synes vara väl högt och kan bli betungande för en liten myndighet. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Vilka överträdelser ska kunna leda till sanktionsavgift?
Bestämmelser om möjlighet att ta ut administrativa sanktionsavgifter vid överträdelser av bestämmelser i brottsdatalagen har tagits in i 6 kap. den lagen.
Sanktionsavgift kan enligt brottsdatalagen tas ut vid överträdelse av bestämmelser i den lagen. Sanktionsavgifter har bedömts kunna säkerställa efterlevnaden av bestämmelser i brottsdatalagen på nödvändigt sätt och har ansetts vara den lämpligaste reaktionen på överträdelser av regleringen även för myndigheternas del (se prop. 2017/18:232 s. 313 f.). Vissa bestämmelser i brottsdatalagen har visserligen ansetts vara av sådan art att någon sanktionsavgift inte bör komma i fråga vid överträdelser av dem, men det har inte ansetts motiverat att generellt undanta överträdelser av alla sådana bestämmelser som i någon mån kräver eller ger utrymme för olika bedömningar.
Det finns inte skäl att välja någon annan lösning i fråga om sanktioner vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts för överträdelser av bestämmelserna i brottsdatalagen. De synpunkter som har lämnats av Polismyndigheten, Försvarets radioanstalt, Sveriges advokatsamfund och Sala kommun i fråga om sanktionsavgifter föranleder inte någon annan bedömning. Om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör alltså även överträdelse av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift.
Med dessa utgångspunkter ska överträdelse av bestämmelser i de brottsbekämpande myndigheternas och kriminalvårdens registerförfattningar om tillåtna rättsliga grunder för behandling av personuppgifter och om längsta tid för behandling av personuppgifter kunna föranleda sanktionsavgift. Detsamma ska gälla bestämmelser om särskilda upplysningar. Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift.
Ska en sanktionsavgift kunna tas ut även vid behandling av uppgifter om juridiska personer?
Sanktionsavgift är främst tänkt att utgöra en reaktion på sådan otillåten behandling av personuppgifter som riskerar att kränka den personliga integriteten, vilket talar för att inskränka tillämpningen till uppgifter om
fysiska personer. Eftersom direktivet enbart skyddar uppgifter om fysiska personer och bestämmelserna om sanktionsavgift har införts som en konsekvens av kravet på sanktioner i direktivet finns det inte skäl att utsträcka möjligheten att ta ut sanktionsavgift till överträdelser som gäller behandling av uppgifter om juridiska personer. Omfattar behandlingen även uppgifter om fysiska personer kan sanktionsavgift tas ut för den överträdelsen om förutsättningarna för det är uppfyllda.
Hur hög bör sanktionsavgiften vara?
Enligt 6 kap. 3 § första och andra styckena brottsdatalagen ska sanktionsavgift tas ut med ett lägre belopp vid mindre allvarliga överträdelser och med ett högre belopp vid allvarligare överträdelser. Det framgår av paragrafen vilka överträdelser som är mindre allvarliga respektive allvarliga.
Överträdelse av brottsdatalagens bestämmelser om tillåtna rättsliga grunder för behandling, särskilda upplysningar och längsta tid för behandling av personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i registerförfattningarna. Det finns inte anledning att i registerförfattningarna avvika från de belopp som fastställs i brottsdatalagen. En bestämmelse som anger det högsta belopp som kan komma i fråga bör finnas i var och en av registerförfattningarna.
Vem ska betala sanktionsavgift?
Den som är personuppgiftsansvarig ansvarar även för den behandling som ett personuppgiftsbiträde utför. En sanktionsavgift ska bara kunna tas ut av ett personuppgiftsbiträde i de fall där biträdet brutit mot uttryckliga skyldigheter enligt brottsdatalagen. Eftersom registerförfattningarna inte innehåller några sådana skyldigheter för personuppgiftsbiträden bör sanktionsavgift för överträdelser av bestämmelser i registerförfattningarna endast kunna tas ut av personuppgiftsansvariga. Om ett personuppgiftsbiträde i strid med brottsdatalagen har bestämt ändamålen med och medlen för behandlingen är biträdet att anse som personuppgiftsansvarig för den behandlingen och sanktionsavgift kan då tas ut i samma utsträckning som av en personuppgiftsansvarig (se 3 kap. 19 § andra stycket brottsdatalagen). Det kommer då att gälla även vid överträdelse av bestämmelser i en registerförfattning.
Brottsdatalagens handläggningsbestämmelser gäller
I brottsdatalagen finns det bestämmelser i 6 kap. 3 § tredje stycket, 4 och 5 §§ om hur sanktionsavgiften ska bestämmas och i 6 kap. 6 och 7 §§ om vad som gäller i fråga om beslut om sanktionsavgift. Att registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna. Några bestämmelser om handläggningen behövs därför inte i registerförfattningarna.
5.4.3. Skadestånd
Regeringens förslag: I registerförfattningarna ska det anges att bestämmelsen om skadestånd i brottsdatalagen ska tillämpas när personuppgifter behandlas i strid med registerförfattningarna eller föreskrifter som har meddelats i anslutning till dem.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker att rätten till skadestånd i brottsdatalagen även ska tillämpas på motsvarande sätt när personuppgifter behandlas i strid med registerförfattningarna. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som personuppgiftsbehandling i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat.
I de nuvarande registerförfattningarna finns det inte några bestämmelser om skadestånd. I stället hänvisas det i 2 kap. 2 § första stycket 12 polisdatalagen, 2 kap. 2 § första stycket 12 kustbevakningsdatalagen, 2 kap. 2 § första stycket 12 åklagardatalagen, 2 kap. 2 § första stycket 12 tullbrottsdatalagen och 2 kap. 2 § första stycket 12 skattebrottsdatalagen till 48 § personuppgiftslagen när det gäller skadestånd. Enligt 8 § lagen om behandling av personuppgifter inom kriminalvården gäller personuppgiftslagens bestämmelser om skadestånd vid behandling av personuppgifter enligt den lagen eller föreskrifter som har meddelats i anslutning till den.
Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med bestämmelser i registerförfattningarna som vid behandling i strid med brottsdatalagen. Det finns inte skäl att välja någon annan lösning vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts i brottsdatalagen. Det bör framgå genom att det i registerförfattningarna föreskrivs att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med registerförfattningarna eller föreskrifter som har meddelats i anslutning till dem. Den synpunkt som har lämnats av Sveriges advokatsamfund leder inte till någon annan bedömning.
5.4.4. Överklagande
Regeringens förslag: Det ska finnas hänvisningar i registerförfattningarna till bestämmelser om överklagande i brottsdatalagen.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Brottsdatalagen innehåller generella bestämmelser om överklagande. I 7 kap. 2 § brottsdatalagen föreskrivs
att beslut i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. Enligt 7 kap. 3 § får tillsynsmyndighetens beslut enligt lagen överklagas till allmän förvaltningsdomstol. I 7 kap. 4 § föreskrivs att andra beslut enligt lagen än de nu nämnda inte får överklagas
I 2 kap. 2 § första stycket 13 polisdatalagen, 2 kap. 2 § första stycket 13 kustbevakningsdatalagen, 2 kap. 2 § första stycket 13 åklagardatalagen, 2 kap. 2 § första stycket 13 tullbrottsdatalagen och 2 kap. 2 § första stycket 13 skattebrottsdatalagen hänvisas det till överklagandereglerna i 51 § första stycket, 52 § första stycket och 53 § personuppgiftslagen. I 51 § första stycket regleras rätten att överklaga tillsynsmyndighetens beslut om annat än föreskrifter. Enligt 52 § första stycket får en myndighets beslut i fråga om information efter ansökan, om rättelse och underrättelse till tredje man, om information vid automatiserade beslut och om upplysningar till allmänheten om personuppgiftsbehandlingar som inte har anmälts till tillsynsmyndigheten överklagas. Enligt 53 § personuppgiftslagen får andra beslut inte överklagas. I 12–16 §§ lagen om behandling av personuppgifter inom kriminalvården finns det särskilda överklagandebestämmelser.
I brottsdatalagen anges uttömmande vilka beslut av behöriga myndigheter som får överklagas. Rätten att överklaga omfattar enbart sådana beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig och som berör den enskilde och går honom eller henne emot. Några andra beslut av en behörig myndighet får inte överklagas. Myndigheterna kommer att fatta beslut om exempelvis rättelse, radering eller begränsning av behandlingen med stöd av brottsdatalagen. Det blir alltså inte aktuellt att med stöd av någon av registerförfattningarna fatta sådana beslut som rör enskilda som de bör ha rätt att överklaga. I enlighet med regeringens ställningstagande i avsnitt 5.4.2 bör det i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 §brottsdatalagen även när det gäller överträdelser av bestämmelserna i registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs således inte. Mot bakgrund av vad som anförts ovan finns det alltså inte skäl att särskilt reglera frågan om överklagande i registerförfattningarna. Det bör däremot framgå av registerförfattningarna att överklagande regleras i brottsdatalagen.
5.4.5. Uppgifter till rättsstatistiken
Regeringens bedömning: Det behövs inga bestämmelser i de nya registerförfattningarna om överlämnande av personuppgifter för att framställa rättsstatistik.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: I 9 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 14 § polisdatalagen, 2 kap. 12 § åklagardatalagen, 2 kap. 15 § tullbrottsdatalagen och 2 kap. 14 § skattebrottsdatalagen föreskrivs att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik. En bestämmelse av motsvarande betydelse finns i 2 kap. 21 § brottsdatalagen. Det behövs därför inga motsvarande bestämmelser i registerförfattningarna.
Kustbevakningen har idag ingen sådan uppgiftsskyldighet som gäller för ovan uppräknade myndigheter. Det finns emellertid inte skäl att undanta myndigheten från tillämpningsområdet av 2 kap. 21 § brottsdatalagen. Brottsdatalagens reglering innebär alltså att även Kustbevakningen får motsvarande uppgiftsskyldighet som övriga brottsbekämpande myndigheter och kriminalvården.
5.4.6. Terminologin anpassas
Regeringens förslag: Terminologin i de nya registerförfattningarna ska vara anpassad till brottsdatalagen och i viss utsträckning till dataskyddsförordningen. Uttrycken brottsbekämpande verksamhet och beivra brott bör inte användas i de nya registerförfattningarna.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Uttrycket brottsbekämpning
Uttrycket brottsbekämpande verksamhet bör inte användas i de nya registerförfattningarna. I stället bör som i brottsdatalagen utgångspunkten vara att personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Brottsbekämpande verksamhet anses i dag omfatta både att förebygga, förhindra och upptäcka brottslig verksamhet och att utreda och beivra brott. I brottsdatalagen görs dock, i linje med hur direktivet är utformat, skillnad mellan brottsbekämpning och lagföring. Uppgiften att beivra brott hänförs till lagföring. Uttrycket brottsbekämpning kommer därmed att ha en snävare innebörd än i dag. Det blir emellertid ingen saklig skillnad för de myndigheter som har till uppgift att både utreda och beivra brott, eftersom både brottsbekämpning och lagföring omfattas av registerförfattningens tillämpningsområde. För Skatteverket, som i motsats till
övriga myndigheter inte har några lagförande uppgifter, innebär det inte heller någon ändring i sak att terminologin ändras på detta sätt.
Uttrycket ”beivra brott”
Brottsdatalagen gäller för behandling av personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Uttrycket lagföra brott används i brottsdatalagen i stället för beivra brott.
I flera av registerförfattningarna används i dag uttrycket beivra brott. Det förekommer bl.a. i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen, 2 kap. 5 § åklagardatalagen och 2 kap. 5 § tullbrottsdatalagen. I de nya registerförfattningarna bör terminologin stämma överens med hur tillämpningsområdet anges i 1 kap. 2 § brottsdatalagen. Det innebär att uttrycket beivra brott bör ersättas av lagföra brott.
5.5. Särskilt om längsta tid för behandling av personuppgifter
5.5.1. Struktur och terminologi
Regeringens bedömning: Bestämmelser som motsvarar befintliga bestämmelser om bevarande och gallring bör införas i registerförfattningarna, men de bör formuleras så att det tydligt framgår att det är fråga om dataskyddsbestämmelser. Regler om hur länge uppgifter får behandlas ska som huvudregel samlas i särskilda kapitel i registerförfattningarna.
Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Kammarrätten i Stockholm påpekar att de olika tidsfristerna för hur länge personuppgifter får behandlas är mycket svåröverskådliga och att det skulle vara bra om det gick att hitta ett mer enhetligt system. Polismyndigheten, Datainspektionen och Riksarkivet ser positivt på att terminologin på området renodlas så att begreppen bevarande och gallring endast används i arkivlagens (1990:782) mening.
Riksarkivet välkomnar att det slås fast att regleringen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens bedömning
Olika typer av bestämmelser
I registerförfattningarna finns bestämmelser om bevarande och gallring av personuppgifter. Regleringen gäller enbart personuppgifter som behandlas automatiserat. Den styr således inte hur länge uppgifter som behandlas på papper får bevaras, varken i den brottsbekämpande verksamheten eller för arkivändamål. När det i detta avsnitt talas om hur länge personuppgifter får behandlas eller i vilken utsträckning behandling för arkivändamål är tillåten avses enbart automatiserad behandling.
Enligt de brottsbekämpande myndigheternas registerförfattningar gäller som huvudregel att personuppgifter inte får behandlas under längre tid än vad som behövs för något av de ändamål som omfattas av respektive lags tillämpningsområde. Sådana bestämmelser behövs inte i de nya registerförfattningarna eftersom motsvarande reglering finns i brottsdatalagen. Därutöver finns det två olika typer av bestämmelser om bevarande och gallring av personuppgifter. Tullbrottsdatalagen kan tas som exempel, men motsvarande bestämmelser finns i de övriga brottsbekämpande myndigheternas registerförfattningar.
Den ena typen är bestämmelser om gallring (se 4 kap.3, 9 och 10 §§tullbrottsdatalagen) som gäller för personuppgifter som inte förekommer i ärenden om utredning av eller lagföring för brott. Regleringen innebär att personuppgifterna inte får behandlas automatiserat efter vissa i lagen angivna tidsfrister. De får alltså inte heller som utgångspunkt arkiveras digitalt
(jfr prop. 2016/17:91 s. 218). Det följer av att det i 2 kap. 2 §
andra stycket tullbrottsdatalagen görs undantag från 8 § andra stycket personuppgiftslagen, som föreskriver att arkivlagstiftningen har företräde framför personuppgiftslagstiftningen. Behandling för arkivändamål är dock tillåten om det med stöd av 4 kap. 2 § 2 har meddelats föreskrifter om att personuppgifterna får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana föreskrifter får enligt 17 § tullbrottsdataförordningen (2017:450) meddelas av Riksarkivet.
Den andra typen av bestämmelser begränsar möjligheten att behandla personuppgifter som har gjorts gemensamt tillgängliga och som rör ärenden om utredning av eller lagföring för brott (se 4 kap.6 och 7 §§tullbrottsdatalagen och se vidare avsnitt 5.5.3). De reglerar hur länge personuppgifter får behandlas i den brottsbekämpande verksamheten men hindrar inte, till skillnad från bestämmelserna om gallring, att handlingar arkiveras digitalt enligt arkivlagens (1990:782) bestämmelser. När behandling inte längre är tillåten för brottsbekämpande ändamål kan bevarande således ske för arkivändamål utan att det krävs särskilda föreskrifter om det.
I 4 kap. 2 § 1 och 3 tullbrottsdatalagen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering och om att vissa kategorier av personuppgifter får behandlas i den brottsbekämpande verksamheten under längre tid än vad som annars är föreskrivet. Sådana föreskrifter finns i 11–16 §§tullbrottsdataförordningen. Av 11 § framgår att personuppgifter som arkiveras digitalt ska avskiljas från den brottsbekämpande verksamheten och att åtkomst till uppgifterna ska begränsas på visst sätt.
Bestämmelserna om bevarande och gallring är dataskyddsbestämmelser
Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning bland annat för att därmed öka deras tillgänglighet, medan gallring enligt registerförfattningarna syftar till att skydda enskildas personliga integritet (se exempelvis prop. 2009/10:85 s. 207 f. och prop. 2016/17:91 s. 169). Orden bevarande och gallring bör i de nya registerförfattningarna enbart användas i den betydelse de har i
arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. När syftet med bestämmelserna som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Det gäller både i bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och i bestämmelser som begränsar möjligheten att behandla personuppgifter i den brottsbekämpande verksamheten. Bestämmelserna bör därför formuleras så att de genomgående anger den längsta tid uppgifterna får behandlas. Avsikten är dock inte att den ändrade terminologin ska föranleda några ändringar i sak.
Regeringens vidare överväganden gällande bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och om föreskriftsrätt i anslutning till dessa behandlas nedan i avsnitt 5.5.2. Övervägandena gällande bestämmelser som motsvarar de nuvarande bestämmelserna om bevarande av uppgifter i ärenden om utredning eller beivrande av brott och om föreskriftsrätt i anslutning till dessa finns i avsnitt 5.5.3.
En samlad reglering
I tullbrottsdatalagen och skattebrottsdatalagen har bestämmelserna om bevarande och gallring samlats i ett särskilt kapitel. Den lösningen ger tillämparen en bättre överblick över hur länge personuppgifter får behandlas enligt lagen och bör så långt möjligt väljas i de övriga registerförfattningarna. I de fall där behandling av personuppgifter i särskilda register eller viss specifik verksamhet regleras särskilt bör dock bestämmelser som reglerar hur länge personuppgifter får behandlas i registret eller verksamheten hållas samman med regleringen i övrigt.
Som Kammarrätten i Stockholm anser kan regleringen om hur länge personuppgifter får behandlas framstå som svåröverskådlig. Regleringen måste delas upp i flera olika bestämmelser, eftersom att det inte är lämpligt att låta samma tidsfrist gälla för all personuppgiftsbehandling. Med dessa förutsättningar är det svårt att skapa en reglering som är överskådlig och lättillgänglig. Genom att i stor utsträckning samla regleringen i varje registerförfattning och välja samma lagtekniska lösning för samtliga berörda registerförfattningar skapas dock enhetlighet i den utsträckning som det är möjligt.
5.5.2. Bestämmelser som innebär att behandling inte längre får ske för något ändamål
Regeringens förslag: Bestämmelser som motsvarar befintliga bestämmelser om gallring ska införas i de nya registerförfattningarna men formuleras så att de anger den längsta tid som personuppgifterna får behandlas.
Det ska även i de nya registerförfattningarna finnas bestämmelser om föreskriftsrätt avseende behandling av personuppgifter för vetenskapliga, statistiska eller historiska ändamål. Bestämmelserna ska formuleras så att det framgår att föreskriftsrätten även omfattar behandling för arkivändamål av allmänt intresse.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att det, när begreppet gallring tas bort, är oklart om uttrycket längsta tid för behandling ändå ska tolkas som avvikande bestämmelser om gallring i arkivlagens mening. Den fråga som då inställer sig enligt myndigheten är om uppgifterna ska gallras med stöd av polisens brottsdatalag eller om gallringsföreskrifter från Riksarkivet behövs. Polismyndigheten anför vidare att det framstår som mer ändamålsenligt att i brottsdatalagen och i polisens registerförfattning – om ambitionen är att dessa lagar ska vara renodlade dataskyddslagar – endast reglera hur länge personuppgifterna får behandlas för syften inom lagens tillämpningsområde. Polismyndigheten vill i sammanhanget också framhålla att arkivering av handlingar från brottsbekämpande verksamhet på papper inte längre är ett möjligt alternativ utifrån den omfattande och komplicerade arkivbildning som myndigheten hanterar. Polismyndigheten anser att det utifrån ett rättssäkerhets- och handlingsoffentlighetsperspektiv inte är ändamålsenligt att ange pappersarkivering som ett alternativ för behandling för arkivändamål. Riksarkivet har framfört att det i fråga om lämplig skyddsåtgärd för att skydda den enskildes integritet vid arkivering inte alltid är säkrare med arkivering på papper än elektronisk sådan. Riksarkivet bedömer också att integritetskänsliga personuppgifter som huvudregel inte bör gallras och att sådana uppgifter i stället bör skyddas genom bestämmelser om sekretess och informationssäker behandling av uppgifterna. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Från gallring till längsta tid för behandling
Behandling av personuppgifter för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde (se prop. 2017/18:232 s. 167). Det kan mot den bakgrunden ifrågasättas om bestämmelser om gallring bör finnas i registerförfattningar som reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Som nyss konstaterats är syftet med gallringsbestämmelserna att skydda enskildas personliga integritet genom att det föreskrivs när den automatiserade behandlingen av personuppgifter ska upphöra. Om informationen överförs från elektronisk form till pappersform och därefter inte finns kvar elek-
troniskt, anses detta skydd ha tillgodosetts (se t.ex. prop. 2016/17:91 s. 171). Bestämmelserna reglerar således inte fullt ut i vilken utsträckning det är tillåtet att behandla personuppgifterna för arkivändamål, utan styr endast i vilken form det får göras genom att ange att automatiserad behandling för arkivändamål inte är tillåten. De hindrar alltså inte arkivering på papper.
Om det inte längre skulle finns några bestämmelser i registerförfattningarna som föreskriver när den automatiserade behandlingen av personuppgifter ska upphöra, skulle arkivlagens huvudregel om bevarande behöva tillämpas om uppgifterna finns i allmänna handlingar. En del av dagens integritetsskydd går då förlorat. Bestämmelser som reglerar hur länge personuppgifter får behandlas automatiserat och vara digitalt tillgängliga är därför även fortsatt nödvändiga för att tillgodose skyddet för enskildas personliga integritet. Sådana bestämmelser bör därför införas i de nya registerförfattningarna.
I enlighet med regeringens bedömning i föregående avsnitt bör bestämmelser som motsvarar dagens bestämmelser om gallring emellertid formuleras om så att det framgår att de är dataskyddsbestämmelser. De bör utgå från hur länge personuppgifterna får behandlas automatiserat. Det gäller bestämmelserna i 7 § första stycket lagen om behandling av personuppgifter inom kriminalvården och de gallringsbestämmelser som finns i tillhörande förordning, 2 kap. 13 §, 3 kap. 14 §, 4 kap.7, 14, 15, 20 och 22 §§polisdatalagen, 3 kap. 5 § och 4 kap. 13 §
kustbevakningsdatalagen, 2 kap. 10 § tredje stycket åklagardatalagen, 4 kap.3, 9 och 10 §§tullbrottsdatalagen och 4 kap.3 och 8 §§skattebrottsdatalagen. Som huvudregel bör den nu aktuella översynen inte föranleda någon annan bedömning av hur länge personuppgifterna får behandlas.
Polismyndigheten anser att det är oklart om uttrycket längsta tid för behandling ska tolkas som sådana avvikande bestämmelser om gallring som avses i 10 § arkivlagen. Myndighetens synpunkt rör de uppgifter för vilka bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen inte gäller, dvs. de uppgifter som omfattas av de nuvarande bestämmelserna om gallring.
Riksarkivet har definierat gallring som förstöring av allmänna handlingar eller förstöring av uppgifter i allmänna handlingar. Det är också fråga om gallring när andra åtgärder vidtas med allmänna handlingar som medför förlust av t.ex. betydelsebärande data eller sökmöjligheter. När det gäller gallring av elektroniska upptagningar avses normalt att viss information raderas från databäraren (se exempelvis RA-FS 2009:1 och betänkandet Myndighetsdatalag, SOU 2015:39, s. 526).
Reglerna om längsta tid för behandling innebär att man inte längre får behandla uppgifterna automatiserat för något ändamål. De får därmed samma verkan som en åtgärd för gallring av elektroniska upptagningar. Att behandlingen av personuppgifterna upphör får därmed i praktiken till följd att det inte kan bli aktuellt för Riksarkivet att meddela gallringsföreskrifter avseende automatiserad behandling av samma uppgifter.
Det ska även i fortsättningen vara tydligt att arkivlagstiftning inte har företräde
Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar enligt andra stycket inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Av registerförfattningarna följer att arkivlagstiftningen inte har företräde när gallringsbestämmelser är tillämpliga (se t.ex. 2 kap. 2 § andra stycket polisdatalagen). Syftet med regleringen är som nyss nämnts att förtydliga att personuppgifter i dessa fall inte får behandlas automatiserat för arkivändamål, det vill säga att uppgifterna inte får arkiveras digitalt. Uppgifterna får dock behandlas för arkivändamål om de överförs till pappersform. För att tydliggöra att ingen förändring i det avseendet är avsedd, trots den ändrade terminologin, bör det i registerförfattningarna göras undantag från 2 kap. 17 § andra stycket brottsdatalagen i ovan nämnda paragrafer.
Såväl Polismyndigheten som Riksarkivet framför synpunkter gällande arkivering på papper och framhållit fördelarna med elektronisk sådan. Riksarkivet bedömer vidare att integritetskänsliga personuppgifter som huvudregel inte borde gallras. Med anledning av dessa synpunkter finns det skäl att framhålla att syftet med förslaget i denna del inte har varit att åstadkomma någon förändring i sak utan främst att göra vissa förtydliganden avseende skillnaden mellan regler om dataskydd och arkivrättsliga regler. Det pågår en bred översyn av den arkivrättsliga regleringen (dir. 2017:106). Något utrymme att se över förutsättningarna för digital arkivering finns inte inom ramen för detta lagstiftningsärende. Det finns dock anledning att peka på att registerförfattningarna även fortsättningsvis föreslås innehålla bestämmelser om föreskriftsrätt som ger utrymme för digital arkivering (se vidare avsnittet nedan).
Bestämmelser om föreskriftsrätt avseende behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål
I flertalet av registerförfattningarna upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana bestämmelser finns bl.a. i 2 kap. 13 § tredje stycket polisdatalagen, 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycketkustbevakningsdatalagen, 2 kap. 11 § 2 åklagardatalagen, 4 kap. 2 § 2 tullbrottsdatalagen och 4 kap. 2 § 2 skattebrottsdatalagen (se vidare exempelvis 17 § tullbrottsdataförordningen och 3 § RA-MS 2010:68).
I 9 § tredje stycket personuppgiftslagen användes samma uttryck, det vill säga historiska, statistiska eller vetenskapliga ändamål. I dataskyddsförordningen används i stället uttrycken arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Historiska ändamål delas alltså upp i arkivändamål av allmänt intresse och historiska forskningsändamål. Avsikten med uppdelningen är att förtydliga vad som avses med historiska ändamål. Även i direktivet görs i artikel 4.3 skillnad mellan behandling för arkivändamål av allmänt intresse och vetenskaplig, statistisk och historisk användning för ändamål som omfattas av direktivets tillämpningsområde.
Det finns även fortsättningsvis behov av att kunna meddela föreskrifter om att personuppgifter som behandlas med stöd av registerförfattningarna får fortsätta att behandlas automatiserat för historiska, statistiska eller vetenskapliga ändamål när den längsta tillåtna tiden för behandling som anges i registerförfattningen löper ut. Sådana föreskrifter ger möjlighet att tillgodose dels rätten att ta del av allmänna handlingar, dels rättskipningens, förvaltningens och forskningens behov och bör föras in i de nya registerförfattningarna. Bestämmelserna bör dock formuleras om så att föreskriftsrätten avser hur länge personuppgifterna får behandlas. För att terminologin ska motsvara dataskyddsförordningens och dataskyddsdirektivets bör det vidare framgå att föreskriftsrätten även omfattar behandling för arkivändamål av allmänt intresse.
I lagen om behandling av personuppgifter inom kriminalvården har man valt en annan lösning än föreskriftsrätt för att tillgodose myndighetens behov av att kunna behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål. I 7 § andra stycket den lagen föreskrivs en generell möjlighet för myndigheten att behandla personuppgifter för angivna ändamål. Kriminalvården har även i fortsättningen behov av att kunna behandla personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Detta behov bör dock, i likhet med vad som föreslås i övriga registerförfattningar, tillgodoses genom föreskrifter meddelade av regeringen eller den myndighet som regeringen bestämmer. Den nuvarande regleringen bör därför ersättas av en bestämmelse om föreskriftsrätt i den nya registerförfattningen.
Det kan även här ifrågasättas om bestämmelser om föreskriftsrätt som möjliggör fortsatt behandling av personuppgifter för arkivändamål av allmänt intresse och för historiska, statistiska eller vetenskapliga ändamål bör finnas i registerförfattningar som endast reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Eftersom föreskriftsrätten gäller enbart personuppgifter som behandlas för ändamål som omfattas av registerförfattningens tillämpningsområde kan föreskriftsrätten inte regleras i den generellt tillämpliga arkivlagstiftningen. Det finns inte heller någon annan naturlig plats för sådana bestämmelser. Föreskriftsrätten bör därför även fortsättningsvis regleras i registerförfattningarna även om det, som Polismyndigheten framför, skulle kunna framstå som mer ändamålsenligt att endast låta dem innehålla bestämmelser som reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde.
5.5.3. Bestämmelser som innebär att behandling inte längre får ske för ändamål inom registerförfattningens tillämpningsområde
Regeringens förslag: Bestämmelser som motsvarar befintliga bestämmelser om hur länge personuppgifter får behandlas i den brottsbekämpande verksamheten ska införas även i de nya registerförfattningarna, men formuleras om så att det framgår att de bara begränsar behandling för ändamål inom registerförfattningens tillämpningsområde.
Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende fortsatt behandling av vissa kategorier av personuppgifter ska införas även i de nya registerförfattningarna, men det ska förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet.
Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende digitalt arkiverade uppgifter ska införas även i de nya registerförfattningarna. Det ska dock förtydligas att de bestämmelserna endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet och att föreskriftsrätten avser begränsning av behandlingen av arkiverade uppgifter.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten menar att utredningen antyder att myndigheternas arkivhantering omfattas av tillämpningsområdet för polisens brottsdatalag och att det inte är ett lämpligt angreppssätt eftersom behandling för arkivändamål endast ska regleras av dataskyddsförordningen. Myndigheten har även redogjort för vad som krävs enligt dataskyddsförordningen för att på nytt få behandla personuppgifter som har arkiverats och efterfrågar, i likhet med Kriminalvården, ett förtydligande av vad som krävs för återförande av personuppgifter för något av de ändamål som anges i en registerförfattning. Enligt Polismyndigheten föreligger det vidare ett starkt behov av att frågor som rör förhållandet mellan dataskyddsregler och arkivregler utreds närmare. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Det är bara behandlingen för ändamål inom registerförfattningens tillämpningsområde som begränsas
I 3 kap.10 och 11 §§polisdatalagen, 4 kap.9 och 10 §§kustbevakningsdatalagen, 4 kap.6 och 7 §§tullbrottsdatalagen och 4 kap.5 och 6 §§skattebrottsdatalagen anges hur länge vissa personuppgifter får behandlas automatiserat i den brottsbekämpande verksamheten. Enligt 2 kap. 10 § andra stycket åklagardatalagen gäller motsvarande vid behandling för ändamål i den operativa verksamheten. Bestämmelserna hindrar inte att uppgifterna fortsätter att behandlas automatiserat för andra ändamål under längre tid än vad som anges i dem, vilket innebär att personuppgifterna bl.a. får behandlas automatiserat för arkivändamål. Bestämmelserna begränsar alltså enbart möjligheten till fortsatt behandling i den verksamhet som regleras i respektive registerförfattning. Motsvarande bestämmelser bör införas i de nya registerförfattningarna men det bör förtydligas att bestämmelserna enbart reglerar hur länge personuppgifter får behandlas för ändamål inom respektive registerförfattnings tillämpningsområde.
Bestämmelser om föreskriftsrätt avseende fortsatt behandling inom tillämpningsområdet
Av registerförfattningarna framgår att regeringen, i några fall också den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får behandlas under längre tid i den
brottsbekämpande verksamheten än vad som framgår av lag, se exempelvis 4 kap. 2 § 1 tullbrottsdatalagen och 3 kap. 12 § polisdatalagen. Det finns även fortsättningsvis behov av att kunna meddela sådana föreskrifter. Upplysningsbestämmelser om sådana föreskrifter bör därför finnas även i de nya registerförfattningarna, men det bör förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom registerförfattningarnas tillämpningsområde.
Konsekvenserna av att uppgifter har arkiverats
Att uppgifter har arkiverats, oavsett om det görs digitalt eller i pappersform, innebär inte att det är förbjudet att på nytt behandla personuppgifterna för något av de ändamål som anges i en registerförfattning. Polismyndigheten har efterfrågat ett förtydligande av vad som krävs för återförande av personuppgifter för något av de ändamål som anges i en registerförfattning, mot bakgrund av skillnader i tolkning av finalitetsprincipens tillämplighet på dataskyddsförordningen respektive dataskyddsdirektivets område. Även Kriminalvården efterfrågar ett klargörande om hur frågor om bevarande av personuppgifter ska hanteras när uppgifter som behandlats under ett regelverk övergår till att behandlas under ett annat regelverk.
När uppgifter avskiljs och behandlas uteslutande för arkivändamål behandlas de inte längre enligt brottsdatalagen och omfattas inte av dataskyddsdirektivets reglering, utan behandlingen styrs av dataskyddsförordningen och dataskyddslagen. Om uppgifter därefter återförs till den operativa verksamheten sker en ny insamling av uppgifter på brottsdatalagens område, och någon bedömning enligt finalitetsprincipen ska därför inte göras. Insamlingen förutsätter dock att det finns en tillåten rättslig grund och att regleringen i övrigt tillåter den nya behandlingen. Ett typiskt exempel kan vara att det kommer fram uppgifter som gör att en nedlagd förundersökning som har arkiverats bör återupptas eller att fråga om resning eller annat extraordinärt rättsmedel aktualiseras beträffande en dom eller ett beslut som har fått laga kraft. Ny behandling av de arkiverade uppgifterna kan då påbörjas för det ändamålet.
Bestämmelser om föreskriftsrätt avseende fortsatt användning av digitalt arkiverade uppgifter
Som nämnts tidigare framgår av registerförfattningarna att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om digital arkivering, se exempelvis 4 kap. 2 § 3 tullbrottsdatalagen och 2 kap. 12 § andra stycket polisdatalagen. I de brottsbekämpande myndigheternas registerförordningar föreskrivs det att personuppgifterna ska avskiljas från myndighetens brottsbekämpande eller operativa verksamhet vid digital arkivering, se exempelvis 11 § tullbrottsdataförordningen och 19 § polisdataförordningen. Syftet är att uppgifterna inte ska vara digitalt åtkomliga i den verksamheten. Det ska alltså inte vara möjligt för vem som helst att enkelt söka fram de digitalt arkiverade personuppgifterna. Normalt bör det bara vara arkivarier som förfogar över uppgifterna och kan göra sökningar i dem.
Med hänsyn till att arkivlagen inte hindrar eller ställer upp några begränsningar för fortsatt automatiserad behandling av arkiverade uppgifter
finns det även i fortsättningen behov av att kunna meddela föreskrifter till skydd för den personliga integriteten vid digital arkivering. Bestämmelserna om föreskriftsrätt avseende fortsatt behandling av digitalt arkiverade uppgifter bör därför finnas kvar. Frågan är dock om bestämmelserna ska finnas kvar i registerförfattningarna eller placeras i annan reglering.
Behandling av uppgifter som görs för arkivändamål styrs av dataskyddsförordningen. Det kan därför ifrågasättas, så som
Polismyndigheten gör, om bestämmelser om föreskriftsrätt avseende fortsatt behandling av uppgifter som har arkiverats digitalt bör placeras i registerförfattningar som reglerar personuppgiftsbehandlingen inom brottsdatalagens tillämpningsområde.
Syftet med föreskrifterna om digital arkivering är att förhindra att uppgifterna fortsätter att behandlas på samma sätt som tidigare trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål. Föreskrifterna utgör därmed en del av det skydd för enskildas integritet som övriga bestämmelser i registerförfattningarna för med sig. Dessa omständigheter, i kombination med att det inte finns någon annan mer naturlig placering av bestämmelserna, ger tillräckliga skäl för att placera bestämmelserna i registerförfattningarna. Det bör dock tydliggöras att föreskriftsrätten avser begränsningar av den behandling som sker av arkiverade uppgifter inom registerförfattningarnas tillämpningsområde.
Med anledning av Polismyndighetens invändning om att det finns ett behov av att närmare utreda frågor som rör förhållandet mellan dataskyddsregler och arkivrättsliga regler finns det skäl att återigen nämna att det pågår en utredning med uppdrag att se över arkivområdet (se avsnitt 5.5.2).
5.5.4. Omständigheter som påverkar längsta tid för behandling i underrättelseverksamhet
Regeringens förslag: Det är bara uppgifter om en persons anknytning till brottslig verksamhet som ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag att endast uppgifter om en persons anknytning till brottslig verksamhet ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet och bedömningen att tiden för hur länge personuppgifter får behandlas inte ska kunna påverkas av vilka uppgifter som helst. Säkerhets- och integritetsskyddsnämnden och Polismyndigheten bedömer att det är angeläget att det tydliggörs om en ny registrering avseende en person förlänger tiden för behandling enbart avseende den personen, eller om registreringen även påverkar tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet. Polismyndigheten ser positivt på att det förtydligas vilka omständigheter som kan påverka längsta tid för behandling i underrättelseverksamhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: I dag föreskrivs det i vissa bestämmelser att den tid som personuppgifter får behandlas i underrättelseverksamhet kan förlängas om en ny registrering avseende personen i fråga görs. Sådana bestämmelser finns bl.a. i 3 kap. 14 §, 4 kap. 20 § och 6 kap. 12 §polisdatalagen, 4 kap. 13 § kustbevakningsdatalagen och 4 kap. 9 § tullbrottsdatalagen. Det framgår emellertid inte av bestämmelserna vad den registrering som kan föranleda att personuppgifter får fortsätta att behandlas ska avse. Tiden för hur länge personuppgifter får behandlas ska inte kunna påverkas av vilka uppgifter som helst. En uppgift i form av en anteckning om att någon begärt ut en allmän handling som innehåller personuppgifter är ett exempel på en sådan uppgift som inte ska kunna föranleda förlängning av den tid som personuppgifterna får behandlas. Vidare saknar normalt t.ex. ny folkbokföringsadress, nytt registreringsnummer på fordon som personen disponerar eller någon annan sådan uppgift betydelse för frågan om personen utövar eller kan komma att utöva brottslig verksamhet. Det bör därför tydliggöras att endast sådana omständigheter som har betydelse för personens anknytning till brottslig verksamhet ska påverka hur länge personuppgifterna får behandlas. En sådan omständighet kan vara att personen har begått brott, men det bör då vara fråga om ett brott som har någon anknytning till den brottsliga verksamheten. Att en person gör sig skyldig till en helt annan typ av brottslighet torde sällan ha en sådan betydelse.
Säkerhets- och integritetsskyddsnämnden och Polismyndigheten efterfrågar ett tydliggörande av om en ny registrering avseende en person kan förlänga tiden för behandling även för andra personer med anknytning till samma brottsliga verksamhet. Det är inte uteslutet att så kan vara fallet. Till exempel kan ett brott begånget av en person innebära att misstankarna mot en annan person stärks eftersom det tydliggör att båda har starka kopplingar till en viss plats, en viss annan person eller en viss företeelse. I vilka fall en ny registrering avseende en person ska påverka tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet måste dock avgöras från fall till fall.
5.6. Särskilt om elektroniskt utlämnande
5.6.1. Olika former av elektroniskt utlämnande
Direktåtkomst
Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som vanligtvis avses med direktåtkomst är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (se Myndighetsdatalag, SOU 2015:39, s. 390 f.). Högsta förvaltningsdom-
stolen använde i avgörandet HFD 2015 ref. 61, som avsåg utlämnande av uppgifter i form av upptagning mellan myndigheter, samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i registerlagstiftningarna (se Ökat informationsutbyte mellan arbetslöshetsförsäkringen, socialförsäkringen och studiestödet, prop. 2000/01:129, s. 74, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, prop. 2001/02:144, s. 35 f. och Elektronisk informationsöverföring hos arbetslöshetskassorna och inom Arbetsmarknadsverket, prop. 2005/06:52, s. 8).
Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Den faktiska begränsningen av direktåtkomsten görs med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet.
Utlämnande på medium för automatiserad behandling
I princip anses allt elektroniskt utlämnande som inte sker genom direktåtkomst ske genom utlämnande på medium för automatiserad behandling. Som nämnts ovan har Högsta förvaltningsdomstolen ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen (HFD 2015 ref. 61).
Utlämnande av personuppgifter på medium för automatiserad behandling kan alltså göras på många olika sätt. Det kan vara fråga om att personuppgifter lämnas t.ex. via upptagningar mellan myndigheter, e-post eller USB-minne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (se Överskottsinformation vid direktåtkomst, SOU 2012:90, s. 198).
Hänvisningar till S5-6-1
- Prop. 2017/18:269: Avsnitt 5.6.4
5.6.2. Behovet av att kommunicera elektroniskt
Dagens kommunikationsbehov
Myndigheter som sysslar med brottsbekämpning, lagföring och straffverkställighet har stora behov av att kommunicera med såväl andra myndigheter som enskilda. Det kan röra sig om att begära eller utbyta information, att begära eller lämna yttranden, att ge insyn i en förundersökning, att delge handlingar under förundersökningsförfarandet eller brottmålsprocessen eller att expediera strafförelägganden och andra beslut. Tyngdpunkten ligger på kommunikation mellan behöriga myndigheter, men det rör sig också om kommunikation med andra. När det gäller andra myndigheter kan det exempelvis vara fråga om kontakter med Transportstyrelsen (trafikutredningar, expediering av strafförelägganden och beslut), Arbetsförmedlingen (brottsutredningar, personutredning och straffverkställighet) eller Försäkringskassan (brottsutredningar, personutredning och straffverkställighet). När det gäller kommunikation med
enskilda kan som exempel nämnas att Polismyndigheten i sin brottsbekämpande verksamhet har stort behov av att kunna kommunicera med bl.a. banker och försäkringsbolag och att Ekobrottsmyndigheten ofta har kontakt med finansiella aktörer.
Behovet av kommunikation utanför ordinarie kontorstid är betydande, eftersom brottsbekämpande verksamhet pågår även på annan tid. Det kan då vara nödvändigt att t.ex. kunna förse offentliga försvarare med handlingar elektroniskt.
Under lång tid sköttes kommunikationsbehovet i huvudsak på papper, bl.a. därför att regelverket i rättegångsbalken förutsatte sådan hantering. Både i Sverige och inom EU uppmuntras myndigheter att i så stor utsträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge. Det pågår sedan länge ett utvecklingsarbete som syftar till att myndigheterna i rättskedjan i ökande utsträckning ska kunna dra nytta av personuppgifter som har lagrats elektroniskt av de myndigheter som ligger tidigare i kedjan. Genom registerförfattningarna har myndigheterna i rättskedjan lagstöd för att kunna utbyta personuppgifter elektroniskt med varandra och att medge övriga myndigheter tillgång till vissa uppgifter genom direktåtkomst. Av effektivitetsskäl kan de emellertid behöva lämna ut personuppgifter i elektronisk form även till andra. Den möjligheten begränsas i dag genom reglerna om utlämnande på medium för automatiserad behandling.
Risker med elektroniskt utlämnande
När det gäller elektroniskt utlämnande brukar utlämnande genom direktåtkomst förknippas med särskilda risker för den personliga integriteten. En sådan risk är att uppgifterna sprids som en följd av att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos den mottagande myndigheten (se SOU 2012:90 s. 64 f. och 123 f. och SOU 2015:39 s. 134 f.). Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten anses enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen förvarade hos den mottagande myndigheten och utgör således allmänna handlingar där. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir allmänhetens möjlighet att få tillgång till uppgifterna (se Utlänningsdatalag, SOU 2003:40, s. 201 och Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, SOU 2015:73, s. 304). Det innebär också att direktåtkomst typiskt sett innebär att uppgifter blir tillgängliga för fler personer i de verksamheter som har åtkomst och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar (se Utlänningsdatalag, prop. 2015/16:65, s. 89 f.).
Det förhållandet att en myndighet får tillgång till uppgifter genom direktåtkomst ger dock inte mottagaren rätt att behandla personuppgifterna. Mottagaren måste ha rättsligt stöd i dataskyddsförordningen, dataskyddslagen eller i sin egen registerförfattning för personuppgiftsbehandlingen och även i övrigt uppfylla alla skyldigheter som är förenade med den.
Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra risker från integri-
tetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar risken för att uppgifterna behandlas i strid med de grundläggande kraven på dataskydd.
Viss sekretessreglering har införts för att minska de risker som ökat elektroniskt utlämnande medför. Enligt 11 kap. 4 § offentlighets- och sekretesslagen gäller att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Vidare gäller enligt 21 kap. 7 § offentlighets- och sekretesslagen sekretess för personuppgifter, om det kan antas att utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Syftet med bestämmelsen är att det ska vara möjligt att hindra s.k. massuttag, om det finns skäl att anta att uppgifterna skulle missbrukas.
5.6.3. Utlämnande genom direktåtkomst
Regeringens förslag: Registerförfattningarna ska ge samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Säkerhetspolisen bedömer att hänvisningen i bestämmelserna om sekretessgenombrott och direktåtkomst, t.ex. hänvisningarna i 2 kap. 8 § och 3 kap. 7 § i polisens registerförfattning, till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, kan tolkas som att direktåtkomst och brytande av sekretess inte är möjlig då Säkerhetspolisen ska behandla personuppgifter som rör nationell säkerhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Av 2 kap. 21 § polisdatalagen framgår att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen. Sådana bestämmelser finns bl.a. i 4 kap., där vissa register särregleras. I 3 kap. 8 § polisdatalagen anges vilka myndigheter som får medges direktåtkomst till andra personuppgifter än de som behandlas i särskilda register. Där föreskrivs också att direktåtkomst endast får avse personuppgifter som gjorts gemensamt tillgängliga. Liknande bestämmelser finns i 2 kap. 9 § kustbevakningsdatalagen, 2 kap. 17 § åklagardatalagen, 2 kap. 17 § och 3 kap. 8 §tullbrottsdatalagen och 2 kap. 16 § och 3 kap. 8 §skattebrottsdatalagen.
Även i Kriminalvårdens registerlagstiftning finns det bestämmelser om direktåtkomst, men de finns i huvudsak i förordning (se 10 § första stycket 2 lagen om behandling av personuppgifter inom kriminalvården och 37, 43 och 44 §§ förordningen om behandling av personuppgifter inom kriminalvården).
Direktåtkomst kräver alltså i dag lagstöd enligt samtliga registerförfattningar med undantag av Kriminalvårdens. Riksdagen ska således i de flesta fall ta ställning till om en viss myndighet kan tillåtas att få
direktåtkomst. Med något enstaka undantag är det endast myndigheter som tillämpar brottsdatalagen som enligt registerförfattningarna får medges direktåtkomst. De nuvarande bestämmelserna om direktåtkomst ger därmed ett tillräckligt skydd för den personliga integriteten. De är även i övrigt förenliga med direktivet. Det bör därför finnas bestämmelser även i de nya registerförfattningarna som ger samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering.
Säkerhetspolisen bedömer att hänvisningen i bestämmelserna om sekretessgenombrott och direktåtkomst till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, skulle kunna tolkas som att sekretessgenombrott och direktåtkomst inte är möjlig då Säkerhetspolisen ska behandla personuppgifter som rör nationell säkerhet. Hänvisningen till 1 kap. 2 § brottsdatalagen sker dock för att tydliggöra för vilka syften som sekretess får brytas respektive för vilka syften som myndigheten får medges direktåtkomst. Den omständigheten att brottsdatalagens tillämpningsområde är begränsat på sätt som anges i bestämmelsen i 1 kap. 4 § samma lag innebär inte att möjligheterna till sekretessgenombrott och direktåtkomst är begränsade. Hänvisningen i bestämmelserna ska därmed inte tolkas på det sätt som Säkerhetspolisen redogjort för.
5.6.4. Annat elektroniskt utlämnande tillåts i större utsträckning
Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten välkomnar förslaget. Datainspektionen avstyrker förslaget eftersom att det utan närmare analyser om vilka effekter på den personliga integriteten som utvidgningen får eller kan få inte går att avgöra om utvidgningen kan anses proportionerlig i förhållande till enskildas personliga integritet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Nuvarande reglering
Registerförfattningarna för de brottsbekämpande myndigheterna innehåller bestämmelser om elektroniskt utlämnande. I 2 kap. 20 § polisdatalagen, 2 kap. 8 § kustbevakningsdatalagen, 2 kap. 16 § åklagardatalagen, 2 kap. 16 § tullbrottsdatalagen och 2 kap. 15 § skattebrottsdatalagen föreskrivs att enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Registerförfattningarna innehåller dessutom bestämmelser om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. I de förordningar som kompletterar registerlagarna finns det i varierande utsträckning bestämmelser om att uppgifter får lämnas ut på medium för automatiserad behandling i större utsträckning än vad som anges i res-
pektive lag. Begränsningen till enstaka personuppgifter gäller t.ex. inte i förhållande till de myndigheter som får medges direktåtkomst. Det innebär att begränsningen inte gäller i förhållande till andra brottsbekämpande myndigheter.
I domstolsdatalagen har en delvis annan reglering valts. Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automatiserad behandling om det inte är olämpligt.
Dataskyddsdirektivet reglerar inte hur personuppgifter tillhandahålls
Varken dataskyddsdirektivet eller dataskyddsförordningen innehåller några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Det gör inte heller det nu gällande dataskyddsdirektivet. Att lämna ut personuppgifter elektroniskt innebär behandling av personuppgifter och ett utlämnande förutsätter därmed att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet.
Eftersom dataskyddsdirektivet inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut, finns det inget som hindrar att bestämmelser som motsvarar de nuvarande reglerna om elektroniskt utlämnande behålls.
Kritik mot reglerna om utlämnande av enstaka personuppgifter
Bestämmelserna om att bara enstaka personuppgifter får lämnas ut på medium för automatiserad behandling har kritiserats. Redan när de infördes framförde vissa remissinstanser invändningar mot att begränsa det elektroniska utlämnandet till enstaka uppgifter. Det ansågs otidsenligt att i alltför hög grad begränsa myndigheternas möjlighet att utnyttja de fördelar som elektronisk kommunikation kunde ge (se bl.a. prop. 2009/10:85 s. 184 f.). Det var också omfattande kritik mot begränsningen till enstaka uppgifter som ledde till att en annan lösning valdes i domstolsdatalagen (se Domstolsdatalag, prop. 2014/15:148, s. 75 f.)
Till kritikerna hör Informationshanteringsutredningen, som föreslår att det i myndighetsdatalagen tas in en bestämmelse som medger elektroniskt utlämnande till enskilda om det inte är olämpligt med hänsyn till skyddet för personuppgiften. Däremot bör det enligt den utredningen inte gälla några lagliga begränsningar för att tillhandahålla myndigheter personuppgifter i elektronisk form (se SOU 2015:39 s. 447).
Även uttrycket ”utlämnande på medium för automatiserad behandling” har kritiserats, bl.a. på den grunden att det är otydligt (se SOU 2012:90 s. 198 f. och SOU 2015:39 s. 442).
Bör regleringen ändras?
Numera förväntar sig både myndigheter och enskilda att handlingar i stor utsträckning kan förmedlas elektroniskt. Frågan är om den utvecklingen bör mötas med bestämmelser som förenklar för myndigheterna i rättskedjan att kunna kommunicera elektroniskt.
Elektronisk kommunikation är som regel kostnadseffektiv om man jämför med postbefordran. I vissa avseenden är elektronisk kommunikation säkrare än traditionell befordran, eftersom spårbarheten är större. Elektronisk kommunikation gör det också enkelt att sända större
informationsmängder. För mottagaren är skillnaden mellan att få uppgifter på papper och i elektronisk form inte heller så stor i dag. Med modern teknik kan nämligen text på papper enkelt omvandlas till elektroniska uppgifter.
I förarbetena till bl.a. polisdatalagen och kustbevakningsdatalagen framhålls att när ordet enstaka används i bestämmelsen om utlämnande av uppgifter på medium för automatiserad behandling har ordet en annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen inte avsedd att utgöra ett hinder mot att handlingen lämnas ut t.ex. via e-post. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett stort antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av bestämmelsen. Bestämmelsen ger också stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer. Ett förundersökningsprotokoll kan således ofta lämnas ut elektroniskt. Däremot får inte en större mängd uppgifter, t.ex. ett helt register eller delar av ett register, lämnas ut med stöd av en sådan bestämmelse (se prop. 2009/10:85 s. 333 och prop. 2011/12:45 s. 98).
Det finns risk att bestämmelser som enligt sin ordalydelse talar för en mer restriktiv tillämpning av elektroniskt utlämnade än vad som förefaller vara avsedd, kan motverka strävanden efter att myndigheterna ska dra nytta av effektivitetsvinsterna med ny teknik. Det är också olyckligt om förarbetena ger uttryck för att lagregler ska tolkas annorlunda än sin ordalydelse. En annan risk med hur bestämmelserna är formulerade i dag är att de ger sken av att ge ett starkare integritetsskydd än vad som i praktiken är fallet.
Mot den nu angivna bakgrunden bör bestämmelser om utlämnande av personuppgifter på medium för automatiserad behandling utformas på ett annat sätt i de nya registerförfattningarna.
Samma reglering som för domstolarna
För Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbevakningen, Tullverket och Skatteverket har regeringen redan i förordning öppnat för elektroniskt uppgiftslämnande på annat sätt än genom direktåtkomst om det inte är olämpligt. Det gäller dock enbart i förhållande till vissa i förordningarna uppräknade kategorier av mottagare, framför allt sådana till vilka det förekommer frekvent uppgiftslämnande.
Det finns anledning att lämna större utrymme för utlämnande i elektronisk form för de brottsbekämpande myndigheterna. Även om det i relativt stor utsträckning förekommer integritetskänsliga personuppgifter i framför allt brottsbekämpande verksamhet och vid straffverkställighet måste riskerna med att överföra sådana uppgifter elektroniskt vägas mot behovet av snabb och effektiv kommunikation. Sekretessbestämmelserna tillsammans med regleringen av personuppgiftsbehandling skyddar vidare enskilda mot att möjligheten att lämna ut personuppgifter elektroniskt missbrukas. Den som överväger att lämna ut personuppgifter, oavsett i vilken form det görs, måste alltid överväga om sekretessregleringen lägger hinder i vägen och, om så inte är fallet, om regelverket för personuppgiftsbehandling gör det möjligt att lämna uppgifterna i elektronisk
form. Mottagaren måste dessutom alltid ha rättslig grund för behandlingen och är även i övrigt skyldig att leva upp till de krav som finns i reglerna om personuppgiftsbehandling. Regeringen anser att regleringen, med dess krav för utlämnande och mottagande, är utformad på ett sätt som ger ett gott skydd för den personliga integriteten. Det finns inte skäl att vidare analysera utvidgningens effekter på sätt som Datainspektionen efterfrågar. Mot den bakgrunden bör samma lagtekniska lösning som i domstolsdatalagen väljas i de berörda myndigheternas registerförfattningar. Bestämmelserna bör därför ändras på det sättet att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt.
Informationshanteringsutredningen anser att uttrycket ”utlämnande på medium för automatiserad behandling” bör utmönstras och föreslår att uttrycket ”utlämnande i elektronisk form” ska användas i stället (se SOU 2015:39 s. 442).
Ett modernare uttryckssätt är att föredra. Eftersom registerförfattningarna ses över är det lämpligt att göra den förändringen nu. Även fortsättningsvis bör det i registerförfattningarna göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utlämnande på annat sätt (se även avsnitt 5.6.1 avseende avgörandet HFD 2015 ref. 61).
När kan elektroniskt utlämnande komma i fråga?
I fråga om elektroniskt utlämnande på annat sätt än genom direktåtkomst bör skillnad göras mellan utlämnande till myndigheter och utlämnande till enskilda. Det bör normalt inte anses olämpligt att lämna personuppgifter elektroniskt till myndigheter (jfr SOU 2015:39 s. 447 f.). Om det i ett enskilt fall skulle bedömas vara olämpligt bör emellertid personuppgifterna lämnas på annat sätt.
Även när det gäller utlämnande till enskilda har lagstiftaren redan tagit ställning till att sådant utlämnande är godtagbart till vissa kategorier av mottagare, om det inte är olämpligt. Det gäller t.ex. uppgifter som lämnas till konkursförvaltare i vissa fall. Personuppgifter bör kunna lämnas ut elektroniskt till sådana kategorier i samma utsträckning som i dag.
När det gäller andra enskilda än de som i dag pekas ut i förordning kan det krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. I de fallen är det svårare att göra en generell bedömning av om elektroniskt utlämnande kan vara lämpligt. Det bör därför finnas utrymme för regeringen att meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis.
Hänvisningar till S5-6-4
- Prop. 2017/18:269: Avsnitt 12.6.2, 18.1, 18.2, 18.3, 18.4, 18.5, Författningskommentar till 8 § lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, Författningskommentar till 12 § lag om polisens behandling av personuppgifter inom brottsdatalagens område, Författningskommentar till 9 § lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, Författningskommentar till 9 § lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område
5.7. Rätt att meddela föreskrifter
Regeringens förslag: Bestämmelser som motsvarar den befintliga regleringen om föreskriftsrätt ska införas i de nya registerförfattningarna, förutom i de fall där de inte längre fyller någon funktion.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I registerförfattningarna finns det ett flertal bestämmelser där det upplyses att regeringen kan meddela föreskrifter i en viss fråga, eller delegera den uppgiften till en myndighet.
Vissa befintliga bestämmelser om föreskriftsrätt behöver inte införas i de nya registerförfattningarna eftersom de är knutna till bestämmelser som inte längre kommer att finnas kvar. Det finns också vissa bestämmelser om vidaredelegation av föreskriftsrätt som inte bör behållas därför att det som regleringen avser enbart rör myndighetsinterna frågor eller därför att det är uppgifter som följer med rollen som personuppgiftsansvarig. Myndigheterna bör alltså inte ha någon föreskriftsrätt om det är fråga om interna förhållanden som kan regleras på annat sätt än i föreskrifter. Det gäller exempelvis föreskriftsrätten i 3 § polisdataförordningen om tillgången till personuppgifter, i 5 § andra stycket om begränsning av tillgången till vissa uppgifter och i 8 § om sökning. Motsvarande bestämmelser i övriga registerförordningar bör också upphävas.
Lagrådet framhåller att förslagen innebär att regeringen förutsätts att – såsom redan gäller i dag – i förordning ange bl.a. vissa fall när det är tillåtet att behandla personuppgifter under längre tid än vad som medges i lag. Lagrådet ifrågasätter om föreskrifter vars sakliga innebörd är en försämring av ett i lag stadgat skydd verkligen kan anses som gynnande eller neutrala i förhållande till enskilda. Lagrådet konstaterar att om så inte är fallet får regeringen inte meddela föreskrifterna med stöd av sin restkompetens och anser att frågan bör övervägas ytterligare under den fortsatta beredningen. Vidare ställer Lagrådet frågan om regeringens mer allmänna bedömning angående förhållandet till den formella lagkraftens princip (8 kap. 18 § regeringsformen) i propositionen till den nya dataskyddslagen också har bärkraft här (prop. 2017/18:105 s.26 f.). Även denna fråga bör enligt Lagrådet föranleda ytterligare överväganden.
När det gäller sektorspecifika registerförfattningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen anser regeringen, i linje med vad som har anförts i bl.a. förarbetena till dataskyddslagen (prop. 2017/18:105 s. 26 f.) att föreskrifter som direkt eller indirekt rör behandling av personuppgifter kan meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Sådana föreskrifter finns i dag i bl.a. 21–26 §§polisdataförordningen (2010:1155), där det föreskrivs att vissa kategorier av uppgifter får behandlas i polisens brottsbekämpande verksamhet efter utgången av den tid som anges i polisdatalagen. Med hänsyn till att bestämmelser om längsta tid för behandling finns i lag tydliggörs genom en upplysningsbestämmelse i 3 kap. 12 § polisdatalagen att sådana föreskrifter kan meddelas av regeringen.
Motsvarande upplysningsbestämmelser finns i bl.a. 4 kap. 14 § kustbevakningsdatalagen och 4 kap. 2 § skattebrottsdatalagen.
Regeringen gör inte nu någon annan bedömning av omfattningen av regeringens restkompetens än den som har kommit till uttryck i tidigare lagstiftningsärenden avseende regleringen av behandling av personuppgifter. Bestämmelser som gäller längsta tid för behandling av personuppgifter i de nu aktuella registerförfattningarna måste alltså anses falla under regeringens restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Eftersom sådana bestämmelser även kommer att finnas i lag bör det dock även fortsättningsvis finnas upplysningsbestämmelser i de aktuella registerförfattningarna som klargör att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i lagen.
Även de andra bestämmelser i lagförslagen som gäller regeringens föreskriftsrätt omfattas av regeringens kompetens enligt 8 kap. 7 § regeringsformen.
6. Behandling för nya ändamål
6.1. Bestämmelser om rättslig grund och ändamål
Dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså bara om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas.
En annan grundläggande princip för all personuppgiftsbehandling är att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Det finns därför normalt även bestämmelser om tillåtna ändamål för personuppgiftsbehandling i olika registerförfattningar.
I de brottsbekämpande myndigheternas nuvarande registerförfattningar delas ändamålen upp i primära och sekundära, se bl.a. 2 kap.7 och 8 §§polisdatalagen, 2 kap.5 och 6 §§åklagardatalagen samt 2 kap.5 och 6 §§tullbrottsdatalagen. Bestämmelserna har samma utformning och liknande innehåll. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen brottsbekämpande verksamhet. Polismyndigheten får t.ex. enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller verksamheter eller till enskilda för att tillgodose deras behov.
Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen
brottsbekämpande verksamhet, dels får behandlas för att lämnas ut till andra.
6.2. En ny ordning i brottsdatalagen
Gränsen mellan bestämmelser om rättslig grund i dataskyddsrättslig mening och bestämmelser om ändamål för behandlingen av personuppgifter är inte helt klar. I propositionen Brottsdatalag konstateras att vad som är bestämmelser om rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det anses därför vara lämpligt att göra tydligare skillnad mellan dessa typer av bestämmelser (se prop. 2017/18:232 s. 114 f.).
I den nämnda propositionen behandlas ingående hur kravet på rättslig grund förhåller sig till de primära och sekundära ändamålen i registerförfattningarna. Övervägandena leder till bedömningen att de primära och sekundära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar är så allmänt hållna att de bör ses som en del av den rättsliga grunden för behandlingen av personuppgifter och inte som ändamålsbestämmelser.
Framöver kommer de generella bestämmelserna om rättslig grund på direktivets område att finnas i brottsdatalagen. Där anges att lagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I brottsdatalagen kommer det även att stadgas att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål.
Därutöver föreslås en ny ordning i brottsdatalagen när det gäller behandling av personuppgifter för nya ändamål. Innan personuppgifter får behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde, ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan prövning inte göras (2 kap. 4 § brottsdatalagen).
Det föreslås också en motsvarande bestämmelse i brottsdatalagen som gäller vid ny behandling av uppgifter för ändamål utanför lagens tillämpningsområde (2 kap. 22 § brottsdatalagen).
Hänvisningar till S6-2
- Prop. 2017/18:269: Avsnitt 7.8.2
6.3. Bör sekundära ändamålsbestämmelser behållas?
Regeringens bedömning: De nya registerförfattningarna bör inte innehålla bestämmelser som motsvarar de sekundära ändamålsbestämmelserna i polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen.
Utredningens bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Datainspektionen anser i likhet med utredningen att de sekundära ändamålsbestämmelser som gäller behandling för ändamål inom brottsdatalagens tillämpningsområde inte bör behållas.
Övriga remissinstanser yttrar sig inte särskilt över bedömningen.
Skälen för regeringens bedömning
Nuvarande reglering
Enligt de sekundära ändamålsbestämmelserna i registerförfattningarna får myndigheterna lämna ut personuppgifter som redan behandlas i vissa uppräknade situationer, t.ex. när personuppgifterna behövs i en brottsbekämpande verksamhet hos någon annan svensk eller utländsk myndighet. De sekundära ändamålsbestämmelserna reglerar inte bara utlämnande på direktivets område. Polismyndigheten och Tullverket får exempelvis tillhandahålla information som behövs i annan verksamhet som respektive myndighet ansvarar för, om det finns särskilda skäl för det. Motsvarande men mer preciserade bestämmelser finns för Kustbevakningen och Skatteverket. Vidare finns det, efter modell från polisdatalagen, en generell bestämmelse i flertalet registerförfattningar som innebär att personuppgifter i enskilda fall även får behandlas för att tillhandahålla information för något annat ändamål än de uttryckligt angivna, om ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
De nuvarande sekundära ändamålsbestämmelserna omfattar alltså utlämnande av uppgifter för syften som ligger både inom och utanför tillämpningsområdet för brottsdatalagen.
Behandling för nya ändamål på direktivets område
Behandling för nya ändamål kan leda till ökad spridning av personuppgifter genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ett ökat intrång i enskildas personliga integritet. Det är därför viktigt att en noggrann prövning görs innan personuppgifter behandlas för ett nytt ändamål.
Som nyss nämnts innebär den nya regleringen i brottsdatalagen att det, innan personuppgifter behandlas för ett nytt ändamål inom lagens tillämpningsområde, ska säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Bestämmelsen genomför artikel 4.2 i direktivet om behandling för nya ändamål.
Om de sekundära ändamålsbestämmelserna med den nuvarande utformningen införs i de nya registerförfattningarna, skulle prövningen enligt 2 kap. 4 § brottsdatalagen inte få fullt genomslag. Ett åsidosättande av prövningen enligt brottsdatalagen kan inte heller anses vara förenligt med artikel 4.2 i direktivet. De sekundära ändamålsbestämmelser som faller inom direktivets tillämpningsområde bör därför inte överföras till de nya registerförfattningarna med den nuvarande utformningen.
Behövs en reglering i de nya registerförfattningarna?
Direktivet hindrar inte att den nationella rätten sätter gränser för i vilken utsträckning som personuppgifter får lämnas mellan myndigheter. Så-
dana begränsningar kan bidra till att skydda enskildas personliga integritet och göra det tydligt och förutsebart i vilken utsträckning som behöriga myndigheter får lämna personuppgifter till andra. Det skulle därför på den grunden vara möjligt att ersätta dagens sekundära ändamålsbestämmelser med bestämmelser som innehåller begränsningar av möjligheten att lämna uppgifter myndigheter emellan.
I förarbetena till flera av registerförfattningarna har det dock framhållits att det ur ett brottsbekämpningsperspektiv är angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Som nämnts där verkar brottsligheten över såväl geografiska gränser som myndighetsgränser och de brottsbekämpande myndigheterna måste samverka med varandra för att brottsbekämpning ska vara effektiv. Sådan samverkan förutsätter möjligheter till effektivt utbyte av information (se bl.a. prop. 2009/10:85 s. 166 f. och prop. 2016/17:91 s. 96 f.).
Ett av syftena med brottsdatalagen är också att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Enligt brottsdatalagen ska ändå alltid en prövning göras innan personuppgifter behandlas för ett nytt ändamål. Regeringen instämmer i utredningens mening att den prövningen är tillräcklig för att skydda enskildas integritet. Det finns därför inte skäl för att i registerförfattningarna föreslå någon annan begränsning än den som följer av brottsdatalagen när det gäller möjligheterna att tillhandahålla uppgifter för nya ändamål inom brottsdatalagens område.
Behandling för ändamål utanför direktivets tillämpningsområde
När en behörig myndighet behandlar personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde ska dataskyddsförordningen tillämpas i stället för brottsdatalagen. Förordningen ska tillämpas även när en behörig myndighet tillhandahåller personuppgifter till andra, om ändamålet med behandlingen där ligger utanför brottsdatalagens tillämpningsområde. Den ordningen skiljer sig från vad som gäller idag. Som exempel kan nämnas att Kustbevakningen lämnar personuppgifter till Sjöfartsverket efter en fartygskollision. Personuppgifter som en behörig myndighet behandlar enligt brottsdatalagen kan också behöva lämnas till en enhet inom samma myndighet som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan exempelvis behöva lämnas till den verksamhet inom myndigheten där frågor om pass eller olika typer av tillstånd behandlas.
Dataskyddsförordningen utgår, på samma sätt som direktivet, från att varje behandling av personuppgifter ska vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i förordningen. Dit hör enligt punkten e) att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Det är främst den punkten som aktualiseras när behöriga myndigheter lämnar ut personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde.
Till skillnad från vad som gäller vid behandling för nya ändamål inom brottsdatalagens tillämpningsområde hindrar varken direktivet eller för-
ordningen att innehållet i de sekundära ändamålsbestämmelserna behålls när det gäller behandling för ändamål utanför brottsdatalagens område.
I 2 kap. 22 § brottsdatalagen finns dock en bestämmelse som innebär att innan personuppgifter som behandlas med stöd av lagen, behandlas för ändamål utanför lagens tillämpningsområde, ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning som en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan prövning inte göras.
Med hänsyn till innehållet i den nya bestämmelsen i brottsdatalagen är det inte heller på förordningens område lämpligt att föra över de sekundära ändamålsbestämmelserna till de nya registerförfattningarna. De nya registerförfattningarna bör alltså inte innehålla några sådana bestämmelser.
Konsekvenser av att de nya registerförfattningarna saknar sekundära ändamålsbestämmelser
Avsaknaden av sekundära ändamålsbestämmelser i de nya registerförfattningarna innebär inte att de brottsbekämpande myndigheterna förlorar möjligheten att behandla personuppgifter för nya ändamål i motsvarande utsträckning framöver. Till att börja med anges det uttryckligen i brottsdatalagen att en prövning av nödvändighet och proportionalitet inte behöver göras om en skyldighet att lämna uppgifter följer av lag eller förordning. Detta undantag från prövningen motsvarar vissa av de situationer som anges i bestämmelserna om sekundära ändamål i myndigheternas nuvarande registerförfattningar, se t.ex. 2 kap. 8 § första stycket 7 polisdatalagen.
I de övriga situationer som anges i dagens bestämmelser om sekundära ändamål måste en behandling för nya ändamål i fortsättningen som regel anses vara nödvändig och proportionerlig enligt brottsdatalagens bestämmelser (se prop. 2017/18:232 s. 130 och 136). Exempelvis bör det alltid anses vara nödvändigt och proportionerligt att behandla personuppgifter för att tillhandahålla information som behövs i andra behöriga myndigheters brottsbekämpande verksamhet, jfr t.ex. 2 kap. 8 § första stycket 1 polisdatalagen.
7. Polisens brottsdatalag
7.1. Behovet av anpassning till brottsdatalagen
7.1.1. Nuvarande reglering
Polisdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Den gäller enligt 1 kap. 3 § däremot inte vid behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister (numera upphävd) och lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. I 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. För personuppgifter som har gjorts gemensamt tillgängliga gäller även 3 kap. Vid behandling av personuppgifter i särskilda register gäller 4 kap. i stället för 3 kap. Behandling för forensiska ändamål regleras i 5 kap. Slutligen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens verksamhet i 6 kap.
Innehållet i många bestämmelser i polisdatalagen behöver inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för polisdatalagen behandlas däremot i detta avsnitt.
Regleringen av Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet behandlas inte i denna proposition, se avsnitt 7.2.1. För den behandlingen kommer 6 kap. polisdatalagen tillfälligt att fortsätta gälla genom en övergångsbestämmelse, se avsnitt 16.
Hänvisningar till S7-1-1
7.1.2. Lagens namn
Regeringens förslag: Den nya lagen ska benämnas lag om polisens behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till polisdatalagen i andra författningar ska ändras till lagen om polisens behandling av personuppgifter inom brottsdatalagens område.
Utredningen föreslår att lagen ska benämnas polisens brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas polisens brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Det föreslagna namnet avviker dock från den systematik som gäller för författningars rubriker (se Ds 2014:1 s. 17 f.). Det vore visserligen önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Gemensamt för de myndigheter som ska
tillämpa lagen är att den ska gälla i deras polisiära verksamhet. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om polisens behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för polisens brottsdatalag.
Alla hänvisningar till polisdatalagen i andra författningar, med undantag för hänvisningen i 1 kap. 3 § dataskyddslagen, ska ändras till lagen om polisens behandling av personuppgifter inom brottsdatalagens område.
7.2. Allmänna bestämmelser
Hänvisningar till S7-2
- Prop. 2017/18:269: Avsnitt 7.3.1
7.2.1. Tillämpningsområdet
Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter:
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet,
3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott. Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet ska inte regleras i lagen. Lagen ska inte heller gälla vid personuppgiftsbehandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister eller lagen om Polismyndighetens elimineringsdatabas. Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som har meddelats i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i polisens brottsdatalag.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten förordar att uttrycket ”övervaka allmän ordning och säkerhet” används i stället för ”upprätthålla allmän ordning och säkerhet”. Övriga remissinstanser tillstyrker eller yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Den nuvarande regleringen behöver anpassas
Polisdatalagen gäller enligt 1 kap. 2 § för behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Tillämp-
ningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde, så att det dels utgår från syftet med behandlingen, dels omfattar den personuppgiftsbehandling som myndigheterna utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör också framgå att lagen endast gäller när myndigheterna agerar i egenskap av behöriga myndigheter.
Tillämpningsområdet för Polismyndigheten
För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i polisens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.
Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Polismyndigheten har enligt 2 § polislagen (1984:387) i uppdrag att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten, att övervaka den allmänna ordningen och säkerheten och att ingripa när störningar har inträffat. För att polisens brottsdatalag så långt möjligt ska täcka all Polismyndighetens behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet. Polismyndigheten förordar att uttrycket ”övervaka allmän ordning och säkerhet” används i stället för ”upprätthålla allmän ordning och säkerhet”. Den sistnämnda formuleringen har dock valts i brottsdatalagen och bör därför användas även här, se prop. 2017/18:232 s. 97. Där diskuteras också var gränsen för tillämpningsområdet bör gå.
Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. För Polismyndighetens del blir sådan personuppgiftsbehandling framför allt aktuell i myndighetens uppbördsverksamhet. För närvarande bereds en departementspromemoria som innehåller förslag till hur Polismyndighetens behandling av personuppgifter vid uppbörd av böter bör regleras (Ds 2018:3). Mot den bakgrunden lämnas inte nu några förslag när det gäller Polismyndighetens personuppgiftsbehandling i syfte att verkställa straff.
Tillämpningsområdet för Ekobrottsmyndigheten
Ekobrottsmyndigheten är en åklagarmyndighet med ett utökat uppdrag. I myndigheten integreras åklagarverksamheten med den polisiära verksamhet som krävs för att utreda de brott som Ekobrottsmyndigheten har i uppdrag att bekämpa (se prop. 2014/15:63 s. 21 f.). Den operativa verksamheten kan delas in i tre verksamhetsområden: underrättelseverksamhet, utrednings- och lagföringsverksamhet och brottsförebyggande verksamhet. Huvuddelen av Ekobrottsmyndighetens verksamhet består i att
utreda brott. Åklagare är alltid förundersökningsledare i förundersökningar vid myndigheten och fattar beslut om lagföring.
Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den polisiära verksamheten medan åklagardatalagen gäller i den övriga operativa verksamheten. Det har framkommit att det finns osäkerhet om vilket regelverk som ska tillämpas.
Utgångspunkten för vilket regelverk som ska tillämpas bör vara densamma för Ekobrottsmyndigheten som för Åklagarmyndigheten och Polismyndigheten. Den personuppgiftsbehandling som utförs för att fullgöra åklagaruppgifter i utredningsverksamheten bör därför styras av den registerförfattning som gäller för åklagarväsendet. Den personuppgiftsbehandling som utförs i den övriga utredningsverksamheten vid Ekobrottsmyndigheten bör däremot regleras i polisens brottsdatalag
I dag används uttrycket polisiär verksamhet för att avgränsa tillämpningsområdet för polisdatalagen. Det finns ingen definition av vad som är polisiär verksamhet. Sådan verksamhet är vittomfattande och berör många sektorer av samhället. Regeringen instämmer därför i utredningens bedömning att det är bättre att utgå från åklagarverksamheten än den polisiära verksamheten vid avgränsningen av tillämpningsområdet.
Åklagarverksamhet består av två huvuddelar, brottsutredning och lagföring, men åklagare har även vissa andra författningsreglerade uppgifter inom brottsdatalagens tillämpningsområde. Brottsutredning avser först och främst att åklagare fattar beslut i fråga om huruvida förundersökning ska inledas eller begränsas, läggas ned eller avslutas på annat sätt. Det innefattar också alla beslut som åklagare fattar om åtgärder under en förundersökning, exempelvis om straffprocessuella tvångsmedel eller framställningar till domstol. Beslut i samband med att förundersökningar läggs ned eller avslutas på annat sätt, t.ex. genom åtalsunderlåtelse, och uppgifter i samband med besluten ingår således i åklagarverksamheten. Åklagare är enligt 22 kap. rättegångsbalken skyldiga att biträda målsägande. Åklagarverksamhet inkluderar även att förbereda och föra olika former av talan som kan föras i ett brottmål i samband med ansvarstalan, t.ex. talan om enskilt anspråk, näringsförbud, rådgivningsförbud eller skattetillägg. Lagföring avser för åklagarnas del huvudsakligen att utfärda strafförelägganden och besluta om åtal, att föra ansvarstalan och att företräda staten i andra frågor i brottmål. På samma sätt som domstol har åklagare även omfattande skyldigheter att expediera beslut.
Det är dock inte längre möjligt att låta regleringen om personuppgiftsbehandling utgå från den verksamhet som personuppgifterna behandlas i, eftersom syftet med personuppgiftsbehandlingen är avgörande för lagens tillämpningsområde.
Polisens brottsdatalag bör därför gälla vid personuppgiftsbehandling hos Ekobrottsmyndigheten i syfte att utreda brott, om det inte är fråga om åklagarverksamhet. Vid Ekobrottsmyndigheten är det enbart åklagare som fattar beslut om lagföring. Därför bör myndighetens personuppgiftsbehandling i det syftet inte regleras i polisens brottsdatalag.
Det bedrivs även underrättelseverksamhet vid Ekobrottsmyndigheten. Den verksamheten leds och utförs dock av Polismyndigheten. Polisens brottsdatalag bör tillämpas på den behandlingen, på samma sätt som vid annan personuppgiftsbehandling som Polismyndigheten utför.
Tillämpningsområdet för Säkerhetspolisen
Polisdatalagen gäller i dag även i Säkerhetspolisens brottsbekämpande verksamhet. Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet omfattas dock inte av dataskyddsdirektivet och brottsdatalagen kommer inte att vara tillämplig på den verksamheten. Polisens brottsdatalag kommer att gälla utöver brottsdatalagen. Många frågor som tidigare reglerades i polisdatalagen regleras i dag i brottsdatalagen.
Eftersom brottsdatalagen inte kommer att vara tillämplig i större delen av Säkerhetspolisens verksamhet och polisens brottsdatalag anpassas till brottsdatalagen blir det komplicerat att reglera Säkerhetspolisens personuppgiftsbehandling i polisens brottsdatalag. Regeringen delar därför utredningens uppfattning att det finns starka lagtekniska skäl för att Säkerhetspolisens behandling av personuppgifter bör regleras på annat sätt än i polisens brottsdatalag. Hur den regleringen bör utformas återkommer regeringen till ett annat lagstiftningsärende. Vad som ska gälla under mellantiden behandlas i avsnitt 16.
Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådant biträde omfattas personuppgiftsbehandlingen av brottsdatalagens tillämpningsområde, om den inte rör nationell säkerhet (se prop. 2017/18:232 s. 105).
Enligt 30 § förordningen (2014:1102) med instruktion för Polismyndigheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbekämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (se prop. 2013/14:110 s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av brottsdatalagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.
För Polismyndighetens del kompletteras brottsdatalagen av polisens brottsdatalag. När Säkerhetspolisen biträder eller övertar en arbetsuppgift från Polismyndigheten bör Säkerhetspolisen tillämpa samma reglering. Säkerhetspolisen bör således tillämpa polisens brottsdatalag i frågor som inte rör nationell säkerhet, om personuppgifter behandlas i syfte att bekämpa eller lagföra brott.
Lagen ska inte gälla vid behandling i vissa register
Enligt 1 kap. 3 § polisdatalagen gäller lagen inte vid behandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister, lagen om polisens allmänna spaningsregister (numera upphävd) och lagen om register över tillträdesförbud vid idrottsarrangemang.
Det är inte möjligt att reglera all Polismyndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i polisens brottsdatalag. Lagen bör därför inte gälla vid behandling av personuppgifter som regleras särskilt i vissa andra uppräknade författningar. Till skillnad från utredningen anser regeringen att vapenlagen uttryckligen bör undantas från tillämpningsområdet. I vilken utsträckning vapenlagen omfattas av brottsdatalagens tillämpningsområde övervägs för närvarande i ett annat lagstiftningsärende.
Eftersom lagen (2010:362) om polisens allmänna spaningsregister har upphört att gälla bör hänvisningen till den lagen inte införas i polisens brottsdatalag. Regeringen anser vidare, i likhet med utredningen, att Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret bör regleras i polisens brottsdatalag (se avsnitt 14.2) och hänvisningen till den lagen bör därför inte heller införas i den nya lagen.
Enligt lagen om Polismyndighetens elimineringsdatabas får Polismyndigheten föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser. Både dna-profiler som inte kan hänföras till en identifierbar person och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken från en misstänkt jämförs med dna-profilerna i elimineringsdatabasen innan de läggs in i spårregistret respektive utredningsregistret eller dna-registret. Syftet med det är att säkerställa att sökningar i registren inte ger felaktiga resultat på grund av att kontaminerade dna-profiler har registrerats. Regeringen instämmer i utredningens bedömning att behandling av dna-profiler i elimineringsdatabasen är en verksamhet som är oupplösligt förbunden med Polismyndighetens hantering av de övriga dna-registren och därför bör omfattas av brottsdatalagens tillämpningsområde. Med hänsyn till att elimineringsdatabasen inte får användas för att utreda brott ansåg regeringen dock tidigare att regleringen av den inte passade in i polisdatalagen, eftersom den lagen gäller i den brottsbekämpande verksamheten (se prop. 2013/14:110 s. 456). Det finns fortfarande goda skäl att reglera databasen särskilt. Behandling som utförs enligt lagen om Polismyndighetens elimineringsdatabas bör därför undantas från tillämpningsområdet.
Lagen om flygpassageraruppgifter i brottsbekämpningen
En ny lag om flygpassageraruppgifter i brottsbekämpningen föreslås träda i kraft den 1 augusti 2018, dvs. före polisens brottsdatalag (se prop. 2017/18:234). Lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNRuppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Lagen kommer bl.a. att innehålla regler om behandling av personuppgifter. I samma proposition föreslås ändringar i polisdatalagen som innebär att om det i den nya lagen finns bestämmelser som avviker från polisdatalagen, ska dessa bestämmelser tillämpas i stället för polisdatalagens reglering. Polisdatalagen kommer alltså att vara subsidiär i förhållande till lagen om flygpassageraruppgifter i brottsbekämpningen. En motsvarande bestämmelse bör införas i den nya lagen. Polisdatalagen är sedan tidigare subsidiär även i förhållande till lagen (2017:496) om internationellt
polisiärt samarbete (1 kap. 4 § polisdatalagen). Även en sådan motsvarande bestämmelse bör finnas i den nya lagen.
7.2.2. Personuppgiftsansvar
Regeringens förslag: Polismyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.
Ekobrottsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.
Säkerhetspolisen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget men anför att det kommer att uppstå gränsdragningsproblem i den operativa verksamheten. Ekobrottsmyndigheten tillstyrker förslaget som tydliggör myndighetens personuppgiftsansvar. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Polismyndigheten är i dag enligt 2 kap. 4 § polisdatalagen personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisiär verksamhet vid Ekobrottsmyndigheten.
Att Polismyndigheten även fortsättningsvis bör vara personuppgiftsansvarig för den behandling av personuppgifter som utförs vid den egna myndigheten är självklart, liksom att Säkerhetspolisen bör vara personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen. Vem som bör vara personuppgiftsansvarig för den behandling som utförs vid Ekobrottsmyndigheten är däremot inte lika givet.
Frågan har länge varit föremål för diskussion. Ekobrottsmyndigheten har i olika lagstiftningsärenden framfört att myndigheten bör vara personuppgiftsansvarig för all den behandling av personuppgifter som utförs vid myndigheten, eftersom det inte är möjligt att dela upp personuppgiftsansvaret beroende på vem som hanterar personuppgifterna eller vilket it-system som används (se prop. 2009/10:85 s. 92 f. och prop. 2013/14:110 s. 447 f.).
Ekobrottsmyndigheten är enligt 2 kap. 3 § åklagardatalagen personuppgiftsansvarig för den personuppgiftsbehandling som utförs vid myndigheten enligt åklagardatalagen. När Ekobrottsmyndigheten inrättades var myndigheten även personuppgiftsansvarig för personuppgiftsbehandlingen i den polisverksamhet som bedrevs vid myndigheten. Myndigheten omfattades däremot inte av den tidigare gällande polisdatalagens (1998:622) tillämpningsområde, eftersom den är en åklagarmyndighet. Myndighetens personuppgiftsbehandling reglerades, förutom i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, i personuppgiftslagen. För att Ekobrottsmyndigheten skulle kunna bedriva kriminalunderrättelseverksamhet ändrades den tidigare
gällande polisdatalagen (1998:622) och gjordes från den 1 januari 2004 tillämplig på polisverksamheten i myndigheten (prop. 2002/03:144 s. 15 f.). Dåvarande Rikspolisstyrelsen blev personuppgiftsansvarig för den personuppgiftsbehandling vid Ekobrottsmyndigheten som utfördes med stöd av polisdatalagen.
Personuppgiftsansvarig definieras i 1 kap. 6 § brottsdatalagen som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Enligt förarbetena till den nu gällande polisdatalagen bör huvudregeln vara att den myndighet som utför själva behandlingen också ska ha personuppgiftsansvaret för den. Regeringen ansåg dock att någon förändring av personuppgiftsansvaret vid Ekobrottsmyndigheten inte var motiverad när polisdatalagen infördes (se prop. 2009/10:85 s. 93). Inte heller när åklagardatalagen infördes gjordes någon ändring (se prop. 2014/15:63 s. 45).
Polismyndigheten leder underrättelse- och spaningsverksamheten vid de polisoperativa enheterna vid Ekobrottsmyndigheten. Även om personuppgiftsbehandlingen utförs vid Ekobrottsmyndigheten är det Polismyndigheten som leder den verksamheten och som därigenom bestämmer ändamålen med och medlen för behandlingen. Polismyndigheten bör därför även i fortsättningen vara personuppgiftsansvarig för den personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet vid Ekobrottsmyndigheten. Däremot är det Ekobrottsmyndigheten som genomför brottsutredningarna och som därigenom bestämmer ändamålen med och medlen för behandlingen i den delen av verksamheten. Polismyndigheten har ingen praktisk möjlighet att fullgöra personuppgiftsansvaret i den verksamheten. Ekobrottsmyndigheten bör därför pekas ut som personuppgiftsansvarig för den behandling som myndigheten utför i syfte att utreda brott enligt lagen. Det är oundvikligt att, så som Datainspektionen påpekar, gränsdragningsproblem kan komma att uppstå i enskilda fall. Sådana gränsdragningsproblem förekommer även i dag, och får lösas med ledning av brottsdatalagens definition av personuppgiftsansvarig enligt 1 kap. 6 §.
7.2.3. En bestämmelse om hur lagen är uppbyggd
Regeringens förslag: Lagen ska innehålla en bestämmelse om hur den är uppbyggd.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Samtliga kapitel i polisdatalagen gäller inte för all personuppgiftsbehandling inom tillämpningsområdet.
Personuppgiftsbehandling i vissa register och i den forensiska verksamheten kommer även i den nya lagen att regleras i särskilda kapitel på grund av att bara delar av lagen ska vara tillämpliga vid den behandlingen. Vidare är det bara vissa kapitel som gäller för Ekobrottsmyndigheten och Säkerhetspolisen. Det behöver därför tydliggöras vad som gäller för dem och hur lagens kapitel förhåller sig till varandra. Bestämmelsen om lagens uppbyggnad bör således finnas även i den nya lagen.
Hänvisningar till S7-2-3
- Prop. 2017/18:269: Avsnitt 18.1
7.3. Grundläggande bestämmelser om behandling
7.3.1. Rättsliga grunder och behandling för nya ändamål
Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att Polismyndigheten, Ekobrottsmyndigheten och
Säkerhetspolisen ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 7 § polisdatalagen bör således införas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.
Polismyndigheten får i dag behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Polismyndigheten ska få fortsätta att behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Det bör i tillämpliga delar gälla även för övriga myndigheter som tillämpar polisens brottsdatalag.
Som en följd av direktivets tillämpningsområde bör lagen tillämpas på Polismyndighetens personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Upprätthållande av allmän ordning och säkerhet bör därför också anges som en tillåten rättslig grund i lagen.
Polisens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i polisens brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.
Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen
Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se avsnitt 7.2). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Polismyndighetens del nämns bl.a. 2 § polislagen, där det anges att en av Polismyndighetens huvuduppgifter är att utreda och beivra brott. Den bestämmelsen, tillsammans med den föreslagna regleringen i 2 kap. 1 § polisens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.
Behandling för nya ändamål
I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 8 § polisdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i polisens brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.
7.3.2. Behandling av biometriska och genetiska uppgifter
Regeringens förslag: Polismyndigheten och Säkerhetspolisen ska få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Regeringens bedömning: Säkerhetspolisen och Ekobrottsmyndigheten bör inte få behandla genetiska uppgifter. Polismyndigheten bör endast få behandla genetiska uppgifter i den forensiska verksamheten.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens.
Remissinstanserna: Datainspektionen tillstyrker förslaget. Polismyndigheten välkomnar att möjligheterna i respektive verksamhet inte begränsas mer än att behandling av sådana uppgifter endast får ske när det är absolut nödvändigt för ändamålet med behandlingen. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag och bedömning
Förutsättningarna för att behandla biometriska och genetiska uppgifter
Biometriska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Vanliga fotografier och filmer omfattas inte av definitionen om de inte bearbetas tekniskt på något sätt så att identifiering blir möjlig, t.ex. i ett ansiktsigenkänningsprogram (se prop. 2017/18:232 s. 85 f.).
Genetiska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår eller ett prov av personen i fråga. Det är framför allt fråga om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram vid andra analyser omfattas (se prop. 2017/18:232 s. 86 f.).
Enligt 2 kap.12 och 13 §§brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Det finns därför skäl att överväga myndigheternas behov av att behandla sådana uppgifter.
Biometriska uppgifter
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras. Fingeravtryck, ansiktsgeometri, ögats iris eller nät- eller regnbågshinna, röst, hand, blodkärl, dna eller rörelsemönster kan användas.
Fingeravtryck och dna har använts länge i den polisiära verksamheten, men den tekniska utvecklingen har förändrat förutsättningarna för att använda framför allt biometri. Det har under de senaste åren utvecklats helt nya möjligheter att använda exempelvis ansikts- och röstigenkän-
ning. Som utredningen konstaterar går utvecklingen fort och det är svårt att förutse vad som kommer att vara möjligt inom några år.
Polisen bör även i fortsättningen ha möjlighet att behandla biometriska uppgifter i brottsbekämpningen. Det är viktigt att den rättsliga regleringen inte hämmar eller hindrar utvecklingen och användningen av ny teknik. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är absolut nödvändigt för ändamålet med behandlingen. Regeringen instämmer i utredningens bedömning att det för närvarande inte finns skäl att begränsa möjligheterna att använda biometriska uppgifter ytterligare.
Polismyndigheten och Säkerhetspolisen har behov av att behandla biometriska uppgifter medan det är svårt att se att Ekobrottsmyndigheten har ett sådant behov. Det bör därför införas en bestämmelse i lagen som medger att Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Det bör anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Det kommer alltså att vara möjligt att behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag.
Genetiska uppgifter
Genetiska uppgifter behandlas vid dna-analyser för att ta fram dnaprofiler eller forensiska uppslag. Själva dna-profilen, som behandlas i Polismyndighetens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift (se prop. 2017/18:232 s. 150).
Vid sidan av den forensiska verksamheten hos Polismyndigheten har det inte framkommit något behov hos de behöriga myndigheterna att få behandla genetiska uppgifter. Någon allmän bestämmelse som medger sådan behandling bör följaktligen inte finnas i lagen.
7.3.3. Sökning på känsliga personuppgifter
Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte omfattas av de särskilda bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget men framhåller att den nya författningstekniska lösningen innebär att undantagsbestämmelser måste införas för penningtvättsregistret och det internatio-
nella registret för att sökmöjligheterna inte ska försämras i förhållande till vad som gäller i dag.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering.
Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. En utgångspunkt är att en effektiv underrättelse- och utredningsverksamhet kräver att vissa avsteg från förbudet tillåts, trots att detta i någon mån innebär en försvagning av integritetsskyddet.
Enligt 3 kap. 5 § andra stycket i polisdatalagen är det tillåtet att använda brottsrubriceringar och uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det finns även i fortsättningen behov av att kunna använda sådana uppgifter vid sökning, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.
Polisen har även behov av att kunna göra sökningar på tillvägagångssätt vid brott. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att tillvägagångssätt vid sexualbrott kan avslöja uppgifter om sexualliv eller sexuell läggning. Tillvägagångssätt vid både sexualbrott och andra brott kan avslöja skador som gärningsmannen ådragit sig, dvs. avslöja uppgifter om hälsa. Undantaget från sökförbudet bör därför omfatta tillvägagångssätt vid brott.
Även sökningar på verkställighet av påföljd kan ibland vara nödvändiga. Polisen kan exempelvis vid vissa typer av brott ha intresse av att kartlägga om personer som genomgår rättspsykiatrisk vård haft frigång eller permission. Att någon är föremål för rättspsykiatrisk vård avslöjar en uppgift om hälsa. Även information om permissioner eller vårdvistelser inom ramen för fängelsestraff, t.ex. att någon vistas på en viss typ av behandlingshem, kan avslöja uppgifter om hälsa. Undantaget från sökförbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om verkställighet av påföljd.
Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga
Det nuvarande förbudet i polisdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgif-
ter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.
De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott kan polisen ha behov av att göra sammanställningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall.
Det är framför allt i polisens underrättelseverksamhet som det finns behov av sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Bekämpningen av organiserad brottslighet kräver inte sällan kartläggning av misstänktas kontakter och vanor. Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas. Det kan t.ex. visa sig att en övervakad person regelbundet besöker en lokal där det förekommer religiösa ceremonier eller politisk eller facklig verksamhet. Ett annat exempel är att en övervakad person huvudsakligen umgås med personer som har ett visst etniskt ursprung. Polisen måste kunna göra sökningar i sådana underrättelseuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas genom sitt etniska ursprung, sin religiösa eller filosofiska övertygelse eller sina politiska åsikter. Polisen måste även kunna göra sökningar i syfte att förebygga, förhindra och upptäcka brott som riktar sig mot personer av visst etniskt ursprung eller med viss religiös övertygelse. Det finns motsvarande behov av att kunna söka på känsliga personuppgifter i utredningsverksamheten.
Behovet av att göra sammanställningar grundade på genetiska och biometriska uppgifter i den forensiska verksamheten vid Polismyndigheten behandlas senare (se avsnitt 7.8).
Behandling av biometriska uppgifter i ett ansiktsigenkänningsprogram kan inte anses motsvara en sökning i syfte att få fram ett visst urval av personer, utan måste ses som en sådan normal behandling av biometriska uppgifter som är tillåten om den är absolut nödvändig för ändamålet med behandlingen. Det finns därför inte något behov av undantag för sökningar när det gäller biometriska uppgifter utanför den forensiska verksamheten.
Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151).
Undantaget från sökförbudet i brottsdatalagen bör mot den bakgrunden utformas så att sökningar möjliggörs när det gäller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.
För närvarande gäller inte något sökförbud vid sökningar i de särskilda register som regleras i 5 kap. polisdatalagen. Polismyndigheten invänder att den föreslagna regleringen skulle medföra att möjligheterna att söka i penningtvättsregistret och det internationella registret begränsas och att undantag från sökförbudet måste införas för dessa register för att upprätthålla dagens ordning. Någon ändring i sak bör inte göras i fråga om
polisens möjligheter att söka i de aktuella registren. I förhållande till utredningens förslag bör det därför tydliggöras att sökförbudet inte gäller vid sökningar i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Av 1 kap. 7 § framgår att 3 kap. inte gäller för de register som avses i 5 kap. Personuppgifterna i dessa register har alltså inte gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Det blir därigenom tydligt att sökförbudet inte hindrar sökningar där.
7.4. Personuppgifter från transportföretag
7.4.1. Personuppgiftsbehandlingen bör regleras i polisens brottsdatalag
Regeringens förslag: Bestämmelserna om behandling av personuppgifter som tillhandahålls av transportföretag enligt polislagen ska tas in i polisens brottsdatalag. Sådana personuppgifter ska få behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Nuvarande reglering
Enligt 25 § polislagen är transportföretag skyldiga att på begäran skyndsamt lämna vissa personuppgifter till Polismyndigheten och Säkerhetspolisen. Det rör sig bl.a. om uppgifter om resenärers namn, medresenärers namn och transportmedel. Uppgifterna får endast begäras om de kan ha betydelse för myndighetens brottsbekämpande verksamhet.
Personuppgifterna får tillhandahållas genom terminalåtkomst till transportföretagens bokningssystem där polisen får läsa uppgifterna men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 26 § bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna får även lämnas på annat sätt om transportföretaget anser att det är bättre. Uppgifterna lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper.
Uppgifter om enskilda som lämnas på annat sätt än genom terminalåtkomst ska enligt 26 § tredje stycket polislagen omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Syftet med bestämmelsen är att hindra att uppgifterna sprids, eftersom det till största delen är fråga om information om enskilda personer som inte är misstänkta för brottslig verksamhet.
Personuppgiftsbehandlingen bör regleras i registerförfattningen
I polislagen regleras inte bara transportföretagens uppgiftsskyldighet, utan även på vilket sätt och hur länge polisen får behandla personuppgifterna. Tullverket har motsvarande tillgång till uppgifter från transportföretag enligt bestämmelser i lagen (1996:701) om Tullverkets befogenhe-
ter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) och tullagen (2016:253).
För polisens del finns det i dag ingen reglering av behandlingen av personuppgifter från transportföretag i polisdatalagen. Tullverkets behandling av personuppgifter från transportföretag regleras däremot både i inregränslagen och tullagen och i 2 kap.8 och 9 §§tullbrottsdatalagen.
Inom brottsdatalagens tillämpningsområde är utgångspunkten att myndigheternas personuppgiftsbehandling i så stor utsträckning som möjligt ska regleras i respektive registerförfattning. En annan ordning, med enstaka bestämmelser om personuppgiftsbehandling i andra lagar, skulle innebära att regleringen blir mer svåröverskådlig. Bestämmelserna om hur polisen får behandla personuppgifter från transportföretag bör därför föras över till polisens brottsdatalag. Transportföretagens skyldigheter bör dock fortfarande regleras i polislagen.
Hur får uppgifterna behandlas?
Enligt 26 § polislagen får transportföretagen tillhandahålla Polismyndigheten och Säkerhetspolisen passageraruppgifter genom att göra dem läsbara via terminalåtkomst. Uppgifter som hålls tillgängliga på det sättet får inte ändras eller på annat sätt bearbetas eller lagras av myndigheterna. Bestämmelsen kan uppfattas på det sättet att myndigheterna inte får hantera personuppgifterna på annat sätt än att läsa dem på en terminal. Det kan dock inte ha varit avsikten att regleringen ska tolkas så snävt, eftersom tillgången till sådana uppgifter skulle vara meningslös om uppgifter av betydelse för brottsbekämpningen inte skulle få tillföras den brottsbekämpande verksamheten. I förarbetena till Tullverkets motsvarande bestämmelse anges att uppgifterna kan behöva bevaras så länge de har betydelse för vidare åtgärder (se prop. 1995/96:166 s. 84).
Det bör förtydligas att den nu aktuella bestämmelsen endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system. Om personuppgifter i ett enskilt fall ger upphov till ett underrättelseuppslag eller behövs i en brottsutredning kan de som regel behandlas enligt de generella bestämmelserna i brottsdatalagen och polisens brottsdatalag.
Polismyndigheten har framför allt behov av att kunna behandla bokningsuppgifter för att kontrollera en viss persons resande eller vilka som vid ett visst tillfälle reser till en viss destination. Polismyndigheten kan ha behov av sådana uppgifter både i sin underrättelseverksamhet och för brottsutredning. I underrättelseverksamheten kan det t.ex. vara viktigt att kartlägga hur vissa varor förs in i landet. Vid s.k. kontrollerade leveranser av narkotika kan bokningsuppgifter vara av stor betydelse. Vidare kan det vid utredning av brott exempelvis vara av värde att kartlägga möjliga vägar att föra stöldgods ut ur landet eller att följa narkotikans väg till Sverige. Polismyndigheten bör därför i enskilda fall kunna dra nytta av uppgifter från transportföretagen både för att förebygga, förhindra eller upptäcka brottslig verksamhet och för att utreda eller lagföra brott.
I avsnitt 7.4.4 behandlas frågan om det i lagen bör finnas en särskild bestämmelse om att personuppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för brottsbekämpningen.
Lagen om flygpassageraruppgifter i brottsbekämpningen
Regeringen har nyligen beslutat en proposition med förslag till lag om flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller bestämmelser om personuppgiftsbehandling i enlighet med kraven i PNR-direktivet (se prop. 2017:18/234). Där regleras skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till särskilda enheter för passagerarinformation i medlemsstaterna, för vilka ändamål personuppgifterna får behandlas, hur länge de får lagras och under vilka förutsättningar de får lämnas ut. Den nya lagen kommer att ha företräde framför bestämmelserna i polisdatalagen och polislagen.
7.4.2. Begränsningar i möjligheterna att behandla personuppgifter
Regeringens förslag: Personuppgifter som transportföretag tillhandahåller ska endast i enskilda fall få behandlas för nya ändamål enligt brottsdatalagen.
Regeringens bedömning: Det bör inte införas någon begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag.
Utredningens förslag och bedömning överensstämmer delvis med regeringens förslag. Utredningen föreslår en begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag.
Remissinstanserna: Polismyndigheten motsätter sig att en begränsning av myndighetens möjligheter att behandla uppgifter införs utan att konsekvenserna för polisens verksamhet och förmåga har analyserats grundligt. Hovrätten för Västra Sverige har inte något att erinra mot förslaget att inskränka polisens möjligheter att behandla personuppgifter, under förutsättning att det grundar sig på upplysningar från polisen.
Datainspektionen ställer sig positiv till förslaget till begränsning av
Polismyndighetens möjligheter att söka i uppgifter från transportföretag. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag och bedömning
Det bör inte regleras vilka sökbegrepp som får användas
I dag gäller inga begränsningar i polisens möjligheter att söka i uppgifter från transportföretag. Det gör det däremot om motsvarande uppgifter lämnas till Tullverket. Enligt 2 kap. 9 § tullbrottsdatalagen får vid sökning i uppgifter från transportföretag direkta personuppgifter som namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller viss brottslig verksamhet eller som övervakas på visst sätt.
I förarbetena till bestämmelserna om hur Tullverket får behandla uppgifter från transportföretag konstateras att sökning på resenärers namn i uppgifter från transportföretag är förenade med särskilda integritetsrisker mot bakgrund av dels att transportföretagen är skyldiga att lämna ut uppgifterna, dels att de flesta uppgifterna avser personer som inte kan misstänkas för någon brottslighet (se prop. 1995/96:166 s. 79 f.). Även om
det vore effektivt för brottsbekämpningen om Tullverket kunde samköra uppgifter som kommit in från transportföretag med andra uppgifter från den brottsbekämpande verksamheten och på så sätt få fram vilka som redan övervakas eller kan misstänkas ha samband med brottslig verksamhet, slås det fast i förarbetena till tullbrottsdatalagen att det inte bör tillåtas. Det anses vara tillräckligt att Tullverket har möjlighet att söka efter personer som redan är eller har varit misstänkta för brott eller kan antas ha samband med brottslig verksamhet eller personer som är föremål för viss övervakning (se prop. 2016/17:91 s. 107 f.).
Det gäller alltså olika regler för samma typ av personuppgifter beroende på vilken myndighet som tar emot dem, vilket utredningen menar är otillfredsställande ur integritetssynpunkt. Utredningen föreslår därför att en sökbegränsning ska gälla även för Polismyndighetens del. Datainspektionen ställer sig positiv till förslaget. Polismyndigheten anser dock att myndigheten bör ha vidare möjligheter att behandla personuppgifter från transportföretag än vad Tullverket har, eftersom polisens uppdrag och behov i väsentliga delar skiljer sig från Tullverkets (se prop. 1995/96:166 s. 78). Polismyndigheten framhåller att utredningens förslag innebär att möjligheterna att bekämpa den organiserade gränsöverskridande tillgreppsbrottsligheten minskar och att förslaget riskerar att försämra det internationella polissamarbetet. Hovrätten för Västra Sverige tillstyrker endast förslaget om det grundar sig på uppgifter från Polismyndigheten.
Tullverket och Polismyndigheten har olika ansvarsområden vid brottsbekämpningen, vilket kan motivera att reglerna för myndigheternas personuppgiftsbehandling i viss mån skiljer sig åt. Den sökbegränsning som nu föreslås för Polismyndighetens del kan riskera att försämra myndighetens möjligheter att bekämpa den organiserade gränsöverskridande brottsligheten. Trots att förslaget skulle innebära en viss förstärkning av integritetsskyddet, anser regeringen därför att en sökbegränsning motsvarande den som gäller för Tullverket inte bör genomföras för Polismyndighetens del.
Behandling för nya ändamål
I dag finns det inga bestämmelser om vidarebehandling av personuppgifter som transportföretag tillhandahåller. Det gör det däremot om motsvarande uppgifter lämnas till Tullverket. Enligt 2 kap. 8 § tullbrottsdatalagen får Tullverket endast om det behövs i ett enskilt fall behandla personuppgifter från transportföretag för något annat primärt ändamål. Det innebär att uppgifterna exempelvis får användas för att utreda brott.
Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. Innan personuppgifter får behandlas för ett nytt ändamål inom lagens område ska det säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska göras innan personuppgifter som behandlas med stöd av brottsdatalagen får behandlas för ett ändamål utanför lagens tillämpningsområde.
Riksdagen har nyligen ställt sig bakom att Tullverket ska få behandla personuppgifter av nu aktuellt slag för nya ändamål endast om det be-
hövs i enskilda fall (se prop. 2016/17:91 s. 107). Mot den bakgrunden bör polisens rätt att behandla personuppgifter som tillhandahålls av transportföretag för nya ändamål begränsas på motsvarande sätt. Behandling för nya ändamål bör därför vara tillåten endast i enskilda fall, t.ex. när ett brott upptäcks och personuppgifterna behövs för att utreda brottet.
Hänvisningar till S7-4-2
- Prop. 2017/18:269: Avsnitt 18.1
7.4.3. Uppgifter från transportföretag får göras gemensamt tillgängliga
Regeringens bedömning: Personuppgifter från transportföretag får göras gemensamt tillgängliga. Det kräver ingen särskild reglering.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Uppgifterna från transportföretagen är till allra största delen information om personer som inte är intressanta ur ett brottsbekämpningsperspektiv. Som utredningen konstaterat är utgångspunkten därför att uppgifterna ska ges så liten spridning som möjligt.
När bestämmelserna om Tullverkets tillgång till uppgifter från transportföretag infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur uppgifterna fick användas (se prop. 1995/96:166 s. 83 f.). Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgängliga i enskilda fall. Om uppgifterna, t.ex. efter en kontroll, visar sig vara nödvändiga för att utreda brott eller ha samband med allvarlig misstänkt brottslig verksamhet får de dock behandlas inom ramen för den utredningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107).
Även polisen bör få göra nu aktuella personuppgifter gemensamt tillgängliga. Det kan dock inte bli fråga om att göra större mängder information gemensamt tillgänglig, eftersom den till största delen rör personer som inte är intressanta för brottsbekämpningen. I stället kommer det att vara uppgifter om någon eller några personer eller transporter som är av betydelse i underrättelseverksamheten eller i en brottsutredning som görs gemensamt tillgängliga. Vilka uppgifter som får göras gemensamt tillgängliga framgår av 3 kap. 2 § första stycket polisdatalagen. Enligt punkten 1 får uppgifter som kan antas ha samband med viss misstänkt brottslig verksamhet göras gemensamt tillgängliga. Detsamma gäller enligt punkten 3 uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. Någon särskild reglering behövs därför inte.
7.4.4. Hur länge personuppgifterna får behandlas
Regeringens bedömning: Det ska inte finnas någon särskild bestämmelse om att uppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Enligt 26 § tredje stycket polislagen ska uppgifter om enskilda personer som ett transportföretag lämnat på annat sätt än genom terminalåtkomst omedelbart förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott.
Polismyndigheten har inte samma behov som Tullverket att i sin brottsbekämpande verksamhet fortlöpande ta del av alla uppgifter från transportföretag inför att transporterna ankommer. Behovet av uppgifter är mera relaterat till att i vissa fall kunna kontrollera vilka som förväntas komma med en viss transport eller att i efterhand kunna granska vilka personer som åkt med en viss transport. Mot den bakgrunden finns det inte samma behov av en särregel om förstörande. Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen. Den bestämmelsen ger tillräckligt skydd för uppgifterna. Det finns därför inte något behov av att införa en bestämmelse motsvarande 26 § tredje stycket polislagen när regleringen flyttas till polisens brottsdatalag.
Hänvisningar till S7-4-4
- Prop. 2017/18:269: Avsnitt 7.4.1
7.5. Gemensamt tillgängliga uppgifter
7.5.1. Nya kategorier av personuppgifter får göras gemensamt tillgängliga
Regeringens förslag: Personuppgifter som förekommer i ärenden om kontaktförbud eller om personskydd ska få göras gemensamt tillgängliga. Uppgifterna ska inte få behandlas längre än ett år efter det att ärendet som de behandlades i avslutades.
Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet ska också få göras gemensamt tillgängliga. De ska inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Personuppgifter i ärenden om kontaktförbud eller personskydd
I 3 kap. 2 § första stycket polisdatalagen anges vilka personuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller sker systematiskt.
Om någon utsätts för hot eller våld är det viktigt att polisen så snabbt som möjligt får kännedom om huruvida han eller hon tidigare har varit utsatt för brott eller är föremål för skyddsåtgärder av något slag. Det finns då bättre förutsättningar att snabbt hitta gärningsmannen. När det gäller personer som skyddas av exempelvis kontaktförbud eller personsäkerhetsåtgärder är det dock inte alltid som personuppgifterna kan knytas till misstanke om brottslig verksamhet eller en utredning om brott så att uppgifterna av det skälet får göras gemensamt tillgängliga. Det finns
därför behov av att kunna göra uppgifter om personer med någon form av skyddsbehov gemensamt tillgängliga. Det kan vara personer som skyddas av ett kontaktförbud, är föremål för vittnesskydd eller annat personsäkerhetsarbete.
Det är dock inte bara uppgifter om den person som har ett sådant skyddsbehov som bör få göras gemensamt tillgängliga. Det bör även gälla uppgifter om närstående till sådana personer, eftersom hot eller våld kan riktas mot dem för att komma åt den person som har det egentliga skyddsbehovet. Bestämmelsen bör lämpligen formuleras så att personuppgifter som förekommer i ärenden om kontaktförbud eller om personskydd får göras gemensamt tillgängliga. Med hänsyn till att personuppgifterna förekommer i ärenden bör de inte få behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet
Lagen ska tillämpas även på Polismyndighetens personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning, vilket beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan också ofta övergå i brottsbekämpning (se prop. 2009/10:85 s. 75). Inför kommenderingar vid särskilda händelser där ordningsstörningar befaras, t.ex. en fotbollsmatch eller en demonstration, kan det finnas behov av att göra uppgifter om tillträdesförbud eller uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Även om sådana uppgifter i vissa fall skulle kunna göras gemensamt tillgängliga med stöd av befintlig reglering är det inte givet att så alltid är fallet. Det bör därför införas en bestämmelse om att personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga.
Personuppgifter som görs gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet bör inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
7.5.2. Sökning i gemensamt tillgängliga uppgifter
Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller idag ska tas in i polisens brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Vid sådan sökning ska uppgifter om personer som berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende få tas fram.
Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter inom underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till,
3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller
4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.
Det ska också göras undantag för sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem, eftersom en sådan förändring riskerar att öppna för sökningar i vidare omfattning än idag. Polismyndigheten tillstyrker de förändringar och förtydliganden som föreslås när det gäller sökning i gemensamt tillgängliga uppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Begränsning endast i automatiserade behandlingssystem
Från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Ett av syftena med polisdatalagen är att polisen på ett bättre sätt ska kunna dra nytta av redan insamlad information. Lagen ger utrymme för att samla in och behandla en mängd olika personuppgifter, vilket gör att det kan finnas uppgifter om samma person i olika system och uppgiftssamlingar. De möjligheter till behandling som lagen ger och mängden information skulle – om det inte fanns några begränsningar – skapa utrymme för kvalificerade kartläggningar av enskildas personliga förhållanden (se prop. 2009/10:85 s. 153). För att värna den personliga integriteten har det därför i polisdatalagen införts särskilda begränsningar vid sökning i gemensamt tillgängliga uppgifter.
Eftersom sökning med hjälp av personnummer är ett viktigt inslag i polisens verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § polisdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsuppgifter. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2009/10:85 s. 159 f.). Syftet med begränsningsregeln är att det vid
en initial allmän sökning bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara polisiärt intressanta. Om det finns förutsättningar för att gå vidare och söka efter andra uppgifter beror på syftet med sökningen i det enskilda fallet och vilken behörighet den som söker informationen har tilldelats. Bestämmelsen ska alltså inte förstås så att den hindrar vidare sökning för den som har behov av det för att fullgöra sina arbetsuppgifter och som har tilldelats den behörighet som fortsatt sökning kräver.
Begränsningen gäller bara för uppgifter som behandlas med stöd av polisdatalagen. Den hindrar inte att det vid sökning även tas fram andra uppgifter som polisen har tillgång till, exempelvis genom direktåtkomst till folkbokföringen eller körkorts-, fordons- eller fastighetsregister. Vilken sökning som är tillåten i andra register regleras i de författningar som gäller för dem.
Som utredningen konstaterar är regleringen inte tänkt att träffa alla uppgifter som görs gemensamt tillgängliga. Eftersom det är möjligt att göra en fritextsökning i stora mängder information i vanliga ordbehandlingsprogram, skulle det vara orimligt att ställa krav på att all information i textdokument kategoriseras och görs sökbar respektive icke sökbar beroende på vad uppgiften gäller, enbart för att uppfylla kraven på att begränsa resultatet vid sökning. För att tydliggöra att bestämmelsen inte är avsedd att träffa sådana sökningar bör begränsningen enbart gälla i automatiserade behandlingssystem. Därmed omfattas inte sökningar i standardprogram som Word, Outlook och Excel (se prop. 2017/18:232 s. 177 f.). Datainspektionen invänder att en sådan förändring riskerar att öppna för myndigheterna att söka i vidare omfattning än i dag och anser att argumenten för förändringen inte är tillräckligt starka. Regeringen har dock svårt att se att en annan ordning är praktiskt genomförbar och anser därför, trots Datainspektionens invändning, att begränsningarna vid sökning på uppgifter i gemensamt tillgängliga uppgifter bara bör gälla i automatiserade behandlingssystem. Det innebär dock inte att det saknas integritetsskyddande regler för personuppgiftsbehandling som inte sker i automatiserade behandlingssystem. De grundläggande kraven på personuppgiftsbehandling i brottsdatalagen och polisens brottsdatalag gäller givetvis även sådan behandling, vilket innebär att en sökning bara får göras om det är nödvändigt för att utföra en uppgift enligt 2 kap. 1 § polisens brottsdatalag.
Bör ytterligare uppgifter få tas fram vid sökning?
Övergångsbestämmelserna till polisdatalagen innebär att bestämmelserna i 3 kap. 6 och 7 §§ ännu inte har börjat tillämpas. Det saknas därför erfarenheter av hur begränsningarna kommer att fungera i praktiken. Det kan också noteras att regeringen enligt 3 kap. 7 § fjärde stycket har möjlighet att göra ytterligare undantag från bestämmelserna i 3 kap. 6 §.
Mot bakgrund av de noggranna överväganden som gjordes när reglerna infördes finns det nu främst anledning att överväga om den nya lagens delvis ändrade tillämpningsområde i förhållande till polisdatalagen bör föranleda någon ändring. För Polismyndighetens del omfattar lagen även behandling av personuppgifter för att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om
att någon har straffats för eller är misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett polisingripande med grovt våld. Något som i vissa sammanhang kan vara av intresse är uppgift om att någon har meddelats tillträdesförbud enligt lagen om tillträdesförbud vid idrottsarrangemang. Uppgifter om att någon har meddelats tillträdesförbud registreras i belastningsregistret och är på det sättet tillgängliga.
Personuppgifter i ärenden om kontaktförbud eller om personskydd ska nu få göras gemensamt tillgängliga, se avsnitt 7.5.1. För att den bestämmelsen ska få avsedd effekt, bör det vid sökning i gemensamt tillgängliga uppgifter få tas fram uppgifter som visar att den sökta personen berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende. Genom användningen av ordet berörs täcks även närstående. Det kan vara svårt att avgöra vilka uppgifter om en sådan person som bör göras sökbara, eftersom personen i fråga kan ha skyddade adressuppgifter eller annat skydd. Som regel torde det räcka att uppgifter om att personen har särskilt skyddsbehov görs sökbara.
I övrigt finns det inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning.
Behövs det fler eller andra undantag från begränsningsregeln?
Enligt 3 kap. 7 § första stycket 2 gäller inte bestämmelserna i 3 kap. 6 § vid sökningar i uppgiftssamlingar som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har tillgång till. Detta undantag skulle kunna leda till att särskilda uppgiftssamlingar skapas enbart för att kringgå bestämmelsen i 6 §. Bestämmelsen bör därför ändras när den införs i den nya lagen.
Regeringen instämmer i utredningens bedömning att ändringen bör göras på det sättet att undantaget knyts till att uppgifter behandlas i underrättelseverksamhet i syfte att bearbeta och analysera information som dels har gjorts gemensamt tillgänglig enligt 3 kap. 2 § första stycket 1 eller 2, dels endast särskilt angivna tjänstemän har tillgång till. En sådan ändring täcker både nuvarande 3 kap. 7 § första stycket punkten 2 och andra stycket punkten 1. Den nya bestämmelsen ger ökade möjligheter till sökning, men begränsar samtidigt sökmöjligheterna på det sättet att endast särskilt angivna tjänstemän får utföra sådana sökningar. Regeringen anser i likhet med utredningen att en sådan reglering innebär en rimlig avvägning mellan brottsbekämpningens behov och skyddet för personlig integritet.
Mot bakgrund av ökande problem med organiserad brottslighet i form av bl.a. kringresande ligor och annan seriebrottslighet kan det också finnas skäl att göra undantag vid sökning som utförs som ett led i att utreda brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer, om sökningen görs av särskilt utpekade tjänstemän som sysslar med brottssamordning.
Den polispersonal som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Polismyndighetens ledningscentraler med sökning i syfte att klarlägga t.ex. en gripen eller omhändertagen persons
identitet. Det kan också finnas behov av att ta fram uppgifter om minderårigas adress och vårdnadshavare eller att söka efter anhöriga till någon som har skadats i samband med ett brott. Vid sökningar av det slaget kan det vara nödvändigt att ta fram andra typer av information, samtidigt som den ingripande polismannen inte alltid har tillgång till nödvändiga sökmöjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sökning som görs i Polismyndighetens ledningscentraler på begäran av en polisman i yttre tjänst.
I 6 § polisdataförordningen görs undantag från 3 kap. 6 § första stycket polisdatalagen för sökningar som görs av särskilt angivna tjänstemän för att utföra beredningsuppgifter inom underrättelseverksamhet. Syftet med bestämmelsen är att möjliggöra att fler uppgifter kan tas fram i det inledande skedet av underrättelsearbete. Bestämmelsen bör i likhet med övriga undantag från begränsningsregeln finnas i lag. Det bör också tydliggöras att undantaget endast avser sökningar i ett inledande skede.
7.6. Längsta tid för behandling av uppgifter i viss underrättelseverksamhet
Regeringens förslag: Personuppgifter som kan antas ha samband med viss brottslig verksamhet ska, om de behandlas i ett ärende, inte få behandlas längre än ett år efter det att ärendet avslutades.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Skälen för regeringens förslag: I 3 kap. 14 § andra stycket polisdatalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas.
I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när den senaste registreringen avseende en viss person gjordes. I t.ex. samarbetet mot grov organiserad brottslighet görs vissa personuppgifter gemensamt tillgängliga i underrättelseverksamheten för att andra myndigheter ska kunna ta del av dem, trots att de endast behandlas av ett fåtal personer vid Polismyndigheten. Sådan information behandlas då i särskilda ärenden. Detsamma kan vara fallet i anslutning till en särskild händelse eller om myndigheterna får i uppdrag att samarbeta på visst sätt inom underrättelseverksamheten. När personuppgifter behandlas i ärenden i underrättelseverksamhet bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestämmelse med den innebörden bör därför införas.
7.7. Personuppgiftsbehandling i särskilda register
7.7.1. Dna-register
Regeringens förslag: Det ska i lagen anges för vilka syften Polismyndigheten får föra dna-register.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 4 kap. 1 § första stycket polisdatalagen får Polismyndigheten i den brottsbekämpande verksamheten föra register över dna-profiler. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att dnaregistren får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 351). Registren får även föras för att underlätta identifiering av avlidna personer.
På samma sätt som när det gäller bestämmelserna om tillämpningsområde och tillåtna rättsliga grunder för behandling bör regleringen av dna-registren inte längre utgå från i vilken verksamhet personuppgiftsbehandlingen utförs, utan från syftet med behandlingen. Det blir tydligare att räkna upp för vilka syften registren får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Dnaregistren bör på samma sätt som i dag få föras i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och underlätta identifiering av avlidna personer.
Hänvisningar till S7-7-1
- Prop. 2017/18:269: Avsnitt 18.1
7.7.2. Fingeravtrycks- och signalementsregister
Regeringens förslag: Det ska i lagen anges för vilka syften Polismyndigheten får föra fingeravtrycks- och signalementsregister.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 4 kap. 11 § polisdatalagen får
Polismyndigheten föra fingeravtrycks- och signalementsregister. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att fingeravtrycks- och signalementsregister får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 355). Registren får även föras för att underlätta identifiering av okända personer.
På samma sätt som när det gäller dna-registren bör det genom en uppräkning tydliggöras för vilka syften fingeravtrycks- och signalementsregister får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Fingeravtrycks- och signalementsregister bör på samma sätt som i dag få föras i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och underlätta identifiering av okända personer.
Registren bör även i likhet med i dag få föras för att kontrollera fingeravtryck som Migrationsverket tagit enligt 9 kap. 8 § utlänningslagen, vilket motsvarar regleringen i 2 kap. 8 § första stycket 6 polisdatalagen.
Hänvisningar till S7-7-2
- Prop. 2017/18:269: Avsnitt 18.1
7.8. Personuppgiftsbehandling för forensiska ändamål
Hänvisningar till S7-8
- Prop. 2017/18:269: Avsnitt 7.3.3
7.8.1. Vad är forensiska ändamål?
Personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål regleras i 5 kap. polisdatalagen. Forensik är ett sammanfattande begrepp för utveckling och tillämpning av metoder från olika vetenskapliga ämnesområden – t.ex. biologi, kemi eller teknologi – på frågeställningar om framför allt olika typer av fysiska spår som undersöks i anledning av misstanke om brott. Särskilda krav ställs på oberoende och vetenskaplig grund. Det är alltså bara de åtgärder som vilar på denna forensiska grund som kan sägas vara forensiska åtgärder. I kravet på oberoende ligger också att forensiska undersökningar, analyser och jämförelser hanteras helt separat från annat utredningsarbete under en förundersökning. Vad som görs och hur det dokumenteras är enbart beroende av vilket behov som finns i det enskilda ärendet av att forensiskt undersöka och analysera visst material. För frågan om ett visst föremål eller material hanteras för forensiska ändamål eller inte saknar det betydelse om det har tagits i beslag. Att en undersökning äger rum inom ramen för en förundersökning är inte heller avgörande för frågan om bevismaterial hanteras för forensiska ändamål eller inte. Gränsdragningen mellan forensiska ändamål och brottsbekämpande ändamål diskuteras utförligt i förarbetena till 5 kap. (se Den nya polisorganisationen – några frågor om personuppgiftsbehandling m.m., prop. 2014/15:94 s. 56 f.).
Behandling för forensiska ändamål vid Polismyndigheten utförs huvudsakligen av Nationellt forensiskt centrum, men även andra enheter inom myndigheten utför viss sådan behandling. Den behandling för forensiska ändamål som Nationellt forensiskt centrum utför åt den egna myndigheten och åt andra behöriga myndigheter omfattas av brottsdatalagens tillämpningsområde. Det gäller även motsvarande behandling för forensiska ändamål av personuppgifter vid en annan enhet inom Polismyndigheten.
I förarbetena till 5 kap. anges att syftet med regleringen är att skapa en sammanhållen reglering av den forensiska processen inom Polismyndigheten (se prop. 2014/15:94 s. 56). De särskilda reglerna för personuppgiftsbehandling för forensiska ändamål är således inte tillämpliga i Ekobrottsmyndighetens och Säkerhetspolisens verksamhet.
7.8.2. Regleringen av forensiska ändamål behålls
Regeringens förslag: Bestämmelser om för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten ska införas i den nya lagen.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 5 kap.1–3 §§polisdatalagen anges för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten vid Polismyndigheten. Ändamålen delas upp i primära och sekundära på samma sätt som i 2 kap.7 och 8 §§polisdatalagen. De primära ändamålen anger den behandling som utförs för forensiska ändamål vid Polismyndigheten, medan de sekundära ändamålen anger när uppgifter som behandlas för forensiska ändamål får användas i andra delar av myndighetens verksamhet eller lämnas ut till andra myndigheter eller organisationer för deras behov.
I propositionen Brottsdatalag konstateras att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman, se prop. 2017/18:232 s. 114 f. En ändamålsbestämmelse bör ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behandlingen. Regeringen anser därför att 2 kap. 7 § polisdatalagen inte är en ändamålsbestämmelse i egentlig mening utan att den är en del av den rättsliga grunden som anger ramen för när personuppgifter får behandlas (se avsnitt 6.2). Bestämmelserna i 5 kap.1 och 2 §§polisdatalagen om för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten är betydligt mer konkreta och ger tydlig ledning för vilka personuppgifter som är adekvata och relevanta för behandlingen. De behöver därför inte anpassas till regleringen i brottsdatalagen utan bör föras över oförändrade till den nya lagen.
Hänvisningar till S7-8-2
7.8.3. Behandling för nya ändamål
Regeringens förslag: Personuppgifter som behandlas för vissa forensiska ändamål ska få behandlas för nya ändamål inom brottsdatalagens tillämpningsområde. Samtliga personuppgifter som behandlas för forensiska ändamål ska i ett enskilt fall få behandlas för nya ändamål enligt de förutsättningar som gäller enligt brottsdatalagen.
Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Kan den nuvarande regleringen av utlämnande behållas?
Den sekundära ändamålsbestämmelsen i 5 kap. 3 § polisdatalagen reglerar i vilken utsträckning personuppgifter som behandlas för något primärt forensiskt ändamål även får behandlas för att lämnas ut till andra för att tillgodose deras behov. Den reglerar alltså behandling för nya ändamål.
Enligt paragrafen får personuppgifter som behandlas för vissa av de primära ändamålen även behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket. I ett enskilt fall får personuppgifter som behandlas för forensiska ändamål även behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Innan personuppgifter behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Det innebär att en prövning alltid måste göras innan personuppgifter behandlas för nya ändamål, oavsett om det är för forensiska ändamål eller för andra ändamål inom brottsdatalagens tillämpningsområde. Om den sekundära ändamålsbestämmelsen skulle föras över oförändrad till den nya lagen får prövningen enligt brottsdatalagen inte fullt genomslag eftersom brottsdatalagen är subsidiär i förhållande till polisens brottsdatalag. En sådan prövning krävs enligt artikel 4.2 i direktivet. Det är således knappast förenligt med direktivet att föra över den sekundära ändamålsbestämmelsen med den utformning den har i dag till den nya lagen.
Bör möjligheterna att lämna ut personuppgifter begränsas på annat sätt?
I dag är det som huvudregel bara personuppgifter som behandlas för vissa forensiska ändamål som får lämnas till de brottsbekämpande myndigheterna. Bakgrunden till detta är att resultat som härrör från t.ex. internationella uppdrag normalt sett inte bör spridas till någon annan än uppdragsgivaren (se vidare prop. 2014/15:94 s. 67). Motsvarande begränsningar bör gälla även i fortsättningen men bestämmelsen måste formuleras om och anpassas till regleringen i direktivet och brottsdatalagen. Någon ändring i fråga om möjligheterna att lämna personuppgifter till de brottsbekämpande myndigheterna är inte avsedd.
I dag får också personuppgifter som behandlas för något forensiskt ändamål i ett enskilt fall behandlas för andra ändamål, om det inte är oförenligt med insamlingsändamålet. Det kan avse ändamål både inom och utanför brottsdatalagens tillämpningsområde. Med hänsyn till innehållet i direktivet och brottsdatalagen kan den nuvarande bestämmelsen inte föras över oförändrad till den nya lagen. I stället för en prövning av förenligheten med insamlingsändamålet ska en prövning av nödvändighet och proportionalitet göras enligt 2 kap. 4 eller 22 § brottsdatalagen. Begränsningen till ett enskilt fall bör dock behållas. En sådan prövning innefattar en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet även när det gäller personuppgifter som behandlas för forensiska ändamål.
Hänvisningar till S7-8-3
- Prop. 2017/18:269: Avsnitt 18.1
7.8.4. Behandling av känsliga personuppgifter
Regeringens förslag: Biometriska uppgifter och genetiska uppgifter ska få behandlas för forensiska ändamål enligt de förutsättningar som anges i brottsdatalagen.
Sökförbudet i brottsdatalagen ska inte hindra sökningar i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, som syftar till att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Behandling av biometriska och genetiska uppgifter
Enligt 2 kap.12 och 13 §§brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Behandling av sådana uppgifter är en viktig del i den forensiska verksamheten, inte minst vid dna-analyser och behandling av personuppgifter i dna-registren och fingeravtrycks- och signalementsregistren. Den tekniska utvecklingen ger också nya möjligheter att använda framför allt biometri. Det kommer därför sannolikt att finnas ett ökande behov av att kunna behandla biometriska uppgifter för forensiska ändamål. Det bör därför föreskrivas att biometriska och genetiska uppgifter får behandlas för sådana ändamål.
Med hänsyn till att sådana uppgifter enligt brottsdatalagen endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen finns det för närvarande inte skäl att begränsa möjligheterna att behandla biometriska och genetiska uppgifter ytterligare.
Undantag från sökförbudet i brottsdatalagen
Sökförbudet i 2 kap. 14 § brottsdatalagen utgår till skillnad från dagens reglering från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen.
Det är Nationellt forensiskt centrum vid Polismyndigheten som administrerar dna-registren och fingeravtrycks- och signalementsregister. Vid sökning i registren används dna-profiler respektive fingeravtryck, vilka är biometriska uppgifter. En sökning på fingeravtryck resulterar alltid i en träfflista som visar ett urval av personer grundat på biometriska uppgifter. Det bör dock vara tillåtet att göra sådana sökningar i den forensiska verksamheten. Information i forensiska databaser kan också användas för att ge övriga delar av Polismyndigheten spaningsuppslag, s.k. forensiska uppslag. Tanken med det är att de iakttagelser som görs vid forensiska undersökningar i olika ärenden ska kunna komma till nytta i polisverksamheten som helhet eller i annan brottsbekämpande verksam-
het (se prop. 2014/15:94 s. 62 f.). Det går exempelvis att genomföra s.k. familjesökning, vilket innebär att man jämför dna-profiler för att finna släktingar till en viss person, exempelvis en oidentifierad misstänkt. Familjesökning baserar sig på att nära släktingar till viss del har överensstämmande arvsmassa. Sådana sökningar kan resultera i ett urval av personer grundat på biometriska uppgifter. Det finns mot den bakgrunden skäl att göra undantag från sökförbudet när det gäller behandling av biometriska uppgifter i den forensiska verksamheten.
Möjligheterna att ta fram information ur dna-prover utvecklas ständigt och det är redan i dag möjligt att få fram olika personliga egenskaper som ögonfärg, ärftliga sjukdomar eller en persons biogenetiska ursprung. Det bör vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på genetiska uppgifter eller uppgifter som rör hälsa i den forensiska verksamheten.
Hänvisningar till S7-8-4
- Prop. 2017/18:269: Avsnitt 18.1
8. Tullverkets brottsdatalag
8.1. Behovet av anpassning till brottsdatalagen
8.1.1. Nuvarande reglering
Tullbrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa bestämmelser behöver dock inte tillämpas förrän den 1 januari 2019.
Vid myndighetens personuppgiftsbehandling i annan verksamhet gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.
Innehållet i tullbrottsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för tullbrottsdatalagen behandlas däremot i detta avsnitt.
Hänvisningar till S8-1-1
8.1.2. Lagens namn
Regeringens förslag: Den nya lagen ska benämnas lag om
Tullverkets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till tullbrottsdatalagen i andra författningar ska ändras till lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Utredningen föreslår att lagen ska benämnas Tullverkets brottsdatalag.
Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till
brottsdatalagen. Utredningen föreslår att lagen ska benämnas Tullverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Tullverkets brottsdatalag.
Alla hänvisningar till tullbrottsdatalagen i andra författningar ska ändras till lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Hänvisningar till S8-1-2
- Prop. 2017/18:269: Avsnitt 18.13, 3, Författningskommentar till 1 § lagen (2017:496) om internationellt polisiärt samarbete
8.2. Tillämpningsområdet
Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som regeringen har meddelat i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i Tullverkets brottsdatalag.
Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Utredningen lämnar inga förslag avseende lagen om flygpassageraruppgifter i brottsbekämpningen. Förslaget är också något annorlunda utformat.
Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag:Tullbrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när
Tullverket agerar i egenskap av behörig myndighet.
För att tillämpningsområdet för Tullverkets brottsdatalag ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Tullverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.
Lagen om flygpassageraruppgifter i brottsbekämpningen
Som redovisas i avsnitt 7.4.1 har regeringen lämnat förslag till en ny lag om flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller bestämmelser om personuppgiftsbehandling för uppgifter som samlas in från flygbolag för vissa ändamål. Den nya lagen kommer att ha företräde framför inregränslagen, tullagen och tullbrottsdatalagen. I det lagstiftningsärendet föreslås 2 kap. 8 § tullbrottsdatalagen om uppgifter från transportföretag få ett tillägg som innebär att om lagen om flygpassageraruppgifter i brottsbekämpningen och föreskrifter som regeringen har meddelat i anslutning till den lagen innehåller avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i tullbrottsdatalagen. En motsvarande bestämmelse bör införas i Tullverkets brottsdatalag och placeras i den inledande bestämmelsen i 1 kap. 2 §. Tullbrottsdatalagen är sedan tidigare subsidiär även i förhållande till lagen om internationellt polisiärt samarbete (1 kap. 3 § tullbrottsdatalagen). Även en sådan motsvarande bestämmelse bör finnas i den nya lagen.
8.3. Grundläggande bestämmelser om behandling
8.3.1. Rättsliga grunder och behandling för nya ändamål
Regeringens förslag: Tullverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 5 § tullbrottsdatalagen bör således införas, men det bör framgå att
det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Tullverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.
Tullverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Tullverket bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.
Tullverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Tullverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.
Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen
Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Tullverkets del kan t.ex. 3 § förordningen (2016:1332) med instruktion för Tullverket nämnas, där det framgår att Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Sådana bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Tullverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.
Behandling för nya ändamål
I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § tullbrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i Tullverkets brottsdatalag som tydliggör att för-
utsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.
Hänvisningar till S8-3-1
- Prop. 2017/18:269: Avsnitt 18.2
8.3.2. Behandling av biometriska och genetiska uppgifter
Regeringens förslag: Tullverket ska få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Regeringens bedömning: Tullverket bör inte få behandla genetiska uppgifter.
Utredningens förslag och bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget eller bedömningen.
Skälen för regeringens förslag och bedömning: I avsnitt 7.3.2 anges vad som avses med biometriska och genetiska uppgifter och vilken betydelse sådana uppgifter har vid brottsbekämpning. Tullverket bör på samma sätt som polisen ha möjlighet att använda biometriska uppgifter i brottsbekämpningen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Regeringen bedömer i likhet med utredningen att det för närvarande inte finns skäl att begränsa möjligheterna att använda biometriska uppgifter ytterligare. Det bör därför införas en bestämmelse i Tullverkets brottsdatalag som medger behandling av biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Det har inte framkommit att Tullverket har behov av att behandla genetiska uppgifter. I likhet med utredningen anser regeringen därför att myndigheten inte bör få behandla sådana uppgifter. Någon bestämmelse som medger sådan behandling bör därför inte finnas i lagen.
Hänvisningar till S8-3-2
- Prop. 2017/18:269: Avsnitt 18.2
8.3.3. Sökning på känsliga personuppgifter
Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering.
Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket tullbrottsdatalagen är det tillåtet att använda uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. På samma sätt som Polismyndigheten har Tullverket även i fortsättningen behov av att kunna använda sådana uppgifter som sökbegrepp, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter (se avsnitt 7.3.3). Det bör därför göras undantag från brottsdatalagens sökförbud i Tullverkets brottsdatalag. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.
Tullverket har i likhet med Polismyndigheten behov av att kunna göra sökningar på tillvägagångssätt vid brott och brottsrubriceringar. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller politiska åsikter. Ett annat exempel är att Tullverket vid kontroll av förbudet mot införsel och utförsel av barnpornografi kan behöva söka på brottsrubriceringar som kan avslöja en persons sexualliv eller sexuella läggning. Undantaget från sökförbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om tillvägagångssätt vid brott och brottsrubriceringar.
I samband med att beslag hävs behöver Tullverket få kännedom om huruvida ägaren verkställer en straffrättslig påföljd och var han eller hon i så fall befinner sig. Om personen verkställer påföljden genom vårdvistelse kan en sådan sökning avslöja uppgifter om hälsa. Behovet av sådan sökning kan enligt regeringens mening tillgodoses på annat sätt än genom ett undantag från sökförbudet. Det kan lämpligen göras genom att Kriminalvården ges skyldighet att på begäran underrätta Tullverket om var en häktad eller intagen är placerad. Tullverket behöver därför i motsats till Polismyndigheten inget undantag från sökförbudet när det gäller uppgifter om verkställighet av påföljd.
Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga
Det nuvarande förbudet i tullbrottsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.
De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott behöver Tullverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall.
Det är framför allt i Tullverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung, religiös övertygelse eller politiska åsikter skapas. Det kan t.ex. vara fallet om det är känt att en viss narkotikasort används av en grupp med visst etniskt ursprung eller religiös övertygelse. Smuggling av drogen kat, som endast odlas utomlands, hör hit. Vid hanteringen av frihetsberövade behöver Tullverket även kunna sammanställa uppgifter om personer som är självmordsbenägna eller s.k. sväljare, vilket innebär att uppgifter om hälsa kan avslöjas. Det är vidare sedan länge känt att det finns politiska eller andra ideologiskt motiverade grupperingar i utlandet som finansierar sin verksamhet genom organiserad brottslighet, t.ex. smuggling av cigarretter eller narkotika. De kan vara aktiva även i Sverige (se Lägesbild organiserad brottslighet 2011, Tullverket). Bekämpningen av organiserad brottslighet kräver inte sällan kartläggning av misstänktas kontakter och vanor. Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas (jfr avsnitt 7.3.3). I kampen mot smuggling av barnpornografiska bilder kan Tullverket även ha behov av att söka på uppgifter som kan avslöja en persons sexualliv eller sexuella läggning, t.ex. på ordet pedofil eller vissa typer av sexleksaker. I utredningsverksamheten finns motsvarande behov av att kunna söka på känsliga personuppgifter vid brott med okänd gärningsman.
Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151). Det finns inte heller behov av att kunna göra sammanställningar grundade på medlemskap i fackförening eller på genetiska uppgifter.
Undantaget bör mot den bakgrunden utformas så att sökning möjliggörs när det gäller uppgifter som kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och uppgifter om hälsa, sexualliv eller sexuell läggning. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga begränsas något i förhållande till vad som gäller enligt dagens reglering.
Hänvisningar till S8-3-3
- Prop. 2017/18:269: Avsnitt 18.2
8.4. Personuppgifter från transportföretag
8.4.1. Reglerna om personuppgiftsbehandling för uppgifter från transportföretag samlas
Regeringens förslag: Bestämmelserna om behandling av personuppgifter som transportföretag lämnar till Tullverket enligt bestämmelser i inregränslagen och tullagen ska tas in i Tullverkets brottsdatalag.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Tullverket är positivt till förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Transportföretagens uppgiftsskyldighet
Enligt 15 § inregränslagen och 4 kap.6 och 7 §§tullagen är transportföretag skyldiga att på begäran skyndsamt lämna vissa personuppgifter till Tullverket. Det rör sig bl.a. om resenärers namn, medresenärers namn och transportmedel. Av bestämmelserna framgår att Tullverket endast får begära sådana uppgifter om de kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet.
Personuppgifterna får tillhandahållas genom terminalåtkomst till transportföretagens bokningssystem, där Tullverket endast får läsa uppgifterna men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 16 § inregränslagen och 4 kap. 8 § tullagen bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna kan även lämnas på annat sätt, om transportföretaget anser att det är bättre. De lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper. Personuppgifterna bör, oavsett på vilket sätt de tillhandahålls, normalt vara strukturerade på ett sådant sätt att tullbrottsdatalagen är tillämplig på behandlingen.
Uppgifter om enskilda personer som har lämnats på annat sätt än genom terminalåtkomst ska enligt 16 § inregränslagen och 4 kap. 8 § tullagen omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Syftet med bestämmelserna är att hindra att uppgifterna sprids, eftersom det till allra största delen är fråga om information om enskilda personer som inte är misstänkta för brott eller har samband med brottslig verksamhet. I inregränslagen och tullagen regleras således inte bara transportföretagens uppgiftsskyldighet utan även på vilket sätt och hur länge personuppgifterna får behandlas.
Uppgifter från transportföretag behandlas och analyseras i Tullverkets underrättelseverksamhet av ett fåtal särskilt utpekade tjänstemän. Eftersom Tullverkets möjlighet att utföra fysiska kontroller i princip är knuten till gränspassage är intresset av bokningsuppgifter bara kortvarigt. När en transport har anlänt har myndigheten normalt inte längre något behov av samtliga uppgifter. Bestämmelserna om Tullverkets tillgång till uppgifter är utformade med särskild hänsyn till det (se prop. 1995/96:166 s. 83 f).
Bestämmelserna om transportföretagens uppgiftsskyldighet tillkom i samband med Sveriges anslutning till EU, som en kompensatorisk åtgärd för att minska risken för negativa konsekvenser av den fria rörligheten
för personer och varor. För att skapa bättre förutsättningar för kontroller vid den inre gränsen i kampen mot narkotikabrottslighet och annan internationell brottslighet gavs Tullverket möjlighet att i den brottsbekämpande verksamheten inhämta vissa uppgifter om varor, passagerare och fordon. Avsikten var att uppgifterna från transportföretagen skulle användas för att med ökad träffsäkerhet rikta kontroller mot varusändningar och mot personer som skulle kunna misstänkas för brottslighet inom Tullverkets verksamhetsområde (se prop. 1995/96:166 s. 72 f.). Metoden att med hjälp av uppgifter från transportföretag göra profilsökningar och kunna identifiera riskbeteenden redan innan en transport har nått Sverige ansågs dock vara lika viktig vid den yttre som den inre gränsen. Uppgiftsskyldigheten reglerades därför i både inregränslagen och tullagen (se prop. 1995/96:166 s. 80 f.).
Regleringen i tullbrottsdatalagen
Enligt 2 kap. 8 § tullbrottsdatalagen får personuppgifter, som har lämnats av transportföretag enligt nyssnämnda bestämmelser i inregränslagen och tullagen, behandlas av Tullverket om det är tillåtet enligt dessa lagar, men enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall får sådana personuppgifter behandlas även för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen och göras gemensamt tillgängliga. Enligt 2 kap. 9 § är det endast tillåtet att söka på namn, personnummer eller annan identitetsbeteckning om uppgifterna avser en person som är eller har varit misstänkt för brott, är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet eller är föremål för övervakning enligt lagen.
Ett samlat regelverk i Tullverkets brottsdatalag
Tillgången till uppgifter från transportföretag är av stor betydelse för Tullverkets möjligheter att förebygga och förhindra brottslig verksamhet och att upptäcka brott i samband med gränspassage. Regeringen instämmer i utredningens bedömning att dagens reglering bör behållas men renodlas och anpassas till de nya förutsättningar som gäller för behandling av personuppgifter till följd av EU:s dataskyddsreform. Förslagen till hur regleringen ska utformas i Tullverkets brottsdatalag presenteras i efterföljande avsnitt.
Som framgått innehåller inregränslagen och tullagen inte bara bestämmelser om transportföretagens uppgiftsskyldighet utan även regler som dels begränsar tillgången till personuppgifter i transportföretagens bokningssystem, dels anger hur uppgifterna får behandlas av Tullverket. Där finns bestämmelser om vilken sökning som är tillåten och hur länge uppgifter som härrör från transportföretag får behandlas i den brottsbekämpande verksamheten. Samtidigt finns stödet för att behandla personuppgifterna automatiserat i tullbrottsdatalagen.
Bestämmelserna om transportföretags uppgiftsskyldighet infördes som nyss nämnts i samband med att Sverige blev medlem i EU. I förarbetena till Tullverkets registerförfattningar har frågan om de delar av bestämmelserna som avser Tullverkets behandling av personuppgifter borde samlas i en författning inte behandlats.
Som anges i bl.a. avsnitt 7.4.1 är utgångspunkten nu att myndigheternas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i så stor utsträckning som möjligt bör regleras i respektive registerförfattning. Bestämmelserna om hur personuppgifter från transportföretag får behandlas och hur länge de får behandlas bör därför flyttas från inregränslagen och tullagen till Tullverkets brottsdatalag. Med en sådan lösning blir regleringen mer överskådlig och lättillämpad. Bedömningen innebär att vissa bestämmelser i 16 § inregränslagen och 4 kap. 8 § tullagen bör flyttas till Tullverkets brottsdatalag. Transportföretagens uppgiftsskyldighet bör däremot alltjämt regleras i inregränslagen och tullagen, liksom bestämmelserna om hur transportföretagen får lämna uppgifterna samt i vilken omfattning som Tullverket får ta del av uppgifterna.
Som framgår av avsnitt 8.2 kommer det att finnas en särreglering när det gäller flygpassageraruppgifter. Nu aktuella bestämmelser om uppgifter från transportföretag kommer inte att tillämpas vid sådan personuppgiftsbehandling som följer av lagen om flygpassageraruppgifter i brottsbekämpningen.
Hänvisningar till S8-4-1
8.4.2. En i huvudsak oförändrad reglering
Regeringens förslag: I Tullverkets brottsdatalag ska en bestämmelse införas om att Tullverket får behandla personuppgifter som transportföretag på Tullverkets begäran tillhandahåller enligt bestämmelser i inregränslagen och tullagen för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Sådana personuppgifter ska endast i enskilda fall få behandlas för nya ändamål.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Tullverket är positivt till förslaget att verket ska få behandla uppgifter från transportföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda och lagföra brott. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Syftet med nuvarande reglering
Av förarbetena till tullbrottsdatalagen framgår att den enda remissinstans som yttrade sig över 2 kap. 8 § ifrågasatte om användning av uppgifter för planering av kontrollverksamheten och urval av kontrollobjekt stämde överens med lagens övergripande syften. Regeringen bemötte det bl.a. genom att peka på att lagens tillämpningsområde är Tullverkets brottsbekämpande verksamhet (se prop. 2016/17:91 s. 108). Med den nya regleringen i brottsdatalagen finns det skäl att klargöra att syftet med bestämmelsen inte är att planera Tullverkets allmänna kontrollverksamhet.
Vid inre gräns är det inte tillåtet att göra slumpmässiga kontroller, t.ex. att ta ut var tionde eller tjugonde person som passerar gränsen för kontroll. Däremot är det tillåtet att göra selektiva kontroller. Med det avses kontroller som bygger på att den som passerar gränsen uppfyller sär-
skilda kriterier som pekar på förhöjd risk för att personen begår brott genom att t.ex. medföra otillåtna varor. Arbetet med att ta fram sådana kriterier som kan motivera att en viss person tas ut för kontroll och att identifiera riskprofiler görs av Tullverkets underrättelseverksamhet. Genom att med hjälp av transportföretagens uppgifter kartlägga bl.a. resmönster, betalningssätt, ålder och vilka som reser i sällskap ökar möjligheterna att kunna avslöja brott och att upptäcka nya smugglingsmetoder.
Den kontrollverksamhet som avses i 2 kap. 8 § tullbrottsdatalagen får enligt regeringens mening anses vara sådan som avser att förebygga, förhindra eller upptäcka brottslig verksamhet.
Bestämmelserna ska i huvudsak vara desamma
Enligt regeringens mening bör de bestämmelser som flyttas över från inregränslagen och tullagen till Tullverkets brottsdatalag i huvudsak ha samma innehåll som i dag. De behöver dock anpassas till den lagens tillämpningsområde. Att personuppgifterna får behandlas för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet bör framgå av bestämmelsen.
I avsnitt 7.4.1 föreslås att polisen ska få behandla uppgifter från transportföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda eller lagföra brott.
Även om Tullverket främst har intresse av att behandla uppgifter från transportföretag för att effektivt kunna förebygga brott och för att bygga upp kunskap om smugglingsvägar och smugglingsmetoder, har myndigheten i likhet med polisen även behov av sådana uppgifter i sin utredningsverksamhet. Vid s.k. kontrollerade leveranser av narkotika kan bokningsuppgifter vara av stor praktisk betydelse. Vid utredning av smugglingsbrott är det viktigt att kunna kontrollera uppgifter om resväg, ressällskap och liknande. Tullverket bör därför kunna dra nytta av uppgifter från transportföretagen både för att förebygga, förhindra eller upptäcka brottslig verksamhet och för att utreda eller lagföra brott.
I 2 kap. 8 § tullbrottsdatalagen anges att sådana uppgifter bara får behandlas i den utsträckning det är tillåtet enligt inregränslagen respektive tullagen. Någon motsvarande bestämmelse behövs inte i Tullverkets brottsdatalag, eftersom det alltid ska finnas en rättslig grund för behandlingen.
På samma sätt som i polisens brottsdatalag bör det förtydligas att bestämmelserna om terminalåtkomst endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system (se avsnitt 7.4.1). Regeringen föreslår därför att det i Tullverkets brottsdatalag anges att vid terminalåtkomst enligt 16 § inregränslagen och 4 kap. 8 § tullagen får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. Skulle Tullverket finna att personuppgifter i ett enskilt fall föranleder ett underrättelseuppslag eller behövs för en brottsutredning kan de som regel behandlas med stöd av de generella bestämmelserna i brottsdatalagen och Tullverkets brottsdatalag.
Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst bör liksom i dag omedelbart förstöras, om de saknar betydelse för brottsbekämpning eller lagföring. Regleringen om förstö-
rande i inregränslagen och tullagen gäller inte bara personuppgifter som behandlas automatiserat utan även annan behandling. Den nya regleringen bör därför täcka all behandling som omfattas av tillämpningsområdet för Tullverkets brottsdatalag, vilket bör tydliggöras i lagtexten. Kravet på förstörande bör dock inte omfatta de personuppgifter som myndigheten i ett enskilt fall behandlar för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Ovan nämnda förslag medför att bestämmelserna i 16 § inregränslagen och 4 kap. 8 § tullagen delvis flyttas till Tullverkets brottsdatalag och får en ändrad lydelse.
Regeringen återkommer i avsnitt 8.5.2 till frågan om uppgifter från transportföretag får göras gemensamt tillgängliga.
Behandling för nya ändamål
I 2 kap. 8 § andra stycket tullbrottsdatalagen föreskrivs att personuppgifter från transportföretag också får behandlas för något annat ändamål som anges i 2 kap. 5 § om det behövs i ett enskilt fall. Det innebär att sådana uppgifter exempelvis får användas för att utreda brott.
Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. För att sådan behandling ska vara tillåten krävs det dels att det finns en tillåten rättslig grund för behandling för det nya ändamålet, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet.
Riksdagen har nyligen ställt sig bakom att Tullverket i ett enskilt fall ska få behandla personuppgifter av nu aktuellt slag för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen. Tullverkets rätt att behandla uppgifterna för nya ändamål bör begränsas på motsvarande sätt i Tullverkets brottsdatalag. Enligt direktivet är det inte möjligt att göra undantag från den prövning som kommer till uttryck i 2 kap. 4 § brottsdatalagen. Det innebär att en sådan prövning alltid krävs när uppgifter från transportföretag i ett enskilt fall ska behandlas för ett nytt ändamål.
Hänvisningar till S8-4-2
- Prop. 2017/18:269: Avsnitt 8.5.2
8.5. Gemensamt tillgängliga uppgifter
8.5.1. Sökning i gemensamt tillgängliga uppgifter
Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i
Tullverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem.
Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till,
3. i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer, eller
4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.
Det ska också göras undantag för sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Begränsning endast i automatiserade behandlingssystem
Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Tullverkets verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § tullbrottsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:91 s. 138 ff.). Paragraferna är utformade efter mönster av polisdatalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § tullbrottsdatalagen bör införas i Tullverkets brottsdatalag.
Av de skäl som anges i avsnitt 7.5.2 anser regeringen att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. I samma avsnitt bemöts Datainspektionens invändning.
Behövs det fler eller andra undantag från begränsningsregeln?
Undantagen i 3 kap. 7 § tullbrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Tullverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Vidare bör även Tullverket kunna göra sökningar i syfte att samordna brottsutredningar som avser brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Regleringen bör utformas på samma sätt som för Polismyndigheten.
De tulltjänstemän som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Tullverkets ledningscentraler, t.ex. vakthavande
befäl eller rikssambandscentralen, med sökning i syfte att klarlägga t.ex. en gripen persons identitet. Vid sökningar av det slaget kan det vara nödvändigt att få fram andra typer av information, samtidigt som den ingripande tulltjänstemannen inte alltid har tillgång till nödvändiga sökmöjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sådana sökningar som görs i Tullverkets ledningscentraler på begäran av en tulltjänsteman i yttre tjänst.
Hänvisningar till S8-5-1
- Prop. 2017/18:269: Avsnitt 18.2
8.5.2. Uppgifter från transportföretag får göras gemensamt tillgängliga i vissa fall
Regeringens förslag: En bestämmelse om i vilka fall personuppgifter från transportföretag får göras gemensamt tillgängliga ska tas in i regleringen om gemensamt tillgängliga uppgifter.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I avsnitt 8.4.2 föreslås att regleringen av Tullverkets behandling av personuppgifter från transportföretag i huvudsak ska vara densamma som i dag. Utgångspunkten är att uppgifter från transportföretagen till allra största delen är information om personer som inte är intressanta för brottsbekämpningen och att sådana personuppgifter därför ska ges så liten spridning som möjligt. När bestämmelserna i inregränslagen och tullagen infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur de fick användas (se prop. 1995/96:166 s. 83 f.). Uppgifterna får därför som utgångspunkt inte göras gemensamt tillgängliga.
Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgängliga i enskilda fall. Av förarbetena framgår att det skulle strida mot intentionerna bakom bestämmelserna att generellt tillåta att sådana uppgifter görs gemensamt tillgängliga. Om personuppgifterna, t.ex. efter en kontroll, behövs för en brottsutredning eller har samband med misstänkt brottslig verksamhet bör de dock få behandlas inom ramen för den utredningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107).
I 3 kap. 2 § tullbrottsdatalagen anges under vilka förutsättningar som personuppgifter får göras gemensamt tillgängliga. Genom särregleringen i 2 kap. 8 § andra stycket tullbrottsdatalagen av i vilka fall uppgifter från transportföretag får göras gemensamt tillgängliga finns det i dag en risk för en otydlighet som kan leda till motsatsslut när det gäller andra slag av personuppgifter. För att undanröja denna risk bör bestämmelsen utan någon ändring i sak tas in i den bestämmelse i Tullverkets brottsdatalag som motsvarar 3 kap. 2 § tullbrottsdatalagen. På samma sätt som enligt dagens reglering bör alltså sådana uppgifter få göras gemensamt tillgängliga om det behövs i ett enskilt fall.
8.6. Längsta tid för behandling av uppgifter i viss underrättelseverksamhet
Regeringens förslag: Personuppgifter som kan antas ha samband med viss brottslig verksamhet ska, om de behandlas i ett ärende, inte få behandlas längre än ett år efter det att ärendet avslutades.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: I 4 kap. 9 § andra stycket tullbrottsdatalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas.
I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när registreringen avseende en viss person gjordes. Som anges i avsnitt 7.6 behandlas personuppgifter i underrättelseverksamheten ibland i ärenden, exempelvis i samarbetet mot grov organiserad brottslighet eller i samband med en särskild händelse. När personuppgifter i underrättelseverksamhet behandlas i ärenden bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestämmelse med den innebörden bör därför införas i Tullverkets brottsdatalag.
Hänvisningar till S8-6
- Prop. 2017/18:269: Avsnitt 18.2
9. Kustbevakningens brottsdatalag
9.1. Behovet av anpassning till brottsdatalagen
9.1.1. Nuvarande reglering
Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i annan operativ verksamhet, t.ex. sjöövervakning och räddningstjänst. Bestämmelserna i 3 och 4 kap. gäller vid behandling av personuppgifter i den brottsbekämpande verksamheten, medan bestämmelserna i 5 kap. gäller vid personuppgiftsbehandling i annan operativ verksamhet.
Innehållet i kustbevakningsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för Kustbevakningens nya registerförfattning behandlas i detta avsnitt.
Den del av kustbevakningens personuppgiftsreglering som ligger utanför brottsdatalagens tillämpningsområde behandlas i ett annat lagstiftningsärende (se Ds 2017:58 EU:s dataskyddsreform – anpassningar av vissa författningar om allmän ordning och säkerhet).
Hänvisningar till S9-1-1
9.1.2. Kustbevakningsdatalagen delas upp
Regeringens förslag: Kustbevakningens nya registerförfattning ska bara innehålla bestämmelser om personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Den ska benämnas lagen om
Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till kustbevakningsdatalagen i andra författningar ska ändras.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Utredningen föreslår att lagen ska benämnas Kustbevakningens brottsdatalag.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Den nuvarande regleringen renodlas
Vid kustbevakningsdatalagens tillkomst konstaterades att övervägande skäl talade för att myndighetens personuppgiftsbehandling skulle regleras i en och samma lag (se prop. 2011/12:45 s. 63). Med hänsyn till hur den nya dataskyddsregleringen är utformad finns det dock, som utredningen konstaterat, skäl att på nytt överväga frågan.
Kustbevakningsdatalagen reglerar i dag personuppgiftsbehandling inom både brottsdatalagens och dataskyddsförordningens tillämpningsområden. Om man skulle behålla en samlad reglering för Kustbevakningens personuppgiftsbehandling skulle den därför behöva dels gälla utöver brottsdatalagen, dels komplettera dataskyddsförordningen.
Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av Kustbevakningens personuppgiftsbehandling på ett annat sätt än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga ändringar i en och samma lag. Ett alternativ är att dela upp regleringen i två separata regelverk – ett för brottsdatalagens tillämpningsområde och ett för dataskyddsförordningens. Skatteverket har sedan tidigare olika regleringar för personuppgiftsbehandlingen beroende på i vilken verksamhet uppgifterna behandlas, där regleringen för den brottsbekämpande verksamheten finns i en särskild lag. Kustbevakningen har visserligen till skillnad från Skatteverket inte någon organisatorisk uppdelning i olika verksamhetsgrenar. Regeringen instämmer ändå i utredningens bedömning att en ordning med två separata regleringar även för Kustbevakningens del skulle bli tydligare och enklare att tillämpa än en lösning som innebär att förordningens och direktivets krav regleras i en och samma lag.
Kustbevakningens personuppgiftsbehandling bör alltså fortsättningsvis regleras i två olika registerförfattningar. Den del av Kustbevakningens personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde bör regleras i en ny registerlag.
Lagens namn
De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas Kustbevakningens brottsdatalag. Även
Lagrådet förordar detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från hur svenska författningar normalt benämns och skulle bryta mot den systematik som gäller för författningars rubriker. Det vore visserligen önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Lagen bör mot den bakgrunden benämnas lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Samtliga hänvisningar till lagen måste också ändras. I det följande kallas den nya lagen för
Kustbevakningens brottsdatalag.
Hänvisningar till S9-1-2
- Prop. 2017/18:269: Avsnitt 3, Författningskommentar till 1 § lagen (2017:496) om internationellt polisiärt samarbete
9.2. Tillämpningsområdet
Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när
Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för utredningens förslag
Den nuvarande regleringen behöver anpassas
Registerförfattningarna bör även i fortsättningen innehålla bestämmelser om tillämpningsområdet (se avsnitt 4.4). Registerförfattningarna bör vidare gälla utöver brottsdatalagen (se avsnitt 5.2).
Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör bl.a. brottsbekämpning, sjöövervakning och räddningstjänst. Tillämpningsområdet måste i den nya lagen anpassas till brottsdatalagens tillämpningsområde så att det dels utgår från syftet med behandlingen, dels bara omfattar den personuppgiftsbehandling som Kustbevakningen utför inom brottsdatalagens tillämpningsområde. Det bör också framgå att lagen endast gäller när Kustbevakningen agerar i egenskap av behörig myndighet.
Närmare om tillämpningsområdet
För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Kustbevakningens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.
Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet.
En av Kustbevakningens arbetsuppgifter är att genom sjöövervakning förebygga och ingripa mot störningar av ordningen i sjötrafiken (3 § förordningen [2007:853] med instruktion för Kustbevakningen). I 5 kap. 1 § första stycket 1 kustbevakningsdatalagen regleras behandling av personuppgifter för ändamålet att övervaka den allmänna ordningen och säkerheten till sjöss. Sådan sjöövervakning syftar enligt förarbetena till att öka respekten för lagar och föreskrifter och till att öka säkerheten till sjöss. Verksamheten omfattar allmän övervakningsverksamhet i form av patrullering och sjösäkerhetsövervakning. Till denna verksamhet räknas inte aktiviteter som föranleds av misstanke om brott eller brottslig verksamhet (se prop. 2011/12:45 s. 157).
Inom ramen för sjöövervakningen har Kustbevakningens tjänstemän rätt att ingripa vid ordningsstörningar i trafiken till sjöss eller när det behövs för att avvärja brott mot föreskrifter om trafikregler och säkerhetsanordningar för sjötrafiken, åtgärder mot vattenföroreningar från fartyg och dumpning av avfall i vatten. Vid ett sådant ingripande har en kustbevakningstjänsteman enligt 3 § lagen om Kustbevakningens medverkan vid polisiär övervakning samma befogenhet som en polisman har enligt 13 § polislagen att avvisa, avlägsna eller omhänderta den som genom sitt uppträdande stör ordningen eller utgör omedelbar fara för den. Det gäller dock bara vid ordningsstörningar till sjöss som utgör en omedelbar fara och i samband med att Kustbevakningen ingriper mot vissa brott enligt lagen om Kustbevakningens medverkan vid polisiär övervakning. Kustbevakningen har också ordningshållande uppgifter enligt dels lagen (2006:1209) om hamnskydd, dels lagen (2004:487) om sjöfartsskydd.
För att lagen ska täcka all Kustbevakningens behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet.
Gränsdragningen för tillämpningsområdet
Enbart personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet omfattas av brottsdatalagens tillämpningsområde. Utgångspunkten är att det krävs fysisk närvaro på den plats där oordning förekommer eller riskerar att uppstå för att det ska vara fråga om upprätthållande av allmän ordning och säkerhet (se prop. 2017/18:232 s. 97).
När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid sådan verksamhet bör följaktligen omfattas av tillämpningsområdet för lagen. Detsamma bör gälla vid ingripanden och andra åtgärder för att avvärja konkreta brott.
Den verksamhet som består av allmän övervakning i trygghetsskapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs, ligger däremot utanför tillämpningsområdet. Sådan övervakning kan utföras t.ex. genom rutinmässig patrullering till sjöss eller flygövervakning eller övervakning med hjälp av kameror eller
annan digital utrustning i en ledningscentral. Denna typ av övervakning görs utan att den är inriktad mot en konkret störning eller konkret risk för störning. Allmän övervakning av sådant slag kan emellertid övergå till att ha ett ordningshållande syfte och därmed omfattas av tillämpningsområdet. Så är fallet om ledningscentralen tar radiokontakt med ett övervakat fartyg för att ge anvisningar om t.ex. vilken kurs fartyget ska hålla för att undvika ett avlyst vattenområde. I dessa fall upprätthålls allmän ordning och säkerhet utan någon fysisk närvaro på platsen där oordning förekommer eller riskerar att uppstå.
Även vid rutinmässig patrullering till sjöss kan det upptäckas ordningsstörningar som kräver ingripande. Det är oftast först vid ingripanden som det blir fråga om att behandla personuppgifter. Gränsdragningen avseende vilket regelverk som gäller i enskilda fall blir ytterst en fråga för tillämpningen.
Hänvisningar till S9-2
- Prop. 2017/18:269: Avsnitt 18.3
9.3. Grundläggande bestämmelser om behandling
9.3.1. Rättsliga grunder och behandling för nya ändamål
Regeringens förslag: Kustbevakningen ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 3 kap. 2 § kustbevakningsdatalagen bör således införas, men det ska framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening.
Bestämmelserna är i stället på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Kustbevakningen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.
Kustbevakningen får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Kustbevakningen bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.
Tillämpningsområdet för lagen ska omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Detta bör därför anges vara en tillåten rättslig grund för myndighetens personuppgiftsbehandling.
Kustbevakningens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i registerförfattningen bör den senare ersätta bestämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas i lagen att den uppgift som Kustbevakningen ska utföra ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för sådan uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.
Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen
Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Kustbevakningens del nämns 3 § förordningen (2007:853) med instruktion för Kustbevakningen, där det anges att myndigheten bl.a. ska bedriva övervakning för att förebygga och ingripa mot störningar i sjötrafiken, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott och utreda och beivra eller bistå med utredningen av brott. Vilka brott Kustbevakningen har till uppgift att ingripa mot framgår bl.a. av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning och lagen (2000:1225) om straff för smuggling. Hur det ska göras regleras framför allt i rättegångsbalken och nyss nämnda lagar. Dessa bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Kustbevakningens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.
Behandling för nya ändamål
I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 3 kap. 3 § kustbevakningsdatalagen. I den nya regleringen anges förutsättningarna för behandling för nya ändamål i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. I Kustbevakningens brottsdatalag bör det införas en bestämmelse som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.
Hänvisningar till S9-3-1
- Prop. 2017/18:269: Avsnitt 18.3
9.3.2. Behandling av biometriska och genetiska uppgifter
Regeringens bedömning: Kustbevakningen bör inte få behandla biometriska och genetiska uppgifter.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra mot bedömningen om ställningstagandet grundar sig på upplysningar från Kustbevakningen. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning: Enligt 2 kap.12 och 13 §§brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Regeringen instämmer i utredningens bedömning att det inte har framkommit något behov för Kustbevakningen att behandla biometriska och genetiska uppgifter för brottsbekämpande syften. Kustbevakningen har inte heller invänt mot bedömningen. Det bör därför inte finnas någon bestämmelse som medger sådan behandling i Kustbevakningens brottsdatalag.
9.3.3. Sökning på känsliga personuppgifter
Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.
Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inte några invändningar mot förslaget.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter
Enligt 4 kap. 4 § andra stycket i kustbevakningsdatalagen är det tillåtet att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Kustbevakningen har fortfarande behov av att kunna använda sådana uppgifter vid sökning, även om det leder till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud i Kustbevakningens brottsdatalag för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökning i alla slags personuppgifter, dvs. oberoende av om de har gjorts gemensamt tillgängliga eller inte.
Kustbevakningen behöver i likhet med Polismyndigheten och Tullverket kunna göra sökningar på tillvägagångssätt vid brott. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att smugglingsmetoder kan avslöja uppgifter om såväl religiös övertygelse och politiska åsikter som uppgifter om gärningsmannens hälsa.
Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga
Det nuvarande förbudet i kustbevakningsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.
De behöriga myndigheternas möjlighet att använda känsliga personuppgifter vid sökning bör inte försämras. Framför allt inom Kustbevakningens underrättelseverksamhet kan det behöva göras sökningar som innebär att sammanställningar grundade på etniskt ursprung eller religiös eller filosofisk övertygelse skapas. Kustbevakningen måste kunna göra sökningar för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas genom sitt etniska ursprung eller sin religiösa eller filosofiska övertygelse. I utredningsverksamheten finns motsvarande behov av att kunna söka på känsliga personuppgifter vid brott med okänd gärningsman. Det finns därför skäl att göra undantag från sökförbudet i brottsdatalagen när det gäller sökning i uppgifter som inte har gjorts gemensamt tillgängliga.
Kustbevakningen har dock inte behov av att kunna ta fram urval av personer grundade på alla kategorier av känsliga personuppgifter. Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151). Regeringen instämmer vidare i utredningens bedömning att det inte finns något behov av att kunna göra sammanställningar grundade på genetiska eller biometriska uppgifter, uppgifter om medlemskap i fackförening eller politiska åsikter eller uppgifter som rör sexualliv eller sexuell läggning. Undantaget från
sökförbudet i brottsdatalagen bör därför utformas så att sökning i personuppgifter som inte har gjorts gemensamt tillgängliga möjliggörs när det gäller uppgifter som kan avslöja etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa.
Hänvisningar till S9-3-3
- Prop. 2017/18:269: Avsnitt 18.3
9.4. Gemensamt tillgängliga uppgifter
9.4.1. Behandling för diarieföring ska undantas
Regeringens förslag: Det som föreskrivs om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av den särskilda bestämmelsen i brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I polisdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen föreskrivs att reglerna om gemensamt tillgängliga personuppgifter inte är tillämpliga när personuppgifter behandlas med stöd av den särskilda bestämmelsen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Någon sådan bestämmelse finns inte i kustbevakningsdatalagen.
Bestämmelsen om personuppgiftsbehandling vid diarieföring syftar inte till att möjliggöra behandling av personuppgifter i den operativa verksamheten, utan enbart till att inkomna handlingar ska kunna hanteras enligt offentlighets- och sekretesslagen och att tillgodose rätten till tillgång till allmänna handlingar enligt tryckfrihetsförordningen. Flera av de bestämmelser som gäller vid behandling av gemensamt tillgängliga personuppgifter är inte anpassade för att reglera behandling av personuppgifter i diarier (se bl.a. prop. 2016/17:89, s. 87 f.). Det bör därför föreskrivas att reglerna om gemensamt tillgängliga personuppgifter inte gäller när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen.
9.4.2. En ny kategori av personuppgifter får göras gemensamt tillgängliga
Regeringens förslag: Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet ska få göras gemensamt tillgängliga. De ska inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De personuppgifter som Kustbevakningen behandlar i annan operativ verksamhet än den brottsbekämpande och som behövs för att övervaka den allmänna ordningen och säkerheten
till sjöss får i dag göras gemensamt tillgängliga enligt 5 kap. 1 § kustbevakningsdatalagen. Kustbevakningens brottsdatalag ska även tillämpas vid personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Inför kommenderingar vid särskilda händelser där ordningsstörningar befaras kan det finnas behov av att göra uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Kustbevakningen bör därför även kunna göra personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet gemensamt tillgängliga.
Personuppgifter som görs gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet bör inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Det motsvarar vad som föreslås gälla för Polismyndigheten.
Hänvisningar till S9-4-2
- Prop. 2017/18:269: Avsnitt 18.3
9.4.3. Sökning i gemensamt tillgängliga uppgifter
Regeringens förslag: En bestämmelse som begränsar resultatet vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar ska tas in i
Kustbevakningens brottsdatalag men
sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem.
Begränsningarna ska inte gälla vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem.
Skälen för regeringens förslag
Begränsning endast i automatiserade behandlingssystem
Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Kustbevakningens verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter (se prop. 2011/12:45 s. 126 och avsnitt 7.5.2). I 4 kap. 5 § kustbevakningsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 4 kap. 6 § görs vissa undantag från bestämmelserna i 4 kap. 5 §. I förarbetena diskuteras ingående vilka typer av sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2011/12:45 s. 126 f.). Paragraferna är utformade utifrån regleringen i polisdatalagen.
Av de skäl som anges i avsnitt 7.5.2 anser regeringen, till skillnad från
Datainspektionen, att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem.
Sökning i gemensamt tillgängliga uppgifter
Det bör övervägas om det för Kustbevakningen delvis ändrade tillämpningsområdet för lagen bör föranleda någon ändring av begränsningsregeln i 4 kap. 5 § kustbevakningsdatalagen. Kustbevakningens brottsdatalag omfattar även behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om att någon är eller har varit misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid en sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett ingripande med grovt våld. Det finns därför inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning.
Av de skäl som anges i avsnitt 7.5.2 bör undantaget för sökning i underrättelseverksamhet utformas på motsvarande sätt i Kustbevakningens brottsdatalag för att motverka att regleringen misstolkas.
Hänvisningar till S9-4-3
- Prop. 2017/18:269: Avsnitt 18.3
10. Skatteverkets brottsdatalag
10.1. Behovet av anpassning till brottsdatalagen
10.1.1. Nuvarande reglering
Skattebrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Det är dock bara en mycket begränsad del av myndighetens verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa av bestämmelserna i lagen behöver dock inte tillämpas förrän den 1 januari 2019.
Innehållet i skattebrottsdatalagen måste, i likhet med övriga registerförfattningar anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för skattebrottsdatalagen behandlas däremot i detta avsnitt.
Hänvisningar till S10-1-1
10.1.2. Lagens namn
Regeringens förslag: Den nya lagen ska benämnas lag om
Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.
Utredningen föreslår att lagen ska benämnas Skatteverkets brottsdatalag.
Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas
Skatteverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange vem författningen gäller för, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Skatteverkets brottsdatalag.
Alla hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.
Hänvisningar till S10-1-2
- Prop. 2017/18:269: Avsnitt 3
10.2. Tillämpningsområdet
Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när
Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott.
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag:Skattebrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när
Skatteverket agerar i egenskap av behörig myndighet.
Utredningen föreslår att tillämpningsområdet ska omfatta personuppgiftsbehandling i syfte att bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Skatteverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.
Hänvisningar till S10-2
- Prop. 2017/18:269: Avsnitt 18.4
10.3. Grundläggande bestämmelser om behandling
10.3.1. Rättsliga grunder och behandling för nya ändamål
Regeringens förslag: Skatteverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 5 § skattebrottsdatalagen bör således införas, men det bör framgå att det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Skatteverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.
Skatteverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Myndigheten bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.
Skatteverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Skatteverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt
myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.
Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen
Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Skatteverkets del kan t.ex. 6 § förordningen (2017:154) med instruktion för Skatteverket nämnas, varav det framgår att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott. Sådana bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Skatteverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.
Behandling för nya ändamål
I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § skattebrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål bör i stället regleras i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Regeringen anser att det bör införas en bestämmelse i Skatteverkets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.
Hänvisningar till S10-3-1
- Prop. 2017/18:269: Avsnitt 18.4
10.3.2. Behandling av biometriska och genetiska uppgifter
Regeringens bedömning: Skatteverket bör inte få behandla biometriska och genetiska uppgifter.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra mot bedömningen om ställningstagandet grundar sig på upplysningar från Skatteverket. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning.
Enligt 2 kap.12 och 13 §§brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
I likhet med utredningen finner inte regeringen något behov för Skatteverket att behandla biometriska och genetiska uppgifter. Skatteverket har inte heller invänt mot bedömningen. Det finns därför inte skäl att föreslå någon bestämmelse som medger sådan behandling i Skatteverkets brottsdatalag.
Hänvisningar till S10-3-2
10.3.3. Sökning på känsliga personuppgifter
Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering.
Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket skattebrottsdatalagen är det tillåtet att använda uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det finns även i fortsättningen behov att kunna använda sådana uppgifter vid sökning, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud i Skatteverkets brottsdatalag. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.
Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga
Det nuvarande förbudet i skattebrottsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter kan användas vid sökning i uppgifter som endast ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.
De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökning bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott behöver Skatteverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på vissa känsliga personuppgifter vid sökning i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall.
Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter. Det har inte framkommit att Skatteverket i övrigt skulle ha behov av att kunna ta fram urval av personer grundade på känsliga personuppgifter.
Undantaget från sökförbudet i brottsdatalagen bör utformas så att sökning möjliggörs endast när det gäller etniskt ursprung. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga begränsas i förhållande till vad som gäller enligt dagens reglering.
Hänvisningar till S10-3-3
- Prop. 2017/18:269: Avsnitt 18.4
10.4. Gemensamt tillgängliga uppgifter
Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i
Skatteverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem.
Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän
1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,
2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till, eller
3. i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem, eftersom en sådan förändring riskerar att öppna för sökningar i vidare omfattning än i dag. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Begränsning endast i automatiserade behandlingssystem
Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Skatteverkets verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § skattebrottsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:89 s. 96 f). Paragraferna är utformade efter mönster av polisdatalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § skattebrottsdatalagen bör införas i Skatteverkets brottsdatalag.
Av de skäl som anges i avsnitt 7.5.2 anser regeringen att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. I samma avsnitt bemöts Datainspektionens invändning.
Sökning i gemensamt tillgängliga uppgifter
Undantagen i 3 kap. 7 § skattebrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Skatteverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Regleringen bör utformas på samma sätt som i polisens brottsdatalag.
Hänvisningar till S10-4
- Prop. 2017/18:269: Avsnitt 18.4
11. Åklagarväsendets brottsdatalag
11.1. Behovet av anpassning till brottsdatalagen
11.1.1. Nuvarande reglering
Åklagardatalagen gäller enligt 1 kap. 2 § första stycket vid behandling av personuppgifter i Åklagarmyndighetens och Ekobrottsmyndighetens (åklagarväsendets) operativa verksamhet. Med operativ verksamhet avses dels brottsbekämpande verksamhet, dels fullgörandet av andra åklagaruppgifter enligt lag eller förordning. Det senare kan t.ex. vara att föra talan om hävande av registrering av varumärkesrätt, att företräda staten i mål om vattenföroreningsavgift eller att fatta beslut om förstörande av vissa hälsofarliga missbrukssubstanser (se avsnitt 1.2 och prop. 2014/15:63 Åklagardatalag s. 43 f. och 68 f.). Lagen gäller enligt 1 kap. 2 § andra stycket inte vid behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten. Vid sådan behandling gäller i stället polisdatalagen och andra författningar som reglerar polisens personuppgiftsbehandling.
Innehållet i många bestämmelser i åklagardatalagen behöver dock inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna behandlas i avsnitt 4, 5 och 6. De anpassningar som är specifika för åklagarväsendets verksamhet behandlas däremot i detta avsnitt.
Hänvisningar till S11-1-1
11.1.2. En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde
Regeringens förslag: Den nya lagen ska benämnas lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till åklagardatalagen i andra författningar ska därmed också ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område.
Utredningen föreslår att lagen ska benämnas åklagarväsendets brottsdatalag.
Remissinstanserna: Ingen remissinstans invänder mot förslaget.
Ekobrottsmyndigheten menar dock att myndighetens personuppgiftsbehandling borde kunna särregleras i en egen registerförfattning.
Skälen för regeringens förslag
Den nuvarande regleringen bör renodlas
Vid åklagardatalagens tillkomst övervägde regeringen om åklagardatalagen endast skulle omfatta personuppgiftsbehandling i den brottsbekämpande verksamheten. Eftersom arbetsuppgifter utanför den brottsbekämpande verksamheten utgör en mycket liten del av åklagarverksamheten ansåg regeringen dock att det inte behövdes någon särskild författning för annan operativ verksamhet. Eftersom personuppgiftslagens allmänna bestämmelser inte bedömdes ändamålsenliga för sådan integritetskänslig verksamhet ansåg regeringen att åklagardatalagen borde omfatta all personuppgiftbehandling som rör åklagaruppgifter (se prop. 2014/15:63 s. 43 f.). Med hänsyn till hur den nya dataskyddsregleringen är utformad finns det emellertid skäl att på nytt överväga den frågan.
Åklagardatalagen reglerar alltså huvudsakligen personuppgiftsbehandling inom brottsdatalagens tillämpningsområde, men även till viss del inom dataskyddsförordningens. Om man skulle behålla en samlad reglering för åklagarväsendets personuppgiftsbehandling skulle den därför till största delen gälla utöver brottsdatalagen, men skulle i övrigt komplettera dataskyddsförordningen.
Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av åklagarväsendets personuppgiftsbehandling på ett annat sätt än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga ändringar i den befintliga lagen. En separat reglering för sådan personuppgiftsbehandling som faller inom ramen för brottsdatalagens tillämpningsområde blir emellertid tydligare och lättare att tillämpa. Trots de skäl som anges i förarbetena till åklagardatalagen bör därför åklagarväsendets personuppgiftsbehandling fortsättningsvis inte regleras i en och samma
registerförfattning. Den del av personuppgiftsbehandlingen som ligger inom brottsdatalagens tillämpningsområde bör regleras i den nya lagen eftersom den i dag till största delen rör brottsbekämpande verksamhet. Mot den bakgrunden bör det i den nya lagen inte införas någon bestämmelse som reglerar behandling av personuppgifter utanför brottsdatalagens tillämpningsområde, vilket idag regleras i 2 kap. 5 § andra stycket åklagardatalagen.
För sådan operativ verksamhet som faller utanför brottsdatalagens tillämpningsområde kommer i stället EU:s dataskyddsförordning och dataskyddslagen att gälla. Den regleringen bedöms tillräcklig och det behövs därför inte någon särreglering för personuppgiftsbehandling i sådan verksamhet.
Till skillnad från Ekobrottsmyndigheten bedömer regeringen att det inte heller behövs någon särreglering för Ekobrottsmyndighetens personuppgiftsbehandling.
Åklagardatalagen upphävs och en ny lag införs
Av de skäl som anges i avsnitt 4.4 finns det anledning att införa en ny lag som gäller för åklagarväsendet och ge den ett namn som knyter an till brottsdatalagen. Eftersom lagen ska gälla för både Åklagarmyndigheten och Ekobrottsmyndigheten bör det av namnet framgå att lagen omfattar båda myndigheterna, som tillsammans bildar åklagarväsendet. Regeringen anser mot den bakgrunden att den nya lagen bör benämnas lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. I det följande kallas lagen åklagarväsendets brottsdatalag.
Som en följd av den nya lagen måste alla hänvisningar till åklagardatalagen ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område.
Hänvisningar till S11-1-2
- Prop. 2017/18:269: Avsnitt 3
11.2. Tillämpningsområdet
Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när myndigheterna i åklagarväsendet i egenskap av behöriga myndigheter behandlar personuppgifter i åklagarverksamhet i syfte att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår dock att det i lagen ska upplysas om att det finns bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten i polisens brottsdatalag.
Remissinstanserna: Ingen remissinstans invänder mot förslaget.
Skälen för regeringens förslag
Den nuvarande regleringen behöver anpassas
Enligt 1 kap. 2 § åklagardatalagen gäller lagen vid behandling av personuppgifter i åklagarväsendets operativa verksamhet. Brottsdatalagens tillämpningsområde knyts både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Tillämpningsområdet för åklagarväsendets brottsdatalag måste anpassas till brottsdatalagens, så att det dels utgår från syftet med behandlingen, dels omfattar bara den personuppgiftsbehandling som Åklagarmyndigheten och Ekobrottsmyndigheten utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör framgå att lagen endast gäller när någon av myndigheterna agerar i egenskap av behöriga myndigheter. I propositionen Brottsdatalag definieras behörig myndighet som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften (1 kap. 6 §).
Närmare om tillämpningsområdet
För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen i åklagardatalagen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bekämpa eller lagföra brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att bl.a. förebygga eller förhindra brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande uttryck bör användas i åklagarväsendets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.
Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. Åklagare för talan om ändring av påföljd enligt bestämmelser i 27, 28 och 38 kap. brottsbalken. Åklagare prövar även vissa frågor om straffverkställighet vid beslut att utfärda en europeisk eller nordisk arresteringsorder (se 2 och 4 §§ förordningen [2003:1178] om överlämnande till Sverige enligt en europeisk arresteringsorder och 2 och 4 §§ förordningen [2012:566] om överlämnande till Sverige enligt en nordisk arresteringsorder). Åklagare ska också yttra sig i vissa frågor om rättspsykiatrisk vård med särskild utskrivningsprövning. Personuppgiftsbehandling när åklagare handlägger frågor som rör ändring av påföljd eller frågor om straffverkställighet bör därför också omfattas av lagens tillämpningsområde.
Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Enligt 6 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang prövar allmän åklagare frågor om tillträdesförbud. Brottsdatalagen är tillämplig på behandling av personuppgifter vid sådan prövning (se prop. 2017/18:232 s. 94). Tillämpningsområdet för åklagarväsendets brottsdatalag bör därför också omfatta personuppgiftsbehandling när
åklagare handlägger frågor om upprätthållande av allmän ordning och säkerhet.
Åklagare handlägger även vissa frågor som inte anses falla under brottsdatalagens tillämpningsområde (jfr prop. 2014/15:63 s. 68 f.). Till dem hör följande: – talan enligt 3 § lagen (1985:277) om vissa bulvanförhållanden om
tvångsförsäljning av fast egendom som förvärvats eller behålls genom bulvanförhållande och framställning om kvarstad enligt 6 § samma lag, – talan om äktenskapsskillnad enligt 5 kap. 5 § äktenskapsbalken, – talan om hävande av registrering av växtförädlarrätt, se 30 § växtför-
ädlarrättsförordningen (1997:383), – talan om hävande av registring av mönsterrätt grundad på att ett
mönster strider mot goda seder eller allmän ordning eller att det i ett mönster utan tillstånd har tagits in statsvapen, statsflagga eller annat statsemblem, statlig kontroll- eller garantibeteckning, eller annan beteckning som hänsyftar på svenska staten och som därigenom ger mönstret en officiell karaktär, eller svenskt kommunalt vapen eller sådan internationell beteckning som skyddas enligt lagen (1970:498) om skydd för vapen och vissa andra officiella beteckningar eller något som lätt kan förväxlas med något av det som nämnts, se 36 § mönsterskyddsförordningen (1970:486), – talan förd i enlighet med 8 kap. 2 § varumärkesförordningen
(2011:594) om hävning av registrering av varumärkesrätt enligt 3 kap. 5 § andra stycket varumärkeslagen (2010:1877), – talan enligt 6 § lagen (1989:532) om tillstånd för anställning på fartyg
om påförande av avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd, – talan enligt 20 kap. 13 § utlänningslagen (2005:716) om påförande av
avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd, om talan inte förs i samband med ett brottmål, – talan enligt 29 § lagen (2005:395) om arbetstid vid visst vägtrans-
portarbete om övertidsavgift, – företräda staten i mål om vattenföroreningsavgift enligt 9 kap. 5 §
lagen (1980:424) om åtgärder mot förorening från fartyg, – företräda staten i mål om barlastvattenavgift enligt 9 kap. 2 § barlast-
vattenlagen (2009:1165), – beslut enligt 4 § lagen (2011:111) om förstörande av vissa hälsofar-
liga missbrukssubstanser att förstöra vissa varor som ännu inte har förklarats utgöra narkotika, samt – beslut enligt 2 § lagen (1988:1473) om undersökning beträffande
vissa smittsamma sjukdomar i brottmål att kroppsbesiktning ska utföras för att kunna avgöra om det finns risk att hivinfektion eller annan allvarlig blodsmitta kunnat överföras till målsäganden.
För personuppgiftsbehandling som sker vid handläggning av dessa frågor kommer EU:s dataskyddsförordning och dataskyddslagen att gälla.
I propositionen Brottsdatalag konstateras att när de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarsta-
lan ska brottsdatalagen tillämpas. Det gäller bl.a. när åklagare för talan om särskild rättsverkan av brott, inom ramen för ett brottmål, med stöd av reglerna i 20 kap. utlänningslagen (se prop. 2017/18:232 s. 112 f.). Till skillnad från den bedömning som gjordes i tidigare förarbeten till åklagardatalagen omfattar således regleringen i nya 1 kap. 1 § i lagen talan enligt 20 kap.15 och 16 §§utlänningslagen om att en fysisk eller juridisk person för viss tid ska fråntas sin rätt till en del av eller alla offentliga stöd, bidrag och förmåner som har beviljats men ännu inte betalats ut eller kommit honom eller henne till del och att det som har erhållits ska återbetalas.
Särskilt om verksamheten vid Ekobrottsmyndigheten
Ekobrottsmyndigheten är en åklagarmyndighet som ansvarar för bekämpning av ekonomisk brottslighet. Åklagarmyndigheten ansvarar huvudsakligen för all annan åklagarverksamhet än den som ankommer på Ekobrottsmyndigheten. I avsnitt 7.2.1 redogörs för Ekobrottsmyndighetens organisation och arbetsuppgifter. Som framgår där består Ekobrottsmyndighetens operativa verksamhet av underrättelseverksamhet, utrednings- och lagföringsverksamhet och brottsförebyggande verksamhet. Huvuddelen av myndighetens verksamhet består i att utreda brott.
Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den polisiära verksamheten, medan åklagardatalagen gäller i den övriga operativa verksamheten. I avsnitt 7.2.1 anges att uttrycket åklagarverksamhet bör användas för att avgränsa tillämpningsområdet för polisdatalagen. Skälet till det är att det är tydligare vad som ingår i åklagarverksamhet än i polisiär verksamhet. Vidare anges i samma avsnitt att polisens brottsdatalag bör gälla vid personuppgiftsbehandling i syfte att utreda brott, om det inte är fråga om åklagarverksamhet. Åklagarväsendets brottsdatalag bör med hänsyn till det gälla vid personuppgiftsbehandling som utförs i åklagarverksamhet i syfte att utreda och lagföra brott.
Behandling av personuppgifter i den underrättelseverksamhet som bedrivs vid Ekobrottsmyndigheten bör inte omfattas av åklagarväsendets brottsdatalag, eftersom den verksamheten leds, styrs och utförs av Polismyndigheten på Ekobrottsmyndighetens uppdrag. Den utgör därmed inte någon åklagarverksamhet utan i stället sådan verksamhet som omfattas av polisens brottsdatalag. Regeringen anser, till skillnad från utredningen, att det inte finns skäl att i åklagarväsendets brottsdatalag upplysa om att det i andra lagar finns specialbestämmelser för Ekobrottsmyndigheten.
11.3. Grundläggande bestämmelser om behandling
11.3.1. Rättsliga grunder och behandling för nya ändamål
Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att myndigheten ska kunna utföra sin uppgift att
1. förebygga eller förhindra brottslig verksamhet,
2. utreda eller lagföra brott,
3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,
4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller
5. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens.
Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. Regleringen som den framgår i hittillsvarande 2 kap. 5 § första stycket åklagardatalagen bör alltså behållas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger åklagare rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. I propositionen anges vad som avses med rättslig grund och att direktivet kräver att grunden ska vara tydlig, precis och förutsägbar (se prop. 2017/18:232 s. 116). Det konstateras där att kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. För åklagarväsendets del kan t.ex.
2 § första stycket förordning (2015:743) med instruktion för Åklagarmyndigheten nämnas, varav det framgår att Åklagarmyndigheten ska se till att personer som begår brott blir föremål för brottsutredning och lagföring. Sådana slag av bestämmelser, tillsammans med den
föreslagna regleringen i 2 kap. 1 § i lagen, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar (se även avsnitt 11.2 för en översikt av författningsstödet för åklagarnas verksamhet).
I dag får personuppgifter behandlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Åklagarmyndigheten och Ekobrottsmyndigheten bör givetvis även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör anpassas till brottsdatalagens terminologi. Det brottsförebyggande arbete som utförs vid Ekobrottsmyndigheten är inte något underrättelsearbete, utan ett strategiskt förebyggande arbete där personuppgifter normalt inte förekommer, men det kan inte uteslutas att personuppgifter förekommer (se prop. 2014/15:63 s. 64). Underrättelseverksamheten regleras i polisens brottsdatalag.
Åklagare för talan om ändring av påföljder bl.a. med stöd av 38 kap.2 och 2 a §§brottsbalken. Åklagare prövar numera även vissa frågor om straffverkställighet när de utfärdar en nordisk eller europeisk arresteringsorder. Åklagare vidtar även åtgärder inom ramen för verkställighet av ett strafföreläggande. Som exempel kan nämnas att information om ett utfärdat strafföreläggande överförs till Polismyndighetens system för uppbördsverksamhet. Eftersom det ingår i åklagares arbetsuppgifter att handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder bör det i lagen anges som en tillåten rättslig grund för åklagares personuppgiftsbehandling.
Åklagare prövar även frågor enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang. Sådan verksamhet rör allmän ordning och säkerhet. Att handlägga frågor som rör upprätthållande av allmän ordning och säkerhet bör därför också anges i lagen som en tillåten rättslig grund för personuppgiftsbehandling.
Åklagarväsendets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i åklagarväsendets brottsdatalag bör den senare, som utredningen föreslår, helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt åklagare att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.
Till skillnad från Datainspektionen anser regeringen att den analys som gjorts är tillräcklig när det gäller frågan om direktivets krav på en tydlig, precis och förutsägbar rättslig grund för åklagarväsendets behandling av personuppgifter.
Behandling för nya ändamål
I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § åklagardatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte
behövs och således inte bör ingå i åklagarväsendets brottsdatalag. Förutsättningarna för behandling för nya ändamål bör i stället regleras i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Samma prövning ska göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i åklagarväsendets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.
Hänvisningar till S11-3-1
- Prop. 2017/18:269: Avsnitt 18.5
11.3.2. Behandling av biometriska och genetiska uppgifter
Regeringens bedömning: Det finns inte skäl att särskilt föreskriva att
Åklagarmyndigheten och Ekobrottsmyndigheten får behandla biometriska och genetiska uppgifter.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anför att det eventuellt skulle kunna uppkomma behov för åklagare att behandla biometriska uppgifter och att det är viktigt att säkerställa att de föreslagna begränsningarna i uppgiftsbehandling inte inverkar negativt på den misstänktes möjlighet att själv föranstalta genetiska och biometriska undersökningar. Ekobrottsmyndigheten ser ett behov av att behandla biometriska uppgifter för att effektivt kunna bekämpa den ekonomiska brottsligheten. Övriga remissinstanser yttrar sig inte i denna del.
Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning.
Enligt 2 kap.12 och 13 §§brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Till skillnad från Hovrätten för Västra Sverige och Ekobrottsmyndigheten instämmer regeringen i utredningens bedömning att det är svårt att se att åklagare har något behov av att behandla biometriska och genetiska uppgifter. Det ska i sammanhanget anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Åklagare kommer alltså att kunna behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag. Den behandlingen är för åklagare tillräcklig. Det finns därför inte behov av någon bestämmelse i lagen som medger behandling av biometriska och genetiska uppgifter. Samhälls- och teknikutvecklingen kan dock innebära att det framöver finns anledning att överväga denna fråga på nytt.
Att åklagare inte medges behandla biometriska och genetiska uppgifter bedöms inte inverka negativt på den misstänktes möjlighet att själv för-
anstalta om genetiska och biometriska undersökningar. Det finns därför inte skäl att, som Hovrätten för Västra Sverige anför, särskilt säkerställa att den misstänkte har möjlighet att själv föranstalta om sådana undersökningar.
Hänvisningar till S11-3-2
11.3.3. Sökning på känsliga personuppgifter
Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot förslaget.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, enligt vilket det är förbjudet att utföra sökningar i alla slags personuppgifter i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet inte är att få fram ett sådant urval av personer är sökningen tillåten, även om känsliga personuppgifter används vid sökningen. Detta skiljer sig från dagens reglering i 3 kap. 4 § första stycket åklagardatalagen, som förbjuder att känsliga personuppgifter används som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter enligt nu gällande reglering får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Vidare följer av 3 kap. 4 § andra stycket åklagardatalagen att brottsrubriceringar eller uppgifter som beskriver en persons utseende får användas som sökbegrepp även vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Eftersom sökförbudet utformats på ett nytt sätt i brottsdatalagen är det nödvändigt att se över bestämmelserna om sökning för åklagarväsendets del.
Sökförbudet kommer att gälla i större utsträckning än i dag, eftersom det även träffar uppgifter som inte gjorts gemensamt tillgängliga. De förändrade reglerna kring myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämra förmågan att bedriva en effektiv verksamhet. Enligt utredningen innebär förändringen dock inte någon försämring i praktiken, eftersom sammanställningar grundande på känsliga personuppgifter normalt inte görs av åklagare. Regeringen delar denna bedömning. I vissa fall kan det dock uppstå behov för en åklagare att utföra sökningar på känsliga personuppgifter. Det ska då framhållas att den föreslagna regleringen medger en sådan sökning så länge inte syftet med den är att få fram ett urval av personer grundat på känsliga personuppgifter (2 kap. 14 § brottsdatalagen).
Myndigheterna har även i fortsättningen behov av att kunna använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör alltså även fort-
sättningsvis vara tillåtet att söka på t.ex. brottsrubriceringen ”våldtäkt mot barn”, även om det kan avslöja en sexuell preferens hos en gärningsman. Det kan vidare finnas behov av att t.ex. söka efter hur många vittnen som har beskrivit en gärningsmans utseende på ett visst sätt, även om det kan avslöja ras eller uppgifter om hälsa. Det bör därför göras undantag i åklagarväsendets brottsdatalag för sådana sökningar. Eftersom det generella sökförbudet i 2 kap. 14 § brottsdatalagen gäller oavsett om uppgifterna har gjorts gemensamt tillgängliga eller inte bör undantaget omfatta sökning i alla slags personuppgifter.