SOU 2001:92

Behandling av personuppgifter i polisens verksamhet

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 9 december 1999 att tillsätta en särskild utredare med uppdrag att följa genomförandet av den nya polisregisterlagstiftningen.

Till särskild utredare förordnades regeringsrådet Göran Schäder fr.o.m. den 1 januari 2000. Som experter förordnades fr.o.m. den den 1 februari 2000 biträdande chefsjuristen Maria Berggren Broms, polismästaren Anders Danielsson, hovrättsassessorn Lotta Gustavsson, verksjuristen Aimée Jillger och tillsynsdirektören Britt-Marie Wester. Lotta Gustavsson entledigades från sitt uppdrag fr.o.m. den 22 maj 2000 och fr.o.m. samma dag förordnades numera rättschefen Christina Weihe som expert. Fr.o.m. den 15 juni 2001 entledigades Britt-Marie Wester från sitt uppdrag och fr.o.m. samma dag förordnades avdelningsdirektören Anna-Karin Waldton som expert.

Till sekreterare åt utredningen förordnades fr.o.m. den 14 februari 2000 hovrättsassessorn Roy Johansson.

Utredningen har antagit namnet Polisdatautredningen. Härmed överlämnas utredningens betänkande Behandling av personuppgifter i polisens verksamhet (SOU 2001:92).

Arbetet har bedrivits i nära samverkan med experterna i utredningen. Experterna har i huvudsak ställt sig bakom de förslag som läggs fram. Betänkandet är därför skrivet i vi-form.

Särskilt yttrande har avgetts av Anna-Karin Waldton. Utredningens uppdrag är härmed slutfört.

Stockholm i november 2001

Göran Schäder

/Roy Johansson

Sammanfattning

Några utgångspunkter

Utredningens direktiv innebär ett uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och att påtala eventuella brister särskilt från integritetssynpunkt. Utredningen skall överväga om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.

Sedan den 1 april 1999 gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1988:622). Den nya lagen bygger på personuppgiftslagen (1998:204) och innehåller bara de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om behandling av personuppgifter i polisens verksamhet. Övriga lagar inom detta område utgörs av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och lagen (2000:344) om Schengens informationssystem.

Nämnda lagar har utgjort utgångspunkten för vårt arbete. Bland övriga rättskällor av betydelse bör särskilt nämnas Europolkonventionen, Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

Målsättningen med våra förslag är att de skall utgöra en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. En utgångspunkt för oss i arbetet har varit att hinder för ett rationellt utnyttjande av datorstöd inte bör ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten.

Vi har i enlighet med direktiven inventerat de register som förs inom polisen. Den befintliga registerstrukturen har uppkommit främst som följd av Datainspektionens tillstånd för polisen att föra olika

enskilda register och är således inte resultatet av någon övergripande planering.

Ett stort antal register förs, såväl centralt som lokalt. Registren kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen – register som förs med stöd av särskilda regler i lagstiftningen, – register som förs med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen, och – register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av tillstånd från Datainspektionen.

Det traditionella registerbegreppet har vid flera tillfällen kritiserats. Dagens system inom polisen byggs företrädesvis som ärendehanteringssystem och inte som traditionella register. I ärendehanteringssystem lagras hela aktmaterial. Systemen är anpassade för fritextsökning. Vi finner dock inte anledning att i lagstiftningen ersätta begreppet register som beteckning för vissa fastställda informationsmängder med något annat begrepp.

Nya arbetsmetoder och ny teknik

Inom en mycket snar framtid lär praktiskt taget allt skrivarbete komma att utföras med hjälp av datorer. En realistisk lagstiftning måste ta hänsyn till de nya förhållandena. Manuell behandling av information, däribland personuppgifter, är inte längre ett realistiskt alternativ till automatiserad behandling av information. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet.

Polisen skall enligt nyare uttalanden från statsmakterna arbeta problemorienterat och verka brottsförebyggande. Arbetet skall vara proaktivt och inte reaktivt inriktat. För att kunna verka brottsförebyggande måste dock polisen inhämta och bearbeta information om enskilda personer i större utsträckning än som skedde vid ett traditionellt reaktivt arbetssätt. Det ligger därför i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt.

Användningen av digital teknik för behandling av ljud och bild är i hög grad ägnad att höja kvaliteten på polisens brottsutredningar. Detta gäller framför allt beträffande digitala bilder. Eftersom den digitala tekniken får anses utgöra automatiserad behandling blir dock bestämmelserna i personuppgiftslagen tillämpliga i den utsträckning

behandlingen avser digitala bilder eller ljud som innehåller personuppgifter.

Polisens intranät används i första hand för att sprida verksamhetsrelaterad information inom polismyndigheterna.

Informationsutbytet med Europol

Sverige har anslutit sig till Europolkonventionen. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna. Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter bearbetas och analyseras sedan hos Europol. Resultatet av bearbetningen och analyserna delges därefter medlemsländerna.

Polisdatalagen medger inte att personuppgifter som härrör från kriminalunderrättelseverksamhet behandlas automatiserat annat än i särskilda undersökningar eller kriminalunderrättelseregister. Härigenom har informationsutbytet med Europol kommit att allvarligt försvåras.

En nordisk jämförelse

Som underlag för våra överväganden har vi inhämtat upplysningar om vilka regler som gäller i Danmark, Finland och Norge beträffande automatiserad behandling av personuppgifter i polisens verksamhet. Jämförelsen visar att den svenska lagstiftningen är mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna.

En ny polisdatalag

I enlighet med direktiven för utredningen har vi analyserat konsekvenserna av den nya regleringen om polisens rätt att behandla personuppgifter automatiserat. Vi har vid vår analys av lagstiftningen kommit fram till att det behöver göras ändringar av regleringen i polisdatalagen. Ändringarna som vi anser erfordras är relativt omfattande. Vi anser därför att en ny lag om behandling av personuppgifter i polisens verksamhet som ersätter den nuvarande polisdatalagen bör införas. Även den nya lagen bör ges namnet polisdatalagen.

De särskilda lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem bör vara kvar oförändrade.

Den nya polisdatalagen bör vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet.

Den nya lagens syfte bör liksom personuppgiftslagen vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Den nya lagen bör gälla vid behandling av personuppgifter i sådan polisverksamhet som avses i 2 § 1–3 polislagen (1984:387), dvs. i den egentliga polisverksamheten.

Lagen bör gälla vid behandling av personuppgifter i form av bilder eller ljud, dock ej vid sådan behandling som består i insamling av personuppgifter genom upptagning av bilder eller ljud. Lagen bör inte gälla vid insamling av personuppgifter genom teleavlyssning, teleövervakning eller kameraövervakning.

Det digitala referensbiblioteket över barnpornografiska framställningar som förs av Rikskriminalpolisen behöver inte regleras särskilt i lagstiftningen.

Den nya polisdatalagen bör gälla enbart i polisens verksamhet. Lagen bör därför inte omfatta Ekobrottsmyndigheten.

Grundläggande bestämmelser om behandling av personuppgifter i den nya polisdatalagen

Personuppgiftslagensdefinitioner av begreppen behandling av personuppgifter, blockering av personuppgifter, mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud, tillsynsmyndigheten och tredje man samt polisdatalagens definition av begreppet DNA-analys bör finnas med även i en ny lag för polisen.

Bestämmelsen i 9 § personuppgiftslagen om grundläggande krav på behandling av personuppgifter bör även i fortsättningen gälla i polisens verksamhet. Även särbestämmelsen om gallring i 13 § polisdatalagen bör vara kvar.

Rikspolisstyrelsen bör även i fortsättningen vara ensam personuppgiftsansvarig för de centrala registren i polisens verksamhet. En bestämmelse som ger Rikspolisstyrelsen möjlighet att besluta verkställighetsföreskrifter bör ingå i en ny polisdataförordning.

Personuppgifter bör få behandlas endast om behandlingen är nödvändig för att polisen skall kunna utföra polisverksamhet som består i att

1. förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Den nya lagen bör inte hindra att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Bestämmelsen i 5 § polisdatalagen om behandling av känsliga personuppgifter bör gälla även i fortsättningen.

Bestämmelsen i 22 § personuppgiftslagen om behandling av personnummer och samordningsnummer bör gälla på polisområdet. Dock bör samtycke inte kunna åberopas som grund för behandling.

I 10 och 11 §§polisdatalagen finns bestämmelser om behandling av uppgifter om kvarstående misstankar. Dessa bestämmelser bör oförändrat gälla även i fortsättningen.

Någon bestämmelse om förbud mot överföring av personuppgifter till tredje land motsvarande 33 § personuppgiftslagen bör inte gälla i den egentliga polisverksamheten. En följd av detta blir att offentliga personuppgifter kan spridas på Internet. Av integritetsskäl bör dock en efterlysning av en person med anledning av att han eller hon avvikit från verkställande av påföljd för brott eller med anledning av att han eller hon misstänks för brott, få ske på Internet endast om

1. domen eller misstanken avser ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet, eller

2. personen kan antas vara farlig för annans personliga säkerhet.

Reglerna i 2327 §§personuppgiftslagen om information till registrerade bör även i fortsättningen gälla i polisens verksamhet. Det behövs dock därutöver ytterligare två undantag från polisens informationsplikt. I fall uppgifter om en enskild person samlas in från personen själv, bör information heller inte behöva lämnas, om – det finns bestämmelser om antecknandet eller utlämnandet av personuppgifter i författning, eller – uppgifterna samlas in i samband med larm eller annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige.

I stället för att som i dag avse registrerade bör bestämmelserna i den nya lagen om information avse enskilda.

Bestämmelserna i 28 § personuppgiftslagen om rättelse bör även i fortsättningen gälla på polisområdet. Bestämmelserna bör dock avse den enskilde i stället för den registrerade.

När det gäller säkerheten vid behandling bör liksom i dag bestämmelserna i 3032 §§personuppgiftslagen gälla i polisens verksamhet. Regeln i 32 § om tillsynsmyndighetens rätt att besluta om säkerhetsåtgärder bör dock meddelas genom förordning. Därutöver bör det i den nya lagen finnas en bestämmelse som föreskriver att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till information om uppgifterna.

Bestämmelsen i 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen bör liksom i dag gälla för polisen.

I 68 §§polisdatalagen och i 15–16 §§ polisdataförordningen finns bestämmelser om utlämnande av uppgifter. Bestämmelserna bör oförändrade föras över till en ny polisdatalag respektive en ny polisdataförordning.

Bestämmelserna i 3641 §§personuppgiftslagen och 3–7 §§ personuppgiftsförordningen om anmälan till tillsynsmyndigheten och personuppgiftsombudets uppgifter, i 13 § personuppgiftsförordningen om bemyndiganden, i 2 § polisdataförordningen om förhandskontroll, och i 14 § polisdataförordningen om underrättelseskyldighet bör gälla även i fortsättningen för polisen.

Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmälan därför inte behöver göras, bör anmälan i stället göras till personuppgiftsombudet. En ny polisdatalag bör innehålla en bestämmelse härom.

Bestämmelsen i 42 § personuppgiftslagen om upplysningar till allmänheten om behandlingar som inte anmälts bör gälla för polisen.

Personuppgiftslagens bestämmelser i 4347 §§personuppgiftslagen och i 2 § personuppgiftsförordningen om Datainspektionens befogenheter bör gälla på polisområdet. Bestämmelserna bör dock meddelas i förordning.

Bestämmelserna i 48 § personuppgiftslagen och i 9 § polisdatalagen om skadestånd bör gälla för polisen också i fortsättningen. Den nya regeln bör dock avse enskilda och inte registrerade. Någon straffbestämmelse motsvarande 49 § personuppgiftslagen behövs inte i den nya lagen.

Bestämmelserna i 51 § personuppgiftslagen om överklagande bör i sak gälla även i fortsättningen för polisen. Dessutom bör det i en ny lag föreskrivas att en myndighets beslut om rättelse och om information som skall lämnas efter ansökan skall överklagas hos kammarrätten.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Vid utformningen av en lag om behandling av personuppgifter i polisens verksamhet måste beaktas att polisens arbete skall vara inriktat främst på brottsförebyggande verksamhet.

Polisdatalagen innehåller en reglering om behandling av personuppgifter i kriminalunderrättelseverksamhet och i kriminalunderrättelseregister. Regleringen har kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande.

En lag om behandling av personuppgifter bör handla om just behandling av personuppgifter och inte vara inriktad på att reglera vissa verksamheter eller arbetsmetoder hos polisen. Bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister bör bl.a. av det skälet inte vara kvar i en ny polisdatalag. Bestämmelserna härom bör i stället ersättas av bestämmelser om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot.

De personuppgifter som kommer att omfattas av sistnämnda regler är först och främst sådana som avser personer som inte är misstänkta för något konkret brott, men väl för att ha utövat eller utöva brottslig verksamhet. Uppgifterna kan dock även avse andra personer, t.ex. personer som lämnat upplysningar om iakttagelser m.m. utan att själva vara misstänkta.

Uppgifter om en enskild person som det inte finns någon misstanke om brott mot bör få behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Alla uppgifter som är nödvändiga för ändamålet med behandlingen bör få behandlas. Om uppgifter om en person som det över huvud taget inte finns någon misstanke mot behandlas, bör uppgiften förses med en anteckning om detta förhållande. Vid aktuell behandling av personuppgifter bör uppgifterna förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Aktuell behandling av personuppgifter bör få ske för att underlätta övervakning av personer som kan antas komma att begå brott. Behandling i detta syfte bör dock endast få avse dömda personer som antingen är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Den personuppgiftsansvarige bör särskilt besluta de ändamål och villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet. När det gäller villkor i övrigt kan det

t.ex. röra sig om hur information skall inhämtas, hur arbetet skall ske och avrapporteras samt säkerheten vid behandling m.m.

Personuppgifter som behandlas enligt här aktuella bestämmelser bör få bevaras högst tre år från det att uppgifterna om personen samlades in. Uppgifter som behandlas för att underlätta övervakning av personer som kan antas komma att begå brott bör dock få bevaras till dess att uppgifterna gallras ur belastningsregistret.

Bestämmelserna om aktuell behandling av personuppgifter bör inte gälla personuppgifter – i en förundersökning, eller – i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Det allmänna spaningsregistret

Det föreligger ett mycket stort behov av det allmänna spaningsregistret (ASP) inom brottsbekämpningen. ASP är viktigt bl.a. för att närpolisverksamheten skall kunna fungera.

Det bör i den nya polisdatalagen införas särskilda regler om ASP. Lagregleringen bör i allt väsentligt ge polisen rätt att fortsätta den behandling av personuppgifter som i dag förekommer.

ASP bör få föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott. Bestämmelserna i den nya polisdatalagen om behandling av uppgifter om kvarstående misstankar bör inte gälla vid behandling av personuppgifter i ASP.

I ASP bör uppgifter som kan hänföras till en enskild person få föras in endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott och om registreringen är av särskild betydelse för brottsbekämpningen. Uppgifter om transportmedel eller andra varor som kan antas ha samband med brott bör få registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med en upplysning om att det inte finns någon misstanke mot denne. I lagen bör vidare anges vilka typer av personuppgifter som får eller skall registreras i ASP.

Personuppgifter i ASP bör som regel gallras senast tre år efter det att uppgifter om att den registrerade kan misstänkas för att ha begått brott senast infördes. Om den senaste händelsen avser misstanke om ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet bör dock uppgifterna få stå kvar i fem år efter den senaste registreringen.

Uppgifter ur ASP bör under vissa förutsättningar få lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet. Polismyndigheterna bör få ha direkt åtkomst till uppgifter i ASP.

Ytterligare bestämmelser om vissa register m.m.

Den nya polisdatalagen bör utöver regler om ASP innehålla särskilda regler om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister.

Bestämmelserna i 2228 §§polisdatalagen och i 11 § polisdataförordningen om register med uppgifter om DNA-analyser i brottmål bör gälla även i fortsättningen.

Särskilda författningsregler om den behandling av personuppgifter i Statens kriminaltekniska laboratoriums verksamhet som sker med anledning av laboratoriets DNA-analyser bör inte införas.

Bestämmelserna i 2931 §§polisdatalagen om fingeravtrycks- och signalementsregister bör gälla även i fortsättningen. Sådana register bör dock utöver vad som framgår av 30 § polisdatalagen även få innehålla uppgifter om brottskoder.

Det behövs inte någon särskild författningsreglering för eventuella centrala system motsvarande de lokala system som i dag används, t.ex. rationell anmälningsrutin (RAR), datoriserad utredningsrutin – tvångsmedel (DurTvå) och kommunikationscentralernas system (KCsystemen).

Säkerhetspolisen

En ändring av Säkerhetspolisens organisation bestående i en sammanslagning mellan Säkerhetspolisen och Rikskriminalpolisen övervägs för närvarande. Våra förslag utgår från den nuvarande organisationen av Säkerhetspolisen.

Bestämmelserna i den nya polisdatalagen om behandling av personuppgifter i Säkerhetspolisens verksamhet bör i huvudsak ha samma innebörd som i dag. Den särskilda lagregleringen om SÄPOregistret bör dock inte vara kvar i den nya lagen. Några särskilda registerbestämmelser för Säkerhetspolisen bör inte heller i övrigt införas.

Säkerhetspolisen bör få behandla personuppgifter för att underlätta – spaning i syfte att förebygga och avslöja brott mot rikets säkerhet, – spaning i syfte att bekämpa terrorism och

– registerkontroll enligt säkerhetsskyddslagen.

Bestämmelserna i den nya polisdatalagen om behandling av uppgifter om kvarstående misstankar och om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot bör inte gälla för Säkerhetspolisen.

Ikraftträdande

Den nya polisdatalagen bör kunna träda i kraft den 1 juli 2003, då polisdatalagen (1998:622) bör upphöra att gälla. Vi har bedömt att några övergångsbestämmelser till den nya lagen inte behövs.

Konsekvenser

Vi har genomfört konsekvensanalyser enligt 14 och 15 §§kommittéförordningen (1998:1474). Våra förslag bör ge polisen bättre förutsättningar att arbeta problemorienterat och verka brottsförebyggande.

Enligt vår bedömning ger de förslag som vi lämnar inte upphov till kostnader som inte ryms inom berörda myndigheters anslag. Förslagen i övrigt får inte några sådana konsekvenser som motiverar en särskild redovisning.

Författningsförslag

1. Förslag till polisdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Syftet med lagen

1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i polisens verksamhet.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i polisens verksamhet för att

1. förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Lagen gäller också behandling av sådana uppgifter som avses i 5 kap. 10 och 11 §§.

3 § Lagen gäller inte för behandling av personuppgifter som företas med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2000:344) om Schengens informationssystem.

Lagen gäller heller inte vid insamling av personuppgifter genom teleavlyssning, teleövervakning eller kameraövervakning. Lagen gäller vid övrig behandling av personuppgifter i form av bilder eller ljud, dock ej vid sådan behandling som består i insamling av personuppgifter genom upptagning av bilder eller ljud.

Vid behandling av personuppgifter i form av bilder eller ljud skall vad som i lagen sägs om insamling tillämpas när uppgifterna första gången behandlas efter det att insamlingen avslutats.

4 § Vid annan behandling av personuppgifter i polisens verksamhet än som avses i 2 eller 3 § gäller personuppgiftslagen (1998:204).

5 § Bestämmelserna i 1 och 2 kap., 3 kap. 1 och 2 §§, 4 kap. samt 6 och 7 kap. gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad samt även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 3 kap. 3–11 §§ och 5 kap. gäller endast automatiserad behandling av personuppgifter.

Definitioner

6 § I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning Betydelse

Behandling (av personuppgifter) Varje åtgärd eller serie av åt-

gärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Blockering (av personuppgifter)

En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

DNA-analys

Varje förfarande som kan användas för analys av deoxyribonukleinsyra.

Mottagare

Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsombud

Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

2 kap. Grundläggande principer vid behandling av personuppgifter

Grundläggande krav på behandlingen av personuppgifter

1 § Den personuppgiftsansvarige skall se till att

1. personuppgifter behandlas bara om det är lagligt,

2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

4. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

5. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

9. gallring sker av personuppgifter som inte längre behövs för ändamålet med behandlingen om inte annat anges i denna lag.

Vad som sagts i första stycket 9 gäller inte personuppgifter

1. i en förundersökning, eller

2. i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

2 § Vid tillämpning av 1 § första stycket 4 gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i 1 § första stycket 9. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den enskilde bara om den enskilde har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den enskildes vitala intressen.

När behandlingen av personuppgifter är tillåten

3 § Personuppgifter får behandlas bara om behandlingen är nödvändig för att sådan polisverksamhet som anges i 1 kap. 2 § första stycket skall kunna utföras.

Lagen hindrar inte att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

3 kap. Vissa behandlingar av personuppgifter

Behandling av känsliga personuppgifter

1 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning.

Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, om det är oundgängligen nödvändigt för syftet med behandlingen.

Behandling av personnummer

2 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

1. ändamålet med behandlingen,

2. vikten av en säker identifiering, eller

3. något annat beaktansvärt skäl.

Behandling av uppgifter om kvarstående misstankar

3 § Om en förundersökning mot en person har lagts ned på grund av bristande bevisning får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast under förutsättning att

1. den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och

2. uppgifterna behövs för att förundersökningen skall kunna tas upp på nytt.

4 § Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast

1. om förundersökningen tas upp på nytt eller

2. för prövning av ett särskilt rättsmedel enligt 58 kap. rättegångsbalken.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Syften med behandlingen

5 § Uppgifter om en enskild person som det inte finns någon misstanke om brott mot får behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Uppgifter om en enskild person som det inte finns någon misstanke mot skall förses med en upplysning om detta förhållande.

6 § Personuppgifter som behandlas enligt 5 § skall förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

7 § Personuppgifter som behandlas enligt 5 § för att underlätta övervakning av personer som kan antas komma att begå brott får endast avse dömda personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Beslut om villkor för behandlingen

8 § Den personuppgiftsansvarige skall särskilt besluta ändamål för behandlingen av personuppgifter och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet.

Gallring

9 § Personuppgifter som behandlas enligt 5 § får inte bevaras längre tid än tre år från det att uppgifterna om personen samlades in. Sådana personuppgifter som avses i 7 § får dock bevaras senast till dess att uppgifterna om personen gallras ur belastningsregistret.

Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Behandling av personuppgifter som inte omfattas av bestämmelserna

10 § Bestämmelserna i 5–9 §§ gäller inte behandling av personuppgifter

1. i en förundersökning eller

2. i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Behandling av uppgifter på Internet om efterlysningar av enskilda personer

11 § En efterlysning av en person med anledning av att han eller hon avvikit från verkställighet av påföljd för brott eller med anledning av att han eller hon misstänks för brott, får göras allmänt tillgänglig på

Internet endast om

1. domen eller misstanken avser ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet eller

2. personen kan antas vara farlig för annans personliga säkerhet.

4 kap. Särskilt om behandling av personuppgifter hos Säkerhetspolisen

1 § Säkerhetspolisen får utan hinder av bestämmelserna i 3 kap. 3– 10 §§ behandla personuppgifter för att underlätta

1. spaning i syfte att förebygga och avslöja brott mot rikets säkerhet,

2. spaning i syfte att bekämpa terrorism och

3. registerkontroll enligt säkerhetsskyddslagen (1996:627).

5 kap. Register

Spaningsregister

Ändamål

1 § Rikspolisstyrelsen får föra ett allmänt spaningsregister för polisens spaningsverksamhet. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

2 § Det allmänna spaningsregistret får föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott.

Innehåll

3 § Det allmänna spaningsregistret får innehålla uppgifter som kan hänföras till en enskild person endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott och om registreringen är av särskild betydelse för brottsbekämpningen.

Uppgifter om transportmedel eller andra varor som kan antas ha samband med ett brott eller om hjälpmedel som kan antas ha använts i samband med ett brott får registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot denne.

4 § Det allmänna spaningsregistret får innehålla följande uppgifter om en enskild person:

1. upplysningar om varifrån den registrerade uppgiften kommer och om uppgiftslämnarens trovärdighet,

2. identifieringsuppgifter,

3. vistelseadress,

4. uppgifter om särskilda fysiska kännetecken,

5. uppgifter om verkställighet av påföljd för brott,

6. uppgifter om varor, brottshjälpmedel och transportmedel,

7. ärendenummer och

8. varning om att personen tidigare varit beväpnad, våldsam eller flyktbenägen.

Det allmänna spaningsregistret skall alltid innehålla uppgifter om de omständigheter och händelser som gett anledning att anta att den registrerade begått brott.

Gallring

5 § Uppgifter i det allmänna spaningsregistret om en registrerad person skall gallras senast tre år efter det att uppgifter om att denne kan misstänkas för att ha begått ett brott senast infördes. Om den senast införda uppgiften avser misstanke om ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet behöver dock uppgifterna inte gallras förrän fem år efter att den senaste uppgiften infördes.

Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.

Bestämmelser som inte gäller

6 § Bestämmelserna i 3 kap. 3 och 4 §§ gäller inte vid behandling av personuppgifter i det allmänna spaningsregistret.

Register med uppgifter om DNA-analyser i brottmål

Ändamål

7 § Uppgifter om resultat av DNA-analyser får behandlas endast för att underlätta identifiering av personer i samband med utredning av brott.

Rikspolisstyrelsen får föra register (DNA-register och spårregister) i enlighet med 8–12 §§ över de uppgifter som behandlas. Rikspolisstyrelsen är personuppgiftsansvarig för behandling av uppgifter i registren.

Sådana uppgifter som avses i första stycket får även behandlas i

1. i en förundersökning eller

2. i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

DNA-register

8 § Ett DNA-register får innehålla uppgifter om resultatet av DNAanalyser som har gjorts under utredning av ett brott och som avser personer som har dömts för

1. ett sådant brott mot en persons liv eller hälsa, personliga integritet eller säkerhet som avses i 3, 4, 6, 8, 12 eller 17 kap. brottsbalken, om brottet kan leda till fängelse i mer än två år,

2. ett allmänfarligt brott som avses i 13 kap. brottsbalken, om brottet kan leda till fängelse i mer än två år, eller

3. försök, förberedelse, stämpling, anstiftan eller medhjälp till ett sådant brott som avses i 1 eller 2.

9 § Registreringen av ett analysresultat skall begränsas till uppgifter som ger information om den registrerades identitet. Analysresultat som kan ge upplysning om den registrerades personliga egenskaper får inte registreras.

Utöver vad som sägs i första stycket får DNA-registret endast innehålla upplysningar som visar i vilket ärende analysen har gjorts och vem analysen avser.

Spårregister

10 § Ett spårregister får innehålla uppgifter om DNA-analyser som har gjorts under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver uppgifter om analysresultat får ett spårregister endast innehålla upplysningar som visar i vilket ärende analysen har gjorts.

11 § Uppgifter i spårregister får endast jämföras med analysresultat

1. som inte kan hänföras till en identifierbar person,

2. som finns i DNA-registret, eller

3. som kan hänföras till en person som är misstänkt för brott.

Gallring

12 § Uppgifter i DNA-registret skall gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i spårregister skall gallras senast trettio år efter registreringen.

Prover från personer som inte är misstänkta för brott

13 § Om det i samband med utredning av ett brott har tagits ett prov för

DNA-analys från någon som inte är misstänkt för brottet får provet inte användas för något annat ändamål än det för vilket det togs. Ett sådant prov får inte heller sparas efter det att målet slutligt har avgjorts.

Fingeravtrycks- och signalementsregister

Ändamål

14 § För att underlätta identifiering av personer i samband med brott får Rikspolisstyrelsen behandla uppgifter i fingeravtrycks- och signalementsregister. Ett sådant register får användas för identifiering av okända personer även i andra fall. Rikspolisstyrelsen är personuppgiftsansvarig för behandling av uppgifter i registren.

Sådana uppgifter som avses i första stycket får även behandlas i

1. i en förundersökning eller

2. i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Uppgifter som får behandlas

15 § Fingeravtrycks- och signalementsregister får endast innehålla uppgifter om den som är misstänkt eller dömd för brott eller som har fått lämna fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. I ett sådant register får endast antecknas uppgifter om

1. fingeravtryck,

2. signalement,

3. identifieringsuppgifter,

4. ärendenummer och

5. brottskoder.

Gallring

16 § Uppgifter i fingeravtrycks- eller signalementsregister om en misstänkt person skall gallras när förundersökning eller åtal mot personen läggs ned eller när åtal ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade skall behandlas med stöd

av 3 kap. 3 och 4 §. När dessa uppgifter gallras skall även uppgifter i fingeravtrycks- och signalementsregister gallras.

Om den registrerade döms skall uppgifterna i registret gallras senast vid den tidpunkt då uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Regeringen får meddela föreskrifter om gallring av uppgifter om den som har lämnat fingeravtryck enligt lagen (1991:572) om särskild utlänningskontroll.

6 kap. Information till den enskilde, rättelse och säkerheten vid behandling

Information till den enskilde

Information som skall lämnas självmant

1 § Om uppgifter om en enskild person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den enskilde information om behandlingen av uppgifterna.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om antecknandet eller utlämnandet av personuppgifterna i författning.

Information enligt första stycket behöver heller inte lämnas om uppgifterna samlas in i samband med ett larm eller en annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige.

2 § Om personuppgifterna har samlats in från någon annan källa än den enskilde, skall den personuppgiftsansvarige självmant lämna den enskilde information om behandlingen av uppgifterna när de antecknas.

Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om antecknandet eller utlämnandet av personuppgifterna i författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den enskilde, skall dock information lämnas senast i samband med att så sker.

Vad informationen skall omfatta

3 § Information enligt 1 eller 2 § skall omfatta

1. uppgift om den personuppgiftsansvariges identitet,

2. uppgift om ändamålen med behandlingen, och

3. all övrig information som behövs för att den enskilde skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den enskilde redan känner till.

Information som skall lämnas efter ansökan

4 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

1. vilka uppgifter om den sökande som behandlas,

2. varifrån dessa uppgifter har hämtats,

3. ändamålen med behandlingen, och 4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

5 § I den utsträckning det är särskilt föreskrivet i författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den enskilde gäller inte bestämmelserna i 1–4 §§.

Rättelse

6 § Den personuppgiftsansvarige är skyldig att på begäran av den enskilde snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Säkerheten vid behandling

7 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 8 § första stycket.

Om det i annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i polisens verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.

8 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1. de tekniska möjligheter som finns,

2. vad det skulle kosta att genomföra åtgärderna,

3. de särskilda risker som finns med behandlingen av personuppgifterna och

4. hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

9 § Direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.

7 kap. Övriga bestämmelser

Förhållandet till offentlighetsprincipen

1 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka Rikspolisstyrelsens eller en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att Rikspolisstyrelsen eller en polismyndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 2 kap. 2 § tredje stycket gäller inte för Rikspolisstyrelsens eller en polismyndighets användning av personuppgifter i allmänna handlingar.

Utlämnande av uppgifter

2 § Uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.

3 § Uppgifter får lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Regeringen får meddela föreskrifter om att uppgifter på begäran får lämnas till polis- eller åklagarmyndighet i en stat som är ansluten till Interpol om det behövs för att myndigheten eller organisationen skall kunna förebygga, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas ut enligt vad som framgår av 1 kap. 3 § tredje stycket sekretesslagen (1980:100).

4 § Regeringen får meddela föreskrifter om att uppgifter får lämnas ut även i andra fall än som sägs i 2 och 3 §§.

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

5 § Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

Om det finns ett personuppgiftsombud skall anmälan göras till personuppgiftsombudet

6 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 5 § första stycket inte göras till tillsynsmyndigheten.

Anmälan om sådan behandling av personuppgifter som avses i 5 § första stycket skall då i stället göras till personuppgiftsombudet.

Personuppgiftsombudets uppgifter

7 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för

behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

8 § Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som omfattas av anmälningsskyldighet till tillsynsmyndigheten eller till personuppgiftsombudet. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 5 § skulle ha innehållit.

9 § Personuppgiftsombudet skall hjälpa enskilda att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Förhandskontroll av särskilt integritetskänsliga behandlingar

10 § Regeringen får meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 5 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten till tillsynsmyndigheten enligt 6 §.

Upplysningar till allmänheten om behandlingar som inte anmälts

11 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 5 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Skadestånd

12 § Den personuppgiftsansvarige skall ersätta den enskilde för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Detta gäller dock inte vid behandling av personuppgifter enligt konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.

Överklagande

13 § Tillsynsmyndighetens beslut enligt förordning som har meddelats för verkställighet av denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.

14 § Rikspolisstyrelsens eller en polismyndighets beslut om rättelse och om information som skall lämnas enligt 6 kap. 4 § överklagas till kammarrätten.

_________

Denna lag träder i kraft den 1 juli 2003, då polisdatalagen (1998:622) upphör att gälla.

2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 5 kap1 och 7 §§, 7 kap. 41 § och 9 kap. 17 §sekretesslagen (1980:100) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

1 §

Sekretess gäller för uppgift som hänför sig till

1. förundersökning i brottmål,

2. angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. verksamhet som rör utredning i frågor om näringsförbud, 4. åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, eller

5. Finansinspektionens verksamhet som rör övervakning enligt insiderstrafflagen (2000:1086), om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. För uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdatalagen (1998:622) eller som i annat fall hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terrorism gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Det samma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen

För uppgift som hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terrorism gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Det samma gäller uppgift som hänför sig till sådan underrättelseverksamhet som bedrivs av polisen, sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid

(1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar samt sådan underrättelseverksamhet som avses i 2 § lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

skattemyndigheters medverkan i brottsutredningar samt sådan underrättelseverksamhet som avses i 2 § lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verksamhet hos myndighet för att biträda åklagarmyndighet, polismyndighet, skattemyndighet, Tullverket eller Kustbevakningen med att uppdaga, utreda eller beivra brott samt hos tillsynsmyndighet i konkurs och inom exekutionsväsendet för uppgift som angår misstanke om att en gäldenär har begått brott som avses i 11 kap. brottsbalken eller annat brott som har samband med gäldenärens näringsverksamhet.

I fråga om uppgift i allmän handling som hänför sig till sådan underrättelseverksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om uppgift i allmän handling i övrigt gäller sekretessen i högst fyrtio år.

7 §

Sekretess gäller i verksamhet som avser rättslig hjälp på begäran av annan stat för uppgift som hänför sig till

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som angår tvångsmedel, om det kan antas att den rättsliga hjälpen begärts under förutsättning att uppgiften inte röjs.

Motsvarande sekretess gäller hos polismyndighet och åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen, för uppgift i en angelägenhet som avses i 3 § 1 och 6 lagen (2000:344) om Schengens informationssystem. Utan hinder av sekretessen enligt detta stycke får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen om Schengens informationssystem.

Motsvarande sekretess gäller hos polismyndighet och åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen, för uppgift i en angelägenhet som avses i 3 § 1 och 6 lagen (2000:344) om Schengens informationssystem. Utan hinder av sekretessen enligt detta stycke får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (0000:00) och lagen om Schengens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år.

7 kap.

41 §

Sekretess gäller hos polismyndighet och åklagarmyndighet, samt hos Rikspolisstyrelsen, Tullverket, Kustbevakningen och Migrationsverket, för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem

1. om omhändertagande av en person som har efterlysts för utlämning,

2. om att en person skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlista),

3. om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet, samt

4. om dold övervakning eller särskilda kontrollåtgärder, om det inte står klart att uppgiften kan lämnas ut utan att den enskilde eller någon honom närstående lider men.

Sekretess gäller hos myndighet som prövar ansökningar om visering och uppehållstillstånd för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en sådan framställning som avses i första stycket 2 under samma förutsättningar som anges i första stycket.

Utan hinder av sekretessen får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen (2000:344) om Schengens informationssystem.

Utan hinder av sekretessen får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (0000:00) och lagen (2000:344) om Schengens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

9 kap.

17 §

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1. i utredning enligt bestämmelserna om förundersökning i brottmål,

2. i angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. i åklagarmyndighets, polismyndighets, skattemyndighets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott,

5. i Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller polismyndighet i brottmål,

6. i register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

6. i register som förs av Rikspolisstyrelsen enligt polis-datalagen (0000:00) eller som annars behandlas där med stöd av samma lag,

7. i register som förs enligt lagen (1998:621) om misstankeregister,

8. i register som förs av Riksskatteverket enligt lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

10. i register som förs av Tullverket enligt lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag,

om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men.

Sekretess gäller i verksamhet, som avses i första stycket, för anmälan eller utsaga från enskild, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs.

Utan hinder av sekretessen får en skadelidande, eller den som den skadelidande överlåtit sin rätt till, ta del av en uppgift

1. i en nedlagd förundersökning eller i en förundersökning som avslutats med ett beslut om att åtal inte skall väckas,

2. i en annan brottsutredning som utförts enligt bestämmelserna i 23 kap. rättegångsbalken och som avlutats på annat sätt än med beslut att väcka åtal, med strafföreläggande eller med föreläggande av ordningsbot, eller

3. i en avslutad utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, om den skadelidande, eller den som den skadelidande överlåtit sin rätt till, behöver uppgiften för att kunna få ett anspråk på skadestånd eller på bättre rätt till viss egendom tillgodosett och det inte bedöms vara av synnerlig vikt för den som uppgiften rör eller någon närstående till honom att den inte lämnas ut.

Utan hinder av sekretessen får en uppgift också lämnas ut

1. till enskild enligt vad som föreskrivs i den särskilda lagstiftningen om unga lagöverträdare,

2. till enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har stöd i den lagen,

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (1998:622), lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar och i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (0000:00), lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar och i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

Utan hinder av sekretessen får polisen på begäran av en enskild som lidit person- eller sakskada vid en trafikolycka lämna uppgift om identiteten hos en trafikant som haft del i olyckan.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

_________

1. Denna lag träder i kraft den 1 juli 2003.

2. Äldre bestämmelser om sekretess gäller fortfarande i fråga om uppgifter som hänför sig till tiden före ikraftträdandet.

3. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§säkerhetsskyddslagen (1996:627) skall ha följande lydelse

Nuvarande lydelse Föreslagen lydelse

12 §

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller polisdatalagen (1998:622). Med registerkontroll avses också att sådana personuppgifter hämtas som Rikspolisstyrelsen eller Säkerhetspolisen behandlar utan att det ingår i ett sådant register som avses i första stycket. Med registerkontroll avses dock inte att uppgifter hämtas från en förundersökning eller särskild undersökning i kriminalunderrättelseverksamhet.

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller polisdatalagen (0000.00). Med registerkontroll avses också att sådana personuppgifter hämtas som Rikspolisstyrelsen eller Säkerhetspolisen behandlar utan att det ingår i ett sådant register som avses i första stycket. Med registerkontroll avses dock inte att uppgifter hämtas från en förundersökning eller från en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

21 §

Utlämnande av uppgifter vid registerkontroll får omfatta

1. för säkerhetsklass 1 eller 2: varje uppgift som finns tillgänglig om den kontrollerade och, om det är oundgängligen nödvändigt, om make eller sambo, och

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret, misstanke-

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belastningsregistret och miss-

registret, SÄPO-registret och uppgifter som annars behandlas hos Säkerhetspolisen.

tankeregistret samt uppgifter om den kontrollerade som behandlas hos Säkerhetspolisen.

22 §

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som finns i SÄPO-registret eller annars behandlas hos Säkerhetspolisen samt de uppgifter om den kontrollerade som finns i belastningsregistret och i misstankeregistret om dom eller misstanke om brott som avses i

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla uppgifter om den kontrollerade som behandlas hos Säkerhetspolisen samt de uppgifter om den kontrollerade som finns i belastningsregistret och i misstankeregistret om dom eller misstanke om brott som avses i

3 kap.1, 2, 5 och 6 §§brottsbalken, – 4 kap.16 och 89 a §§brottsbalken, – 6 kap.1 och 2 §§brottsbalken, – 8 kap.46 §§brottsbalken, – 9 kap.3 och 4 §§brottsbalken, – 12 kap. 3 § brottsbalken, – 13 kap.15 b och 7 §§brottsbalken, – 16 kap.13, 5, 6 och 8 §§brottsbalken, – 17 kap. 1 § brottsbalken, – 18 kap.1 och 35 §§brottsbalken, – 19 kap. brottsbalken, – 1 och 3 §§narkotikastrafflagen (1968:64), och – 9 kap. 1 § vapenlagen (1996:67). Även uppgift om försök och förberedelse till dessa gärningar får lämnas ut.

________

Denna lag träder i kraft den 1 juli 2003.

4. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Registret skall endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (1998:622) eller annan svensk författning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (0000:00) eller annan svensk författning.

_________

Denna lag träder i kraft den 1 juli 2003.

5. Förslag till polisdataförordning

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen (0000:00).

I förordningen (1970:517) om rättsväsendets informationssystem finns särskilda föreskrifter om automatiserad behandling av personuppgifter i rättsväsendets informationssystem.

Undantag från gallring

2 § Riksarkivet får, efter samråd med Rikspolisstyrelsen, meddela föreskrifter om att uppgifter som skall gallras enligt 2 kap. 1 § 9, 3 kap. 9 § eller 5 kap. 5 §polisdatalagen (0000:00) får bevaras för historiska, statistiska och vetenskapliga ändamål.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

3 § Uppgifter som behandlas enligt 3 kap. 5 § polisdatalagen (0000:00) får lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet endast om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Spaningsregister

4 § Polismyndigheterna får ha direkt åtkomst till det allmänna spaningsregistret.

Uppgifter ur det allmänna spaningsregistret får lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet endast om uppgiften kan antas ha särskild betydelse

för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Register med uppgifter om DNA-analyser i brottmål

5 § Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter får ha direkt åtkomst till register med uppgifter om

DNA-analyser i brottmål. Polismyndigheterna och åklagarmyndigheternas åtkomst skall dock begränsas till uppgifter om huruvida någon förekommer i register med uppgifter om DNA-analyser i brottmål eller inte.

Tillsynsmyndighet

6 §

Datainspektionen är tillsynsmyndighet enligt polisdatalagen

(0000:00).

Datainspektionens befogenheter

7 § Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 6 kap. 8 § polisdatalagen (0000:00).

I 10 § finns det bestämmelser om Datainspektionens möjligheter att förena beslutet med vite.

8 § Datainspektionen har rätt att för sin tillsyn på begäran få

1. tillgång till de personuppgifter som behandlas,

2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och

3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

9 § Om Datainspektionen inte efter begäran enligt 8 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

10 § Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten

genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 7 § som vunnit laga kraft, får Datainspektionen föreskriva vite.

11 § Innan Datainspektionen beslutar om vite enligt 9 eller 10 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får Datainspektionen dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den personuppgiftsansvarige.

12 § Datainspektionen får hos Länsrätten i Stockholms län ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

Anmälan till Datainspektionen

13 § Anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) gäller inte för behandling av personuppgifter som utförs till följd av Rikspolisstyrelsens eller en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmän handling.

14 § Anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) gäller inte för behandling av personuppgifter i löpande text.

15 § Datainspektionen får meddela föreskrifter om undantag från anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

16 § Datainspektionen skall med automatiserad behandling registrera de behandlingar av personuppgifter som anmälts till inspektionen enligt 7 kap. 5 § första stycket polisdatalagen (0000:00).

Förhandskontroll

17 § Automatiserad behandling av personuppgifter som ger upplysning om att en person är dömd eller misstänkt för brott skall anmälas för förhandskontroll till Datainspektionen tre veckor i förväg.

Första stycket gäller inte om behandlingen utförs

1. i en polismyndighets diarium över inkomna ärenden,

2. till följd av en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut en allmän handling,

3. till följd av bestämmelserna i arkivlagen (1990:782) eller arkivförordningen (1991:446),

4. enligt förordningen (1970:517) om rättsväsendets informationssystem,

5. enligt de särskilda föreskrifterna om register i 5 kap. polisdatalagen (0000:00),

6. i en förundersökning eller i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

7. i ett ärende som rör en enskild person hos en polismyndighet,

8. hos Säkerhetspolisen eller

9. i löpande text och endast avser enstaka personuppgifter.

Underrättelseskyldighet

18 § Justitiekanslern och en domstol som förordnar om beslag på skrift på vilken tryckfrihetsförordningen skall tillämpas eller på en film eller annan upptagning av ljud eller bilder på vilken yttrandefrihetsgrundlagen skall tillämpas skall underrätta Rikspolisstyrelsen om beslutet. Detsamma gäller om beslaget hävs eller förfaller eller om domstolen förordnar om att konfiskering av en sådan skrift eller upptagning skall verkställas.

Utlämnande av uppgifter

19 § Rikspolisstyrelsen får lämna ut uppgifter om efterlysta personer och avlägsnanden ur landet samt om beslut som har samband därmed till Regeringskansliet, Arbetsmarknadsstyrelsen, Migrationsverket,

Utlänningsnämnden, länsstyrelserna, polis- och åklagarmyndigheterna, Kustbevakningen, tullmyndigheterna, de svenska beskickningarna och konsulaten samt de centrala utlänningsmyndigheterna i Danmark, Finland, Island och Norge.

20 § Uppgifter som behandlas enligt polisdatalagen (0000:00) får, om det är förenligt med svenska intressen, lämnas ut till

1. utländsk underrättelse- eller säkerhetstjänst och

2. polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen skall kunna förebygga, upptäcka, utreda eller beivra brott.

Bemyndiganden

21 § Datainspektionen får i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter om

1. i vilka fall behandling av personuppgifter är tillåten,

2. vilka krav som ställs på den personuppgiftsansvarige,

3. i vilka fall användning av personnummer eller samordningsnummer är tillåten,

4. vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla,

5. vilken information som skall lämnas till registrerade och hur informationen skall lämnas,

6. anmälan till inspektionen och förfarandet när anmälda uppgifter har ändrats.

22 § Rikspolisstyrelsen får efter samråd med Datainspektionen meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen (0000:00) och denna förordning.

_________

Denna förordning träder i kraft den 1 juli 2003, då polisdataförordningen (1999:81) upphör att gälla.

6. Förslag till förordning om ändring i sekretessförordningen (1980:657)

Härigenom föreskrivs att 5 § sekretessförordningen (1980:657) skall ha följande lydelse.

Nuvarande lydelse

5 §

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 15 kap. 1 § första stycket sekretesslagen (1980:100).

Myndigheter

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Rikspolisstyrelsen handlingar som utgör underlag för belastningsregistret, misstankeregistret, kriminalunderrättelseregister, DNA-register,

fingeravtrycksregister, signalementsregister och andra register angående brott, handlingar som utgör underlag för sådan särskild undersökning som avses i 14–16 §§polisdatalagen (1998:622), framställningar om fingeravtrycksundersökning samt statistiskt primärmaterial

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – åklagarmyndigheterna utdrag ur folkbokföringsdatabasen, utdrag ur belastningregistret, misstankeregistret och andra register som förs med stöd av polisdatalagen (1998:622), utdrag ur körkortsregistret samt rekvisitioner av sådana utdrag

Föreslagen lydelse

5 §

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 15 kap. 1 § första stycket sekretesslagen (1980:100).

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Rikspolisstyrelsen

– – – – – – – – – – – – – – – – – – –

Sekretessbelagda handlingar som inte behöver registreras

handlingar som utgör underlag för belastnings registret, misstankeregistret, DNA-register fingeravtrycksregister, signalementsregister och andra register angående brott, framställningar om fingeravtrycksundersökning samt statistiskt primärmaterial

– – – – – – – – – – – – – – – – – –

åklagarmyndigheterna utdrag ur folkbokföringsdatabasen, utdrag ur belastningsregistret, misstankeregistret och andra register som förs med stöd av polisdatalagen (0000:00),

utdrag ur körkortsregistret samt rekvisitioner av sådana utdrag

________

Denna förordning träder i kraft den 1 juli 2003.

7. Förslag till förordning om ändring i förordningen (1989:773) med instruktion för Rikspolisstyrelsen

Härigenom föreskrivs att 5 b § förordningen (1989:773) med instruktion för Rikspolisstyrelsen skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 b §

Säkerhetspolisen skall i enlighet med 11 § förordningen (1996:730) med instruktion för Registernämnden lämna utdrag av eller upplysning om

1. innehållet i SÄPO-registret och

2. de övriga uppgifter Säkerhetspolisen behandlar enligt polisdatalagen (1998:622) .

Säkerhetspolisen skall i enlighet med 11 § förordningen (1996:730) med instruktion för Registernämnden lämna utdrag av eller upplysning om de uppgifter Säkerhetspolisen behandlar enligt polisdatalagen (0000:00).

__________

Denna förordning träder i kraft den 1 juli 2003.

8. Förslag till förordning om ändring i folkbokföringsförordningen (1991:749)

Härigenom föreskrivs att 5 § folkbokföringsförordningen (1991:749) skall ha följande lydelse.

Nuvarande lydelse

5 §

Samordningsnummer enligt 18 a § folkbokföringslagen (1991:481) får tilldelas för de ändamål och på begäran av de myndigheter som anges nedan.

Ändamål

1. Registrering i skatteregister

2.

Registrering i belastnings-

register, misstankeregister, och register som förs enligt polis-datalagen (1998:622)eller i rättsväsendets informationssystem

3. Utfärdande av pass och registrering i passregistret

4. Registrering i socialförsäkringsregister

5. Sjömansregistrering

6. Registrering i körkorts- och bilregistret

7. Registrering i register över totalförsvarspliktiga

Rikspolisstyrelsen, polismyndigheten, åklagarmyndigheten och allmänna domstolar

Passmyndigheten

Allmänna försäkringskassan

Sjöfartsverket Länsstyrelsen och Vägverket

Totalförsvarets pliktverk

Samordningsnummer får på begäran av Regeringskansliet även tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Tilldelning enligt första stycket 1 och 2 får ske även om den enskildes identitet inte med säkerhet kunnat fastställas av den myndighet som begär tilldelningen.

Samordningsnummer tilldelas av den skattemyndighet som Riksskatteverket bestämmer.

Föreslagen lydelse

5 §

Samordningsnummer enligt 18 a § folkbokföringslagen (1991:481) får tilldelas för de ändamål och på begäran av de myndigheter som anges nedan.

Myndigheter

1. Registrering i skatteregister

2. Registrering i belastningsregister, misstankeregister, och register som förs enligt polis-datalagen (0000:00) eller i rättsväsendets informationssystem

3. Utfärdande av pass och registrering i passregistret

4. Registrering i socialförsäkringsregister

5. Sjömansregistrering

6. Registrering i körkorts- och bilregistret

7. Registrering i register över totalförsvarspliktiga

Skattemyndigheten Rikspolisstyrelsen, polismyndigheten, åklagarmyndigheten och allmänna domstolar

Passmyndigheten

Allmänna försäkringskassan

Sjöfartsverket Länsstyrelsen och Vägverket

Totalförsvarets pliktverk

Samordningsnummer får på begäran av Regeringskansliet även tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Tilldelning enligt första stycket 1 och 2 får ske även om den enskildes identitet inte med säkerhet kunnat fastställas av den myndighet som begär tilldelningen.

Samordningsnummer tilldelas av den skattemyndighet som Riksskatteverket bestämmer.

_______

Denna förordning träder i kraft den 1 juli 2003.

9. Förordning om ändring i förordningen (1996:730) med instruktion för Registernämnden

Härigenom föreskrivs att 1 och 11 §§ förordningen (1996:730) med instruktion för Registernämnden skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Registernämnden har till uppgift att i ärenden om registerkontroll enligt säkerhetsskyddslagen (1996:627) pröva frågor om utlämnande av

1. uppgifter från register som omfattas av lagen (1998:620) om belastningsregister,

2. uppgifter från register som omfattas av lagen (1998:621) om misstankeregister,

3. uppgifter från register som omfattas av polisdatalagen (1998:622), eller

4. övriga uppgifter som Rikspolisstyrelsen eller Säkerhetspolisen behandlar enligt polisdatalagen om de inte ingår i en förundersökning eller särskild undersökning i kriminalunderrättelseverksamhet.

3. uppgifter från register som omfattas av polisdatalagen (0000:00), eller

4. övriga uppgifter som Rikspolisstyrelsen eller Säkerhetspolisen behandlar enligt polisdatalagen om de inte ingår i en förundersökning eller i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Nämnden skall pröva frågor om utlämnande av uppgifter även i sådana fall som avses i 10 § förordningen (1989:149) om bevakningsföretag m.m.

Nämnden skall vidare granska Säkerhetspolisens behandling av uppgifter enligt polisdatalagen (1998:622), särskilt med avseende på 5 § polisdatalagen.

Nämnden skall vidare granska Säkerhetspolisens behandling av uppgifter enligt polisdatalagen (0000:00), särskilt med avseende på 3 kap. 1 § polisdatalagen.

11 §

För fullgörandet av sin tillsynsuppgift enligt 1 § tredje stycket har nämnden rätt att få del av

1. uppgifter ur SÄPO-registret och

2. de övriga uppgifter Säkerhetspolisen behandlar enligt polis-datalagen (1998:622).

De uppgifter Säkerhetspolisen behandlar enligt polisdatalagen(0000:00).

________

Denna förordning träder i kraft den 1 juli 2003.

1. Utredningens uppdrag och arbete

1.1. Utredningens direktiv

Utredningens direktiv (dir. 1999:99) innebär ett uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och att påtala eventuella brister särskilt från integritetssynpunkt.

En inventering skall enligt direktiven göras av de register som förs inom polisen med stöd av personuppgiftslagen (1998:204) och polisdatalagen (1998:622) samt, övergångsvis, med stöd av Datainspektionens tillstånd. En kartläggning av i vilken utsträckning personuppgifter behandlas automatiserat på annat sätt än i traditionella register skall också ske. Vidare skall undersökas hur informationsutbytet med Europol fungerar.

Utredningsarbetet skall innefatta en särskild analys av vilka konsekvenser den nya lagstiftningen om polisens register har fått för den enskildes personliga integritet. I det sammanhanget skall effekten av all den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av personuppgifter beaktas. Vid utredningen skall konsekvenserna av nya arbetssätt och ny teknik följas. Resultatet av analysen skall ställas mot de effekter lagstiftningen har fått för polisens brottsförebyggande och brottsbekämpande verksamhet.

I utredningsuppdraget ingår också att uppmärksamma eventuella tillämpningssvårigheter och belysa eventuella brister i lagstiftningen. En fråga som särskilt skall uppmärksammas i det sammanhanget är hur personuppgiftslagens bestämmelser om information till den registrerade tillämpas.

På grundval av inventeringen skall utredningen överväga om något av de register som för närvarande förs med Datainspektionens tillstånd är av sådan omfattning att det bör författningsregleras och i så fall föreslå en sådan reglering.

I uppdraget ingår också att utreda hur utvecklingen av den digitala tekniken påverkat polisens arbetsmetoder t.ex. i form av lagring av

personuppgifter i form av bilder, ljud etc. I det sammanhanget skall också övervägas om det digitala referensbibliotek över barnpornografiska framställningar som Rikskriminalpolisen för bör lagregleras.

Mot bakgrund av det som framkommit vid analysen av konsekvenserna av den nya lagstiftningen, skall övervägas om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.

Direktiven är i sin helhet bifogade i bilaga 1 till betänkandet. Regeringen har beslutat att överlämna tre skrivelser till utredningen. Två av skrivelserna har överlämnats till regeringen av Datainspektionen. Dessa skrivelser innefattar synpunkter på viss behandling av personuppgifter, som företas av Rikspolisstyrelsen och av Statens kriminaltekniska laboratorium. Den tredje skrivelsen har lämnats till regeringen av Registernämnden och har rubriken Ang. Registernämndens granskning av Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen. Regeringens beslut och de aktuella skrivelserna är bifogade i bilaga 2 till betänkandet.

1.2. Utredningsarbetet

Utredningsarbetet har bedrivits under åren 2000 och 2001 varvid tretton utredningssammanträden har hållits. Vid dessa sammanträden har företrädare för Rikspolisstyrelsen och Säkerhetspolisen lämnat information till oss. Dessutom har vi gjort studiebesök hos Rikspolisstyrelsen, Säkerhetspolisen och Polismyndigheten i Stockholms län, varvid företrädare för dessa myndigheter förevisat olika register och ärendehanteringssystem som används.

I maj 2001 genomförde vi en hearing, varvid belystes en rad frågeställningar avseende polisens rätt att behandla personuppgifter automatiserat. I synnerhet diskuterades olika tillämpningssvårigheter och brister i personuppgiftslagen och polisdatalagen, vilka polisen anser föreligger. Vid hearingen deltog personuppgiftsombuden vid Rikspolisstyrelsen och polismyndigheterna i landet samt företrädare för Justitiedepartementet, Datainspektionen, Ekobrottsmyndigheten, RIFrådet, Rikspolisstyrelsen, Riksåklagaren, Statens kriminaltekniska laboratorium och Säkerhetspolisen. Ytterligare inbjudna som deltog vid hearingen var f.d. generaldirektören Mats Börjesson och f.d. universitetslektorn Jan Evers.

Samråd har i enlighet med direktiven skett med Rikspolisstyrelsen, Datainspektionen och Registernämnden. Vidare har samråd ägt rum med Statens kriminaltekniska laboratorium. Riksåklagaren och Ekobrottsmyndigheten medverkade som nämnts vid hearingen och därigenom har erforderligt samråd enligt direktiven skett även med dessa myndigheter. Vi har också i enlighet med direktiven följt arbetet med den lagstiftning som föranleds av Sveriges tillträde till Schengen. Det har under utredningens gång förekommit kontakter också med andra, varvid kan nämnas IT-kommissionen och Beredningen för rättsväsendets utveckling.

För att kunna göra en jämförelse med lagstiftningen i Danmark, Finland och Norge har vi inhämtat upplysningar från Datatilsynet i Danmark, från Datatilsynet i Norge och från Dataombudsmannen i Finland.

Vi överlämnade i oktober 2000 en skrivelse till regeringen. I skrivelsen föreslog vi att regeringen skulle ta initiativ till att övergångsbestämmelserna till polisdatalagen ändrades. Enligt vårt förslag borde tidpunkten då bestämmelserna i datalagen (1973:289) skulle upphöra att gälla beträffande polisens register, ändras från den 30 september 2001 till utgången av år 2003. Förslaget i skrivelsen har lett till lagstiftning, se punkten 2 i övergångsbestämmelserna till polisdatalagen (prop. 2000/01:91, bet. 2000/01:JuU22, rskr. 2000/01:206).

2. Några utgångspunkter för vårt arbete

I det här kapitlet redovisar vi vissa utgångspunkter får vårt arbete. Vi redogör i första hand för den rättsliga ramen för behandling av personuppgifter i polisens verksamhet. Redovisningen innefattar också vissa övergripande synpunkter på avvägningen mellan behovet av effektivitet och av integritetsskydd vid utformning av regler på det aktuella området.

2.1. Utvecklingen av datorstöd i polisens verksamhet

Användningen av informationsteknik hos myndigheter har ökat i snabb takt under senare år, inte minst inom rättsväsendet. Registerutredningen redogör i sitt betänkande för denna utveckling (SOU 1997:65 s. 75 ff.). Praktiskt taget allt skrivarbete utförs i dag med hjälp av någon form av informationsbehandlingsteknik. Det beror bl.a. på att tekniken som sådan utvecklats, blivit säkrare, lättare att använda och billigare. Utvecklingen av informationsteknik (IT) är mycket betydelsefull för polisens möjligheter att effektivisera verksamheten, vilket är nödvändigt med hänsyn till samhällets utveckling och brottslighetens internationalisering. En ökad användning av IT är vidare nödvändig för att polisen skall kunna möta statsmakternas krav på en mera kostnadseffektiv och i övrigt rationell verksamhet. Det pågår därför ett intensivt arbete med att utveckla IT dels för polisens interna behov, dels för ett förbättrat samarbete mellan rättsväsendets myndigheter. Polisen utvecklar kontinuerligt nya IT-system för att på olika sätt stödja verksamheten.

Samarbetet mellan rättsväsendets myndigheter kan också förbättras med informationsteknik och användningen av sådan teknik utgör också en förutsättning för att Sverige skall kunna uppfylla sina åtaganden inom det internationella brottsbekämpande samarbetet.

I samband med att riksdagens justitieutskott behandlade budgetpropositionen för år 2001 ställde sig utskottet bakom regeringens prioriteringar, bland dem att utredningsverksamheten skulle förstärkas så att fler brott kan klaras upp (bet. 2000/01:JuU1 s. 29 f.).

I budgetpropositionen redovisade regeringen vidare sin uppfattning om hur rättsväsendet skall utvecklas (utg.omr. 4, avsnitt 4.4.2). I det sammanhanget anfördes att teknikutvecklingen ger rättsväsendet nya verktyg och möjligheter men samtidigt kräver att verksamheterna och regelverken kring dem anpassas för att man skall kunna ta till vara de möjligheter som den nya tekniken ger. För att utnyttja rättsväsendets resurser så effektivt som möjligt, höja kvaliteten i verksamheten och skapa attraktiva arbetsplatser skall myndigheterna ges förutsättningar att utnyttja den nya tekniken. Rättsväsendets IT-strukturer skall kunna samverka med varandra för att förhindra dubbelarbete.

Budgetpropositionen innehöll också en redovisning av genomförda och planerade insatser på detta område. Här (avsnitt 4.5.1) anförde regeringen att de nya registren för misstanke- och belastningsuppgifter samt den första etappen av DurTvå, som är ett stöd för förundersökningsprocessen, hade tagits i bruk under år 1999. Enligt regeringen var det angeläget att följa hur systemen utnyttjas i polisverksamheten och säkerställa de effektivitetsvinster som systemen möjliggör.

Också resultatredovisningen i budgetpropositionen (avsnitt 4.6.1) innehöll uppgifter av intresse. Sålunda upplystes att polisväsendets ITkostnader uppgår till ca 730 miljoner kronor per år. Vidare noterades att Rikspolisstyrelsen under år 1999 initierat en översyn av polisväsendets IT-verksamhet. Regeringen refererade också en granskning av polisens IT-stöd som Riksrevisionsverket (RRV) genomfört (RRV 2000:8). Enligt RRV tillbringar poliser i medeltal 2,5 timmar per dag vid sitt IT-stöd. RRV fann också stora brister i tillgänglighet och användbarhet. IT-stödet var bl.a. inte tillgängligt i bilar och på brottsplatser. Det fanns också brister i förvaltning och genomförande av nyinvesteringarna.

Regeringen anförde vidare att Rikspolisstyrelsen har utarbetat en gemensam strategi för IT och annan verksamhetsutveckling. Inom styrelsen har skapats en utvecklings- och strategienhet som fått ett helhetsansvar för all verksamhetsutveckling, inklusive utveckling och förvaltning av IT-system. För att säkerställa ett lokalt inflytande över verksamheten har ett utvecklingsråd skapats, där bl.a. chefen för Statens kriminaltekniska laboratorium och åtta länspolismästare ingår. Rådet har, enligt vad regeringen anförde, en viktig funktion som garant för att utvecklingsarbetet motsvarar det verksamheten efterfrågar.

I detta sammanhang bör även nämnas att regeringen den 7 december 2000 beslutat att en beredning skall tillkallas med uppgift att verka för rättsväsendets utveckling (dir. 2000:90). Beredningen skall bl.a. undersöka möjligheterna att förkorta den genomsnittliga genomströmningstiden från brottsanmälan till dom och straffverkställighet. I direktiven nämns särskilt att det är en uppgift för beredningen att överväga på vilket sätt den moderna tekniken på ett bättre sätt än i dag kan stödja brottmålsprocessen och därigenom också bidra till bl.a. kortare genomströmningstider. Uppdraget i denna del innefattar även att undersöka om det i lagstiftningen finns hinder mot ett effektivare utnyttjande av IT-stödet i rättsväsendets verksamhet. Förslag skall presenteras i delbetänkanden av beredningen efter hand som olika frågor behandlas. Senast före utgången av år 2003 skall beredningen redovisa det vid detta tillfälle aktuella läget inom rättsväsendet för de frågor som det ankommer på beredningen att överväga samt en plan för det fortsatta arbetet.

Åtgärder för kortare genomströmningstider har också föreslagits av RRV i rapporten Brottmålskedjan – rättsadministrativ analys med internationella jämförelser (RRV 2001:3).

I justitieutskottets betänkande 2000/01:JuU11 behandlades frågor om polisens IT-stöd med anledning av motionsyrkanden om att polisen bör ha tillgång till datorer i bilarna och om att polisen bör ha ett bättre IT-stöd än i dag. Motionsyrkandena avslogs. Som bakgrund till sina överväganden hänvisade utskottet till ovan nämnda uttalanden i budgetpropositionen för år 2001.

Det upplystes i nyss nämnda betänkande att utskottets uppföljningsgrupp nyligen har tagit upp frågan om polisens IT-stöd och att en utfrågning har hållits med företrädare för Rikspolisstyrelsen. Vid utfrågningen lämnades information om strategin för utvecklingen av IT-stödet. Sammanfattningsvis framkom därvid följande. Inom polisen finns behov av information och kunskap i många olika avseenden. Det är för att kunna ta fram sådan information, göra den tillgänglig, automatisera flödet och underlätta kommunikation mellan enheter som IT är viktigt. Till skillnad från tidigare arbetar man nu så att verksamheten och tekniken skall integreras. Här handlar det bl.a. om att utgå från verksamhetsprocesser, exempelvis handläggningen av en anmälan fram till dess att förundersökningen överlämnas till åklagaren. För att åstadkomma en bättre styrning finns bl.a. det ovan nämnda utvecklingsrådet. Framöver kommer man att beställa system, inte ta fram dem själva. Många projekt måste av olika skäl genomföras stegvis. Systemen måste också kunna kommunicera med varandra. Gjorda investeringar måste tas till vara innan nya görs, och i den mån nya system införs måste de bygga bl.a. på ett genomtänkt säkerhetskoncept. I det sammanhanget

framkom att orsaken till att e-post inte används externt är just att säkerheten inte kan garanteras, vilket är särskilt viktigt inom polisverksamheten. De nya polisbilar som levereras är utrustade med datorstöd. Det ankommer sedan på respektive polismyndighet att beställa dessa. På sikt hoppas man bl.a. kunna arbeta med röststyrd utrustning i bilar.

Den redogörelse som vi har lämnat ovan ger en uppfattning om hur omfattande det utvecklingsarbete är som bedrivs för att effektivisera informationsförsörjningen inom polisen och rättsväsendet i övrigt. I kapitel 4 redogör vi för några särskilt betydelsefulla konsekvenser av bruket av ny teknik.

2.2. Den nya rättsliga ramen för informationsbehandling

2.2.1. Regleringen i huvudsak

Under de senaste åren har genomförts omfattande ny lagstiftning som medfört en ny utgångspunkt för behandling av personuppgifter. Syftet har varit att anpassa lagstiftningen till den nya informationstekniken. En viktig ambition för lagstiftningen om polisens register har varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet.

Eftersom våra förslag har sin utgångspunkt i den nya lagstiftningen ges här en översiktlig presentation av den svenska lagstiftningen avseende behandling av personuppgifter samt av Sveriges åtaganden inom det internationella polisiära samarbetet med anledning av Europolkonventionen och Schengenkonventionen. Vissa artiklar i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna som har betydelse för vårt arbete redovisas också här. Vidare tar vi upp Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

2.2.2. Personuppgiftslagen

I personuppgiftslagen (1988:204) genomförs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Syftet med direktivet är att det skall skapas en gemensam hög nivå på integritetsskyddet, vilket i sin tur skall leda till att personuppgifter skall kunna flöda fritt mellan EU:s

medlemsstater. Dessa får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten (exempelvis den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område). Den svenska personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180) är dock generellt tillämplig och omfattar även sådant som faller utanför gemenskapsrätten, i den mån det inte finns särreglering i andra författningar. Lagen innehåller de generella regler som följer av EG-direktivet i fråga om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerheten vid behandlingen m.m.

Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.

Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis samla in, söka, bevara och sprida uppgifter. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad, dvs. i första hand datoriserad. Även manuell behandling av sådana uppgifter kan dock omfattas av lagen, nämligen om uppgifterna skall ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

En personuppgiftsansvarig skall se till att personuppgifter behandlas bara om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda,

uttryckligt angivna och berättigade ändamål samt inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen samt att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när behandling av uppgifter är tillåten. Detta är i princip fallet när den tilltalade har lämnat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige eller tredje man till vilken personuppgifter lämnas skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Personuppgiftslagen förbjuder andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet.

2.2.3. Den nya polisregisterlagstiftningen

Allmänt

Polisens möjligheter att föra kriminal- och polisregister reglerades tidigare av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes, och förs, också med stöd av Datainspektionens tillstånd enligt datalagen.

Sedan den 1 april 2000 gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1998:622). Lagen bygger på personuppgiftslagen och innehåller de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om polisens register. Lagstiftningen består av fyra lagar, nämligen lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem och polisdatalagen (1998:622). Lagen om belast-

ningsregister och lagen om misstankeregister trädde i kraft den 1 januari 2000 medan lagen om Schengens informationssystem trädde i kraft den 1 december 2000. Förarbetena till lagen om belastningsregister, lagen om misstankeregister och polisdatalagen utgörs av prop. 1997/98:97, bet. 1997/98:JuU20 och rskr. 1997/98:276. Förarbetena till lagen om Schengens informationssystem finns i prop. 1999/2000:64, bet. 1999/2000:JuU17 och rskr. 1999/2000:215.

Polisdatalagen

Polisdatalagen utgår från personuppgiftslagen och innehåller endast de särbestämmelser som är nödvändiga för polisens verksamhet. Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och regler om vissa särskilda register. För sådan behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om misstankeregister eller lagen om Schengens informationssystem gäller inte polisdatalagen.

Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet för att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Den innehåller även särskilda regler om behandling av uppgifter i kriminalunderrättelseverksamhet.

Slutligen innehåller polisdatalagen också särskilda bestämmelser om vissa register som förs med hjälp av automatiserad behandling, dvs. dataregister. Dessa register är kriminalunderrättelseregister, register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregister samt SÄPO-registret.

Lagen om belastningsregister

Enligt lagen (1998:620) om belastningsregister skall Rikspolisstyrelsen föra ett rikstäckande belastningsregister. Ändamålet med belastningsregistret skall vara att ge information om sådana belastningsuppgifter som behövs i verksamhet hos polis- och tullmyndigheter för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och vid utfärdande av strafförelägganden samt hos allmänna domstolar för val av påföljd och straffmätning. Uppgifter i registret skall också få användas av polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning

och annan prövning som anges i lag eller förordning samt av enskilda om det är av särskild betydelse i den enskildes verksamhet. I lagen om belastningsregister bemyndigas regeringen att föreskriva att en myndighet får ha direktåtkomst till belastningsregistret.

Alla påföljder för brott skall registreras i belastningsregistret. Belastningsregistret skall vidare innehålla uppgifter om den som har ålagts förvandlingsstraff för böter, den som med tillämpning av 30 kap. 6 § brottsbalken har förklarats fri från påföljd, den som skall utvisas eller utlämnas samt om den som har meddelats besöksförbud. Vissa uppgifter om den som är dömd i utlandet skall också registeras. Respekten för den personliga integriteten kommer till uttryck i begränsningar när det gäller utlämnande av uppgifter ur belastningsregistret. För registret gäller enligt 7 kap. 17 § sekretesslagen (1980:100) absolut sekretess, dvs. uppgifter får endast lämnas ut enligt vad som är särskilt föreskrivet. Regeringen bemyndigas i lagen om belastningsregister att utfärda föreskrifter om registrets närmare innehåll. Det kan bl.a. gälla uppgifter om utvisning, intagning i eller utskrivning från sjukvårdsinrättning av den som av domstol överlämnats till psykiatrisk vård samt uppgifter om resning.

Lagen om misstankeregister

Enligt lagen (1998:621) om misstankeregister skall Rikspolisstyrelsen föra ett rikstäckande register med uppgifter om dem som är skäligen misstänkta för brott. Misstankeregistret skall föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos polis- och tullmyndigheter för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagarmyndigheter för beslut om förundersökning och åtal. Registret får även användas av andra myndigheter som har att utföra lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning. Slutligen får registret användas för att – i den utsträckning regeringen föreskriver – till enskild lämna uppgift som är av särskild betydelse i dennes verksamhet.

Lagen om Schengens informationssystem

Sverige har anslutit sig till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 1997/98:121). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den

betydelsen att personkontrollerna vid nationsgränserna mellan Schengenstaterna skall upphöra. Den andra är att kampen skall stärkas mot internationell kriminalitet och illegal invandring.

Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). SIS består av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter. Registret är uppbyggt som ett spanings- och efterlysningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att någon åtgärd skall vidtas när en efterlyst person eller ett efterlyst fordon påträffas. I SIS förekommer endast identifieringsuppgifter av registrerade personer. De kompletterande uppgifter som behövs för att ett land som har påträffat en efterlyst skall kunna verkställa en begärd åtgärd lämnas över först när det blir aktuellt i varje enskilt fall genom direkt kontakt mellan de berörda länderna.

En medverkan i Schengensamarbetet såvitt gäller SIS kräver som framgått att det byggs upp ett register som skall vara den nationella enheten i Schengens informationssystem. Lagen (2000:344) om Schengens informationssystem innehåller regler om behandling av personuppgifter i denna nationella enhet.

Lagen om SIS innehåller bestämmelser om vilka framställningar som får föras in i registret. Det regleras vilka personuppgifter som får föras in i registret, vem som får använda uppgifter ur det och ett förbud mot att använda uppgifter för annat ändamål än det som uppgiften registrerats för. Det finns i lagen också bestämmelser om bl.a. rättelse av felaktiga uppgifter. I den mån inte lagen om SIS innehåller avvikande regler blir personuppgiftslagens bestämmelser tillämpliga.

Europol

Medlemsstaterna i Europeiska unionen har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effektiviteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definierad brottslighet, t.ex. grova narkotikabrott eller gränsöverskridande handel med barn som utnyttjas sexuellt.

I kapitel 5 finns en förhållandevis detaljerad beskrivning av hur informationsutbytet med Europol fungerar.

2.2.4. Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller som svensk lag här i landet. Artiklarna 8 och 13 i konventionen har betydelse för myndigheters rätt att behandla personuppgifter.

Artikel 8 föreskriver att var och en har rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs, utöver att intrånget skall grundas på nationell lag, att den åberopade lagen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning av lagen skall kunna förutses och lagen skall vara allmänt tillgänglig. De syften för vilka intrång tillåts har tolkats ganska extensivt av Europadomstolen, men domstolen avgör vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Ett rättighetsintrång bedöms således nödvändigt endast om det svarar mot ett mycket angeläget socialt behov och om det står i rimlig proportion till det syfte som skall uppnås.

I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, skall ha tillgång till ett effektivt rättsmedel inför en nationell myndighet och detta även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde skall ha tillgång till en nationell instans för att få saken prövad och erhålla rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan därmed vara tillräcklig.

Europadomstolen har avgjort ett mål mellan en schweizisk medborgare och schweiziska staten, vilket bl.a. handlade om huruvida en anteckning om en privatperson i schweiziska säkerhetspolisens akt utgjort en kränkning av artikel 8. I målet uppkom även fråga om en kränkning av artikel 13 i konventionen hade skett. Ett referat av målet

(Amann mot Schweiz; dom den 16 februari 2000 i mål 27798/95) redovisas i det följande.

Hermann Amann sålde hårborttagningsutrustning för kvinnor. År 1981 fick han ett telefonsamtal från en kvinna vid dåvarande sovjetiska ambassaden i Bern, varvid kvinnan beställde viss sådan utrustning. Ambassaden var emellertid avlyssnad av den schweiziska säkerhetstjänsten, vilket ledde till att företagaren blev föremål för utredning och registrering i säkerhetspolisens register. De registrerade uppgifterna om Hermann Amann angav att det var fråga om spioneri med östblocket. Hermann Amann fick år 1990 reda på att dessa uppgifter förekom

och

väckte då

skadeståndstalan mot säkerhetspolisen. Hans talan ogillades.

Sedan Hermann Amann klagat hos Europadomstolen uppkom där fråga om hans rätt till skydd för privatlivet och den personliga integriteten enligt konventionens artikel 8 hade kränkts. En ytterligare fråga i målet var om han hade haft tillgång till effektiva rättsmedel för att tillvarata sin rätt, i enlighet med artikel 13. Europadomstolen konstaterade att Hermann Amanns privatliv kränkts redan i och med telefonavlyssningen. När det gällde registreringen av uppgifterna från telefonavlyssningen i säkerhetspolisens register ansåg Europadomstolen att den kränkte Hermann Amanns rätt till skydd av privatlivet enligt artikel 8. Det spelade enligt domstolen ingen roll om uppgifterna i fråga var känsliga eller ej, utan det räckte att de gällde hans privatliv och lagrades av en offentlig myndighet. Europadomstolen fann vidare att registreringen inte hade stöd i lag eftersom de tillämpliga schweiziska bestämmelserna inte med tillräcklig tydlighet angav vilka uppgifter som fick registreras, under vilka förhållanden registrering fick ske och den procedur som skulle följas vid registrering. Den rättighetsinskränkande tolkningen av lagen som registreringen (och bevarandet av de registrerade uppgifterna) innebar kunde enligt domstolen inte förutses. En kränkning av artikel 8 hade således ägt rum. Däremot fann domstolen att Hermann Amann hade haft tillgång till effektiva rättsmedel. Detta genom att han fick ut sin akt hos säkerhetspolisen och kunde väcka talan mot den schweiziska staten vid nationell domstol. Någon kränkning av artikel 13 hade således inte skett.

I detta sammanhang finns det även anledning att nämna målet Leander mot Sverige, (Leander mot Sverige; Europadomstolens dom den 26 mars 1987 Ser. A. Vol.116). Europadomstolen fann att registrering av uppgifter inhämtade enligt personalkontrollkungörelsen (1969:446), vilka föranlett att Leander nekats en sökt anställning, inte hade inne-

burit en kränkning av artikel 8. Inte heller ansågs en kränkning ha skett av artikel 13. Här följer en sammanfattning av Europadomstolens dom.

Torsten Leander hade fått arbete som vikarierande museitekniker på ett marinmuseum i anslutning till en flottbas. Basen utgjorde ett militärt skyddsområde. Kort tid efter anställningen hade han ombetts lämna arbetsplatsen i avvaktan på resultatet av personalkontrollen. Han blev sedermera upplyst om att utfallet av kontrollen utgjorde hinder för att han anställdes. Han gjorde gällande att hemlig information hade förhindrat anställningen av honom samt att detta utgjorde ett hot mot hans rykte. Domstolen ansåg att lagrandet av information om Torsten Leanders privatliv i kombination med att han vägrades möjlighet att tillbakavisa uppgifterna utgjorde ett intrång i hans rätt till respekt för privatlivet. Personalkontrollen ansågs ha haft ett lagligt syfte, skyddet av den nationella säkerheten. Sedan hänsyn tagits till hur tillgängliga och förutsebara de aktuella reglerna var för allmänheten, kom domstolen fram till att intrånget hade erforderligt stöd i inhemsk lag. När det gällde att skydda nationell säkerhet ansågs staten ha en vid bedömningsmarginal. Med tanke på de risker som ett system med hemlig övervakning medförde ansågs det viktigt att det fanns garantier mot missbruk. Domstolen, som fäste särskild uppmärksamhet vid den övervakning av systemet som utövades av JK, JO och riksdagens justitieutskott samt vid att riksdagsledamöter ingick i Rikspolisstyrelsens styrelse, ansåg att det intrång som personalkontrollen medfört i klagandens privatliv inte var oproportionerligt med tanke på det legitima syfte som låg bakom systemet med personalkontroll. Någon kränkning av artikel 8 ansågs därför inte föreligga. Något intrång i Torsten Leanders frihet att uttrycka sina åsikter eller att ta emot information ansågs inte ha förelegat. Vad beträffade Torsten Leanders möjlighet enligt artikel 13 att kunna få frågorna överprövade av inhemsk myndighet konstaterade domstolen att de besvärsmöjligheter, som stod öppna för honom, tillsammans uppfyllde kraven i artikel 13.

2.2.5. Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

År 1987 antogs inom Europarådet en rekommendation, No. R (87) 15, om användningen av personuppgifter inom polissektorn.

Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa

brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Skilda kategorier av lagrade uppgifter skall så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (”the different categories of data stored should be distinguished in accordance with their degree of accuracy or reliability”). I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

I oktober 1988 inledde Datainspektionen en granskning av Rikspolisstyrelsens personregister. Granskningen syftade till att undersöka om nuvarande författningsreglering av polisens rätt att registrera uppgifter om enskilda svarade mot den europeiska rekommendationen om polisregister. Undersökningen gällde också hur Rikspolisstyrelsens personregister förhöll sig till den dåvarande författningsregleringen och till de föreskrifter som Datainspektionen meddelat. I en skrivelse den 28 september 1989 överlämnade Datainspektionen till regeringen en rapport över granskningen.

I skrivelsen sägs att inspektionen fått intrycket att Rikspolisstyrelsens verksamhet med registren präglas av en strävan att undvika otillbörligt intrång i den personliga integriteten. Samtidigt noteras dock att författningsregleringen av polisens rätt att registrera uppgifter om enskilda personer är bristfällig mot bakgrund av den europeiska rekommendationen. Dessa brister anges bl.a. avse vissa frågor avseende utlämnande av uppgifter från registren samt sammanblandningen av belastnings- och misstankeuppgifter i person- och belastningsregistret.

2.3. Avvägningen mellan effektivitetshänsyn och integritetsskydd

Hinder för ett rationellt utnyttjande av datorstöd bör inte ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten.

De nya tekniska möjligheterna att behandla uppgifter automatiserat medför ofrånkomligt ökade risker för intrång i den enskildes personliga integritet. Integritetsskyddet är emellertid ingen företeelse som bör ses isolerad för sig utan måste vägas mot andra samhällsintressen. Kravet på effektivitet när det gäller att förebygga, förhindra och utreda brott måste t.ex. beaktas. Det integritetsintrång som en behandling av

personuppgifter medför måste också ställas mot det integritetsintrång som det innebär att inte kunna röra sig fritt av rädsla för att bli utsatt för brott.

En målsättning för lagstiftningen om behandling av personuppgifter i polisens verksamhet har varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. I förarbetena till polisdatalagen sägs beträffande balansgången mellan integritet och effektivitet att utgångspunkten bör vara att hinder för ett rationellt utnyttjande av datorstöd inte bör ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten (SOU 1997:65 s. 77 och prop. 1997/98:97 s. 63). Enligt vår mening saknas det skäl att nu ompröva den avvägning som kommit till uttryck i nyss nämnda förarbetsuttalanden.

Syftet med den lagreglering vi föreslår i det här betänkandet är att fastställa principer till skydd för enskildas personliga integritet. En självklar utgångspunkt för oss är att integritetsskyddet skall ligga på en hög nivå. Det måste finnas ett tydligt behov i verksamheten av att behandla personuppgifterna. Slentrianmässig behandling av personuppgifter, i synnerhet av känsliga personuppgifter, skall inte förekomma. Behandling av personuppgifter bara för att uppgifterna ”kan vara bra att ha” får inte ske.

3. Behandling av personuppgifter inom polisen – en inventering

3.1. Uppläggningen av inventeringen

I uppdraget ingår att inventera de register som förs inom polisen. I detta kapitel redovisar vi resultatet av denna inventering.

Registerstrukturen har uppkommit som följd av Datainspektionens tillstånd för polisen att föra olika enskilda register och är således inte ett resultat av någon övergripande planering. Detta medför bl.a. att samma uppgifter förekommer i flera olika system.

Polisens register kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen – register som förs med stöd av särskilda regler i lagstiftningen, – register som förs med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen, och – register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av tillstånd från Datainspektionen.

En annan uppdelning kan göras mellan centrala och lokala register. De centrala registren förs av Rikspolisstyrelsen och innehåller uppgifter från hela riket. De lokala registren förs däremot av en polismyndighet och innehåller därmed bara uppgifter från ett polisdistrikt.

I avsnitt 3.3 och 3.4 redovisar vi de register som är särskilt reglerade i lagstiftningen. Avsnitt 3.5 innehåller en redogörelse för Säkerhetspolisens system. Därefter redogör vi i avsnitt 3.6 för övriga centrala system av betydelse och i avsnitt 3.7 för vissa lokala system med nationell spridning. Polisen utvecklar kontinuerligt nya system för att stödja verksamheten. En redovisning av polisens register kan därför aldrig bli helt fullständig. Redovisningen i det här kapitlet tar dock upp alla nuvarande system av större betydelse i polisens verksamhet.

Själva begreppet register är i viss mån föråldrat. Vi inleder därför inventeringen med att beröra detta begrepp.

3.2. Register och ärendehanteringssystem

Genom datalagens (1973:289) införande introducerades begreppet personregister som ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs i den lagen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt använda termen för ADB-baserade uppgiftssamlingar har därför sedan datalagens införande varit register. Ordet återfinns i många författningar som reglerar myndigheters användande av automatisk databehandling i verksamheten, t.ex. i polisdatalagen.

Det traditionella registerbegreppet har vid flera tillfällen kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar. Sökning i sådana filer görs inte efter särskilda bestämda sökord utan genom fritextsökning.

Personuppgiftslagen har anpassats till de nya förhållandena. I lagen används inte begreppet register utan det talas i stället om behandling av personuppgifter. Det skulle i och för sig vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alternativ, dvs. endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet, Integritet, Informationsteknik (SOU 1997:39 s. 340), att tillämpningsproblem inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades också vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet, men framhöll att det inte helt bör undvikas eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas särskilda bestämmelser rörande upprättandet och förandet av sådana register (prop. 1997/98:97 s. 102).

Det kan konstateras att flera av polisens samlingar av personuppgifter i elektronisk form är att se som register i ordets mer egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Detta gäller i först hand de äldre system som förs med stöd av Datainspektionens tillstånd. Nya system som kan betraktas som register är misstankeregistret, belastningsregistret och den nationella enheten av Schengens

informationssystem. Registerbegreppet har således fortfarande relevans i vissa fall.

Dagens system inom polisen byggs dock företrädesvis som ärendehanteringssystem och inte som traditionella register. I dessa ärendehanteringssystem registreras hela aktmaterial. Grundtanken vid utvecklingen av nya system inom polisen är att man i så stor utsträckning som möjligt bara skall anteckna en uppgift en enda gång samt att uppgiften, om det behövs, därefter skall vidarebefordras automatiserat till andra ärendehanteringssystem.

Vi finner inte anledning att utforma definitioner av begreppen register och ärendehanteringssystem. Inte heller anser vi att det finns skäl att i lagstiftningen ersätta begreppet register som beteckning för vissa fastställda informationsmängder med något annat begrepp. I betänkandet gör vi därför heller inte någon strikt skillnad mellan begreppen register och ärendehanteringssystem.

3.3. Register som regleras särskilt i polisdatalagen

3.3.1. Kriminalunderrättelseregister

Polisdatalagens och polisdataförordningens bestämmelser om kriminalunderrättelseregister

Med kriminalunderrättelseverksamhet förstås i polisdatalagen den polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.

I lagen anges att begreppet inte innefattar den underrättelseverksamhet som bedrivs av Säkerhetspolisen. För SÄPO-registret innehåller lagen särskilda bestämmelser.

Automatisk databehandling av personuppgifter får för det första förekomma i s.k. särskilda undersökningar, som får inledas efter särskilt beslut om det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Sådana undersökningar sker med syfte att ge underlag för beslut om förundersökning eller för beslut om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. I särskilda undersökningar får även uppgifter om icke misstänkta personer behandlas, men uppgifterna måste förses med upplysning om att personen inte är misstänkt. Vidare får föras kriminalunderrättelseregister för att ge underlag för beslut om särskilda undersökningar

avseende allvarlig brottslig verksamhet eller för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet.

Kriminalunderrättelseregister får föras av Rikspolisstyrelsen eller av en polismyndighet. Den myndighet som för registret är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Ett kriminalunderrrättelseregister får innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Med allvarlig brottslig verksamhet menas verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Det krävs vidare att den person som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten. Uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet eller om hjälpmedel som kan ha använts i samband med sådan verksamhet får dock registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall då förses med upplysning om att det inte finns några misstankar mot denne.

Lagen talar om vilka uppgifter som får finnas i ett kriminalunderrättelseregister. Ett sådant register får endast innehålla – upplysningar om varifrån den registrerade uppgiften kommer och om uppgiftslämnarens trovärdighet, – identifieringsuppgifter, – uppgifter om särskilda bestående fysiska kännetecken, – de omständigheter och händelser som ger anledning att anta att den registrerade utövat eller kan komma att utöva allvarlig brottslig verksamhet, – uppgifter om varor, brottshjälpmedel och transportmedel, – ärendenummer och – hänvisning till en särskild undersökning där uppgifter om den registrerade behandlas och till register som förs av polis- och tullmyndighet i vilket uppgifter om den registrerade förekommer.

Uppgifter i ett kriminalunderrättelseregister skall gallras senast tre år efter det att en uppgift om personen som kan föranleda registrering sista gången infördes. Om det dessförinnan har inletts en särskild undersökning av underrättelsekaraktär får uppgifterna stå kvar tills undersökningen har avslutats. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.

Rikspolisstyrelsen och polismyndigheterna får enligt polisdataförordningen ha direkt åtkomst till kriminalunderrättelseregistren.

Åtkomsten till registren skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till information om sådana uppgifter som behandlas i registren.

Uppgifter ur ett kriminalunderrättelseregister får lämnas ut till Ekobrottsmyndigheten och Kustbevakningen, en tullmyndighet eller en skattemyndighet. Utlämnande får dock endast ske om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Det centrala kriminalunderrättelseregistret – KUR

Inom Rikspolisstyrelsen har utvecklats ett nytt ärendehanteringssystem för kriminalunderrättelseregistrering (KUR). Genom det systemet har skapats en nationell, gemensam databas som varje polismyndighet har tillgång till. Kriminalunderrättelsetjänsterna i hela landet har därigenom ett system för att lagra och återfinna handlingar vilket medför betydande samordningsvinster och skapar möjligheter för ett mera utvecklat nationellt arbetssätt. Endast sådana befattningshavare som är knutna till enheter eller rotlar som sysslar med kriminalunderrättelsetjänst har behörighet att behandla uppgifter i registret.

Uppgifterna i KUR är insamlade enbart för ändamålet att bearbetas i det registret. Någon överföring av uppgifter från andra register förekommer inte.

Innehållet i KUR består av underrättelseinformation som kommit in till en länsunderrättelserotel från polismän på alla nivåer i myndigheten. Informationen kan också ha kommit fram vid det interna arbetet på roteln eller genom underrättelser från något annat land.

I KUR finns personuppgifter som avser personer mot vilka det föreligger skäliga misstankar om att de utövar eller har utövat allvarlig brottslig verksamhet. Misstankarna behöver inte avse konkreta brott. KUR innehåller härigenom mycket integritetskänslig information.

Vi diskuterar i kapitel 10 polisdatalagens reglering av kriminalunderrättelseverksamhet och kriminalunderrättelseregister.

3.3.2. Register med uppgifter om DNA-analyser i brottmål

DNA är ett ämne som finns i varje cell i människokroppen och som är så sammansatt att det är unikt för varje individ, utom för enäggs-

tvillingar. Med DNA-analys kan personer identifieras genom analys av mycket små mängder blod, saliv eller sperma eller genom analys av hårstrån. Med stöd av bestämmelserna om kroppsbesiktning i 28 kap 12 § rättegångsbalken kan provtagning för DNA-analys genomföras mot en misstänkt persons vilja.

Med stöd av polisdatalagen får DNA-register och spårregister inrättas. DNA-registret får innehålla uppgifter om identifierade personer spårregistret uppgifter som inte har kunnat hänföras till en viss person. Ändamålet med registren skall vara att underlätta identifiering av personer i samband med utredning av brott. DNA-registret får innehålla uppgifter om resultatet av DNA-analyser som har gjorts under utredning av ett brott och som avser personer som dömts för vissa brott. Det rör sig om sådana brott mot en persons liv eller hälsa, personliga integritet eller säkerhet som avses i 3, 4, 6, 8, 12 eller 17 kap. brottsbalken eller ett allmänfarligt brott som avses i 13 kap. brottsbalken, allt under förutsättning att brottet kan leda till fängelse i mer än två år. Det kan även röra sig om försök, förberedelse, stämpling, anstiftan eller medhjälp till ett sådant brott. Spårregistret får endast innehålla uppgifter om DNA-analyser som har gjorts under utredning av ett brott och som inte kan hänföras till en identifierbar person. Uppgifterna får endast jämföras med analysresultat som inte kan hänföras till en identifierbar person eller som finns i DNA-registret eller som kan hänföras till en person som är misstänkt för brott.

Uppgifter om en person i DNA-registret skall gallras när de inte längre behövs och senast när uppgifterna om den registrerade har gallrats ur belastningsregistret. Uppgifter i spårregistret skall gallras när de inte längre behövs och senast trettio år efter registreringen.

Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter får ha direkt åtkomst till register med uppgifter om DNA-analyser i brottmål. Polismyndigheternas och åklagarmyndigheternas åtkomst skall dock begränsas till uppgifter om huruvida någon förekommer i register med uppgifter om DNA-analyser i brottmål eller inte.

Sedan i juni 2000 för Statens kriminaltekniska laboratorium ett spårregister. Rikspolisstyrelsen är personuppgiftsansvarig för registret. Rikspolisstyrelsen och laboratoriet arbetar också med att utveckla ett DNA-register, men det arbetet är ännu inte helt slutfört.

Tre olika sökningar kan göras med hjälp av spårregistret enligt följande:

– en misstänkt jämförs med spårregistret och man får därigenom reda på om den misstänkte kan kopplas till spår från ett eller flera ouppklarade brott,

– ett spår jämförs med DNA-registret och man får därigenom reda på om spåret kan kopplas till en individ som finns i DNA-registret, – ett spår jämförs med spårregistret och man får därigenom reda på om en och samma individ kan vara gärningsman i flera ouppklarade brott.

I avsnitt 12.2 tar vi upp vissa frågor om automatiserad behandling av DNA-analyser i brottmål.

3.3.3. Fingeravtrycks- och signalementsregister

Enligt 28 kap 14 § rättegångsbalken samt förordningen (1992:824) om fingeravtryck m.m. skall fingeravtryck och fotografi alltid tas av den som häktats. I vissa uppräknade fall skall fingeravtryck och fotografi också tas av den som är anhållen. Fingeravtrycket och fotografiet skall enligt 7 § i förordningen skyndsamt sändas till Rikspolisstyrelsen (Rikskriminalpolisen) tillsammans med en beskrivning av personen.

Rikspolisstyrelsen för sedan länge ett fingeravtryckregister och ett signalements- och känneteckensregister, med stöd av tillstånd från Datainspektionen. Signalements- och känneteckensregistret innehåller uppgifter om ungefär 166 000 personer.

Polisdatalagen innehåller bestämmelser om fingeravtrycks- och signalementsregistrens ändamål, om vad registren får innehålla och om gallring. Uppgifter får behandlas i sådana register för ändamålet att underlätta identifiering av personer i samband med brott. Registren får användas för identifiering av okända personer även i andra fall. Registeruppgifterna får också behandlas i automatiserade förundersökningar och särskilda undersökningar.

De ändamål som anges i polisdatalagen överensstämmer i stort med den hittillsvarande användningen beträffande ifrågavarande register. Innehållet i registren har begränsats för att stämma överens med reglerna i polisdatalagen, t.ex. beträffande angivande av vissa brottskoder. Polisdatalagen innehåller nämligen ingen bestämmelse, som anger att brottskoder får registreras.

Signalements- och känneteckensregistret innehåller också känsliga personuppgifter, bl.a. sådana som avslöjar personers hälsa och etniska ursprung. För att sådana uppgifter skall få registreras måste de enligt polisdatalagen vara oundgängligen nödvändiga för syftet med behandlingen.

Polisdatalagens regler om gallring säger att uppgifter i fingeravtrycksregister och signalementsregister om en misstänkt person skall gallras när förundersökning eller åtal mot personen läggs ned eller när åtal mot personen ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade skall behandlas med stöd av

polisdatalagens regler om behandling av uppgifter om kvarstående misstankar. Om den registrerade döms skall uppgifterna gallras senast då uppgifterna gallras ur belastningsregistret.

Rikspolisstyrelsen har meddelat föreskrifter om behörighet för åtkomst och uppdatering.

I avsnitt 12.3 tar vi upp frågor om utformningen av reglerna om fingeravtrycks- och signalementsregister.

3.4. Belastningsregistret, misstankeregistret och Schengens informationssystem

3.4.1. En uppdelning av uppgifter om belastningar och misstankar

I Europarådets rekommendation, No. R (87) 15, om användning av personuppgifter inom polissektorn anges att olika kategorier av uppgifter så långt det är möjligt skall hållas åtskilda efter graden av riktighet och tillförlitlighet. I propositionen Riktlinjer för registreringen av påföljder m.m. (prop. 1994/95:144) uttalade regeringen att det finns starka skäl att hålla uppgifter om påföljder och uppgifter om misstankar åtskilda och att en uppdelning skulle göras genom att person- och belastningsregistret skulle ersättas av ett belastningsregister, i vilket endast påföljder och liknande skulle tas in, och ett misstankeregister. Riksdagen, som vid flera tillfällen tidigare uttalat sig för en sådan uppdelning, godkände regeringens förslag (bet. 1994/95:JuU21, rskr. 1994/95:378).

Genom införandet av lagen (1998:620) om belastningsregister och av lagen (1998:621) om misstankeregister genomfördes de nyss nämnda intentionerna.

3.4.2. Belastningsregistret

Det övergripande syftet med belastningsregistret är att olika myndigheter, framför allt de brottsbekämpande och rättsvårdande myndigheterna, på ett enkelt sätt skall få tillgång till de uppgifter som behövs i deras verksamhet. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

De myndigheter som härvid avses är de allmänna domstolarna, förvaltningsdomstolarna, åklagarmyndigheterna, polis-, skatte- och tull-

myndigheterna samt övriga myndigheter i den utsträckning det föreskrivs av regeringen.

Alla påföljder för brott registreras i belastningsregistret. Registret innehåller 800 000–1 000 000 personer och omkring 1 200 000 noteringar om påföljder. De allra flesta av dessa noteringar avser bötespåföljder som fastställts genom föreläggande av ordningsbot. Integritetsaspekten tillgodoses genom begränsningar i utlämnandet. Uppgifter om brott som endast föranlett penningböter lämnas bara ut till de myndigheter som behöver dessa uppgifter, t.ex. för att pröva körkortsfrågor. Belastningsregistret innehåller också uppgifter om den som meddelats åtalsunderlåtelse. Även uppgifter om den som skall utvisas eller utlämnas enligt någon av utlämningslagarna eller som har meddelats besöksförbud finns i registret.

En stor del av lagen om belastningsregister upptas av regler om utlämnande. Domstolarna och de övriga rättsvårdande myndigheterna har rätt att få ut de uppgifter som är nödvändiga för att de skall kunna bedriva sin verksamhet. Vidare har den registrerade alltid rätt att få ut de uppgifter som finns registrerade om honom eller henne. Även enskilda har rätt att i den utsträckning som regeringen föreskriver få ut uppgifter om andra enskilda från registret om det behövs för att pröva fråga om en anställning eller ett uppdrag i en verksamhet som avser vård eller som är av betydelse för att förebygga eller beivra brott. Vidare får uppgifter i vissa fall lämnas till utländska myndigheter och till myndigheter för statistik.

Uppgifter i belastningsregistret gallras när förutsättningarna för registrering inte längre föreligger, t.ex. om den registrerade blir frikänd efter överklagande eller ordningsbot undanröjs. Vid frikännande dom plockas den tidigare domen bort direkt. Uppgifter ur belastningsregistret gallras vidare när viss tid förflutit, i regel efter tio år.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandlingen av personuppgifter i registret.

3.4.3. Misstankeregistret

Misstankeregistrets övergripande syfte är att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs för verksamheten hos polis-, åklagar-, skatte- och tullmyndigheter. Misstankeregistret förs enligt lagen för att underlätta tillgången till sådana uppgifter om brott som behövs för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott. Registret får även användas av andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som

anges i författning samt – i den utsträckning regeringen föreskriver – för att till enskild lämna uppgifter som är av särskild betydelse i dennes verksamhet.

Misstankeregistret innehåller uppgifter om den som har fyllt 15 år och som är skäligen misstänkt antingen för något brott mot brottsbalken eller för något annat brott för vilket svårare straff än böter är föreskrivet. Uppgifter förs också in om den som är skäligen misstänkt för ett motsvarande brott utomlands, om frågan om lagföring för brottet skall avgöras i Sverige. Registret innehåller vidare uppgifter om den mot vilken det har inletts talan om förvandling av böter och om den som begärts utlämnad för brott.

De myndigheter för vars räkning registret förs samt övriga myndigheter i den utsträckning det föreskrivs av regeringen skall oavsett sekretess ha rätt till uppgifter ur registret. Uppgifter ur registret skall vidare i viss utsträckning kunna lämnas till myndigheter och organisationer utomlands.

Det finns ungefär 100 000 personer registrerade i misstankeregistret, medan det finns omkring 225 000 uppgifter om brottsmisstankar i registret.

Uppgifter i misstankeregistret gallras om en förundersökning har avslutats utan att åtal har väckts med anledning av misstanken om åtal har lagts ned eller om dom eller beslut har vunnit laga kraft.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandling av uppgifter i misstankeregistret. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

3.4.4. Schengens informationssystem

Rikspolisstyrelsen för ett register som är den svenska nationella enheten i Schengens informationssystem (SIS). Registret är anslutet till den centrala enheten i SIS. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Registret är ett hjälpmedel för Schengenstaterna att göra framställningar för att främja samarbete som avser polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd. Registret innehåller framställningar bl.a. om omhändertagande av en person som efterlysts för utlämning, om att en person nekats tillträde till en Schengenstat och om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet.

I registret förekommer personuppgifter om namn, om särskilda bestående fysiska kännetecken, om födelsedatum och födelseort, om

kön, om medborgarskap, om personen är beväpnad, om personen kan tillgripa våld, om syftet med framställningen samt om begärd åtgärd.

Registret innehåller endast uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Rikspolisstyrelsen endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning. Känsliga personuppgifter registreras inte.

Uppgifterna i registret gallras senast ett, tre, fem eller tio år efter registreringen. Det tillämpas olika gallringstider för olika slag av uppgifter.

Uppgifter ur registret får under vissa förutsättningar lämnas ut till polismyndigheter, åklagarmyndigheter, Tullverket, Kustbevakningen och Migrationsverket.

3.5. Säkerhetspolisens system

3.5.1. Databaser och ärendehanteringssystem

I Säkerhetspolisens verksamhet används flera olika databaser som innehåller personuppgifter. Vi redovisar dem i detta avsnitt. Redovisningen omfattar SÄPO-registret, centralregistret, systemet för hemlig teleavlyssning och hemlig teleövervakning, och analysdatabaser.

Utöver det i polisdatalagen särskilt reglerade SÄPO-registret styrs behandlingen av personuppgifter i Säkerhetspolisens verksamhet av bestämmelserna i personuppgiftslagen, i polisdatalagens allmänna del och i arbetsordningen för Säkerhetspolisen.

3.5.2. SÄPO-registret

SÄPO-registret är ett register som är avsett för den särskilda polisverksamhet som Säkerhetspolisen bedriver. Polisdatalagen föreskriver att Säkerhetspolisen skall föra ett register (SÄPO-registret) som har till ändamål att – underlätta spaning i syfte att förebygga och avslöja brott mot rikets säkerhet, – underlätta spaning i syfte att bekämpa terrorism och – utgöra underlag för registerkontroll enligt säkerhetsskyddslagen (1996:627).

SÄPO-registret får innehålla uppgifter som kan hänföras till en enskild person endast

– om den uppgifterna gäller kan misstänkas för att ha utövat eller komma att utöva brottslig verksamhet som innefattar hot mot rikets säkerhet eller terrorism, – om personen har undergått registerkontroll enligt säkerhetsskyddslagen (1996:627) eller – om det med hänsyn till registrets ändamål annars finns särskilda skäl till det.

I fråga om gallring gäller särskilda regler för SÄPO-registret. Registrerade uppgifter skall gallras senast tio år efter det att en sådan uppgift om personen som kan föranleda registrering senast infördes. Om det finns särskilda skäl får dock uppgifterna stå kvar under längre tid.

Direkt åtkomst till uppgifter i SÄPO-registret eller till uppgifter som i annat fall behandlas automatiserat hos Säkerhetspolisen skall enligt 13 § polisdataförordningen vara förbehållen de personer som på grund av sina arbetsuppgifter behöver information om sådana uppgifter.

SÄPO-registret är avsett att vara ingången till Säkerhetspolisens hantering av personuppgifter (prop. 1997/98:97 s. 154). Emellertid fyller registret inte någon operativ funktion i Säkerhetspolisens verksamhet. Detta har lett till att registret inte används i verksamheten.

3.5.3. Säkerhetspolisens centralregister

Säkerhetspolisens centralregister (CR) är den databas som huvudsakligen används i Säkerhetspolisens verksamhet. CR kan sägas utgöra en ingång till den samlade personuppgiftshanteringen hos Säkerhetspolisen.

Det övergripande ändamålet med CR är att det skall utgöra ett spaningsregister i Säkerhetspolisens verksamhet för att förebygga och avslöja brott mot rikets säkerhet och för att bekämpa terrorism. Vidare används uppgifter ur databasen som underlag för registerkontroller.

Databasen innehåller uppgifter om personer mot vilka det föreligger misstankar om brottslig verksamhet, som inte behöver vara preciserade till vissa konkreta brott. Databasen innehåller dock inte bara uppgifter om misstänkta. Det förekommer även uppgifter om personer som har samband med någon som antecknats på grund av en misstanke. Det samlas också information om personer som kan bli utsatta för hot av olika slag eller som i känsliga verksamheter kan bli föremål för närmanden från utländska underrättelsetjänster.

Personuppgifter i CR noteras i den utsträckning som uppgifterna behövs för databasens ändamål. Det får inte förekomma några anteckningar av personuppgifter i CR enbart på grund av tillhörighet

eller sympatier för viss åsikt eller viss organisation. Anteckningar av personuppgifter får bara ske efter en individuell behovsprövning.

Känsliga personuppgifter antecknas som kompletterande uppgifter, om en viss persons uppträdande ger anledning till antagandet att personen kan misstänkas företa sig sådana brottsliga handlingar som det åligger Säkerhetspolisen att ingripa mot. Om det är oundgängligen nödvändigt att en känslig personuppgift noteras för att viss information i CR skall bli begriplig får notering ske. Det sistnämnda innebär att uppgifter om en hotad persons politiska tillhörighet kan komma att antecknas.

Uppgifterna i CR är tillgängliga för Säkerhetspolisens operativa personal i enlighet med särskilda behörighetsregler. Det finns särskilda regler som föreskriver att bara vissa befattningshavare har rätt att anteckna uppgifter i registret.

3.5.4. Systemet för hemlig teleavlyssning och hemlig teleövervakning

Systemet för hemlig teleavlyssning och hemlig teleövervakning, ibland kallat PLUTO, utgör ett bearbetnings- och analysverktyg vid behandling av uppgifter som inhämtats genom hemlig teleavlyssning eller hemlig teleövervakning. Systemet innehåller personuppgifter i den utsträckning sådana uppgifter behövs för behandlingens ändamål.

De personuppgifter som antecknas i systemet utgörs av uppgifter om abonnent- och teleadresser som är kopplade till ett tillstånd till hemlig teleavlyssning eller hemlig teleövervakning. Vidare antecknas uppgifter om kontakter och teleadresser som uppmärksammas med anledning av en pågående teleavlyssning eller teleövervakning. Dessutom noteras innehållet i telefonsamtal och andra telemeddelanden samt utredningsanteckningar.

Informationen utgörs till en början av obearbetade underrättelser som i en bestämd utredning inhämtats genom något av de nyss nämnda tvångsmedlen. De inhämtade uppgifterna bearbetas och analyseras. Efter bearbetning och analys tas de uppgifter bort som inte är relevanta för utredningen. Övriga uppgifter tillförs CR.

Uppgifterna i systemet är tillgängliga för de befattningshavare som har behörighet att arbeta med det aktuella ärendet.

3.5.5. Analysdatabaser

Analysdatabaserna innehåller liksom systemet för hemlig teleavlyssning och hemlig teleövervakning underrättelser som är avsedda att bearbetas. Underrättelserna i analysdatabaserna inhämtats genom uppgifter från källor, genom spaning samt genom tvångsmedel som t.ex. hemlig teleavlyssning och hemlig teleövervakning. Personuppgifter antecknas om uppgifterna behövs för behandlingens ändamål.

Bearbetad och bedömd information förs över till CR, medan uppgifter som inte är nödvändiga gallras under utredningens gång.

Uppgifter i en analysdatabas är tillgängliga för de befattningshavare som är behöriga att arbeta med det aktuella ärendet. En analysdatabas får inrättas efter beslut från personuppgiftsombudet hos Säkerhetspolisen.

3.6. Övriga centrala system

3.6.1. Det allmänna spaningsregistret

Det allmänna spaningsregistret (ASP) förs av Rikspolisstyrelsen med tillstånd av Datainspektionen enligt beslut den 18 maj 1977. Registret skall enligt sin ändamålsbeskrivning lagra och systematisera uppgifter med anknytning till misstänkt eller konstaterad brottslighet för att användas i polisens spanande och brottsutredande verksamhet. Uppdatering av registren skall ske dels av Rikspolisstyrelsen, dels av den lokala polisorganisationen. Enligt ändamålsbeskrivningen skall för uppdateringen företrädesvis användas terminaler. Terminalanvändarna skall kunna initiera systematiseringar och sammanställningar av registrerade uppgifter.

ASP syftar till att bygga upp kunskaper om och kring personer som misstänks för brott. ASP utgår från misstänkta gärningsmän. En person registreras i ASP om det mot honom eller henne föreligger en misstanke om att han eller hon begått ett brott. Uppgifterna i registret kommer från brottsanmälningar och förundersökningsprotokoll, men registrering kan också ske på grund av trovärdiga tips från t.ex. personal inom socialförvaltningen.

Det är ett krav för registrering att det alltid finns en grundhandling varifrån den registrerade uppgiften är hämtad. En referens till denna grundhandling skall antecknas i ASP tillsammans med uppgiften. På grundhandlingen antecknas vem som fattat beslut om registreringen och vem som rent faktiskt utfört registreringen.

Olika uppgifter om den misstänkte får registreras. Det får registreras namn och personnummer, alternativa förnamn och efternamn, adresser där personen brukar vistas, speciella fysiska kännetecken, intressenter (alla som bidrar med uppgifter om personen) och senaste händelse inom kriminalvården. ASP innehåller också andra uppgifter kopplade till personen. Det registreras brottstyper som personen ägnar sig åt (hans modus operandi), händelseanteckningar som rör tidigare brottsmisstankar, anknytning till andra personer och spaningsinformation rörande brottsmisstankar.

En speciell typ av noteringar i ASP utgör de så kallade Amarkeringarna och Y-markeringarna. En A-markering för en misstänkt person betyder att personen är synnerligen allvarligt brottsbelastad. Amarkeringar sätts enbart av Rikskriminalpolisen. En Y-markering talar om att den misstänkte bedöms vara yrkeskriminell. Denna markering sätts av de lokala polismyndigheterna.

Vid sökningar i registret kan man variera med ett eller flera sökbegrepp. Dessa sökbegrepp kan inte varieras helt fritt utan det finns begränsningar i sökmöjligheterna. Man kan t.ex. söka på ålder och något speciellt fysiskt kännetecken och på det viset få fram alla personer som svarar mot de sökbegreppen. Registret innehåller uppgifter om personer med anknytning till den misstänkte. Dessa ”anknytningspersoner” behöver inte vara misstänkta för brott för att registrering skall få ske. Deras namn är dock inte sökbara i ASP om de inte själva är misstänkta för brott.

ASP innehåller omkring 100 000 sökbara personer. Antalet personer har sedan lång tid legat konstant på den nivån.

De allra flesta uppgifter i ASP gallras efter 18 månader om ingen ny uppgift noteras om personen. För vissa grövre brott är gallringstiden dock fem år. Gallringen sker automatiskt med hjälp av ett särskilt gallringsprogram.

All tillgång till uppgifter ur ASP för enskilda befattningshavare styrs av personligt tilldelad behörighet. Det är polismyndigheterna som beslutar om vilka personer som skall ha denna behörighet. Ett ytterligare begränsat antal personer har behörighet att föra in uppgifter i ASP. Uppgifter ur ASP får lämnas ut till tullen.

I kapitel 11 diskuterar vi frågan om ASP bör regleras särskilt i lagstiftningen.

3.6.2. Centrala brottsspaningsregistret

Centrala brottsspaningsregistret (CBS) förs med stöd av kungörelsen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Dessutom har Datainspektionen meddelat beslut den 21 december 1976, den 2 oktober 1984 och den 15 juni 1994.

Ändamålet med CBS är att skapa ett särskilt brottsregister över anmälda allvarligare brott vilket utnyttjas i brottsspanings- och brottsutredningsverksamhet samt i annan därmed jämförlig polisiär verksamhet.

Polismyndigheterna har skyldighet att lämna uppgifter till Rikspolisstyrelsen om anmälda brott. Rikspolisstyrelsen har lämnat närmare föreskrifter om vilka brott och händelser som skall rapporteras. Rapporteringsskyldigheten omfattar de flesta brott som beskrivs i brottsbalken.

CBS innehåller uppgifter om anmälda brott, tillvägagångssätt, signalement beträffande personer som setts på brottsplatsen, motsvarande uppgifter om fordon och spår från brottsplatsen m.m. CBS skiljer sig på ett grundläggande sätt från ASP genom att CBS utgår från brott och inte från misstänkta gärningsmän. CBS kan sägas vara ett register över modus operandi. Det används i brottsspanings- och brottsutredningsverksamhet samt i annan därmed jämförlig polisiär verksamhet. Uppgifter till registret kommer från systemet rationell anmälningsrutin. Det är bara allvarligare brott som registreras. Rikspolisstyrelsen har föreskrivit vilka brott som skall antecknas i CBS. Personuppgifterna i CBS utgörs av noteringar om misstänkta gärningsmän.

CBS innehåller noteringar om ungefär 129 000 brott. CBS används internt inom polisen för att t.ex. söka identiska eller liknande brott eller brott som har förövats av samma person. Ibland kan man finna att personer med samma signalement har synts vid flera brott av samma typ.

Inom polisen har man uppfattningen att CBS, rätt använt, utgör ett mycket värdefullt verktyg i polisens brottsutredande verksamhet, men att CBS inte används i tillräckligt hög utsträckning. Ett skäl till den begränsade användningen är enligt polisen att systemet i viss mån är föråldrat och inte är användarvänligt.

All tillgång till uppgifter ur CBS styrs av personligt tilldelad behörighet. Det är polismyndigheterna som beslutar om vilka som skall ha denna behörighet. Ett ytterligare begränsat antal personer har behörighet att föra in uppgifter i CBS.

Datainspektionen har i ett beslut den 21 december 1976 medgivit att Rikspolisstyrelsen i samband med att styrelsen deltar i spanings-

och utredningsarbete rörande grövre brott och mer omfattande seriebrottslighet gör samkörningar med uppgifter från CBS och fingeravtrycksregistret, passregistret, signalements- och känneteckensregistret, registret över efterlysta och spärrade fordon, förundersökningsregister samt personefterlysnings- och U-boksregistret.

Enligt ett beslut från Datainspektionen den 25 januari 1978 skall uppgifter gallras senast efter fem år.

3.6.3. Beslags- och analysregister

Beslags- och analysregistren förs av Rikspolisstyrelsen, Statens kriminaltekniska laboratorium (SKL) samt polismyndigheterna med tillstånd meddelat av Datainspektionen den 6 november 1987.

Ändamålet med registren skall enligt tillståndet vara – dels underlag för undersökning av modus operandi och profiler av strategisk och taktisk betydelse för den nationella och internationella narkotikabekämpningen, – dels rapportering av analysresultat avseende beslagtagen narkotika samt framställning av statistik.

Syftet med systemet är att analysresultat snabbt skall kunna bli tillgängliga för Rikspolisstyrelsen och respektive narkotikarotel via bildskärm. Rikspolisstyrelsen skall ha tillgång till hela registret medan narkotikarotlarna vid övriga polismyndigheter endast skall ha tillgång till uppgifter om sina egna ärenden. SKL skall endast ha åtkomst till analysdelen av registren för att kunna ansvara för in- och utdata vad avser narkotikaanalyser, protokoll och förhandsbesked av analyser. Av ansökan framgår att analysdelen av registren skall innehålla uppgift om det misstänkta preparatet och motsvarande beslagsnummer. Enligt Datainspektionen får delregistren anses förda för respektive myndighets verksamhet, vilket innebär att myndigheterna skall vara registeransvariga för sina egna register.

Registren får endast innehålla de uppgifter som framgår av ansökningen. De personer som enligt ansökningen skall registreras är ”frihetsberövade personer i samband med beslag av narkotika”. Beträffande dessa personer skall antecknas uppgifter om bl.a. identitet, modus operandi, transportmedel, eventuell beslagtagen valuta och eventuella vapen. Dessutom skall den beslagtagna narkotikan beskrivas och var och när den anträffades. Den automatiska databehandlingen får endast utföras på det sätt som angetts i ansökningen.

3.6.4. Finanspolisens analys- och spaningsregister

Finanspolisens analys- och spaningsregister inrättades under år 1994 med stöd av ett tillstånd från regeringen den 16 december 1993. Datainspektionen meddelade den 27 januari 1994 föreskrifter för registret. Efter överklagande ändrade regeringen Datainspektionens beslut i vissa delar.

Registret består av två delregister, Finanspolisens analys- och förspaningsregister samt Finanspolisens diarium. Finanspolisens analys- och förspaningsregister utgör ett hjälpmedel i Rikspolisstyrelsens spanings- och analysverksamhet i ärenden hos Finanspolisen som avser sådana förfaranden som anges i lagen (1993:768) om åtgärder mot penningtvätt. En del av uppgifterna i registret har underrättelsekaraktär. Registret används även för framställning av statistik. Ändamålet med Finanspolisens diarium är att utgöra ett diarium enligt 15 kap. sekretesslagen vid Finanspolisen. Nämnda kapitel innehåller bestämmelser om registrering och utlämnande av allmänna handlingar m.m.

Registret får innehålla uppgifter som rapporteras till Rikspolisstyrelsen enligt penningtvättlagens bestämmelser eller från andra polismyndigheter eller motsvarande utländska samarbetspartners eller som framkommit i Finanspolisens spanings- och analysverksamhet, under förutsättning att det finns skäl att anta att transaktionen avser medel som härrör från ett brottsligt förvärv av allvarligare slag. Registret får även innehålla uppgifter som rapporteras till Rikspolisstyrelsen från tullmyndigheter eller tullmyndigheternas utländska samarbetspartners i deras polisiära verksamhet under förutsättning att det finns skäl att anta att transaktionen avser medel som härrör från ett brottsligt förvärv av allvarligare slag. Vidare får registret innehålla uppgifter som härrör från andra källor än vad som sägs ovan om de bedöms vara av betydelse för utredningen av det aktuella ärendet.

3.6.5. Digitalt referensbibliotek över barnpornografiska framställningar

Barnpornografiutredningen föreslog i sitt betänkande Barnpornografifrågan (SOU 1997:29) att en internationellt tillgänglig databank med barnpornografiska framställningar skulle inrättas i Sverige med Rikspolisstyrelsen som huvudansvarig.

Efter en ansökan från Rikspolisstyrelsen (Rikskriminalpolisen) beslutade regeringen i beslut den 18 september 1997 att det hos Rikspolisstyrelsen skulle inrättas och föras ett personregister med

namnet Digitalt referensbibliotek över barnpornografiska framställningar. Ändamålet med registret är enligt regeringsbeslutet att utföra bildanalys i brottsutredningar samt att bistå utländska brottsutredande myndigheter med uppgifter om bildanalys i brottsutredningar. Innehållet i registret skall bestå av barnpornografiska framställningar som tagits i beslag. Registret får också innehålla barnpornografiska framställningar som överlämnats av en utländsk brottsutredande myndighet. Registret får slutligen även innehålla uppgifter om var framställningen tagits i beslag. Det har visat sig att systemet utgör ett mycket effektivt verktyg för att klara upp barnpornografibrott, men också sexualbrott mot barn.

I sin ansökan begärde Rikspolisstyrelsen att registret borde tillföras också annan information än enbart bilder. Man begärde att registreringen även skulle omfatta information om produktionen av filmerna, inblandade personer, domar och uppgifter om pågående förundersökningar m.m. Regeringen tog inte ställning till den delen av ansökningen.

Registret omfattas inte av övergångsbestämmelserna i polisdatalagen eftersom det inte förs med tillstånd av Datainspektionen utan med stöd av ett regeringsbeslut. Bestämmelserna i personuppgiftslagen och polisdatalagen är därför numera ensamt tillämpliga på behandlingen av personuppgifter i registret.

I avsnitt 8.5.3 tar vi upp frågan om referensbiblioteket bör lagregleras särskilt.

3.6.6. Violent Crime Linkage Analysis System (ViCLAS)

Violent Crime Linkage Analysis System (ViCLAS) är ett analysprogram som den kanadensiska polisen har utarbetat. Det har visat sig framgångsrikt för att länka samman grova sexualbrott. Programmet används operativt i Kanada, tre amerikanska delstater, Australien, Nya Zeeland, Belgien, Nederländerna, Storbritannien, Tyskland, Österrike och Schweiz. Ytterligare ett antal europeiska länder, däribland Danmark och Norge, planerar att införa systemet. I Sverige togs systemet i bruk under år 2000.

Ändamålet med behandlingen är att genom registrering av uppgifter om brott, om skäligen brottsmisstänkta personer och om brottsoffer kunna upptäcka likheter med andra begångna brott och länka samman brottsutredningarna. De personuppgifter som behandlas är identitetsuppgifter, signalementsuppgifter samt beteenden och tillvägagångssätt vid brotten. Namn och personnummer på brottsoffren registreras inte,

dock registreras vissa uppgifter om brottsoffrens signalement. Samtycke till behandlingarna inhämtas från brottsoffren.

I ViCLAS registreras uppgifter om mord, dråp, misshandel med dödlig utgång, våldtäkt, sexuellt tvång, sexuellt utnyttjande, sexuellt utnyttjande av underårig och människorov. Registrering sker även av uppgifter om anstiftan och medhjälp till nämnda brott samt om försök, förberedelse och stämpling till nämnda brott. Det registreras även uppgifter om försvunna personer där det föreligger misstanke om brott.

Behandlingen av personuppgifter styrs av reglerna i personuppgiftslagen och i polisdatalagen.

Uppgifterna till ViCLAS hämtas från polismyndigheternas förundersökningar. För att trygga säkerheten i behandlingen är det endast sex personer vid Rikskriminalpolisen som har direktåtkomst till uppgifter i registret. All datateknisk utrustning som används förvaras i en sluten lokal hos Rikskriminalpolisen. Gallringstiden för uppgifterna i registret är tänkt att vara 30 år.

Rikspolisstyrelsen har i enlighet med 2 § polisdataförordningen till Datainspektionen föranmält ViCLAS. I sitt beslut den 1 augusti 2000 anför Datainspektionen att en särreglering av systemet bör övervägas. Inspektionen pekar på att det i systemet är fråga om en behandling av personuppgifter av integritetskänslig beskaffenhet. Vidare anför Datainspektionen att det från integritetssynpunkt är väsentligt med klara gränser för en automatiserad behandling av förevarande beskaffenhet. För att tillgodose behoven i den utsträckning de är nödvändiga för verksamheten och för att av integritetsskäl sätta gränser i fråga om ändamål, innehåll och bevarande anser Datainspektionen att överväganden om ytterligare författningsreglering behövs. Datainspektionen har överlämnat sitt beslut till regeringen. Regeringen har överlämnat Datainspektionens beslut till utredningen, se bilaga 2.

3.6.7. Personefterlysnings- och U-boksregistret

Personefterlysnings- och U-boksregistret utgör det s.k. EPU-systemet (efterlysta personer och U-boken). Systemet förs med stöd av tillstånd från Datainspektionen den 11 oktober 1977. Registret består av två delregister; EP-delen och U-boksdelen.

Ändamålet med registret är enligt tillståndet att – dels i enlighet med efterlysningskungörelsen (1969:293) föra register över efterlysningar och utge förteckningar över gällande efterlysningar och över efterlysningar som har återkallats,

– dels i enlighet med 5 § 2 stycket lagen (1965:94) om polisregister m.m. sammanställa och sända ut uppgifter från polisregister om avlägsnanden ur riket och beslut som har samband därmed, – dels använda de registrerade uppgifterna vid utredningar i passärenden enligt passkungörelsen (1941:836) och vid passkontroll enligt utlänningskungörelsen (1969:136) samt vid annan därmed jämförlig polisiär verksamhet.

Av 2 § efterlysningskungörelsen (1969:293) framgår att efterlysning verkställs genom att uppgifter införs i ett register över efterlysta personer som förs med ADB. Rikspolisstyrelsen, polismyndighet, åklagarmyndighet eller Kriminalvårdsstyrelsen beslutar om efterlysning. Annan myndighet kan göra framställning hos polisen om efterlysning. Uppgifter om personefterlysningar införs i EP-delen av registret.

Rikspolisstyrelsen sänder sammanställningar över avlägsnanden ur riket och beslut som har samband därmed till olika svenska myndigheter samt till de centrala utlänningsmyndigheterna i Danmark, Finland, Island och Norge. En sådan sammanställning, den s.k. Uboken, framställs varje år med kompletteringar varje månad. För framställning av U-boken antecknar Rikspolisstyrelsen i ett centralt register uppgifter om den som utvisats ur Sverige på grund av brott.

Personefterlysningsregistret innehåller känsliga personuppgifter i personuppgiftslagens mening, såvitt avser anledningen till efterlysningen. En sådan anledning till efterlysning kan t.ex. vara avvikelse från behandlingshem för vård av missbrukare.

3.6.8. Interpolregistret

Registret förs av Rikspolisstyrelsen med tillstånd meddelat av Datainspektionen den 15 maj 1982. Registret består av två delregister. Det ena innehåller polisregisteruppgifter och det andra utgör ett diarium över ärenden inom Interpolsektionen.

Ändamålet med registret är enligt tillståndet att återfinna ärenden i en aktsamling vid styrelsens Interpolsektion.

Registret får förutom administrativa uppgifter innehålla uppgift om ärendetyp, land, personnummer, nationalitet, fordon, kontonummer, nummer på legitimationshandling, indikativ (begrepp för att ange förfalskningstyp) samt åtgärd.

3.6.9. Godsregister

Godsregistret förs med stöd av Datainspektionens tillstånd den 23 juni 1977. Ändamålet med registret är enligt tillståndet följande. I registret antecknas gods som stulits, förkommit eller omhändertagits, t.ex. såsom hittegods eller vid husrannsakan. Registret används i polisens spanings- och utredningsverksamhet för att identifiera sådant gods. Registret används vidare för att kontrollera gods som pantsatts hos pantlånerörelser och liknande inrättningar. Det kan även – efter begäran av en enskild person till vederbörande polismyndighet – användas för kontroll av gods som utbjudits till enskild person för försäljning. Registret utgör också underlag för viss statistik avseende arten och värdet av gods m.m.

Godsregistret består av två delar, godsregistret och bevakningsregistret. Godsregistret innehåller uppgifter om gods som stulits, förkommit eller tagits om hand genom t.ex. beslag. I bevakningsregistret registreras uppgifter om gods som tagits i beslag men som inte har återfunnits i godsregistret. Det är enligt Datainspektionens beslut fråga om gods som kan förväntas komma att bli registrerat i godsregistret såsom stulet eller förkommet. Bevakningsregistret innehåller vidare uppgifter om gods som pantsatts i Stockholm, Göteborg och Malmö samt vissa andra större orter. Detta sker på grundval av listor som varje dag upprättas av pantbankerna och sänds till vederbörande polisdistrikt. Förfarandet har sin grund i uppgiftsskyldighet enligt 27 § pantbankslagen (1995:1000).

Registret får endast innehålla de uppgifter som framgår av ansökningen och beslutet. De uppgifter som registreras är dels uppgifter som gör det möjligt att återfinna ärendet, dels beskrivning av godset.

3.6.10. Efterlysningssystem för fordon m.m.

Efterlysningssystemet för fordon m.m. förs med stöd av Datainspektionens tillstånd den 23 juni 1986.

Ändamålet med registret är enligt tillståndet att utgöra underlag och hjälpmedel för den polisiära spaningsverksamheten samt att sprida upplysning inom polisen och till vissa andra myndigheter m.fl. om fordon som efterlysts.

Registret får endast innehålla de uppgifter som framgår av ansökan. De personer som får registreras är ägare till fordon som skall efterlysas (omkring 40 000 per år), person som anträffar ett efterlyst fordon (omkring 10 000 per år) samt person som efterspanas och som kan

misstänkas färdas med ett visst fordon som ägs av annan (omkring 400 per år). De uppgifter som får anges är bl.a. uppgifter om fordonet, ägarens personnummer eller organisationsnummer, ägarens namn, anledning till efterlysning, handläggande polismyndighet och diarienummer, anträffandedatum och anträffandeplats. Av Datainspektionens beslut framgår att fri text bara får innehålla uppgifter av den art som exemplifieras i ansökningen. I ansökningen sägs att fri text inte skall innehålla uppgift om brott eller brottsmisstanke.

3.6.11. Passregistret

Registret förs av Rikspolisstyrelsen och de lokala polismyndigheterna. Sedan den 1 oktober 2001 förs registret med stöd av personuppgiftslagen. Ändamålet med registret är att tillhandahålla uppgifter som behövs för att utfärda pass, för att kontrollera vilka personer som är passinnehavare, för att förhindra innehav av mer än ett pass, för att kontrollera om passtillstånd erfordras för identifieringskontroll i polisens verksamhet samt för kontroll och avstämning av passuppgifter, passböcker och avgifter.

Av passförordningen (1979:664) framgår att Rikspolisstyrelsen skall föra ett centralt passregister och ett centralt register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302).

Passregistret får innehålla uppgift om bl.a. passinnehavarens identitet, passnummer, passets giltighetstid och kod för särskilt passhinder.

Av 20 § passlagen följer att passtillstånd fordras för den som är uttagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård, är inskriven i specialsjukhus enligt lagen angående omsorger om vissa psykiskt utvecklingsstörda eller utskriven på försök från sådant sjukhus, dock endast om chefsöverläkaren vid sjukvårdsinrättningen har gjort anmälan om att pass ej får utfärdas utan sådant tillstånd (första punkten) eller för att patienten tidigare utfärdat pass efter intagningen eller inskrivningen har återkallats på grund av framställning från Socialstyrelsen (tredje punkten).

Behandlingen av personuppgifter i passregistret sker inte för att förebygga brott, för att övervaka den allmänna ordningen och säkerheten eller för att bedriva spaning och utredning i fråga om brott. Det följer därför av 1 § polisdatalagen att den lagen inte är tillämplig på ifrågavarande behandling av personuppgifter.

Registret innehåller känsliga personuppgifter i personuppgiftslagens mening.

3.6.12. Registret för identifiering av försvunna personer

Registret förs med tillstånd av Datainspektionen den 16 juni 1988. Ändamålet med registret skall enligt tillståndet vara att underlätta framtagning av detaljerade signalementsuppgifter om personer som varit försvunna en längre tid och därvid underlätta identifieringen av okända och avlidna personer.

Till registret överförs personer som anmälts försvunna och registrerats i personefterlysnings- och U-boksregistret (se avsnitt 3.6.7) och som återfunnits efter trettio dagar.

3.6.13. Disaster Victim Identification

Registret, som vanligen benämns DVI-registret, förs med tillstånd av Datainspektionen den 15 oktober 1998.

DVI-registret består av blanketter som tagits fram inom Interpol för registrering av uppgifter om försvunna personer och om oidentifierade kroppar från människor. Registret innehåller mycket detaljerade uppgifter om de registrerade och många av uppgifterna i registret utgör känsliga personuppgifter. Detta gäller t.ex. uppgifter om religion, om smittsamma infektioner, om användning av läkemedel och om annan information från läkarjournaler.

3.6.14. Register med anknytning till det statliga person- och adressregistret

Polisens adressdatabas, polisens fastighetsfråga, polisens historikdatabas och polisens folkbokföringsdatabas är register av administrativ karaktär. Polisdatalagen har dock bedömts vara tillämplig på behandlingen av personuppgifter i registren. De fyra registren har alla samband med det statliga person- och adressregistret (SPAR) som förs med stöd av lagen (1998:527) om det statliga personadressregistret.

Adressdatabasen förs med tillstånd av Datainspektionen meddelade den 3 mars 1992 och den 16 april 1992. Ändamålet med registret är att ge polisen upplysning om vilka personer som är folkbokförda på en bestämd adress för att därmed utgöra ett stöd i sådan hjälpande verksamhet som avses i 2 § 4 polislagen. Dessutom skall registret utgöra ett stöd i polisens uppgift att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. I ansökan om tillstånd anges att registret endast skall innehålla uppgifter om ”personer folkbokförda i

Sverige med undantag för de som sekretessmärkt sina adresser i folkbokföringen”. De uppgifter som registreras är personnummer, gatuadress och ”markering om personens gatuadress är aktuell eller ej”. Registret bygger på information från SPAR och driften sker hos Sema Group InfoData AB.

Polisens fastighetsfråga förs med tillstånd av Datainspektionen meddelade den 24 september 1993 och den 15 september 1997. Ändamålet med registret är enligt tillståndet att ge polisen upplysning om fastighet (fastighetsbeteckning) hörande till viss person. Registret får bara innehålla uppgifter om personer folkbokförda i Sverige. Inga andra uppgifter än personnummer och fastighetsbeteckning förs in i registret. Registerinnehållet nås genom frågor till SPAR.

Polisens historikdatabas förs med tillstånd av Datainspektionen meddelade den 24 september 1993, den 21 januari 1997 och den 15 december 1997. Ändamålet med registret är att ge polisen upplysning om uppgifter som gallrats ur SPAR avseende personer under 90 år. Endast personer som är folkbokförda i Sverige skall registreras. Registret innehåller ”samtliga uppgifter med undantag för adress som gallrats ur SPAR där personen är yngre än 90 år”.

Polisens folkbokföringsdatabas förs med stöd av Datainspektionens tillstånd den 16 december 1997. Innehållet i registret består av folkbokföringsuppgifter som ingår i Riksskatteverkets Aviseringsregister men som inte får ingå i SPAR.

3.7. Lokala system med nationell spridning

3.7.1. Allmänt

De lokala polismyndigheterna för flera olika system. Det gäller bl.a. s.k. tillhållsregister samt system för intern samordning av pågående utredningar. Att ett system är lokalt innebär att det bara är den egna polismyndigheten som har tillgång till uppgifter ur systemet. Här redovisas fyra lokala system som har nationell spridning, nämligen rationell anmälningsrutin, datoriserad utredningsrutin – tvångsmedel, kommunikationscentralernas system och förundersökningsregister.

3.7.2. Rationell anmälningsrutin

Rationell anmälningsrutin (RAR) förs av de lokala polismyndigheterna med tillstånd meddelade av Datainspektionen den 17 september 1993 och den 17 december 1997.

Ändamålet med registren är enligt tillstånden – att tillhandahålla uppgifter rörande brottsanmälningar som behövs och för att i enlighet med lag eller förordning lämna uppgifter till annan myndighet samt – att tillhandahålla uppgifter för polismyndighetsärenden, lämna underlag för samordning, bevakning, planering och uppföljning av verksamheten, utgöra underlag för produktion av statistik samt tillika utgöra myndighetens kriminaldiarium.

RAR är uppbyggt som ett ärendehanteringssystem som innehåller uppgifter direkt från polisens brottsanmälningsblanketter. Blanketterna för brottsanmälan är numera inlagda i datorsystem. Detta medför att när en blankett fylls i registreras samtidigt brottsanmälningens uppgifter i RAR. De allra flesta brottsbalksbrott registreras i RAR.

Samtliga uppgifter i brottsanmälningarna registreras i RAR. Förutom uppgifter om själva brottet finns personuppgifter avseende målsägande, anmälare, skäligen misstänkt gärningsman, vittne samt försvunna och avlidna personer.

RAR utgör enligt polisen ett utomordentligt effektivt verktyg i verksamheten. Genom att det för registrering inte krävs andra åtgärder än upprättande av en brottsanmälan är systemet lätt att använda. Uppgifterna kommer direkt från källan (brottsanmälningen) och har därför hög kvalitet och hög aktualitet. Systemet används för att fastställa modus operandi och är värdefullt inte minst vid utredningar om seriebrott.

Eftersom RAR är ett lokalt system har varje polismyndighet bara tillgång till uppgifter ur sin egen myndighets RAR. Från polisen har framförts att det föreligger ett stort behov av ett centralt rikstäckande RAR, som alltså skulle vara tillgängligt för landets alla polismyndigheter. Frågor med anknytning till inrättandet av ett centralt RAR tas upp i avsnitt 12.4.

3.7.3. Datoriserad utredningsrutin – Tvångsmedel

Systemet datoriserad utredningsrutin – tvångsmedel (DurTvå) är ett lokalt ärendehanteringssystem med nationell spridning, vilket syftar till att effektivisera polisens och åklagarnas arbete med förundersökningar i brottmål. Systemet regleras av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen. Systemet är ännu inte helt utbyggt.

Genom DurTvå skapas ett system genom vilket upprättandet av förundersökningsprotokoll sker på elektronisk väg. Alla anmälningar ur RAR hämtas automatiskt till DurTvå. Därefter upprättas hela förundersökningsprotokollet i DurTvå. I dag saknas möjlighet att göra fritext-

sökningar i DurTvå, men den möjligheten kommer att finnas när systemet är fullt utbyggt.

Det finns ett behörighetssystem för sökning i DurTvå. Behörigheten att få del av uppgifter är uppdelad i tre nivåer.

Liksom beträffande RAR har det från polisens sida framförts att det behövs ett rikstäckande DurTvå.

3.7.4. Kommunikationscentralernas system

För att effektivisera och samordna bl.a. alarmeringsåtgärder och viss tillfällig spaningsverksamhet skall i varje län finnas en ort med kommunikationscentral. Uppgifterna för kommunikationscentralerna består i att ta emot och vidarebefordra inkommande larm och andra meddelanden samt att inledningsvis vidta och samordna polisåtgärder med anledning av larmen och meddelandena.

Som stöd för denna verksamhet har ett ärendehanteringssystem för kommunikationscentralerna utvecklats, nämligen det s.k. KC-systemet. Behandlingen av personuppgifterna i systemet sker med stöd av bestämmelserna i personuppgiftslagen och i de allmänna bestämmelserna i polisdatalagen. Det finns motsvarigheter till KC-systemet i flera andra europeiska länder och även i USA. Systemet är ursprungligen framtaget i Kanada.

Enligt sin ändamålsbestämmelse är syftet med behandlingen att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunikationscentralerna. Syftet anges också vara att på ett tidigt stadium erhålla signaler om pågående och återkommande brottslig verksamhet exempelvis om familjevåld och mc-brottslighet. Vidare har behandlingen till ändamål att ge underlag för planering av polisens resurser och för uppföljning av verksamheten.

I KC-systemet registreras uppgifter om brotts- eller händelseplatser med besked om tid, plats, händelsetyp, brottskod och övrig information som kan vara till hjälp vid en kommande polisutredning. Systemet innehåller också personuppgifter. Registrering sker av anmälare, målsägande, vittne, misstänkta, utpekade och försvunna personer samt personer som på olika sätt kontaktar polisen i ärenden som registreras i KC-systemet. I Stockholm noteras 1 000–1 200 ärenden per dygn i KCsystemet.

Rikspolisstyrelsen har i enlighet med 2 § polisdataförordningen anmält KC-systemet till Datainspektionen för förhandskontroll. Inspektionen har i sitt beslut den 21 december 1999 framfört synpunkter på rutinerna för gallring och för information till de registrerade.

Enligt anmälan skall de registrerade uppgifterna i händelserapporterna vara tillgängliga i KC-systemet under 13 månader. Datainspektionen erinrar om att personuppgifter som behandlas automatiserat enligt huvudregeln i 13 § polisdatalagen skall gallras när uppgifterna inte längre behövs för sitt ändamål.

I fråga om information till registrerade sägs i anmälningen att information om uppgiftsbehandling inte skall lämnas annat än till vissa särskilt angivna kategorier av personer. Rikspolisstyrelsen hänvisar därvid till bestämmelsen i 24 § personuppgiftslagen, som föreskriver att information får underlåtas om lämnandet skulle visa sig vara omöjligt eller innebära en oproportionerligt stor arbetsinsats. Datainspektionen anför att denna undantagsbestämmelse inte kan anses vara generellt tillämplig i fråga om samtliga angivna kategorier av registrerade.

3.7.5. Förundersökningsregister

Förundersökningsregister (FU) får enligt regeringens beslut den 28 november 1985 föras av de lokala polismyndigheterna. Datainspektionen meddelade föreskrifter för registren den 21 januari 1986.

Ändamålet med registren är att utgöra hjälpmedel för att lagra, systematisera och återvinna uppgifter i förundersökningar med komplicerat eller omfattande utredningsmaterial.

FU får enligt Datainspektionens beslut endast innehålla uppgifter av den art som framgår av ansökningen. Förutom administrativa uppgifter får sålunda registreras uppgifter om namn på uppgiftslämnare, uppgifter om en person som kan sättas i samband med något brott, beskrivning av förekommande fordon och personer, uppgifter om brottsplats, uppgifter ur förhör samt uppgifter om adresser till kända ”tillhåll” och ”kvartar”.

4. Nya arbetsmetoder och ny teknik

Enligt utredningsdirektiven skall vi följa konsekvenserna av nya arbetssätt och ny teknik. I det här kapitlet tar vi upp förändringar som därvid har särskild betydelse. Vi inleder med några kortfattade synpunkter rörande manuell behandling av information som alternativ till automatiserad behandling av information.

4.1. Manuell behandling – automatiserad behandling

Manuell behandling av information, däribland personuppgifter, är inte längre ett realistiskt alternativ till automatiserad behandling av information. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet.

Vi har i avsnitt 2.1 redogjort för det omfattande utvecklingsarbete som, i linje med uttalanden från statsmakterna, pågår inom polisen med att utveckla IT-stödet för verksamheten. En stor del av skrivarbetet inom polisen, liksom på andra arbetsplatser, sker i dag med någon form av informationsteknik. Inom en mycket snar framtid lär praktiskt taget allt skrivarbete komma att utföras med hjälp av datorer. Skrivmaskiner finns knappast längre till försäljning. Det finns inga egentliga alternativ till att bedriva arbetet datoriserat. Att hos myndigheter ersätta datorer med papper och penna är naturligtvis inte rimligt.

För att få en jämförelse med tidigare förhållanden har vi från Rikspolisstyrelsen inhämtat vissa upplysningar om arbetsrutiner inom polisen som tillämpades före datorernas inträde. Upplysningarna avser hanteringen av de lokala manuella registren för spaningsinformation, vilka numera har ersatts av det allmänna spaningsregistret. Rikspolisstyrelsen har därvid upplyst följande. De manuella spaningsregistren

fördes i pärmar med ett antal stödsystem i form av flexo-ställ och flexo-remsor i olika färger. I en och samma myndighet kunde det finnas flera spaningsregister. En del rotlar förde också egna register. Systemet var tids- och personalkrävande. Arbetsuppgifter som tog fyra–fem personer i anspråk utförs i dag med datorhjälp av en enda person. Vid omfattande spaningsuppdrag var man tvungen att ringa runt, dels inom den egna myndigheten, dels till andra myndigheter som kunde tänkas ha relevanta uppgifter. En svaghet med de manuella registren var också att de endast var bemannade under kontorstid.

En realistisk lagstiftning om behandling av personuppgifter måste ta hänsyn till de nya förhållandena. Eftersom det i praktiken inte finns några alternativ till att använda datorer innebär ett förbud mot en viss automatiserad behandling av personuppgifter att behandlingen inte alls kommer att ske. Man kan vid utformningen av nya regler därför inte ha som utgångspunkt att behandlingen kommer att ske manuellt om det inte tillåts att den sker automatiserat.

I det här sammanhanget bör även påpekas att enskilda polismäns anteckningar för eget bruk om iakttagelser och tips självfallet aldrig kan utgöra ett alternativ till en automatiserad behandling av personuppgifter. Tidigare förekom det i ganska stor utsträckning att enskilda polismän förde egna anteckningsböcker, s.k. svarta böcker, för att samla information som snappades upp. Denna information tenderade dock att stanna hos den enskilde polismannen. Informationen kom därför bara i begränsad utsträckning till nytta i myndighetens arbete. Att en enskild polisman besitter viss information är således inte samma sak som att myndigheten innehar informationen.

En övergripande konsekvens av den snabba utvecklingen av IT inom polisen är att antalet personuppgifter som behandlas automatiserat ökat kraftigt. Nästan all manuell behandling av personuppgifter har ersatts eller kommer sannolikt inom en nära framtid att ersättas av automatiserad behandling av personuppgifter. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet. I avsnitt 2.3 har vi redovisat synpunkter på avvägningen mellan effektivitetshänsyn och integritetsskydd vid utformningen av en sådan lagstiftning. Bl.a. konstaterar vi därvid som en självklar utgångspunkt att integritetsskyddet för de personer vars personuppgifter behandlas bör ligga på en hög nivå.

4.2. Ett brottsförebyggande perspektiv

Polisen skall enligt nyare uttalanden från statsmakterna arbeta problemorienterat och brottsförebyggande. Arbetet skall vara proaktivt och inte reaktivt inriktat. För att kunna verka brottsförebyggande måste polisen inhämta och bearbeta information om enskilda personer i större utsträckning än som skedde vid ett traditionellt reaktivt arbetssätt. Det ligger därför i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt.

4.2.1. En förändrad inriktning av polisverksamheten

Statsmakterna har under senare år successivt gett uttryck för en delvis ändrad inriktning av polisverksamheten. Det har skett under inflytande av bl.a. internationella strömningar inom såväl kriminologisk vetenskap som praktisk polisiär erfarenhet. Också i Sverige har forskningen och praktiken allt mer kommit till insikt om betydelsen av förebyggande och problemorienterad polisverksamhet. Bl.a. har Rikspolisstyrelsen tagit fram underlag för den politiska omorienteringen som inleddes i slutet av 1980-talet.

I sammanfattning kan statsmakternas riktlinjer för polisverksamheten beskrivas på följande sätt.

Målen för polisens verksamhet är att minska brottsligheten och att öka tryggheten. För att nå dessa mål skall polisen prioritera den brottsförebyggande verksamheten och den s.k. närpolisverksamheten. Den brottsutredande verksamheten skall också utvecklas.

I polisens arbetssätt skall det problemorienterade arbetssättet vara det dominerande. Detta innebär att analys, uppföljning och metoder sätts i centrum. När det gäller inriktningen mot olika slags brottslighet bör särskilda satsningar enligt statsmakterna göras mot våldsbrott och narkotikabrott samt mot ekonomisk brottslighet. Särskild uppmärksamhet skall också ägnas åt ungdomar som riskerar att dras in i kriminalitet samt åt vaneförbrytare och andra som svarar för en förhållandevis stor del av brottsligheten.

Polisverksamheten skall i ökad utsträckning bedrivas i form av närpolisverksamhet, som kan ses som en utveckling av den gamla kvarterspolisverksamheten. I närpolisverksamheten är tanken att enskilda grupper av polismän bedriver det lokala polisarbetet i egna geografiskt avgränsade ansvarsområden och i nära samverkan med de boende eller

i området verksamma personer Särskilt när det gäller närpolisen är det enligt Rikspolisstyrelsen angeläget att polisen samverkar med kommuner och andra som kan medverka i det förebyggande och trygghetsskapande arbetet.

4.2.2. Uttalanden från regering och riksdag

År 1996 presenterade regeringen det nationella brottsförebyggande programmet Allas vårt ansvar (Ds 1996:59). Programmet skall enligt regeringen ses som början till ett brett upplagt arbete för att skapa förutsättningar för ett långsiktigt och uthålligt brottsförebyggande arbete inom alla samhällssektorer.

En utgångspunkt för regeringens arbete med att förebygga brott är att det samhällsproblem som brottsligheten utgör måste angripas med en bred kriminalpolitisk ansats. En andra utgångspunkt är att brottslighetens orsaker måste angripas lokalt, där problemen finns. En tredje utgångspunkt är att det krävs medborgerliga initiativ och ett brett engagemang från allmänhetens sida för att det brottsförebyggande arbetet skall ge resultat. I det nationella programmet betonas polisens uppgift att ge stöd till det lokala brottsförebyggande arbetet. Det kan exempelvis handla om att polisen ger aktivt stöd till lokala kartläggningar genom att ta fram statistik och annan information om brottsligheten och brottsutvecklingen i ett område samt delta i analysarbetet.

I skrivelsen Brott kan förebyggas! Utvecklingen av det brottsförebyggande arbetet (skr. 2000/01:62) beskriver regeringen hur det brottsförebyggande arbetet utvecklats inom olika områden sedan det nationella brottsförebyggande programmet beslutades år 1996. Skrivelsen tar bl.a. upp det arbete som bedrivs av de lokala brottsförebyggande råden samt socialtjänstens, polisens och kriminalvårdens insatser. Skrivelsen har behandlats i justitieutskottet (bet. 2000/01:JuU19). Utskottet framför i betänkandet inte några uppfattningar, som avviker från vad som sägs i skrivelsen.

I budgetpropositionen för år 2001 (prop. 2000/2001:1 del 4 s. 16) sägs när det gäller prioriteringar att polisverksamheten skall omfatta de uppgifter som framgår av polislagen och tydligare präglas av ett långsiktigt problemorienterat arbetssätt med ett brottsförebyggande syfte. Polisen skall enligt regeringen också utveckla sin förmåga att förebygga och bekämpa brott med rasistiska eller främlingsfientliga, antisemitiska och homofobiska inslag. Detta är enligt vad som sägs i propositionen särskilt viktigt när det gäller att kartlägga och analysera hotbilder. Justitieutskottet har godkänt budgetpropositonen såvitt avser rättsväsendet (bet. 2000/01:JuU1).

4.2.3. Åtgärder på myndighetsnivå

Inom Rikspolisstyrelsen och polisväsendet i övrigt har man utformat strategier för hur statsmakternas intentioner skall brytas ned och omsättas i det dagliga polisarbetet. Den nya inriktningen av polisarbetet har stegvis genomförts inom polisen. Under 1990-talet har Rikspolisstyrelsen bedrivit projekt som syftat till att förebygga och bekämpa i synnerhet narkotikabrott men även andra brott. Det har också bedrivits projekt som handlat bl.a. om åtgärder mot ungdomsbrottslighet och åtgärder mot yrkeskriminalitet.

I sina planeringsförutsättningar för åren 2001, 2002 och 2003 betonar Rikspolisstyrelsen också betydelsen av ett brottsförebyggande perspektiv i polisarbetet. Varje polismyndighet skall utarbeta och dokumentera en brottsförebyggande strategi där det också framgår hur och med vilka myndigheter och organisationer samverkan skall ske. Polismyndigheterna skall säkerställa att strategierna får genomslag och utgör en utgångspunkt för de handlingsplaner som tas fram inom myndigheterna och i övrigt vid planeringen av den dagliga polisverksamheten. Vikten av tydliga återrapporteringskrav påpekas också i planeringsförutsättningarna.

I nästa avsnitt diskuterar vi formerna för polisens brottsförebyggande arbete och pekar på vissa konsekvenser för den enskildes personliga integritet.

4.2.4. Det brottsförebyggande arbetssättet ur ett integritetsperspektiv

Behandling av personuppgifter i förundersökning

Det är alltså ett uttalat krav från statsmakternas sida att polisen skall arbeta problemorienterat och brottsförebyggande. Det räcker därför inte med att polisen bara utreder brott som har begåtts. Polisen skall arbeta proaktivt och inte bara reaktivt. De nya kraven från samhällets sida får dock konsekvenser i olika avseenden. En sådan konsekvens rör polisens behov av att samla in och behandla information, däribland personuppgifter.

Polisens verksamhet för att förebygga, uppdaga och beivra brott kan ske inom ramen för en förundersökning enligt rättegångsbalkens bestämmelser, men kan också utgöra verksamhet som faller utanför en förundersökning. Det rättsliga stödet för att bedriva sådan verksamhet som faller utanför rättegångsbalkens regler, företas med stöd av de allmänna bestämmelserna i 2 § polislagen. Enligt dessa bestämmelser hör

det till polisens uppgifter att inte bara bedriva spaning och utredning i fråga om brott som hör under allmänt åtal, utan även att förebygga brott och andra störningar av den allmänna ordningen.

Enligt 23 kap. 1 § rättegångsbalken skall förundersökning inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har förövats. Det krävs misstanke om ett konkret brott. Endast mer eller mindre lösa misstankar om att en person är inblandad i brottslighet anses inte vara en tillräcklig grund för att inleda förundersökning.

Förfarandet vid förundersökning regleras i 23 kap. rättegångsbalken. I 18 § av kapitlet föreskrivs att då förundersökningen kommit så långt att någon skäligen misstänks för brottet som utreds i förundersökningen, skall han, då han hörs, underrättas om misstanken. Den misstänkte och hans försvarare har enligt samma lagrum rätt att fortlöpande, i den mån det kan ske utan men för utredningen, ta del av vad som har förekommit vid undersökningen. Det föreskrivs också i 21 § att det vid förundersökningen skall föras protokoll över vad därvid förekommit av betydelse för utredningen. Det finns i förundersökningskungörelsen (1947:948) ytterligare regler om hur en förundersökning skall gå till. I 12 och 12 a §§ av kungörelsen ges föreskrifter som preciserar bestämmelserna i 23 kap. 18 § rättegångsbalken om underrättelse till den misstänkte.

Som framgått är förfarandet i en förundersökning noggrant reglerat i lag och annan författning. Anknytningen till konkreta brott motverkar att behandling av personuppgifter sker vid en mycket låg grad av misstanke. Härigenom finns det en förutsebarhet om vilka kategorier av personuppgifter som behandlas. Den enskilde har också insyn i utredningen. Det kan här inflikas att Datainspektonen gett uttryck för uppfattningen att förundersökningskungörelsen får anses vara en sådan författning som enligt 24 § andra stycket personuppgiftslagen medger undantag från informationsskyldighet (se Datainspektionens allmänna råd Information till registrerade enligt personuppgiftslagen s. 16).

Behandling av personuppgifter för brottsförebyggande ändamål

Enligt ett äldre synsätt skulle polisens brottsbekämpande verksamhet väsentligen vara reaktivt inriktad. Utgångspunkten kan sägas ha varit att polisen skulle ägna sig åt att utreda misstankar om konkreta brott och att personer som inte var misstänkta för konkreta brott skulle lämnas i fred. På grund av de nya kraven om en brottsförebyggande och problemorienterad polisverksamhet är den utgångspunkten inte längre hållbar.

För att kunna verka brottsförebyggande måste polisen inhämta och bearbeta information i större utsträckning än som sker vid ett traditionellt reaktivt arbetssätt. Denna verksamhet kan inte ske enbart i förundersökningar. Om man vill nå framgång är det nödvändigt att samla in och bearbeta även underrättelser som innehåller personuppgifter.

Underrättelseverksamhet bedrivs också på alla nivåer inom polisväsendet, inte minst i det vardagliga polisarbetet ute på fältet. Genom egna iakttagelser, tips eller upplysningar samlar polisen fortlöpande in sådan information som ger anledning att misstänka att brottslig verksamhet förekommer. Den insamlade informationen kan sedan bearbetas t.ex. för att kartlägga narkotikans vägar eller beskriva strukturen av viss brottslighet, t.ex. våldsbrott mot kvinnor. Bearbetningen kan också avse uppföljning av medlemmar i kriminella grupperingar. Sådana uppföljningar kan vara ett mycket effektivt sätt att förebygga våldsbrott och vandalisering i samband med fotbollsmatcher eller andra större evenemang samt för att förebygga t.ex. mc-relaterad brottslighet eller brott med rasistiska inslag. Underrättelseverksamheten fyller inte bara en viktig funktion för den nationella brottsbekämpningen utan är viktig även i internationella sammanhang.

En insamling och bearbetning av personuppgifter av här skisserat slag innebär dock att polisen inte enbart kan behandla uppgifter om personer som är misstänkta för konkreta brott. För att behandlingen av personuppgifter skall kunna fylla sitt syfte måste insamlingen av personuppgifter ske tidigare. Behandlingen behöver innefatta uppgifter om misstankar mot enskilda personer redan vid en låg grad av misstanke. Ibland är det nödvändigt att samla in uppgifter om misstankar mot enskilda personer, även om misstankarna inte kunnat preciseras till att avse en viss specifik händelse eller gärning.

Det ligger således i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt. Detta skall vägas mot effektiviteten i brottsbekämpningen. Det är ett uttalat krav från samhällets sida att polisen skall arbeta brottsförebyggande och inte bara reagera på redan inträffade brott. Utgångspunkten för oss är därför att polisen måste ha rätt att behandla personuppgifter datoriserat i sådan utsträckning som det är nödvändigt för att polisen skall kunna uppfylla kraven från samhället i detta avseende. Med hänsyn till att det kan röra sig om mycket känslig behandling måste man dock samtidigt noga överväga vilka regler till skydd för den enskildes personliga integritet som erfordras. Vi redovisar våra överväganden härom främst i kapitel 10 om behandling av personuppgifter om enskilda personer som det inte finns misstanke om brott mot.

4.3. Digital bild- och ljudbehandling

Användningen av digital teknik för behandling av ljud och bild är i hög grad ägnad att höja kvaliteten på polisens brottsutredningar. Detta gäller framför allt beträffande digitala bilder. Eftersom den digitala tekniken får anses utgöra automatiserad behandling blir dock bestämmelserna i personuppgiftslagen tillämpliga i den utsträckning behandlingen avser digitala bilder eller ljud som innehåller personuppgifter.

4.3.1. Digitalteknik

Digitalteknik, sifferteknik, är den grundläggande tekniken bakom datorn, fickräknaren, digitaluret m.fl. elektroniska apparater och system. Normalt används endast siffrorna 1 och 0, som fysikaliskt motsvaras av signaler som är endera ”till” eller ”från”, t.ex. 1 = elektrisk spänning och 0 = avsaknad av elektrisk spänning. Signalerna ändras språngvis och får därmed pulskaraktär. Motsatsen till digitalteknik är analog teknik, där signalerna i stället varierar kontinuerligt.

Digitaltekniken har sina rötter i datortekniken, som fortfarande är dess viktigaste tillämpningsområde. Sedan omkring år 1960 har den emellertid spritt sig till allt fler teknikområden, så att större delen av all elektronik numera är digital. Telefoni, telefoto, television, grammofonteknik och mätteknik är exempel på områden där digitaltekniken i stor utsträckning ersatt den analoga tekniken. Mobiltelefonen och betaltelevisionen är till sina grundläggande funktioner digitala.

Genom den digitala tekniken kan bilder och ljud lagras i datorer. De lagrade bilderna och ljuden kan sedan redigeras på olika sätt. Färger kan ändras eller bytas ut och t.ex. föremål kan läggas till eller tas bort. Allt vanligare blir digitalt uppbyggda småbildskameror med diskett i stället för filmrulle. Bilder från en sådan kamera kan föras direkt över till en dator för vidare beskärning eller korrigering av eventuella exponeringsfel o.d. samt därefter redigeras tillsammans med text.

4.3.2. Användningsområdet för digitala bilder och ljud

Utvecklingen av digital teknik påverkar i stor utsträckning polisens arbetssätt, i första hand när det gäller digitala bilder. I det följande

redovisar vi kortfattat upplysningar som vi inhämtat från Rikspolisstyrelsen om användningsområdet för digitala ljud och bilder.

Bilder används av naturliga skäl i många olika sammanhang hos polisen. Man tar bilder t.ex. för att dokumentera brottsplatser och olycksplatser, beteenden i trafiken, fotokonfrontationer och spaning. Det förekommer både analoga och digitala bilder. På sikt är det dock troligt att de allra flesta bildupptagningar kommer att ske med digital teknik. Analoga bilder scannas ofta in i datasystem, t.ex. i DurTvå. Bilderna kan därefter redigeras på samma sätt som digitala bilder.

Polisen har pekat på olika positiva effekter som en övergång till digital behandling kan ha för verksamheten. Effekterna som påpekats redovisas nedan.

Genom digital bildanvändning kan man få direkt åtkomst till bildmaterial på flera olika platser samtidigt. Detta kan vara av intresse exempelvis i spaningsärenden eller om en bild behöver skickas till en ledningscentral eller någon annan enhet. Över huvud taget är det viktigt i all polisverksamhet att snabbt kunna få tillgång till material. Möjligheten att ha digitala bilder i mobila datorer, som kan användas ute på fältet, kan vara av stort värde vid identifieringar.

Det uppkommer kostnads-, tids- och effektivitetsvinster vid användning av digital teknik eftersom framkallningsprocessen försvinner. Den processen är ofta tidsödande, vilket kan vara avgörande för framgången i en utredning och har dessutom betydelse för hur snabbt en utredning kan bli färdig. En digital bildhantering ger omedelbar åtkomst till bilden. En filmrulle består som regel av 24 eller 36 bilder och det innebär att filmrullen ofta inte utnyttjas fullt ut, utan polismännen tar ett litet antal bilder och lämnar sedan filmen för framkallning. Ett annat problem uppkommer om filmrullen inte framkallas direkt utan används i flera ärenden. Här är erfarenheten att det är svårt att hänföra bilderna till rätt ärende när de väl framkallats. Vid en digital bildhantering kan man direkt överföra de bilder som är tagna till en server eller en CD-ROM för lagring. Eftersom bilderna ligger på ett minneskort är det möjligt att utnyttja kortet vid flera tillfällen. Till skillnad från filmrullar behöver man inte hela tiden köpa nya minneskort utan minneskorten kan raderas så fort bilderna har lagrats på ett annat ställe.

Digitala bilder är lätta att redigera. Den digitala tekniken gör det enkelt att redan på plats vid fotograferingen välja ut de bilder som är aktuella att använda i utredningen. Man kan också ta nya bilder om de redan tagna visar sig ha dålig kvalitet. Misslyckas man med tagningen av en bild finns möjligheten att omedelbart rätta till ljusförhållanden eller vinklar, vilket medför att den bild som bifogas den aktuella utredningen håller hög kvalitet. På en digital bildkopia kan man göra anteckningar eller markeringar som kan klargöra omständigheterna.

Med digital teknik blir bevishanteringen snabbare. Digital hantering medför att en tagen bild kan användas omedelbart, vilket kan vara av värde bl.a. i trafikärenden.

Bildanvändningen ökar i omfattning genom att bildhanteringen underlättas. Eftersom en bild många gånger kan förmedla information bättre än en skriven text är det allmänt sett viktigt att enkelt kunna ta bilder. Om man har ett användarvänligt system för inhämtning av bilder kommer fler inom polisen att använda sig av bildmaterial, vilket är ägnat att höja kvaliteten på polisens brottsutredningar. Förundersökningarna blir härigenom bättre.

I fråga om digitala ljudupptagningar tycks övergången från analog till digital teknik hittills ha fått mindre betydelse än motsvarande övergång från analoga till digitala bilder. Ett exempel på användning är dock ljud som tillsammans med bilder spelas in med digitala videokameror. Datoriserad behandling av ljud kan i framtiden också väntas ske genom bl.a. lagring på filer och innefatta olika former av röststyrning.

Inspelning av telefonmeddelanden sker i allt större utsträckning med digital teknik. Polismyndigheten i Stockholms län avser t.ex. enligt en anmälan om förhandskontroll till Datainspektionen att digitalt spela in och registrera samtliga telefonsamtal och radiosamtal som vid myndighetens kommunikationscentral hanteras av myndighetens radiooperatörer, länsvakthavande befäl samt stabsfunktioner vid särskilda händelser. Ändamålet med detta är att man lättare skall kunna rekonstruera specifika händelseförlopp. Radiooperatörerna som tar emot de inkommande meddelandena måste också kunna kontrollera att de har uppfattat meddelandena korrekt.

4.3.3. Lagreglering av digitala bilder och ljud

Redovisningen ovan visar betydelsen av den digitala tekniken i polisarbetet. Regeringen har i olika sammanhang också sagt att det är angeläget att polisväsendet använder modern teknik för att effektivisera verksamheten (se t.ex. prop. 2000/2001:1, utgiftsområde 4, s. 59).

Digital behandling av bilder och ljud får dock till skillnad från analog behandling anses utgöra automatiserad behandling i den mening som begreppet har i 5 § personuppgiftslagen. Detta innebär att personuppgiftslagen är tillämplig på digital behandling av bilder och ljud, vilket kan skapa svårigheter i olika hänseenden. I avsnitt 8.5 av betänkandet diskuterar vi frågor om författningsreglering av behandling av personuppgifter i form av bilder och ljud.

4.4. Intranät

Polisens intranät används i första hand för att sprida verksamhetsrelaterad information inom polismyndigheterna.

4.4.1. IntraPolis

IntraPolis är ett nationellt nätverk för svensk polis. Olika polismyndigheter har utvecklat intranät för respektive myndigheter och dessa intranät utgör delar av IntraPolis. Genom polismyndigheternas intranät förmedlas både öppen och skyddad information. Den öppna informationen är tillgänglig för all svensk polis medan det erfordras särskild behörighet inom respektive polismyndighet för att få tillgång till den skyddade informationen.

Intranäten används i första hand för att sprida verksamhetsrelaterad information inom myndigheterna. Det förekommer att polisens personalorganisationer och fritidsföreningar förfogar över egna hemsidor för sina verksamheter.

På intranäten finns dock även information som omfattas av sekretess. För tillträde till den del av intranäten som innehåller sådan information krävs som nämnts särskild behörighet.

Ett exempel på skyddad information är kriminalunderrättelsetjänsternas information eller s.k. KUT-Info. I det följande redovisar vi denna behandling av personuppgifter.

4.4.2. KUT-Info

Ett beslut från Datainspektionen

I fråga om behandlingen av personuppgifter i KUT-Info gäller bestämmelserna i personuppgiftslagen och polisdatalagen. Konsekvenserna av dessa regelverk för behandling av personuppgifter på intranät belyses av ett beslut från Datainspektionen den 28 januari 2000. Beslutet föranleddes av att Polismyndigheten i Stockholms län enligt 2 § polisdataförordningen hade anmält att myndigheten med automatiserad behandling på intranät i systemet KUT-Info avsåg att behandla personuppgifter som gav upplysning om att personer var dömda eller misstänkta för brott.

KUT-Info hos Polismyndigheten i Stockholms län

I det följande lämnas en beskrivning av den planerade behandlingen av personuppgifter i Stockholmspolisens KUT-Info. Framställningen bygger på myndighetens förhandsanmälan till Datainspektionen.

Inom Stockholms län skall distribueras kriminalunderrättelseinformation, förkortat KUT-Info, från länskriminalens underrättelserotel ett par gånger i veckan. Informationen skall bestå av uppgifter om efterlysta personer, om oidentifierade gärningsmän, om framställningar från olika utredningsmän om hjälp, om permissioner, om brott av polisiärt intresse som uppgifter angående t.ex. dolda vapen och om tillvägagångssätt vid brott m.m.

Uppgifterna skall spridas genom IntraPolis till omkring 400 användare som i sin tur skall skicka uppgifterna vidare till ytterligare ett stort antal poliser och andra anställda inom myndigheten.

KUT-Info skall skickas främst till anställda hos Polismyndigheten i Stockholms län men även till behöriga tjänstemän inom andra polismyndigheter i Sverige.

Syftet med den planerade nya behandlingen ”KUT-Info i IntraPolis” är att utnyttja den moderna tekniken och använda IntraPolis för snabb publicering av kriminalunderrättelseinformation samt att snabbt sprida väsentlig information som polisanställda har behov av i sin tjänst. Det föreligger inte någon avsikt att införa nya personregister då det inte är fråga om bevarande och samkörningar av uppgifter utan i ändamålet ligger att uppgifterna lagras under kort tid och gallras fortlöpande.

Informationen skall lagras i IntraPolis som längst sju dagar innan den skall gallras ut. Efter gallring skall arkivering av utlagd information lagras på papper inom underrättelseroteln. Undantag för sjudagarsregeln skall dock finnas rörande information om efterlysta personer.

Det skall framgå att informationen i KUT-Info inte kan åberopas som grund för ett beslut om ingripande eller för att vidta en åtgärd. Uppgifterna skall alltid kontrolleras med ursprungskällan för uppgiften.

Det skall inte tillämpas någon tidsbegränsning för gallring beträffande information om de mest eftersökta brottslingarna där särskild farlighet eller andra omständigheter gör att det är av intresse att personen grips. Gallring skall ske då personen grips eller avlyses av något annat skäl.

Uppgifterna beträffande efterlysta personer skall omfatta namn, personnummer, foto, adressuppgifter samt fordon. Dessutom kommer uppgifter om vilka brott personen är efterlyst för samt uppgifter om farlighet att anges.

Polisen avser även att sprida fotografier på oidentifierade personer som är misstänkta för brott. Även fotografier och uppgifter om värdefullt tillgripet gods skall spridas.

Uppgifter beträffande personer som är dömda för grova brott samt tidpunkterna för dessa personers permissioner och frigivning från avtjänande av påföljder kommer att nämnas i KUT-Info.

Beskrivning av pågående och planerade projekt avses att redovisas. Sådana projekt kan handla om t.ex. kriminella motorcykelgäng, brott mot åldringar och ungdomsbrottslighet. Den information om projekt som avses att bli spridd i KUT-Info kommer inte att innehålla några uppgifter om personer som kan sammankopplas med brottslig verksamhet. För att redovisningen skall bli överskådlig är det nödvändigt att begränsa den information som kommer att spridas i systemet. Därför kommer till exempel beträffande efterlysta personer ett antal om högst 20 personer att presenteras.

Information kommer att ske av rikslarm, zonlarm, länslarm eller gränslarm. Vid behov skall informationen även innefatta fotografier.

I systemet anges tips som mottagits av underättelserotlarna. Det redovisas uppgifter om alla personer som berövats friheten med anledning av misstanke om brott.

Datainspektionens bedömning

Datainspektionen meddelade som sagt den 28 januari 2000 ett beslut rörande anmälningen om behandling av personuppgifter i KUT-Info.

Datainspektionen anförde i beslutet att frågan om i vilken utsträckning den aktuella informationsförmedlingen skall kunna förekomma och vilka uppgifter som skall kunna presenteras enligt inspektionens uppfattning bör bli föremål för central reglering, åtminstone genom sådana föreskrifter som förutsätts i 17 § polisdataförordningen. Den bestämmelsen säger att Rikspolisstyrelsen efter samråd med Datainspektionen får meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen och polisdataförordningen.

Vidare säger Datainspektionen i beslutet att enligt inspektionens mening är behandling och registrering av personuppgifter i kriminalunderrättelseverksamhet uttömmande reglerad i polisdatalagen. Det är inte förenligt med polisdatalagen att i ett system som KUT-Info företa informationsbehandling som faller under begreppet kriminalunderrättelseverksamhet.

Med anledning av Datainspektionens beslut har den planerade behandlingen i KUT-Info inte kommit till stånd.

KUT-Info hos Polismyndigheten i Västra Götaland

Även Polismyndigheten i Västra Götaland har avsett att behandla personuppgifter automatiserat i KUT-Info. Informationen som avsågs att spridas var i allt väsentligt av samma typ som den som skulle spridas genom KUT-Info hos Polismyndigheten i Stockholm. Med anledning av en anmälan om förhandskontroll enligt 2 § polisdataförordningen beträffande myndighetens planerade behandling av personuppgifter i KUT-Info meddelade Datainspektionen ett beslut den 22 juni 1999.

I sitt beslut säger Datainspektionen att det inte finns rättsligt utrymme att behandla uppgifter som kommer från kriminalunderrättelseverksamhet i någon annan ordning än som föreskrivs i polisdatalagen. Innehållet i beslutet korresponderar med vad Datainspektionen anför i beslutet rörande Stockholmspolisens förhandsanmälan om behandling av personuppgifter i KUT-Info.

Den avsedda behandlingen av personuppgifter har på grund av Datainspektionens beslut inte genomförts.

Det har från andra polismyndigheter gjorts anmälningar om förhandskontroll av motsvarande behandling av personuppgifter i KUT-Info. Anmälningarna har inte föranlett några andra ställningstaganden från Datainspektionen än som redovisats ovan beträffande anmälningarna från polismyndigheterna i Stockholms län och i Västra Götaland.

4.4.3. Lagreglering av KUT-Info

Som framgår av Datainspektionens beslut med anledning av KUT-Info kan den aktuella behandlingen av personuppgifter vara oförenlig med bestämmelserna i polisdatalagen. Behandlingen kan komma i konflikt med lagens bestämmelser om behandling av personuppgifter i kriminalunderrättelseverksamhet. I kapitel 10 av betänkandet tar vi upp begreppet kriminalunderrättelseverksamhet och behandling av personuppgifter i sådan verksamhet. De ställningstaganden som vi redovisar där bör få betydelse för den aktuella behandlingen i KUT-Info.

5. Informationsutbytet med Europol

Polisdatalagen medger inte att personuppgifter som härrör från kriminalunderrättelseverksamhet behandlas automatiserat annat än i så kallade särskilda undersökningar eller i kriminalunderrättelseregister. Härigenom har informationsutbytet med Europol kommit att allvarligt försvåras.

I detta kapitel redovisas hur informationsutbytet med Europol fungerar. Som en bakgrund beskriver vi Europols struktur. Vi pekar därefter på vissa problem avseende utbyte av information, som uppkommer vid tillämpning av polisdatalagen.

5.1. Grundtanken bakom Europol

Inom EU tillhör samarbetet på polisområdet den s.k. tredje pelaren, dvs. samarbetet är mellanstatligt utan att några egentliga beslutsbefogenheter har tilldelats EU-organen. Inom ramen för samarbetet på polisens område har en europeisk polisbyrå, Europol, upprättats. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna. Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs och bearbetas samt kompletteras, i en del fall, med uppgifter från annat håll och analyseras sedan hos Europol. Dessa underlag delges sedan medlemsländerna som härigenom får ett bättre underlag för sin operativa verksamhet, vilket kan bidra till flera och bättre samordnade ingripanden mot den typ av brottslig verksamhet som ligger inom Europols mandat, dvs. organiserad, internationell kriminalitet av allvarligt slag.

Europols verksamhet regleras i Europolkonventionen. Riksdagen beslutade under hösten 1997 att Sverige skulle ansluta sig till konven-

tionen (prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 1997/98:22). Den 1 oktober 1998 trädde Europolkonventionen i kraft. Verksamheten inleddes den 1 juli 1999.

5.2. Europols målsättning och behörighet

Europol skall förbättra effektiviteten hos de behöriga nationella myndigheterna (dvs. i första hand polismyndigheterna, men även t.ex. tullen och andra myndigheter med polisiära befogenheter samt i vissa avseenden åklagarmyndigheterna) i medlemsländerna och förbättra deras inbördes samarbete i den förebyggande och brottsbekämpande verksamhet som riktar sig mot den allvarliga internationella brottsligheten.

Europol kan tas i anspråk när de faktiska omständigheterna visar att det förekommer en brottslig organisation eller struktur som påverkar två eller flera medlemsländer och som med hänsyn till brottslighetens omfattning, svårighetsgrad och konsekvenser gör det nödvändigt med ett gemensamt handlande från medlemsländernas sida. Europol är under dessa förutsättningar behörigt att ägna sig åt informationsutbyte rörande vissa särskilt allvarliga brott. Dessa brott är narkotikahandel, människohandel, olaglig handel med nukleära och radioaktiva ämnen, handel med stulna fordon, penningförfalskning och den brottslighet som är förknippad med illegala immigrationsnätverk samt terrorism.

Dessa brott är närmare definierade i konventionen. Listan på brott för vilka Europol har behörighet att verka kan dessutom utökas genom enhälligt beslut av EU:s ministerråd. Förutom mot de på detta sätt definierade brotten kan Europol alltid användas mot viss annan brottslighet som hänger samman med de brott som ingår i Europols behörighet. Med detta avses sådana brott som begås för att skaffa resurser till den brottslighet som från början ingår i Europols behörighet och sådana brott som begås för att underlätta utförandet eller för att undvika lagföring och straff för sådan brottslighet.

5.3. Europols uppgifter

Inom ramen för den målsättning och den behörighet som nyss har angivits har Europol som förstahandsuppgift att underlätta informationsutbytet mellan medlemsländerna, att inhämta, sammanställa och analysera information och underrättelser, att omedelbart till medlemsländerna återföra information och underrättelser som berör dem och att genast underrätta dem om upptäckta samband mellan olika brottsliga

gärningar samt att underlätta polisutredningar i medlemsländerna genom att överlämna relevant information som finns hos Europol.

Härutöver skall Europol för att förbättra samarbetet mellan och öka effektiviteten hos de nationella polismyndigheterna bistå med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahålla strategiska och övergripande underrättelser för att främja effektiva och rationella operationer i medlemsländerna samt utarbeta allmänna lägesrapporter. Slutligen kan Europol bistå medlemsländerna med råd och forskning inom områdena för utbildning, organisation och utrustning, brottsförebyggande arbete och tekniska och vetenskapliga polis- och utredningsmetoder. Europol driver ett femtiotal utvecklingsprojekt och strategiska projekt som berör Rikskriminalpolisens verksamhet. Som exempel kan nämnas projekt som Förfalskning av euro-valutan och Rapportering till EU om organiserad brottslighet m.m.

5.4. Europols organisation

Staternas samarbete inom Europol är uppbyggt kring både nationella och internationella beståndsdelar. Inom varje medlemsstat finns en nationell enhet som är enda förbindelselänk mellan Europol och medlemsländerna. I Sverige är det Rikskriminalpolisen som har denna funktion. Den nationella enheten har till huvudsaklig uppgift att förse Europol med den information som från de nationella polisregistren eller motsvarande skall överlämnas till Europols olika dataregister och att ta emot information som kommer från Europol och vidarebefordra dessa till behöriga myndigheter enligt konventionen. Behöriga myndigheter i Sverige är, förutom polismyndigeheterna, också andra organ som är behöriga att förebygga och bekämpa brottslighet, dvs. tull- och kustbevakningsmyndigheter och i vissa avseenden åklagarmyndigheterna.

Varje medlemsland skall sända minst en sambandsman till Europols huvudkontor som ligger i Haag i Nederländerna. Sverige har två sambandsmän placerade vid huvudkontoret, en från polisen och en från tullen. Europols styrelse kan besluta att det skall finnas ett större antal sambandsmän. Sambandsmännen är de nationella enheternas representanter i Europol. De har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols tjänstemän i bl.a. analysarbetet.

Såväl de nationella enheterna som sambandsmännen arbetar under respektive medlemslands nationella lagar och regler. Sambandsmännen är inte anställda av Europol utan av förvaltningarna i sina hemstater.

Europol har dessutom egna anställda underrättelsetjänstemän och analytiker för att utföra det kriminalunderrättelse- och analysarbete som är tyngdpunkten i Europols verksamhet. Dessa tjänstemän blir i första hand rekryterade från medlemsländernas polis- och tullorganisationer och liknande medan analytikerna också kan ha en annan bakgrund, t.ex. civil akademisk utbildning. Hos Europol är även ett antal datatekniker och administrativa tjänstemän anställda.

Europols dagliga verksamhet leds av en direktör som genom enhälligt beslut utses av rådet på fyra år med möjlighet till förlängning av anställningen under ytterligare en fyraårsperiod.

Den övergripande ledningen av Europol handhas av en styrelse. Regeringen har utsett chefen för Rikspolisstyrelsen som svensk ledamot i denna styrelse och chefen för Rikskriminalpolisen som ersättare. Cheferna för de nationella enheterna i medlemsländerna har en rådgivande roll gentemot Europol och styrelsen. De träffas regelbundet i en grupp för att diskutera främst operativa frågor.

Europol är en juridisk person med egen rättskapacitet och får enligt konventionen ingå internationella avtal inom ramen för sin behörighet och sina uppgifter. Europols budget fastställs av EU:s ministerråd.

5.5. Europols datasystem

5.5.1. Systemets uppbyggnad

Den centrala beståndsdelen i Europol är dess databaserade informationssystem. Detta består av ett informationsregister med begränsat och ämnesmässigt avgränsat innehåll som tillåter snabb sökning av vissa personuppgifter. För den analysverksamhet som bedrivs av Europol finns det ett antal arbetsregister av olika varaktighet för analysändamål, s.k. analysregister. Dessa innehåller mer detaljerade uppgifter. Slutligen finns det ett indexregister över analysregistren för att möjliggöra för bl.a. sambandsmännen att ta reda på om det i de pågående analysprojekten finns något av intresse för det nationella polisarbetet.

För närvarande pågår projektet The Europol Computer System (TECS) vid Europol. Projektet syftar till att bygga upp de olika delarna av Europols datasystem. Ett system för analysregister (EURINT) har tagits fram och utvecklas fortlöpande. Ett sambandssystem för Europol, sambandsmännen och de nationella enheterna är också under utveckling. Detta sambandssystem skall möjliggöra olika former av säker kommunikation. I TECS-projektet deltar en verksamhetsrepre-

sentant från Rikskriminalpolisen och en teknisk representant från Rikspolisstyrelsen.

5.5.2. Informationsregistret

Informationsregistret innehåller uppgifter om personer som är dömda eller misstänkta för sådana brott som ligger inom Europols behörighet. Uppgifterna kan också avse personer mot vilka det finns graverande omständigheter som ger anledning att anta att de kommer att begå brott inom Europols behörighetsområde. De personuppgifter som förekommer är av standardiserat slag. Det är identifikationsuppgifter som namn, födelsetid och födelseort, kön, medborgarskap och vissa signalementsuppgifter. Vidare får antecknas uppgift om brott och gärningsbeskrivning, tillvägagångssätt, vilken brottslig organisation man misstänker att personen i fråga tillhör samt fällande domar. De hittills nämnda uppgifterna är medlemsländerna med vissa undantag skyldiga att utan särskild begäran föra in i informationsregistret från sina egna polisregister.

Ytterligare uppgifter om de nämnda personkategorierna kan på begäran lämnas till Europol om medlemsstatens lagstiftning tillåter detta.

De nationella enheterna, sambandsmännen och vissa anställda i Europol har direkt tillgång till registret.

5.5.3. Arbetsregister för analysändamål

En av Europols huvuduppgifter är att genomföra analyser som ett led i kriminalunderrättelseverksamheten. Detta innebär att Europol samlar in, bearbetar och drar slutsatser av det insamlade materialet till nytta för en polisutredning eller en förundersökning. Analyserna skall genomföras i projektform. Det betyder att ett begränsat antal analytiker och andra tjänstemän från Europol samt sambandsmän från de stater som berörs bildar en projektgrupp. För denna grupp kan om det behövs ett arbetsregister (analysfil) läggas upp efter särskilt beslut från styrelsen i Europol. Sådana analysfiler utgör gruppens viktigaste arbetsredskap. Underlaget för styrelsens beslut i fråga om inrättande av ett arbetsregister utgörs av uppgifter om bl.a. syftet med analysen, om typen av analys och om vilka personer som skall registreras.

Konventionen skiljer mellan strategisk analys och analys som har ett operativt syfte. Den sistnämnda är direkt inriktad mot pågående undersökning eller utredning i ett eller flera länder. Den strategiska

analysen innehåller övergripande uppgifter, t.ex. om den allmänna strukturen på viss brottslighet eller om smugglingsvägar för viss narkotika. Den strategiska analysen innehåller inga personuppgifter.

För närvarande pågår arbete i ett tiotal analysfiler som främst berör Rikskriminalpolisens verksamhet, men också polismyndigheterna och Tullverket. Analysfilerna kräver beredning från Rikskriminalpolisens sida i form av insamlings- och analysarbete. Omfattande analysfiler avser organiserad brottslighet i Östeuropa och mc-relaterad brottslighet. Ett annat projekt som Rikskriminalpolisen deltar i avser utvecklandet av metoder för inhämtning av kvalitativa och kvantitativa data om organiserad brottslighet.

Ett arbetsregister för analysändamål som inrättas i operativt syfte får innehålla personuppgifter. I ett sådant får till att börja med förekomma de uppgifter om personer som finns i informationsregistret. Vidare får det föras in uppgifter om vittnen, brottsoffer, kontakter eller medhjälpare och andra personer som kan lämna uppgifter om de brott som utreds. I fråga om brottsoffer får även uppgifter tas in i registret om omständigheterna ger anledning anta att en person skulle kunna bli offer för ett brott som ligger inom Europols behörighet.

Det är i och för sig också tillåtet att i analysregistren föra in personuppgifter av mycket känslig karaktär, t.ex. politisk åskådning, ras eller etniskt ursprung. Sådana uppgifter får dock införas endast om de är strikt nödvändiga med hänsyn till ändamålet med analysen och då bara om de känsliga uppgifterna kompletterar andra personuppgifter som antecknats i samma register. Det är således inte tillåtet att lägga upp ett register med uppgifter om enbart politisk hemvist eller etniskt ursprung. Konventionen förbjuder också att sökning efter personer med ledning enbart av eventuellt registrerade särskilt känsliga personuppgifter sker i strid med Europols ändamålsbestämmelser. I praktiken innebär detta ett förbud mot selektiv datasökning med exempelvis ras eller politisk åskådning som enda sökbegrepp.

Endast de analytiker som är berörda av det pågående analysarbetet har rätt att föra in och använda uppgifter i analysregistret. Övriga inblandade har naturligtvis rätt att få del av resultaten av analysen, men de har inte tillgång till själva registret, som är ett arbetsredskap enbart för analytikerna. Sambandsmännen ansvarar för att resultaten av analyserna också kommer medlemsländernas polismyndigheter eller andra behöriga myndigheter till del.

5.5.4. Indexregistret

Som har nämnts har inga andra än analytikerna tillgång till analysregistren. För att dessa register skall kunna fylla sin funktion som kunskapskälla för i sista hand medlemsländerna krävs att det finns en förmedlande länk mellan analysregistren och sambandsmännen. Indexregistret fyller den funktionen. Indexregistret skall ge svar på frågan om det i analysregistren finns uppgifter som berör det nationella polisarbetet i sambandsmannens hemstat utan att registrets innehåll eller analysresultatet avslöjas.

Sambandsmännen och behöriga Europoltjänstemän har tillgång till indexregistret.

5.5.5. Skyldighet att tillföra registren uppgifter

Medlemsländerna är skyldiga att förse Europols olika register, utom indexregistret, med uppgifter. Detta skall ske dels genom att vissa uppgifter överlämnas utan särskild begäran, vilket är huvudregeln för de flesta uppgifter som skall föras in i informationsregistret, och dels genom att uppgifter lämnas på begäran av Europol. På sistnämnda sätt skall analysregistren förses med huvuddelen av sina uppgifter. Vissa uppgifter är medlemsländerna skyldiga att föra över till Europol. Det gäller bl.a. alla grundläggande uppgifter till informationsregistret. Ytterligare uppgifter till informationsregistret skall överlämnas på Europols begäran om den nationella lagstiftningen tillåter att ett överlämnande sker. I fråga om de uppgifter som skall införas i analysregistren gäller att sådana uppgifter på begäran skall överlämnas till Europol om nationell lagstiftning tillåter att uppgifterna används för att utföra analyser i kriminalunderrättelseverksamhet i hemlandet.

Staterna är inte skyldiga att till Europol lämna sådana uppgifter som kommer från säkerhetstjänsterna. Vidare finns undantag från skyldigheten att lämna uppgifter om det i det enskilda fallet skulle skada väsentliga nationella säkerhetsintressen, äventyra resultatet av en pågående polisutredning eller innebära ett hot mot någons personliga säkerhet.

Europol skall efter avslutat analysarbete förse informationsregistret med sådana uppgifter som hör hemma där.

Europol kan hämta uppgifter till analysregistren från andra länder, andra organisationer eller andra EU-organ. De sistnämnda har inte någon fördragsenlig skyldighet att lämna uppgifter. I den mån uppgifter hämtas från annat håll skall de föras in i lämpliga register av Europol.

5.6. Regler om integritetsskydd

Europolkonventionen innehåller ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter.

Beträffande den allmänna skyddsnivån för datalagrade uppgifter, och även sådana icke ADB-baserade uppgifter som finns i registren, gäller att principerna i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen från 1981 och 1987 års Europarådsrekommendation om användningen av personuppgifter inom polissektorn, skall iakttas också för Europols dataregister. Innan något utbyte av personuppgifter mellan Europol och medlemsländerna kan ske måste enligt konventionen även medlemsländerna ha en nivå på sitt integritetsskydd som minst motsvarar de nyss nämnda Europarådsdokumenten.

Ansvaret för att en uppgift som förs in i ett av registren är riktig åvilar i princip den enhet som har fört in den. Medlemsländerna ansvarar alltså för att uppgifterna i Europols register är riktiga. Europol ansvarar för att de uppgifter som inhämtats från tredje länder eller andra organisationer är riktiga. Medlemsländerna ansvarar också för att uppgifter som har överförts till Europol lagligen har kunnat registreras i det ursprungliga nationella registret och att överföringen till Europol sker för att uppfylla konventionens bestämmelser och i enlighet med medlemslandets nationella regler.

Uppgifter får införas, avläsas, bearbetas och användas endast för att utföra Europols arbetsuppgifter och uppfylla dess mål enligt konventionen. För att kontrollera att missbruk inte sker skall alla uttag ur informationsregistret och vart tionde uttag ur övriga register rapporteras. Kontrollen utförs av Europol, de nationella tillsynsmyndigheterna och den gemensamma tillsynsmyndigheten.

Felaktigheter skall rättas av medlemsländerna, av Europol eller av dessa i samarbete. Europol och medlemsländerna är också skyldiga att se till att uppgifter som strider mot konventionens bestämmelser om överföring, lagring eller bearbetning av personuppgifter rättas eller utplånas. Om en personuppgift utplånas i ett nationellt register varifrån den har överförts till Europol, skall den också utplånas ur Europols register. Från denna huvudregel finns ett undantag, nämligen om Europol mot bakgrund av underrättelser från annat håll har ett intresse av att uppgifter behålls. Uppgifter om personen i fråga kan då bevaras. Personuppgifter i informationsregistret skall dock alltid utplånas om personen i fråga frikänns eller en utredning läggs ned.

Det åvilar i Sverige Nationella sambandskontoret som nationell enhet att svara för rättning och gallring av de inmatade uppgifterna i informationssystemet. Detta ställer stora krav på sambandskontoret.

Eventuellt kan dock vissa uppgifter överföras till andra enheter inom polisväsendet eller till andra myndigheter.

En generell gallringsfrist om tre år gäller för personuppgifter i Europols register. Det finns möjlighet att låta uppgiften kvarstå om den fortfarande bedöms vara aktuell. Bevakning av gallringsfristerna skall vad gäller informationsregistret utföras av den som för in uppgiften och beträffande övriga register av Europol. För uppgifter om misstänkta personer finns särskilda bevakningsregler som innebär att om behovet av uppgiften kvarstår efter den första treårsfristen man därefter skall göra en årlig kontroll.

Det finns en gemensam tillsynsmyndighet som bl.a. har till uppgift att kontrollera att Europol uppfyller sina skyldigheter med avseende på rättelse och utplåning av felaktiga data. Den kontrollerar även att Europols handhavande i övrigt av personuppgifter överensstämmer med konventionen. Europol är skyldigt att vidta de åtgärder som föreskrivs av tillsynsmyndigheten.

I varje medlemsland skall det finnas en nationell tillsynsmyndighet som har motsvarande uppgifter i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet. Det åligger således Datainspektionen att övervaka kommunikationen mellan Nationella sambandskontoret och Europol. Sambandskontoret måste därför ha en organisation som gör det möjligt att tillhandahålla Datainspektionen samtliga personuppgifter och övriga uppgifter.

Enskilda har rätt att vända sig till vart och ett av dessa organ med begäran om kontroll av att personuppgifter om den enskilde inte finns i registren i strid med bestämmelserna.

I konventionen finns också andra bestämmelser som går ut på att enskilda skall kunna ta till vara sina rättigheter mot Europol. Grundregeln är att var och en antingen skall kunna få tillgång till uppgifter om sig själv i registren, om inte sekretessregler lägger hinder i vägen, eller få till stånd ett förfarande för att kontrollera att eventuella uppgifter är rättsenligt införda. Det avgörande för vilken av dessa möjligheter som står den enskilde till buds är det nationella regelsystemet i den medlemsstat i vilken begäran framställs. De beslut som Europol fattar i ärenden om utlämnande av uppgifter eller kontroll kan överklagas till den gemensamma tillsynsmyndigheten. Beträffande rätten till insyn i eller kontroll av de uppgifter som finns i de nationella registren gäller nationella regler oavsett om uppgifterna härstammar från Euro-pol eller från annat håll.

5.7. Regler om användning av data och om sekretess

De uppgifter som finns hos Europol skall användas för brottsbekämpande verksamhet i medlemsländerna. Uppgifterna får dock i princip bara användas för att bekämpa sådan brottslighet som ligger inom Europols behörighet. Europol får endast använda uppgifterna för att fullgöra sina åligganden enligt konventionen. Det finns möjligheter för varje land som lämnar uppgifter till Europol att begränsa användningen av vissa, speciellt känsliga sådana uppgifter till särskilt angivna ändamål. De övriga medlemsländerna är då i princip skyldiga att respektera dessa begränsningar och får inte utan den uppgiftslämnande statens tillstånd använda uppgiften till annat. Undantag görs för skyldighet att lämna uppgifter till rättsvårdande myndigheter, lagstiftande organ och vissa tillsynsmyndigheter.

Medlemsländerna är skyldiga att vidta åtgärder för att kunna sekretessbelägga de uppgifter från Europol som skall hållas hemliga. Europols anställda och sambandsmännen skall iaktta tystnadsplikt med avseende på hemliga uppgifter de fått del av i tjänsten. Brott mot tystnadsplikten straffbeläggs i den nationella lagstiftningen. I vissa fall kan dessa tjänstemän förbjudas att vittna vid domstol om sådana uppgifter under förutsättning att detta är tillåtet i den processordning enligt vilken rättegången förs.

5.8. Sveriges åtgärder för att uppfylla konventionens krav rörande informationsutbytet

5.8.1. Behovet av datorstöd för informationsutbytet

För att Sverige skall kunna fullgöra sina åtaganden enligt Europolkonventionen på ett rationellt och effektivt sätt krävs att svensk polis får bedriva sin del av informationsutbytet med hjälp av datorstöd.

Inom Rikskriminalpolisen finns som nämnts Nationella sambandskontoret som har till uppgift att samordna den internationella operativa verksamhet som ankommer på Rikskriminalpolisen i dess egenskap av svensk huvudman för Interpol, Europol, Schengens datasystem, svenska och nordiska sambandsmän, Östersjösamarbetet samt andra framtida internationella samarbetsformer.

Av en redogörelse från Rikskriminalpolisen över antalet ärenden år 1999 framgår att antalet inkomna meddelanden från Interpol uppgått

till 44 781, att antalet nyregistrerade ärenden uppgått till 9 728, att antalet anteckningar i DocPol-systemets A-diarium uppgått 5 272, att antalet operativa ärenden hos Europol uppgått till 269 samt att antalet utväxlade meddelanden med Europol uppgått till 1 318. Inom sambandskontoret har man uppskattat att antalet Schengenärenden under år 2001 kommer att uppgå till omkring 12 000.

Med en sådan volym på informationsmängden är enligt polisen automatiserad behandling nödvändig för att Sverige skall kunna uppfylla sina internationella åtaganden i t.ex. Europol, Interpol och Schengen samt även för att polisens egen verksamhet skall kunna kontrolleras. Om en enskild begär att Datainspektionen skall undersöka om uppgifter om honom lämnats till Europol och om uppgifterna i så fall är korrekta, måste det vara möjligt att snabbt och fullständigt utföra kontrollen. En sådan kontroll är inte möjlig att göra utan hjälp av modern informationsteknik.

5.8.2. Förhandskontroll av systemet DocPol

Rikspolisstyrelsens anmälan

I februari 2000 anmälde Rikspolisstyrelsen enligt 2 § polisdataförordningen till Datainspektionen för förhandskontroll att styrelsen avsåg att bygga ut systemet DocPol och att automatiserad behandling av personuppgifter som ger upplysning om att en person är dömd eller misstänkt för brott skulle komma att ingå i systemet.

Systemet DocPol, som är Rikspolisstyrelsens Interpolsektions dokument- och ärendehanteringssystem, består av två personregister. Registren som förs med stöd av datalagen har benämningen Allmänna registret och Interpolregistret. Av meddelat tillstånd för Allmänna registret framgår att ändamålet med registret är diarieföring av ärenden vid Interpolsektionen och att registret endast innehåller i 15 kap 2 § sekretesslagen föreskrivna uppgifter. Uppgifterna enligt nämnda lagrum utgörs av en handlings inkomstdatum och diarienummer, i förekommande fall från vem handlingen har kommit in eller till vem handlingen expedierats och slutligen i korthet vad handlingen rör. Ändamålet med Interpolregistret är enligt meddelat tillstånd lagring av allmänna handlingar och återsökning av ärenden. Systemet DocPol består således av dels ett elektroniskt diarium, dels ett dokument- och ärendehanteringssystem.

Rikspolisstyrelsen uppgav i sin anmälan följande avseende den planerade utbyggnaden av systemet DocPol. Nationella sambandskontoret handlägger eller skall handlägga ärenden avseende Interpol,

Schengen, sambandsmän, Europol och Östersjösamarbetet. I systemet DocPol diarieförs och dokumenthanteras i dag samtliga Interpolärenden och vissa ärenden avseende sambandsmän. Ärenden avseende Europol och övriga sambandsmän registreras beroende på ärendets art i A-diariet eller UF-registret. Dessa rutiner är inte tillfyllest utan man behöver ett enhetligt och integrerat dokument- och ärendehanteringssystem av DocPol-modell. Problemet är akut och stort i dag men i och med Schengenstarten kommer behovet av ett system att vara enormt. Europolkonventionen uppställer höga krav på att den nationella enheten (Nationella sambandskontoret) har absolut kontroll över samtliga personuppgifter som utlämnas till Europol eller medlemsländerna oavsett om det är fråga om informationsutväxling, uppdatering av informationsregistret eller lagring i analysregistret. För att lösa ovan nämnda problem avser Rikspolisstyrelsen att bygga ut DocPol till att gälla diarieföring, registrering och elektonisk förvaring av vid Nationella sambandskontoret inkomna eller upprättade handlingar. En utbyggnad av DocPol är endast en interimistisk lösning i avvaktan på att ett helt nytt ärendehanteringssystem inrättas.

Datainspektionens bedömning

Datainspektionen meddelade beslut den 31 mars 2000 med anledning av Rikspolisstyrelsens förhandsanmälan. I sitt beslut konstaterar Datainspektionen att det planerade dokument- och ärendehanteringssystemet kommer att ha till ändamål att lagra och återsöka handlingar hos Nationella sambandskontoret vid Rikspolisstyrelsen samt att systemet bl.a. kommer att innehålla handlingar som hör samman med det internationella polissamarbetet. Vidare sägs i beslutet att de uppgifter som den nationella enheten förser Europol med hämtas bl.a. från automatiserade särskilda undersökningar och kriminalunderrättelseregister samt att uppgifter från Europol också kommer att föras in i dessa undersökningar och register. Att automatiserat behandla personuppgifterna i det planerade systemet står enligt Datainspektionens uppfattning inte i överensstämmelse med polisdatalagens skyddsregler.

För att tillgodose Rikspolisstyrelsens behov av att automatiserat behandla personuppgifter i samband med det uppgiftsutbyte som hör samman med internationellt polissamarbete i den utsträckning det är nödvändigt för verksamheten och för att av integritetsskäl sätta gränser i fråga om bl.a. ändamål, innehåll och bevarande anser Datainspektionen att det behövs ytterligare överväganden om författningsreglering än de som gjorts i tidigare lagstiftningsarbete.

I sitt beslut avskrev Datainspektionen ärendet. Inspektionen överlämnade beslutet till regeringen för kännedom.

Länsrättens bedömning

Rikspolisstyrelsen överklagade Datainspektionens beslut i Länsrätten i Stockholms län och yrkade därvid att det inte skulle vidtas någon åtgärd med anledning av Rikspolisstyrelsens anmälan om förhandskontroll enligt 2 § polisdataförordningen i fråga om utbyggnaden av systemet DocPol. Rikspolisstyrelsen anförde i överklagandet att bestämmelserna om behandling av personuppgifter i kriminalunderrättelseverksamhet enligt 1421 §§polisdatalagen inte kunde anses tillämpliga när det gällde behandlingen av personuppgifter i det utbyggda systemet DocPol samt att den tilltänkta behandlingen kunde ske med stöd av bestämmelserna i personuppgiftslagen och i 113 §§polisdatalagen.

Huvudfrågan i målet var alltså om användningen av det utbyggda systemet DocPol skulle betraktas som kriminalunderrättelseverksamhet enligt definitionen i 3 § polisdatalagen. I sin dom den 14 juli 2000 (mål nr. 7167-00) fann länsrätten att den planerade behandlingen var att betrakta som sådan verksamhet. Eftersom behandlingen av personuppgifter inte skulle komma att ske i en särskild undersökning eller i ett kriminalunderrättelseregister kunde behandlingen inte anses förenlig med reglerna i polisdatalagen. Med denna motivering avslog länsrätten Rikspolisstyrelsens överklagande.

Kammarrättens bedömning

Rikspolisstyrelsen överklagade länsrättens dom i Kammarrätten i Stockholm. I sitt beslut den 27 november 2000 (mål nr. 5367-2000) fann kammarrätten att Datainspektionens beslut inte hade sådana rättsverkningar mot Rikspolisstyrelsen att det kunde anses överklagbart. Länsrätten borde därför enligt kammarrätten inte ha tagit upp överklagandet till prövning utan avvisat det. Kammarrätten undanröjde länsrättens dom och avvisade överklagandet.

5.9. Konsekvenser av den nya lagstiftningen

Den planerade behandlingen i DocPol får alltså anses utgöra kriminalunderrättelseverksamhet enligt definitionen av sådan verksamhet i 3 § polisdatalagen. Genom bestämmelserna i 1421 §§polisdatalagen är det uttömmande reglerat när och på vilket sätt automatiserad behandling av personuppgifter kriminalunderrättelseverksamhet får äga rum. Den planerade behandlingen av personuppgifter är inte av sådan beskaffenhet som anges i dessa lagrum. Konsekvensen av nyss nämnda förhållanden är att det i dag inte finns lagstöd för den planerade behandlingen inom systemet DocPol.

Som framkommit i DocPol-ärendet försvåras informationsutbytet med Europol allvarligt av att nyss nämnda behandling av personuppgifter inte kan utföras. I kapitel 10 diskuterar vi frågor om en alternativ reglering till bestämmelserna i polisdatalagen om kriminalunderrättelseverksamhet. Våra synpunkter i det kapitlet bör få betydelse för möjligheterna att utföra sådana behandlingar som planerats i DocPol.

6. En nordisk jämförelse

Den svenska lagstiftningen om polisens rätt att behandla personuppgifter automatiserat är mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna.

Som underlag för våra överväganden har vi inhämtat upplysningar om vilka regler som gäller i Danmark, Finland och Norge beträffande automatiserad behandling av personuppgifter i polisens verksamhet. I det här kapitlet redovisas översiktligt vad som framkommit vid denna jämförelse. Vi inleder redovisningen med den danska författningsregleringen.

6.1. Danmark

6.1.1. Översikt över regleringen

Danmark har liksom Sverige genomfört EG:s dataskyddsdirektiv. Detta har skett genom antagandet av loven om behandling av personoplysninger (personoplysningsloven). Lagen trädde i kraft den 1 juli 2000.

Personopgiftsloven är tillämplig även i polisens verksamhet. Lagen kompletteras av bekendtgörelser (motsvarande svenska förordningar). Av dessa bekendtgörelser bör här nämnas bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning samt bekendtgörelse om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret). Den danska lagstiftningen har ingen motsvarighet till den svenska polisdatalagen, men i personoplysningsloven finns intagna en del särbestämmelser för polisen.

Danmark har även tillträtt Europolkonventionen och Schengenkonventionen.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personoplysningsloven. Framställningens syfte är att peka på mer betydelsefulla skillnader jämfört med den svenska lagregleringen.

6.1.2. Personoplysningsloven

Tillämpningsområde

Personoplysningsloven gäller vid behandling av personuppgifter, som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Lagen är tillämplig i polisens verksamhet.

Lagens huvudsakliga innehåll

Eftersom personoplysningsloven bygger på dataskyddsdirektivet har lagen ett innehåll som i stort sett stämmer överens med innehållet i den svenska personuppgiftslagen. Reglerna har i sak i stort samma innehåll beträffande definitioner, grundläggande krav på behandlingen av personuppgifter och förutsättningarna för att behandling av personuppgifter alls skall vara tillåten.

Även i fråga om förutsättningarna för att behandla känsliga personuppgifter är reglerna likartade. Personoplysningsloven innehåller liksom personuppgiftslagen ett förbud mot att behandla känsliga personuppgifter. Det finns en rad undantag från förbudet med i huvudsak samma innebörd som undantagen i personuppgiftslagen. Ett ytterligare undantag som inte har någon motsvarighet i den svenska lagen gäller polisen. Undantaget i personoplysningsloven innebär att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att en offentlig myndighet skall kunna utföra sina arbetsuppgifter på straffrättens område.

Personoplysningsloven innehåller bestämmelser om information till registrerade. Det finns bestämmelser som föreskriver när information skall lämnas självmant och vad den därvid lämnade informationen skall omfatta. Vidare finns det bestämmelser om när information skall lämnas efter ansökan. Reglerna överensstämmer i stort sett med vad som gäller enligt 2327 §§personuppgiftslagen. En viktig skillnad jämfört med den svenska regleringen är dock att de danska reglerna om information som skall lämnas självmant till registrerade, inte gäller vid behandling av personuppgifter i polisens verksamhet på straffrättens område.

Det finns i personoplysningsloven en regel om rättelse. Den innebär att felaktiga uppgifter eller uppgifter som inte behandlats enligt lagen skall rättas på lämpligt sätt. Regeln föreskriver också en skyldighet för den personuppgiftsansvarige att i vissa fall underrätta tredje man om rättelsen. Regeln motsvarar alltså vad som gäller enligt personuppgiftslagen, men den danska bestämmelsen gäller inte i polisens verksamhet på straffrättens område.

Precis som personuppgiftslagen innehåller personoplysningsloven regler om säkerheten vid behandling, om anmälan till tillsynsmyndigheten, om ett personuppgiftombuds uppgifter, om tillsyn och om delegation till regeringen att i viss omfattning meddela närmare föreskrifter m.m. Det föreligger härvid för polisens del inte några större principiella skillnader jämfört med den svenska regleringen. Det saknas därför anledning att i det här sammanhanget närmare redogöra för innebörden av personoplysningslovens regler i dessa delar.

Utöver personoplysningsloven finns det för polisens verksamhet i den danska lagstiftningen inga särskilda lagregler om speciella typer av behandling av personuppgifter. Det finns således t.ex. ingen motsvarighet till den svenska regleringen i polisdatalagen om behandling av personuppgifter i kriminalunderrättelseverksamhet. Sådan behandling styrs liksom annan behandling enbart av bestämmelserna i personoplysningsloven. Det finns dock två bekendtgörelser som förtjänar att nämnas i det här sammanhanget och som kortfattat redovisas i det följande.

6.1.3. Två bekendtgörelser

Bekendtgörelse om behandling av personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret)

Det Centrale Kriminalregister (Kriminalregisteret) är ett kombinerat belastnings- och misstankeregister. Behandlingen av personuppgifter i registret styrs av bestämmelserna i bekendtgörelse om behandling av personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret). Rigspolitichefen, som under justitieministeriet utgör den centrala nivån inom den danska polisorganisationen, är personuppgiftsansvarig för registret.

Kriminalregisteret fyller i stort sett samma funktion som de svenska registren belastningsregistret och misstankeregistret. Ändamålen och uppgiftsinnehållen i registren är likartade. Det saknas anledning att här närmare redovisa de regler som skall iakttas vid behandling av personuppgifter i registret.

Bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

Bestämmelserna i personoplysningsloven kompletteras för den offentliga förvaltningens del av Bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgörelsen innehåller generella säkerhetsbestämmelser som skall tillämpas vid automatiserad behandling av personuppgifter i det allmännas verksamhet. Reglerna i bekendtgörelsen motsvarar i stort vad som i Sverige gäller enligt personuppgiftslagen och personuppgiftsförordningen om säkerheten vid behandling.

6.2. Finland

6.2.1. Översikt över regleringen

Finland har också genomfört EG:s dataskyddsdirektiv. Detta har skett genom antagandet av personuppgiftslagen (523/1999). Lagen trädde i kraft den 1 juni 1999.

Personuppgiftslagen är tillämplig även i polisens verksamhet. Det finns dessutom en lag med särbestämmelser för polisens verksamhet, nämligen lagen om polisens personregister (509/1995). Den lagen trädde i kraft den 1 oktober 1995. Lagregleringen består dessutom av straffregisterlagen (770/1993).

Finland har även tillträtt Europolkonventionen och Schengenkonventionen.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personuppgiftslagen. Framställningen koncentreras till skillnader gentemot den svenska personuppgiftslagen.

6.2.2. Personuppgiftslagen

Tillämpningsområde

Den finska personuppgiftslagen utgör alltså liksom sin svenska motsvarighet en implementering av EG:s dataskyddsdirektiv. Detta medför att de båda lagarna väsentligen har samma innehåll.

Den finska personuppgiftslagen gäller vid behandling av personuppgifter om inte annat bestäms någon annanstans i lag. Lagen tilllämpas på automatisk behandling av personuppgifter och också på

annan behandling av personuppgifter om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Lagens huvudsakliga innehåll

Lagen har bestämmelser liknande de svenska om allmänna principer för behandlingen av personuppgifter, om känsliga personuppgifter och personnummer, om information till den registrerade, om säkerhet vid behandling och om Dataombudsmannens befogenheter m.m. I det följande tas upp några mer betydelsefulla skillnader jämfört med den svenska personuppgiftslagen.

Den finska lagen har kvar begreppet register och lagen innehåller en definition av personregister. Enligt definitionen är ett personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader. Motsvarigheten till begreppet personuppgiftsansvarig är i den finska lagen begreppet registeransvarig. En registeransvarig är enligt lagens definition en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register.

Det finns i lagen ett principiellt förbud mot att behandla känsliga personuppgifter, vilket dock kompletteras av ett stort antal undantag. Ett undantag som inte har någon motsvarighet i den svenska lagen säger att förbudet mot att behandla känsliga personuppgifter inte utgör hinder för sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den registeransvarige i lag.

Reglerna om information till registrerade skiljer sig från reglerna i den svenska personuppgiftslagen. Det finns i den finska lagen bestämmelser om att information skall lämnas självmant till den registrerade. Utöver de undantag som finns i den svenska lagstiftningen får information underlåtas om det är nödvändigt bl.a. för att förebygga eller utreda brott. Enskilda har också en principiell rätt att efter ansökan få information om huruvida uppgifter om dem behandlas. Denna rätt till insyn gäller dock inte bl.a. om informationen kan försvåra förebyggande eller utredning av brott.

6.2.3. Lagen om polisens personregister

Särskilt reglerade register

Lagen innehåller till att börja med bestämmelser om att vissa särskilda register skall föras. Dessa register är datasystemet för polisärenden, datasystemet för förvaltningsärenden, datasystemet för misstänkta, skyddspolisens funktionella datasystem, den centrala databasen i Schengens informationssystem och Schengens nationella informationssystem.

Datasystemet för polisärenden är avsett för polisens riksomfattande bruk. Det finns inom systemet delregister för brottsanmälningar, efterlysningar, identifieringar och signalement m.m.

Datasystemet över förvaltningsärenden är också avsett för polisens riksomfattande bruk. Det har delregister för vapentillstånd, pass, väktare, ordningsvakter m.m.

Datasystemet för misstänkta är ett personregister som är avsett för polisens riksomfattande bruk och som förs med hjälp av automatiserad databehandling. För registret över misstänkta får inhämtas och i registret införas uppgifter som behövs för förebyggande och utredning av brott och som gäller personer som ”skäligen kan misstänkas begå eller ha begått ett brott på vilket kan följa fängelse eller medverka eller ha medverkat till ett brott på vilket kan följa fängelse i mer än sex månader”.

Skyddspolisens funktionella datasystem är som namnet anger avsett för Skyddspolisens bruk. Skyddspolisen har i stort samma uppgifter som Säkerhetspolisen har i Sverige. I datasystemet får införas uppgifter som behövs för förebyggande eller utredning av förehavanden eller brott som äventyrar rätts- och samhällsordningen eller statens säkerhet.

Regleringen av Schengen-systemen motsvarar i allt väsentligt vad som i Sverige gäller enligt lagen om Schengens informationssystem.

Det finns närmare bestämmelser om systemen i förordningar.

Inrättande av ytterligare personregister

Andra personregister än de som nyss beskrivits får beroende på användningsändamålet inrättas för polisens riksomfattande bruk, för en polisenhets bruk eller för att användas av en person som hör till polispersonalen eller av en arbetsgrupp som består av flera sådana personer. Då polisen beslutar att inrätta ett register skall registrets ändamål alltid anges.

Lagens huvudsakliga innehåll i övrigt

I lagen finns särskilda bestämmelser om registrering av uppgifter som inte hänför sig till ett visst uppdrag. Information som har erhållits i samband med ett visst uppdrag som ankommer på polisen och som behövs föra att polisen skall kunna fullgöra sina uppgifter, men som inte hänför sig till uppdraget i fråga, får endast inhämtas för och registreras i datasystemet över misstänkta eller skyddspolisens system eller ett sådant register som är avsett för en persons eller en arbetsgrupps bruk.

Det finns också särskilda regler om registrering av känsliga personuppgifter. Uppgifter om en brottslig gärning eller straff eller annan påföljd för brott får registeras under förutsättning att de behövs med tanke på det ändamål som registret används för. Beträffande vissa andra kategorier av uppgifter är villkoren strängare. Uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning får registreras endast om det är nödvändigt för att ett visst uppdrag skall kunna fullgöras eller om det är nödvändigt för tryggande av den registrerades egen säkerhet eller polisens skydd i arbetet.

Uppgifter som erhållits genom teknisk avlyssning och som inte hänför sig till ett brott eller om den hänför sig till något annat brott än det för vars förhindrande eller avbrytande avlyssningen får ske, får inte införas i ett personregister, såvida inte uppgiften gäller ett brott för vars förhindrande eller avbrytande avlyssning får ske. Särskilda bestämmelser om registrering av uppgifter som erhålls genom teleavlyssning eller hemlig teknisk teleavlyssning finns i tvångsmedelslagen.

Förutom de bestämmelser som nämnts ovan finns i lagen om polisens personregister dessutom regler om polisens rätt till uppgifter ur vissa register, om andra myndigheters registrering av uppgifter i polisregistren genom direkt anslutning, om den registrerades rätt till insyn samt om utlämnande och användning av uppgifter.

6.2.4. Straffregisterlagen

Straffregisterlagen säger att det vid justitieministeriet förs ett straffregister i enlighet med de regler som finns i lagen. I straffregistret behandlas sådana uppgifter som behövs för bestämmande och verkställighet av straffrättsliga påföljder. Ur straffregistret får uppgifter även lämnas ut för att användas vid en utredning och bedömning av en persons tillförlitlighet och personliga lämplighet. Ändamålet och

innehållet i straffregistret motsvarar i stort vad som gäller i Sverige beträffande belastningsregistret.

6.3. Norge

6.3.1. Översikt över regleringen

I Norge har antagits en lag om behandling av personuppgifter, nämligen loven om behandling av personopplysninger (personopplysningsloven). Lagen är tillämplig även i polisens verksamhet. Den trädde i kraft den 1 januari 2001. Det finns dessutom en lag med särbestämmelser som har betydelse för polisens verksamhet, nämligen straffregistreringsloven. Vidare har Norge tillträtt Schengenkonventionen och har därför även en lag om Schengens informationssystem.

En statlig utredning håller för närvarande på med en översyn av lagregleringen om polisens rätt att behandla personuppgifter automatiserat. En anledning till översynen är att straffregisterloven trädde i kraft redan år 1975 och därför inte är anpassad till den nya regleringen i personopplysningsloven.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personopplysningsloven. Framställningen koncentreras till skillnader gentemot den svenska personuppgiftslagen.

6.3.2. Personopplysningsloven

Tillämpningsområde

Regleringen i personopplysningsloven överensstämmer i stort med bestämmelserna i EG:s dataskyddsdirektiv och följaktligen då även med bestämmelserna i den svenska personuppgiftslagen.

Personopplysningsloven gäller vid behandling av personuppgifter om inte annat bestäms någon annanstans i lag. Lagen tillämpas på automatisk behandling av personuppgifter och också på annan behandling av personuppgifter om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Lagens huvudsakliga innehåll

Personopplysningsloven innehåller regler om när behandling av personuppgifter över huvud taget får ske, om grundläggande krav på behandlingen av personuppgifter, om behandling av känsliga personuppgifter och personnummer, om information till registrerade, om säkerheten vid behandling och om tillsyn m.m. Reglerna överensstämmer sakligt i stort med de svenska reglerna. Nedan pekar vi på några skillnader av större betydelse.

I personopplysningsloven finns bestämmelser om kameraövervakning. Lagen innehåller därvid regler om när kameraövervakning får äga rum, om utlämnande av bildupptagningar och om information angående övervakningen.

Personopplysningsloven innehåller vissa regler om personregister. Med personregister avses i lagen register eller andra förteckningar i vilka personuppgifter finns lagrade systematiskt på ett sådant sätt att uppgifter om enskilda kan återfinnas.

Känsliga personuppgifter får behandlas ifall det framgår av lag att sådana uppgifter får behandlas. På grund av detta stadgande anses polisen ha rätt att behandla känsliga personuppgifter. Därutöver får känsliga personuppgifter behandlas i samma fall som anges i den svenska personuppgiftslagen.

Den som behandlar personuppgifter skall lämna information om behandlingen. Informationsplikten gäller dock inte om det krävs att behandlingen hålls hemlig för att brott skall kunna förebyggas eller utredas.

6.3.3. Strafferegistreringsloven

Enligt regler i Strafferegistreringsloven förs det ett straffregister som omfattar hela riket. Registret benämns straffe- og politiopplysningsregisteret (SPP). Registret innehåller upplysningar om domar strafförelägganden och vissa andra straffrättsliga påföljder. Uppgifter får lämnas ut ur registret enligt de regler som finns i lagen. Sammantaget kan registret sägas utgöra en motsvarighet till det svenska belastningsregistret.

Strafferegistreringsloven innehåller inte bara regler om ett register för belastningar. Det föreskrivs också att det får föras ett rikstäckande register med personuppgifter som kan vara av betydelse i polisens arbete för att förebygga, efterforska eller utreda brott. Strafferegistreringsloven innehåller regler om utlämnande av uppgifter ur registret, men inga regler om själva behandlingen. I fråga om behand-

ling av personuppgifter i registret gäller i stället bestämmelserna i personopplysningsloven.

Med stöd av nämnda bestämmelser förs ett rikstäckande register för kriminaletterretningsinformasjon (KRIMSYS). Registret ses som ett hjälpregister till SPP. Varje polisdistrikt har avdelats ett område i databasen och ansvarar för lokal registrering av information. Det finns dessutom särskilda delregister för ekonomisk kriminalitet, brottslighet som har samband med utlänningsärenden, olovlig invandring, barnpornografi m.m. En del av databasen är tillgänglig endast för den som äger information och för kriminalpoliscentralen som är registeransvarig.

6.4. Sammanfattande slutsatser av jämförelsen

Den svenska lagstiftningen om behandling av personuppgifter i polisens verksamhet utgår från personuppgiftslagen, som kompletteras av polisdatalagen. Sistnämnda lag innehåller behandlingsregler om kriminalunderrättelseverksamhet m.m. och innehåller även bestämmelser om vissa register. Därutöver finns i lagstiftningen regler om belastningsregister, misstankeregister och Schengens informationssystem. Sammantaget är den svenska regleringen mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna. Inget av de övriga länderna har någon motsvarighet till den svenska regleringen om kriminalunderrättelseverksamhet. Möjligheterna för polisen att arbeta problemorienterat och verka brottsförebyggande blir härigenom större än enligt den svenska lagstiftningen. Polisens informationsskyldighet är även mer begränsad i de andra ländernas lagstiftning.

Vi bedömer att även regleringen i den nya polisdatalag som vi föreslår i det här betänkandet är mer restriktiv för polisen än lagstiftningen i de länder som omfattas av jämförelsen.

7. Behovet av nya författningar

I det här kapitlet tar vi upp vissa övergripande frågor om vilka författningsändringar som behövs för att uppnå en lämplig reglering av polisens rätt att behandla personuppgifter automatiserat.

7.1. Behovet av författningsreglering utöver personuppgiftslagen

7.1.1. Pliktregisterutredningens synpunkter

Vi överväger i det här betänkandet vilka författningsändringar som behövs för att uppnå en lämplig författningsreglering av polisens rätt att behandla personuppgifter automatiserat. Vi inleder med att allmänt diskutera behovet av särskilda regleringar utöver personuppgiftslagen. Närmast redovisar vi några uttalanden som gjorts av Pliktregisterutredningen, vilka vi anser kan vara av intresse som bakgrund till de bedömningar som vi skall göra.

Pliktregisterutredningen ifrågasatte i betänkandet Behandling av personuppgifter om totalförsvarspliktiga (SOU 1997:101 s. 103 f.) om det skulle finnas behov av särskilda registerförfattningar när personuppgiftslagen trädde i kraft. Bakgrunden till detta ifrågasättande var följande. En av de stora skillnaderna mellan personuppgiftslagen och datalagen är tillämpningsområdet. Medan datalagen gäller endast ADB-baserade register omfattar personuppgiftslagen all behandling av personuppgifter som företas på automatiserad väg, liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vidare är en utgångspunkt för personuppgiftslagen att behandling av personuppgifter är tillåten endast i de fall och på de villkor som anges i lagen. I andra fall skall behandling av personuppgifter inte få förekomma. Något tillståndsförfarande motsvarande det som förekom enligt datalagen finns inte.

Det framhölls av Pliktregisterutredningen att som skäl för tidigare införda särskilda registerlagar inte sällan hade åberopats uttalanden från riksdagen om nödvändigheten av sådan lagstiftning. Dessa uttalanden, förlorar menade Pliktregisterutredningen, mycket i aktualitet i och med personuppgiftslagens införande, eftersom uttalandena i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister tidigare var i princip oreglerade. Utredningen pekade på att personuppgiftslagen är tillämplig även på sådana register och till stor del avhjälper den uppmärksammade bristen med sin, i förhållande till datalagen, direkta reglering av behandlingen av personuppgifter. Pliktregisterutredningen framhöll dock att personuppgiftslagen är mindre utförlig än de särskilda registerförfattningarna.

Pliktregisterutredningen ansåg att behovet av registerförfattningar torde bli mindre i och med personuppgiftslagens ikraftträdande. Utredningen menade dock att personuppgiftslagen är en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter utförs och att det därför finns anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller menade utredningen, särskilt verksamhet som inte omfattas av EG-direktivet som ligger till grund för personuppgiftslagen och när fråga är om behandling av känsliga personuppgifter.

Slutsatsen från Pliktregisterutredningens var att viss särskild reglering vid sidan av personuppgiftslagen var nödvändig. Personuppgiftslagen förutsätter, menade utredningen också närmast att sådan reglering sker, i vart fall i vissa situationer. Det framhölls från utredningens sida dock att det finns anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.

I den proposition som behandlade Pliktregisterutredningens förslag (Lag om behandling av personuppgifter om totalförsvarspliktiga, prop. 1997/98:80) fördes inget allmänt resonemang om behovet av registerförfattningar när personuppgiftslagen väl trätt i kraft. Dock uttalade regeringen att personuppgiftslagens tillkomst inte utgör ett tillräckligt skäl att frångå den uppfattning som riksdagen gett uttryck för; att stora personregister med känsliga uppgifter skall lagregleras (anförd prop. s. 25). Enligt regeringen förutsätter också personuppgiftslagen att sådan reglering sker, i vart fall i vissa situationer.

7.1.2. Datalagskommitténs synpunkter

I sitt betänkande Integritet, Offentlighet, Informationsteknik (SOU 1997:39 s. 208 ff.) konstaterade Datalagskommittén endast att uppdraget till kommittén inte omfattade de särskilda registerförfatt-

ningarna. Kommittén föreslog att särregler i registerförfattningar skulle gälla framför den nya persondatalagen (personuppgiftslagen). Datalagskommittén framhöll dock att det är nödvändigt att se över de befintliga registerförfattningarna innan den nya lagstiftningen börjar tillämpas på deras respektive område och att registerförfattningarna måste anpassas till såväl EG-direktivet som till den föreslagna persondatalagen.

I prop. 1997/98:44 Personuppgiftslag (s. 40 f.) uttalade regeringen att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget till personuppgiftslag uttalade konstititutionsutskottet, i sitt av riksdagen godkända betänkande, att det saknas anledning att nu avvika från den tidigare fastlagda målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (bet. 1997/98:KU18 s. 43).

7.2. En ny polisdatalag

En ny polisdatalag som ersätter den nuvarande polisdatalagen bör införas. De särskilda lagarna om belastningsregistret, om misstankeregistret och om Schengens informationssystem bör vara kvar oförändrade.

7.2.1. En särreglering för polisen behövs

Mot bakgrund av vad som sagts ovan skulle det möjligen kunna ifrågasättas om det alls behövs någon reglering utöver personuppgiftslagen vid behandling av personuppgifter i polisens verksamhet. Inom polisens verksamhetsområde är det dock nödvändigt att i viss utsträckning behandla känsliga personuppgifter. Över huvud taget är verksamheten starkt integritetskänslig. Sammantaget får det sägas vara uppenbart att det krävs en lagreglering utöver personuppgiftslagen för polisens verksamhet.

7.2.2. Tillämpningssvårigheter med polisdatalagen

Vi anser att den befintliga författningsstrukturen med en polisdatalag jämte lagar om belastningsregister, misstankeregister och Schengens informationssystem bör behållas. Många bestämmelser i polisdatalagen och i tillämpliga delar av personuppgiftslagen har emellertid kritiserats från olika utgångspunkter. Kritiken har gällt regleringen av kriminalunderrättelseverksamhet och kriminalunderrättelseregister. Det har även visat sig svårt t.ex. att tillämpa personuppgiftslagens regler om information till registrerade. Det finns även andra tillämpningssvårigheter som vi kommer att ta upp senare i betänkandet. Det har också beträffande lagstiftningstekniken i polisdatalagen anförts som en nackdel att lagen inte är heltäckande utan endast kompletterar personuppgiftslagen.

I enlighet med direktiven för vår utredning har vi analyserat konsekvenserna av den nya regleringen om polisens rätt att behandla personuppgifter automatiserat. Därvid har vi särskilt analyserat de samlade konsekvenserna från integritetssynpunkt av lagstiftningen på området.

Vi har vid vår analys av lagstiftningen kommit fram till att det behöver göras ändringar av regleringen i polisdatalagen. Ändringarna som vi anser erfordras är relativt omfattande. Lagtekniskt anser vi det därför lämpligast att föreslå en helt ny polisdatalag som ersätter den nuvarande polisdatalagen. I detta betänkande lämnar vi förslag till en sådan ny lag. Våra synpunkter beträffande utformningen av den nya lagen finns i kapitlen 8–14 av betänkandet.

7.2.3. Lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem

I 2 § personuppgiftslagen anges att om det i en annan lag eller förordning finns bestämmelser som avviker från den lagen, skall de bestämmelserna gälla. Lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem innehåller sådana avvikande bestämmelser. I den mån bestämmelserna i dessa tre speciallagar avviker från personuppgiftslagen, gäller alltså de avvikande bestämmelserna. Frågor som inte alls omfattas av speciallagarnas bestämmelser kommer däremot att omfattas av personuppgiftslagen.

Lagarna avser vissa register eller informationssystem och har ett väl avgränsat tillämpningsområde. Några påtagliga tillämpningssvårigheter eller problem med den nuvarande utformningen av lagarna föreligger

inte. Vi anser att det inte finns anledning att beträffande dessa lagar föreslå några ändringar.

8. Den nya polisdatalagens tillämpningsområde

8.1. Lagens namn

Den nya lagen bör ges namnet polisdatalagen.

I det här betänkandet föreslår vi en ny lag om behandling av personuppgifter i polisens verksamhet. Lagen kommer att tillämpas dagligen av ett stort antal människor som är verksamma inom polisen. Det är därför lämpligt att lagen har ett kort namn. Namnet polisdatalagen uppfyller det kravet och ger också läsaren en någorlunda klar uppfattning om de ämnen som regleras i lagen. Den nya lagen har samma tillämpningsområde som den nuvarande polisdatalagen. Sammantaget anser vi att även den nya lagen bör ges namnet polisdatalagen.

8.2. Den nya lagens förhållande till personuppgiftslagen

Den nya polisdatalagen bör vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet.

En första övergripande fråga vid utformningen av en ny polisdatalag är hur lagen bör förhålla sig till personuppgiftslagen.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Den gäller därför inom polisens verksamhet, om det inte finns avvikande bestämmelser i lag eller förordning. Polisdatalagen bygger på personuppgiftslagen och innehåller bara de avvikande bestämmelser som ansetts nödvändiga inom polisområdet. Regeringen

anförde i prop. 1997/98:97 s. 97 f., att det naturligtvis skulle vara möjligt att upprepa personuppgiftslagens bestämmelser i polisdatalagen och i de övriga registerförfattningar som måste anpassas till personuppgiftslagens bestämmelser, men att ett sådant system dock skulle bli väldigt tungrott. Enligt regeringen bör man därför undvika dubbelreglering. Det anfördes även att det naturligtvis är viktigt att behovet av en särreglering noga övervägs och att registerlagstiftningen görs så tydlig att det inte råder någon tvekan om vilka regler i personuppgiftslagen som gäller trots särregleringen.

Inom polisen har framförts kritik mot konstruktionen med polisdatalagen som komplement till personuppgiftslagen. Det har påpekats att det för lagtillämparen är opraktiskt att arbeta med två olika lagar. En nackdel med modellen är att det är svårt för tillämparen att klart och tydligt se vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i polisdatalagen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagen.

I prop. 2000/01:33 om behandling av personuppgifter inom skatt, tull och exekution föreslog regeringen en lagstiftningsteknik som avviker från vad som gäller i polisdatalagen. Det föreslogs (s. 87 f.) att det i de lagar som skall reglera behandlingen av personuppgifter särskilt skall anges vilka bestämmelser i personuppgiftslagen som skall vara tillämpliga. Enligt regeringens mening innebär den föreslagna ordningen att lagstiftningen blir överskådlig och tydlig. Nackdelen att tillämparen måste arbeta med två olika lagar finns dock kvar med det alternativet. I lagstiftningsärendet anförde Lagrådet också att den föreslagna lagstiftningstekniken är otillfredsställande och riskfylld, med hänsyn bl.a. till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga. Lagrådet krävde dock inte någon ändring av den föreslagna lagstiftningstekniken. Propositionen bereddes i riksdagen av skatteutskottet. Utskottet tillstyrkte propositionen och gjorde inga uttalanden om lagstiftningstekniken som avvek från vad som anförts i propositionen (bet. 2000/01:SkU20).

Vi gör bedömningen att den nya lagen bör vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet. För tillämparen är det som polisen anfört en fördel att ha alla tillämpliga bestämmelser samlade i en enda lag. Konstruktionen med en enda lag gör att det tydligare framgår vad som gäller för polisen. Modellen medför också en ökad överskådlighet för den enskilde som därigenom lättare kan utnyttja de rättigheter som han eller hon har. Genom att polisdatalagen helt frikopplas från personuppgiftslagen slipper man problemet med att hänvisningarna till personuppgiftslagen vid kommande lagändringar riskerar att bli

felaktiga. Sammantaget anser vi att fördelarna med en reglering i en enda lag klart överväger nackdelen som följer med dubbelregleringen i förhållande till personuppgiftslagen

8.3. Lagens systematik

Den nya lagen bygger närmast på systematiken i personuppgiftslagen.

Enligt 5 § personuppgiftslagen omfattar den lagen all helt eller delvis automatiserad behandling av personuppgifter oavsett om uppgifterna finns i ett register och dessutom manuell behandling av personuppgifter i register. Av bestämmelsen i 2 § polisdatalagen framgår att vissa bestämmelser i lagen endast gäller vid automatiserad behandling av personuppgifter. I övrigt gäller lagen även manuell behandling.

I sak finns det enligt vår uppfattning inte anledning att ändra det angivna tillämpningsområdet. Det innebär att den nya lagens bestämmelser om behandling av uppgifter om kvarstående misstankar, om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot, om behandling på Internet, om efterlysningar av enskilda personer, om spaningsregister, om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister endast bör gälla vid automatiserad behandling av personuppgifter. I övrigt bör den nya lagen gälla även manuell behandling av personuppgifter i register.

Polisdatalagen är uppdelad i två avdelningar, varvid den ena avdelningen (1–9 §§) har rubriken Allmänna bestämmelser och den andra avdelningen (10–36 §§) har rubriken Bestämmelser om automatiserad behandling. Bestämmelserna i 19 §§polisdatalagen har samma tillämpningsområde som personuppgiftslagen, dvs, bestämmelserna gäller helt eller delvis automatiserade behandlingar och manuella behandlingar i register. Utöver de allmänna bestämmelserna finns det ytterligare bestämmelser för vissa automatiserade behandlingar av personuppgifter.

Vårt lagförslag har ingen uppdelning i avdelningar motsvarande polisdatalagen. Närmast bygger lagförslaget på systematiken i personuppgiftslagen. Vi föreslår att den nya lagen delas in i kapitel enligt följande:

– kapitel 1 Lagens syfte och tillämpningsområde, – kapitel 2 Grundläggande principer vid behandling av personuppgifter,

– kapitel 3 Vissa behandlingar av personuppgifter, – kapitel 4 Särskilt om behandling av personuppgifter hos Säkerhetspolisen, – kapitel 5 Register, – kapitel 6 Information till den enskilde, rättelse och säkerheten vid behandling, – kapitel 7 Övriga bestämmelser.

8.4. Lagens tillämpningsområde

8.4.1. Syftet med lagen

Den nya lagens syfte bör liksom personuppgiftslagens syfte vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare i den utsträckning som anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registeras med hjälp av automatisk databehandling. Grundlagsbestämmelsen skiljer sig från flertalet andra fri- och rättigheter genom att den inte innebär att det allmänna måste avstå från att lagstifta på ett visst sätt utan tvärt om ålägger lagstiftaren att stifta och vidmakthålla en viss lagstiftning. Grundlagsbestämmelsen kan heller aldrig tillämpas direkt av myndigheterna.

Personuppgiftslagen är en sådan lag som åsyftas i nyss nämnda bestämmelse i regeringsformen. Enligt 1 § personuppgiftslagen är syftet med den lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Den i det här betänkandet föreslagna lagen för polisen har samma övergripande syfte som personuppgiftslagen. Den nya lagen bör därför innehålla en bestämmelse som motsvarar innehållet i 1 § personuppgiftslagen. För att skydda enskildas integritet föreslår vi i lagen ett förhållandevis stort antal bestämmelser om olika behandlingar av personuppgifter. Avsikten med den föreslagna regleringen är att skyddet för enskilda personers integritet skall ligga på en hög nivå. I sammanhanget kan hänvisas till den nyligen antagna lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (prop. 2000/01:80, bet. 2000/01:SoU18, rskr. 2000/01:259). Den lagen innehåller betydligt färre bestämmelser med materiellt innehåll än vårt förslag.

8.4.2. Polisverksamhet som lagen skall tillämpas på

Den nya lagen bör gälla vid behandling av personuppgifter i sådan polisverksamhet som avses i 2 § 1–3 polislagen (1984:387), dvs. i den egentliga polisverksamheten.

Polisens uppgifter enligt polislagen

En diskussion om tillämpningområdet för en lag om behandling av personuppgifter som helt eller delvis företas på automatiserad väg kan lämpligen inledas med en redogörelse för vilka arbetsuppgifter det ankommer på polisen att utföra. Polislagen (1984:387) innehåller bestämmelser om polisens uppgifter. Till polisens uppgifter hör enligt 2 § att

1. förebygga brott och andra störningar av den allmänna ordningen eller säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana har inträffat,

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal,

4. lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen,

5. fullgöra den verksamhet som ankommer på polisen enligt särskilda bestämmelser.

Uppgifterna som beskrivs i punkterna 1–3 utgör vad som kan sägas vara den egentliga polisverksamheten eller utgöra polisens kärnverksamhet. Sammanfattningsvis avses härmed polisens arbete med att upprätthålla allmän ordning och säkerhet samt att förebygga brott och bedriva brottsutredningar. I den egentliga polisverksamheten ingår övervakningsverksamhet som bedrivs i olika former. Man brukar indela övervakningsverksamheten i allmän övervakning och trafikövervakning. Den allmänna övervakningen omfattar bl.a. gränsövervakning (se Berggren – Munck, Polislagen En kommentar, 1998, 3 uppl., s. 33).

Punkten 4 avser polisens hjälpande verksamhet. Den omfattar bl.a. hjälpåtgärder inom trafiken, samt medverkan vid katastrofer och liknande händelser. I räddningstjänstlagen (1986:1102) regleras polisens medverkan i samhällets räddningstjänst, som i huvudsak är en kommunal uppgift. Även vid sidan av sina uppgifter enligt denna lag har givetvis polisen skyldighet att vid behov ingripa i akuta situationer i samband med katastrofer.

Punkten 5 syftar på åligganden av skilda slag för polisen inom området för offentlig förvaltning, den s.k. polismyndighetsverksamheten, vilka polisen har vid sidan av sina huvuduppgifter. En målsättning för polismyndighetsverksamheten är att uppfylla det allmännas krav på säkerhet och tillsyn i ärenden där särskilda omständigheter påkallar sådan kontroll, t.ex. beträffande vapen och sprängämnen. Motsvarande gäller i ärenden där särskilt förtroende krävs av en tillståndshavare för exempelvis skrothandel eller hotellrörelse. Polisen har också att beakta anspråken på allmän ordning och säkerhet vid offentliga tillställningar samt vid nyttjandet av allmän plats m.m. Exempel på ärenden där sambandet med den egentliga polisverksamheten inte är lika uttalat erbjuder passärendena. Vidare syftar verksamheten till att tillgodose kraven på särskild service åt myndigheter eller åt allmänheten. Som exempel kan nämnas delgivning och annan handräckning åt andra myndigheter eller åt allmänheten. Det ankommer slutligen på polisen att svara för en del interimistiska åtgärder när det gäller administrativa tvångsingripanden enligt lagstiftningen om socialtjänst och sjukvård. Polisen skall också ombesörja förpassning till kriminalvårdsanstalt av intagna som har avvikit liksom annars när det begärs av kriminalvårdsstyrelsen.

Polisverksamhet som lagen skall omfatta

Den nya lagen bör uppenbarligen gälla den egentliga polisverksamheten, dvs. den polisverksamhet som avses i 2 § 1–3 polislagen. Detta motsvarar också vad som gäller i dag enligt 1 § polisdatalagen.

Lagen bör däremot inte gälla i samband med handläggning av polismyndighetsärenden, i polisens hjälpande verksamhet (motsvarande 2 § 4–5 polislagen) eller för polisens administration. Det finns inget tydligt behov av särregler i förhållande till personuppgiftslagen på dessa områden. För verksamhet i räddningstjänsten bör polisen ha samma rätt som övriga myndigheter inom räddningstjänsten att automatiserat behandla personuppgifter. Bestämmelser för polisen om behandling i nämnda verksamhet bör därför inte meddelas i polisdatalagen.

Det kan i sammanhanget inflikas att personuppgifter, även känsliga personuppgifter, i de allra flesta fall även utan samtycke bör kunna behandlas inom räddningstjänsten med stöd av 10 § c–d och 16 § b personuppgiftslagen. Enligt 10 § c–d får personuppgifter behandlas om behandlingen är nödvändig för att vitala intressen för den registrerade skall kunna skyddas eller en arbetsuppgift av allmänt intresse skall kunna utföras. I fråga om behandling av känsliga personuppgifter föreskrivs i 16 § b att sådana uppgifter får behandlas om behandlingen

är nödvändig för att den registrerades eller annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke.

När det gäller polisens verksamhet enligt punkterna 4 och 5 i polislagen är det, till skillnad från uppgifterna enligt punkterna 1–3, också tveksamt om verksamheterna kan anses undantagna från dataskyddsdirektivets tillämpningsområde. Enligt artikel 3 punkten 2 i direktivet gäller inte direktivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område. Med hänsyn till osäkerheten i fråga om omfattningen av direktivet är det olämpligt att låta den nya lagen vara tillämplig vid behandling av personuppgifter i polisens verksamhet enligt punkterna 4–5 i polislagen.

Den nya lagen bör liksom dagens polisdatalag gälla även behandling av vissa andra uppgifter än personuppgifter. Det som avses är s.k. spårregister, alltså DNA-register som innehåller sådana resultat av DNA-analyser som inte kan knytas till en viss identifierbar person.

Lagen skall självfallet inte gälla för behandling av personuppgifter som företas med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2000:344) om Schengens informationssystem.

8.5. Bild och ljud

Lagen bör gälla vid behandling av personuppgifter i form av bilder eller ljud, dock ej vid sådan behandling som består i insamling av personuppgifter genom upptagning av bilder eller ljud. Lagen bör inte gälla vid insamling av personuppgifter genom teleavlyssning, teleövervakning eller kameraövervakning.

Det digitala referensbiblioteket över barnpornografiska framställningar behöver inte regleras särskilt i lagstiftningen.

8.5.1. Analog och digital teknik

Behandling av personuppgifter i form av bilder och ljud vilka inhämtats med digital teknik får anses – i motsats till behandling av sådana uppgifter som inhämtats med analog teknik – utgöra automatiserad behandling i personuppgiftslagens mening (jfr avsnitt 4.3). Så snart en personuppgift har kommit in i en dator eller motsvarande

maskin är det alltså som regel fråga om sådan automatiserad behandling som omfattas av lagen. I slutbetänkandet av Utredningen för användningen av övervakningskameror (SOU 1996:88 s. 179) ges dock uttryck för uppfattningen att sådan kameraövervakning, som bygger på digital teknik och där bild och ljud inte bevaras utan bara visas på en monitor, inte kan sägas ske med hjälp av automatiserad behandling i EG-direktivets mening.

Personuppgiftslagen och polisdatalagen får alltså anses tillämpliga på digitala men inte på analoga personuppgifter i form av bilder eller ljud. Det uppkommer tillämpningssvårigheter i takt med att polisen övergår till att inhämta bild- och ljuduppgifter om personer med digital teknik i stället för med analog teknik. De svårigheter som uppkommer belyses i ett tillsynsärende hos Datainspektionen (beslut den 1 november 2001 i ärende 1245-2001). Inspektionen hade i det aktuella fallet öppnat ett tillsynsärende mot Polismyndigheten i Skåne med anledning av en tidningsartikel i Expressen den 12 juli 2001. I artikeln uppgavs att polisen i Skåne använde digitala kameror för att ”hålla koll” på ungdomsgäng på festivaler och andra platser där det finns risk för att ungdomar ska hamna i bråk eller begå brott. Enligt artikeln fotograferades ungdomar bl.a. under de s.k. Kristianstadsdagarna. Datainspektionen fann att användningen av digitala kameror under Kristianstadsdagarna i flera fall hade skett i kriminalunderrättelseverksamhet enligt definitionen i 3 § polisdatalagen. För att användningen av digitala kameror skall vara tillåten i kriminalunderrättelseverksamhet krävs som inspektionen påpekade i beslutet att användningen sker inom ramen för en särskild undersökning eller i ett kriminalunderrättelseregister. Datainspektionen anförde att inspektionen förutsatte att den fortsatta användningen av digitala kameror i kriminalunderrättelseverksamhet skulle ske under de förutsättningar som ställs upp i polisdatalagen. Datainspektionen fann mot den bakgrunden inte skäl att företa några ytterligare åtgärder utan avskrev ärendet.

Frågan är om tillämpningsproblemen med bilder och ljud påkallar författningsändringar. Föreligger det skäl till olika regler beträffande å ena sidan analoga och å andra sidan digitala bilder och ljud? Den viktigaste principiella skillnaden är att de digitala varianterna kan bearbetas i datorer. Digitala bilder och ljud kan alltså förändras och bearbetas i större utsträckning än analoga bilder och ljud. Vår uppfattning är att samma regler bör gälla vid insamling av personuppgifter genom upptagning av bilder eller ljud, oavsett om upptagningarna sker med analog eller digital utrustning. Vid insamling av uppgifter motiverar inte den nya tekniken en förändrad lagreglering. När det gäller efterföljande bearbetning, lagring eller annan behandling av ifråga-

varande uppgifter bör däremot polisdatalagens regler gälla. Eftersom digitala bilder och ljud alltså kan bearbetas i datorer verkar det rimligt att sistnämnda behandlingar omfattas av regler i en lagstiftning om automatiserad personuppgiftsbehandling.

8.5.2. Viss behandling undantas från lagens tillämpningsområde

I vårt förslag undantar vi insamling av personuppgifter genom teleavlyssning, teleövervakning och kameraövervakning från den nya polisdatalagens tillämpningsområde. Registerutredningen hade samma undantag i sitt förslag till polisdatalag (SOU 1997:65 s. 197 f.). Härigenom utesluts i vart fall sådan insamling av bild och ljud som sker enligt bestämmelserna i rättegångsbalken om hemlig teleavlyssning och hemlig teleövervakning samt enligt lagen (1998:150) om allmän kameraövervakning, lagen (1995:1506) om hemlig kameraövervakning och lagen (1952:98) med särskilda bestämmelser om tvångsmedel i vissa brottmål. Automatiserad behandling av ifrågavarande uppgifter såvitt avser insamlingen sker därvid enligt bestämmelserna i nämnda lagar. Det kan här inflikas att undantagen om teleavlyssning och teleövervakning inte bara avser personuppgifter i form av bild eller ljud. Med telemeddelanden avses enligt definitionen i 1 § telelagen (1993:597) nämligen ”ljud, text, bild, data, eller elektromagnetiska svängningar som utnyttjar särskilt anordnad ledare”. Hit hör exempelvis telefonsamtal, telefax, telegram och datakommunikation.

Det nyss angivna undantaget beträffande teleavlyssning, teleövervakning och kameraövervakning täcker inte polisens bruk av digitala kameror eller annan digital utrustning som hanteras manuellt. Det behövs därför en bestämmelse som talar om att lagens bestämmelser inte gäller heller vid övrig insamling av personuppgifter genom upptagning av bilder och ljud.

I vissa digitala kameror sker en lagring av bilden samtidigt med att filmningen sker. Bearbetning av bilder kan också ske i vissa kameror. Sådan lagring eller bearbetning som sker samtidigt med insamlingen bör inte omfattas av reglerna i lagen. Denna behandling får i detta sammanhang ses som en del av insamlingen.

Bestämmelserna i personuppgiftslagen anknyter till insamlingen av uppgifter. Personuppgifter får enligt 9 § första stycket c personuppgiftslagen bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt 9 § första stycket d samma lag får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. När det gäller information till registre-

rade föreskrivs i 23 § personuppgiftslagen att om personuppgifterna samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Det behövs en bestämmelse som talar om att tillämpliga bestämmelser om insamling skall tillämpas på ifrågavarande uppgifter när uppgifterna första gången behandlas efter det att insamlingen avslutats.

Den tänkta tillämpningen av bestämmelserna på upptagning av personuppgifter i form av bilder med manuellt hanterade kameror kan illustreras med exempel. Om bildupptagningar av enskilda personer görs i samband med ett evenemang av något slag behöver det vid upptagningstillfället inte övervägas om behandlingen av personuppgifter är nödvändig eller om känsliga personuppgifter får behandlas. Inte heller behöver polisen då fastställa ett ändamål eller överväga om information behöver lämnas. På motsvarande sätt förhåller det sig med upptagningar som görs med en manuellt manövrerad kamera i en polisbil. Sammantaget behöver polisen före eller vid bildupptagningen inte med anledning av personuppgiftslagstiftningen göra några särskilda överväganden på grund av att upptagningen sker med digital och inte med analog teknik. Det förhållandet att bilderna kanske lagras i kameran samtidigt med upptagningen förändrar inte detta.

Ett annat exempel kan avse inspelningar av inkommande telefonsamtal till en kommunikationscentral. Här kan det vara fråga om digitala ljud. Vid själva upptagningen behöver inte i anslutning till personuppgiftslagstiftningen övervägas om behandlingen är nödvändig, om behandlingen får avse eventuella känsliga personuppgifter, om ändamålet med inspelningen är berättigat eller om information behöver lämnas m.m.

Efter att upptagningen av uppgifterna avslutats blir regelverket om behandling av personuppgifter tillämpligt på den fortsatta behandlingen av uppgifterna. Om polisen beslutar att upptagningarna skall lagras eller på annat sätt behandlas måste man bl.a. bestämma ändamål med behandlingen, överväga om behandlingen är nödvändig och om det finns stöd för att behandla eventuella känsliga personuppgifter. Det är naturligtvis i många fall omöjligt att direkt efter att en bild- eller ljudupptagning avslutats besluta om bilderna eller ljuden skall bevaras eller inte. Ett sådant beslut bör dock inte anstå mer än några dagar efter att upptagningen gjorts.

Analoga bilder kan scannas in i datorer och därefter bearbetas på olika sätt i en dator. Scanningen utgör en slags automatiserad behandling. I fall de scannade bilderna innehåller personuppgifter omfattas behandlingen genom scanning därför av den nya lag som vi här föreslår.

8.5.3. Det digitala referensbiblioteket över barnpornografiska framställningar

Enligt utredningsdirektiven skall vi överväga om det digitala referensbiblioteket över barnpornografiska framställningar som Rikskriminalpolisen för bör lagregleras. Systemet har beskrivits i avsnitt 3.6.5. Vårt nyss redovisade förslag till undantag för behandling av personuppgifter genom upptagning av bilder kommer inte att påverka behandlingen i referensbiblioteket. Polisens behandling utgörs ju inte till någon del av insamling genom upptagning av bilder eller ljud. Om man inte inför en särreglering för referensbiblioteket kommer bestämmelserna i den nya lagen därför att gälla vid all behandling av personuppgifter i referensbiblioteket.

De allmänna bestämmelserna om behandling av personuppgifter i personuppgiftslagen och polisdatalagen innebär bl.a. att behandlingen av personuppgifter i referensbiblioteket bara får ske för ett tydligt och berättigat ändamål. Systemets ändamål är i dag att utföra bildanalys i brottsutredningar samt att bistå utländska brottsutredande myndigheter med uppgifter om bildanalys i brottsutredningar. Detta ändamål är tillräckligt tydligt och naturligtvis även berättigat. Samtliga personuppgifter som är nödvändiga i förhållande till det angivna ändamålet med behandlingen får enligt gällande regler behandlas. Personuppgifterna skall därvid gallras när de inte längre behövs för ändamålet med behandlingen. För att systemet skall tjäna sitt syfte måste bilderna bevaras under lång tid. Vidare ankommer det på Rikspolisstyrelsen att i egenskap av personuppgiftsansvarig besluta erforderliga säkerhetsåtgärder för behandlingen av personuppgifter i systemet. Vi föreslår i betänkandet inte några regler som i sak ändrar vad som i dessa avseenden gäller enligt personuppgiftslagen och polisdatalagen.

Vid en särskild lagstiftning om referensbiblioteket skulle det behöva övervägas bestämmelser om i vart fall ändamål, uppgiftsinnehåll och gallring. Att i lag detaljerat ange vilka typer av bilder som får behandlas automatiserat av polisen i referensbiblioteket är enligt vår mening varken lämpligt eller möjligt. Det har under utredningen heller inte kommit fram några omständigheter som ger anledning att anta att de allmänna bestämmelserna i vårt förslag till ny polisdatalag som vi nyss redogjort för skulle ge ett otillräckligt skydd för enskildas personliga integritet, vid behandling av personuppgifter i referensbiblioteket. Sammantaget gör vi bedömningen att det inte föreligger skäl att införa en särskild författningsreglering avseende polisens behandling av personuppgifter i det digitala referensbiblioteket över barnpornografiska framställningar.

Referensbiblioteket har en klar internationell inriktning. Ett ändamål med systemet är att bistå utländska myndigheter i brottsutredningar. De flesta bilderna i systemet kommer också från utlandet. Den brittiska polisen och även Interpol har nyligen skaffat liknande system. Mot den bakgrunden förefaller det naturligt att överväga en internationell samordning när det gäller referensbiblioteket. En möjlighet är därvid att denna samordning sker genom medverkan av Interpol.

8.6. Ekobrottsmyndigheten

Lagen bör inte omfatta Ekobrottsmyndighetens verksamhet.

8.6.1. Myndighetens uppgifter

Den 1 januari 1998 inrättades en ny myndighet inom åklagarväsendet för bekämpning av ekonomisk brottslighet, Ekobrottsmyndigheten. Myndighetens verksamhet regleras av bestämmelserna i förordningen (1997:898) med instruktion för Ekobrottsmyndigheten. Myndighetens verksamhetsområde är i första hand Stockholms, Västra Götalands och Skåne län. Dess uppgift är att utveckla metoder för att effektivisera bekämpningen av den ekonomiska brottsligheten. Myndigheten skall följa och analysera utvecklingen av denna brottslighet, följa rättstillämpningen och utarbeta förslag till åtgärder. Ekobrottsmyndigheten skall vidare sammanställa resultaten av den kartläggning av brottsligheten som de regionala samverkansorganen skall svara för.

Ekobrottsmyndigheten handlägger inom Stockholms, Västra Götalands och Skåne län alla mål som avser brott mot 11 kap. brottsbalken, lagen om tryggande av pensionsutfästelse m.m., skattebrottslagen, aktiebolagslagen, insiderlagen, lagen om handel med finansiella instrument samt mål vars handläggning annars ställer krav på kännedom om finansiella förhållanden, näringslivsförhållanden, skatterätt eller liknande.

Ekobrottsmyndigheten skall under Riksåklagaren samordna åklagarväsendets bekämpning av ekonomisk brottslighet i övriga delar av landet. På begäran av vederbörande åklagarmyndighet kan Ekobrottsmyndigheten överta handläggningen av sådana mål som bör handläggas vid Ekobrottsmyndigheten främst med hänsyn till att de rör kvalificerad ekonomisk brottslighet som har nationell utbredning eller internationell anknytning eller som är av principiell natur eller av stor omfattning. Ekobrottsmyndighetens verksamhet bedrivs vid fyra avdelningar; i

Stockholm, Göteborg och Malmö samt vid särskilda avdelningen i Stockholm.

Enligt förordningen med instruktion för Ekobrottsmyndigheten bestämmer Ekobrottsmyndigheten och Rikspolisstyrelsen i samråd de närmare formerna för samverkan mellan Ekobrottsmyndigheten och polisväsendet.

8.6.2. Myndighetens rätt att behandla personuppgifter automatiserat

I olika sammanhang har diskuterats vilka möjligheter Ekobrottsmyndigheten bör ha att behandla personuppgifter automatiserat. Justitieutskottet har t.ex. behandlat motionsyrkanden om att Ekobrottsmyndigheten skall ges tillgång till de polisiära spaningsregistren i sin verksamhet respektive om att Ekobrottsmyndigheten skall få upprätta egna spaningsregister och underrättelseregister (se bet. 2000/01:JuU6). Ekobrottsmyndigheten är en åklagarmyndighet och inte en polismyndighet. Polisdatalagen omfattar därför inte Ekobrottsmyndighetens verksamhet.

Regeringen tillkallade i april 1997 en särskild utredare med uppdrag att utreda frågor om sekretess vid bekämpning av ekonomisk brottslighet, m.m. (dir. 1997:61). Ett mål för utredningen skulle vara att föreslå åtgärder i syfte att effektivisera bekämpningen av ekonomisk brottslighet genom att göra det möjligt för berörda myndigheter och andra organ att i ökad utsträckning lämna information om sådant som har betydelse för att förebygga, upptäcka eller utreda ekonomisk brottslighet, t.ex. vid gemensamma kontrollaktioner.

Utredningen, som antog namnet Ekosekretessutredningen, överlämnade betänkandet Ekonomisk brottslighet och sekretess (SOU 1999:53) till regeringen i maj 1999. I betänkandet redogörs för de bestämmelser som gäller på området samt i vilken mån de bör ändras. Vissa utvidgningar i myndigheternas möjligheter att utbyta information med varandra föreslås, t.ex. anser utredningen att myndigheter, utan hinder av sekretess, i vissa fall skall kunna lämna uppgifter om planerad brottslighet till polis, tull eller en polisman vid Ekobrottsmyndigheten. Det föreslås också att polisen och tullen skall ges ökade möjligheter till informationsutbyte med varandra. Ekosekretessutredningens förslag bereds för närvarande inom Justitiedepartementet.

Ekobrottsmyndigheten pekar i sitt yttrande över Ekosekretessutredningens betänkande på att myndigheten inte har tillgång till samma verktyg som polisen och skattebrottsenheterna har för att bedriva kriminalunderrättelseverksamhet. Frånvaron härav har enligt

Ekobrottsmyndigheten medfört effektivitetsförluster i det operativa arbetet och hindrat myndighetens utvecklingsarbete när det gäller det brottsförebyggande arbetet. Myndigheten anser därför att den bör ges samma befogenheter som dem polisen har på området, t.ex. genom att polisdatalagen utvidgas till att även omfatta Ekobrottsmyndigheten.

Ekobrottsmyndigheten har gjort en framställan till regeringen härom. Regeringen har meddelat ett beslut den 7 juni 2001. I beslutet ges Ekobrottsmyndigheten och Rikspolisstyrelsen i uppdrag att, inom ramen för gällande lagstiftning, utveckla underrättelseverksamheten beträffande ekobrott och att inom samma ramar utveckla Ekobrottsmyndighetens möjligheter att få del av polisens IT-system. Det sistnämnda gäller enligt beslutet främst e-post och intranät.

8.6.3. Polisdatalagen bör inte omfatta Ekobrottsmyndigheten

Vi anser att den nya polisdatalagen bör gälla enbart i polisens verksamhet. Detta innebär alltså att lagen inte kommer att omfatta Ekobrottsmyndigheten. Avgörande för hur regleringen av Ekobrottsmyndighetens rätt att behandla personuppgifter automatiserat bör utformas är vilken funktion och vilka uppgifter myndigheten skall ha. Den frågan berör hela myndighetsstrukturen inom samhällets brottsbekämpning och bör övervägas i ett annat sammanhang än vid en översyn av polisregisterlagstiftningen.

9 Grundläggande bestämmelser om behandling av personuppgifter i den nya polisdatalagen

I det här kapitlet redovisar vi grundläggande bestämmelser om automatiserad behandling av personuppgifter och om behandling av personuppgifter i manuella register, vilka bör finnas i den nya polisdatalagen.

9.1. Definitioner

Personuppgiftslagens definitioner av begreppen behandling av personuppgifter, blockering av personuppgifter, mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud, tillsynsmyndigheten och tredje man samt polisdatalagens definition av begreppet DNA-analys bör finnas med även i en ny lag för polisen.

I 3 § personuppgiftslagen definieras vissa uttryck och begrepp som används i lagen. Det framgår av 3 § andra stycket polisdatalagen att de begrepp som används i polisdatalagen har samma betydelse som i personuppgiftslagen. Polisdatalagen innehåller dessutom i samma lagrums första stycke definitioner av ytterligare begrepp som används i lagen.

I vårt lagförslag har de begrepp som hämtats från personuppgiftslagen samma betydelse som i den lagen. De begrepp som hämtats är behandling (av personuppgifter), blockering (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud, tillsynsmyndigheten och tredje man. Begreppen registrerade, samtycke och tredje land i personuppgiftslagen har utgått eftersom de begreppen inte används i den nya lagen.

När det gäller definitionerna i 3 § polisdatalagen återstår endast begreppet DNA-analys. Begreppen allvarlig brottslig verksamhet, kriminalunderrättelseverksamhet, särskild undersökning och under-

rättelseverksamhet har utgått, eftersom de inte förekommer i den nya lag som vi föreslår.

9.2. Grundläggande krav på behandlingen av personuppgifter

Bestämmelserna i 9 § personuppgiftslagen om grundläggande krav på behandling av personuppgifter bör även i fortsättningen gälla i polisens verksamhet. Även särbestämmelsen om gallring i 13 § polisdatalagen bör vara kvar.

I 9 § personuppgiftslagen finns det bestämmelser om de grundläggande krav på behandlingen av personuppgifter som en personuppgiftsansvarig alltid måste uppfylla. Eftersom dessa bestämmelser innehåller mycket centrala principer för all behandling av personuppgifter redogör vi här kortfattat för bestämmelsernas innehåll.

9.2.1. Korrekt och laglig behandling i enlighet med god sed

Personuppgifter skall enligt 9 § a–b personuppgiftslagen för det första bara behandlas när det är lagligt och då behandlas på ett korrekt sätt och i enlighet med god sed. När det är lagligt att behandla personuppgifter framgår av personuppgiftslagen, t.ex. 10 och 13–20 §§ och anknytande lagstiftning. Dessa källor säger också vad som är ett korrekt sätt att behandla personuppgifter.

Vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med stöd av personuppgiftslagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig (prop. 1997/98:44 s. 143).

9.2.2. Ändamålen med behandlingen

Personuppgifter skall enligt 9 § c–d personuppgiftslagen samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Senare behandling får inte ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling av uppgifter för historiska,

statistiska och vetenskapliga ändamål skall dock inte anses som oförenligt med de ändamål för vilka uppgifterna samlades in.

Kravet i punkt c av lagrummet innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålet måste då anges uttryckligen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Hur pass detaljerad ändamålsangivelsen skall vara för att uppfylla lagens krav på att vara särskild får avgöras i praxis (jfr SOU 1997:39 s. 350). De ändamål för vilka personuppgifterna samlas in skall vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av personuppgiftslagen och anknytande lagstiftning. Det förefaller osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. Den har dock tagits med i den svenska lagen för säkerhets och fullständighets skull (SOU 1997:39 s. 350).

De insamlade uppgifterna får som sagt behandlas för andra ändamål än de för vilka uppgifterna samlades in bara om de nya ändamålen inte är oförenliga med de ursprungliga ändamålen. Vad som är oförenligt med de ursprungliga ändamålen har inte närmare preciserats. Lagrummets ordalydelse medger i alla fall att vissa smärre avvikelser från det ursprungliga ändamålet görs vid behandling av de insamlade uppgifterna.

Den nyss nämnda bestämmelsen ger uttryck för den så kallade finalitetsprincipen och är en mycket viktig del i personuppgiftslagen. Den begränsar t.ex. i praktiken s. k. samkörning av register. Den innebär vidare i praktiken att den personuppgiftsansvarige under hela behandlingstiden på något sätt måste hålla reda på för vilka ändamål varje personuppgift har samlats in.

9.2.3. Personuppgifternas kvalitet och omfattning

De behandlade uppgifterna skall enligt 9 § e vara adekvata och relevanta i förhållande till ändamålet med behandlingen, vilket innebär att ovidkommande uppgifter inte får behandlas. Det är enligt punkt f inte tillåtet att behandla fler personuppgifter än som är nödvändigt med hänsyn till ändamålet med behandlingen. Enligt samma lagrums punkt g skall de behandlade uppgifterna vara riktiga och, om det är nödvändigt, aktuella. Den personuppgiftsansvarige måste också, enligt punkt h, självmant vidta alla rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

En uppgift är riktig om den stämmer överens med de verkliga förhållandena. Svårigheten är dock ofta att bestämma vilka de verkliga förhållandena är som den registrerade uppgiften skall spegla. Här får man söka ledning i ändamålen med behandlingen (jfr Öman-Lindblom, Personuppgiftslagen En kommentar, 1998, s. 60 f.). I nyss nämnda kommentar till personuppgiftslagen ges följande exempel. I vissa fall är avsikten med en behandling bara att registrera uppgifter som kommit in, t.ex. genom ansökningar eller mottagna order. De behandlade uppgifterna torde då vara riktiga om de stämmer överens med de inkomna uppgifterna (oavsett hur dessa lämnade uppgifter förhåller sig till de verkliga förhållandena).

9.2.4. Gallring

Enligt 9 § första stycket punkt i personuppgiftslagen får personuppgifter bevaras bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. Gallring innebär förstöring. Personuppgifterna måste därefter alltså avidentifieras eller utplånas.

Bestämmelsen om gallring i 9 § första stycket personuppgiftslagen står i viss motsättning till bestämmelserna i arkivlagen (1990:782), vilka till skillnad från nämnda gallringsregel i personuppgiftslagen utgår från att det ligger ett värde i att allmänna handlingar bevaras. I 3 § tredje stycket arkivlagen föreskrivs att myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, tillgodoser behovet av information för rättskipningen och förvaltningen samt tillgodoser forskningens behov. Det påpekas i 10 § arkivlagen också att det vid gallring alltid skall beaktas att arkiven utgör en del av kulturarvet. Motsättningen mellan nämnda gallringsregel i personuppgiftslagen och reglerna i arkivlagen har lösts genom att myndigheternas arkivering och bevarande av allmänna handlingar har undantagits från personuppgiftslagens tillämpningsområde genom 8 § andra stycket personuppgiftslagen som handlar om lagens förhållande till offentlighetsprincipen. Vidare finns i 9 § andra stycket av lagen en bestämmelse som säger att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sägs i 9 § första stycket.

Polisdatalagen innehåller särregler om gallring. I 13 § av lagen föreskrivs att uppgifter som inte längre behövs för sitt ändamål skall gallras om inte annat anges i lagen. Detta gäller dock inte uppgifter i en förundersökning. Regeringen eller den myndighet regeringen bestämmer, får enligt samma lagrum meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.

Lagstiftningen skiljer alltså mellan personuppgifter som behandlas i en förundersökning och andra personuppgifter som behandlas av polisen. Uppgifter i förundersökningar som dokumenteras på papper arkiveras enligt arkivlagens bestämmelser om inte akten enligt särskilda föreskrifter får gallras. I prop. 1998/98:97 s. 109 anförs att frågan om gallring i regel inte bör vara beroende av vilka tekniska hjälpmedel polisen väljer för sitt arbete. Uppgifter som behandlas automatiserat för en förundersökning bör därför behandlas på samma sätt som motsvarande uppgifter som behandlas manuellt. Även de uppgifter som behandlas automatiserat bör därför enligt vad som sägs i propositionen därför behandlas enligt arkivlagens bestämmelser.

I nyss nämnda proposition anförs vidare att när det gäller annan behandling av uppgifter, dvs. uppgifter som samlas in och lagras för framtida bruk, bör uppgifterna däremot normalt gallras när de inte längre behövs för sitt ändamål. Enligt propositionen bör dock regeringen få föreskriva att uppgifterna i stället skall bevaras om t.ex. forskningens intresse för vissa uppgifter kan anses väga tyngre än integritetsskyddsintresset.

För de register som regleras i polisdatalagen finns särskilda gallringsregler.

9.2.5. Gallringsreglerna i personuppgiftslagen bör inte gälla uppgifter i en förundersökning

Ovan har beskrivits den reglering som i dag gäller enligt 9 § personuppgiftslagen och 13 § polisdatalagen i fråga om grundläggande krav för polisens behandling av personuppgifter. Med ett undantag anser vi att det inte finns skäl att sakligt ändra reglerna härom.

Undantaget avser bestämmelsen om gallring. Den bör av skäl som angetts ovan inte gälla uppgifter i en förundersökning. Regeln om gallring i den nya lagen bör heller inte gälla personuppgifter som behandlas hos polisen vid handläggning av mål och ärenden om brott enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. Bestämmelsen handlar om brottsutredningar i vilka den misstänkte gärningsmannen inte har fyllt femton år. En ny gallringsregel bör heller inte avse personuppgifter som handläggs i ett förenklat utredningsförfarande enligt 23 kap. 22 § rättegångsbalken. Skälen för den angivna utformningen av den nya gallringsregeln är samma som de vilka ligger till grund för den nuvarande bestämmelsen om gallring av uppgifter i en förundersökning.

9.3. Personuppgiftsansvaret

Rikspolisstyrelsen bör även i fortsättningen vara ensam personuppgiftsansvarig för de centrala registren i polisens verksamhet. En bestämmelse som ger Rikspolisstyrelsens möjlighet att besluta verkställighetsföreskrifter bör ingå i en ny polisdataförordning.

9.3.1. Den personuppgiftsansvariges skyldigheter

Enligt definitionen i 3 § personuppgiftslagen, vilken stämmer överens med definitionen i vårt lagförslag, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas av flera.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandlingen av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (2327 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 § personuppgiftslagen), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § personuppgiftslagen), att – enligt huvudregeln i 36 § personuppgiftslagen – anmäla all automatiserad behandling av personuppgifter till Datainspektionen, samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 § personuppgiftslagen).

Vem som är personuppgiftsansvarig för en viss behandling får avgöras efter en bedömning av de faktiska omständigheterna i det enskilda fallet. Inget hindrar dock att det genom lag eller förordning bestäms vem som är personuppgiftsansvarig.

9.3.2. Rikspolisstyrelsens roll som personuppgiftsansvarig

I polisdatalagen sägs i 4 § att Rikspolisstyrelsen är personuppgiftsansvarig för behandlingar av personuppgifter i DNA-register, i spårregister och i fingeravtrycks- och signalementsregister. Ändamålen för de registren är bestämda genom lag och det krävs därför en regel som talar om vem som skall vara personuppgiftsansvarig för behandlingarna i de registren. Det bör även i den nya lagen finnas bestämmelser som

motsvarar 4 § polisdatalagen. Beträffande övriga register behövs det inga regler som föreskriver vem som skall vara personuppgiftsansvarig. Det följer ju av definitionen av begreppet personuppgiftsansvarig att den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig. Sammanfattningsvis innebär vad som här sagts att Rikspolisstyrelsen blir personuppgiftsansvarig för de centrala registren och att respektive polismyndighet blir personuppgiftsansvarig för de lokala registren.

Från Rikspolisstyrelsens sida har ifrågasatts att styrelsen skall vara ensam personuppgiftsansvarig för register och system till vilka uppgifter levereras från andra myndigheter än Rikspolisstyrelsen. Det sagda gäller särskilt belastningsregistret där en stor del av uppgiftsinnehållet kommer från domstolarna. Rikspolisstyrelsen har framhållit att det är praktiskt taget omöjligt för styrelsen att kontrollera att information som levereras från andra myndigheter är korrekt. Numera tillämpar man ett system som går ut på att levererande myndighet ansvarar för att levererade uppgifter är korrekta. Trots detta bär dock Rikspolisstyrelsen enligt gällande författningar ytterst ansvaret för att all information i registren är korrekt.

Frågan om Rikspolisstyrelsens roll som ensam personuppgiftsansvarig för de särskilt lagreglerade registren och för övriga register som förs för hela polisväsendets behov berördes i lagstiftningsärendet som ledde fram till polisdatalagen. I propositionen (prop. 1997/98:97 s. 108 f.) anfördes att det är naturligt att den myndighet som fört in uppgifterna i registret också rättar eventuella felaktigheter och att detta i viss mån talar för att de myndigheter som för in uppgifterna skall vara personuppgiftsansvariga. Enligt regeringen är det däremot en klar fördel för den enskilde att ha en enda ansvarig myndighet att vända sig till.

De argument som lades fram i nyss nämnda lagstiftningsärende gäller enligt vår mening fortfarande. Ett delat personuppgiftsansvar är också allmänt sett olämpligt. Vi anser att Rikspolisstyrelsen bör ha samma personuppgiftsansvar som hittills. För att styrelsen skall kunna utöva sitt personuppgiftsansvar bör dock styrelsen ha rätt att utfärda föreskrifter för polismyndigheterna och för övriga berörda myndigheter i frågor om behandling av personuppgifter i de aktuella registren.

När det gäller belastningsregistret föreskrivs i 36 § förordningen (1999:1134) om belastningsregister att den myndighet som har lämnat uppgifter till Rikspolisstyrelsen enligt förordningen svarar för att uppgifterna är riktiga samt att felaktigheter eller ofullständigheter skall rättas på det sätt som Rikspolisstyrelsen bestämmer efter samråd med vederbörande centrala myndighet. Enligt 38 § i förordningen får Rikspolisstyrelsen, efter samråd med berörda centrala myndigheter,

meddela de föreskrifter som behövs för verkställigheten av denna förordning. I fråga om misstankeregistret finns i 14 och 17 §§ förordningen (1999:1135) om misstankeregister bestämmelser som beträffande innehållet motsvarar 36 och 38 §§ i förordningen om belastningsregister. Det finns i 17 § polisdataförordningen en bestämmelse som säger att Rikspolisstyrelsen efter samråd med Datainspektionen får meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen och polisdataförordningen.

Genom bemyndigandena i ovannämnda författningar får Rikspolisstyrelsen anses ha möjlighet att utfärda de föreskrifter som behövs i verksamheten. Detta innebär att en ny förordning om behandling av personuppgifter i polisens verksamhet bör innehålla en bestämmelse om verkställighetsföreskrifter med samma innehåll som 17 § polisdataförordningen.

9.4. När behandlingen av personuppgifter är tillåten

Personuppgifter bör få behandlas bara om behandlingen är nödvändig för att polisen skall kunna utföra polisverksamhet som består i att

1. förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Den nya lagen bör inte hindra att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

9.4.1. Den nuvarande regleringen

Samtycke

I 1012 §§personuppgiftslagen finns det grundläggande bestämmelser om när det över huvud taget är tillåtet att behandla personuppgifter. Lagen utgår alltså, liksom dataskyddsdirektivet, från att behandling av personuppgifter är förbjuden utom i de fall och på de villkor som särskilt anges. Avser behandlingen känsliga personuppgifter eller person-

nummer m.m. måste behandlingen dessutom vara tillåten enligt bestämmelserna i 13–22 § personuppgiftslagen. Polisdatalagen innehåller inga särregler som avviker från vad som föreskrivs i 1012 §§personuppgiftslagen. Dessa lagrum gäller därför för polisen i den utsträckning bestämmelserna kan anses tillämpliga på polisverksamhet.

Av 10 § personuppgiftslagen framgår att det som huvudregel krävs samtycke för att personuppgifter skall få behandlas. Med samtycke menas varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Enligt 12 § personuppgiftslagen har den registrerade rätt att när som helst återkalla sitt samtycke. Efter att återkallelse gjorts får ytterligare behandling inte ske om det krävs samtycke för behandlingen. Det finns i 11 § personuppgiftslagen också en bestämmelse om behandling av personuppgifter för ändamål som rör direkt marknadsföring, men den bestämmelsen kan inte anses tillämplig i polisens verksamhet.

Behandling utan stöd av samtycke

Det är uppenbart att det för polisens del inte är tillräckligt att kunna behandla personuppgifter efter samtycke. I personuppgiftslagen finns också omfattande undantag från huvudregeln att behandling bara får ske efter samtycke.

Utan samtycke får personuppgifter enligt 10 § personuppgiftslagen behandlas om behandlingen är nödvändig för att – ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, – den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, – vitala intressen för den registrerade skall kunna skyddas, – en arbetsuppgift av allmänt intresse skall kunna utföras, – den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller – ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Nödvändighetskravet

I samtliga de nu nämnda fallen krävs det att behandlingen är nödvändig. Vad som menas med det är oklart. De flesta arbetsuppgifter kan rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna på automatiserad väg.

Enligt Datalagskommittén kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen (SOU 1997:39 s. 359). Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifterna behandlas, kan det enligt kommittén inte anses nödvändigt att behandla personuppgifterna. Det kanske går nästan lika bra att använda anonyma uppgifter.

Stödet för polisens rätt att behandla personuppgifter

Huvudregeln för att behandling av personuppgifter skall vara tillåten är alltså att den registrerade gett sitt samtycke till behandlingen. Samtycke behövs dock sannolikt bara vid ett fåtal behandlingar i polisens verksamhet. De aktuella behandlingarna tycks i de flesta fall kunna ske med stöd av någon av de bestämmelser som kompletterar huvudregeln. I de flesta fall är behandlingen tillåten för att den är nödvändig för att polisen skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. I andra fall är den tillåten t.ex. för att den är nödvändig för att en arbetsuppgift av allmänt intresse skall kunna utföras.

9.4.2. Nya regler om när polisen får behandla personuppgifter

Personuppgifter får behandlas bara om behandlingen är nödvändig

Bestämmelsen i 10 § personuppgiftslagen är allmänt hållen och av naturliga skäl inte anpassad till polisens verksamhet. Vi anser att en bestämmelse som handlar om när polisen får behandla personuppgifter automatiserat bör anknyta närmare till polisens verksamhet. Enligt vår mening bör det i den nya lagen därför införas en bestämmelse som föreskriver att behandling får ske bara om behandlingen är nödvändig för att polisen skall kunna utföra sådan polisverksamhet som lagen skall tillämpas på. Det innebär att personuppgifter får behandlas bara om det är nödvändigt för att den egentliga polisverksamheten skall

kunna utföras. Med den egentliga polisverksamheten avses då sådan verksamhet som anges i 2 § 1–3 polislagen.

Den här föreslagna bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Avser behandlingen känsliga personuppgifter, personnummer eller samordningsnummer, uppgifter om kvarstående misstankar, uppgifter om personer som det inte finns någon misstanke om brott mot, behandling på Internet av uppgifter om efterlysningar av enskilda personer, uppgifter i det allmänna spaningsregistret, uppgifter om resultat av DNA-analyser eller uppgifter i fingeravtrycks- eller signalementsregister måste behandlingen dessutom vara tillåten enligt de särskilda bestämmelserna härom.

Vi anser att om en behandling inte är nödvändig för sådan polisverksamhet som omfattas av lagen bör behandlingen inte vara tilllåten. Detta leder till att regeln i personuppgiftslagen om samtycke som grund för behandling inte bör ha någon motsvarighet i den nya lagen.

När det gäller innebörden av nödvändig behandling vill vi hänvisa till Datalagskommitténs synpunkter som angetts ovan.

Diarieföring och behandling av e-post m.m.

En särskild fråga gäller hur en ny lag skall beakta polisens skyldighet att diarieföra inkommande post som innehåller personuppgifter. Sådana uppgifter kan komma in till polisen med e-post. Dokument med personuppgifter kan förstås också komma in med vanlig brevpost. I många fall scannas de inkommande dokumenten då in i en dator för att kunna hanteras rationellt. I båda fallen är det fråga om automatiserad behandling av personuppgifter.

Rikspolisstyrelsen och polismyndigheterna tar dagligen emot stora mängder information som innehåller personuppgifter. Den kan avse brottsanmälningar från allmänheten. Informationen kan också komma från utländska polisorganisationer inom ramen för det internationella polissamarbetet. Den kan även komma t.ex. från utomlands stationerade sambandsmän. Polisen vill förbättra sin service till allmänheten och man planerar därför att ge allmänheten ökade möjligheter att kommunicera med polisen via Internet. Brottsanmälningar skall i framtiden kunna göras på blanketter som finns på polismyndigheternas hemsidor och anmälningarna skall kunna skickas till polisen med epost. Brottsanmälningar innehåller personuppgifter avseende målsägande, vittnen och misstänkta gärningsmän.

För att kunna hantera det inkommande informationsflödet och göra det praktiskt möjligt att kommunicera med allmänheten genom e-post

finns planer inom Rikspolisstyrelsen på att inrätta ett system som skulle kunna karakteriseras som en postcentral. Systemet skulle i stort komma att fungera enligt följande. Alla meddelanden som på ovan angivet sätt kommer in till Rikspolisstyrelsen och polismyndigheterna samlas i en databas innan uppgifterna sorteras in i de system där de skall lagras. De sålunda inkomna meddelandena skall därvid inte bearbetas på annat sätt än att de diarieförs samt lagras för arkivändamål och för att göra det möjligt att återsöka inkomna meddelanden. Databasen skulle som nämnts kunna ses som en postcentral där inkommande postmeddelanden samlas för senare sortering och vidare befordran till sina slutliga destinationer.

De meddelanden som kommer in kan dock innehålla vilka personuppgifter som helst. Meddelandena kan mycket väl innehålla personuppgifter som inte får behandlas automatiserat. Det kan t.ex. röra sig om meddelanden som innefattar uppgifter om enskilda personer som det inte finns någon misstanke om brott mot eller som innefattar känsliga personuppgifter. Om de förstnämnda uppgifterna inte anknyter till brott för vilket är föreskrivet fängelse i två år eller mer, skall behandling av uppgifterna inte vara tillåten enligt vårt förslag (se avsnitt 10.4.2). Är det inte oundgängligen nödvändigt för syftet med behandlingen får känsliga personuppgifter inte behandlas. Det bör här nämnas att den personal som enligt planerna skall ta emot och diarieföra uppgifterna inte kommer att ha möjlighet att pröva hur uppgifterna skall behandlas. Detta blir med all säkerhet omöjligt på grund av antalet inkommande meddelanden och personalens arbetssituation i övrigt.

Frågan är då hur systemet med en ”postcentral för inkommande meddelanden med personuppgifter” kan förenas med den nya lag som vi föreslår. Redan från det att personuppgifterna anländer med e-post eller scannas in i datorer från ett inkommet brevdokument blir ju lagen tillämplig. Detta innebär heller ingen ändring gentemot vad som nu gäller enligt polisdatalagen.

En ny lag bör ta hänsyn till att polisen måste diarieföra inkommande handlingar. Skyldigheten att diarieföra inkommande handlingar och uppgifter är i de flesta fall föreskriven i författning. Det är heller inte rimligt att den nya lagen hindrar polisen att kommunicera med allmänheten genom e-post eller att scanna inkommande handlingar.

Med anledning av det ovan anförda anser vi att den nya lagen bör innehålla en bestämmelse som föreskriver att lagen inte hindrar att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Med löpande text avses text som inte har strukturerats så att sökning av personuppgifter underlättas (se Öman-Lindblom, Personuppgiftslagen En kommentar s. 143 ff. och de

hänvisningar som finns där). Uppgifter som lämnas av en enskild i en ansökan eller anmälan till en polismyndighet utgör löpande text. Bestämmelsen motsvarar delvis vad som gäller enligt 8 § personuppgiftsförordningen. Förslaget i den här delen innebär att polisen kan inrätta modellen med en ”postcentral” i enlighet med vad som skisserats ovan. Polisen kommer således att få rätt att datoriserat diarieföra inkommande personuppgifter samt lagra personuppgifterna för arkivändamål och för återsökning av inkomna meddelanden. För annan automatiserad behandling krävs det däremot stöd i den nya lagen för att behandling skall få ske.

Bestämmelserna om särskilda behandlingar skall enligt förslaget alltså tillämpas först när uppgifterna struktureras för behandling i register eller ärendehanteringssystem. Vi anser att detta kan godtas från integritetssynpunkt. Bestämmelsen måste ses i samband med övriga regler i den nya lagen. Vi föreslår en bestämmelse som innebär att den personuppgiftsansvarige självmant måste vidta alla rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen (se avsnitt 9.2.3 och 9.2.5.). Vårt lagförslag innehåller också en regel om att den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (se avsnitt 9.11). Den regeln ställer krav på att aktuella uppgifter inte sprids på ett otillbörligt sätt.

9.5. Behandling av känsliga personuppgifter

Bestämmelsen i 5 § polisdatalagen om behandling av känsliga personuppgifter bör gälla även i fortsättningen.

Av personuppgiftslagen framgår att det i princip skall vara förbjudet att behandla vissa känsliga uppgifter; nämligen personuppgifter som avslöjar ras eller etnisk ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Personuppgiftslagen innehåller dock en rad undantag från förbudet. Av punkt 2.5 i Europarådets rekommendation om användning av personuppgifter inom polissektorn m.m. anges att sådana känsliga uppgifter om en person inte får föras in i polisregister om det inte är oundgängligen nödvändigt.

Polisen kan undantagsvis ha ett befogat intresse av att kunna anteckna sådana känsliga uppgifter som ovan avses. Om andra uppgifter gör att det finns anledning att behandla uppgifter om en person bör polisen

därför undantagsvis få behandla också sådana känsliga uppgifter. I enlighet med Europarådets rekommendation bör det dock förutsätta att behandlingen är oundgängligen nödvändig.

I 5 § polisdatalagen finns en bestämmelse om behandling av känsliga personuppgifter. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen. Bestämmelsen bör oförändrad gälla även i fortsättningen.

En fråga är hur man vid tillämpning av reglerna om känsliga personuppgifter skall se på avbildningar av personer, t.ex. fotografier. Vi hänvisar därvid till Datalagskommitténs synpunkter (SOU 1997:39 s. 368). Huruvida en bild på en persons ansikte kan anses avslöja den personens ras eller etniska ursprung i den mening som avses i dataskyddsdirektivet får enligt kommittén anses osäkert. Det får enligt kommittén också anses osäkert om en bild på den som är fysiskt handikappad eller ser sjuk (eller frisk) ut innefattar uppgifter som rör den personens hälsa. Kommittén ansåg att det förefaller rimligt att anse att bilder på människor i mera ”normala” sammanhang inte på avsett sätt avslöjar några känsliga personuppgifter. Enligt kommittén kan en isolerad uppgift om vilket kön en person har inte anses vara en uppgift om dennes sexualliv, men däremot är förmodligen en uppgift om att någon har bytt kön en uppgift som kan anses röra den personens hälsa eller sexualliv.

9.6. Behandling av personnummer

Bestämmelsen i 22 § personuppgiftslagen om behandling av personnummer bör gälla på polisområdet. Dock bör samtycke inte kunna åberopas som grund för behandling.

Enligt 22 § personuppgiftslagen får uppgifter om personnummer eller samordningsnummer behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer eller samordningsnummer får därutöver behandlas om innehavaren ger sitt samtycke. Samordningsnummer är ett nummer som enligt 18 a § folkbokföringslagen (1991:481) efter begäran från en myndighet får tilldelas en person som inte är eller har varit folkbokförd i landet. Polisdatalagen innehåller inga särbestämmelser om personnummer eller samordningsnummer.

Den nya polisdatalagen bör innehålla en bestämmelse som motsvarar 22 § personuppgiftslagen. Dock bör det inte vara möjligt för polisen att använda samtycke som grund för behandling. Om behandlingen inte är klart motiverad med hänsyn till dess ändamål, till vikten av en säker identifiering eller något annat beaktansvärt skäl bör den inte få förekomma.

9.7. Behandling av uppgifter om kvarstående misstankar

Bestämmelserna i 10 och 11 §§polisdatalagen om behandling av uppgifter om kvarstående misstankar bör oförändrat gälla även i fortsättningen.

Av personuppgiftslagen framgår att en uppgift inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Detta innebär att uppgifter som behandlas under en förundersökning normalt skall arkiveras när förundersökningen läggs ned. Uppgifterna i misstankeregistret skall enligt 13 § lagen om misstankeregister gallras när förundersökningen läggs ned. Kvarstående misstankar får alltså inte registreras i misstankeregistret.

Om en förundersökning läggs ned på grund av bristande bevisning kan polisen ha ett berättigat intresse av att fortsätta behandla uppgifter om den misstänkte. Dessa uppgifter kan så småningom, om det kommer fram nya uppgifter, leda till att det blir möjligt att på nytt inleda förundersökning. På grund härav ansåg regeringen (prop. 1997/98:97 s. 103) att det i polisdatalagen borde införas bestämmelser om att uppgifter om kvarstående misstankar får behandlas om en förundersökning har lagts ned på grund av bristande bevisning och en person enligt förundersökningsledarens bedömning fortfarande är misstänkt för brott. Bestämmelserna finns i 10 § polisdatalagen.

Om en åtalad har frikänts eller om målet läggs ned på grund av bristande bevisning bör uppgifter om kvarstående misstankar normalt inte få behandlas. Det kan dock i undantagsfall bli aktuellt att inleda en ny förundersökning eller ta upp målet på nytt, t.ex. på grund av resning. I sådana speciella fall bör uppgifterna enligt regeringen få behandlas (se prop. 1997/98:97 s. 103). I 11 § polisdatalagen finns regler härom.

Polisdataförordningen innehåller en paragraf om behandling av uppgifter om kvarstående misstankar. I 3 § polisdataförordningen föreskrivs att om uppgifter om kvarstående brottsmisstankar skall behand-

las enligt 10 eller 11 § polisdatalagen skall den personuppgiftsansvarige särskilt besluta om vem som får ha direkt åtkomst till uppgifterna.

Skälen som ligger till grund för bestämmelserna i 10 och 11 §§polisdatalagen gäller enligt vår mening fortfarande. Den nya lagen bör alltså innehålla bestämmelser med samma innehåll som i dessa lagrum. Vi föreslår i det här betänkandet att den nya lagen bör innehålla en bestämmelse som föreskriver att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till information om uppgifterna (se avsnitt 9.11). Mot den bakgrunden behövs det i den nya författningsregleringen inte någon särskild bestämmelse om direkt åtkomst beträffande aktuella personuppgifter motsvarande 3 § polisdataförordningen.

9.8. Personuppgifter på Internet

Någon bestämmelse om förbud mot överföring av personuppgifter till tredje land motsvarande 33 § personuppgiftslagen bör inte gälla i den egentliga polisverksamheten. En följd av detta blir att offentliga personuppgifter i viss utsträckning kan göras allmänt tillgängliga på Internet.

Av integritetsskäl bör dock en efterlysning av en person med anledning av att han eller hon avvikit från verkställighet av påföljd för brott eller med anledning av att han eller hon misstänks för brott, få ske på Internet endast om

1. domen eller misstanken avser ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet eller

2. personen kan antas vara farlig för annans personliga säkerhet.

En särskild fråga är vad som bör gälla för polisen beträffande behandling av personuppgifter på Internet. I 33 § personuppgiftslagen finns det ett principiellt förbud mot att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Med begreppet tredje land avses i personuppgiftslagen en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. När personuppgifter görs allmänt tillgängliga via ett globalt nätverk, t.ex. läggs upp på en webbsida på Internet, kan de nås från de flesta länder i världen av vilka flera säkerligen inte har en adekvat skyddsnivå. Därmed har personuppgifterna förts över till tredje land på ett sådant sätt som i princip är förbjudet enligt personuppgiftslagen.

Från polisens sida har framförts att det finns ett starkt önskemål om att få sprida vissa uppgifter på Internet. Polismyndigheten i Stockholms län har förklarat att man har undersökt möjligheterna att på myndighetens hemsida ange namn och bild på försvunna personer i fall då det finns anledning att befara att dessa personer fallit offer för något våldsbrott. Vidare har man inom myndigheten undersökt vilka möjligheter som finns att lägga ut namn och bild på efterlysta personer som polisen anser det särskilt angeläget att få frihetsberövade. Endast dokumenterat farliga personer som är dömda eller misstänkta för brott skulle då komma i fråga. Datainspektionen har dock enligt polismyndigheten lämnat ett muntligt förhandsbesked med innebörd att det saknas lagstöd för sådan automatiserad behandling av personuppgifter som det här skulle bli fråga om.

Vi anser att det inte finns skäl att i den nya lagen för polisen införa någon bestämmelse som motsvarar 33 § personuppgiftslagen. Polisen kommer därför enligt vårt förslag att kunna göra personuppgifter allmänt tillgängliga på Internet. Därvid måste polisen precis som vid all annan behandling naturligtvis överväga om de allmänna förutsättningarna för behandling av personuppgifter är uppfyllda. En behandling får ske bara för tydliga och berättigade ändamål. Behandlingen får också bara omfatta personuppgifter som är nödvändiga för ändamålet.

Rätten att behandla personuppgifter på Internet måste dock framför allt ses i relation till reglerna i sekretesslagen. Behandling av personuppgifter på Internet kommer bara att kunna ske beträffande offentliga uppgifter, alltså uppgifter som inte omfattas av sekretess enligt någon bestämmelse i sekretesslagen eller i någon annan författning. En spridning av en sekretessuppgift på Internet innebär ju att uppgiften lämnas ut till allmänheten. Efterlysningar av personer vilka omfattas av sekretess kommer alltså inte heller i fortsättningen att kunna ske på Internet. Sekretessen för efterlysningar kan dock i vissa fall upphävas med stöd av bestämmelsen i 1 kap 5 § sekretesslagen. Det lagrummet föreskriver att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet.

I fråga om en efterlysning av en person med anledning av att han eller hon avvikit från verkställighet av påföljd för brott eller med anledning av att han eller hon misstänks för brott, bör spridning på Internet få ske endast om domen eller misstanken avser ett särskilt allvarligt brott eller om personen kan antas vara farlig för annans personliga säkerhet. Detta stämmer överens med de principer som tillämpas i dag vid beslut om att häva sekretess för efterlysningar. Polisen har heller inte avsett att en framtida spridning av efterlysningar på Internet skall få en vidare omfattning.

Enligt vår mening bör det framgå uttryckligt av lagtexten att aktuella efterlysningar får spridas på Internet endast under nämnda förutsättningar. När det gäller avgränsningen av vilka efterlysningar som kan få göras allmänt tillgängliga på Internet anser vi att spridning bör få ske om den misstänkte är dömd eller misstänkt för ett brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år. Tiden anknyter till 24 kap. 1 § rättegångsbalken om häktning. När det gäller brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år skall häktning ske, om det inte är uppenbart att skäl till häktning saknas. Oberoende av brottets svårhetsgrad bör en efterlysning också få spridas om den efterlyste personen kan antas vara farlig för annans personliga säkerhet.

Slutligen förtjänar att nämnas att regeln i 33 § personuppgiftslagen om förbud mot överföring av personuppgifter till tredje land även i fortsättningen kan ha relevans i vissa fall. Om en efterlysning, som inte omfattas av sekretess, uteslutande är hänförlig till polisens hjälpande verksamhet (2 § 4 polislagen) gäller alltjämt förbudet mot överföring i 33 § personuppgiftslagen. Den nya polisdatalag som vi föreslår skall ju bara vara tillämplig i den egentliga polisverksamheten så som denna verksamhet definieras i 2 § 1–3 polislagen. Efterlysningar som uteslutande sker i den hjälpande verksamheten kan därför bara spridas på Internet om det föreligger samtycke eller något annat undantag från förbudet mot överföring av personuppgifter till tredje land (se 3435 §§personuppgiftslagen).

9.9. Information till den enskilde

Reglerna i 2327 §§personuppgiftslagen om information till registrerade bör även i fortsättningen gälla i polisens verksamhet. Det behövs dock därutöver två ytterligare undantag från polisens informationsplikt. I fall uppgifter om en enskild person samlas in från personen själv, bör information heller inte behöva lämnas, om – det finns bestämmelser om antecknandet eller utlämnandet av personuppgifter i författning, eller – uppgifterna samlas in i samband med ett larm eller annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige

I stället för att som i dag avse registrerade bör bestämmelserna avse enskilda.

9.9.1. Bestämmelserna i personuppgiftslagen

Personuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade (23 och 24 §§). Informationsskyldigheten är förenad med flera undantag. I den utsträckning det är föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas till den registrerade gäller inte bestämmelserna (27 §). Information behöver inte heller lämnas om personuppgifterna samlats in från någon annan källa än den registrerade och det finns bestämmelser om registrerandet eller utlämnandet av uppgifterna i en lag eller någon annan författning (24 §). Information om uppgifter som hämtas från någon annan källa än den registrerade behöver inte heller lämnas om det visar sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade skall dock information lämnas senast i samband med att så sker (24 §).

Undantagsreglerna innebär att polisen i regel inte behöver lämna någon information till den registrerade. Av bestämmelserna framgår t.ex. att det inte finns någon skyldighet att lämna information om uppgifter i misstankeregistret eller belastningsregistret eftersom bestämmelser om registrerandet följer direkt av lag. Detsamma gäller för uppgifter i en förundersökning, eftersom förundersökningskungörelsen (1947:948) får anses utgöra en sådan författning om registrerande som avses i 24 § andra stycket personuppgiftslagen. I lagtiftningsärendet som ledde fram till polisdatalagen gjorde regeringen (prop. 1997/98:97 s. 108), liksom Registerutredningen tidigare hade gjort, den bedömningen att några särskilda regler utöver personuppgiftslagens regler om informationsskyldighet inte behövdes. Polisdatalagen innehåller därför inga särregler om information till registrerade.

9.9.2. Två ytterligare undantag från informationsskyldigheten behövs

Vi gör i likhet med Registerutredningen bedömningen att undantagsreglerna innebär att polisen i regel inte behöver lämna någon information. Nedan föreslår vi dessutom två ytterligare undantag som inskränker polisens informationsskyldighet. Mot bakgrund av de omfattande undantagen har vi övervägt om det alls finns anledning att ha kvar en principiell informationsskyldighet för polisen, i alla fall beträffande sådan information som skall lämnas självmant. Polisen

behandlar dock personuppgifter i ett stort antal system och i vissa av dessa system kan det förekomma behandlingar som omfattas, och även i fortsättningen, bör omfattas av en informationsskyldighet. Det tillkommer också kontinuerligt nya ärendehanteringssystem. Sammantaget finner vi att utgångspunkten även i fortsättningen bör vara att polisen skall lämna information om de behandlingar av personuppgifter som företas.

Vi anser alltså att två ytterligare undantag från informationsskyldigheten behövs. Om personuppgifterna har samlats in från någon annan källa än den registrerade, behöver som nämnts information inte lämnas i fall det finns bestämmelser om registrerandet i författning. Enligt vår mening saknas det anledning att i detta avseende göra skillnad mellan om uppgifterna samlas in från den enskilde eller från någon annan källa än den enskilde. Undantaget bör avse båda situationerna.

Det har visat sig svårt att i de nya behandlingarna i kommunikationscentralernas system (KC-systemet) uppfylla kraven på information. Särskilt uppstår det svårigheter att lämna information om behandling till den som ringer upp en kommunikationscentral i en akut situation där omedelbara insatser krävs.

Enligt vår mening är det inte rimligt att kräva att polisen skall vara skyldig att lämna information om behandlingen i den nyss nämnda situationen att en person ringer upp en kommunikationscentral i en akut situation. Bestämmelserna om undantag från informationsskyldigheten behöver därför kompletteras. Utöver undantagen i personuppgiftslagen bör den nya lagen innehålla en bestämmelse som föreskriver att information inte behöver lämnas om uppgifterna samlas in i samband med ett larm eller en annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige.

I sammanhanget förtjänar att nämnas att det även ifrågasatts om bestämmelserna är anpassade för behandlingen av personuppgifter i systemet DurTvå. Här gör vi bedömningen att de befintliga reglerna jämte de föreslagna ändringarna ovan, tillgodoser behovet av undantag från informationsskyldigheten. Regler om behandling av personuppgifter i förundersökning finns som nämnts i förundersökningskungörelsen. Vidare behöver information inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

9.9.3. Den registrerade – den enskilde

Som framgått anser vi att den nya lagen bör innehålla bestämmelser med samma innehåll som i 2327 §§personuppgiftslagen. Dessutom bör alltså den nya lagen innehålla ytterligare två undantag från informationsskyldigheten.

Personuppgiftslagen talar om information till registrerade. Ordet registrerade för tankarna till det i många sammanhang olämpliga begreppet register (jfr avsnitt 3.2). Vi anser därför att bestämmelserna i den nya lagen bör avse information till enskilda och inte till registrerade.

9.10. Rättelse

Bestämmelserna i 28 § personuppgiftslagen om rättelse bör även i fortsättningen gälla på polisområdet. Bestämmelserna bör dock avse den enskilde i stället för den registrerade.

I 28 § personuppgiftslagen finns bestämmelser om den enskildes rätt att på begäran få personuppgifter korrigerade och om den personuppgiftsansvariges skyldighet att underrätta tredje man, till vilken uppgifterna lämnats ut, om vidtagna korrigeringsåtgärder.

Den nya lagen för behandling av personuppgifter i polisens verksamhet bör innehålla en paragraf med samma bestämmelser om rättelse som i 28 § personuppgiftslagen. Av skäl som angetts i avsnitt 9.9.3 om information bör bestämmelserna avse enskilda och inte registrerade.

Bestämmelserna innebär alltså en skyldighet för polisen att korrigera bl.a. felaktiga uppgifter och att upplysa den som har fått del av en felaktig uppgift om rätta förhållandet. Om polisen har registrerat en person som misstänkt för ett visst brott, men misstanken under ett senare skede av utredningsarbetet inte längre visar sig hållbar, är den ursprungliga uppgiften dock inte felaktig i lagrummets mening. Det finns därför inte någon skyldighet för polisen att underrätta tredje man om att en person inte längre är misstänkt för brott eller, för att ta ett annat exempel, att den som dömts för ett brott efter överklagande har frikänts.

I övrigt hänvisas till vad som i avsnitt 9.2.3 sagts om personuppgifternas kvalitet och omfattning.

9.11. Säkerheten vid behandling

Bestämmelserna i 3032 §§personuppgiftslagen om säkerheten vid behandling bör liksom i dag gälla i polisens verksamhet. Regeln i 32 § om tillsynsmyndighetens rätt att besluta om säkerhetsåtgärder bör dock meddelas genom förordning.

Den nya lagen bör innehålla en bestämmelse som föreskriver att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till information om uppgifterna.

9.11.1. Säkerhetsåtgärder

I 3032 §§personuppgiftslagen finns regler om säkerheten vid behandling av personuppgifter. Enligt 30 § får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Det skall enligt samma lagrum också finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

Av 31 § personuppgiftslagen följer bl.a. att en personuppgiftsansvarig skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av – de tekniska möjligheter som finns, – vad det skulle kosta att genomföra åtgärderna, – de särskilda risker som finns med behandlingen av personuppgifterna, och – hur pass känsliga de behandlade personuppgifterna är.

Tillsynsmyndigheten, dvs. Datainspektionen, får enligt 32 § personuppgiftslagen i enskilda fall besluta om vilka säkerhetsåtgärder den personuppgiftsansvarige skall vidta.

Bestämmelserna i 3032 §§personuppgiftslagen om säkerheten vid behandling bör gälla också för polisen. I fråga om Datainspektionens rätt att besluta om säkerhetsåtgärder bör bestämmelserna dock meddelas i förordning och inte i lag. Skälen härför tar vi upp i anslutning till att vi diskuterar Datainspektionens befogenheter (avsnitt 9.16).

9.11.2. Direkt åtkomst till uppgifter

Med direktåtkomst inom en myndighetsorganisation avses att en person inom myndigheten via en direktuppkopplad terminal kan gå in och söka uppgifter från den egna myndigheten eller från annan myndighet inom myndighetsorganisationen (jfr SOU 1999:105 s. 259 ff.). Från integritetssynpunkt är det angeläget att åtkomsten inte är vidare än nödvändigt. Detta gäller i synnerhet vid direkt åtkomst där det, till skillnad från annan användning, saknas möjlighet för den personuppgiftsansvarige att kontrollera nyttjandet. Endast de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha direkt åtkomst till dem.

Inom polisen sker en omfattande behandling av personuppgifter med ett ofta mycket integritetskänsligt innehåll. Det är därför särskilt angeläget att uppgifterna som behandlas inom polisen begränsas till en snäv personkrets. Detta bör uttryckligt framgå i den nya lagen. I 7 och 9 §§polisdataförordningen finns bestämmelser som föreskriver att direkt åtkomst till uppgifter i särskilda undersökningar och i kriminalunderrättelseregister skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter måste ha tillgång till information om uppgifter i de särskilda undersökningarna respektive i kriminalunderrättelseregistren. Enligt vår mening bör det i den nya lagen finnas en motsvarande bestämmelse som omfattar samtliga personuppgifter som behandlas inom polisen.

Det kan i sammanhanget nämnas att en reglering i författning av tillhandahållande av personuppgifter avser det sätt på vilket uppgifterna får tillhandahållas och inte om uppgifterna får lämnas ut. En första förutsättning för att någon skall ha rätt att ta del av personuppgifter inom polisen är således att uppgifterna inte är sekretessbelagda i förhållande till den som vill ta del av dem. En regel om direkt åtkomst bryter alltså inte reglerna om sekretess. Om ett utlämnande av personuppgifter till en annan myndighet kan ske, blir det aktuellt för den personuppgiftsansvarige att med beaktande av lagens bestämmelser om direktåtkomst och utlämnande på medium för automatiserad behandling ta ställning till på vilket sätt uppgifterna skall tillhandahållas. I vårt förslag till ny polisdataförordning föreslår vi vissa regler om direkt åtkomst till uppgifter ur det allmänna spaningsregistret och ur register med DNA-analyser i brottmål (se avsnitt 11.3.5 och 12.2.1).

9.12. Förhållandet till offentlighetsprincipen

Bestämmelsen i 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen bör liksom i dag gälla för polisen.

I 2 kap. tryckfrihetsförordningen finns de grundläggande bestämmelserna om offentlighetsprincipen. I 1 § sägs sålunda att varje svensk medborgare har rätt att ta del av allmänna handlingar. Denna rätt får enligt 2 § begränsas endast om det är påkallat av vissa uppräknade speciella intressen, bl.a. intresset av att förebygga eller beivra brott och skyddet för enskilds personliga eller ekonomiska förhållanden. Begränsningar i rätten att ta del av allmänna handlingar skall noga anges i en särskild lag eller annan lag som den särskilda lagen hänvisar till. Den särskilda lag som åsyftas är sekretesslagen.

I 8 § personuppgiftslagen finns en bestämmelse om förhållandet till offentlighetsprincipen. Det sägs i första stycket att bestämmelserna i personuppgiftslagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. I lagrummets andra stycke sägs att bestämmelserna i personuppgiftslagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsens förhållande till regeln om gallring i 9 § första stycket personuppgiftslagen har berörts i avsnitt 9.2.4.

Offentlighetsprincipen som den regleras i tryckfrihetsförordningen gäller naturligtvis även för polisen. Vi anser dock att det ligger ett värde i att den nya lagen innehåller en upplysning som tydligt anger att offentlighetsprincipen gäller även i polisens verksamhet. En bestämmelse med samma sakliga innehåll som i 8 § personuppgiftslagen bör därför ingå i den nya polisdatalagen.

9.13. Utlämnande av uppgifter

Bestämmelserna i 68 §§polisdatalagen och 1516 §§polisdataförordningen om utlämnande av uppgifter bör vara kvar även i en ny lag respektive ny förordning om polisens verksamhet.

Begränsningar i rätten att ta del av allmänna handlingar finns som nämnts i sekretesslagen. Inom polisens verksamhet hanteras stora mängder information som omfattas av sekretess. I sekretesslagen finns

dock bestämmelser som innebär att uppgifter utan hinder av sekretessen får lämnas ut enligt vad som föreskrivs i polisdatalagen. Bestämmelserna härom finns i 5 kap. 7 §, 7 kap. 41 § och 9 kap. 17 §sekretesslagen.

Polisdatalagen innehåller i anslutning härtill regler som innebär att uppgifter utan sekretessprövning får lämnas ut till den myndighet som ansvarar för rättsstatistiken och till en utländsk myndighet eller en mellanfolklig organisation om detta följer av en internationell överenskommelse (6–7 §§). Dessutom föreskrivs i 8 § polisdatalagen att regeringen får meddela föreskrifter om att uppgifter får lämnas ut även i andra fall än som sägs i 6 och 7 §§. Dessa bestämmelser bör finnas med även i den nya lagen. Med anledning härav måste också hänvisningarna i sekretesslagen ändras till att avse den nya lagen.

Med stöd av bemyndigandet i 8 § polisdatalagen har regeringen i 1516 §§polisdataförordningen meddelat vissa regler om utlämnande av uppgifter. Dessa regler bör ingå i en ny polisdataförordning.

9.14. Anmälan till tillsynsmyndigheten

Bestämmelserna i 3641 §§personuppgiftslagen och 3–7 §§ personuppgiftsförordningen om anmälan till tillsynsmyndigheten och personuppgiftsombudets uppgifter, i 13 § personuppgiftsförordningen om bemyndiganden, i 2 § polisdataförordningen om förhandskontroll, och i 14 § polisdataförordningen om underrättelseskyldighet bör gälla även i fortsättningen för polisen. Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmälan därför inte behöver göras, bör anmälan i stället göras till personuppgiftsombudet. En ny lag för polisen bör innehålla en bestämmelse härom.

9.14.1. Anmälningsskyldigheten

Enligt 36 § personuppgiftslagen har den personuppgiftsansvarige en principiell skyldighet att anmäla alla helt eller delvis automatiserade behandlingar till tillsynsmyndigheten, alltså Datainspektionen. Den personuppgiftsansvarige har också möjlighet att tillsätta ett särskilt personuppgiftsombud. När en anmälan om att ett sådant ombud tillsatts har gjorts till Datainspektionen, behöver anmälningar om behandlingar enligt 37 § personuppgiftslagen inte längre göras. Med stöd av ett bemyndigande i tredje stycket av nämnda lagrum har regeringen dess-

utom i 3–6 §§ personuppgiftsförordningen meddelat vissa ytterligare undantag från anmälningsskyldigheten. Undantagen gäller alltså även för det fall att personuppgiftsombud inte tillsatts. Undantagen föreskriver bl.a. att anmälningsskyldigheten inte gäller behandling i löpande text.

Vi anser att de regler som vi nyss redogjort för bör gälla även på polisområdet.

Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmälan till Datainspektionen därför inte behöver göras, skall anmälan i stället göras till personuppgiftsombudet. Enligt förarbetena till polisdatalagen är detta tanken med den nuvarande regleringen (prop. 1997/98:97 s. 56). Skyldigheten att i den angivna situationen göra anmälan till personuppgiftsombudet bör dock enligt vår mening framgå direkt av lagtexten i den nya lagen.

I 41 § personuppgiftslagen finns ett bemyndigande till regeringen att meddela föreskrifter om att sådana automatiserade behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall förhandsanmälas till tillsynsmyndigheten. Regeringen har i 2 § polisdataförordningen meddelat bestämmelser om förhandskontroll. Enligt den paragrafen skall automatiserad behandling av personuppgifter som ger upplysning om att en person är dömd eller misstänkt för brott med vissa angivna undantag anmälas för förhandskontroll till Datainspektionen tre veckor i förväg.

De angivna bestämmelserna i 41 § personuppgiftslagen och i 2 § polisdataförordningen bör gälla för polisen även i fortsättningen.

Polisdataförordningen innehåller också bestämmelser som innebär att Justitiekanslern och en domstol som förordnar om beslag på skrift på vilken tryckfrihetsförordningen skall tillämpas eller på en film eller annan upptagning av ljud eller bilder på vilken yttrandefrihetsgrundlagen skall tillämpas skall underrätta Rikspolisstyrelsen om beslutet (14 §).

I 13 § personuppgiftsförordningen bemyndigas Datainspektionen att i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter i vissa ämnen.

Vi anser att bestämmelserna i 14 § polisdataförordningen och 13 § personuppgiftsförordningen bör gälla också i fortsättningen och att de därför bör finnas med i en ny polisdataförordning.

9.14.2. Personuppgiftsombudets uppgifter

I 38–40 §§ finns bestämmelser om personuppgiftsombudets uppgifter. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för denne. Personuppgiftsombudet skall dessutom föra en förteckning över de behandlingar som utförs av den personuppgiftsansvarige och som omfattas av anmälningsskyldighet till tillsynsmyndigheten eller till personuppgiftsombudet. Vidare skall personuppgiftsombudet hjälpa enskilda att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Polisdatalagen innehåller inga särbestämmelser om personuppgiftsombudets uppgifter. De angivna bestämmelserna gäller därför på polisområdet. Enligt vår mening saknas det anledning att ändra reglerna om personuppgiftsombudets uppgifter.

9.15. Upplysningar till allmänheten om behandlingar som inte anmälts

Bestämmelsen i 42 § personuppgiftslagen om upplysningar till allmänheten om behandlingar som inte anmälts bör gälla för polisen.

I 42 § personuppgiftslagen finns en bestämmelse som föreskriver att den personuppgiftsansvarige är skyldig att till var och en som begär det lämna upplysningar om behandlingar av personuppgifter som inte anmälts till tillsynsmyndigheten. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Polisdatalagen innehåller ingen särbestämmelse i förhållande till 42 § personuppgiftslagen. Vi anser att bestämmelsen liksom i dag bör gälla på polisområdet.

9.16. Datainspektionens befogenheter

Bestämmelserna i 4347 §§personuppgiftslagen och i 2 § personuppgiftsförordningen bör gälla på polisområdet. Bestämmelserna bör dock meddelas i förordning.

Personuppgiftslagen innehåller vissa bestämmelser om tillsynsmyndighetens befogenheter (se 32 och 43–47 §§). Tillsynsmyndigheten kan bl.a. meddela beslut om skyddsåtgärder i enskilda fall. Tillsynsmyndigheten har också vissa möjligheter att förelägga vite. Enligt 2 § personuppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen.

Polisdatalagen innehåller inga särskilda bestämmelser om tillsynsmyndighetens befogenheter och bestämmelserna i personuppgiftslagen gäller därför även för polisen. Vi anser att det inte finns skäl att ändra det förhållandet.

Vårt förslag till ny lag för polisens verksamhet avser till skillnad från personuppgiftslagen bara polisens verksamhet. Mot den bakgrunden anser vi att det är tillräckligt att bestämmelserna om Datainspektionens befogenheter meddelas i förordning. Det saknas därvid anledning att i författningstexten tala om tillsynsmyndigheten utan bestämmelserna bör avse Datainspektionen. Det kan här inflikas att även Registernämndens tillsynsverksamhet regleras i förordning, nämligen i förordningen (1996:730) med instruktion för Registernämnden.

9.17. Skadestånd

Bestämmelserna i 48 § personuppgiftslagen och i 9 § polisdatalagen om skadestånd bör gälla för polisen också i fortsättningen. Skadeståndsregeln bör dock avse enskilda och inte registrerade.

Personuppgiftslagen innehåller en bestämmelse som säger att den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat (48 §). Enligt andra stycket av lagrummet kan ersättningsskyldigheten i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. I 9 § andra stycket polisdatalagen finns en bestämmelse som innebär att regeln om jämkning inte gäller vid behandling av personuppgifter enligt konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.

Vi finner inte anledning att införa några ändrade bestämmelser för polisen om skadestånd jämfört med vad som gäller i dag. Liksom när det gäller bestämmelserna om information och om rättelse bör reglerna dock avse enskilda och inte registrerade.

9.18. Straff

Någon straffbestämmelse motsvarande 49 § personuppgiftslagen behövs inte i den nya lagen.

I 49 § personuppgiftslagen finns en bestämmelse om straff för vissa överträdelser av personuppgiftslagen. Lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem innehåller inga straffbestämmelser. Enligt regeringen torde det inte bli aktuellt att tillämpa straffbestämmelsen i personuppgiftslagen mot polisen (prop. 1997/98:97 s. 109). Den som uppsåtligen eller av oaktsamhet gör sig skyldig till överträdelser av bestämmelserna i den nya lagen kan ådra sig ansvar för tjänstefel enligt 20 kap. 1 § brottsbalken. Vi bedömer att någon straffbestämmelse motsvarande 49 § personuppgiftslagen inte behövs för polisens del.

9.19. Överklagande

Bestämmelserna i 51 § personuppgiftslagen om överklagande bör i sak gälla för polisen också i fortsättningen. Dessutom bör det i en ny lag föreskrivas att en myndighets beslut om rättelse och om information som skall lämnas efter ansökan skall överklagas hos kammarrätten.

I 51 § personuppgiftslagen finns bestämmelser om överklagande samt en bestämmelse enligt vilken tillsynsmyndigheten, dvs. Datainspektionen, kan bestämma att dess beslut skall gälla omedelbart, dvs. utan hinder av att det överklagas. Första stycket i lagrummet innebär att Datainspektionens beslut enligt personuppgiftslagen får överklagas om annat än föreskrifter till länsrätt. Med föreskrifter avses generella föreskrifter, vilket innebär att tillsynsmyndighetens normgivningsbeslut inte omfattas av denna bestämmelse om överklagande till länsrätt.

Vi finner inte anledning att ändra vad som enligt 51 § personuppgiftslagen gäller för polisen i dag. Regeln i den nya lagen måste dock anpassas till att reglerna om Datainspektionens befogenheter i vårt förslag meddelas genom förordning.

När det gäller enskildas rätt att överklaga beslut om behandling av personuppgifter gäller de allmänna bestämmelserna om överklagande i förvaltningslagen (1986:223). Enligt 22 § förvaltningslagen får ett beslut överklagas av den som beslutet angår, om det gått honom eller

henne emot och beslutet kan överklagas. För att ha rätt att överklaga ett beslut krävs det således bl.a. saklegitimation hos klaganden, dvs. att han eller hon har ett sådant intresse i saken som berättigar honom eller henne att överklaga. Vem som har klagorätt och vad som krävs för att ett beslut skall sägas ha gått någon emot får avgöras med hänsyn till omständigheterna i det enskilda fallet. Om klagorätt föreligger skall överklagandet enligt 22 a § förvaltningslagen göras till allmän förvaltningsdomstol, dvs. till länsrätt.

Beslut angående behandling av personuppgifter som direkt berör den enskilde kan alltså överklagas. En polismyndighets beslut kan avse avslag på en ansökan om information om pågående behandlingar av personuppgifter eller en ansökan om rättelse. Överklagande bör vara möjligt i bägge fallen. Sådana beslut, särskilt beslut om avslag på ansökningar om information, innefattar ofta prövning av sekretessfrågor och har därför ett nära samband med myndigheters beslut om avslag på ansökningar om utlämnande av handlingar enligt sekretesslagen. En polismyndighets beslut att avslå en ansökan om utlämning av handling överklagas enligt 15 kap. 7 § första stycket sekretesslagen till kammarrätten. Det är därför naturligt att även beslut om rättelse och om information som skall lämnas efter ansökan överklagas till kammarrätten och inte till länsrätten. Vi finner att en regel härom bör införas i den nya lagen. Enligt 10 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten skall visserligen beslut om information och rättelse enligt den lagen överklagas till länsrätten. Med hänsyn till vad vi nyss anfört om det nära sambandet mellan frågor om sekretess och om information anser vi trots detta att aktuella beslut bör överklagas till kammarrätten.

Eventuella övriga beslut som berör enskilda och som därför ger rätt att överklaga bör enligt regeln i 22 a § förvaltningslagen överklagas till länsrätten.

10. Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

10.1. En författningsreglering som ger polisen möjlighet att arbeta brottsförebyggande

Vid utformningen av en lag om behandling av personuppgifter i polisens verksamhet måste beaktas att polisens arbete skall vara inriktat främst på brottsförebyggande verksamhet.

I avsnitt 4.2 har vi belyst den nya inriktningen av polisens verksamhet, vilken i stort går ut på att polisen skall arbeta brottsförebyggande. Regeringen har nyligen uttalat att det brottsförebyggande arbetet skall breddas och fördjupas samt att arbetet för att öka kunskapen om brottsförebyggande åtgärder skall fortsätta. Mot denna bakgrund är det nödvändigt att en reglering av polisens rätt att behandla personuppgifter automatiserat ger polisen möjligheter att arbeta brottsförebyggande. Samtidigt måste lagregleringen naturligtvis ta hänsyn till intresset av skydd för den enskildes personliga integritet.

Det kan i detta sammanhang också sägas att all den brottsbekämpande verksamhet som sker i andra former än inom ramen för förundersökningar inte självklart kan beskrivas som brottsförebyggande. Inom polisen talar man t.ex. även om brottsavslöjande verksamhet och om brottsupptäckande verksamhet. Även andra begrepp förekommer. Det föreligger dock ingen klar skillnad mellan de olika begreppen, utan verksamheterna som avses sammanfaller helt eller delvis. Gemensamt för verksamheterna är dock att de inte är inriktade på sådant utredningsarbete som bedrivs i en förundersökning, dvs. utredning av en speciell händelse eller gärning som utgör brott.

Som framgått i avsnitt 4.2 krävs det för ett framgångsrikt brottsförebyggande arbete att polisen får rätt att i viss mån behandla uppgifter om personer som inte är misstänkta för att ha begått något konkret brott, men väl för att utöva brottslig verksamhet. Här bör framhållas skillnaden mellan brott och brottslig verksamhet. Med misstanke om brott avses en misstanke om att någon begått en specifik och individualiserad gärning som utgör brott, inte bara en misstanke om att vederbörande utövat eller utövar brottslig verksamhet som inte kunnat preciseras till en viss gärning. När vi i vårt förslag till ny polisdatalag talar om brott avser vi alltid konkreta brott och inte brottslig verksamhet. Konkret brott är det begrepp som används när man vill betona skillnaden mellan brott och brottslig verksamhet. Språkbruket överensstämmer också med det som används i lagstiftningen i övrigt. Ett exempel är bestämmelsen i 23 kap 1 § rättegångsbalken, vilken innebär att förundersökning skall inledas om det finns anledning att anta att ett brott (dvs. konkret brott) har begåtts.

Det ligger i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt. Bristen på samband med ett konkret brott kan leda till en vidlyftig registrering av personuppgifter. I polisdatalagen utgör reglerna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister resultatet av en avvägning mellan intressena av effektivitet i brottsbekämpningen och av skydd för den enskildes personliga integritet. Närmast diskuterar vi reglerna härom.

10.2. Kriminalunderrättelseverksamhet och kriminalunderrättelseregister

10.2.1. Begreppet kriminalunderrättelseverksamhet

Registerutredningens synpunkter

Begreppet kriminalunderrättelseverksamhet är inte definierat i någon annan lag än polisdatalagen. I Registerutredningens delbetänkande Kriminalunderrättelseregister, DNA-register (SOU 1996:35) behandlas begreppet kriminalunderrättelseverksamhet ingående, se s. 35 ff. i betänkandet. Utredningen konstaterar att denna verksamhet har behandlats i olika sammanhang och att olika aspekter på verksamheten därvid lyfts fram och getts särskilda beteckningar. Sammanfattningsvis sägs i betänkandet att underrättelseverksamhet bedrivs för att identifiera och karaktärsbestämma hot mot allmän ordning och säkerhet. Den kan också syfta till att ge underlag för beslut att inleda

förundersökning eller att vidta åtgärder för att förebygga eller förhindra brott. Verksamheten har getts olika benämningar. Som ett samlande begrepp använder Registerutredningen uttrycket kriminalunderrättelseverksamhet.

Registerutredningen introducerar också termen kriminalunderrättelseregister, som används i polisdatalagen. Denna term används av utredningen som benämning för datoriserade personregister som inte har någon anknytning till ett visst brott (anfört betänkande s. 38)

Registerutredningen föreslog en definition av begreppet underrättelseverksamhet enligt följande. Med underrättelseverksamhet avses i denna lag polisverksamhet som syftar till att klarlägga om brottslig verksamhet har förekommit, pågår eller kan förutses och inte utgör förundersökning enligt 23 kap. rättegångsbalken.

Synpunkter i propositionen till polisdatalagen

I prop. 1997/98:97 s. 115 ges en beskrivning av vad som avses med begreppet kriminalunderrättelseverksamhet. Det konstateras i propositionen att polisens verksamhet för att förebygga, upptäcka och beivra brott kan bedrivas inom ramen för en förundersökning enligt rättegångsbalkens regler, men att den också kan utgöra verksamhet som faller utanför en förundersökning. Den verksamhet som förekommer hos polisen innan förundersökning inleds brukar enligt propositionen benämnas kriminalunderrättelseverksamhet eller förspaning. Verksamheten innebär enligt propositionen i korthet att polisen samlar in och bearbetar uppgifter om personer som kan antas ägna sig åt brottslig verksamhet utan att det finns misstanke om något konkret brott.

Den i propositionen föreslagna och av riksdagen antagna definitionen i 3 § polisdatalagen på underrättelseverksamhet lyder som följer. Med underrättelseverksamhet avses polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Kriminalunderrättelseverksamhet definieras i polisdatalagen som annan underrättelseverksamhet än den som bedrivs av Säkerhetspolisen. Definitionen av underrättelseverksamhet har enligt propositionen (se s. 118) sin förebild i lagen om register i Tullverkets brottsbekämpande verksamhet.

10.2.2. Polisdatalagens reglering i huvuddrag

Behandling av personuppgifter i sådan verksamhet som i polisdatalagen kallas kriminalunderrättelseverksamhet får enligt lagen ske endast i särskilda undersökningar eller i kriminalunderrättelseregister. Med begreppet särskild undersökning avses i lagen en undersökning i kriminalunderrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott.

Personuppgifter får behandlas i en särskild undersökning som inletts av Rikspolisstyrelsen eller en polismyndighet endast om det finns anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Med allvarlig brottslig verksamhet menas i lagen verksamhet som innefattar brott för vilket fängelse i två år eller däröver är föreskrivet. Uppgifter om en enskild person som det inte finns misstanke mot skall förses med en upplysning om detta förhållande. Rikspolisstyrelsens eller polismyndighetens beslut att inleda en särskild undersökning skall innehålla uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i de registrerades personliga integritet. Det gäller särskilda regler om gallring av uppgifter i en särskild undersökning.

Personuppgifter får också behandlas i kriminalunderrättelseregister. Sådana register får föras endast för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet eller för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Ett kriminalunderrättelseregister får innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den brottsliga verksamheten. Vidare får registren bara innehålla vissa särskilt angivna kategorier av uppgifter. Slutligen finns det särskilda regler om gallring av uppgifter ur registren.

10.2.3. Tillämpningssvårigheter med regleringen i polisdatalagen

Oklarheter i definitionen av kriminalunderrättelseverksamhet

Enligt definitionen i 3 § polisdatalagen är kriminalunderrättelseverksamhet sådan polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Säkerhetspolisens verksamhet omfattas inte av begreppet kriminalunderrättelseverksamhet.

Det förefaller mycket svårt att upprätthålla någon klar gräns mellan de tre begreppen, samla, bearbeta och analysera. Framför allt verkar det svårt att göra skillnad mellan bearbetning av uppgifter och analys av uppgifter. Begreppen framstår snarast som exemplifieringar på vilken typ av polisverksamhet som avses.

Från integritetssynpunkt kan det också ifrågasättas varför skyddet enligt reglerna om behandling av personuppgifter i kriminalunderrättelseverksamhet skall träda in först när aktuella uppgifter analyseras. Det verkar mer naturligt att tillämpa de särskilda skyddsreglerna från det att uppgifterna samlas in.

Sammantaget ligger det nära till hands att uppfatta definitionen av kriminalunderrättelseverksamhet i 3 § polisdatalagen så att kriminalunderrättelseverksamhet är polisverksamhet som består i att samla, bearbeta eller analysera information för det ändamål som anges i lagrummet. Datainspektionen har också gett uttryck för uppfattningen att definitionen bör tolkas på det sättet (jfr avsnitt 5.8.2 om systemet DocPol) En sådan tolkning medför dock att begreppet kriminalunderrättelseverksamhet får en mycket vid innebörd.

Definitionen av kriminalunderrättelseverksamhet har en vid innebörd

Registerutredningens betänkande innehåller en beskrivning av de då befintliga underrättelseregistren, nämligen Säkerhetspolisens register och Finanspolisens analys- och spaningsregister.

Vilka system kan i dag sägas innefatta behandling av personuppgifter i kriminalunderrättelseverksamhet eller utgöra kriminalunderrättelseregister? Kriminalunderrättelseregistret (KUR) och Finanspolisens analys- och spaningsregister får anses vara kriminalunderrättelseregister. Det har även diskuterats om det allmänna spaningsregistret (ASP) bör ses som ett sådant register (jfr SOU 1996:35

s. 60 ff. och s. 100 f.). Frågan är vilka övriga system som kan anses innefatta kriminalunderrättelseverksamhet i polisdatalagens mening.

Systemet rationell anmälningsrutin (RAR) utgör ett system som inrättats för att polisen på ett rationellt sätt skall kunna hantera inkommande brottsanmälningar. Systemet har beskrivits i avsnitt 3.7.2. Ändamålet som Datainspektionen fastställt kan inte sägas innefatta kriminalunderrättelseverksamhet så som denna verksamhet definieras i 3 § polisdatalagen. Bestämmelserna i polisdatalagen om kriminalunderrättelseverksamhet och kriminalunderrättelseregister borde då inte vara tillämpliga på behandlingen i RAR.

Det finns emellertid omständigheter som komplicerar läget. Vad händer om polisen i kriminalunderrättelseverksamhet behandlar personuppgifter som hämtats från RAR. Uppgifter i en särskild undersökning kan t.ex. ha hämtats från RAR. Skall redan insamlingen av personuppgifter till RAR då ses som kriminalunderrättelseverksamhet, eftersom ett ändamål med denna insamling är att uppgifterna senare kan komma att behandlas i kriminalunderrättelseverksamhet? Motsvarande situationer kan inträffa vid behandlingar i DurTvå, i ViCLAS eller i KC-systemet. Även andra system kan tänkas bli berörda. En sådan tolkning av begreppet kriminalunderrättelseverksamhet som här skisserats skulle få stora verkningar på polisens möjligheter att automatiserat behandla personuppgifter. En stor del av polisens system, kanske den övervägande delen, skulle med den tolkningen behöva anpassas till reglerna om kriminalunderrättelseverksamhet eller om kriminalunderrättelseregister. När det gäller ViCLAS kan även hänvisas till en skrivelse som Datainspektionen överlämnat till regeringen. Regeringen har överlämnat skrivelsen till Polisdatautredningen, se bilaga 2 till betänkandet.

Med hänsyn till Datainspektionens bedömning förefaller i vart fall en behandling av personuppgifter i enlighet med de ansökningar som gjorts om KUT-Info (se avsnitt 4.4) och om DocPol (se avsnitt 5.8) stå i strid med reglerna om kriminalunderrättelseverksamhet i polisdatalagen. När det gäller DocPol är det uppenbart att ett sådant system behövs för att polisen skall kunna klara åtagandena i det internationella polissamarbetet enligt de konventioner som Sverige ingått. Detta gäller inte minst samarbetet inom Europol.

10.3. En särskilda reglering om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

En lag om behandling av personuppgifter bör handla om just behandling av personuppgifter och inte vara inriktad på att reglera vissa verksamheter eller arbetsmetoder hos polisen. Bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister bör bl.a. av det skälet inte vara kvar i en ny polisdatalag. Bestämmelserna härom bör i stället ersättas av bestämmelser om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot.

Som framgått ovan är polisdatalagens systematik med en reglering av kriminalunderrättelseverksamhet och i anslutning härtill av kriminalunderrättelseregister ägnad att ge upphov till tillämpningssvårigheter. Definitionen saknar precision på så sätt att den täcker även sådan behandling av personuppgifter som rimligen inte är så känslig att den behöver regleras särskilt. Härigenom har regleringen kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande.

De frågor som är förknippade med polisdatalagens bestämmelser om kriminalunderrättelseverksamhet och kriminalunderrättelseregister har utgjort en mycket viktig del av utredningsuppdraget. En betydande del av vårt arbete har därför bestått i att överväga ändringar av denna reglering. Till att börja med har vi därvid naturligtvis bedömt alternativet att behålla den nuvarande definitionen oförändrad. På grund av vad som anförts ovan har vi emellertid förkastat det alternativet. Vi har även övervägt flera olika ändringar av definitionen, men inte kunnat finna någon annan lydelse som avhjälper de angivna bristerna.

Under utredningens gång har vi därför kommit att ifrågasätta det lämpliga i att använda begreppet kriminalunderrättelseverksamhet i en lag om behandling av personuppgifter. I den allmänna debatten har gjorts uttalanden om att det finns ett behov av en tydligare lagreglering av polisens arbetsmetoder, informationsinhämtning och befogenheter i övrigt. Det har hävdats att det i dag är oklart vilka befogenheter polisen har t.ex. i det brottsförebyggande arbetet. Vi delar uppfattningen att det kan finnas ett behov av en sådan lagstiftning. Eventuella regler om kriminalunderrättelseverksamhet bör då meddelas i denna lagstiftning. Reglerna hör i vart fall inte hemma i en lag som handlar om behandling

av personuppgifter. En sådan lag bör handla om just behandling av personuppgifter och inte vara inriktad på att reglera vissa verksamheter, arbetsmetoder eller arbetsformer hos polisen.

Som framgår av den nordiska jämförelsen (kapitel 6) har inget av länderna som omfattas av jämförelsen några särskilda regler om behandling av personuppgifter i kriminalunderrättelseverksamhet.

Vår slutsats av det anförda är att en ny polisdatalag inte bör innehålla bestämmelser om kriminalunderrättelseverksamhet och inte heller om kriminalunderrättelseregister. Vi övergår i stället till att diskutera hur en alternativ reglering bör vara utformad.

Ett övergripande syfte med den särskilda regleringen i polisdatalagen av kriminalunderrättelseverksamhet och kriminalunderrättelseregister är att reglera polisens rätt att behandla uppgifter om personer som det inte finns någon misstanke om brott mot.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot kan utgöra en mycket känslig form av behandling. Det kan därvid även påpekas att uppgifterna på grund av samarbetet inom Europol kan få stor internationell spridning. Som framgått tidigare (se avsnitt 4.2.4) är det dock av hänsyn till det brottsförebyggande arbetet nödvändigt att polisen ibland samlar in uppgifter om misstankar mot enskilda personer, även om misstankarna inte kunnat preciseras till att avse en viss specifik händelse eller gärning. Från integritetssynpunkt bör dock polisens rätt att behandla dessa uppgifter vara noggrant reglerad. Vi anser därför att det i en ny polisdatalag bör införas särskilda regler om denna behandling och att dessa regler bör ersätta bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister i den nu gällande polisdatalagen.

I nästa avsnitt diskuteras närmare om hur utformningen av den nya regleringen bör vara beskaffad.

10.4. Utformning av regler om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

10.4.1. Den nya regleringen i huvuddrag

Möjligheterna för polisen att behandla personuppgifter automatiserat bör i viss mån utvidgas.

Vi anser alltså att det i en ny polisdatalag bör införas regler om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot. Dessa bestämmelser bör ersätta den nuvarande regleringen av kriminalunderrättelseverksamhet och kriminalunderrättelseregister.

De personuppgifter som kommer att omfattas av de aktuella reglerna är först och främst sådana som avser personer som inte är misstänkta för något konkret brott, men väl för att ha utövat eller utöva brottslig verksamhet. Uppgifterna kan dock även avse personer som lämnat uppgifter om iakttagelser m.m. utan att själva vara misstänkta. Eftersom behandlingen inte har samband med konkreta brott kommer notering av personuppgifter rörande målsägande inte att förekomma.

En konsekvens av att reglerna om kriminalunderrättelseverksamhet försvinner och ersätts av här aktuella regler blir att polisen får större möjligheter än i dag att behandla personuppgifter automatiserat. De nya reglerna ger t.ex. större möjlighet att behandla uppgifter på intranät genom KUT-Info och i DocPol. Även sådan behandling av personuppgifter som systemet (ViCLAS) representerar kan antas bli påverkad av den reglering vi här föreslår. Reglerna torde även innebära en viss utvidgning i andra avseenden. Med hänsyn till att polisen förväntas arbeta problemorienterat och brottsförebyggande anser vi dock att denna utvidgning är klart befogad. Som vi kunnat konstatera kom den tidigare regleringen om kriminalunderrättelseverksamhet också att omfatta behandlingar som inte är så känsliga att de behöver regleras särskilt i lagstiftningen.

När det gäller integritetsaspekten visar den nordiska jämförelsen att det i Danmarks, Finlands och Norges lagstiftningar inte finns hinder mot att behandla personuppgifter på här aktuellt sätt. Inte heller står den aktuella behandlingen på något sätt i strid med bestämmelserna i Europolkonventionen eller i rekommendationen från Europarådet om användning av personuppgifter inom polissektorn.

Vi föreslår att det i en ny lag införs regler om ändamål för behandling av ifrågavarande uppgifter, om att uppgifterna skall förses med upplysningar om uppgiftslämnarens trovärdighet, om att den personuppgiftsansvarige skall besluta de villkor som behövs för att skydda enskildas personliga integritet och om gallring. Vid behandling av ifrågavarande uppgifter gäller naturligtvis även de grundläggande bestämmelserna om behandling av personuppgifter. Sistnämnda bestämmelser innebär bl.a. att aktuella uppgifter bara får behandlas om behandlingen är nödvändig för att den egentliga polisverksamheten skall kunna utföras, att behandling bara får ske för vissa preciserade och berättigade ändamål och att uppgifterna skall gallras när de inte behövs för ändamålet med behandlingen. Andra regler i vårt förslag som får anses ha särskild betydelse är de som handlar om säkerheten vid behandling. Den personuppgiftsansvarige måste enligt dessa regler vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Direkt åtkomst till aktuella personuppgifter skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till sådana uppgifter.

10.4.2. Övergripande syften

Uppgifter om en enskild person som det inte finns någon misstanke om brott mot bör få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Bestämmelserna om behandlingen av personuppgifter bör inte gälla personuppgifter – i en förundersökning, eller – i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Det övergripande syftet med behandlingen av personuppgifter bör vara att bearbeta och analysera inhämtat material för att få fram så mycket information att det finns tillräckligt underlag för att kunna besluta om särskilda åtgärder för att förebygga eller förhindra brott. Det bör också vara möjligt att behandla uppgifterna för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas. Vi föreslår därför att det i den nya lagen införs en bestämmelse som anger att aktuella personuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet.

För att registreringen inte skall bli för vidlyftig anser vi att behandlingen bara skall få anknyta till brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Den föreslagna bestämmelsen om syften är allmänt hållen. Avsikten med bestämmelsen är dock att ange en yttersta gräns inom vilken uppgifterna får behandlas. Det ligger i sakens natur att en sådan bestämmelse måste formuleras ganska generellt. Den här föreslagna bestämmelsen kompletteras också av andra regler som syftar till att skydda den enskildes personliga integritet. Bl.a. föreslår vi en lagregel som innebär att den personuppgiftsansvarige skall besluta särskilda ändamålsbestämmelser som preciserar de nyss angivna övergripande syftena med behandlingen (se avsnitt 10.4.6).

Reglerna om behandling av aktuella personuppgifter bör inte avse uppgifter i en förundersökning. I en sådan undersökning utreds misstankar om konkreta brott. Förfarandet är reglerat i rättegångsbalken och i förundersökningskungörelsen. Av samma skäl bör regleringen inte omfatta uppgifter i ett så kallat förenklat utredningsförfarande enligt 23 kap. 22 § rättegångsbalken. Inte heller bör regleringen omfatta uppgifter i en brottsutredning som handläggs enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. Sistnämnda lagrum handlar om brottsutredningar i vilka den misstänkte gärningsmannen inte fyllt femton år vid tidpunkten för brottet.

10.4.3. Personuppgifter som får behandlas

Alla uppgifter som är nödvändiga för ändamålet med behandlingen bör få behandlas. Om uppgifter om en person som det inte finns någon misstanke mot behandlas bör uppgiften förses med en anteckning om detta förhållande.

Det följer av de allmänna bestämmelser som vi föreslår att personuppgifter endast får samlas in för särskilt angivna och berättigade ändamål och att uppgifterna inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Ytterligare bestämmelser om vilka personuppgifter som får behandlas bör enligt vår mening inte införas.

De aktuella bestämmelserna omfattar både personer som är misstänkta för brottslighet och personer som inte är det. På något sätt bör man försöka skilja dessa grupper åt. Vi anser att uppgifter om personer som själva inte är misstänkta för brottslighet bör förses med en anteckning om att de inte är misstänkta. På så sätt kan det integritets-

intrång som behandlingen innebär för en icke misstänkt person begränsas utan att ändamålet med behandlingen går förlorat. En sådan bestämmelse har också en motsvarighet i gällande regler om kriminalunderrättelseverksamhet, se 14 § andra stycket polisdatalagen.

10.4.4. Upplysningar om uppgiftslämnarens trovärdighet

Vid aktuell behandling av personuppgifter bör uppgifterna förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

I artikel 3.2 i Europarådets rekommendation om användning av personuppgifter inom polisen anges att olika kategorier av uppgifter så långt det är möjligt skall särskiljas (se avsnitt 2.2.5). Hänsyn skall därvid tas till uppgifternas riktighet och tillförlitlighet. Det är enligt rekommendationen särskilt viktigt att skilja mellan uppgifter som grundas på fakta och uppgifter som grundas på åsikter eller personliga värderingar. Av kommentaren till artikel 3.2 framgår att man bör skilja på bekräftade och obekräftade uppgifter, mellan fakta och åsikter, mellan pålitlig information och information som grundas på gissningar samt mellan fall då antagandet om informationens riktighet grundar sig på konkreta skäl och fall då det inte finns sakskäl till stöd för ett sådant antagande.

Registerutredningen föreslog därför att det i polisdatalagen skulle tas in en bestämmelse om att personuppgifter som behandlas skulle förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Upplysningsskyldigheten skulle enligt förslaget omfatta all behandling av personuppgifter enligt polisdatalagen, utom i fall då upplysningarna saknade betydelse för syftet med behandlingen (SOU 1997:65 s. 207 f.).

Regeringen ansåg dock att det inte var befogat att införa någon sådan bestämmelse i lagen (prop. 1997/98:97 s. 105). Därvid anförde regeringen att det genom övriga bestämmelser i lagstiftningen förelåg en tillräcklig uppdelning. Bl.a. hänvisade regeringen till de särskilda reglerna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister.

I vårt förslag till ny polisdatalag har bestämmelserna om kriminalunderrättelseverksamhet utgått. Mot den bakgrunden anser vi att det i en ny lag finns anledning att beträffande aktuell behandling av personuppgifter införa en sådan bestämmelse som Registerutredningen föreslog. Till skillnad från Registerutredningens förslag innebär vårt

förslag bara en upplysningsplikt beträffande en begränsad del av de uppgifter som behandlas enligt lagen.

Sammantaget finner vi alltså att personuppgifter som behandlas på här aktuellt sätt bör förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Den nya bestämmelsen bör till skillnad från Registerutredningens förslag inte innehålla undantaget om att upplysningar inte behöver lämnas om det saknar betydelse för syftet med behandlingen. Registerutredningens undantag får ses mot bakgrund av att upplysningsskyldigheten enligt den utredningens förslag till skillnad från vårt förslag skulle omfatta även uppgifter i förundersökningar (jfr SOU 1997:65 s. 309).

10.4.5. Behandling av personuppgifter för övervakning av personer som kan antas komma att begå brott

Aktuell behandling av personuppgifter bör få ske för att underlätta övervakning av personer som kan antas komma att begå brott, men bör endast få avse dömda personer som antingen är allvarligt kriminellt belastade eller som kan antas vara farliga för annans säkerhet.

Registerutredningen föreslog att det i polisdatalagen skulle införas bestämmelser om register som förs för övervakning av personer (SOU 1997:65 s. 230 ff.). Enligt förslaget skulle sådana register få innehålla endast uppgifter om dömda personer som antingen var allvarligt kriminellt belastade eller som kunde antas vara farliga för annans personliga säkerhet. Enligt förslaget skulle personuppgifterna gallras senast när samtliga uppgifter om personen gallrats ur belastningsregistret.

Regeringen fann emellertid att några särskilda bestämmelser om register som förs för övervakning av personer inte borde införas (prop. 1997/98:97 s. 113 f). Därvid anförde regeringen att det var svårt att se något behov av ett sådant register och hänvisade till registreringen i belastningsregistret och till att kriterierna för registrering i kriminalunderrättelseregister sannolikt många gånger var uppfyllda. Regeringen anförde också som skäl mot registret att det var svårt att fastställa vilka kriterier som skulle gälla för att en person skulle anses vara så allvarligt kriminellt belastad eller farlig för annans säkerhet att det är motiverat att registrera honom eller henne.

Ett arbetssätt som innefattar övervakning av personer som visat sig vara särskilt farliga för andra personers säkerhet måste under vissa förutsättningar anses vara befogat. Det kan utgöra en betydelsefull del i polisens samlade insatser för att förhindra och förebygga brott. Automatiserad behandling av personuppgifter för det angivna syftet innebär naturligtvis ett betydande intrång i de personers integritet, vars personuppgifter behandlas. Detta intrång måste dock ställas mot det integritetsintrång som det innebär för människor att bli utsatta för brott.

Vårt förslag ger i och för sig polisen möjligheter att utföra sådan behandling som här diskuteras. Syftet med behandlingen är ju att förhindra och förebygga brott för vilket är föreskrivet fängelse i två år eller mer. Vi anser dock att det bör framgå av lagen att den ger rätt för polisen att behandla personuppgifter för syftet att övervaka personer som kan antas komma att begå brott. För att undvika obefogade integritetsintrång bör behandlingen vara begränsad till att avse dömda personer som antingen är allvarligt kriminellt belastade eller kan antas vara farliga för annans säkerhet. Vi återkommer alltså här med Registerutredningens förslag.

I likhet med Registerutredningen anser vi att det inte i lagtexten närmare kan anges vad som skall avses med uttrycken allvarlig kriminell belastning och farlig för annans säkerhet. Utgångspunkten måste dock vara att behandlingen skall vara begränsad till att avse uppgifter om personer som dömts för grova våldsbrott eller för andra allvarliga brott som riktat sig mot en persons liv, hälsa eller frihet till fleråriga fängelsestraff. Behandling bör även få ske om brottet haft ett straffvärde på flera år men där påföljden bestämts till rättspsykiatrisk vård med särskild utskrivningsprövning.

I sammanhanget kan nämnas att vi i kapitel 11 föreslår särskilda lagregler om ASP, däribland en bestämmelse om att det i registret skall få antecknas upplysningar som innehåller varning om att en viss person tidigare varit beväpnad, våldsam eller flyktbenägen.

10.4.6. Villkor för behandlingen

Vid aktuell behandling av personuppgifter bör den personuppgiftsansvarige särskilt besluta de ändamål och villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet.

För att skapa ett ytterligare skydd vid behandling av här aktuella uppgifter anser vi att det i en ny lag bör införas en bestämmelse om att

den personuppgiftsansvarige särskilt skall besluta de ändamål och villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet. En bestämmelse med ett liknande innehåll finns i 15 § polisdatalagen som handlar om behandling av personuppgifter i kriminalunderrättelseverksamhet.

Sådana ändamål som nyss nämnts kan t.ex. vara att genomföra projekt som går ut på att kartlägga narkotikans vägar till en viss stad eller på att förebygga brottslighet i samband med något stort evenemang. Det kan också vara fråga om att kartlägga viss brottslighet med anknytning till mc-klubbar. Ett annat exempel på ändamål kan vara att en polismyndighet inrättar ett register för viss spaningsverksamhet som myndigheten bedriver.

När det gäller villkor i övrigt kan det t.ex. röra sig om hur information skall inhämtas, hur arbetet skall ske och avrapporteras m.m. Särskilda villkor torde i de flesta fall också behövas avseende säkerheten vid behandlingen. Det bör som regel särskilt beslutas om vem som skall ha direkt åtkomst till behandlade personuppgifter och om hur behandlingshistoriken skall dokumenteras. Behandlingshistoriken, eller loggen som den också kallas, ger besked om vilka transaktioner som förekommit vid en viss dator och om vilka personer som utfört transaktionerna. Härigenom kan man i efterhand utreda omfattningen av behandlingen av personuppgifterna och även utreda om dataintrång förekommit.

Bortsett från ändamål anser vi inte att det är lämpligt att i en lag detaljerat ange de typer av villkor som den personuppgiftsansvarige skall besluta. En sådan detaljreglering skulle bli för stelbent. Det bör ankomma på den personuppgiftsansvarige, dvs. Rikspolisstyrelsen eller en polismyndighet, att med hänsyn till förhållandena i det enskilda fallet besluta de villkor som behövs. Därvid måste den personuppgiftsansvarige enligt vårt lagförslag se till att åstadkomma en säkerhetsnivå som är lämplig med hänsyn till de särskilda risker som finns med behandlingen av personuppgifter. Vid utformningen av villkor måste den personuppgiftsansvarige naturligtvis ta hänsyn till att det här handlar om mycket känsliga personuppgifter.

Den här föreslagna bestämmelsen innebär att det genom den personuppgiftsansvariges beslut om villkor skapas en ram för behandlingen av personuppgifter. Den som skall utöva tillsyn kan genom att ta del av besluten bedöma om denna ram ger ett tillräckligt skydd för enskildas personliga integritet vid behandlingen.

Personuppgifter som behandlas enligt de aktuella bestämmelserna bör liksom i dag enligt 10 § polisdataförordningen få lämnas ut till Eko-brottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet. Utlämnande bör dock få ske endast om uppgifterna

kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

10.4.7. Gallring

Personuppgifter som behandlas enligt här aktuella bestämmelser bör få bevaras högst tre år från det att uppgifterna om personen samlades in. Personuppgifter som behandlas för att underlätta övervakning av personer som kan antas komma att begå brott bör dock få bevaras senast till dess att uppgifterna om personen gallras ur belastningsregistret.

Den nya lagen bör innehålla en särskild regel om gallring. Enligt Europolkonventionen får uppgifterna i Europols register inte bevaras längre än nödvändigt för att Europol skall kunna utföra sina arbetsuppgifter. Huruvida det är nödvändigt att fortsätta att lagra uppgifterna skall undersökas senast tre år efter deras införande.

Vi anser att det vid en utformning av en gallringsregel är lämpligt att anknyta till regeln i Europolkonventionen. Vi föreslår därför en gallringstid på tre år för aktuella uppgifter. Eftersom det rör sig om särskilt känslig behandling anser vi att tre år beräknat från det att personuppgifterna samlades in, utom i det fall som anges i nästa stycke, bör utgöra den längsta tid under vilken uppgifterna får bevaras.

Gallringstiden på högst tre år bör inte gälla vid behandling av personuppgifter för övervakning av personer som kan antas komma att begå brott. En så kort gallringstid skulle medföra att behandlingen inte skulle tjäna sitt syfte. Uppgifterna måste ofta bevaras under en väsentligt längre tid om behandlingen skall ha något värde i verksamheten. Vi anser därför att aktuella uppgifter bör få bevaras senast till dess att uppgifterna om personen gallras ur belastningsregistret. Denna gallringsregel stämmer också överens med ett förslag från Registerutredningen (SOU 1997:65 s. 230 ff.).

De här föreslagna gallringsreglerna skall utgöra ett komplement till den tidigare föreslagna huvudregeln om gallring (se avsnitt 9.2.4 och 9.2.5). Om en uppgift av ifrågavarande slag inte längre behövs för ändamålet med behandlingen skall uppgiften gallras även om det inte gått tre år från det att den samlades in.

De aktuella gallringsreglerna gäller som framgått heller inte uppgifter i en förundersökning. Om en aktuell uppgift leder fram till en misstanke om att personen begått ett brott och en förundersökning

inleds med anledning av brottsmisstanken behandlas uppgiften inte längre enligt de bestämmelser som här diskuteras. I den situationen kommer i stället huvudregeln i vårt förslag att gälla. Den regeln innebär att uppgifterna skall behandlas enligt bestämmelserna i arkivlagen (se avsnitt 9.2.4 och 9.2.5).

Regeringen eller den myndighet som regeringen bestämmer, bör få meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Den nya lagen bör innehålla en bestämmelse härom.

11. Det allmänna spaningsregistret

I det här kapitlet redovisar vi våra överväganden om hur det allmänna spaningsregistret (ASP) lämpligen bör författningsregleras. Vi börjar med att ta upp polisens behov av ASP i verksamheten. I avsnitt 3.6.1 finns en beskrivning av registret.

11.1. Behovet av ASP

Det föreligger ett mycket stort behov av ASP inom brottsbekämpningen. ASP är viktigt bl.a. för att närpolisverksamheten skall kunna fungera.

11.1.1. Kort historik över ASP

För att få ett underlag för våra överväganden om ASP har vi från Rikspolisstyrelsen inhämtat vissa uppgifter om registrets användningsområde m.m. Vi inleder redovisningen med en kort historik.

Spaningsregister har alltid funnits hos polisen, eftersom det alltid funnits ett behov av att registrera spaningsuppgifter om enskilda personer för att kunna utreda och förebygga brott. ASP togs i bruk under år 1979 och ersatte då alla manuellt förda lokala spaningsregister i landet. ASP tillkom för att det förelåg ett behov av att datorisera de lokala spaningsregistren och för att det hade uppkommit ett starkt behov för de olika polismyndigheterna att kunna få del av varandras spaningsinformation. Brottslingar hade börjat operera över geografiskt allt större områden, vilket ställde krav på ett rikstäckande system för behandling av spaningsinformation.

ASP skulle användas i polisens utrednings- och spaningsverksamhet, som traditionellt bedrevs vid kriminalpolisavdelningarna. Numera har dock dessa verksamheter splittrats så att utredningsverksamheten bedrivs såväl på kriminalavdelningarna som inom närpolisverksamheten och även till viss del vid enheterna för ordningsverksamhet och

utryckningsverksamhet. Spaningsverksamheten bedrivs hos vissa myndigheter fortfarande inom en egen organisation, medan den hos andra myndigheter har tagits bort som en organisatorisk enhet och lagts ut på varje utredningsman. Närpolisen bedriver sin egen spaningsverksamhet. Uppgifterna i ASP används i dag för spaning och händelsestyrt operativt arbete av i stort sett alla polisiära verksamhetsgrenar (möjligen med undantag för trafikpolisen).

11.1.2. Användningsområdet för ASP

Rikspolisstyrelsen har i olika sammanhang framhållit att behovet av ASP är mycket stort. Inom polisen har man därför uttryckt oro över att ASP eventuellt skulle komma att upphöra. Behovet av ASP skall enligt polisen ses mot bakgrund av att all brottsutredande, brottsförebyggande och spanande verksamhet bygger på kunskap och kännedom om tidigare brottsbelastade personers brottsliga verksamhet, brottsobjekt, tillvägagångssätt, geografiska brottsområde, umgänge med andra brottsbelastade personer och transportmedel. Vidare har Rikspolisstyrelsen anfört att det för utryckningsverksamheten är av vikt att snabbt få besked om en person, t.ex. om personen är farlig och vilka typer av brott personen tidigare är misstänkt för. Det har också anförts att ASP är av stor betydelse för närpolisverksamheten, bl.a. vad gäller den nödvändiga kunskapen om vilka kända brottslingar som bor eller vistas inom närpolisområdet.

Det har från polisen också anförts att man för att kunna bedriva en effektiv spanings- och utredningsverksamhet i något register måste få notera uppgifter om personer som är misstänkta för brott. Därvid har anförts följande. De uppgiftskategorier som finns i dag i ASP har inte tillkommit av en slump, utan är resultatet av de krav som verksamheten ställer på registret. Uppgifterna i ASP måste vara tillgängliga för alla polismän som vid ett speciellt tillfälle behöver uppgifterna. Spanarna och utredarna behöver uppgifterna för att hitta tänkbara gärningsmän till anmälda brott. Operativt behövs uppgifterna som stöd för ingripanden. Om t.ex. en utryckningspatrull spanar med anledning av ett gaturån och därvid identifierar några personer som verkar misstänkta, kan patrullen med hjälp av ASP snabbt ta reda på om dessa personer tidigare sysslat med gaturån.

11.1.3. Några statistikuppgifter

För att illustrera behovet av ASP har polisen hänvisat till vissa statistikuppgifter som här redovisas.

Antalet sökbara personer i ASP uppgår i dag till omkring 100 000. Det kan jämföras med att 97 000 personer fanns registrerade år 1983. Antalet registrerade har alltså de senaste 15 åren varit nästan konstant. Det innebär att det gallras lika många personer som det sker nyregistreringar av personer. Totalt finns 775 000 händelser (notiser om brott och iakttagelser) registrerade. Det finns omkring 8 000 fordon registrerade.

Under år 1998 registrerades 93 000 händelser och 55 000 frihetsberövanden. Antalet nyregistrerade personer uppgick detta år till 36 000. Antalet frågor mot ASP ligger konstant på omkring 190 000 i månaden, vilket innebär 2 280 000 frågor per år.

Vid de tio senaste inspektionerna från Rikspolisstyrelsen har vid en enda polismyndighet konstaterats brister i registerföringen, vid fyra myndigheter har konstaterats att fler uppgifter borde kunna registreras och vid fyra myndigheter har konstaterats en mycket hög registerkvalitet.

11.1.4. Kan ASP ersättas av några andra register?

En fråga är om det finns några andra register som kan ersätta registerföringen i ASP. De register som i så fall skulle ligga närmast till hands är misstankeregistret och kriminalunderrättelseregistret (KUR).

Ändamålen för misstankeregistret och ASP är olika. Misstankeregistret är inte anpassat för behoven i polisens spaningsverksamhet. Polisen har också sedan mycket lång tid haft misstankeregister. Före misstankeregistrets och belastningsregistrets tillkomst fanns ju personoch belastningsregistret. Misstankeregistret kan enligt polisens uppfattning inte ersätta ASP. I misstankeregistret registreras endast personer som är skäligen misstänkta för brott, vilket enligt polisen inte är tillräckligt i spaningssammanhang. Polisen anser att det måste finnas möjlighet att i ett spaningsregister söka på personer vid en lägre misstankegrad än skälig misstanke och vidare behöver ett spaningsregister ge möjlighet att söka på okända gärningsman. Sådana uppgifter finns inte i misstankeregistret.

KUR är ett underrättelseregister och innehåller noteringar om personer som är misstänkta för att utöva brottslig verksamhet. ASP är däremot ett spaningsregister och noteringen av personuppgifter

anknyter bara till konkreta brott. Registren har således olika inriktning och har även olika användargrupper.

Sammantaget kan enligt polisen varken misstankeregistret, KUR eller något annat register ersätta ASP.

11.1.5. I vilken utsträckning har kränkningar av enskilda personers integritet påtalats i ASP?

Som underlag för bedömningen av en framtida användning av ASP har vi inhämtat upplysningar från polisen om påtalade kränkningar av enskilda personers integritet. Därvid har framkommit följande.

Det har under perioden 1979–2000 framkommit tre fall av felaktiga behandlingar. Ett av fallen avsåg en kraftigt brottsbelastad person, som i ett skede av en brottsutredning misstänktes för rån, men där det senare i utredningen konstaterades att han var oskyldig till rånet. Av förbiseende togs inte brottsmisstanken om rånet bort. Fallet påtalades av JO. Incidenten föranledde ändringar i ASP:s föreskrifter för att förebygga sådana felaktiga behandlingar. Utöver nämnda felaktiga behandling har ytterligare två kända fall förekommit. Även de fallen rörde personer som fanns registrerade i ASP och där viss felaktig information om personerna av förbiseende inte hade tagits bort.

11.2. En lagreglering av ASP

Det bör i den nya polisdatalagen införas särskilda regler om ASP. Lagregleringen bör i allt väsentligt ge polisen rätt att fortsätta den behandling av personuppgifter som förekommer.

11.2.1. ASP bör vara kvar även i fortsättningen

Redovisningen ovan visar enligt vår mening att det för polisens brottsbekämpande verksamhet finns ett mycket starkt behov av att behandla personuppgifter på sätt som i dag sker i ASP. Behovet av ASP föreligger inte minst i närpolisverksamheten. Över huvud taget får ASP anses vara ett mycket viktigt verktyg för att en effektiv brottsförebyggande verksamhet skall kunna bedrivas. Som tidigare har nämnts är det numera ett uttalat krav från statsmakterna att polisens arbete skall vara inriktat främst på brottsförebyggande verksamhet.

Tullen har enligt lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet rätt att föra spaningsregister för verkets spanings- och kontrollverksamhet. Enligt 16 § i lagen får spaningsregistret innehålla uppgifter som kan hänföras till en enskild person om den som avses med uppgiften kan misstänkas för att ha begått brott som Tullverket har befogenhet att ingripa mot. Vidare får enligt 17 § samma lag tullens spaningsregister innehålla uppgifter som innehåller bl.a. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen.

Den nordiska jämförelsen visar att det i de övriga nordiska ländernas lagstiftningar inte finns något hinder mot att behandla personuppgifter på ett sådant sätt som sker i ASP. Inte heller står den aktuella behandlingen i strid med bestämmelserna i Europolkonventionen eller i rekommendationen från Europarådet om användning av personuppgifter inom polissektorn.

Med hänsyn till det anförda gör vi sammantaget den bedömningen att en lagstiftning om behandling av personuppgifter på polisområdet bör ge polisen möjlighet att föra ASP väsentligen enligt samma principer som gäller i dag. I nästa avsnitt diskuterar vi hur en ny lagstiftning bör utformas.

11.2.2. Hur bör ASP lagregleras?

När man kommit fram till att ASP bör få vara kvar även i fortsättningen uppkommer frågan om hur en lagreglering lämpligen bör vara beskaffad. Lagregleringen måste under alla förhållanden ge ett tillfredsställande skydd för den enskildes personliga integritet vid behandling av personuppgifter i registret. Det finns olika sätt att gå fram. Ett är att införa särskilda författningsregler om ASP.

Polisdatalagen innehåller inga regler om spaningsregister. ASP passar inte riktigt in i den lagens systematik. Det har hävdats att ASP bör ses som ett kriminalunderrättelseregister i polisdatalagens mening. Till skillnad från underrättelseregister innehåller ASP i enlighet med Rikspolisstyrelsens föreskrifter för registret dock bara uppgifter med anknytning till konkreta brott. Registret har å andra sidan ett användningsområde som i vissa avseenden påminner om användningsområdet för underrättelseregister.

Särskild lagstiftning om enskilda register bör bara förekomma i undantagsfall. I personuppgiftslagen förekommer inte begreppet register. Trots allt kan det fortfarande i vissa fall vara motiverat med särskilda registerbestämmelser. Det finns särskilda lagar om belast-

ningsregister och misstankeregister. I polisdatalagen finns det regler om DNA-register och om fingeravtrycks- och signalementsregister.

ASP innehåller uppgifter om ett stort antal registrerade personer och har också ett särskilt känsligt innehåll. Registret har ett stort antal användare. På grund härav och med hänsyn till vad som i övrigt framkommit om registret anser vi att det är lämpligast att i en ny polisdatalag införa särskilda regler om ASP.

I nästa avsnitt diskuterar vi vilka författningsbestämmelser som behövs med anledning av behandlingen av personuppgifter i ASP.

11.3. Bestämmelser om ASP

11.3.1. Förhållandet till övriga bestämmelser i den nya polisdatalagen

Bestämmelserna i den nya polisdatalagen om behandling av uppgifter om kvarstående misstankar bör inte gälla vid behandling av personuppgifter i ASP.

Vårt förslag till lagreglering av ASP innebär i stort sett en kodifiering av den befintliga behandlingen i registret, vilken för närvarande sker med stöd av tillstånd från Datainspektionen. Även om de regler som vi här föreslår innebär en viss utvidgning i förhållande till polisdatalagen av polisens möjligheter till automatiserad behandling av personuppgifter, innebär lagregleringen således inte att några nya former av behandling introduceras.

Med anledning av ASP bör det i en ny polisdatalag införas särskilda registerbestämmelser avseende ändamål, innehåll, gallring och åtkomst till uppgifter. I en ny polisdataförordning bör också tas in bestämmelser om utlämnande av uppgifter ur registret.

De allmänna bestämmelserna i den nya lag som vi föreslår bör i tillämplig utsträckning gälla även vid behandling av personuppgifter i ASP. De föreslagna bestämmelserna om behandling av uppgifter om kvarstående misstankar bör dock inte vara tillämpliga på behandlingen i ASP. Våra förslag till regler för ASP ger i vissa avseenden polisen större möjligheter till automatiserad personuppgiftsbehandling än som följer av nämnda bestämmelser. Reglerna om ASP ger polisen rätt att bevara uppgifter under längre tid än enligt reglerna om kvarstående misstankar (se avsnitt 9.7) På grund av vad som tidigare redovisats om ASP:s betydelse för den brottsbekämpande verksamheten och med hänsyn till vad som framkommit vid den internationella jämförelsen är

dock de avvikande regleringarna enligt vår uppfattning klart motiverade. Den omständigheten att behandlingen är begränsad till att avse ett enda register och inte gäller generellt utgör i sig också ett skydd för den enskildes personliga integritet. De regler om ASP som vi föreslår innehåller tydliga regler om ändamål och innehåll m.m.

De särskilda reglerna om spaningsregister i den nya lagen skall alltså bara avse just ASP. Reglerna är inte är tänkta att vara tillämpliga på spaningsregister i allmänhet. I fall man inom polisen anser att det finns behov av att införa ytterligare spaningsregister så kommer, enligt förslagen i detta betänkande, övriga bestämmelser i den nya polisdatalagen att styra behandlingen i dessa register. Dessa regler är dock som nyss nämnts mer restriktiva för polisen än de bestämmelser vi föreslår för ASP.

11.3.2. Ändamål

ASP bör få föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott.

Det övergripande syftet med ASP är att dokumentera uppgifter som polisen samlar in i sin spaningsverksamhet. Detta bör anges i lagen. Det bör även framgå av lagen att Rikspolisstyrelsen skall vara personuppgiftsansvarig för registret.

ASP bör få föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott.

Det ligger i sakens natur att ändamålen med en behandling ofta måste formuleras ganska generellt. Även den ändamålsbestämmelse som vi föreslår är allmänt avfattad. Bestämmelsen kompletteras dock av närmare regler om vilka uppgifter ASP skall få innehålla. Härigenom anser vi att förutsättningarna för registreringen blir tillräckligt tydligt angivna.

11.3.3. Innehåll

I ASP bör uppgifter som kan hänföras till en enskild person få föras in endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott och om registreringen är av särskild betydelse för brottsbekämpningen.

Uppgifter om transportmedel eller andra varor som kan antas ha samband med ett brott eller om hjälpmedel som kan antas ha använts i samband med ett brott bör få registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot denne.

I lagen bör anges vilka typer av uppgifter som får registreras i ASP.

Personuppgifter som bör få noteras

ASP bör få innehålla uppgifter som kan hänföras till en enskild person endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott. Vi godtar alltså vad polisen anfört om att det finns ett tydligt behov, inte minst för närpolisverksamheten, av att få registrera personuppgifter redan vid misstankegraden ”kan misstänkas”. Om denna registrering inte tillåts riskerar syftet med ASP att bli alltför begränsat. Det bör här också framhållas att noteringen bara får avse konkreta brott. För att hindra en alltför vidlyftig notering anser vi också att personuppgifter bara skall få noteras om registreringen är av särskild betydelse för brottsbekämpningen.

Det bör även vara möjligt för polisen att i vissa situationer registrera uppgifter om personer som har anknytning till misstänkta trots att dessa inte själva är misstänkta. Polisen behöver få föra in uppgifter om transportmedel eller varor som kan antas ha samband med brott eller om hjälpmedel som kan antas ha använts vid brott. Uppgifter av det slaget får i dag noteras i kriminalunderrättelseregister och i tullens spaningsregister, se 19 § andra stycket polisdatalagen respektive 17 § lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Det kan exempelvis vara så att det framkommer omständigheter som gör att en person kan misstänkas för att begått ett visst brott och att den misstänkte personen färdats i en bil. Det måste då vara möjligt att registrera bilens registreringsnummer, trots att den tillhör en person som i och för sig inte är brottsmisstänkt (jfr. prop. 1997/98:97 s. 128). En förutsättning för en sådan registrering bör dock vara att uppgiften

förses med en anteckning om att personen ifråga inte är misstänkt och att uppgiften är nödvändig för registrets ändamål.

Närmare om de uppgiftskategorier som bör få noteras

Bestämmelserna bör liksom i dag är fallet beträffande tullens spaningsregister och polisens kriminalunderrättelseregister ange vilka uppgifter som skall kunna bli föremål för registrering. Samtliga de uppgiftskategorier som vi här föreslår finns i dag i ASP. Vårt förslag innebär alltså ingen utvidgning av uppgiftsinnehållet i registret.

Den personuppgift som i första hand bör få antecknas är självfallet uppgift om den misstänktes identitet, såsom namn, personnummer, medborgarskap och kön. Adresser som den misstänkte brukar vistas på bör också få antecknas. En annan uppgiftskategori som bör få förekomma avser verkställighet av påföljder för brott. Det bör vidare vara möjligt att anteckna fysiska kännetecken som är hänförliga till personen ifråga som kan möjliggöra identifiering. Uppgifter om varor, brottshjälpmedel och transportmedel bör också få antecknas. Vidare bör polisen få anteckna varifrån uppgiften kommer. Även ärendenummer bör få antecknas.

Lagen bör också ge polisen rätt att notera varning om att personen tidigare varit beväpnad, våldsam eller flyktbenägen. Med stöd av en sådan bestämmelse blir det möjligt för polisen att även i fortsättningen notera så kallade A-markeringar och Y-markeringar.

Ovan har angetts uppgiftskategorier som får registreras. Därutöver bör det av lagen framgå att de omständigheter och händelser som gett anledning anta att den registrerade begått brott skall antecknas i registret. Det bör enligt vår mening nämligen alltid framgå vilka omständigheter som grundat en viss misstanke. Genom notistypen får polisen samtidigt möjlighet att anteckna uppgifter om brottstyper som den registerade ägnar sig åt eller med andra ord dennes modus operandi.

11.3.4. Gallring

Personuppgifter i ASP bör som regel gallras senast tre år efter det att uppgifter om att den registrerade kan misstänkas för att ha begått brott senast infördes. Om den senaste händelsen avser misstanke om ett brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år bör dock uppgifterna få stå kvar i fem år efter den senaste registreringen.

Enligt Europolkonventionen får uppgifterna i Europols register inte bevaras längre än nödvändigt för att Europol skall kunna utföra sina arbetsuppgifter. Huruvida det är nödvändigt att fortsätta lagra uppgifterna skall undersökas senast tre år efter deras införande. Vi anser att det är lämpligt att reglerna om ASP anknyter till vad som gäller enligt Europolkonventionen. Uppgifterna i ASP bör därför som regel gallras senast tre år efter det att en uppgift sista gången infördes.

Det förekommer i dag dock i vissa fall längre gallringstider i ASP. Vi anser att en längre gallringstid än tre år kan vara befogad när det gäller misstankar om särskilt grova brott. Enligt vår uppfattning är det lämpligt att begränsa den längre gallringstiden till noteringar som avser misstankar om ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet. Strafftiden anknyter till reglerna i 24 kap 1 § rättegångsbalken om häktning. När det gäller ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet skall häktning ske, om det inte är uppenbart att skäl till häktning saknas. Om den senast noterade händelsen avser misstanke om ett brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år bör uppgifterna således få vara kvar under fem år efter den senaste registrerade händelsen.

Det bör sägas att de nyss nämnda gallringstiderna om tre respektive fem år från senaste registreringen inte innebär att uppgifterna i ASP alltid får bevaras så länge. Om en uppgift inte längre behövs för sitt ändamål skall den alltid gallras. Huvudregeln om gallring i den nya lagen skall alltså vara tillämplig även på ASP.

Det kan på grund av historiska, statistiska och vetenskapliga ändamål finnas ett behov av att bevara uppgifter i ASP under längre tid än som medges enligt de bestämmelser som här förslås. Regeringen bör därför ha möjlighet att för dessa ändamål meddela föreskrifter om en längre gallringstid.

11.3.5. Utlämnande av uppgifter

Uppgifter ur ASP bör under vissa förutsättningar få lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet.

Polismyndigheterna bör få ha direkt åtkomst till ASP.

Det bör vara möjligt att utan hinder av sekretess få lämna ut uppgifter i ASP till vissa andra myndigheter än polismyndigheter. Uppgifter bör sålunda få lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet, dock endast om uppgifterna kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder. En regel härom kan lämpligen meddelas genom förordning. Detta motsvarar vad som gäller enligt 10 § polisdataförordningen beträffande kriminalunderrättelseregister.

Rikspolisstyrelsen bör som nämnts vara personuppgiftsansvarig för registret. Uppenbarligen bör polismyndigheterna få ha direkt åtkomst till ASP. En regel härom bör meddelas genom förordning.

I sammanhanget kan nämnas att vi i det här betänkandet också föreslår att det införs en regel om att direkt åtkomst till uppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till information om uppgifterna (se avsnitt 9.11.2).

12. Ytterligare bestämmelser om register m.m.

I kapitel 11 har vi föreslagit en särskild författningsreglering av det allmänna spaningsregistret. Vi diskuterar i det här kapitlet vilka ytterligare register som bör författningsregleras särskilt i en ny polisdatalag. Vi inleder med några allmänna synpunkter om författningsreglering av register.

12.1. Författningsreglering av register

Den nya polisdatalagen bör utöver regler om det allmänna spaningsregistret innehålla särskilda regler om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister.

Enligt direktiven skall vi överväga om fler register än i dag bör författningsregleras särskilt. När vi här talar om register avser vi inte bara traditionella register utan även ärendehanteringssystem och andra system med vissa bestämda informationsmängder.

Det kan naturligtvis inte komma i fråga att reglera alla polisens register i lag eller annan författning. En sådan metod skulle bli alltför stelbent. En långt driven författningsreglering av enskilda register skulle också göra lagstiftningen oöverskådlig. Inom polisen bedrivs hela tiden projekt för att ta fram nya register eller ärendehanteringssystem, som syftar till att på olika sätt stödja den brottsbekämpande verksamheten. Det kan nämnas att polisen under åren 2000 och 2001 tagit eller avser att ta i bruk ett tjugotal sådana system. Det finns varken behov eller praktisk möjlighet att överväga särskilda författningsregleringar av alla dessa system.

Författningsregleringen bör så långt som möjligt ta sikte på behandling av personuppgifter i polisens verksamhet generellt och inte avse vissa speciella informationsmängder i form av register eller

ärendehanteringssystem. Personuppgiftslagen talar inte om register utan om behandling av personuppgifter. Det övergripande syftet med lagstiftningen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Det är vissa automatiserade behandlingar av personuppgifter som är integritetskänsliga och därför behöver regleras.

Det nyss sagda hindrar inte att det i några fall inom polisens område är motiverat med särskilda registerförfattningar. I kapitel 11 har vi föreslagit att det i den nya lagen införs särskilda regler om det allmänna spaningsregistret (ASP). Vi har därvid hänvisat till att ASP innehåller uppgifter om ett stort antal registrerade personer och har ett särskilt känsligt innehåll samt till att registret har ett stort antal användare (se avsnitt 11.2.2).

Polisdatalagen innehåller särskilda regler om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister. Registren har beskrivits ovan i avsnitt 3.3.2 och 3.3.3. Vi anser att det är motiverat att även i en ny polisdatalag reglera dessa register särskilt.

Vi redovisar i det följande vår uppfattning om hur regleringen av de aktuella registren bör vara utformad. Vi diskuterar även vissa frågor om lagreglering av lokala system.

12.2. Register med uppgifter om DNAanalyser i brottmål

Bestämmelserna i 2228 §§polisdatalagen och i 11 § polisdataförordningen om register med uppgifter om DNA-analyser i brottmål bör gälla även i fortsättningen.

Särskilda författningsregler om den behandling av personuppgifter i Statens kriminaltekniska laboratoriums verksamhet som sker med anledning av laboratoriets DNA-analyser bör inte införas.

12.2.1. Innehållet i de nya bestämmelserna

Det finns bestämmelser om register med uppgifter om DNA-analyser i brottmål i 2228 §§polisdatalagen och i 11 § polisdataförordningen. Enligt 22 § polisdatalagen får aktuella uppgifter behandlas endast för att underlätta identifiering av personer i samband med utredning av brott. Aktuella uppgifter får även behandlas i förundersökningar och särskilda undersökningar. Rikspolisstyrelsen får föra DNA-register och spårregister i enlighet med vad som föreskrivs om registren i polisdata-

lagen. Registren har beskrivits ovan i avsnitt 3.3.2. För en ingående redovisning av vad DNA-analyser närmare bestämt är samt av hur DNA-analyser och DNA-register kan användas i polisens arbete med att utreda brott hänvisas till SOU 1996:35 s. 103 ff.

I 11 § polisdataförordningen finns bestämmelser om direkt åtkomst till aktuella register.

Bestämmelserna i polisdatalagen anger uttömmande i vilken utsträckning behandling av personuppgifter som anknyter till resultat av DNA-analyser som har gjorts under utredning av ett brott är tillåten. Aktuella uppgifter får behandlas av polisen i förundersökningar, varvid behandlingen av personuppgifter sker enligt de allmänna bestämmelserna i polisdatalagen. Sedan en förundersökning avslutats och lagakraftägande dom föreligger skall uppgifterna normalt gallras. Personuppgifter med anknytning till DNA-analyser om vissa dömda personer får dock trots detta bevaras i ett DNA-register enligt reglerna härom i lagen. Dessutom får ett spårregister föras, men det registret innehåller inga personuppgifter.

En omständighet som särskilt bör framhållas är att behandlingen inte omfattar känsliga personuppgifter. De personuppgifter som behandlas i registren avslöjar inte en persons hälsa och innehåller heller inte information om personliga egenskaper. Registreringen av ett analysresultat skall enligt 24 § nämligen begränsas till uppgifter som ger information om den registrerades identitet samt till upplysningar som visar i vilket ärende analysen har gjorts och vem analysen avser. Analysresultat som kan ge upplysning om den registrerades personliga egenskaper får enligt samma lagrum inte registreras.

Vi finner att bestämmelserna i 2228 §§polisdatalagen och i 11 § polisdataförordningen om register med uppgifter om DNA-analyser i brottmål med ett tillägg bör gälla även i fortsättningen. Aktuella uppgifter bör utöver vad som särskilt föreskrivs liksom i dag få behandlas i förundersökningar, men dessutom i brottsutredningar som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

12.2.2. Statens kriminaltekniska laboratorium

Uppgifter som SKL behöver behandla

En fråga med anknytning till regleringen av här aktuella register gäller Statens kriminaltekniska laboratoriums (SKL) möjligheter att automatiserat behandla uppgifter om DNA-analyser i brottmål. SKL skall på uppdrag av Rikspolisstyrelsen eller en polismyndighet utföra

kriminaltekniska undersökningar som föranleds av polisens brottsutredande verksamhet. Viss behandling av personuppgifter som SKL avser att utföra innefattar därvid uppgifter om DNA. SKL får anses vara personuppgiftsbiträde åt Rikspolisstyrelsen vid behandling av dessa uppgifter.

I en skrivelse till regeringen den 25 januari 2000 tog Datainspektionen upp frågan om författningsregleringen av SKL:s rätt att automatiserat behandla uppgifter om resultat av DNA-analyser i brottmål. Inspektionen påpekade därvid att polisdatalagen endast är tillämplig i polisens verksamhet. Det innebär enligt Datainspektionen att personuppgiftslagen skall tillämpas på SKL:s behandlingar och att SKL därigenom har möjlighet att automatiserat behandla uppgifter om DNA-analyser i större omfattning än vad som är möjligt för polisen. Datainspektionen anförde i skrivelsen att det bör övervägas om en särskild författningsreglering för SKL:s verksamhet i aktuellt avseende behövs. Regeringen beslutade den 23 november 2000 att överlämna skrivelsen till utredningen. Skrivelsen finns bifogad betänkandet i bilaga 2.

SKL har beträffande behovet av att behandla personuppgifter i laboratoriets här aktuella verksamhet anfört följande. För att SKL skall kunna förse DNA-registret och spårregistret med information måste SKL behandla personuppgifter med anknytning till DNA i en vidare omfattning än enligt registerbestämmelserna. SKL behöver i sina ärendehanteringssystem ha kopplingar mellan personuppgifter och DNA-resultat för att kunna utfärda sakkunnigyttranden i enskilda ärenden samt ha möjlighet att bevara information om personer och DNA-resultat i avvaktan på att beslut kan fattas om informationen skall läggas in i DNA-registret. Detta kan ej ske förrän domen i det aktuella ärendet har vunnit laga kraft. Vidare behöver SKL bevara dessa uppgifter av kvalitetssäkrings- och arkiveringsskäl samt för att kunna gå tillbaka till resultaten om det uppstår tveksamhet om resultaten eller om ärendet blir föremål för resningsåtgärder. Det föreligger också ett behov av att behandla DNA-uppgifter om de personer hos SKL som arbetar med DNA-registret och spårregistret. Anledningen till detta är att DNA från den person som utför en analys lätt kan fastna på det föremål som analyseras och att man därför av uteslutningsändamål behöver ha uppgift om DNA beträffande de personer som utför analyserna. Av motsvarande skäl behövs DNA-profiler för de polismän som kommit i kontakt med föremål som skall analyseras. Slutligen finns det ett behov av att vid katastrofer kunna upprätta DNA-register för att stödja arbetet med att identifiera kroppar från människor som förolyckats.

Regleringen av SKL:s verksamhet

Som framgått ovan finner vi inte anledning att sakligt ändra regleringen i polisdatalagen om behandlingen av uppgifter om DNA-analyser i brottmål. Detta innebär att Rikspolisstyrelsen även i fortsättningen kommer att vara personuppgiftsansvarig för aktuell behandling av uppgifter, både av uppgifter i förundersökningar och övriga brottsutredningar och av uppgifter i DNA-registret och spårregistret. Det blir därför Rikspolisstyrelsen som skall ansvara för att uppgifter registreras, används och gallras i enlighet med den nya polisdatalag som vi föreslår. Rikspolisstyrelsen måste därför se till att behandlingen hos SKL, som är att anse som personuppgiftsbiträde, uppfyller de krav som ställs i lagen.

Enligt vårt förslag till ny lag får ett personuppgiftsbiträde behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Rikspolisstyrelsen är enligt förordningen (1989:773) med instruktion för Rikspolisstyrelsen chefsmyndighet för SKL och kan också i den egenskapen meddela föreskrifter för SKL. Som vi anfört tidigare (se avsnitt 9.3.2) bör en ny polisdataförordning även innehålla en bestämmelse som ger Rikspolisstyrelsen möjlighet att meddela sådana föreskrifter som behövs för verkställighet av den nya polisdatalag som vi föreslår. Rikspolisstyrelsen har härigenom erforderliga befogenheter att utöva personuppgiftsansvaret.

SKL måste dock som framgått behandla även uppgifter med anknytning till andra DNA-analyser än sådana som har gjorts under utredning av ett brott. För uteslutningsändamål behöver SKL behandla uppgifter t.ex. om anställda och polismän som kommit i kontakt med föremål som skall DNA-analyseras. Dessa behandlingar omfattas inte av polisdatalagen. De kan dock utföras med stöd av bestämmelserna i personuppgiftslagen, varvid SKL blir personuppgiftsansvarig. Behandlingarna av personuppgifter sker för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c personuppgiftslagen). De får anses nödvändiga för att en uppgift av allmänt intresse skall kunna utföras (10 § d personuppgiftslagen). Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen behandlas inte. För att behandlingarna inte skall komma i konflikt med reglerna om registren i den nya polisdatalagen krävs dock att uppgifterna läggs in i andra system än i DNA-registret och spårregistret.

Vi gör bedömningen att bestämmelserna i personuppgiftslagen tillgodoser behovet av integritetsskydd beträffande SKL:s behandling av personuppgifter med anknytning till DNA-analyser. Frågor om det erfordras en särskild lagstiftning med anledning av sådana DNA-

analyser som inte har anknytning till brottsutredningar omfattas emellertid inte av vårt utredningsuppdrag.

12.3. Fingeravtrycks- och signalementsregister

Bestämmelserna i 2931 §§polisdatalagen om fingeravtrycks- och signalementsregister bör gälla även i fortsättningen. Sådana register bör dock utöver vad som framgår av 30 § polisdatalagen även få innehålla uppgifter om brottskoder.

I 2931 §§polisdatalagen finns bestämmelser om fingeravtrycks- och signalementsregister. Paragraferna innehåller regler om ändamål, innehåll och gallring. Aktuella uppgifter får även behandlas i förundersökningar och särskilda undersökningar. Registren har beskrivits ovan i avsnitt 3.3.3.

Den nya lagen bör i stort sett innehålla samma bestämmelser om registren som finns i polisdatalagen. Utöver i förundersökningar bör dock aktuella uppgifter även få behandlas i brottsutredningar som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

En annan fråga gäller förekomsten av brottskoder i registren. Enligt 30 § polisdatalagen får aktuella register innehålla fingeravtryck, signalement, identifieringsuppgifter och ärendenummer. Brottskoder nämns alltså inte bland de uppgifter som får förekomma. Notering av brottskoder får dock ske i signalementsregistret enligt det ännu gällande registertillståndet från Datainspektionen

Det står klart att brottskoder behövs i ett signalementsregister. Register av det slaget används för att söka efter tänkbara gärningsmän till begångna brott där man vid anmälningstillfället bara har signalementsuppgifter på gärningsmännen. Brottskoderna är då enligt polisen mycket värdefulla för att kunna begränsa antalet träffar vid sökningarna. Enbart uppgifter om signalement och andra kännetecken på de drygt 160 000 personer som finns i Rikspolisstyrelsens signalementsregister ger normalt ett allt för stort antal träffar i registret för att sökningen skall ge erforderlig hjälp i brottsspaningen. För att illustrera det sagda kan följande exempel ges. Vid ett väpnat bankrån har bankpersonalen iakttagit att en av rånarna haft en flagga tatuerad på vänster hand. En sökning på ”flagga på vänster hand” ger 101 träffar, men tillsammans med alla brottskoder som innefattar väpnade rån reduceras antalet till fem träffar.

Vi anser att det finns ett tydligt behov av noteringar om brottskoder i framför allt signalementsregister. Notistypen är inte av sådan art att den på grund av intresset av skydd för den enskildes personliga integritet bör förbjudas. Brottskoder har också sedan lång tid tillbaka noterats med stöd av tillstånd från Datainspektionen. På grund härav bör den nya lagen ge polisen rätt att även notera uppgifter om brottskoder i registren.

12.4. Lokala system

Det behövs inte någon särskild författningsreglering för eventuella centrala system motsvarande de lokala system som i dag används, t.ex. rationell anmälningsrutin (RAR), datoriserad utredningsrutin – tvångsmedel (DurTvå) och kommunikationscentralernas system (KC-systemen).

Från polisens sida har i olika sammanhang framförts att det finns ett stort behov av att utveckla ett rikstäckande brottsanmälningssystem, som motsvarar de lokala systemen rationell anmälningsrutin (RAR). Dessa system har beskrivits ovan i avsnitt 3.7.2. Ett sådant centralt RAR skulle utgöra en sammanslagning av de lokala RAR som förs vid de lokala myndigheterna. Frågan behandlades av SÄPO/Rikskrimkommittén. Kommittén framhöll i sitt betänkande (SOU 2000:25 s. 257) att det är angeläget att det inrättas ett rikstäckande brottsanmälningsregister. Kommittén anförde att polismyndigheterna med dagens system endast har tillgång till den egna polismyndighetens anmälningsregister samt att detta försvårar polisens arbete eftersom länsgränserna naturligtvis inte utgör några gränser för de kriminella. Som exempel nämnde kommittén att med nuvarande system har Polismyndigheten i Skåne svårighet att få kunskap om att det gjorts anmälningar om stölder mot optiker också hos polismyndigheterna i Blekinge och Kalmar län. Enligt kommittén är det uppenbart att detta får konsekvenser för det brottsutredande arbetet. Kommittén angav vidare att det kan få till följd att gods som beslagtagits inom ett annat polisdistrikt inte kan återställas till rätt ägare.

SÄPO/Rikskrim-kommittén konstaterade att reglerna i personuppgiftslagen och polisdatalagen i och för sig inte hindrar att ett centralt RAR inrättas. Kommittén hänvisade dock till att inrättandet av ett nationellt RAR enligt polisens mening skulle kunna komma i konflikt med målsättningen att register med ett stort antal registrerade och ett särskilt känsligt innehåll bör lagregleras särskilt. Som sin slutsats angav

kommittén att ett nationellt RAR skulle kunna få betydelse för brottsbekämpningen och att det absolut bör inrättas snarast.

Som SÄPO/Rikskrim-kommittén anför skulle ett centralt RAR kunna få stor betydelse i brottsbekämpningen. RAR används för att fastställa modus operandi och är därför värdefullt inte minst vid utredningar av seriebrott. Vid seriebrott berör brottsligheten ofta flera polisdistrikt och för att brottsbekämpningen skall bli mer effektiv krävs det därför ärendehanteringssystem som bygger på centrala lösningar. Ett rikstäckande RAR skulle enligt polisen också kunna användas för den övergripande planeringen av polisens verksamhet. Uppgifterna ur RAR visar var och på vilket sätt brott begås. Uppgifter härom kan användas som underlag för beslut rörande tilldelning och lokalisering av resurser.

Polisen har även anfört att det på motsvarande sätt som beträffande RAR eventuellt behöver inrättas ett centralt system motsvarande de lokala systemen datoriserad rutin – tvångsmedel (DurTvå). Också när det gäller kommunikationscentralernas system (KC-systemen) har framförts att ett centralt system åtminstone för vissa av de brott som ingår i KC-systemen skulle kunna vara av värde. DurTvå och KCsystemen har beskrivits ovan i avsnitt 3.7.3 respektive 3.7.4. Över huvud taget har polisen uppfattningen att polisens ärendehanteringssystem generellt sett bör bygga på centrala och inte på lokala lösningar. Vi bedömer alltså att bestämmelserna i den nya polisdatalag som vi föreslår i det här betänkandet, tillsammans med lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem, tillgodoser målsättningen om att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag. I vårt lagförslag finns också särskilda regler om ASP, om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister. Ytterligare särregleringar av register behövs inte.

Det följer av det sagda att vi inte anser det motiverat att reglera något av de lokala registren eller ärendehanteringssystemen särskilt. Inte heller anser vi att det finns anledning att särskilt lagreglera eventuella centrala motsvarigheter till RAR, DurTvå, KC-systemen eller till några andra lokala register eller ärendehanteringssystem. De generella bestämmelserna om behandling av personuppgifter som vi föreslår i det här betänkandet ger enligt vår mening ett tillräckligt skydd för den enskildes personliga integritet vid aktuell behandling av personuppgifter.

13. Säkerhetspolisen

I det här kapitlet redovisar vi våra överväganden i fråga om författningsreglering av den behandling av personuppgifter som sker hos Säkerhetspolisen. En beskrivning av de databaser och ärendehanteringssystem som förs i Säkerhetspolisens verksamhet finns i avsnitt 3.5. Vi inleder med att kortfattat presentera Säkerhetspolisens organisation och uppgifter.

13.1. Säkerhetspolisens organisation och uppgifter

En ändring av Säkerhetspolisens organisation bestående i en sammanslagning mellan Säkerhetspolisen och Rikskriminalpolisen övervägs för närvarande. Våra förslag utgår från den nuvarande organisationen av Säkerhetspolisen.

13.1.1. Säkerhetspolisens uppgifter

Rikspolisstyrelsen leder polisverksamhet för att förebygga och avslöja brott mot rikets säkerhet. Rikspolisstyrelsen leder också, även om verksamheten inte avser att förebygga eller avslöja brott mot rikets säkerhet, polisverksamhet i fråga om terrorismbekämpning, bevakningsarbete och säkerhetsarbete som avser den centrala statsledningen eller som har samband med statsbesök eller liknande händelser samt annat personskydd i den utsträckning Rikspolisstyrelsen bestämmer. Inom Rikspolisstyrelsen bedrivs den verksamhet som nu har sagts vid Säkerhetspolisen, jämför 7 § polislagen (1984:38) och 4 § förordningen (1989:773) med instruktion för Rikspolisstyrelsen.

Säkerhetspolisen skall också fullgöra de uppgifter som Rikspolisstyrelsen har att utföra enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), svara för den beredskapsplanering som Rikspolisstyrelsen har att utföra och lämna tekniskt

biträde åt polisväsendet i den utsträckning som det är lämpligt med hänsyn till verksamhetens art (jfr förordningen med instruktion för Rikspolisstyrelsen).

Säkerhetspolisens verksamhet har granskats vid upprepade tillfällen. Vi finner inte anledning att här närmare gå in på de förändringar verksamheten har genomgått. För en närmare redovisning av den historiska utvecklingen hänvisas till SOU 2000:25 s. 25 ff.

13.1.2. Säkerhetspolisens organisation

Säkerhetspolisen har en självständig ställning inom Rikspolisstyrelsen, men skall informera rikspolischefen om den verksamhet som pågår. Säkerhetspolisen leds av säkerhetspolischefen, som är generaldirektör. Säkerhetspolischefen ansvarar för den löpande verksamheten vid Säkerhetspolisen och för de uppgifter där som i övrigt en myndighets chef har att utföra enligt verksförordningen (1995:1322). Av rikspolischefen avgörs dock sådana frågor på Säkerhetspolisens område som är av särskild vikt och sådana säkerhetsfrågor som också berör andra polismyndigheter.

Vid Säkerhetspolisen finns en stab och fyra huvudenheter. Vid staben finns personal för den övergripande planeringen av Säkerhetspolisens verksamhet och personal för service åt de anställda. Vid staben finns också personal för juridiskt arbete. Varje enhet förestås av en chef. Två av huvudenheterna ansvarar för operativ verksamhet, en för administration och en för teknikfrågor. Inom Säkerhetspolisen finns fyra operativa verksamhetsgrenar. Dessa är säkerhetsskydd, kontraspionage, terrorismbekämpning och författningsskydd.

SÄPO/Rikskrim-kommittén hade i uppdrag att överväga Säkerhetspolisens framtida organisation. I sitt betänkande fann kommittén att en sammanslagning av Säkerhetspolisen och Rikskriminalpolisen bör ske (SOU 2000:25 s. 253 ff.). Frågan om en eventuell sammanslagning bereds för närvarande inom Justitiedepartementet. Vi finner det inte meningsfullt att här försöka utforma regler om behandling av personuppgifter som utgår från någon annan organisationsmodell än den som nu gäller. Våra förslag i detta betänkande bygger därför på Säkerhetspolisens organisation så som den ser ut i dag.

13.2. Registernämnden

En viktig del i granskningen av Säkerhetspolisens verksamhet utförs av Registernämnden. Enligt 1 § förordningen (1996:730) med instruktion för Registernämnden har nämnden till uppgift bl.a. att granska Säkerhetspolisens behandling av uppgifter enligt polisdatalagen, särskilt med avseende på 5 § polisdatalagen som handlar om behandling av känsliga personuppgifter. I 5 § stadgas som nämnts tidigare att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuell läggning (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund får enligt lagrummet uppgifterna kompletteras med sådana uppgifter som nyss angetts, om det är oundgängligen nödvändigt för syftet med behandlingen. Vi har ovan föreslagit att en bestämmelse med samma innehåll införs i den nya lagen (se avsnitt 9.5).

Registernämnden konstaterade i sin verksamhetsberättelse för år 1999 att det inte fanns någon anledning till anmärkningar mot Säkerhetspolisens sätt att sköta personuppgiftsbehandlingen.

I verksamhetsberättelsen för år 2000 hänvisade Registernämnden till en skrivelse benämnd Ang. Registernämndens granskning av Säkerhetspolisens behandling av uppgifter enligt polisdatalagen. Skrivelsen överlämnades till justitieministern i oktober 2000. Regeringen beslutade den 23 november 2000 att överlämna skrivelsen till utredningen. Skrivelsen är bifogad i bilaga 2 till betänkandet. Nämnden framförde i skrivelsen synpunkter på Säkerhetspolisens rutiner för tillämpning av

5 § polisdatalagen vid behandling av personuppgifter i analysdatabaserna.

Registernämnden konstaterade att beslut om behandling av känsliga personuppgifter fattas i särskild ordning när det gäller Säkerhetspolisens centralregister. Den ordningen synes enligt nämnden principiellt ägnad att undvika att sådana uppgifter behandlas i strid mot vad som föreskrivs i 5 § polisdatalagen. Vidare anför nämnden att det beträffande systemet för hemlig teleavlyssning och hemlig teleövervakning samt de fristående analysdatabaserna däremot inte finns någon motsvarande särskild beslutsordning.

Enligt Registernämndens uppfattning uppfyller de rutiner som är förknippade med användning av fristående analysdatabaser inom Säkerhetspolisen de krav som personuppgiftslagen uppställer men de tillämpade arbetsrutinerna är enligt nämnden sådana att det finns anledning att utgå från att bestämmelserna i 5 § polisdatalagen kan

åsidosättas. Nämnden anför att detta delvis är en följd av den tekniska utvecklingen.

Från personuppgiftslagens synpunkt anser Registernämnden att det heller inte finns anledning att invända mot systemet för hemlig teleavlyssning och hemlig teleövervakning men att det inom detta system finns ännu sämre möjligheter att iaktta föreskrifterna i 5 § polisdatalagen.

13.3. Utformning av regler om behandling av personuppgifter i Säkerhetspolisens verksamhet

13.3.1. Den nya regleringen i huvuddrag

Bestämmelserna i den nya lagen om behandling av personuppgifter i Säkerhetspolisens verksamhet bör i huvudsak ha samma innebörd som i dag.

Den särskilda lagregleringen av SÄPO-registret bör inte vara kvar i den nya lagen. Särskilda författningsbestämmelser för något annat av de system som förs av Säkerhetspolisen bör inte införas.

Säkerhetspolisen utgör en fast integrerad del av polisväsendet. Bestämmelser i olika författningar som reglerar polisens verksamhet gäller i huvudsak också för Säkerhetspolisen. Det är därför naturligt att den nya lag som vi här föreslår, liksom polisdatalagen, skall omfatta Säkerhetspolisen.

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna bör också uppmärksammas i sammanhanget. Artikel 8 i konventionen som handlar om den enskildes rätt till skydd för privatlivet har därvid betydelse. Artikeln innebär att bestämmelserna med viss tydlighet måste ange vilka personuppgifter som får antecknas, under vilka förhållanden anteckning får ske och den procedur som skall följas vid anteckning. Konventionens innehåll i relevanta delar och Europadomstolens avgöranden i målen Amann mot Schweiz och Leander mot Sverige har redovisats ovan i avsnitt 2.2.3.

Med ett par undantag som vi återkommer till nedan kommer hela den nya lag som vi här föreslår att gälla även för Säkerhetspolisen. Vi gör därför bedömningen att den reglering som vi föreslår för Säkerhetspolisen uppfyller den europeiska konventionens krav som de

kommit till uttryck genom Europadomstolens avgörande i Amannmålet och i domstolens praxis i övrigt.

Tidigare styrdes Säkerhetspolisens anteckningar delvis av hemliga förordningar. Dessa förordningar har numera upphävts. Samtidigt som polisdatalagen infördes upphävdes den absoluta sekretess som gällt för bl.a. innehållet i Säkerhetspolisens register och ersattes av sekretess med ett omvänt skaderekvisit. Sammantaget har utvecklingen gått mot en ökad öppenhet när det gäller behandling av personuppgifter i Säkerhetspolisens verksamhet. För en närmare redovisning av den tidigare regleringen hänvisas till Ds 2001:8 s. 24 f.

Precis som den öppna polisen står Säkerhetspolisen under tillsyn av JO, JK, Datainspektionen, Riksdagens revisorer och Riksrevisionsverket. Därutöver är dock Säkerhetspolisen genom Registernämndens verksamhet underkastad en särskild insyn och granskning. Något organ som motsvarar Registernämnden finns inte beträffande den öppna polisens verksamhet.

Den nuvarande regleringen i polisdatalagen innebär att behandling av personuppgifter sker enligt reglerna i personuppgiftslagen och i den allmänna delen av polisdatalagen (1–9 §§). Reglerna i polisdatalagen om behandling av uppgifter om kvarstående misstankar (10 och 11 §§) och om kriminalunderrättelseverksamhet och kriminalunderrättelseregister (14–21 §§) gäller dock inte för Säkerhetspolisen. Härutöver finns den särskilda regleringen av SÄPO-registret (32–34 §§).

Vid vår översyn har vi funnit att den reglering som finns i polisdatalagen i huvudsak utgör en lämplig reglering av Säkerhetspolisens verksamhet. Av skäl som strax kommer att framgå anser vi dock att det saknas anledning att ha kvar den särskilda lagregleringen av SÄPOregistret. Registernämndens ovan redovisade synpunkter blir enligt vår mening tillräckligt beaktade genom förslagen om grundläggande bestämmelser för behandlingen (se avsnitt 9.2). Bestämmelserna innebär bl.a. att den personuppgiftsansvarige skall vidta alla rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga i förhållande till ändamålet med behandlingen. Registernämnden och Säkerhetspolisen har också fört diskussioner om hur de synpunkter som Registernämnden presenterat i sin skrivelse lämpligen skall beaktas.

Vi har vid vår inventering av Säkerhetspolisens register upplysts om att det i polisdatalagen särskilt reglerade SÄPO-registret inte fyller någon operativ funktion i Säkerhetspolisens verksamhet. All personuppgiftsbehandling av betydelse för verksamheten sker i andra system. Registret används över huvud taget inte. Det förs enbart för att uppfylla kravet i 32 § polisdatalagen om att Säkerhetspolisen skall föra ett sådant register.

Eftersom det inte förekommer någon personuppgiftsbehandling av betydelse i SÄPO-registret ger reglerna om registret inte något verkligt skydd för den enskildes personliga integritet. I fall reglerna om registret avskaffas innebär det heller inte att Säkerhetspolisens rätt att behandla personuppgifter utvidgas.

I sammanhanget kan inflikas att de angivna förhållandena visar på svagheten med modellen att lagreglera vissa speciella register. Lagstiftningen måste i första hand ta sikte på viss behandling av personuppgifter och inte vissa informationsmängder (jfr avsnitt 12.1).

Sammantaget anser vi på grund av det anförda att den särskilda lagregleringen av SÄPO-registret inte bör vara kvar i en ny polisdatalag. Inte heller finner vi anledning att särskilt lagreglera något annat av de register eller system som förs av Säkerhetspolisen.

Vi fortsätter med att diskutera hur de nya bestämmelserna för Säkerhetspolisen bör vara utformade.

13.3.2. Syften med behandlingen av personuppgifter

Säkerhetspolisen bör få behandla personuppgifter för att underlätta – spaning i syfte att förebygga och avslöja brott mot rikets säkerhet, – spaning i syfte att bekämpa terrorism och – registerkontroll enligt säkerhetsskyddslagen.

Säkerhetspolisens uppgifter består i att bedriva spaning i syfte att förebygga och avslöja brott mot rikets säkerhet och att bedriva spaning i syfte att bekämpa terrorism. En ytterligare uppgift består i att utföra registerkontroller enligt säkerhetsskyddslagen. Den nya lagen bör innehålla en bestämmelse som anger att Säkerhetspolisen får behandla personuppgifter bara för dessa syften. Därigenom anges på ett tydligt sätt en ram för behandlingen av personuppgifter. En regel med i stort sett samma lydelse finns också beträffande SÄPO-registret i 32 § polisdatalagen.

Enligt vårt lagförslag får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Den regeln gäller naturligtvis också för Säkerhetspolisen. I många fall torde regeln medföra att Säkerhetspolisen måste fastställa ändamål som är mer precisa än den nyss föreslagna regeln om tillåtna syften för Säkerhetspolisens behandling av personuppgifter.

13.3.3. Behandling av uppgifter om kvarstående misstankar

Bestämmelserna i den nya lagen om behandling av uppgifter om kvarstående misstankar bör inte gälla för Säkerhetspolisen.

Enligt 12 § polisdatalagen gäller inte den lagens bestämmelser beträffande behandling av uppgifter om kvarstående misstankar för Säkerhetspolisen. Vi har ovan föreslagit att polisdatalagens bestämmelser i 10 och 11 §§ av lagen oförändrade skall överföras till den nya lag som vi föreslår (se avsnitt 9.7).

Som skäl för undantaget i 12 § polisdatalagen anförs i prop. 1997/98:97 s. 104 följande. Rikspolisstyrelsen har påpekat att de uppgifter om enskilda individer som har varit föremål för förundersökning ofta blir aktuella för Säkerhetspolisen efter lång tid och att det därför finns ett behov av att bevara uppgifter om kvarstående misstankar i SÄPO-registret under längre tid. Regeringen instämmer i att det med hänsyn till den särskilda verksamhet Säkerhetspolisen bedriver kan finnas ett berättigat intresse av att behandla sådana uppgifter. Bestämmelserna bör därför inte gälla för Säkerhetspolisen.

De anförda skälen gäller enligt vår mening fortfarande. Det innebär att bestämmelserna i den nya lagen om behandling av uppgifter om kvarstående misstankar inte bör gälla för Säkerhetspolisen.

13.3.4. Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Bestämmelserna i den nya lagen beträffande behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot, bör inte gälla för Säkerhetspolisen.

Bestämmelserna i polisdatalagen om kriminalunderrättelseverksamhet och kriminalunderrättelseregister gäller inte för Säkerhetspolisen. Detta stämmer överens med Registerutredningens förslag (SOU 1997:65 s. 243). Registerutredningen konstaterade att verksamheten vid Säkerhetspolisen är inriktad mot brottslighet som till sin natur är mycket svår att upptäcka samt att verksamheten främst syftar till att skydda vårt nationella oberoende och vår territoriella suveränitet. Skyddsintressenas natur gör det enligt utredningen angeläget att

Säkerhetspolisens handlingsmöjligheter inte begränsas. Registerutredningen anförde också att Säkerhetspolisen till skillnad från den öppna polisen har en lång erfarenhet av att behandla personuppgifter i underrättelseverksamhet. Utredningen ansåg därför att de begränsningar och särskilda regler som föreslogs i betänkandet inte bör gälla för Säkerhetspolisen.

Vi anser att bestämmelserna i polisdatalagen om behandling av personuppgifter i kriminalunderrättelseverksamhet och i kriminalunderrättelseregister inte bör vara kvar i en ny polisdatalag. Nämnda bestämmelser bör enligt vår mening i stället ersättas av bestämmelser om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot (se avsnitt 10.3). Polisdatalagens regler och reglerna i vårt förslag avser dock att skydda samma typer av personuppgifter. De skäl som Registerutredningen anförde har enligt vår mening därför bärighet även på behandling av sådana uppgifter som avses i vårt förslag. Detta leder till att bestämmelserna i den nya lagen om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot, inte bör gälla för Säkerhetspolisen.

14. Ikraftträdande

Den nya polisdatalagen bör kunna träda i kraft den 1 juli 2003, då polisdatalagen (1998:622) bör upphöra att gälla.

Polisdatalagen trädde i kraft den 1 april 1999. För de personregister som den 24 oktober 1998 fördes med Datainspektionens tillstånd gäller dock bestämmelserna i datalagen enligt punkten 2 i övergångsbestämmelserna till polisdatalagen till och med den 31 december 2003. Polisdatalagens regler om utlämnande av uppgifter i 6–8 §§ av lagen gäller dock även beträffande nämnda personregister sedan lagen trädde i kraft.

Vi föreslår i det här betänkandet att en ny polisdatalag införs som ersätter den nuvarande polisdatalagen. Utgångspunkten för ikraftträdandet av den nya lag som vi föreslår blir att lagen skall träda i kraft senast den 1 januari 2004. Det är dock angeläget att övergångstiden till dess att den nya regleringen skall börja gälla inte blir längre än nödvändigt. Det kan inflikas att polisdatalagen enligt de ursprungliga övergångsbestämmelserna skulle gälla fullt ut redan från den 1 september 2001 och inte från den 1 januari 2004. Förslaget till tidpunkt för ikraftträdandet måste dock naturligtvis lämna erforderligt utrymme för lagstiftningsproceduren och för genomförandet av de nya författningarna på myndighetsnivå.

Mot bakgrund av det ovan anförda bedömer vi att den nya lagen bör kunna träda i kraft den 1 juli 2003, då polisdatalagen samtidigt bör upphöra att gälla. De övriga nya författningar som vi föreslår bör träda i kraft samtidigt som den nya polisdatalagen börjar gälla.

Vi har också övervägt behovet av övergångsbestämmelser till de nya författningar som vi föreslår. Enligt vår bedömning behövs det inte några sådana bestämmelser annat än i sekretesslagen. Den nya polisdatalagen och övriga nya författningar bör alltså gälla fullt ut från dagen för ikraftträdandet. När det gäller sekretesslagen anser vi att det behövs en övergångsbestämmelse som föreskriver att äldre bestämmelser om sekretess fortfarande skall gälla i fråga om uppgifter som hänför sig till tiden före ikraftträdandet.

15. Konsekvenser

Förslagen bör ge polisen bättre förutsättningar att arbeta problemorienterat och verka brottsförebyggande.

15.1. Konsekvensanalyser enligt kommittéförordningen

Kommittéer som tillkallats på grund av ett regeringsbeslut och som har ett utredningsuppdrag skall enligt kommittéförordningen (1998:1474) genomföra konsekvensanalyser i skilda hänseenden beträffande de förslag som framställs. Vad som sägs i förordningen om kommittéer gäller också särskilda utredare. Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet (14 §).

Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, skall dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall kommittén eller utredaren föreslå en finansiering. Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna också i det avseendet anges i betänkandet (15 §). Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

15.2. Konsekvenser för det brottsförebyggande arbetet

En viktig utgångspunkt för oss i vårt arbete har varit att en ny lagstiftning skall ge polisen möjlighet att arbeta problemorienterat och verka brottsförebyggande. Vi bedömer också att den nya polisdatalag som vi föreslår ger polisen betydligt större möjligheter än i dag i dessa avseenden. Som vi tidigare konstaterat (se avsnitt 10.3) har regleringen i polisdatalagen kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande. Den nya lagen ger polisen bättre förutsättningar att förebygga t.ex. gängbrottslighet, våld mot kvinnor och brott med rasistiska inslag.

Ett exempel kan illustrera det nyss sagda. När det gäller brott mot kvinnor anmälde Polismyndigheten i Västra Götaland under år 2000 till Datainspektionen för förhandskontroll att myndigheten avsåg att inrätta ett register benämnt kvinnoregistret. Registret skulle enligt anmälningen användas för att effektivt bekämpa och följa upp våld mot kvinnor. I registret skulle utredningsuppgifter om sådan brottslighet registreras. De personer som kunde komma att registreras var bl.a. målsägande, misstänkta och vittnen. Uppgifterna skulle bevaras i tre år från registreringen. Ändamålet med den anmälda behandlingen var enligt anmälan bl.a. att bekämpa brottsaktiva personer och att följa upp de personer som dömts för aktuella brott samt att utföra risk- och hotbildsbedömningar.

Datainspektionen anförde emellertid i ett beslut den 21 januari 2000 att den planerade behandlingen av personuppgifter i kvinnoregistret inte stod i överensstämmelse med de skyddsregler som polisdatalagen föreskriver beträffande kriminalunderrättelseverksamhet. Datainspektionen fann därför att registret stred mot polisdatalagens regler.

Genom de nya regler som vi föreslår i det här betänkandet torde det i betydligt större utsträckning än i dag bli möjligt att inrätta system som på det ovan skisserade sättet syftar till att skydda kvinnor mot att bli utsatta för våldsbrott.

15.3. Övriga konsekvenser

Våra förslag till nya författningar innebär inte att polisen nödvändigtvis behöver förändra den befintliga registerstrukturen. Eftersom förslagen ändrar förutsättningarna för polisen att behandla personuppgifter automatiserat kan naturligtvis förslagen ändå få till följd att nya system inrättas som inte skulle ha kunnat införas med nuvarande lagstiftning.

Kostnaderna för inrättandet av sådana system bör dock täckas av de berörda myndigheternas anslag. Vi bedömer att de förslag som vi lämnar i sig inte ger upphov till kostnader som inte ryms inom berörda myndigheters anslag.

Vi finner slutligen att de framlagda förslagen i övrigt inte får några sådana konsekvenser som motiverar en särskild redovisning.

16. Författningskommentar

16.1. Förslag till polisdatalag

Vi har i den allmänna motiveringen lämnat utförliga kommentarer och skäl till de bestämmelser i den nya polisdatalag som vi föreslår i det här betänkandet. Därför är författningskommentarerna begränsade till att i huvudsak avse hänvisningar till de avsnitt i betänkandet där respektive bestämmelse berörs. Därutöver förekommer dock även hänvisningar till sådana bestämmelser i författningar som berörd bestämmelse bygger på.

1 kap. Lagens syfte och tillämpningsområde

Syftet med lagen

1 §

Paragrafen innehåller en upplysning om syftet med lagen och har i sak samma innebörd som 1 § personuppgiftslagen. Skälen för bestämmelsen redovisas i avsnitt 8.4.1.

Lagens tillämpningsområde

2 §

Paragrafen anger den polisverksamhet som lagen skall tillämpas på. Ordalydelsen av lagrummet stämmer överens med 1 § första och andra styckena polisdatalagen. Skälen för bestämmelsen tas upp i avsnitt 8.4.2.

3 §

Paragrafens första stycke anger vissa fall då lagen inte gäller. Första stycket överensstämmer ordagrant med 1 § tredje stycket polisdatalagen.

Andra och tredje styckena av paragrafen talar om i vilken utsträckning lagen skall tillämpas på personuppgifter i form av bilder eller ljud. Skälen för bestämmelsen redovisas i avsnitt 8.5.

4 §

Paragrafen innehåller en upplysning om att bestämmelserna i personuppgiftslagen gäller vid sådan behandling av personuppgifter i polisens verksamhet som inte avses i 2 eller 3 §. Bestämmelsen berörs i avsnitt 8.4.2.

5 §

Av bestämmelsen i paragrafen framgår att vissa bestämmelser endast gäller vid automatiserad behandling av personuppgifter. I övrigt gäller lagen även manuell behandling. Bestämmelsen har i sak samma innehåll som 5 § personuppgiftslagen och 2 § polisdatalagen. Bestämmelsen berörs i avsnitt 8.3.

Definitioner

6 §

I paragrafen definieras vissa begrepp som används i lagen. Definitionen av DNA-analys motsvarar innehållet i 3 § polisdatalagen. Övriga definitioner har samma betydelse som i 3 § personuppgiftslagen. Bestämmelsen berörs i avsnitt 9.1.

2 kap. Grundläggande principer vid behandling av personuppgifter

Grundläggande krav på behandlingen av personuppgifter

1 §

I paragrafen läggs fast vissa grundläggande krav på behandling av personuppgifter, vilka den personuppgiftsansvarige måste iaktta. Bestämmelsen motsvarar i huvudsak 9 § första stycket personuppgiftslagen och 13 § första stycket polisdatalagen. Reglerna i paragrafen kommenteras i avsnitt 9.2.

2 §

Paragrafen innehåller bestämmelser om behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Paragrafen har

samma innehåll som 9 § andra–fjärde styckena personuppgiftslagen. Bestämmelsen berörs i avsnitt 9.2.

När behandlingen av personuppgifter är tillåten

3 §

I paragrafens första stycke anges när behandling av personuppgifter över huvud taget är tillåten. Skälen för bestämmelsen anges i avsnitt 9.4.

Andra stycket av lagrummet innehåller en regel om behandling av personuppgifter i löpande text och för diarieföring. Skälen för bestämmelsen redovisas i avsnitt 9.4.2.

3 kap. Vissa behandlingar av personuppgifter

Behandling av känsliga personuppgifter

1 §

Paragrafen innehåller en regel om behandling av känsliga personuppgifter. Regeln har samma innehåll som 5 § polisdatalagen och kommenteras i avsnitt 9.5.

Behandling av personnummer

2 §

Paragrafen överensstämmer i huvudsak med 22 § personuppgiftslagen, dock att samtycke inte utgör grund för behandling. Bestämmelsen kommenteras i avsnitt 9.6.

Behandling av uppgifter om kvarstående misstankar

I 3 och 4 §§ finns bestämmelser om behandling av uppgifter om kvarstående misstankar. Skälen för bestämmelserna redovisas i avsnitt 9.7.

3 §

Det finns i paragrafen bestämmelser om automatiserad behandling av uppgifter om kvarstående misstankar i en nedlagd förundersökning. Bestämmelsen har samma lydelse som 10 § polisdatalagen.

4 §

Paragrafen innehåller bestämmelser om automatiserad behandling av uppgifter om kvarstående brottsmisstankar om åtal mot den misstänkte har lagts ner eller om han eller hon genom lagakraftvunnen dom har frikänts. Bestämmelsen har samma innehåll som 11 § polisdatalagen.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Skälen för den nya lagregleringen om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot redovisas utförligt i kapitel 10. Därvid diskuteras bl.a. polisens behov av att behandla sådana personuppgifter och frågan om hur en lagreglering av behandlingen bör vara utformad.

5 §

Paragrafen innehåller bestämmelser som anger de syften för vilka uppgifter om enskilda personer som det inte finns någon misstanke om brott mot får behandlas. Nämnda regler ersätter polisdatalagens regler om kriminalunderrättelseverksamhet och kriminalunderrättelseregister. Bestämmelsen kommenteras i första hand i avsnitten 10.4.1 och 10.4.2.

6 §

Paragrafen innehåller en regel om att aktuella personuppgifter skall förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Bestämmelsen kommenteras i avsnitt 10.4.4.

7 §

Paragrafen innehåller en regel som anger under vilka förutsättningar behandling av aktuella uppgifter får ske för att underlätta övervakning av personer som kan antas komma att begå brott. Bestämmelsen kommenteras i avsnitt 10.4.5.

8 §

Paragrafen innehåller en regel om att den personuppgiftsansvarige vid aktuell behandling av personuppgifter särskilt skall besluta ändamål för behandlingen av personuppgifter och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet. Skälen för bestämmelsen framgår av avsnitt 10.4.6.

9 §

Paragrafen innehåller regler om gallring av aktuella uppgifter. Bestämmelsen kommenteras i avsnitt 10.4.7.

10 §

Paragrafen anger vissa fall då bestämmelserna i 5–9 §§ inte gäller. Skälen för bestämmelsen anges i 10.4.2.

Behandling av uppgifter på Internet om efterlysningar av enskilda personer

11 §

Paragrafen innehåller en bestämmelse om efterlysning av enskilda personer på Internet med anledning av att personerna är misstänkta för brott eller har avvikit från verkställighet av påföljd. Skälen för bestämmelsen anges i avsnitt 9.8.

4 kap. Särskilt om behandling av personuppgifter hos Säkerhetspolisen

1 §

I paragrafen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens verksamhet. Skälen för regleringen redovisas ingående i kapitel 13.

5 kap. Register

Spaningsregister

5 kap. Register

I 1–6 §§ finns bestämmelser om spaningsregister. Skälen för den nya lagregleringen redovisas utförligt i kapitel 11. Därvid diskuteras bl.a. polisens behov av det allmänna spaningsregistret och frågan om hur en lagreglering av registret bör vara utformad.

1 §

Paragrafen innehåller en bestämmelse, som säger att Rikspolisstyrelsen får föra ett allmänt spaningsregister för polisens spaningsverksamhet.

2 §

Paragrafen innehåller en bestämmelse om ändamål för det allmänna spaningsregistret. Bestämmelsen kommenteras i avsnitt 11.3.2.

3 §

Bestämmelsen anger förutsättningarna för att i det allmänna spaningsregistret föra in uppgifter som kan hänföras till en enskild person. Bestämmelsen kommenteras i avsnitt 11.3.3.

4 §

Bestämmelsen innehåller den närmare regleringen av vilka personuppgifter som får eller skall antecknas. Skälen för bestämmelsen finns i avsnitt 11.3.3.

5 §

I paragrafen finns bestämmelser om gallring av uppgifter i det allmänna spaningsregistret. Skälen för bestämmelserna anges i avsnitt 11.3.4.

6 §

I paragrafen anges att vissa bestämmelser i lagen inte gäller vid behandling av personuppgifter i det allmänna spaningsregistret. Bestämmelsen kommenteras i avsnitt 11.3.1.

Register med uppgifter om DNA-analyser i brottmål

I 7–13 §§ finns bestämmelser om register med uppgifter om DNAanalyser i brottmål. Skälen för bestämmelserna redovisas i avsnitt 12.2.

7 §

Paragrafen innehåller bestämmelser om ändamål för behandlingen i registren. Lagrummet har i huvudsak samma innebörd som 22 § polisdatalagen.

8 §

Paragrafen anger vilka uppgifter som får behandlas i DNA-registret. Bestämmelsen har samma lydelse som 23 § polisdatalagen.

9 §

Bestämmelsen innebär att registrering av ett analysresultat skall begränsas till uppgifter som ger information om den registrerades identitet. Bestämmelsen har samma innehåll som 24 § polisdatalagen.

10 §

Paragrafen innehåller bestämmelser om vilka uppgifter som får finnas i spårregistret. Bestämmelsen har samma innehåll som 25 § polisdatalagen.

11 §

Paragrafen innehåller regler om användningen av spårregistret. Bestämmelsen har samma innehåll som 26 § polisdatalagen.

12 §

Paragrafen innehåller bestämmelser om gallring av uppgifter i DNAregistret och i spårregister. Innehållet i paragrafen är samma som i 27 § polisdatalagen.

13 §

Paragrafen innehåller särskilda bestämmelser om prover som härrör från målsägande och andra som inte misstänks för brott. Bestämmelsen har samma innehåll som 28 § polisdatalagen.

Fingeravtrycks- och signalementsregister

I 14–16 §§ finns bestämmelser om behandling av personuppgifter om fingeravtryck, signalement och särskilda kännetecken för att underlätta identifieringen av personer i samband med brott. Skälen för regleringen av fingeravtrycks- och signalementsregister i 14–16 §§ redovisas i avsnitt 12.3.

14 §

Bestämmelsen i paragrafen handlar om ändamål och har samma innehåll som 29 § polisdatalagen.

15 §

I paragrafen finns regler om innehållet i fingeravtrycks- och signalementsregister. Innehållet i bestämmelsen är bortsett från notistypen brottskoder samma som i 30 § polisdatalagen.

16 §

Paragrafen innehåller regler om gallring av uppgifter ur fingeravtrycksoch signalementsregister. Den har samma innehåll som 31 § polisdatalagen.

6 kap. Information till den enskilde, rättelse och säkerheten vid behandling

Information till den enskilde

6 kap. Information till den enskilde, rättelse och säkerheten vid behandling

I 1–5 §§ finns bestämmelser om information som den personuppgiftsansvarige skall lämna till enskilda vars personuppgifter behandlas. Bestämmelserna berör två olika situationer. För det första gäller det sådan information om behandlingen av personuppgifter som den personuppgiftsansvarige självmant skall lämna den enskilde i samband med att personuppgifterna samlas in. Den andra situationen gäller information om behandlingen av personuppgifter som den personuppgiftsansvarige skall lämna den enskilde först när denne begär det.

Skälen för bestämmelserna i 1–5 §§ om information till enskilda redovisas i avsnitt 9.9.

1 §

I paragrafen berörs den situationen att information om behandlingen av personuppgifter som den personuppgiftsansvarige självmant skall lämna till den enskilde när uppgifterna samlas in från denne själv. Första stycket i paragrafen har samma innebörd som 23 § personuppgiftslagen. Andra och tredje styckena har däremot inga motsvarigheter i personuppgiftslagen.

2 §

Paragrafen berör information om behandlingen av personuppgifter som den personuppgiftsansvarige självmant skall lämna till den enskilde när personuppgifter samlas in från någon annan källa än den enskilde själv. Bestämmelsen har samma innebörd som 24 § personuppgiftslagen.

3 §

Paragrafen innehåller bestämmelser om vilken information om behandlingen av personuppgifter som den personuppgiftsansvarige självmant skall lämna enskilda enligt 1 och 2 §§. Bestämmelsen har samma innehåll som 25 § personuppgiftslagen.

4 §

Paragrafen berör enskildas rätt att på ansökan få information rörande de personuppgifter som behandlas. Bestämmelsen har samma innehåll som 26 § personuppgiftslagen.

5 §

Paragrafen berör förhållandet mellan skyldigheten enligt 1–4 §§ att självmant eller efter ansökan lämna information och bestämmelser om sekretess och tystnadsplikt och föreskriver att de sistnämnda reglerna går före. Bestämmelsen har samma innebörd som 27 § personuppgiftslagen.

Rättelse

6 §

Lagrummet innehåller bestämmelser om den enskildes rätt att på begäran få personuppgifter korrigerade och om den personuppgiftsansvariges skyldighet att underrätta tredje man, till vilken uppgifterna lämnats ut, om vidtagna korrigeringsåtgärder. Bestämmelserna motsvarar innehållet i 28 § personuppgiftslagen och 9 § polisdatalagen. Bestämmelserna kommenteras i avsnitt 9.10.

Säkerheten vid behandling

I 7–9 §§ finns bestämmelser om säkerhet vid behandling av personuppgifter samt om direkt åtkomst till uppgifter som behandlas. Skälen för bestämmelserna redovisas i avsnitt 9.11.

7 §

Bestämmelserna i 7 § föreskriver att den som arbetar med personuppgifter bara får behandla dessa i enlighet med instruktioner från den personuppgiftsansvarige. Vidare berörs i paragrafen den situationen att den personuppgiftsansvarige anlitar ett personuppgiftsbiträde. Bestämmelserna i paragrafen har samma innehåll som 30 § personuppgiftslagen.

8 §

Paragrafen innehåller bestämmelser om säkerhetsåtgärder. Bestämmelserna har samma innehåll som 31 § personuppgiftslagen.

9 §

Paragrafen innehåller en bestämmelse om direkt åtkomst till personuppgifter. Bestämmelsen kommenteras i avsnitt 9.11.2.

7 kap. Övriga bestämmelser

Förhållandet till offentlighetsprincipen

1 §

Paragrafen berör lagens förhållande till offentlighetsprincipen samt Rikspolisstyrelsens och polismyndigheternas arkivering. Bestämmelsen har i sak samma innebörd som 8 § personuppgiftslagen. Den kommenteras i avsnitt 9.12.

Utlämnande av uppgifter

Bestämmelserna i 2–4 §§ handlar om utlämnande av uppgifter. Skälen för bestämmelserna redovisas i avsnitt 9.13.

2 §

I paragrafen finns en bestämmelse som medför att uppgifter som behövs för rättsstatistiken får lämnas ut utan sekretessprövning. Bestämmelsen har samma innehåll som 6 § polisdatalagen.

3 §

Paragrafen innehåller bestämmelser om att uppgifter i vissa fall får lämnas ut till utländska myndigheter och organisationer utöver vad som följer av 1 kap. 3 § tredje stycket sekretesslagen. Bestämmelsen har samma innehåll som 7 § polisdatalagen.

4 §

Regeringen bemyndigas i denna paragraf att föreskriva att uppgifter får lämnas ut även i andra fall än de som avses i 2 och 3 §§. Bestämmelsen har samma innehåll som 8 § polisdatalagen.

Anmälan till tillsynsmyndigheten

I 5–10 §§ finns det bestämmelser om anmälningsskyldighet till tillsynsmyndighet och till personuppgiftsombud. Vidare innehåller paragraferna regler om personuppgiftsombudets uppgifter. Skälen för bestämmelserna redovisas i avsnitt 9.14.

5 §

Paragrafen innehåller bestämmelser om anmälningsskyldighet i fråga om behandling av personuppgifter och i fråga om personuppgiftsombud samt ett bemyndigande för regeringen eller den myndighet som

regeringen bestämmer att meddela föreskrifter om undantag från skyldigheten att anmäla behandling av personuppgifter. Bestämmelsen har samma innehåll som 36 § personuppgiftslagen.

6 §

Om den personuppgiftsansvarige har utsett ett personuppgiftsombud skall enligt lagrummet anmälan om sådan behandling som avses i 5 § göras till personuppgiftsombudet i stället för till tillsynsmyndigheten. Bestämmelsen har delvis samma innebörd som 37 § personuppgiftslagen.

7 §

Paragrafen innehåller bestämmelser om vilka uppgifter ett personuppgiftsombud har att utföra. Bestämmelserna har samma innehåll som 38 § personuppgiftslagen.

8 §

Personuppgiftsombudet är enligt paragrafen skyldigt att föra en förteckning över de behandlingar som den personuppgiftsansvarige skall utföra. Bestämmelsen har samma innebörd som 39 § personuppgiftslagen.

9 §

Enligt paragrafen skall personuppgiftsombudet hjälpa enskilda att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Bestämmelsen har samma innebörd som 40 § personuppgiftslagen.

10 §

Paragrafen innehållet ett bemyndigande för regeringen att meddela föreskrifter om att sådana behandlingar som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas för förhandskontroll till tillsynsmyndigheten. Bestämmelsen har samma innehåll som 41 § personuppgiftslagen.

Upplysningar till allmänheten om behandlingar som inte anmälts

11 §

Paragrafen ålägger den personuppgiftsansvarige en generell skyldighet att till var och en som efterfrågar det lämna information om behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten och anger hur långt skyldigheten sträcker sig i förhållande till intresset

av skydd för de personuppgifter som behandlas. Bestämmelsen har samma innehåll som 42 § personuppgiftslagen. Den kommenteras i avsnitt 9.15.

Skadestånd

12 §

Paragrafen innehåller bestämmelser om skadestånd till den enskilde vid behandling av personuppgifter i strid med lagen. Bestämmelser motsvarar innehållet i 48 § personuppgiftslagen och i 9 § polisdatalagen. Bestämmelsen kommenteras i avsnitt 9.17.

Överklagande

13 §

Paragrafen innehåller regler om överklagande av tillsynsmyndighetens beslut. Bestämmelsen har i sak samma innebörd som 51 § personuppgiftslagen. Lagrummet kommenteras i avsnitt 9.19.

14 §

Paragrafen innehåller en regel om överklagande av en myndighets beslut om rättelse och om information. Bestämmelsen kommenteras i avsnitt 9.19.

16.2. Förslag till lag om ändring i sekretesslagen (1980:100)

5 kap.

1 §

Paragrafen reglerar sekretess för att skydda bl.a. uppgifter i polisens underrättelseverksamhet. Ändringen är en följd av att en ny polisdatalag föreslås och av att begreppet underrättelseverksamhet inte förekommer i den nya lagen. Någon ändring i sak i förhållande till gällande rätt är inte avsedd.

7 §

Paragrafen innehåller bestämmelser om sekretess i verksamhet som avser rättslig hjälp på begäran av annan stat. I andra stycket av lagrummet görs en hänvisning till polisdatalagen. Som följd av att en

ny polisdatalag föreslås skall hänvisningen avse den nya lagen. Lagändringen är redaktionell och innebär ingen ändring i sak av gällande rätt.

7 kap.

41 §

Paragrafen innehåller bestämmelser om sekretess hos polismyndighet och åklagarmyndighet, samt hos Rikspolisstyrelsen, Tullverket, Kustbevakningen och Migrationsverket, för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem. I tredje stycket hänvisas till polisdatalagen. I konsekvens med våra övriga lagförslag bör hänvisningen avse den nya lag som vi föreslår. Lagändringen är redaktionell och innebär ingen ändring av gällande rätt i sak.

9 kap.

17 §

Paragrafen innehåller bestämmelser om sekretess med hänsyn till enskilds förhållanden av såväl personlig som ekonomisk natur. I första stycket punkten 6 och i fjärde stycket punkten 3 görs hänvisningar till polisdatalagen. Med anledning av att en ny polisdatalag föreslås bör hänvisningarna avse den nya lagen. Lagändringarna är redaktionella och innebär ingen ändring av gällande rätt i sak.

16.3. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

12 §

Paragrafen definierar vad som i lagen avses med begreppet registerkontroll. Ändringen är en följd av att en ny polisdatalag föreslås och av att begreppen särskild undersökning och kriminalunderrättelseverksamhet inte förekommer i den nya lagen. Någon ändring i sak i förhållande till gällande rätt är inte avsedd.

21 §

Paragrafen innehåller regler om utlämnande av uppgifter vid registerkontroll. Ändringen är en följd av att en ny polisdatalag

föreslås. Någon ändring i sak i förhållande till gällande rätt är inte avsedd.

22 §

Paragrafen innehåller regler om utlämnande vid registerkontroll av uppgifter som finns hos Säkerhetspolisen. Ändringen är en följd av att en ny lag föreslås. Någon ändring i sak i förhållande till gällande rätt är inte avsedd.

16.4. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

5 §

Paragrafen innehåller regler om tillåtna behandlingar. Ändringen är en följd av att en ny polisdatalag föreslås. Någon ändring i sak i förhållande till gällande rätt är inte avsedd.

Särskilt yttrande

Särskilt yttrande av Anna-Karin Waldton

Offentliga uppgifter kan med de föreslagna bestämmelserna fritt göras allmänt tillgängliga på Internet respektive fritt lämnas ut till tredje land om det inte rör sig om sådana efterlysningar som omnämns i författningsförslaget. Det är svårt att överblicka konsekvenserna av en sådan ordning. Risk för intrång i enskilds personliga integritet kan uppstå när det inte framgår i vilka fall och under vilka förutsättningar polisen får göra personuppgifter allmänt tillgängliga på Internet.

Bestämmelsen som finns i 33 § personuppgiftslagen om förbud mot överföring av personuppgifter till tredje land bör därför även fortsättningsvis gälla för polisens verksamhet enligt polisdatalagen. Finns det anledning att göra ytterligare undantag från överföringsförbudet bör det i stället införas bestämmelser härom.

Bilaga 1

Kommittédirektiv

Genomförandet av

Dir.

polisregisterlagstifningen

1999:99

Beslut vid regeringssammanträde den 9 december 1999.

Sammanfattning av uppdraget

En särskild utredare skall tillsättas för att följa genomförandet av den nya polisregisterlagstiftningen. Utredaren skall analysera konsekvenserna av den nya regleringen om polisens rätt att behandla personuppgifter automatiserat. En särskild analys skall göras av de samlade konsekvenerna från integritetssynpunkt av lagstiftningen på området.

Utredaren skall överväga om fler register än i dag bör regleras särskilt i lagstiftningen och i så fall lägga fram förslag till sådana regleringar. I övrigt skall utredaren peka på eventuella reformbehov.

En ny utgångspunkt för behandling av personuppgifter

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Lagen ersätter datalagen (1973:289) och syftar till att hindra att den personliga integriteten kränks genom behandling av personuppgifter.

Personuppgiftslagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Lagen är generellt tillämplig och omfattar även sådana verksamheter som faller

utanför EG-rätten. Avvikande bestämmelser i lag eller förordning gäller dock framför personuppgiftslagen.

Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.

Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Personuppgiftslagen innehåller vissa grundläggande krav på hur uppgifter får behandlas. Dessa krav innebär bl.a. att personuppgifter får behandlas endast för särskilda, uttryckligt angivna och berättigade ändamål. Enligt huvudregeln får behandling av uppgifter endast ske med samtycke från den registrerade. Från den regeln finns det dock flera undantag, t.ex. om det är nödvändigt att behandla personuppgifter för att en arbetsuppgift av allmänt intresse skall kunna utföras eller för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.

Om en behandling av personuppgifter för ett visst ändamål har påbörjats före den 24 oktober 1998, gäller fortfarande datalagen till den 1 oktober 2001.

Den nya polisregisterlagstiftningen

Polisens möjligheter att föra kriminal- och polisregister har hittills reglerats av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, finns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister förs också med stöd av Datainspektionens tillstånd enligt datalagen (1973:289).

Sedan den 1 april i år gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1998:622). Den nya lagen bygger på personuppgiftslagen (1998:204) och innehåller de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om polisens register. Lagstiftningen, som har antagits av riksdagen, (prop. 1997/98:97, bet. 1997/98:JuU20, rskr 1997/98:276) består av tre nya lagar. Dessa är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och polisdatalagen (1998:622). Vidare görs vissa ändringar i sekretesslagen (1980:100). Av tekniska skäl har uppbyggnaden av de nya registren försenats. Regeringen har dock nyligen beslutat att lagen om belastningsregister och lagen om misstankeregister skall träda i kraft den 1 januari 2000 (SFS 1999:1134).

De register som är under uppbyggnad inom Europol och den svenska enheten av Schengens informationssystem (SIS) kommer också att få stor betydelse för den svenska polisen och de bör därför omnämnas i samband med en redogörelse av den nya polisregisterlagstiftningen.

Lagen om belastningsregister

Lagen (1998:620) om belastningsregister innehåller bestämmelser om registrering av utdömda påföljder. Registreringen skall ersätta den registrering av påföljder som för närvarande sker i person- och belastningsregistret med stöd av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m.

Belastningsregistret skall föras för att olika myndigheter, främst inom rättsväsendet, på ett enkelt sätt skall få tillång till de uppgifter om utdömda påföljder de behöver i sin verksamhet.

Lagen om misstankeregister

Lagen (1998:621) om misstankeregister innehåller bestämmelser om registrering av personer mot vilka förundersökning inletts. Tidigare registrerades sådana misstankeuppgifter tillsammans med uppgifter om utdömda påföljder i person- och belastningsregistret.

Misstankeregistret skall föras för att underlätta samordningen av olika förundersökningar. Ett annat ändamål med registret är att förse olika myndigheter, främst inom rättsväsendet, med de uppgifter om brottsmisstankar de behöver i sin verksamhet.

Polisdatalagen

Polisdatalagen (1998:622), som trädde i kraft den 1 april 1999, innehåller dels allmänna bestämmelser om polisens behandling av personuppgifter, dels särskilda bestämmelser om automatiserad behandling av personuppgifter. Polisdatalagen gäller utöver personuppgiftslagen och innehåller den särreglering som ansetts nödvändig för polisens verksamhet. Lagen innehåller såväl inskränkningar som utvidgningar i förhållande till personuppgiftslagen. Några register regleras särskilt i polisdatalagen, nämligen kriminalunderrättelseregister, DNA-register, fingeravtrycks- och signalementsregister samt SÄPO-registret.

Europol

Medlemsstaterna i Europeiska unionen har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effektiviteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definierad brottslighet, t.ex. grova narkotikabrott eller gränsöverskridande handel med barn som utnyttjas sexuellt.

Europols arbetsuppgifter skall i första hand bestå av att underlätta informationsutbytet mellan medlemsstaterna, inhämta, sammanställa och analysera information och underrättelser samt delge de nationella enheterna de underrättelser som berör deras länder. Europol skall ha ett informationssystem bestående av ett informationsregister med begränsat tydligt innehåll som tillåter snabb sökning av de uppgifter som finns hos medlemsstaterna och hos Europol, analysregister för arbetet i olika undersökningar och ett indexregister, som innehåller vissa uppgifter från analysregistren.

Schengens informationssystem (SIS)

Sverige har även anslutit sig till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr 1997/98:121). För närvarande pågår lagstiftningsarbete och annat förberedelsearbete med sikte på att Sverige skall kunna bli operativ medlem under år 2000.

Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att personkontrollerna vid nationsgränserna mellan Schengenstaterna skall upphöra. Den

andra är att kampen skall stärkas mot internationell kriminalitet och illegal invandring. Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). Registret är uppbyggt som ett spanings- och efterlysningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att någon åtgärd skall vidtas när den efterlysta personen påträffas. I SIS förekommer endast identifieringsuppgifter av dessa personer. De kompletterande uppgifter som behövs för att ett land som har påträffat den efterlyste skall kunna verkställa åtgärden lämnas över först när det blir aktuellt i varje enskilt fall genom direkt kontakt mellan de berörda länderna.

Behovet av en översyn

En omfattande ny lagstiftning

För polisens del innebär personuppgiftslagen, tillsammans med den särreglering som görs i polisdatalagen, att möjligheterna till automatiserad behandling av personuppgifter ökar. Tidigare hade polisen t.ex. inte möjlighet att behandla personuppgifter automatiserat i kriminalunderrättelseverksamhet, dvs. för att klargöra om brottslig verksamhet har utövats eller kan komma att utövas. Genom den nya lagstiftningen har polisen fått vissa sådana möjligheter. Polisen har också fått nya möjligheter att behandla uppgifter automatiserat i särskilda register, t.ex. i kriminalunderrättelseregister och DNAregister.

Den nya lagstiftningen om polisens rätt att behandla personuppgifter är totalt sett omfattande. Det är frågan om tre helt nya lagar som bygger på den nya personuppgiftslagen och för att de skall komma i praktisk tillämpning krävs en omfattande teknisk uppbyggnad. Mot denna bakgrund finns det ett behov av att noga följa införandet av den nya registerstrukturen och på så sätt snabbt kunna uppmärksamma ett eventuellt behov av justeringar.

Register som förs med Datainspektionens tillstånd

Polisdatalagen innehåller bara bestämmelser om vissa register, nämligen register som innehåller sådana känsliga uppgifter att en särreglering i förhållande till personuppgiftslagen bedömts nödvändig. Hos polisen förs för närvarande ett stort antal andra register såväl centralt som lokalt. Flertalet av dessa är närmare beskrivna i bilaga 5 till Registerutredningens slutbetänkande Polisens register (SOU

1997:65). Någon redogörelse för registrens innehåll ges därför inte här. Till de centrala registren hör t.ex. allmänt spaningsregister (ASP), centrala brottsspaningsregistret (CBS), beslags- och analysregistret (BAR), U-boksregistret, Interpolregistret, personefterlysningsregistret (EP) och passregistret. Till de lokala registren hör t.ex. rationell anmälansrutin (RAR) och förundersökningsregister (FU). Rikskriminalpolisen för vidare, efter tillstånd av regeringen, ett datoriserat referensbibliotek över barnpornografi.

Polisen är även en stor användare av det statliga personadressregistret (SPAR) som förs med stöd av lagen (1998:527) om det statliga personadressregistret. I anslutning till SPAR för polisen en rad register, tekniskt nära knutna till SPAR, med tillstånd från Datainspektionen.

De register som för närvarande förs med Datainspektionens tillstånd får föras till och med den 30 september 2001. De flesta register kommer även därefter att kunna föras med stöd av polisdatalagen och personuppgiftslagen. Målsättningen är dock fortfarande att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (jfr prop. 1997/98:97 s. 114 och prop 1997/98:44 s. 41). Mot denna bakgrund finns det anledning att undersöka om det finns ett behov av att författningsreglera ytterligare register.

Det finns också ett behov av att utreda hur möjligheterna att lagra bilder, ljud och andra upptagningar på datamedium förhåller sig till polisdatalagen och personuppgiftslagen. Ett exempel på ett register bestående av bilder är det digitala referensbiblioteket över barnpornografiska framställningar som förs av Rikskriminalpolisen. Även beträffande sådana register bör frågan om lagreglering övervägas.

Utbyggnaden av nätverk inom polisen, s.k. intranät, har gett polisen nya möjligheter att förmedla information. Detta är också ett område där det finns anledning att noga följa utvecklingen och bevaka vad den nya lagstiftningen kommer att få för konsekvenser.

Integritetsfrågor

De nya tekniska möjligheterna att behandla uppgifter automatiserat medför ofrånkomligt ökade risker för intrång i den enskildes personliga integritet. En utgångspunkt för lagstiftningen om polisens register har därför varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. Det saknas i och för sig skäl att nu ompröva den avvägning som kommit till uttryck genom polisregisterlagstiftningen.

Balansgången mellan integritet och effektivitet är emellertid inte helt okomplicerad. Från integritetssynpunkt är den praktiska tillämpningen av lagstiftningen av avgörande betydelse. Med lagstiftningen avses då inte enbart den egentliga polisregisterlagstiftningen, utan den totala effekten av tillämpningen av den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av information. Lagstiftning om polisens arbetsmetoder är naturligtvis av stor betydelse i sammanhanget, liksom det ökade internationella samarbetet, t.ex. Sveriges tillträde till Europol- och Schengenkonventionerna. Ny teknik i form av lagring av personuppgifter i form av digitala bilder, ljud etc. innebär också helt nya möjligheter för polisens arbetssätt. Från integritetssynpunkt är det därför viktigt att på ett övergripande sätt följa såväl den praktiska tillämpningen av lagstiftningen i sin helhet som den tekniska utvecklingen. Också mot denna bakgrund är det angeläget att den nya lagstiftningen noga följs upp och utvärderas.

Uppgifter för utredaren

En särskild utredare skall, mot bakgrund av vad som nu har redovisats, följa genomförandet av lagstiftningen och påtala eventuella brister, särskilt från integritetssynpunkt.

Utredaren skall inventera de register som förs inom polisen med stöd av personuppgiftslagen (1998:204) och polisdatalagen (1998:622) samt, övergångsvis, med stöd av Datainspektionens tillstånd. Utredaren skall vidare kartlägga i vilken utsträckning personuppgifter behandlas automatiserat på annat sätt än i traditionella register. Utredaren skall även undersöka hur informationsutbytet med Europol fungerar.

Utredaren skall göra en särskild analys av vilka konsekvenser den nya lagstiftningen om polisens register har fått för den enskildes personliga integritet. I det sammanhanget skall effekten av all den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av personuppgifter beaktas. Mot bakgrund av vad som tidigare anförts blir en viktig uppgift för utredaren att följa konsekvenserna av nya arbetssätt och ny teknik. Resultatet av analysen skall ställas mot de effekter lagstiftningen har fått för polisens brottsförebyggande och brottsbekämpande verksamhet.

I utredningsuppdraget ingår självfallet också att uppmärksamma eventuella tillämpningssvårigheter och belysa eventuella brister i lagstiftningen. En fråga som särskilt skall uppmärksammas i det sammanhanget är hur personuppgiftslagens bestämmelser om information till den registrerade tillämpas.

Utredaren skall på grundval av inventeringen överväga om något av de register som för närvarande förs med Datainspektionens tillstånd är av sådan omfattning att det bör författningsregleras och i så fall föreslå en sådan reglering.

I uppdraget ingår också att utreda hur utvecklingen av den digitala tekniken påverkat polisens arbetsmetoder t.ex. i form av lagring av personuppgifter i form av bilder, ljud etc. I det sammanhanget skall utredaren också överväga om det digitala referensbibliotek över barnpornografiska framställningar som Rikskriminalpolisen för bör lagregleras.

Utredaren skall, mot bakgrund av det som framkommit vid analysen av konsekvenserna av den nya lagstiftningen, överväga om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.

Utredaren skall lägga fram fullständiga förslag till de författningsändringar som anses motiverade för att uppnå tillräcklig grad av författningsreglering av befintliga register. I övriga delar skall arbetet inriktas på att analysera och identifiera behov av ytterligare reformer på området. Redovisningen skall därvid ske på ett överskådligt sätt utan att förslag till författningsändringar behöver utarbetas.

Uppdragets genomförande

Under uppdraget skall utredaren samråda med Rikspolisstyrelsen, Riksåklagaren, Ekobrottsmyndigheten och Datainspektionen. Om utredaren anser det befogat skall samråd även ske med Registernämnden.

Utredaren skall även följa arbetet med den lagstiftning som föranleds av Sveriges tillträde till Schengen.

Förslagets konsekvenser skall redovisas enligt vad som anges i 14 och 15 §§kommittéförordningen (1998:1474).

Uppdraget skall redovisas slutligt senast vid utgången av år 2001.

(Justitiedepartementet)

Bilaga 2

Skrivelser som regeringen överlämnat till utredningen

Bilagan finns i sin helhet endast i den tryckta upplagan.