SOU 2011:20

Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 25 februari 2010 att tillkalla en särskild utredare för att dels göra en analys av hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet, dels analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att Sverige ska leva upp till bestämmelserna i Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån, Europol (Europolrådsbeslutet) och vid behov utarbeta nödvändiga författningsförslag.

Samma dag förordnades kammarrättslagmannen Sten Wahlqvist som särskild utredare.

Som experter att biträda utredningen förordnades från och med den 22 mars 2010 rättsliga experten Helena Bontin, Skatteverket, rådmannen Lars Dahlström, Förvaltningsrätten i Göteborg, juristen Nicklas Hjertonsson, Datainspektionen, verksjuristen Ulf Jonare, Kriminalvården, biträdande enhetschefen Tommy Kangasvieri, Rikspolisstyrelsen, rådmannen Peder Liljeqvist, Förvaltningsrätten i Malmö, t.f. chefsjuristen Johan Lindmark, Ekobrottsmyndigheten, juristen Malin Lundberg, Tullverket, rättssakkunniga Leena Reinikainen, Finansdepartementet, numera chefsjuristen Sara Thörngren, Kustbevakningen, ämnesrådet Annika Waller, Justitiedepartementet, och chefsåklagaren Solveig Wollstad, Åklagarmyndigheten.

Från och med den 12 januari 2011 förordnades vidare som experter att biträda utredningen verksjuristen Ann-Marie Ahlqvist, Kronofogdemyndigheten, rättssakkunniga Jenny Ferm, Justitie-

departementet, verksjuristen Yvette Glantz, Rikspolisstyrelsen, rättslige experten Lars Haglund, Skatteverket, stabsjuristen Drazenko Jozic, Försäkringskassan, biträdande chefsjuristen Marija Momcilovic, Säkerhetspolisen och verksjuristen Erik Stenström, Migrationsverket.

Från och med den 25 januari 2011 förordnades också chefsjuristen Hans-Olof Lindblom, Datainspektionen, som expert att biträda utredningen.

Ingen av de experter som förordnades från och med den 12 januari 2011 eller från och med den 25 januari 2011 har deltagit i arbetet med utredningens delbetänkande (se nedan).

Som sekreterare anställdes från och med den 1 april 2010 kammarrättsassessorn Hans Wikner.

Regeringen beslutade den 21 oktober 2010 om en utvidgning av och förlängd tid för uppdraget, varvid den särskilde utredaren gavs i uppdrag att – utöver det som omfattas av de ursprungliga direktiven – även se över de regler om sekretess och utbyte av information mellan myndigheter som gäller när myndigheterna samverkar i bekämpningen av grov organiserad brottslighet.

Enligt tilläggsdirektiven beslutades att uppdraget skulle redovisas senast den 1 december 2011, i stället för den ursprungligen angivna tidpunkten den 1 februari 2011.

Den särskilde utredaren gavs dock frihet att under utredningstiden välja att redovisa någon del av utredningen särskilt.

Utredningen har antagit namnet Utredningen om informationsutbyte vid brottsbekämpning m.m. (Ju 2010:02).

Utredningen överlämnar härmed delbetänkandet

DATASKYDD VID EUROPEISKT POLISIÄRT OCH STRAFFRÄTTSLIGT SAMARBETE Dataskyddsrambeslutet, Europolanställdas befattning med hemliga uppgifter (SOU 2011:20).

Arbetet har bedrivits i nära samråd med berörda experter. Betänkandet är därför skrivet i vi-form.

Arbetet fortsätter nu med tilläggsdirektiven.

Stockholm i februari 2011

Sten Wahlqvist

/Hans Wikner

Sammanfattning

Dataskyddsrambeslutet

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Dataskyddsrambeslutet utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.

Dataskyddsrambeslutets bestämmelser innehåller i huvudsak följande. Syfte och tillämpningsområde (artikel 1), definitioner (artikel 2), grundläggande principer för personuppgiftsbehandlingen, bl.a. principer om ändamål (artikel 3), rättelse, radering och blockering samt regelbunden kontroll av nödvändigheten av lagringen av uppgifterna (artiklarna 4 och 5), behandling av känsliga uppgifter (artikel 6), bestämmelser som stadgar att ett automatiserat beslutsförfarande är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen (artikel 7), kvalitetskontroll (artikel 8), registrering och dokumentation (artikel 10), bestämmelser om begränsningar i rätten att behandla uppgifter, däribland tidsfrister för gallring av uppgifter, iakttagande av nationella restriktioner och andra användarbegränsningar (artiklarna 9 och 12), förutsättningar för överföring av uppgifter till tredjeland, internationella organ och privata subjekt i medlemsstaterna (artiklarna 13 och 14), den registrerades rättigheter i olika avseenden, bl.a. rätt till information,

rättelse, skadestånd och tillgång till rättsmedel (artiklarna 16–20), tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter (artiklarna 21 och 22), föregående samråd (artikel 23), påföljder (artikel 24), nationella tillsynsmyndigheter (artikel 25), förhållandet mellan dataskyddsrambeslutet och andra överenskommelser med tredjeland respektive befintliga rättsakter (artiklarna 26 och 28).

Sverige har genom beslut av riksdagen den 30 oktober 2008 (bet. 2008/09:JuU7, rskr. 2008/09:41) godkänt utkastet till dataskyddsrambeslutet. Som grund för beslutet har regeringens proposition den 18 september 2008 om Godkännande av dataskyddsrambeslutet (2008/09:16) legat, i vilken det gjordes en preliminär bedömning av vilka lagändringar som kunde bli nödvändiga med anledning av dataskyddsrambeslutet. Propositionen innehöll dock inte några lagförslag.

I våra kommittédirektiv (dir 2010:17) har regeringen framhållit att de frågeställningar som är i behov av närmare analys är avgränsningen av dataskyddsrambeslutets tillämpningsområde, behandlingen av känsliga uppgifter samt användningsbegränsningar.

Vi har dock vid en genomgång av prop. 2008/09:16 funnit att det, förutom dessa områden, även finns ett tjugotal andra frågor som regeringen i nämnda proposition har påpekat bör utredas ytterligare.

Vårt arbete har därför omfattat samtliga frågeställningar.

Vilka svenska myndigheter omfattas av dataskyddsrambeslutet?

I vårt arbete har vi inledningsvis gjort bedömningen att dataskyddsrambeslutets regelverk har påverkan på följande myndigheter som ägnar sig helt eller delvis åt brottsbekämpande verksamhet;

  • Kustbevakningen,
  • Polisen,
  • Åklagarväsendet,
  • Skatteverket och
  • Tullverket

Dessutom har vi ansett att följande andra myndigheter i rättskedjan också påverkas av dataskyddsrambeslutets regler;

  • Kriminalvården,
  • Kronofogdemyndigheten samt
  • Allmänna domstolar och allmänna förvaltningsdomstolar

Närmare om utredningens arbete

Utöver genomgången av dataskyddsrambeslutet har vi i vårt arbete gjort jämförelser med svensk rätt, främst i form av personuppgiftslagens bestämmelser och de aktuella registerförfattningar som rör ovan nämnda myndigheter. Vi har vidare gjort en kartläggning av den lagstiftning om internationellt samarbete som föreligger inom området för dessa myndigheter, samt gjort en genomgång av aktuella sekretessbestämmelser inom området.

Efter en jämförelse mellan dataskyddsrambeslutet och gällande svensk rätt har vi lämnat förslag till nya eller kompletterande bestämmelser för att Sverige ska leva upp till dataskyddsrambeslutets krav.

I vårt arbete har vi utgått från gällande svenska författningar, med undantag av polisdatalagen (2010:361) som träder i kraft den 1 mars 2012. Vi har inte beaktat arbetet med justeringar av gällande registerförfattningar som i nuläget pågår inom Regeringskansliet, eftersom någon proposition till ny lagstiftning ännu inte har beslutats.

Frågan om att ta fram förslag till bestämmelser som reglerar möjligheten för svenska myndigheter att ställa villkor m.m. för användningen av uppgifter som överförs till andra stater, har vi bedömt ligga utanför vårt uppdrag.

Nedan redogörs kortfattat för de delar av dataskyddsrambeslutet som vi anser bör föranleda ändringar och tillägg i svensk rätt samt våra förslag i dessa delar. Övriga delar av dataskyddsrambeslutet bedömer vi inte ska föranleda någon ändring i lag eller förordning.

Avgränsningen av dataskyddsrambeslutets tillämpningsområde

Behandling av personuppgifter vid polisiärt eller straffrättsligt samarbete i annat syfte än att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder, faller utanför dataskyddsrambeslutets tillämpningsområde.

Dataskyddsrambeslutets tillämpningsområde omfattar uppgifter som överförs eller görs tillgängliga m.m. mellan medlemsstater.

I artikel 1.3 i dataskyddsrambeslutet klargörs att bestämmelserna omfattar behandling av personuppgifter som utförs helt eller delvis automatiserat eller som ingår i eller är avsedda att ingå i register.

Enligt vår bedömning ska svensk lagstiftning anpassas till dataskyddsrambeslutet när detta är möjligt och lämpligt för att beslutet ska följas.

Enligt artikel 1.4 i dataskyddsrambeslutet undantas från rambeslutet ”viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet”.

Vad gäller Säkerhetspolisen anser vi att hela dess verksamhet bör omfattas av begreppet nationell säkerhet, i den mening som avses i dataskyddsrambeslutet. Säkerhetspolisen ska därför enligt vår bedömning vara undantagen från dataskyddsrambeslutets tillämpningsområde.

Annan verksamhet än Säkerhetspolisens föreslås inte ska undantas från tillämpningsområdet.

Ny lagstiftning om användarbegränsningar vid behandling av personuppgifter

För att uppfylla dataskyddsrambeslutets krav föreslår vi en ny lag – lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom

Europeiska unionen.

I dag finns bestämmelser som reglerar situationer då en svensk myndighet erhåller information eller bevismaterial med användningsbegränsningar (villkor för användningen) från en utländsk myndighet.

Sådana bestämmelser finns i de internationella samarbetslagarna – lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamarbete, samt lagen (2000:344) om Schengens informationssystem.

I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.

De internationella samarbetslagarna ovan har dock ett mer vitt tillämpningsområde än dataskyddsrambeslutet. Samarbetslagarna täcker vidare inte allt samarbete i form av uppgiftsutbyte som myndigheterna utövar.

Mot bakgrund härav föreslår vi därför att en ny lag ska införas inom området.

Alternativet till att införa en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de ovan nämnda internationella samarbetslagarna. Då den av oss nu föreslagna lagen enbart omfattar personuppgiftsbehandling av uppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, hade ett sådant alternativ varit mindre lämpligt.

Ett annat alternativ till införandet av en ny lag hade varit att placera bestämmelserna i myndigheternas registerförfattningar. Vi anser dock att det för tillämparna blir tydligast att de nya bestämmelserna finns i en särskild lag. Enligt vår mening lämpar det sig bäst att specialregler inom ett visst område finns i en särskild lag till vilken sedan hänvisningar görs i de aktuella myndigheternas registerförfattningar (jfr 2 kap. 2 § tryckfrihetsförordningen). Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.

Vår föreslagna lag omfattar följande myndigheter; Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar och allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten och Ekobrottsmyndigheten.

Vi föreslår att den nya lagen ska innehålla bestämmelser om lagens tillämpningsområde m.m. (1–3 §§), ändamål för vidarebehandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av personuppgifter till privat part inom den Europeiska unionen (6 §), iakttagande av nationella restriktioner (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).

Lagens bestämmelser motsvarar artikel 3.2 jämförd med artikel 11 samt artiklarna 9, 12, 13, 14 och 16.2 i dataskyddsrambeslutet.

Dataskyddsrambeslutets regler (artikel 26) om förhållandet till avtal med tredjestater föranleder enligt vår mening inte någon ändring i lag eller förordning. Vad gäller dataskyddsrambeslutets regler (artikel 28) om förhållandet till tidigare antagna unionsakter anser vi dock att det bör tydliggöras i övergångsbestämmelserna till vår föreslagna lag att avvikande användningsbegränsningar i tidigare beslutade EU-akter ska gälla i stället för användningsbegränsningarna i vår föreslagna lag.

Vi föreslår vidare att nya hänvisningsparagrafer till vår föreslagna lag ska införas i de registerförfattningar som enligt vår mening omfattas av dataskyddsrambeslutets regler (se ovan).

Utlämnande med stöd av handlingsoffentligheten

Bestämmelserna om användarbegränsningar m.m. i dataskyddsrambeslutet reglerar endast vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär bl.a. att de bestämmelser om t.ex. användarbegränsningar som ställs upp i rambeslutet – och som ligger till grund för vårt förslag till ny lagstiftning inom området (se ovan) – endast avser en inskränkning för enskilda att få del av personuppgifter i en viss form. Dataskyddsrambeslutets bestämmelser strider således inte mot allmänhetens rätt att ta del av allmänna handlingar.

Dataskyddsrambeslutets bestämmelser om användningsbegränsningar m.m. föranleder vidare inte någon ändring i offentlighets- och sekretesslagen (2009:400).

Tillägg i ändamålsbestämmelserna i myndigheternas registerförfattningar

Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter (artikel 3). Som anförts ovan anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där det är möjligt och lämpligt. I svensk rätt saknas i dag – i stort sett – uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgiftsbehandling som följer av myndigheternas internationella åtaganden.

För att tydliggöra myndigheternas fullgöranden av förpliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de registerförfattningar som reglerar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet. Den kompletterande ändamålsbestämmelsen föreslås ska få lydelsen ”fullgöra förpliktelser som följer av internationella åtaganden”.

Vad avser Kriminalvården samt de allmänna domstolarna och de allmänna förvaltningsdomstolarna, bedömer vi inte att det finns behov av kompletterande bestämmelser.

Ändringar i bestämmelserna om behandlingen av känsliga uppgifter i myndigheternas registerförfattningar

Dataskyddsrambeslutets bestämmelser (artikel 6) innehåller regler för behandling av känsliga uppgifter som rör ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt hälsa och sexualliv.

Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga adekvata skyddsåtgärder i den nationella lagstiftningen.

Mot bakgrund härav – och för att få till stånd en språklig likformighet mellan myndigheternas registerförfattningar – föreslår vi därför att justeringar görs i de paragrafer i registerförfattningarna som reglerar känsliga uppgifter, på så sätt att begreppet absolut nödvändigt genomgående införs.

Vidare föreslår vi att ett motsvarande tillägg av begreppet absolut nödvändigt ska införas i registerförfattningarna för Kronofogdemyndigheten, de allmänna domstolarna och de allmänna förvaltningsdomstolarna, polisen, åklagarväsendet och Tullverket vad gäller behandlingen av känsliga uppgifter vid dels diarieföring, dels då uppgifterna har lämnats i ett mål, ett ärende, en anmälan eller liknande och dels vid själva handläggningen.

Vissa justeringar i övriga författningar

Dataskyddsrambeslutets regler om rättelse och skadestånd föranleder tillägg i förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över

förelägganden av ordningsbot, vari det anges att bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd ska tillämpas.

Märkning av uppgifter

Eftersom dataskyddsrambeslutets bestämmelser omfattar personuppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat, bedömer vi att en märkning varifrån uppgifterna härstammar är både nödvändig och möjlig, för att reglerna i dataskyddsrambeslutet, om t.ex. användningsbegränsningar ska kunna tillämpas på rätt sätt.

Utarbetandet av ett system med märkning av uppgifter överlämnas till de myndigheter som utbyter de aktuella uppgifterna.

Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som vi föreslår med anledning av dataskyddsrambeslutet, föreligger enligt vår mening inte.

Framtagande av sådana system för märkning av uppgifter hos myndigheterna kan komma att innebära vissa kostnader.

Europolanställdas befattning med hemliga uppgifter

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.

Allmänt om Europol och Europolrådsbeslutet

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det polisiära samarbetet i unionen.

Genom Europolrådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EUmyndighet. I samband härmed gjordes också en del sakliga

förändringar, bl.a. av Europols mandat samt vad avser bestämmelser om informationsbehandling och dataskydd.

I varje medlemsstat finns en nationell enhet som är förbindelselänk mellan Europol och medlemsstaten.

Vid Europols huvudkontor arbetar särskilda sambandsmän som är utsända från respektive medlemsland. Sambandsmännen är inte anställda av Europol utan är utskickade från medlemsländerna och lyder under sitt medlemslands nationella enhet. Frågan om tystnadsplikten m.m. för sambandsmännen är inte föremål för vår prövning (jfr vårt ursprungliga kommittédirektiv, 2010:17, s. 6).

Inom Europol finns även personal som är direkt anställd av Europol (Europoltjänstemän). Eftersom dessa Europoltjänstemän är anställda av Europol, arbetar de under EU:s särskilda bestämmelser och är inte knutna till medlemsländernas regler.

Enligt artikel 41.2 i Europolrådsbeslutet får Europols anställda och sambandsmännen samt andra som uttryckligen ålagts diskretions- och tystnadsplikt -- ”inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet”.

I artikel 41.3 finns vidare bestämmelser som reglerar vad ”… Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2…” har att rätta sig efter inför ett eventuellt avläggande av vittnesmål i eller utom domstol eller uttalande om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

I artikel 41.4 första stycket anges att medlemsstaterna ska behandla alla överträdelser av diskretions- eller tystnadsplikten enligt artiklarna 41.2 och 41.3 som överträdelse av skyldigheter i staternas egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

I artikel 41.4 andra stycket anges vidare att medlemsstaterna ska säkerställa att dessa regler och bestämmelser är tillämpliga även på deras egna tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.

För anställda vid de olika EU-organen gäller även interna tjänsteföreskrifter, av vilka framgår att tjänstemännen har rätt till yttrandefrihet med hänsyn tagen till principer om lojalitet och opartiskhet.

Från gemenskapens sida förväntas att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

Reglering om tystnadsplikt m.m. i svensk rätt

Enligt 2 kap. 1 § offentlighets- och sekretesslagen gäller förbud för myndighet att röja eller utnyttja en uppgift enligt lagen, eller lag eller förordning som lagen hänvisar till.

Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken.

I nämnda bestämmelse är det således kriminaliserat när någon röjer en uppgift som han eller hon är förpliktad att hålla hemlig ”…enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning…”

Reglerna i 2 kap. 2 § brottsbalken möjliggör en reglering av brott som begåtts utom riket, t.ex. i Europols huvudkvarter i Haag, Nederländerna.

Vår bedömning i denna del

De Europolanställda tjänstemännen omfattas inte av samma regler som de som handhar Europolfrågor vid nationella enheten i Sverige eller sambandsmännen i Europol. För att svensk rätt ska anses motsvara de krav som ställs i artikel 41.1 i Europolrådsbeslutet anser vi att det krävs kompletteringar i svenska författningar.

Det är således inte tillräckligt att frågorna regleras i ett rådsbeslut, utan detta måste också genomföras i svensk lagstiftning.

En ny lag är enligt vår mening att föredra jämfört med ändringar i 20 kap. 3 § brottsbalken.

Vi föreslår därför införandet av en ny lag med följande lydelse.

En svensk medborgare får inte obehörigen röja eller utnyttja en uppgift som han eller hon har fått kännedom om genom att delta i Europeiska polisbyråns (Europols) verksamhet på grund av anställning vid Europol.

Vi finner i denna del inte att det kan anses vara rimligt att svensk lagstiftning ska utsträckas längre än vad avser svenska medborgare.

Vår föreslagna lag ska omfatta personer som både är och har varit anställda vid Europol.

Då bestämmelsen således enbart utgör en reglering av tystnadsplikt och inte en begränsning av rätten att ta del av allmänna handlingar enligt 2 kap. 2 § tryckfrihetsförordningen, krävs inte någon följdändring i offentlighets- och sekretesslagen.

Författningsförslag

1. Förslag till lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens tillämpningsområde m.m.

1 § I denna lag finns bestämmelser om användningsbegränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

2 § Denna lag gäller endast vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som

Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

3 § Denna lag gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad.

Lagen gäller även för annan vidarebehandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av

personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Ändamål för vidarebehandling av personuppgifter

4 § Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a) för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) för varje annat syfte endast om den överförande medlemsstaten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Överföring av personuppgifter till tredje land eller till internationella organ

5 § Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a) det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b) mottagaren har ansvar för sådan verksamhet som anges i a),

c) den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d) mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

Uppgifter får föras över utan samtycke enligt första stycket om det är absolut nödvändigt, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för en medlemsstats väsentliga intresse, och ett sådant samtycke inte kan erhållas i tid.

Överföring av personuppgifter till privat part inom Europeiska unionen

6 § Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1. myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2. inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3. överföringen är absolut nödvändig för att

a) utföra en författningsenlig uppgift,

b) förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) förhindra att enskildas rättigheter lider allvarlig skada. Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Nationella restriktioner för behandling av uppgifter

7 § Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

Information till den registrerade

8 § Om personuppgifter har överförts eller gjorts tillgängliga får den överförande medlemsstaten begära att den mottagande medlemsstaten inte informerar den registrerade om behandlingen. I sådana fall ska den registrerade inte informeras utan förhandsmedgivande från den överförande medlemsstaten.

Bevarande och gallring av personuppgifter

9 § Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.

Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

1. Denna lag träder i kraft den 1 mars 2012.

2. Avvikande användningsbegränsningar i tidigare beslutade EU-rättsakter ska gälla i stället för användningsbegränsningarna i denna lag.

2. Förslag till lag om Europolanställda svenska medborgares befattning med hemliga uppgifter

Härigenom föreskrivs följande.

En svensk medborgare får inte obehörigen röja eller utnyttja en uppgift som han eller hon har fått kännedom om genom att delta i Europeiska polisbyråns (Europols) verksamhet på grund av anställning vid Europol.

Denna lag träder i kraft den 1 mars 2012.

3. Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att det närmast före den paragrafen ska införas en ny rubrik, med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Användningsbegränsningar

2 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

4. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs i fråga om polisdatalagen (2010:361)

dels att 2 kap. 10 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 kap. 5 §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

5 § Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

2 kap.

10 §

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 §.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 § om behandlingen är absolut nödvändig för syftet med behandlingen.

Denna lag träder i kraft den 1 mars 2012.

5. Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

dels att 7 och 11 §§ samt rubriken närmast före 15 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

7 §

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förhindra eller upptäcka brottslig verksamhet,

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra det arbete som

Tullverket är skyldigt att utföra enligt lagen ( 2000:1219 ) om internationellt tullsamarbete.

3. fullgöra förpliktelser som följer av internationella åtaganden.

11 §

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som av ses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende skall alltid utformas på ett objektivt sätt med respekt för människovärdet.

Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende och behandlingen är absolut nödvändig.

Behandling av uppgifter för internationellt tullsamarbete

Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden

15 §

Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.

Denna lag träder i kraft den 1 mars 2012.

6. Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs att det i lagen (2001:617) om behandling av personuppgifter inom kriminalvården ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

7. Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

dels att 1 kap. 6 § och 2 kap. 2 §, ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

6 §

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller vid handläggningen av det, och det är absolut nödvändigt.

Uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Uppgifter som avses i första stycket får i annat fall behandlas

Uppgifter som avses i första och andra stycket får i annat fall

endast om det särskilt anges i 2 kap.

behandlas endast om det särskilt anges i 2 kap.

2 kap.

2 §

Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Skatteverkets och Kronofogdemyndighetens verksamhet för

1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,

2. indrivning av statliga fordringar m.m.,

3. avräkning vid återbetalning av skatter och avgifter,

4. ansökan om och tillsyn över näringsförbud,

5. ärenden om ansvar för någon annans skatter och avgifter, och

6. tillsyn, kontroll, uppföljning och planering av verksamheten.

I Kronofogdemyndighetens utsöknings- och indrivningsverksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Denna lag träder i kraft den 1 mars 2012.

8. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att det i lagen (2000:344) om Schengens informationssystem ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

9. Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

Härigenom föreskrivs i fråga om lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

dels att 1 och 4 §§ ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1. bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,

2. förebygga brott som avses i 1.

2. förebygga brott som avses i 1, eller

3. fullgöra förpliktelser som följer av internationella åtaganden enligt 1. och 2.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

4 §

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter om det är oundgängligen nödvändigt för syftet med behandlingen.

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.

Denna lag träder i kraft den 1 mars 2012.

10. Förslag till lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

11. Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att det i lagen (1998:620) ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

12. Förslag till förordning om ändring i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet

Härigenom föreskrivs i fråga om förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet

dels att 10 § ska ha följande lydelse,

dels att det i förordningen ska införas två nya paragrafer, 2 a och 8 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

8 a §

I åklagarväsendets brottsbekämpande verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

10 §

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får dock

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får dock

behandlas om de förekommer i en handling som har kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende.

behandlas om de förekommer i en handling som har kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende och behandlingen är absolut nödvändig.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen.

Denna förordning träder i kraft den 1 mars 2012.

13. Förslag till förordning om ändring i förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen

Härigenom föreskrivs i fråga om förordningen (2003:188) om behandling av personuppgifter i Kustbevakningen

dels att 4 och 9 §§ ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

4 §

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet, om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott.

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet,

1. om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott, eller

2. för att fullgöra förpliktelser som följer av internationella åtaganden.

9 §

Uppgifter om en person får i den verksamhet som anges i 1 § första stycket 1 och 2 inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna dock kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

Uppgifter om en person får i den verksamhet som anges i 1 § första stycket 1 och 2 inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna dock kompletteras med sådana uppgifter, om det är absolut nödvändigt för syftet med behandlingen

För behandling av känsliga personuppgifter i den verksamhet som anges i 1 § första stycket 3 gäller personuppgiftslagen.

Denna förordning träder i kraft den 1 mars 2012.

14. Förslag till förordning om ändring i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs att 4, 7, 12, 18, 23, 27, 32, 41 och 48 §§ i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §

Vid behandling av personuppgifter enligt 3 § 5 och 6 samt 9–13 får, om det är oundgängligen nödvändigt, känsliga uppgifter behandlas.

Vid behandling av personuppgifter enligt 3 § 5 och 6 samt 9–13 får, om det är absolut nödvändigt, känsliga uppgifter behandlas.

7 §

Vid behandling av personuppgifter enligt 5 § 3 och 7 får känsliga uppgifter behandlas om uppgifterna inhämtats inför upprättandet av personutredningen och det är oundgängligen nödvändigt för syftet med behandlingen.

Vid behandling av personuppgifter enligt 5 § 3 och 7 får känsliga uppgifter behandlas om uppgifterna inhämtats inför upprättandet av personutredningen och det är absolut nödvändigt för syftet med behandlingen.

12 §

Vid behandling av personuppgifter enligt 9 § 10, 11, 16, 22 och 25 samt 10 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

Vid behandling av personuppgifter enligt 9 § 10, 11, 16, 22 och 25 samt 10 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

18 §

Vid behandling av personuppgifter enligt 15 § första stycket 1 när det gäller hänvisningen till 5 § 7 och 9 § 10, 11 och 16 får känsliga uppgifter behandlas. Sådana uppgifter får också behandlas vid behandling enligt 15 § första stycket 4, 7, 8 och 13 samt 16 §.

Behandling av känsliga uppgifter enligt första stycket får endast ske om det är oundgängligen nödvändigt.

Behandling av känsliga uppgifter enligt första stycket får endast ske om det är absolut nödvändigt.

23 §

Vid behandling av personuppgifter enligt 21 § 1 och 22 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

Vid behandling av personuppgifter enligt 21 § 1 och 22 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

27 §

Vid behandling enligt 26 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

Vid behandling enligt 26 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

32 §

Vid behandling av personuppgifter enligt 30 § 3 och 31 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

Vid behandling av personuppgifter enligt 30 § 3 och 31 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

41 §

Säkerhetsregistret får föras för att samla, bearbeta och analysera information som ger underlag för åtgärder för att upprätthålla säkerheten eller förebygga brott och får innehålla de uppgifter som behövs för detta ändamål.

Registret skall innehålla

1. skälen för registrering, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och

2. upplysning om varifrån uppgifter i registret kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

Registret ska innehålla

1. skälen för registrering, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och

2. upplysning om varifrån uppgifter i registret kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

Säkerhetsregistret får om det är oundgängligen nödvändigt innehålla känsliga uppgifter. För sökning i säkerhetsregistret får känsliga uppgifter användas som sökbegrepp.

Säkerhetsregistret får om det är absolut nödvändigt innehålla känsliga uppgifter. För sökning i säkerhetsregistret får känsliga uppgifter användas som sökbegrepp.

48 §

Vid överflyttning av verkställighet av påföljd till annan stat får sådana uppgifter som avses i 3 § 1 och 5-7 samt uppgifter i sådana journaler som avses i 10, 16, 22 och 26 §§ lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.

Känsliga uppgifter får dock utlämnas endast om det kan anses oundgängligen nödvändigt.

Känsliga uppgifter får dock utlämnas endast om det kan anses absolut nödvändigt.

Denna förordning träder i kraft den 1 mars 2012.

15. Förslag till förordning om ändring i förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 4 och 8 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Inledande bestämmelse Inledande bestämmelser

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

4 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål (ärendemening) får känsliga personuppgifter som anges i

13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på

Vid angivande av saken i ett mål (ärendemening) får,

a) känsliga personuppgifter som anges i 13 § personupp-giftslagen (1998:204)behandlas endast om det är absolut nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt, och

ett ändamålsenligt sätt. b) uppgifter om lagöver-

trädelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

8 §

En domstol får behandla personuppgifter automatiserat i löpande text eller ljudupptagningar vid sidan av eller i anslutning till de register som avses i 2 och 7 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)får behandlas endast om uppgifterna har lämnats i ett mål eller vid handläggningen av målet, och det är absolut nödvändigt.

Uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Denna förordning träder i kraft den 1 mars 2012.

16. Förslag till förordning om ändring i förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 3 och 7 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Inledande bestämmelse Inledande bestämmelser

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål (ärendemening) får känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt.

Vid angivande av saken i ett mål (ärendemening) får,

a) känsliga personuppgifter som anges i 13 § personupp-giftslagen (1998:204)behandlas endast om det är absolut nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt, och

b) uppgifter om lagöver-

trädelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

7 §

En förvaltningsrätt får behandla personuppgifter automatiserat i löpande text eller ljudupptagningar vid sidan av eller i anslutning till de register som avses i 2 och 6 §§.

Känsliga personuppgifter som anges i 13 § personuppiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)får behandlas endast om uppgifterna har lämnats i ett mål eller vid handläggningen av målet, och det är absolut nödvändigt.

Uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Denna förordning träder i kraft den 1 mars 2012.

17. Förslag till förordning om ändring i förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 3 och 7 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Inledande bestämmelse Inledande bestämmelser

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål (ärendemening) får känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på

Vid angivande av saken i ett mål (ärendemening) får,

a) känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)behandlas endast om det är absolut nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt, och

ett ändamålsenligt sätt. b) uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

7 §

En domstol får behandla personuppgifter automatiserat i löpande text, ljudupptagningar eller ljud- och bildupptagningar vid sidan av eller i anslutning till de register som avses i 2 och 6 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204)får behandlas endast om uppgifterna har lämnats i ett mål eller vid handläggningen av målet, och det är absolut nödvändigt.

Uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

Denna förordning träder i kraft den 1 mars 2012.

18. Förslag till förordning om ändring i förordningen (1997:903) om register över förelägganden av ordningsbot

Härigenom föreskrivs att det i förordningen (1997:903) om register över förelägganden av ordningsbot ska införas två nya paragrafer, 1 a och 10 §§, samt ny rubrik närmast före sistnämnda paragraf, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Rättelse och skadestånd

10 § Bestämmelserna om rättelse i

28 § personuppgiftslagen (1998:204) och bestämmelserna om skadestånd i 48 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter enligt denna förordning.

Denna förordning träder i kraft den 1 mars 2012.

19. Förslag till förordning om ändring i förordningen (1997:902) om register över strafföreläggande

Härigenom föreskrivs att det i förordningen (1997:902) om register över strafföreläggande ska införas två nya paragrafer, 4 a och 20 §§, samt ny rubrik närmast före sistnämnda paragraf, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 a §

Bestämmelser om användningsbegränsningar finns i lagen ( 2011:000 ) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Rättelse och skadestånd

20 §

Bestämmelserna om rättelse i

28 § personuppgiftslagen (1998:204) och bestämmelserna om skadestånd i 48 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter enligt denna förordning.

Denna förordning träder i kraft den 1 mars 2012.

1. Utredningens uppdrag och arbete

1.1. Uppdraget

Dataskyddsrambeslutet och Europolanställdas befattning med hemliga uppgifter

Vårt uppdrag enligt kommittédirektiven Genomförande av dataskyddsrambeslutet (dir. 2010:17) den 25 februari 2010 är att

  • dels analysera hur svensk rätt förhåller sig till bestämmelserna i

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet,

  • dels analysera om det finns behov av särskilda regler om

Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.

Utbyte av personuppgifter för att motverka grov organiserad brottslighet

Genom tilläggsdirektiv från regeringen (dir. 2010:112) den 21 oktober 2010 har beslutats att vi härutöver ska

  • se över de regler om sekretess och utbyte av information mellan myndigheter som gäller när myndigheterna samverkar i bekämpningen av grov organiserad brottslighet.

I denna del av vårt uppdrag ingår vidare att vi ska dels kartlägga behovet av förbättrade möjligheter för myndigheterna att utbyta uppgifter, dels utreda hur detta behov, efter en avvägning mot integritetsintressena, ska kunna tillgodoses på ett effektivt och rättssäkert sätt, dels lämna fullständiga författningsförslag tillsammans med en redovisning av vilka effekter förslagen kan få för den personliga integriteten.

Uppdragets genomförande

I vårt arbete ska vi, enligt uppdraget, hålla oss informerade om och beakta relevant arbete som pågår inom Regeringskansliet och inom EU, samt samråda med berörda myndigheter i den utsträckning som vi finner lämpligt.

Genom tilläggsdirektiven har vidare beslutats om en förlängd tid för redovisning av uppdraget från den i det ursprungliga kommittédirektiven beslutade tidpunkten den 1 februari 2011 till den 1 december 2011.

I tilläggsdirektiven anges vidare att vi är fria att under utredningstiden välja att redovisa någon del av utredningen särskilt.

Regeringens direktiv (dir. 2010:17) återges i valda delar som inledning i vissa av kapitlen i betänkandet och i sin helhet i bilaga 1.

Regeringens tilläggsdirektiv (dir 2010:112) återges i sin helhet i bilaga 2.

1.2. Utredningens arbete

Vårt arbete har inledningsvis bedrivits med målsättningen att analysera hur svensk gällande rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet och i de fall det har bedömts, som nödvändigt och lämpligt för att svensk rätt ska vara förenlig med rambeslutets bestämmelser, har vi föreslagit en helt ny lag samt justeringar och tillägg i ett antal svenska författningar.

Vårt arbete har vidare bestått i att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter. Även här har vi, där det har ansetts nödvändigt och lämpligt, föreslagit kompletterande svenska bestämmelser.

De två ovan nämnda delarna av vårt utredningsuppdrag (ursprungsdirektiven) utgör ett arbete som innebär en anpassning

av svensk rätt till europeiska bestämmelser samt avser frågeställningar om svenska myndigheters fullgörande av förpliktelser som följer av internationella åtaganden, medan den del av utredningsuppdraget som hänför sig till tilläggsdirektiven – utbyte av personuppgifter angående grov organiserad brottslighet – i stället i huvudsak rör frågeställningar och analys av problematik vid utbyte av personuppgifter mellan svenska myndigheter.

Mot bakgrund härav har vi funnit lämpligt att föreslå en särskild redovisning av vårt uppdrag i de delar som avser Dataskyddsrambeslutet samt Europolanställdas befattning med hemliga uppgifter (ursprungsdirektiven), i form av ett delbetänkande.

Under utredningstiden, vad avser frågorna i ursprungsdirektiven, har vi hållit tio sammanträden, varav två av dessa ägt rum under två efter varandra följande dagar i internatform.

Det samråd som vi är ålagda att ha med berörda myndigheter har skett genom utredningens experter, vilka har uppmanats att förankra sina ståndpunkter i sina respektive myndigheter.

Arbetet har bedrivits i nära samarbete med experterna, både vid de sammanträden som hållits och vid kontakter däremellan.

Arbetet kommer att fortsätta med frågorna i tilläggsdirektiven.

DEL I

DATASKYDDSRAMBESLUTET

BAKGRUNDEN TILL VÅRA FÖRSLAG

2. Övergripande rättslig reglering av behandling av personuppgifter

2.1. Bakgrund

Från och med den 24 oktober 1998 regleras den grundläggande ramen för behandling av personuppgifter i personuppgiftslagen (1998:204), som därigenom ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Detta kapitel innehåller en kortfattad genomgång av vissa internationella överenskommelser jämte dataskyddsdirektivet samt en redogörelse för personuppgiftslagens bestämmelser. Härutöver behandlas artikel 8 i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) jämte artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Båda artiklarna behandlar skyddet av personuppgifter.

2.2. Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte

är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen, som alltså är bindande för Sverige och övriga medlemsstater.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.

För att skydda personuppgifter mot avsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare ska den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter. Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i EU-ländernas nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 2.4.

Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Tilläggsprotokollet har öppnats för undertecknande. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Den svenska regeringen beslutade den 25 oktober 2001 att underteckna och ratificera tilläggsprotokollet, vilket skedde den 8 november samma år.

2.3. Riktlinjer från OECD

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. För ytterligare information om OECD:s rekommendationer och riktlinjer inom området se SOU 1993:10 s. 62 ff. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebär att man slår fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

2.4. Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av dataskyddskonventionen från 1981. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte ska kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet ska införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som gäller enligt dataskyddsdirektivet.

2.4.1. Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte.

Dataskyddsdirektivet omfattar inte bara helt eller delvis automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

Direktivet gäller inte heller för sådan behandling av personuppgifter som utgör ett led i en verksamhet som faller utanför gemenskapsrätten, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet inom straffrättens område (artikel 3.2).

2.4.2. Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att

den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.

2.4.3. Information och rättelse m.m.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.

Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga

tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

2.4.4. Tillsynsmyndighet

Enligt dataskyddsdirektivet ska varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter ska fullständigt oberoende utöva de uppgifter som åläggs dem. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige.

Varje tillsynsmyndighet ska ha undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa och befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. För ickeautomatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett uppgiftsskyddsombud (personuppgiftsombud).

2.4.5. Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat

skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen.

I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

2.4.6. Medlemsländernas nationella lagstiftning

Dataskyddsdirektivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen ska dock äldre lagstiftning, datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter.

2.5. Europakonventionen

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller som svensk lag här i landet. I artikel 8 stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs, utöver att intrånget ska grundas på nationell lag, att den åberopade lagen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. En rättighets-

inskränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. Att ett ingripande ska vara nödvändigt innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. Åtgärden får dock inte gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser göra de avvägningar i bevis- och andra bedömningsfrågor, vilka läggs till grund för ett ingripande.

Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten, utom i de fall som omfattas av de i artikeln föreskrivna undantagen. Artikelns räckvidd är dock inte begränsad i detta avseende utan staten är också i viss mån skyldig att vidta positiva åtgärder för att skydda den enskildes privata sfär. Sådana positiva åtgärder kan utgöras av lagstiftningen men också av skydd mot övergrepp i särskilda situationer. Även utan att det förekommit något ingripande från myndighet eller offentlig tjänsteman kan staten således under vissa förutsättningar anses ha brutit mot artikel 8 genom att tolerera en föreliggande situation eller genom att inte skapa ett tillräckligt rättsligt skydd. Statens ansvar för en underlåtenhet kan då aktualiseras, trots att det övergrepp som visat att det rättsliga skyddet var otillräckligt utförts av en enskild person, för vars handlande staten inte i och för sig kan anses ansvarig. De krav som ställs på staten måste vara rimliga. Vad som i huvudsak kan förväntas är att staten utfärdar lagar och förordningar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens (Se Hans Danelius, Mänskliga rättigheter i europeisk praxis – En kommentar till Europakonventionen om de mänskliga rättigheterna, uppl. 2:1, s. 261 f.).

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter (Se EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138 och 139/01).

2.6. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, blir rättsligt bindande. Detta sker genom att en referens till stadgan införs i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att reglerna efterlevs. Stadgan riktar sig till EU:s egna organ och institutioner samt till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51).

Stadgan riktar sig alltså inte till medlemsstaterna när de stiftar nationella lagar inom områden där EU inte har givits lagstiftningskompetens.

Varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som de som skyddas enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter. Missbruk av rättigheter, såsom att t.ex. utnyttja en bestämmelse i stadgan för att åsidosätta en annan bestämmelse, är uttryckligen förbjudet i stadgan.

2.7. Personuppgiftslagen (1998:204)

Med anledning av att Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.

Från och med den 24 oktober 1998 regleras behandling av personuppgifter i personuppgiftslagen (1998:204), som har ersatt datalagen. Personuppgiftslagen har sin utgångspunkt i dataskyddsdirektivet.

2.7.1. Allmänt om lagen och dess tillämpningsområde

Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten.

Personuppgiftslagen tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

5 a § innehåller dels undantag från de viktigaste bestämmelserna i personuppgiftslagen för behandling av personuppgifter i ostrukturerat material, dels ett förbud mot att utföra sådan behandling om behandlingen innebär en kränkning av den registrerades personliga integritet.

Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten. Sedan tidigare har Sverige haft ett system som utgår från en

generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare eller känsligare register inom det offentliga området. Enligt 2 § personuppgiftslagen gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger ansåg regeringen vidare vara en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (jfr bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48 samt prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 40 f.).

Behandling av uppgifter om juridiska personer som definitionsmässigt inte utgör personuppgifter (3 §) eller behandling som en fysisk person utför i verksamhet av rent privat natur (6 §) omfattas inte av personuppgiftslagen. Dessutom tillämpas inte lagen om det skulle strida mot tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen. De flesta bestämmelserna i lagen tillämpas inte heller på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).

I 8 § anges dessutom att personuppgiftslagen inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I samma lagrum anges även att lagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet och de måste för att kunna tillämpas av de personuppgiftsansvariga preciseras och konkretiseras. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.

Genom 8 a § bemyndigas regeringen att meddela föreskrifter om undantag från en rad bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen. Paragrafen är avsedd att ha samma innebörd som artikel 13.1 i dataskyddsdirektivet i fråga om både vilka bestämmelser som undantag kan medges från och under vilka förutsättningar så kan ske.

2.7.2. Förutsättningar för behandling av personuppgifter

Grundläggande krav (9 §)

I lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Personuppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De ska samlas in och behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Detta innebär bl.a. att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen ska vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.

De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt ska uppgifterna också vara aktuella. Uppfyller personuppgifter inte kraven måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter måste de avidentifieras eller förstöras. Eftersom personuppgiftslagen är sekundär till annan lagstiftning, får uppgifter emellertid inte avidentifieras eller på annat sätt förstöras (dvs. gallras) om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

När behandling av personuppgifter är tillåten (10–12 §§)

Lagen innehåller en uttömmande uppräkning av de fall då behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas även om den registrerade inte lämnat sitt samtycke till det. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta

automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att personuppgifter får behandlas även i de fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling. Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Behandling får vidare utföras om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.

Förbud mot att behandla känsliga personuppgifter (13 §)

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som gäller ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får inte behandlas. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot att behandla känsliga personuppgifter (14–20 §§)

Förbudet mot behandling av känsliga uppgifter är inte undantagslöst. Liksom andra personuppgifter får sådana uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga person-

uppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas.

Vidare får behandling bl.a. utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.

Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen sker inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får bara avse uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke. Förbudet gäller inte om behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk ska kunna slås fast, göras gällande eller försvaras. Detta gäller när det förhållande som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga ska ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en sjuk person att få försäkringsersättning eller skyldigheten för den som tillhör Svenska kyrkan att betala avgift. Ett ytterligare undantag från förbudet att behandla känsliga personuppgifter är när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen samtidigt är nödvändig för att skydda dennes eller någon annans vitala intressen.

Vidare undantas behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Behandlas uppgifterna av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt, gäller förbudet inte heller. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.

Regeringen eller den myndighet regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott (21 §)

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet. Regeringen eller, om regeringen bestämmer det, Datainspektionen får dessutom föreskriva undantag från förbudet i vissa fall.

Användning av personnummer (22 §)

Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Paragrafen har införts mot bakgrund av artikel 8.7 i dataskyddsdirektivet. Det materiella innehållet i paragrafen är dock en rent inhemsk konstruktion. En motsvarande bestämmelse fanns i 7 § andra stycket datalagen.

2.7.3. Information och rättelse m.m.

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom eller henne pågår, dels begära rättelse av personuppgifter som har behandlats felaktigt.

Information (23–27 §§)

Personuppgiftslagens bestämmelser om informationsskyldighet gäller i första hand den information som den personuppgiftsansvarige självmant har att lämna. Rätten att på begäran få ut uppgifter i allmänna handlingar följer främst av tryckfrihetsförordningen, dock att den rätten i vissa fall begränsas genom bestämmelser i sekretesslagen, men det finns bestämmelser även i personuppgiftslagen.

Den personuppgiftsansvarige ska självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, ska den registrerade informeras när uppgifterna noteras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut för första gången. Informationen ska omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna tillvarata sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.

Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Inte heller behöver information lämnas om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter.

Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller – i fråga om uppgifter i löpande text – behandlingen inte har pågått under längre tid än ett år.

Bestämmelserna om informationsskyldighet gäller över huvud taget inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Rättelse (28 §)

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang ska vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man samt om anledningen till spärren.

Om felaktiga personuppgifter har lämnats till tredje man, ska denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Eftersom den personuppgiftsansvarige inte har någon skyldighet att hålla reda på till vem uppgifter lämnas ut och då uppgifter ibland kan lämnas till ett stort antal människor, innehåller bestämmelsen det undantaget att underrättelse inte behöver ske om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2.7.4. Säkerhet vid behandlingen

Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§personuppgiftslagen. Den personuppgiftsansvarige har stort ansvar för säkerheten vid behandling av personuppgifter. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Instruktionerna bör i vart fall vara utformade på ett sådant sätt att var och en som arbetar med personuppgifter ska veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden.

För det allmännas verksamhet gäller att om det i annan lagstiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, ska i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna ska åstadkomma en lämplig

sekretessnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är. Ett register som innehåller personuppgifter om ett stort antal personer ställer också ökade krav på säkerhet.

Datainspektionen får enligt 32 § personuppgiftslagen i enskilda fall besluta om vilka skyddsåtgärder en personuppgiftsansvarig ska vidta. Om ett sådant beslut inte följs kan inspektionen enligt 45 § föreskriva vite.

2.7.5. Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen principiellt förbjudet att föra över personuppgifter till ett land som inte är medlem i EU eller anslutet till EES (tredje land) om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling i det tredje landet.

Vid bedömningen av om ett land utanför EU eller EES har en adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges uttryckligen att särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Från förbudet mot överföring av personuppgifter till tredje land finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Uppgifter får även föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal – mellan den registrerade och den personuppgiftsansvarige eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Regeringen

eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

Förbudet mot överföring av personuppgifter till tredje land har ansetts innefatta ett hinder mot att publicera uppgifterna på en hemsida eller motsvarande, som är åtkomlig via Internet. Datalagskommittén anförde att den omständigheten att någon ges möjlighet att från tredje land komma åt personuppgifter som finns i Sverige eller i någon annan medlemsstat via telekommunikation eller datanätverk är förmodligen ett exempel på överföring av uppgifterna till tredje land (se SOU 1997:39 s. 413). Genom EGdomstolens dom i mål C-101/01 (Bodil L) har numera lagts fast att publicering av uppgifter på en webbsida inte utan vidare omfattas av begreppet ”överföring av uppgifter till tredje land”, även om dessa uppgifter härigenom blir åtkomliga för personer i tredje land. Domstolen uttalade i målet att det inte föreligger någon ”överföring av … uppgifter till tredje land” i den mening som avses i artikel 25 i dataskyddsdirektivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida som är lagrad hos den som tillhandahåller honom servertjänster, vilken är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Av kommentaren till personuppgiftslagen (se Öman/Lindblom, Personuppgiftslagen, en kommentar, 3 uppl., s. 384 f.) framgår att det förhärskade synsättet i dag i Sverige får anses innebära att inte någon Internetpublicering som sker från en server som innehas av någon som är etablerad inom EU och EES innebär en överföring av personuppgifter i den mening som avse i paragrafen. Var den server på vilken uppgifterna finns lagrade faktiskt är placerad synes inte ha någon betydelse för bedömningen bara den som har servern är etablerad inom EU och EES och därmed underkastad lagstiftning som genomför dataskyddsdirektivet. I Datainspektionens reviderade informationsblad om personuppgifter och Internet anges att det inte räknas som överföring till tredje land när en person lägger ut uppgifter på en webbplats på Internet som lagras hos en Internetleverantör som är etablerad inom EU. Efter EG-domstolens dom inom området har ansetts att det inte behövs uttryckliga bestämmelser i lag eller

förordning som tillåter överföring till tredje land av personuppgifter som publiceras på Internet. Enligt ovannämnda lagkommentar utesluter inte detta att det av andra skäl kan finnas behov av att reglera frågan om Internetpublicering av information (jfr Öman/Lindblom, s. 386).

2.7.6. Datainspektionen som tillsynsmyndighet

Tillsynsmyndighet enligt såväl personuppgiftslagen som dataskyddsdirektivet är Datainspektionen. Datainspektionens uppgifter enligt personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombud. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter ska göras till Datainspektionen, som även ska utöva tillsyn över behandlingen.

Vissa av de befogenheter som enligt dataskyddsdirektivet tillkommer tillsynsmyndigheten regleras i 4347 §§personuppgiftslagen. Således innehåller lagen bestämmelser om att Datainspektionen ska ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Om lagens regler inte iakttas har Datainspektionen som tillsynsmyndighet bl.a. befogenhet att tillse att rättelse sker och om detta inte hjälper besluta om förbud mot behandling av personuppgifter samt att ansöka hos domstol om att personuppgifter ska utplånas. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.

Anmälningsskyldighet (36 §)

Helt eller delvis automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen ska föra register över anmälda behandlingar.

Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd

och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna efterlevs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten ska anmäla automatiserade behandlingar som ska genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.

I personuppgiftslagen har en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag utnyttjats fullt ut. Vid särskilt integritetskänsliga behandlingar föreskrivs dock inga undantag från anmälningsskyldigheten.

Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen, föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i 35 §§personuppgiftsförordningen (1998:1191). Undantag görs här för bl.a. behandling av personuppgifter som utförs till följd av en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmänna handlingar och personuppgifter i löpande text.

Personuppgiftsombud (37–40 §§)

Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet ska ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige och att ombudet ska ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

I första hand ska personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet ska ha en förteckning över de behandlingar som den personuppgiftsansvarige utför och han eller hon ska även hjälpa registrerade personer att få rättelse vid misstanke om att personuppgifter är felaktiga eller ofullständiga.

Anmälan för förhandskontroll (41 §)

Enligt dataskyddsdirektivet ska medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Förhandskontrollen ska enligt direktivet utföras av tillsynsmyndigheten men kan också utgöra ett led i lagstiftningsprocessen. Förhandskontroll kan således ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen.

I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar. För närvarande gäller enligt 10 § personuppgiftsförordningen att behandling av känsliga personuppgifter för forskningsändamål utan samtycke från den registrerade och som inte godkänts av en forskningsetisk kommitté samt behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning ska anmälas för förhandskontroll.

2.7.7. Upplysningar till allmänheten om behandlingar som inte anmälts

Genom 42 § personuppgiftslagen åläggs den personuppgiftsansvarige en generell skyldighet att till var och en som efterfrågar det lämna information om behandlingar av personuppgifter, som inte har anmälts till tillsynsmyndigheten, och anges hur långt skyldigheten sträcker sig i förhållande till intresset av skydd för de personuppgifter som behandlas. Paragrafen slår fast att uppgifter om säkerhetsåtgärder inte behöver lämnas ut samt att bestämmelser om sekretess och tystnadsplikt går före skyldigheten att informera. Paragrafen är avsedd att ha samma innebörd som artikel 21.3 första stycket i dataskyddsdirektivet.

2.7.8. Sanktioner

Skadestånd (48 §)

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till skadestånd från den personuppgiftsansvarige. Rätten till ersättning omfattar såväl personskada, sakskada och ren förmögenhetsskada som den kränkning av den personliga integriteten som behandlingen kan ha medfört. Ersättningen för kränkning måste uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet, t.ex. om den registrerade på grund av behandlingen utsatts för något för honom eller henne negativt beslut. Ersättningen ska fastställas för varje kränkt registrerad för sig. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet inte berodde på honom eller henne får emellertid skadeståndet jämkas i skälig utsträckning.

Straff (49 §)

I personuppgiftslagen har i första hand valts andra sanktioner än straff. Således har vissa företeelser som i datalagen återfanns i straffkatalogen i stället sanktionerats genom vite eller genom möjligheten att utdöma ideellt skadestånd. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga brott eller grova oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser. Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen. Straffbestämmelsens tillämplighet är begränsad genom att det inte ska dömas till ansvar om förseelsen är ringa.

Närmare föreskrifter om normgivningsbemyndiganden (50 §)

Paragrafen innehåller bestämmelser om möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter om sådant som regleras i lagen. Bakgrunden härtill är att bl.a. Sverige genom artikel 5 i dataskyddsdirektivet har ålagts att, inom ramen för direktivet, precisera på vilka villkor behandling av personuppgifter är tillåten.

Överklagande (51–53 §§)

Paragraferna innehåller bestämmelser som anger hur olika former av beslut enligt lagen överklagas.

3. Allmänt om dataskyddsrambeslutet

3.1. Dataskyddsrambeslutets inledande delar

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.

I dataskyddsrambeslutet anges att rättsakterna har antagits i enlighet med avdelning VI i fördraget om Europeiska unionen. Genom införandet av fördraget om Europeiska unionens funktionssätt (EUF-fördraget) upphävdes avdelning VI ovan och övervägande delen av bestämmelserna däri ersattes med bestämmelser i kapitel 1, 4 och 5 i avdelning IV (numera omnumrerad V) i tredje delen i EUF-fördraget. Kapitel 1 ovan (artiklarna 67-76) innehåller allmänna bestämmelser, kapitel 4 ovan (artiklarna 82-86) omfattar bestämmelser om straffrättsligt samarbete i EUFfördraget och kapitel 5 ovan (artiklarna 87-89) omfattar bestämmelser om polissamarbete i EUF-fördraget (varav artikel 88 omfattar regler om Europol).

I skäl 2 i dataskyddsrambeslutets inledande delar framhålls att gemensamma insatser inom det polisiära och straffrättsliga samarbetet gör det nödvändigt att behandla information, samtidigt som det måste finnas regler om skydd av personuppgifter.

Gemensamma normer för behandling och skydd av personuppgifter kan, enligt skäl 3, bidra till ett effektivare samarbete och värna grundläggande rättigheter som rätten till privatliv och rätten till skydd för personuppgifter.

I skäl 5 anges att befintliga instrument på europeisk nivå inte är tillräckliga och att Europaparlamentets och Rådets direktiv

95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.

Skäl 6 stadgar att dataskyddsrambeslutet endast är tillämpligt på uppgifter som de behöriga myndigheterna samlar in eller behandlar för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Dataskyddsrambeslutet är, enligt skäl 7, tillämpligt på uppgifter som har överförts eller gjorts tillgängliga mellan medlemsstaterna.

Av skäl 8 kan utläsas att det är medlemsstaternas avsikt att den standard och nivå på dataskydd som gäller för nationell behandling ska motsvara vad som föreskrivs i dataskyddsrambeslutet. Det anges dock vidare att det inte finns något som hindrar medlemsstaterna från att ha ett starkare skydd för behandling av personuppgifter än vad som föreskrivs i dataskyddsrambeslutet.

Härutöver anges i skäl 10 att tillnärmningen av medlemsstaternas lagstiftningar inte bör leda till ett svagare skydd för personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger, utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen.

Skäl 18 stadgar att reglerna i rambeslutet avseende överföring av personuppgifter från allmänna domstolar, allmänna förvaltningsdomstolar, polisen eller Tullverket till privata parter, inte tillämpas på utlämnandet av uppgifter till privata parter (såsom försvarsadvokater och brottsoffer) i samband med brottmål.

I skäl 31 anges att rambeslutet ”…gör att principerna om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta”.

3.2. Kortfattat om innehållet i dataskyddsrambeslutets olika artiklar

I artikel 1 i dataskyddsrambeslutet anges rambeslutets syfte, vilket är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete.

Artikeln är tillämplig på uppgifter som har överförts eller gjorts tillgängliga mellan medlemsstaterna eller mellan medlemsstater och myndigheter och informationssystem som har inrättats i enlighet

med avdelning VI i fördraget om Europeiska unionen om polissamarbete och straffrättsligt samarbete, t.ex. Europol.

Det är endast behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register som faller inom tillämpningsområdet.

Från tillämpningsområdet undantas också viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Artikel 2 innehåller definitioner av vissa begrepp.

I artikel 3 anges vissa grundläggande principer för personuppgiftsbehandlingen, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de överfördes eller gjordes tillgängliga. Personuppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, t.ex. avidentifiering av uppgifterna. Däri klargörs vidare att annan vidarebehandling endast är tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver, enligt artikel 11, som huvudregel den registrerades samtycke eller den överförande statens medgivande.

Vidarebehandling får dock, under förutsättning att kraven i artikel 3 är uppfyllda, alltid ske för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes.

Vidarebehandling får också ske för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

I artiklarna 4 och 5 finns bestämmelser om rättelse, radering och blockering av personuppgifter liksom bestämmelser om regelbunden kontroll av nödvändigheten av lagringen av uppgifterna. Till dessa artiklar är kopplat bestämmelserna i artikel 8 om åtgärder som ska vidtas av överförande myndigheter för att säkerställa att de personuppgifter som överförs är korrekta.

Artikel 6 innehåller bestämmelser som reglerar rätten att behandla s.k. känsliga uppgifter, dvs. uppgifter om t.ex. ras eller etniskt ursprung. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

I artikel 7 stadgas att ett automatiserat beslutsförfarande, som innefattar behandling av uppgifter som omfattas av dataskydds-

rambeslutet, är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen.

Artikel 10 innehåller bestämmelser om registrering och dokumentation.

I artiklarna 9 och 12 finns bestämmelser om begränsningar i rätten att behandla uppgifter. Där framgår att den överförande staten har möjlighet att meddela tidsfrister för gallring av uppgifter och att vissa begränsningar i rätten att utbyta uppgifter mellan myndigheter i den överförande statens nationella rätt ska iakttas av den mottagande staten.

I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland, internationella organ och privata subjekt i medlemsstaterna. Som huvudregel i artikel 13 anges bl.a. att det förutsätts att – för att sådan överföring ska ske – det finns en adekvat skyddsnivå för behandlingen av uppgifter hos mottagaren och att den medlemsstat från vilken uppgifterna härrör ha gett sitt samtycke till överföringen.

Artiklarna 16-20 reglerar den registrerades rättigheter i olika avseenden, bl.a. rätt till information, rättelse, skadestånd och tillgång till rättsmedel.

Artikel 24 innehåller bestämmelser där det anges att medlemsstaterna för att säkerställa genomförandet av dataskyddsrambeslutet ska föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.

I artiklarna 21 och 22 finns bestämmelser om viss tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter.

Artikel 25 stadgar att varje medlemsstat ska utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av behandlingen av uppgifter som omfattas av beslutet.

Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga rättsakter.

Artiklarna 27 och 29 innehåller bestämmelser om utvärdering och genomförande av dataskyddsrambeslutet.

I samband med genomgången av olika frågeställningar i kap. 7– 15 finns innehållet i aktuella artiklar redovisade i detalj. Dataskyddsrambeslutet finns att läsa i sin helhet i bilaga 3.

3.3. Godkännande av dataskyddsrambeslutet i Sverige

Sverige har genom beslut av riksdagen den 30 oktober 2008 (bet. 2008/09:JuU7, rskr. 2008/09:41) godkänt utkastet till dataskyddsrambeslut. Som grund för beslutet har regeringens proposition den 18 september 2008 om Godkännande av dataskyddsrambeslutet (2008/09:16) legat.

I propositionen görs en preliminär bedömning av vilka lagändringar som kan bli nödvändiga med anledning av dataskyddsrambeslutet.

Propositionen innehåller inga lagförslag. Regeringen gör i propositionen bedömningen att det inte krävs någon omfattande lagstiftning för att genomföra dataskyddsrambeslutet, men har identifierat ett antal områden där det finns skäl att analysera behovet av lagändringar närmare (se vidare kap. 7).

4. Behandling av personuppgifter i brottsbekämpande verksamhet m.m.

4.1. Svenska myndigheter som påverkas av dataskyddsrambeslutet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir 2010:17 s. 1) anges bl.a. följande.

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) omfattar som framgår behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete.

Härmed avses uppgifter som de behöriga myndigheterna samlar in eller behandlar för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Polisiärt eller rättsligt samarbete i annat syfte faller utanför tillämpningsområdet.

Mot bakgrund härav är det av vikt att klargöra vilka svenska myndigheter som dataskyddsrambeslutets bestämmelser kommer att påverka.

Vid en genomgång av svensk rätt har vi funnit att dataskyddsrambeslutets regelverk har påverkan på följande myndigheter med hel eller delvis brottsbekämpande verksamhet.

  • Kustbevakningen
  • Polisen
  • Åklagarväsendet
  • Skatteverket
  • Tullverket

Vidare finns andra myndigheter i rättskedjan som påverkas av dataskyddsrambeslutets regler som

  • Kriminalvården,
  • Kronofogdemyndigheten
  • Allmänna domstolar och allmänna förvaltningsdomstolar

I vårt arbete med en jämförelse mellan dataskyddsrambeslutets regler och gällande svensk rätt är således regelverken för behandlingen av personuppgifter inom ovan nämnda myndigheter aktuella.

Enligt 23 § förordningen (2003:1179) om överlämnande från Sverige enligt en europeisk arresteringsorder är, förutom Kriminalvården när fängelse ska verkställas eller kan antas komma att verkställas, även Socialstyrelsen – när rättspsykiatrisk vård ska verkställas samt Statens institutionsstyrelse – när sluten ungdomsvård ska verkställas m.m., aktuella myndigheter.

Mot bakgrund härav finns skäl att ställa sig frågan om även de två sistnämnda myndigheterna omfattas av dataskyddsrambeslutets bestämmelser.

Eftersom dessa myndigheter emellertid erhåller här aktuella uppgifter via polisen, finns enligt vår mening inte skäl att närmare utreda hur de sistnämnda myndigheternas författningar påverkas av dataskyddsrambeslutet.

Nedan följer därför en redogörelse för vilka författningar som reglerar behandling av personuppgifter i myndigheter med brottsbekämpande verksamhet, dvs. Kustbevakningen, polisen, Skatteverket, Tullverket och åklagarväsendet, samt de författningar som reglerar behandling av personuppgifter i Kriminalvården, Kronofogdemyndigheten samt allmänna domstolar och allmänna förvaltningsdomstolar.

Vi har i arbetet nedan utgått från gällande svenska författningar, med undantag från vad som gäller regleringen av polisens behandling av personuppgifter. I sistnämnda del har vi i vårt arbete i stället utgått från polisdatalagen (2010:361), som – med vissa undantag – träder i kraft den 1 mars 2012, då polisdatalagen (1998:622) upphör att gälla.

Vi är fullt medvetna om att det även pågår arbeten med att utforma nya eller justerade registerförfattningar inom flertalet av de övriga aktuella områdena ovan.

Vissa författningsförslag har likheter med utformningen av bestämmelser i polisdatalagen (2010:361). Då någon proposition

till ny lagstiftning inte – förutom vad gäller polisens arbete – har beslutats inom något av dessa områden, har vi inte i vårt arbete med att jämföra dataskyddsrambeslutet med svensk rätt ansett det som möjligt eller lämpligt att utgå från något av de nämnda författningsförslagen utan i stället utgått från gällande svensk rätt.

I vår redogörelse för de gällande svenska bestämmelserna som reglerar behandling av personuppgifter vid brottsbekämpande myndigheter m.m. har vi alltså inte – förutom vad gäller polisdatalagen – ansett oss kunna ta hänsyn till det lagstiftningsarbete m.m. som i nuläget pågår inom respektive område.

I slutet av varje avsnitt nedan har dock redogjorts något för det förändringsarbete som för närvarande pågår.

4.2. Behandling av personuppgifter vid brottsbekämpande myndigheter

4.2.1. Kustbevakningen

Allmänt om myndigheten

Kustbevakningen har bl.a. till uppgift att bedriva sjöövervakning, vilket innebär att ansvara för eller bistå andra myndigheter med allmän övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn. Kustbevakningen är en av landets gränskontrollmyndigheter och har getts samlat ansvar för gränskontrollen till sjöss avseende både personer och varor. De uppgifter som ålagts Kustbevakningen framgår av förordningen (2007:853) med instruktion för Kustbevakningen. Kustbevakningen bedriver ovan nämnda tillsyns- och kontrollverksamhet i fråga om bl.a.

-

sjötrafik, sjösäkerhet och transport av farligt gods,

-

personers inresa i, utresa från och vistelse i Sverige,

-

in- och utförsel av varor,

-

fiske och därtill anknuten verksamhet.

Kustbevakningen har också till uppgift att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter. Härutöver ska Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddnings-

tjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Med stöd av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning har kustbevakningstjänstemän – inom vissa i lagen angivna rättsområden – samma befogenheter som en polisman har att hålla förhör, ta med en person till förhör, gripa en person och att genomföra viss husrannsakan. Förundersökningsrätt tillkommer Kustbevakningen vid olagliga utsläpp av olja och andra skadliga ämnen från fartyg samt vid ratt- och sjöfylleri. Kustbevakningen har även rätt att utfärda föreläggande av ordningsbot för brott mot 5 kap. 1 § sjötrafikförordningen (1986:300) och brott mot 16 § tredje stycket lagen (2006:263) om transport av farligt gods.

En särskild inriktning inom den polisiära verksamheten är gränskontrollen avseende personers rätt till in- och utresa samt vistelse i Sverige. Kustbevakningen medverkar i personkontrollen genom att utöva kontroll av och i anslutning till sjötrafiken.

Kustbevakningen ska vid yttre gräns medverka i Tullverkets kontrollverksamhet genom att utöva tullkontroll av sjötrafiken.

Kustbevakningen ska vidare på begäran bistå Tullverket, om det behövs för att Tullverket ska kunna vidta en avsedd tullkontrollåtgärd. Kustbevakningen medverkar dessutom efter begäran i kontrollverksamheten vid inre gräns (ej bara kontroller av sjötrafiken). Kustbevakningstjänstemännen har i dessa situationer samma befogenheter som en tulltjänsteman att hålla förhör, gripa en person och att ta egendom i beslag. Kontrollverksamheten är främst inriktad mot narkotikasmuggling och storskalig smuggling av alkohol och tobak. Lagstöd finns bl.a. i tullagen (2000:1281) och lagen (2000:1225) om straff för smuggling.

Regler om behandling av personuppgifter

Kustbevakningens behandling av personuppgifter regleras i dag av personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Till skillnad från motsvarande författning för Tullverket (se avsnitt 4.2.4), som gäller i stället för personuppgiftslagen, gäller denna förordning utöver personuppgiftslagen (1 §). Förordningen är dock uppbyggd på ungefär samma sätt som Tullverkets författning. Kust-

bevakningen är personuppgiftsansvarig för behandlingen (8 §). Nedan redovisas huvuddelen av de bestämmelser som är gällande i Kustbevakningens brottsbekämpande verksamhet.

I förordningen finns dels allmänna regler om behandling av personuppgifter i Kustbevakningens brottsbekämpande arbete, dels bestämmelser om ett särskilt register för den verksamhet som förordningen omfattar – kustbevakningsdatabasen. I den brottsbekämpande verksamheten får personuppgifter behandlas om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott mot vilka Kustbevakningen har att ingripa, eller för att utreda sådana brott (4 §). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person i dessa avseenden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen (9 §). Förordningen skiljer på uppgifter som används gemensamt i verksamheten (kustbevakningsdatabasen) och uppgifter som endast enskilda eller begränsade grupper av tjänstemän har tillgång till (11 §). För behandlingen av uppgifter i kustbevakningsdatabasen finns särskilda regler när det gäller de personer om vilka uppgifter får behandlas, vilka uppgifter som får förekomma och sökbegränsningar. I förordningen finns också bl.a. bestämmelser om sökning och gallring. Personuppgiftslagens bestämmelser om rättelse och skadestånd tillämpas på behandling enligt förordningen (23 §).

Personuppgifter får också behandlas i den kontroll- och tillsynsverksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten. Personuppgifter får vidare behandlas vid Kustbevakningens handläggning av ärenden om vattenföroreningsavgift. Slutligen får Kustbevakningen även behandla personuppgifter om det är nödvändigt för att planera, följa upp eller utvärdera nu nämnda verksamheter.

Pågående lagstiftningsarbete

Som en följd av den översyn av myndighetens arbete i den brottsbekämpande och ordningshållande verksamheten som Utredningen om Kustbevakningens befogenheter har gjort – vilket i sin tur har lett fram till betänkandet Kustbevakningens rättsliga befogenheter (SOU 2008:55) – pågår i nuläget ett förnyelsearbete inom detta område i regeringskansliet. Betänkandet har remissbehandlats och bereds för närvarande inom försvarsdepartementet.

I dagsläget pågår också ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser om Kustbevakningens behandling av personuppgifter, där utgångspunkten för arbetet är det betänkande som har lämnats av Utredningen om Kustbevakningens personuppgiftsbehandling (SOU 2006:18) samt polisdatalagen (2010:361). Betänkande har remissbehandlats och inom försvarsdepartementet pågår nu arbete att ta fram en lagrådsremiss som behandlar ny lagstiftning inom detta område.

I betänkandet föreslog utredningen att en ny lag – lagen om behandling av uppgifter i Kustbevakningens verksamhet – skulle ersätta den nu gällande förordningen. Denna lag skulle, enligt utredningen, gälla i stället för personuppgiftslagen. Förslaget innehåller bl.a. särskilda bestämmelser om behandling av uppgifter i den brottsbekämpande verksamheten med specifika regler om t.ex. behandling av uppgifter för att förhindra eller upptäcka brottslig verksamhet, behandling av uppgifter för att utreda eller beivra visst brott, regler om särskilda upplysningar samt regler om uppgifter om handlingar som får göras gemensamt tillgängliga i den brottsbekämpande verksamheten. Dessutom innehåller förslaget regler om sökbegrepp, direktåtkomst, uppgiftsskyldighet och gallring.

4.2.2. Polisen

Regler om behandling av personuppgifter

Polisdatalagen (2010:361) träder i kraft den 1 mars 2012. Denna lag gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten.

Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister (1998:620), misstankeregister (1998:621), Schengens informationssysten (2000:344),

samt polisens allmänna spaningsregister (2010:362) omfattas inte av polisdatalagen. Lagen ska inte heller gälla den personuppgiftsbehandling som sker med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot.

Detsamma gäller personuppgiftsbehandling i polisens vapenregister enligt vapenlagen (1996:67), samt i passagerarregistret enligt lagen (2006:444) om passagerarregister.

Närmare om polisdatalagen

Lagen innehåller vissa bestämmelser om behandling av uppgifter om juridiska personer (1 kap. 3 §).

Lagen gäller vidare i stället för personuppgiftslagen (2 kap. 1 §). I lagen hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i polisens brottsbekämpande verksamhet (2 kap. 2 §).

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i lagen (2 kap. 7 §). Personuppgifter får behandlas om det behövs för att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller beivra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ändamålen (2 kap. 8 §) avser behandling för olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna tillämpas den s.k. finalitetsprincipen i 9 § d personuppgiftslagen. Personuppgifter får vidare enligt 2 kap. 9 § behandlas om 1. det är nödvändigt för diarieföring, eller 2. uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 10 § i lagen regleras bestämmelser om behandling av känsliga uppgifter. Enligt denna paragraf får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses ovan när det är

absolut nödvändigt för syftet med behandlingen. Lagen innehåller även bestämmelser om bevarande och gallring (2 kap. 12 §). Bestämmelser om utlämnande av personuppgifter och uppgiftsskyldighet regleras i 2 kap. 14–19 §§ och särskilda regler om elektroniskt utlämnande av personuppgifter i 2 kap. 20–21 §§.

I sammanhanget är av särskilt intresse vad som regleras angående möjligheten att lämna ut uppgifter till utländska myndigheter och mellanfolkliga organisationer. I 2 kap. 15 § anges att – om det är förenligt med svenska intressen – får personuppgifter lämnas till 1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller 2. utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare, enligt paragrafen, lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Kap. 3 i lagen innehåller särskilda bestämmelser för personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

Register som regleras särskilt i polisdatalagen

I 4 kap. polisdatalagen finns bestämmelser om register som regleras särskilt i lagen. Dessa register är register över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårregistret (4 kap. 1– 10 §§), fingertrycks- och signalementsregistret (4 kap. 11–17 §§), penningtvättregistret (4 kap. 18–20 §§), samt det internationella registret (4 kap. 21–22 §§). I kapitlet finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 5 kap. polisdatalagen finns särskilda bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. I kapitlet regleras särskilt ändamålen i detta sammanhang (5 kap. 1 §) och finns särskilda regler som stadgar att person-

uppgifter som behandlas enligt dessa ändamål även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation (5 kap. 2 § 4.).

5 kap. 4 § i lagen hänvisar till motsvarande bestämmelser i 2 kap. samma lag, bl.a. avseende behandlingen av känsliga uppgifter och utlämnande av personuppgifter och uppgiftsskyldighet. I kapitlet finns särskilda angivna bestämmelser för bevarande och gallring (5 kap. 6 §). Slutligen finns särskilda bestämmelser för behandling av gemensamt tillgängliga uppgifter (5 kap. 8-14 §§).

4.2.3. Skatteverket

Allmänt om myndighetens brottsbekämpande verksamhet

Skatteverkets brottsbekämpade verksamhetsgren är organiserad i sju skattebrottsenheter (SBE) och är nationellt täckande. Av 8 § förordningen med instruktionen för Skatteverket (2007:780) framgår att det vid verket ska finnas en eller flera särskilda enheter för uppgiften att medverka i brottsutredningar enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.

Enheterna är organisatoriskt skilda från Skatteverkets verksamhet i övrigt. De bedriver utredningsverksamhet i form av åklagarledda förundersökningar och s.k. förutredningar. Skattebrottsenheterna bedriver även underrättelseverksamhet såväl på lokal, regional och nationell nivå. Underrättelseverksamheten vid enheterna är till stor del inriktad mot att förhindra, upptäcka och avbryta grov och organiserad ekonomisk brottslighet inom främst skatteområdet, vilken ofta har samband med annan organiserad och allvarlig brottslighet.

De rättsliga förutsättningarna för den brottsbekämpande verksamheten återfinns i lagen om Skatteverkets medverkan i brottsutredningar. I 1 § i denna lag anges de brott som skattebrottsenheterna primärt har att agera mot nämligen brott enligt skattebrottslagen (1971:69), 30 kap. 1 § första stycket 4 aktiebrottslagen (2005:551), 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m., folkbokföringslagen (1991:481), 11 kap. 5 § brottsbalken (bokföringsbrott), samt lagen (1986:436) om näringsförbud. Skatteverket ges möjlighet att

medverka vid undersökning av annat brott, förutsatt att åklagaren finner att det föreligger särskilda skäl för det.

I 6 § lagen om Skatteverkets medverkan i brottsutredningar stadgas vidare att Skatteverket får bedriva spaning och verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.

Regler om behandling av personuppgifter

I lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och tillhörande förordning (1999:105) regleras behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Lagen gäller utöver personuppgiftslagen, så när inte annat sägs ska således personuppgiftslagen tillämpas, t.ex. vid förundersökningar.

Lagen – som gäller dels för spaning och utredning av brott, dels för att förebygga brott – är uppbyggd med polisdatalagen (1998:622) som förebild. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott enligt skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket – enligt 1 § lagen om Skatteverkets medverkan i brottsutredningar – får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det, omfattar tillämpningsområdet för de ovan nämnda författningarna vad gäller Skatteverkets personuppgiftsbehandling även sådana brott.

I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Lagen innehåller en uttömmande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Som huvudregel får ett underrättelse-

register innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva denna verksamhet.

För att personuppgifter ska få behandlas i underrättelseverksamhet utanför underrättelseregister föreskrivs att en särskild undersökning avseende brott som avses i lagen om Skatteverkets medverkan i brottsutredningar ska ha inletts och att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Allvarlig brottslighet definieras som verksamhet som omfattar brott för vilket är föreskrivet fängelse i två år eller därutöver.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden (4 §). Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverksamhet.

I lagen finns också bestämmelser som reglerar utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).

4.2.4. Tullverket

Allmänt om myndigheten

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Av förordningen (2007:782) med instruktion för Tullverket framgår att Tullverket ska både tillse att en riktig uppbörd kan säkerställas och kontrollera in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom hela sitt ansvarsområde. Tullverket har även viss utrednings- och åklagarverksamhet.

Den legala grunden för den brottsbekämpande verksamheten utgörs främst av lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, lagen (2000:1225) om straff för smuggling (smugglingslagen) samt lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott, liksom de författningar som denna lag hänvisar till. I smugglingslagen finns bestämmelser avseende förundersökning, tvångsmedel, åtal m.m. vid bland annat brotten smuggling, narkotikasmuggling och tullbrott.

När det gäller Tullverkets verksamhet med uppbörd av tullar, skatter och avgifter samt kontroll av restriktioner finns den grundläggande regleringen i rådets förordning (EEG) nr 2913/92 av den 12 oktober 1992 (tullkodex) och kommissionens förordning (EEG) nr 2454/93 av den 2 juli 1993 (tillämpningskodex) samt tullagen (2000:1281). Denna verksamhet brukar ibland kortfattat beskrivas som fiskal. Det finns en ny tullkodex, Europaparlamentets och rådets förordning (EG) nr 450/2008 av den 23 april 2008 om fastställande av en tullkodex för gemenskapen (moderniserad tullkodex), som delvis har trätt i kraft, främst avseende rätt för kommissionen att besluta om genomförandebestämmelser. Närmare reglering finns i tullagen, tullförordningen (2000:1306) och Tullverkets föreskrifter och allmänna råd (TFS 2000:20) om tullförfaranden m.m. (tullordningen).

Tullverket har vidare befogenheter att utföra kontroller i enlighet med lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter. Punktskattekontrollen har inslag av brottsbekämpning och då särskilt beträffande lagens straffprocessuella bestämmelser om olovlig förflyttning av punktskattepliktiga varor och olovlig befattning med punktskattepliktiga varor.

En tjänsteman vid Tullverket jämställs i vissa hänseenden med en polisman. Tulltjänstemän har därför getts polisiära befogenheter. Tulltjänstemän har i likhet med poliser t.ex. rätt att ta med någon till förhör och att gripa en person som är misstänkt för ett brott som Tullverket är skyldigt att beivra. Tulltjänstemän har också rätt att ta egendom i beslag under vissa förutsättningar liksom att föranstalta om husrannsakan, kroppsvisitation och kroppsbesiktning.

Tullverket får fatta beslut om att inleda förundersökning angående brott mot bl.a. smugglingslagen. Om inte saken är av enkel beskaffenhet ska ledningen av förundersökningen övertas av

åklagare så snart någon skäligen kan misstänkas för brottet. Även i andra situationer ska åklagaren överta ledningen när detta är påkallat av särskilda skäl. När förundersökningen leds av en åklagare får han eller hon anlita biträde av Tullverket.

Särskilda s.k. tullåklagare (jfr Åklagarmyndighetens föreskrifter och allmänna råd, ÅFS, 2005:23, Riksåklagarens riktlinjer, RåR, 2007:2 samt 19 och 32 §§ smugglingslagen) har rätt att väcka åtal om det handlar om ett brott enligt smugglingslagen eller andra brott som särskilt omnämns i denna lag och det är uppenbart att brottets straffvärde medför att påföljden ska stanna vid böter.

Regler om behandling av personuppgifter

För Tullverkets fiskala verksamhet finns bestämmelser om behandling av personuppgifter i lagen (2001:185) och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. Uppgifter får enligt lagen behandlas bl.a. för de primära ändamålen bestämmande, redovisning och betalning av tullar, skatter och avgifter samt för övervakning, revision och kontrollverksamhet. Uppgifter som behandlas för nämnda primära ändamål får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet.

Vad gäller Tullverkets brottsbekämpande verksamhet finns regler om behandling av personuppgifter i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i förordningen (2005:791) i samma ämne.

Det finns även bestämmelser om hantering av personuppgifter i annan lagstiftning, t.ex. i lagen (2000:1219) om internationellt tullsamarbete och i förordningen (2000:1222) i samma ämne, tullagen och i EU-lagstiftning.

Närmare om personuppgiftsbehandling i Tullverkets brottsbekämpande verksamhet

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller i stället för personuppgiftslagen (5 §). I 6 § hänvisas dock till vissa bestämmelser i personuppgiftslagen.

Lagen innehåller dels allmänna regler om behandling av personuppgifter i tullens brottsbekämpande arbete, dels bestämmelser om en särskild databas, tullbrottsdatabasen (3 §).

Åklagarmyndigheten och Ekobrottsmyndigheten m.fl. kan med stöd av förordningen under vissa förutsättningar ges direktåtkomst till uppgifter i tullbrottsdatabasen.

Lagen är endast tillämplig om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter (1 §). I viss utsträckning tillämpas lagen även på behandling av uppgifter om juridiska personer.

I Tullverkets brottsbekämpande verksamhet får personuppgifter behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete (7 §). Vidare får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information till andra svenska brottsbekämpande myndigheter (8 §).

Enligt 9 § får uppgifter som huvudregel inte behandlas för några andra ändamål än de som anges i 7 och 8 §§.

Uppgifter får lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (11 §).

I 12–15 §§ anges de närmare förutsättningarna för behandling av uppgifter för de tre huvudsyften som anges i 7 §.

För ändamålet att förhindra eller upptäcka brottslig verksamhet får enligt 12 § uppgifter behandlas enligt följande.

-

om uppgifterna dels ger anledning att anta att brottslig verksamhet, som innefattar brott för vilket är föreskrivet fängelse i minst två år har utövats eller kan komma att utövas, eller som innefattar andra brott, om verksamheten sker

systematiskt, dels kan hänföras till en person och gör att personen skäligen kan misstänkas för verksamheten i fråga,

-

om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som nyss sagts och inte kan hänföras till en person, eller

-

om uppgifterna avser en person som, utan att vara skäligen misstänkt, kan antas ha samband med sådan verksamhet.

Härutöver får uppgifter som kommit in till myndigheten om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt (13 §).

För ändamålet att utreda och beivra brott får uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet (14 §).

Utöver vad som följer av 12-14 §§ får, enligt 15 § första stycket, Tullverket behandla uppgifter för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete.

Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (16 §).

I 19 § anges vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen. 20–22 §§ reglerar vilka sökbegrepp som får användas. I lagen finns också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). 27 § innehåller ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att uppgifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.

Det finns i lagen också bestämmelser om information till den registrerade (29 §) och överklagande (30 §).

Inom ramen för den brottsbekämpande verksamheten har Tullverket rätt enligt 9 § förordningen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet att inrätta ett underrättelseregister.

4.2.5. Åklagarväsendet

Regler om behandling av personuppgifter

Förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet gäller utöver personuppgiftslagen (1 §). Den är tillämplig på Åklagarmyndighetens och Ekobrottsmyndighetens åklagarverksamhet, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Sådan behandling av personuppgifter som regleras i förordningen (1997:902) om register över strafförelägganden har undantagits från tillämpningsområdet.

I förordningen om behandling av personuppgifter inom åklagarväsendet anges uttömmande vilken behandling av personuppgifter som är tillåten. Huvudregeln är att uppgifter om den som kan misstänkas för brott och om andra personer får behandlas, när det behövs för att en åklagare ska kunna utföra de uppgifter som enligt rättegångsbalken eller annan författning ankommer på åklagare (7 §). Vidare får personuppgifter behandlas för tillsyn, planering, uppföljning eller framställning av statistik. Dessutom får uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en brottsbekämpande eller brottsbeivrande myndighet eller för att lämna uppgifter till andra, om uppgiftsskyldighet följer av lag eller förordning (8 och 9 §§). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden (10 §). Om uppgifterna finns i en handling som kommit in till myndigheten får de dock behandlas. Behandlas uppgifter om en person på annan grund får de kompletteras med känsliga

personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Inom åklagarväsendet förs en ärendedatabas, vars ändamål och innehåll regleras i förordningen. Ärendedatabasen får bl.a. innehålla uppgifter som behövs för kommunikation med personen, uppgifter om en fysisk eller juridisk persons ställning och koppling till andra personer i ett ärende samt uppgifter om fysiska personers personliga och ekonomiska förhållanden, uppgifter om juridiska personers ekonomiska förhållanden, uppgifter om brottshjälpmedel och transportmedel samt om beslut, händelser och åtgärder i ett ärende (13 §). Förordningen reglerar också vilka sökbegrepp som får användas vid sökning i ärendedatabasen (14–16 §§) samt gallring (21 §) och utlämnande av uppgifter (17 och 18 §§). Uppgifter får som huvudregel lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, endast om utlämnandet sker inom ramen för ett samarbete som är reglerat i en internationell överenskommelse som är bindande för Sverige. Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen (19 §).

Åklagarmyndigheten får enligt 3 § förordningen (1997:902) om register över strafförelägganden föra ett centralt register för strafförelägganden. Av 2 § i förordningen framgår vidare att Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket får föra lokala register över strafförelägganden. I 9 § finns dessutom bestämmelser om vilka uppgifter som registren får innehålla. Såvitt gäller strafförelägganderegister gäller detta bl.a. för uppgifter om den misstänkte och om målsäganden samt om gärningen, påföljden, beslut i ärendet och underrättelser. I 17 och 18 §§ anges vilka sökbegrepp som får användas vid sökning i registren. Förordningen innehåller inga bestämmelser om rättelse av felaktiga uppgifter eller om skadestånd för otillåten behandling av personuppgifter.

Pågående lagstiftningsarbete

I nuläget pågår ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser, där utgångspunkten för arbetet bl.a. är polisdatalagen (2010:361) samt det betänkande som har lämnats av Åklagardatautredningen (SOU 2008:87). Detta betänkande har remissbehandlats och inom Justitiedepartementet pågår för

närvarande arbetet med att utforma en lagrådsremiss som behandlar ny lagstiftning inom detta område.

I betänkandet föreslog utredningen att en ny lag – lagen om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet – skulle ersätta den nu gällande förordningen. Denna lag skulle, enligt utredningen, gälla i stället för personuppgiftslagen.

Lagen föreslås utgå från personuppgiftslagens tillämpningsområde, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som är motiverade.

Förslaget innehåller – förutom regler om lagens syfte och tillämpningsområde – allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, vari det bl.a. regleras personuppgiftsansvar, ändamålet för behandlingen, regler om behandling av känsliga personuppgifter, tillgången till personuppgifter, gallring samt utlämnande av personuppgifter och uppgiftsskyldighet. Härutöver innehåller betänkandets lagförslag särskilda regler om gemensamt tillgängliga uppgifter.

4.3. Behandling av personuppgifter vid andra myndigheter i rättskedjan

Allmänt

Sveriges Domstolar är samlingsnamnet för domstolarnas, hyres– och arrendenämndernas, Rättshjälpsmyndighetens och Domstolsverkets verksamhet. Verksamheten faller in under politikområde Rättsväsendet.

Domstolarna är oberoende och självständiga i förhållande till riksdag, regering och andra myndigheter. Målet för den dömande

verksamheten är att mål och ärenden ska handläggas på ett rättssäkert och effektivt sätt.

Det finns tre typer av domstolar

-

de allmänna domstolarna som består av tingsrätt, hovrätt och Högsta domstolen,

-

de allmänna förvaltningsdomstolarna, som består av förvaltningsrätt, kammarrätt och Högsta förvaltningsdomstolen, samt

-

specialdomstolarna som avgör tvister inom olika specialområden, t.ex. Arbetsdomstolen och Marknadsdomstolen.

Hyres- och arrendenämnderna avgör tvister mellan t. ex. hyresgäster och hyresvärd respektive arrendatorer och jordägare. Rättshjälpsmyndigheten tar hand om de ärenden enligt rättshjälpslagen som inte avgörs i någon domstol.

Domstolsverket är central förvaltningsmyndighet med huvudsaklig uppgift att stödja domstolarna administrativt.

De allmänna domstolarnas verksamhet, vilken främst är av intresse för utredningen, regleras i bl.a. regeringsformen, rättegångsbalken, förordningen (1996:381) med tingsrättsinstruktion, förordningen (1996:379) med hovrättsinstruktion och förordningen (1996:377) med instruktion för Högsta domstolen.

De allmänna domstolarna har till uppgift att handlägga brottmål, tvistemål och ärenden av olika slag. I brottmålen har domstolarna till uppgift att – förutom att slutligt avgöra målen genom dom eller beslut – bl.a. besluta i frågor om förordnande av målsägandebiträde och offentlig försvarare, i häktningsfrågor samt i frågor om hemliga tvångsmedel.

De allmänna domstolarnas verksamhet bedrivs vid 48 tingsrätter, sex hovrätter och Högsta domstolen.

De allmänna förvaltningsdomstolarnas verksamhet bedrivs vid tolv förvaltningsdomstolar, fyra kammarrätter och Högsta förvaltningsdomstolen.

Regler om behandling av personuppgifter

Behandlingen av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet regleras, såvitt är av intresse i detta sammanhang, i tre olika förordningar. En förordning innehåller regler om behandlingen i allmän domstol och

de två andra förordningarna bestämmelser om behandlingen i allmän förvaltningsdomstol. Förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller vid automatiserad behandling av personuppgifter i Högsta domstolens, hovrätternas och tingsrätternas rättskipande och rättsvårdande verksamhet. Vid de allmänna förvaltningsdomstolarna tillämpas förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling respektive förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling.

De tre förordningarna är uppbyggda på samma sätt och innehåller i stor utsträckning likalydande bestämmelser. Redogörelsen nedan omfattar, om inte annat anges, de tre nämnda förordningarna. Förordningarna gäller utöver personuppgiftslagen – som således i övrigt gäller för personuppgiftsbehandlingen vid de aktuella domstolarna – och innehåller bestämmelser om två typer av register; verksamhetsregister och rättsfallsregister.

Domstolarna får föra verksamhetsregister, vilkas övergripande ändamål är att vara ett hjälpmedel vid handläggningen av mål och ärenden. Enligt förordningarna får registren användas för handläggning av mål och ärenden, planering, uppföljning och utvärdering av verksamheten, och framställning av statistik. För de allmänna domstolarna finns ett fjärde ändamål, nämligen att fullgöra författningsenlig underrättelseskyldighet. Ett verksamhetsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål eller ärenden, om parter och andra aktörer, om personer som ska höras eller yttra sig, om förhandling, om handläggningen i övrigt och om rättegångskostnader.

Den s.k. ärendemeningen anger vad saken i exempelvis det specifika målet gäller. I detta sammanhang får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen, behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt. I övrigt får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Känsliga personuppgifter får inte användas som sökbegrepp. Samtliga förordningar innehåller regler om gallring i verksamhetsregister.

Domstolarna får även föra rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant rättsfallsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning, bl.a. mål- och ärendenummer, avgörandenummer, avgörandedatum, sökord och fullföljd. Personuppgiftslagens regler om gallring tillämpas på registren.

Utöver behandlingen i register finns i förordningarna också bestämmelser om att domstolarna får behandla personuppgifter automatiserat i löpande text eller ljud- och bildupptagningar. Personuppgifter som behandlas i löpande text eller i ljud- och bildupptagningar bevaras eller gallras enligt bestämmelserna i personuppgiftslagen.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förordningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans.

Pågående lagstiftningsarbete

För närvarande pågår ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser. Utgångspunkten för arbetet är bl.a. Domstolsdatautredningens slutbetänkande SOU 2001:100.

I betänkandet finns förslag till nya bestämmelser vad gäller behandling av uppgifter vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna.

I betänkandet föreslog utredningen att de ovan nämnda förordningarna som i dag reglerar personuppgiftsbehandlingen inom Sveriges Domstolar ska ersättas med lagar.

Inom Justitiedepartementet pågår för närvarande arbete med att ta fram en på betänkandet bl.a. byggd departementspromemoria som efter remissbehandling kommer att ligga till grund för lagstiftning inom detta område.

4.3.1. Kriminalvården

Allmänt om myndigheten

Kriminalvården sorteras in under politikområde Rättsväsendet. Kriminalvårdens verksamhetsgrenar är häkte, anstalt och frivård. Inom myndigheten finns också en transporttjänst, som förutom transporter inom Kriminalvården även utför transporter av frihetsberövade personer på uppdrag av andra myndigheter.

Verksamheten regleras i bl.a. förordningen (2007:1172) med instruktion för Kriminalvården. Sedan år 2006 är Kriminalvården organiserad som en enda myndighet.

Kriminalvården ansvarar för att verkställa utdömda påföljder, bedriva häktesverksamhet samt utföra personutredningar i brottmål. Inom dessa ramar ska Kriminalvården verka för att påföljder verkställs på ett säkert, humant och effektivt sätt, att lagföring kan ske på ett effektivt sätt samt att återfall i brott förebyggs.

Kriminalvården ska särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruket bekämpas, och innehållet i verkställigheten anpassas efter varje individs behov.

Regler om behandling av personuppgifter

Kriminalvårdens behandling av personuppgifter regleras i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och förordningen (2001:682) i samma ämne. Regleringen gäller för samtliga myndigheter inom kriminalvården, således inte bara för myndigheten Kriminalvården utan även för övervakningsnämnderna och Kriminalvårdsnämnden.

I lagen om behandling av personuppgifter inom kriminalvården anges att om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen tillämpas personuppgiftslagen vid behandling av personuppgifter inom kriminalvården. I lagen anges att kriminalvården får behandla personuppgifter bara om det behövs för att myndigheten ska kunna bl.a. fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning samt för att underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver.

Lagen innehåller vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller för kriminalvårdens verksamhet (2 §). Lagen innehåller endast övergripande bestämmelser för behandlingen, medan förordningen bl.a. innehåller bestämmelser om de register som ska föras inom kriminalvården (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas beträffande olika personkategorier.

Lagen gäller vid behandling av personuppgifter i fråga om personer som

-

är föremål för personutredning,

-

är häktade,

-

är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst,

-

är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en av ovan nämnda påföljder i Sverige,

-

på annan grund är intagna i häkte eller kriminalvårdsanstalt, eller

-

som annars transporteras av kriminalvårdens transporttjänst.

Enligt 3 § lagen om behandling av personuppgifter inom kriminalvården får personuppgifter behandlas bara om det är nödvändigt för att

-

kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

-

underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

-

upprätthålla säkerheten och förebygga brott under häktning, verkställighet av påföljd, intagning av annat skäl eller transport.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av det förhållandet. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter, om det är absolut nödvändigt för syftet med behandlingen. Sådana uppgifter får inte användas som sökbegrepp, om inte regeringen har föreskrivit det. Bara de personer som behöver det på grund av sina arbetsuppgifter får ha direktåtkomst till uppgifter (5–6 §§).

Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol (12 §). Beslutet ska dock först omprövas av Kriminalvården (13–15 §§).

Register som regleras särskilt

Det centrala kriminalvårdsregistret regleras i 34–36 §§ i förordningen. Ändamålet med registret är dels att myndigheten ska kunna fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift

om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en sådan påföljd i Sverige, omfattas av registret.

Säkerhetsregistret regleras i 39–41 §§ samt i 43–46 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott.

Detta register omfattar endast personer som är häktade eller intagna i vissa kriminalvårdsanstalter för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering av uppgifter i registret förutsätter därutöver att vissa särskilda omständigheter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).

4.3.2. Kronofogdemyndigheten

Kronofogdemyndigheten har, vad gäller statliga (offentligrättsliga) fordringar med internationell anknytning, i korthet följande uppgifter.

Inom Norden; att driva in skatter, avgifter och böter, Inom Europeiska unionen; att driva in inkomst- och förmögenhetsskatt, mervärdesskatt, vissa punktskatter och böter, samt Med stöd av vissa dubbelbeskattningsavtal; att driva in vissa skattefordringar i och utanför Europeiska unionen.

Regler om behandling av personuppgifter

Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet innehåller bestämmelser om Kronofogdemyndighetens behandling av personuppgifter i myndighetens verksamhet.

I 1 kap. 1 § tydliggörs att denna verksamhet enligt lagen är

-

utsökning och indrivning,

-

skuldsanering,

-

betalningsföreläggande och handräckning,

-

europeiskt betalningsföreläggande,

-

tillsyn i konkurs,

-

samt annan verksamhet som särskilt åligger Kronofogdemyndigheten.

1 kap. 2 § i nämnda lag anger att lagen gäller i stället för personuppgiftslagen, om inte annat särskilt anges i 1 kap. 3 § och 3 kap. i samma lag.

Lagen består av tre kapitel, varav kap. 1 innehåller allmänna bestämmelser, kap. 2 bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1–6 §§), betalningsföreläggande- och handräckningsdatabasen (7–12 §§), skuldsaneringsdatabasen (13-18 §§), konkurstillsynsdatabasen (19– 23 §§) och gemensamma bestämmelser om databaserna (24–31 §§) samt kap. 3 bestämmelser om enskildas rättigheter.

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).

I 1 kap. 6 § i lagen regleras behandlingen av känsliga uppgifter. Enligt denna paragraf får uppgifter som anges i 13 § personuppgiftslagen behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Lagen innehåller även bestämmelser om gallring (1 kap. 7 §). För de olika databaserna (se ovan) finns vidare specifika bestämmelser om ändamål, innehåll och gallring.

I 3 kap. finns regler om information till den registrerade (1– 2§§), rättelse och skadestånd (3–3a §§) och överklagande (4 §).

5. Lagstiftning om internationellt samarbete

5.1. Allmänt om författningar om internationellt samarbete i svensk rätt

Dataskyddsrambeslutets tillämpningsområde omfattar sådana personuppgifter som överförs eller görs tillgängliga mellan stater inom Europeiska unionen eller mellan en medlemsstat och ett tredjeland eller ett internationellt organ som sysslar med brottsbekämpning.

Nedan följer en redogörelse för den lagstiftning som särskilt tar sikte på internationellt samarbete inom dataskyddsrambeslutets verksamhetsområden och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.

Skäl att närmare undersöka denna lagstiftning föreligger bl.a. med hänsyn till de användningsbegränsningar som tas upp i dataskyddsrambeslutet, artiklarna 11-14 samt i viss mån i artikel 9 (se vidare kap 9).

I förarbetena till prop. 2008/09:16, s. 25-29Godkännande av

Dataskyddsrambeslutet – samt den dessförinnan föreliggande departementspromemorian Ds 2008:30, s. 91-115Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete – har denna lagstiftning detaljerat gåtts igenom.

Vi återger i detta kapitel således enbart vad som i huvudsak redogjorts för i nämnda förarbeten, med vissa kompletteringar/justeringar (se avsnitt 5.9). Som påpekats ovan utgör kapitlet ett underlag för bedömningar, bl.a. vad gäller frågan om användningsbegränsningar i dataskyddsrambeslutet.

5.2. Närmare om regler för användningsbegränsningar

I prop. 2008/09:16 s. 26 anförs följande.

Från slutet av 1980-talet föreslogs allt oftare vid förhandlingar om internationella överenskommelser om rättsligt samarbete och informationsutbyte bestämmelser om begränsningar i fråga om hur överlämnad information får användas. Det väckte så småningom frågan om hur man skulle hantera den typen av bestämmelser i svensk rätt. Genom en bestämmelse i lagen (1991:435) med vissa bestämmelser om internationellt samarbete på brottmålsområdet infördes en generell bestämmelse som gav myndigheterna rätt att, i fall där en främmande stat hade ställt villkor angående användningen av upplysningar eller bevismaterial, följa detta villkor oavsett vad som annars var föreskrivet i lag eller annan författning. Lagen upphävdes när lagen (2000:562) om internationell rättslig hjälp i brottmål infördes. Numera finns det således ingen generell lagstiftning på området utan motsvarande bestämmelser finns i flera olika lagar.

Det förhållandet att en regel om användningsbegränsning finns i en lag som primärt gäller för ett visst verksamhetsområde får inte tolkas så att den bara ska tillämpas i den verksamheten. Tvärtom gäller en användningsbegränsning för alla svenska myndigheter. JO har i ett ärende som berörde flera myndigheter utvecklat detta närmare (se JO 2007/08 s. 57).

5.3. Lagstiftning om samarbete i den brottsbekämpande verksamheten

5.3.1. Lagen (2000:343) om internationellt polisiärt samarbete

I lagen (2000:343) om internationellt polisiärt samarbete regleras samarbete mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i Europeiska unionen samt Norge och Island. Lagen reglerar bl.a. Schengensamarbetet men även annat polissamarbete som är generellt. I lagen anges vilka svenska tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän, tulltjänstemän och kustbevakningstjänstemän, när de enligt lag eller annan författning har polisiära befogenheter.

Det bör påpekas att den viktigaste delen av informationsutbytet inom Schengensamarbetet regleras i lagen om Schengens informationssystem (se avsnitt 5.3.3). Den nu aktuella lagen

reglerar annat samarbete och informationsutbyte som är mera inriktat på enskilda fall.

I lagen finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Bestämmelsen motsvarar i huvudsak 1 § i den upphävda lagen med särskilda bestämmelser om internationellt samarbete på brottmålsområdet. Har en svensk myndighet fått upplysningar eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott eller vid utredning av brott, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att utnyttja materialet, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överenskommelser med mellanfolkliga organisationer.

Som en följd av Prümrådsbeslutet trädde kompletterande bestämmelser i lagen i kraft den 1 juli 2010 (se avsnitt 5.3.5).

5.3.2. Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utredningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som

är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.

Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10–14 §§) och om brottsutredningar med användning av skyddsidentitet (15–17 §§). Med kontrollerad leverans avses att en viss förbjuden vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5–7 §§ tillämpas (13 respektive 16 §).

5.3.3. Lagen (2000:344) om Schengens informationssystem

I dataregistret Schengens informationssystem (SIS) kan varje medlemsstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks med en begäran om att en viss åtgärd ska vidtas om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av personuppgifter i den nationella delen av SIS.

Lagen, som gäller utöver personuppgiftslagen (prop. 1999/2000:64 s. 135), innehåller bl.a. regler om vilka uppgifter som får registreras och i vilka syften (3 och 4 §§), en särskild bestämmelse om att känsliga uppgifter inte får registreras (7 §), samt bestämmelser om gallring, rättelse och skadestånd (11–13 §§).

Lagen innehåller också en regel om användningsbegränsning (10 §) enligt vilken en svensk myndighet inte får utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angett vid registreringen.

Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.

Se vidare avseende SIS bl.a. i avsnitt 5.9.4 (polisen), 5.9.7 (Tullverket) och 5.9.3 (Kustbevakningen).

5.3.4. Förordningen (2008:1396) om förenklat informations- och underrättelseutbyte mellan brottsbekämpande myndigheter i Europeiska unionen

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ.

Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information och befintliga underrättelser. Genom detta rambeslut åtar sig medlemsstaterna bl.a. att på begäran av en annan stat lämna viss information och att spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari 2009.

Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet.

5.3.5. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, (Prümrådsbeslutet), innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom Europeiska unionen som ansvarar för att förebygga och utreda brott.

I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. I beslutet finns vidare en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om

uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Utöver bestämmelserna om informationsutbyte innehåller rådsbeslutet bestämmelser om frivilligt operativt samarbete.

Regeringen har i propositionen Godkännande av Prümrådsbeslutet (prop. 2007/08:83) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU20, rskr. 2007/08:197). Beslutet har därefter antagits av rådet.

En proposition – Genomförande av delar av Prümrådsbeslutet (prop. 2009/10:177) – innehållande vissa författningsförslag, lämnades till riksdagen i mars 2010. Lagändringarna har trätt i kraft den 1 juli 2010 och kompletterats med följande förordningsbestämmelser.

Användning av uppgifter från andra stater

3 § Har en svensk myndighet fått uppgifter eller bevisning från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av en överenskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Första stycket gäller också i fråga om överenskommelser med mellanfolkliga organisationer. 3 a § En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.

Första stycket gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation.

Resterande förslag i promemorian bereds för närvarande i Justitiedepartementet och avsikten är att en proposition med lagförslag i dessa delar ska kunna beslutas under våren 2011.

5.4. Lagstiftning om internationellt tullsamarbete

Lagen om internationellt tullsamarbete

Syftet med det internationella tullsamarbetet, som regleras i lagen (2000:1219) om internationellt tullsamarbete, är att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser. Tullverket eller annan behörig svensk myndighet ska bistå utländsk myndighet och mellanfolklig organisation. Behöriga myndigheter är, förutom Tullverket, Rikspolisstyrelsen, polismyndigheter, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.

Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt nationell lagstiftning (1 kap. 3 §). Samarbetet består bl.a. i att länderna självmant eller efter ansökan ska delge varandra uppgifter som behövs för tullsamarbetet.

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verksamhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 §).

Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten i princip skyldig att på begäran av den som uppgiften avser underrätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller om det kan befaras att underrättelsen skulle försvåra den utländska utredningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §). Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (4 kap. 2 §).

I 4 kap. 3 § i lagen framgår även att en behörig svensk myndighet får i en pågående utredning om överträdelse av tullbestämmelse begära att få ta del av uppgifter i en annan stat. För sådana uppgifter gäller bestämmelserna i offentlighets- och sekretesslagen samt sådana villkor för uppgifternas användning som avses i 2 §.

Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av utländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).

Angående nämnda lag och Tullverket, se även avsnitt 5.9.7 nedan.

5.5. Lagstiftning om internationellt rättsligt samarbete

Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål finns bestämmelser om skyldighet att på en utländsk myndighets begäran vidta åtgärder som bl.a. förhör under förundersökning, bevisupptagning, telefonförhör, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §) och motsvarande bestämmelser om hur Sverige kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.

Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlemsstater i Europeiska unionen samt Norge och Island. En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas, även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §). Åklagaren kan begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma

utsträckning som för en motsvarande svensk förundersökningsåtgärd.

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller bindande villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, villkoret följas oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller beträffande villkor som en stat har ställt upp när den på eget initiativ lämnar sådana uppgifter.

På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt (5 kap. 2 §).

Detsamma gäller för uppgifter som lämnas i form av rättslig hjälp utan samband med ett ärende. Villkor som strider mot en internationell överenskommelse som är bindande för Sverige får dock aldrig ställas.

Den åklagare eller den domstol som har ställt ett villkor enligt 5 kap. 2 § får enligt 5 kap. 3 § på begäran av en myndighet i den mottagande staten medge undantag från villkoret.

Överlämnande från Sverige enligt en europeisk arresteringsorder

Inom Europeiska unionen tillämpas ett förenklat förfarande för utlämning med anledning av brott. Om en medlemsstat har meddelat ett rättsligt avgörande och begär att en annan stat ska gripa och överlämna en eftersökt person för lagföring eller verkställighet tillämpas lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Lagen tillämpas också för överlämnade av svenska medborgare. Regleringen genomför rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna. I lagen anges att överlämnande ska ske antingen om överlämnandet avser lagföring (om gärningen utgör brott enligt svensk lagstiftning samt det för brottet är föreskrivet en frihetsberövande påföljd i ett år eller mer) eller om överlämnandet avser verkställighet (och den utdömda påföljden innebär ett frihetsberövande i minst fyra månader), se 2 kap. 2 § första stycket.

Enligt andra stycket i samma paragraf ska överlämnande beviljas även om gärningen inte motsvarar brott enligt svensk lag, under förutsättning att gärningen finns angiven i bilagan till lagen och det för gärningen enligt den utfärdande medlemsstatens lagstiftning är föreskrivet en frihetsberövande påföljd i tre år eller mer (s.k. listbrott).

I lagen anges också när överlämnande inte får ske (2 kap. 3– 6 §§). Det gäller bl.a. om arresteringsordern är bristfällig, om den eftersökte ska överlämnas till tredje stat eller Internationella brottsmålsdomstolen, om den dömde var under 15 år när gärningen begicks eller om överlämnandet skulle strida mot Europakonventionen.

En arresteringsorder kan översändas genom Schengens informationssystem eller annat system för eftersökning av personer som är misstänkta för brott. En arresteringsorder kan också skickas direkt till behörig åklagare i den region där man antar att den eftersökte befinner sig (4 kap. 1 §). Allmän åklagare är ansvarig för handläggningen av ärenden enligt lagen. Åklagaren utreder om det finns grund för överlämnande och fattar beslut om anhållande av eller reseförbud eller anmälningsplikt för den efterlyste (4 kap. 3 §). Allmän domstol beslutar om överlämnande, men åklagaren får avslå en begäran.

I brådskande fall får en polisman, tulltjänsteman eller tjänsteman vid Kustbevakningen även utan ett anhållningsbeslut gripa den som är efterlyst i en arresteringsorder som översänts t.ex. genom Schengens informationssystem (4 kap. 5 § fjärde stycket lagen). Polisen, Tullverket och Kustbevakningen har direktåtkomst till SIS-registret, enligt 10 § förordningen (2000:836) om Schengens informationssystem.

När någon har gripits ska åklagaren genast inleda en utredning om det finns förutsättningar för överlämnande från Sverige. Utredningen ska göras enligt bestämmelserna om förundersökning i brottmål.

Regeringen har i sin promemoria Ds 2010:26, Överlämnande från Sverige enligt en nordisk arresteringsorder, föreslagit att Sverige ska godkänna konventionen om överlämnande mellan de nordiska staterna på grund av brott (nordisk arresteringsorder), se vidare avsnitt 5.9.8. I promemorian har även lämnats förslag till en ny lag om överlämnande från Sverige enligt en nordisk arresteringsorder samt vissa övriga lagändringar som behövs för att

Sverige ska leva upp till de åtaganden som ett tillträde till konventionen medför.

Lagändringarna föreslås träda i kraft den dag regeringen bestämmer.

Erkännande och verkställighet av frysningsbeslut

Inom Europeiska unionen tillämpas också ett förenklat förfarande för verkställighet av beslut om frysning av egendom eller bevismaterial. Lagen (2005:500) om erkännande och verkställighet i

Europeiska unionen av frysningsbeslut genomför rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Europeiska unionen av beslut om frysning eller bevismaterial.

Med frysningsbeslut avses i lagen dels beslut om kvarstad enligt 26 kap. rättegångsbalken, som avser värdet av förverkad egendom, dels ett svenskt beslut om beslag enligt lagen, och dels vissa motsvarande beslut som har meddelats av en rättslig myndighet i en annan medlemsstat.

Rambeslut om en europeisk bevisinhämtningsorder

Den 14 november 2003 presenterade Europeiska unionens kommission ett förslag till rådets rambeslut om en europeisk bevisinhämtningsorder. Avsikten är att genom rambeslutet och andra instrument på sikt ersätta den traditionella rättsliga hjälpen med enklare förfaranden. Bevisinhämtningsordern är tänkt att utgöra steget efter ett frysningsbeslut.

Rambeslutet är inriktat på föremål, handlingar och uppgifter som erhållits genom processrättsliga åtgärder och som är direkt tillgängliga. Det innebär att bevismaterial som först har varit föremål för ett frysningsbeslut därefter kan bli föremål för en bevisinhämtningsorder. Rambeslutet bygger vidare på principen om ömsesidigt erkännande.

Direktiv om europeisk utredningsorder

Europeisk utredningsorder (European Investigation order) är ett förslag inom Europeiska unionen som är tänkt att tillåta myndigheter i en medlemsstat att kunna begära att specifika

utredningsåtgärder rörande brottmål vidtas i en annan medlemsstat.

Direktivet omfattar i princip allt straffrättsligt samarbete inom Europeiska unionen som avser inhämtande av bevisning. Det straffrättsliga samarbetet om bevisinhämtning inom Europeiska unionen är i dag baserat på både traditionell ömsesidig rättslig hjälp och principen om ömsesidigt erkännande. Direktivet syftar till att åstadkomma en ny strategi och en heltäckande reglering som bygger på principen om ömsesidigt erkännande men även tar hänsyn till flexibiliteten i traditionell rättslig hjälp.

Direktivet avser att ersätta rådets rambeslut 2008/978/RIF av den 18 december 2008 om en europeisk bevisinhämtningsorder för att inhämta föremål, handlingar eller uppgifter som ska användas i straffrättsliga förfaranden (rambeslutet om en europeisk bevisinhämtningsorder) samt rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Europeiska unionen av beslut om frysning av egendom eller bevismaterial (rambeslutet om frysning) och de olika instrument som avser ömsesidig rättslig hjälp i brottmål i den mån de behandlar inhämtande av bevis som ska användas i straffrättsliga förfaranden.

Sverige är som medförslagsställare till förslaget positiv till direktivets syfte.

Rambeslut om utbyte av information ur kriminalregister

Det fleråriga Haagprogrammet, som antogs under Europeiska rådets möte den 4–5 november 2004, innehåller tio prioriteringar för Europeiska unionen när det gäller att stärka området med frihet, säkerhet och rättvisa under de följande fem åren. I Haagprogrammet uppmanades kommissionen bl.a. att framlägga förslag till ökat utbyte av uppgifter om domar i nationella register.

I januari 2006 lade kommissionen fram ett förslag till rambeslut om utbyte av information ur kriminalregister. Utkastet till rambeslut innebär en utveckling av artiklarna 13 och 22 i Europarådets konvention från 1959 om ömsesidig rättslig hjälp i brottmål. Arbetet ska ske i två faser. I första steget åtar sig medlemsstaterna att dels mer regelbundet informera varandra när en person döms för brott i en medlemsstat men denne är medborgare i en annan medlemsstat, dels effektivisera informationsutbytet när uppgifter begärs i ett enskilt ärende. I den andra fasen av arbetet är målet att

denna information ska kunna utbytas elektroniskt med hjälp av ett standardiserat format.

Medlemsstaterna ska så snart som möjligt informera den medlemsstat i vilken den dömde är medborgare om en dom i brottmål. Vidare ska det med domen följa information om hur länge en registrering kommer att finnas kvar i domslandets kriminalregister. Information om de ändringar eller den gallring av uppgifter som sker i kriminalregistret ska också översändas till den medlemsstat som fått information om domen.

När information ur kriminalregistret begärs i en medlemsstat finns det möjlighet att även begära information från en annan stats kriminalregister. Detta gäller även när en enskild person efterfrågar uppgifter om sig själv, under förutsättning att personen är eller har varit bosatt eller är medborgare i den andra staten. En myndighets begäran om information ur kriminalregister ska besvaras omedelbart eller i vart fall inom tio arbetsdagar. Kommer förfrågan från en privatperson ska information lämnas inom 20 arbetsdagar.

Uppgifter som erhålls från en annan stat får användas endast för det ändamål för vilket uppgifterna begärdes. De får dock alltid användas för att avvärja omedelbara och allvarliga hot. Dessutom kan den andra staten medge användning för andra ändamål, men kan då ställa upp särskilda villkor.

Slutligen ska medlemsstaterna inom tre år efter antagandet av rambeslutet genomföra de tekniska åtgärder som krävs för att information ur kriminalregister ska kunna överföras elektroniskt. En politisk överenskommelse har nåtts om innehållet i rambeslutet.

I propositionen Sveriges antagande av rambeslut om utbyte av uppgifter i kriminalregister (prop. 2008/09:18) har regeringen översiktligt redovisat vilka lagstiftningsåtgärder som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU11, rskr. 2008/09:33). En särskild utredare har fått i uppdrag att överväga hur rambeslutet och rådsbeslutet lämpligast bör genomföras för svensk del. Utredaren ska lämna förslag till de författningsändringar som bedöms nödvändiga och lämpliga (dnr 2010/2196/P). Uppdraget ska redovisas senast den 28 februari 2011.

5.6. Lagstiftning om samarbete i fråga om verkställighet av frihetsberövande påföljder

Allmänt

Det internationella samarbetet om överförande av verkställighet av straffrättsliga påföljder mellan Sverige och andra stater sker ofta på avtalsrättslig grund. Det finns emellertid flera internationella överenskommelser om överförande av straffverkställighet som Sverige har ingått och som har genomförts i svensk lagstiftning. Dessa redovisas i korthet nedan. För en närmare redogörelse för lagstiftningen när det gäller verkställighet av frihetsberövande straff hänvisas till Ds 2008:1 Sveriges antagande av rambeslut om överförande av frihetsberövande påföljder inom Europeiska unionen, s. 21 ff. och för motsvarande redovisning när det gäller bötesstraff hänvisas till Ds 2007:18 Verkställighet inom Europeiska unionen av bötesstraff och beslut om förverkande, s. 86 ff.

Internationella verkställighetslagen

Enligt 1 § lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom (internationella verkställighetslagen) får regeringen bestämma att domar avseende frihetsberövande, böter eller förverkande, som har dömts ut i andra stater, får verkställas i Sverige eller att svenska påföljder får verkställas i en annan stat, i den mån det följer av en överenskommelse som Sverige har ingått med en annan stat. De viktigaste överenskommelserna är 1970 års konvention om brottmålsdoms internationella rättsverkningar (brottmålsdomskonventionen), 1983 års konvention om överförande av dömda personer (överförandekonventionen) och 1990 års tillämpningskonvention till Schengenavtalet (Schengenkonventionen).

Även om det inte finns något bilateralt eller multilateralt avtal om överförande av verkställighet kan regeringen enligt 3 § lagen, om det föreligger synnerliga skäl i ett enskilt fall, genom regeringsbeslut förordna att en frihetsberövande påföljd som har dömts ut i Sverige får verkställas i en annan stat eller att en sådan påföljd som har ådömts en svensk medborgare eller en utlänning med hemvist i Sverige får verkställas här. Vid verkställighet enligt brottmålsdomskonventionen och enligt överförandekonventionen

krävs dubbel straffbarhet, dvs. gärningen ska utgöra brott enligt svensk lagstiftning.

Om ett straff verkställs i Sverige efter överförande hit sker verkställigheten enligt svenska regler. Straff som är strängare än vad som är möjligt att utdöma enligt svensk lag kan förekomma. Lagen innehåller få regler av allmän karaktär. Flertalet bestämmelser reglerar de specifika förutsättningar och förfaranden som gäller enligt respektive konvention.

Överförandekonventionen syftar i första hand till att främja dömda personers återanpassning till samhället. Konventionen innebär inte någon skyldighet att överföra eller överta straffverkställighet. Ett överförande förutsätter alltid både domslandets och den verkställande statens samtycke. Den dömde själv måste också samtycka till överförandet. Samtliga medlemsstater i Europeiska unionen har tillträtt överförandekonventionen. Flertalet överföranden inom Europa sker med stöd av den. Överförande inom Norden sker dock alltjämt normalt med stöd av den nordiska verkställighetslagen, (se nedan i detta avsnitt).

Enligt Schengenkonventionen kan överförande av verkställighet i princip ske enligt samma förutsättningar som gäller enligt överförandekonventionen, men utan den dömdes samtycke om denne har flytt för att undandra sig verkställighet av en dom i domslandet, eller om den dömde enligt domen ska utvisas eller annars inte får vistas i domslandet. Regleringen gäller i förhållande till de stater som ingår i Schengensamarbetet och är bundna av Schengenkonventionen i relevanta delar.

Överföranden enligt brottmålsdomskonventionen förekommer sällan eftersom förfarandet upplevs som komplicerat. Brottmålsdomskonventionen har samma syfte som överförandekonventionen, men innebär en förpliktelse för en stat att överta verkställigheten om förutsättningarna för detta är uppfyllda. Förfarandet är mera detaljreglerat än förfarandet enligt överförandekonventionen, bl.a. på det sättet att det krävs ett domstolsbeslut i den stat som övertar verkställigheten.

Rambeslut om överförande av frihetsberövande påföljder inom Europeiska unionen

I januari 2005 tog Österrike, Finland och Sverige initiativ till ett rambeslut om överförande av dömda mellan Europeiska unionens medlemsstater. Vid rådets för rättsliga och inrikes frågor möte den 15 februari 2007 nåddes en principöverenskommelse om innehållet i rambeslutet.

Rambeslutet bygger vidare på den av Europeiska rådet i Tammerfors år 1999 antagna principen om att ömsesidigt erkännande ska vara hörnstenen i det rättsliga samarbetet mellan Europeiska unionens medlemsstater. Innebörden i rambeslutet är att medlemsstaterna ska erkänna och verkställa varandras avgöranden utan någon vidare prövning. I rambeslutet är prövningen av om en annan stats avgörande ska erkännas och verkställas begränsad till några få omständigheter (vägransgrunder). Om en sådan omständighet föreligger, får erkännande och verkställighet vägras. I annat fall ska den tillfrågade staten överta verkställigheten av påföljden.

Riksdagen har godkänt utkastet till rambeslut (jfr betänkande 2007/08:JuU23 och prop. 2007/08:84). Tidpunkten är ännu inte bestämd för när medlemsländerna ska ha genomfört bestämmelserna i rambeslutet.

Nordiska verkställighetslagen

För de nordiska länderna finns en enhetlig och i princip likalydande lagstiftning om överförande av verkställighet av straff. Lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetslagen) reglerar förfarandet.

De nordiska lagarna möjliggör verkställighet av böter, förverkande, frihetsstraff och övervakning av villkorligt dömda och villkorligt frigivna. Verkställighet av överlämnande till särskild vård regleras inte i lagen, men då kan i stället överförandekonventionen eller internationella verkställighetslagen tillämpas.

Övertagande av straffverkställighet till följd av en arresteringsorder

Enligt lagen om en europeisk arresteringsorder (se kap. 5.5) kan en annan stats begäran om överlämnade avslås i vissa fall. Om domstolen har avslagit en begäran om överförande till en annan stat för verkställighet av en frihetsberövande påföljd därför att den som söks för verkställigheten är svensk medborgare och begär denne att påföljden ska verkställas i Sverige, ska Sverige överta verkställigheten, om inte den andra staten motsätter sig det (2 kap. 6 § och 7 kap. 1 § lagen om överlämnande från Sverige enligt en europeisk arresteringsorder).

Straffverkställighet i Sverige av straff utdömda av internationella tribunaler och domstolar

Sverige har ingått straffverkställighetsavtal med Internationella brottsmålstribunalen för f.d. Jugoslavien, Internationella brottsmålstribunalen för Rwanda och Specialdomstolen för Sierra Leone (SÖ 1999:25, 2004:17 och 2006:10). Enligt lagen (1994:569) om samarbete med de internationella tribunalerna för brott mot internationell humanitär rätt och lagen (2006:615) om samarbete med Specialdomstolen för Sierra Leone får regeringen besluta att fängelsedomar meddelade av dessa internationella domstolar ska verkställas i Sverige. I Romstadgan för Internationella brottmålsdomstolen, som Sverige tillträdde år 2001, (SÖ 2002:59) finns också regler om verkställighet av straff. Dessa har genomförts i svensk rätt genom lagen (2002:329) om samarbete med

Internationella brottmålsdomstolen.

5.7. Samarbete rörande kriminalvård i frihet

Lagen om internationellt samarbete rörande kriminalvård i frihet

En annan lag reglerar på motsvarande sätt samarbetet rörande icke frihetsberövande påföljder, lagen (1978:801) om internationellt samarbete rörande kriminalvård i frihet. Lagen bygger på den europeiska konventionen den 30 november 1964 rörande övervakning av villkorligt dömda eller villkorligt frigivna personer och

omfattar endast samarbete med sådana stater som har tillträtt konventionen (1 §).

Rambeslut om erkännande och övervakning av uppskjutna, alternativa och villkorliga påföljder

I januari 2007 presenterade Tyskland och Frankrike ett förslag till rambeslut om erkännande och övervakning av uppskjutna, alternativa och villkorliga påföljder mellan medlemsstaterna inom Europeiska unionen. Rambeslutet syftar till att förbättra samarbetet mellan medlemsstaterna i de fall där en person har dömts till en icke frihetsberövande påföljd i en medlemsstat men har sin hemvist i en annan medlemsstat. Vid ministerrådets för rättsliga och inrikes frågor möte den 6–7 december 2007 nåddes en principöverenskommelse om innehållet i rambeslutet.

5.8. Samarbetet med vissa internationella organ

Interpol

ICPO – Interpol, som grundades år 1923, är en mellanstatlig organisation för polissamarbete som vilar på folkrättslig grund. Sverige blev medlem år 1926. Förenta nationerna har accepterat Interpols verksamhet och status och organisationen har ett representationskontor vid Förenta Nationernas högkvarter. Interpols syfte är att underlätta gränsöverskridande polissamarbete. Interpol fungerar som länk även i de fall där det inte finns diplomatiska förbindelser mellan staterna. Organisationen har sitt huvudkontor i Lyon i Frankrike. Interpol fungerar främst som ett kontaktorgan mellan de stater som är medlemmar i organisationen och som en kanal för att sprida polisiär information till ett flertal länder.

Interpol för olika databaser för gemensamma ändamål, exempelvis ett internationellt register över stulna motorfordon. Organisationen erbjuder också medlemsstaterna hjälp med kunskap och information om metodutveckling samt arrangerar utbildningar för polismän.

För närvarande är 186 länder medlemmar i Interpol. Varje medlemsland har en nationell Interpolbyrå, som är utpekad som kontaktpunkt både i förhållande till Interpol och till medlems-

länderna i deras inbördes kontakter. I Sverige finns den nationella byrån vid Rikskriminalpolisen.

Samarbetet inom Interpol styrs av medlemsländernas lagstiftningar. Interpol fungerar inte bara som ett organ för polisiärt samarbete utan medverkar även vid rättslig hjälp och bistår på begäran andra myndigheter än polisen, bl.a. åklagare, Tullverket och Kriminalvården. Det finns inte någon särskild rättslig reglering av samarbetet med Interpol. Information lämnas till Interpol med stöd av reglerna i polisens registerlagstiftning, framför allt polisdatalagen (2010:361), lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister.

Ytterligare angående Interpol och nationell Interpolbyrå, se avsnitt 5.9.4 nedan.

Europol

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det brottsbekämpande samarbetet i unionen. Europol är ett organ för behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom Europeiska unionen. Syftet med Europol är att förbättra effektiviteten hos de behöriga nationella myndigheterna och förbättra deras inbördes samarbete i den förebyggande och brottsbekämpande verksamheten.

Europols verksamhet grundas på Europolkonventionen som öppnades för undertecknande år 1995. Sverige tillträdde konventionen år 1997. Europols verksamhet inleddes år 1999. Den 1 januari 2010 upphörde Europolkonventionen att gälla och ersattes av Europolrådsbeslutet (antaget av Europeiska rådet för rättsliga och inrikes frågor, RIF-rådet, den 6 april 2009 genom dess beslut om inrättande av Europeiska polisbyrån, Europol). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat samt bestämmelser om informationsbehandling och dataskydd.

Europols behörighet omfattar enligt Europolrådsbeslutet organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder.

Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Medlemsstaterna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs och bearbetas samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som härigenom får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Europol medlemsstaterna med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsländerna m.m.

Europol kan tas i anspråk när de faktiska omständigheterna visar att det förekommer en brottslig organisation eller struktur som påverkar två eller flera medlemsstater och som med hänsyn till brottslighetens omfattning, svårhetsgrad och konsekvenser gör det nödvändigt med ett gemensamt handlande från medlemsstaternas sida.

Europol har egna datasystem och upprättar särskilda analysfiler för de ärenden där Europol tar på sig att utföra analysarbetet. Europolrådsbeslutet innehåller detaljerade regler om dataskyddet hos Europol och om tillgång till uppgifter som behandlas av Europol.

Eurojust

Eurojust, åklagarsamarbetet inom Europeiska unionen, inrättades år 2002. Eurojust har status som EU-organ. Eurojusts huvuduppgifter är att främja och förbättra samordningen mellan medlemsstaternas brottsbekämpande myndigheter vid bekämpningen av grov gränsöverskridande brottslighet. Eurojust ska bl.a. hjälpa medlemsstaterna i frågor om internationell rättslig hjälp och utlämning. Eurojust består av en nationell medlem från varje medlemsstat. Varje medlem får biträdas av en eller flera personer. Eurojust kan utföra sina uppgifter antingen som ett kollegium eller genom en eller flera nationella medlemmar. De nationella medlemmarna lyder under sin egen stats lagstiftning. Varje medlemsstat avgör själv om

den nationella medlemmen ska ha några rättsliga befogenheter i förhållande till sin medlemsstat. Den svenska nationella medlemmen är åklagare med operativ behörighet som en svensk åklagare.

Eurojust har möjlighet att uppmana rättsliga myndigheter i en medlemsstat som berörs av ett ärende att genomföra brottsutredning och väcka åtal. Eurojust kan vidare uppmana de berörda myndigheterna att samordna utredningar. Eurojust har dock inte några egna rättsliga befogenheter. Beslut i brottsutredningar fattas alltid på nationell nivå, av åklagare, domare eller andra tjänstemän med motsvarande behörighet och med tillämpning av nationell lagstiftning.

Om en behörig myndighet i en medlemsstat inte efterkommer en begäran från Eurojust att inleda en förundersökning eller att väcka åtal, ska Eurojust underrättas om skälen för detta. Det finns vissa undantag från underrättelseskyldigheten, bl.a. om en underrättelse skulle skada viktiga nationella säkerhetsintressen.

Det Europeiska rådet tog 2008 ett beslut om att Eurojust skulle förstärkas och få nya befogenheter och redskap1. Målen för det nya beslutet om förstärkning av Eurojust omfattar

  • att inrätta en gemensam minimibas för de nationella medlemmarnas befogenheter,
  • att inrätta en joursamordning,
  • att förbättra överföringen av information till Eurojust,
  • att förbättra Eurojusts nationella förankring,
  • att förstärka förhållandet mellan Eurojust och det europeiska rättsliga nätverket (EJN),
  • att förstärka det rättsliga samarbetet med icke-medlemsländer genom att göra det möjligt för Eurojust att utstationera sambandspersoner i dessa länder samt att stärka samarbetet med andra organ såsom Europol och Frontex (se avsnitt 5.9.4),

Det nya Eurojustbeslutet ska vara infört i medlemsstaterna senast den 4 juni 2011. Inom Åklagarmyndigheten pågår ett projekt gällande det svenska införandet, som omfattar ett nationellt samordningssystem för Eurojust, ett utökat informationsutbyte mellan Sverige och Eurojust samt frågor gällande jour/beredskap. Det utökande informationsutbytet träffar vissa typer av ärenden

1 RÅDETS BESLUT 2009/426/RIF av den 16 december 2008 om förstärkning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet.

där flera medlemsstater är inblandade och syftar till att förbättra möjligheterna till samordning av ärenden gällande internationell brottslighet.

Europeiska rättsliga nätverket

Europeiska rättsliga nätverket (European Judicial Network, EJN) inrättades år 1998 genom en gemensam åtgärd beslutad av Europeiska rådet. EJN består av företrädare för nationella myndigheter (kontaktpunkter) som arbetar med internationellt straffrättsligt samarbete. Kontaktpunkterna är aktiva mellanhänder för att underlätta det rättsliga samarbetet mellan medlemsstaterna, när det gäller bekämpandet av framför allt grov brottslighet. Kontaktpunkterna har dagliga kontakter sinsemellan, vanligtvis per telefon eller e-post, i konkreta brottsutredningar. Dessutom träffas kontaktpunkterna ett antal gånger per år för att utbyta erfarenheter och diskutera praktiska och rättsliga problem.

Det pågår för närvarande förhandlingar inom Europeiska unionen om ett nytt rättsligt instrument för EJN.

World Customs Organization

Tullverket deltar i samarbetet i Världstullorganisationen (World Customs Organization, WCO), där totalt 171 av världens länder är medlemmar. WCO:s syfte är att förbättra, förenkla och effektivisera arbetet med tullprocedurer inom och mellan medlemsländer. Ursprunget till WCO var principerna i General Agreement on Tariffs and Trade, den s.k. GATT-överenskommelsen.

WCO, som är en mellanfolklig organisation, tillkom år 1952 och har sitt säte i Bryssel i Belgien. WCO:s verksamhet bygger på ett antal internationella konventioner, bl.a. konventionen från år 1977 om ömsesidigt bistånd för att förhindra, utreda och beivra tullbrott.

Det är en multilateral konvention som är relativt allmänt hållen och som kan biträdas av medlemmarna i organisationen om de så önskar. Sverige har enbart accepterat delar av konventionen, bl.a. de delar som rör spontant informationsutbyte avseende misstankar om allvarliga tullbrott, central registrering av uppgifter om

smuggling och ömsesidigt bistånd i kampen mot narkotika (se prop. 1999/2000:122 s. 16). Arbetet inom WCO bedrivs i s.k. kommittéer. Administrationen består av ett sekretariat som organiserar och leder den dagliga verksamheten.

WCO har inrättat elva regionala underrättelsekontor, varav tre finns i Europa.

5.9. Specifikt angående olika myndigheter

Nedan följer en redogörelse för den internationella samverkan som är aktuell för de myndigheter som omfattas av dataskyddsrambeslutets bestämmelser. Häribland redogörs bl.a. för samarbetet inom Europeiska unionen där myndigheternas internationella arbete till stor del har sin grund. De olika verksamhetsområden som berörs av detta samarbete tenderar också att öka.

Beskrivningen som lämnas nedan är inte uttömmande, men behandlar de för myndigheterna viktigaste, mest aktuella samarbetsorganen och samarbetsformerna, samt den mest relevanta lagstiftningen i sammanhanget.

5.9.1. Kriminalvården

Kriminalvården samarbetar med andra länder framför allt när det gäller överföring av verkställighet av straffrättsliga påföljder till eller från Sverige. Informationsutbytet i samband med sådana överföringar sker direkt mellan myndigheterna eller, oftare, via Justitiedepartementet eller Rikskriminalpolisen. Den information som byts kan avse t.ex. uppgifter om enskildas personliga förhållanden som är av betydelse vid transporten eller för verkställandet av frihetsberövandet i övrigt.

Samarbetet grundas på den lagstiftning som redogjorts för i avsnitt 5.6 och 5.7.

Kriminalvården får behandla personuppgifter bl.a. för att fullgöra uppgifter enligt lag eller förordning.

Sådana uppgifter enligt lag eller förordning gäller tre typer av internationella ärenden enligt följande.

Lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. Kriminalvården

handlägger frågor om verkställighet eller anordnande av övervakning enligt 25 § i denna lag.

Lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Kriminalvården handlägger vissa frågor enligt 26 och 34 a §§ i denna lag.

Lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Kriminalvården handlägger vissa frågor enligt 23 § i förordningen (2003:1179) om överlämnande från Sverige enligt en europeisk arresteringsorder.

Förutom egna transporter utför Kriminalvården också transporter på uppdrag av polisen av personer som ska utvisas. Sådana transporter utförs av transporttjänsten i enlighet med Kriminalvårdens uppdrag att bistå andra myndigheter med inrikes och utrikes transporter enligt 6 § förordningen (2007:1172) med instruktion för Kriminalvården.

5.9.2. Kronofogdemyndigheten

Erkännande och verkställighet av bötesstraff inom Europeiska unionen

Rådet för rättsliga och inrikes frågor antog den 24 februari 2005 ett rambeslut (2005/214/RIF) om tillämpning av principen om ömsesidigt erkännande på bötesstraff. Rambeslutet bygger på ett initiativ från bl.a. Sverige.

Antagandet av rambeslutet skedde efter att riksdagen den 17 juni 2004 godkänt ett utkast till rambeslutet (prop. 2003/04:92, bet. 2003/04:JuU28, rskr. 2003/04:279).

Genom prop. 2008/09:218, Lag om erkännande och verkställighet av bötesstraff inom Europeiska unionen, lämnades förslag till den lagstiftning som krävs för att i Sverige genomföra rambeslutet om erkännande och verkställighet av bötesstraff. I dessa förarbeten föreslogs att det skulle införas en särskild lag för detta ändamål.

Den därefter antagna lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och förordningen (2009:1428) i samma ämne reglerar såväl svenska beslut om bötesstraff som sänds över till en annan medlemsstat för verkställighet där, som bötesstraff från en annan medlemsstat som ska verkställas i Sverige.

Med bötesstraff avses i lagen bl.a. böter enligt 25 kap. brottsbalken och företagsbot enligt 36 kap. brottsbalken som meddelats av domstol eller efter ett förfarande enligt 48 kap. rättegångsbalken. Dessutom omfattas avgift enligt lagen (1994:419) om brottsofferfond.

Lagen om erkännande och verkställighet av bötesstraff inom Europeiska unionen ska också tillämpas på utländska bötesstraff som meddelats av domstol eller annan i rambeslutet angiven behörig myndighet och som avser påföljd för brott avseende brottslig eller annan straffbar gärning, ersättning till brottsoffer i vissa fall eller ersättning för rättegångskostnader och avgifter till fond eller organisation för brottsoffer.

Enligt lagen är Kronofogdemyndigheten också behörig att ansöka om verkställighet av svenska böter utomlands. Förutsättningarna för detta är bl.a. att tillgångar finns i en annan medlemsstat och att det kan antas finnas fördelar med en indrivning i den staten.

Kronofogdemyndigheten gör den prövning som krävs för att bedöma under vilka förutsättningar utländska böter ska kunna verkställas i Sverige. Det är således Kronofogdemyndigheten som ska ta ställning till om ett beslut om bötesstraff som översänds från en annan stat ska leda till att ett verkställighetsförfarande inleds här i landet. Myndigheten ska också svara för den praktiska verkställigheten.

Den enskilde har möjlighet att överklaga Kronofogdemyndighetens beslut till allmän domstol.

Enligt artikel 18 i rambeslutet om verkställighet av bötesstraff påverkar rambeslutet inte tillämpningen av andra bilaterala eller multilaterala överenskommelser mellan medlemsstaterna, i den mån dessa bidrar till att ytterligare förenkla och underlätta förfarandena för indrivning av bötesstraff. Den nordiska verkställighetslagen (se nedan) har bedömts omfattas av denna bestämmelse, vilket innebär att samarbetet som sker inom Norden när det gäller verkställighet av bötesstraff även fortsättningsvis kan hanteras inom ramen för den nordiska regleringen, eftersom regeringens bedömning är att detta samarbete utgör en förenkling av verkställighet av bötesstraff i jämförelse med rambeslutet (jfr prop. 2008/09:218 s. 31 ff.).

Nordiska verkställighetslagen

Inom Norden finns en enhetlig nordisk lagstiftning om verkställighet av domar och beslut i brottmål i ett annat nordiskt land än domslandet. Ett bötesstraff eller beslut om ersättning för rättegångskostnader som har meddelats i ett annat nordiskt land kan därför, enligt 1 § lagen (1963:193) om samarbete med Danmark,

Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetslagen), verkställas i Sverige på begäran av en myndighet i det andra landet (se vidare avsnitt 5.6 nedan).

Enligt 3 § kan på motsvarande sätt en dom som har meddelats i Sverige verkställas i ett annat nordiskt land. Med dom likställs enligt 34 § strafföreläggande och föreläggande av ordningsbot. Nordiska verkställighetslagen omfattar däremot inte verkställighet av avgift till brottsofferfonden eller av företagsbot.

Av 4 a § förordningen (1963:194) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetsförordningen) framgår att en svensk ansökan om verkställighet i ett annat land ska göras av Kronofogdemyndigheten. Myndigheten är också mottagare av framställningar om verkställighet i Sverige. Om Kronofogdemyndigheten bifaller en ansökan om verkställighet här i landet överlämnas målet för verkställighet till den enhet inom myndigheten som har ansvar för den ort där den betalningsskyldige eller dennes egendom finns. En framställning om verkställighet får, enligt 24 § andra stycket nordiska verkställighetslagen, inte bifallas om domen inte är verkställbar i den stat där den har meddelats. Detta innebär att domen ska ha vunnit laga kraft. En framställning ska normalt bifallas, om det inte finns särskilda hinder.

Verkställigheten ska enligt 2 § äga rum enligt svensk lagstiftning. Det innebär bl.a. att bötesverkställighetslagen ska tillämpas. Bötesbeloppet i utländsk valuta ska räknas om till svenska kronor efter köpkursen dagen före den dag då framställningen om verkställighet bifölls (6 § nordiska verkställighetsförordningen). Redovisningen av influtna medel görs direkt från Kronofogdemyndigheten till den sökande myndigheten i det andra nordiska landet. Verkställighetskostnader och kostnader i övrigt som inte blir täckta genom verkställighetsåtgärderna ska enligt 35 § nordiska verkställighetslagen stanna på svenska staten.

Det är inte möjligt att förvandla böter som har utdömts i ett annat nordiskt land (2 § nordiska verkställighetslagen). Däremot

kan ett förvandlingsstraff som har utdömts i ett annat nordiskt land som ersättning för ett bötesstraff avtjänas i Sverige (5 §). I övriga nordiska länder kan ett förvandlingsstraff och ett bötesstraff utdömas samtidigt. Begäran om verkställighet kan därför ibland i första hand avse indrivning av bötesbeloppet och i andra hand en begäran om att förvandlingsstraffet ska verkställas. Om Kronofogdemyndigheten inte kan driva in fordringen överlämnas ärendet till Kriminalvården för prövning av frågan om verkställighet av förvandlingsstraffet (7 § nordiska verkställighetsförordningen).

Frågor angående preskription prövas enligt 31 § nordiska verkställighetslagen alltid enligt domslandets lagstiftning. I framställningen ska därför den tidpunkt anges när verkställighet senast måste äga rum (2 § 4 punkten nordiska verkställighetsförordningen).

Både domslandet och verkställighetslandet har rätt att bevilja nåd avseende ett överfört bötesstraff. Ett svenskt beslut om nåd kan endast gälla verkställigheten i Sverige (31 § andra stycket nordiska verkställighetslagen). Ett sådant beslut hindrar inte fortsatt verkställighet i domslandet eller i ett annat land. Motsvarande gäller om nåd har beviljats i ett annat nordiskt land beträffande ett svenskt bötesstraff. Det nordiska systemet anses vara lätt att tillämpa och används därför i relativt stor utsträckning. Eftersom det indrivna bötesbeloppet överförs till den sökande myndigheten tillfaller det som drivs in från svenska bötesstraff den svenska staten.

Rambeslutet om verkställighet av beslut om förverkande inom Europeiska unionen

Rådet antog den 6 oktober 2006 ett rambeslut (2006/783/RIF) om tillämpning av principen om ömsesidigt erkännande på beslut om förverkande. Antagandet skedde efter det att riksdagen godkänt ett utkast till rambeslut.

I regeringens proposition 2010/11:43, Erkännande och verkställighet av beslut om förverkande inom Europeiska unionen, lämnas förslag till den lagstiftning som krävs för att genomföra rambeslutet i Sverige. I propositionen föreslås att det införs en särskild lag om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen.

De nya bestämmelserna omfattar situationer såväl när svenska förverkandebeslut sänds över till en annan medlemsstat för verkställighet där, som när utländska förverkandebeslut sänds över till Sverige från en annan medlemsstat för verkställighet här.

Med beslut om förverkande avses beslut som syftar till att förverka såväl hjälpmedel vid brott som utbyte av brott. Vidare omfattas vissa beslut om förverkande som baserar sig på bestämmelser om utökade möjligheter till förverkande.

Enligt lagförslaget i nämnda proposition ska Kronofogdemyndigheten vara behörig att ansöka om verkställighet av svenska förverkandebeslut utomlands. Detta ska kunna ske när det finns fördelar med att verkställigheten sker i en annan medlemsstat, t.ex. då tillgångar eller särskilda föremål som förverkandet avser finns i den staten.

I den föreslagna nya lagen finns också bestämmelser om förutsättningarna för att erkänna och verkställa ett utländskt beslut om förverkande i Sverige samt bestämmelser om förfarandet när sådana frågor prövas här. Enligt förslaget till ny lag ska Kronofogdemyndigheten pröva om det finns förutsättningar att erkänna och verkställa beslut om förverkande. Om sådana förutsättningar finns, meddelar Kronofogdemyndigheten en verkställbarhetsförklaring.

Lagstiftningen föreslås träda i kraft den 1 juli 2011.

5.9.3. Kustbevakningen

Kustbevakningens internationella, direkt operativa, samarbete har bl.a. till syfte att säkerställa ändamålsenliga operativa förberedelser i form av planer, larmrutiner, ledningsstrukturer etc. samt att genom övningar och seminarier vidmakthålla och stärka den gemensamma, operativa förmågan. Utvecklingen går, som vi tidigare har konstaterat, alltmer mot gränsöverskridande operativt samarbete.

Kustbevakningen samarbetar ofta med andra brottsbekämpande myndigheter och myndigheter med kontroll- och tillsynsuppgifter.

Utbyte av information är en viktig del i detta samarbete och en förutsättning för att samverkan ska fungera väl. Informationsutbytet sker till stor del informellt, men också inom ramen för författningsreglerade skyldigheter eller möjligheter att bistå andra myndigheter.

Den centrala lagstiftningen som tillämpas i dessa delar är lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:562) om internationell rättslig hjälp i brottmål (jfr avsnitt 5.3.2 och 5.5. ovan).

Utredningen om Kustbevakningens befogenheter har i sitt betänkande Kustbevakningens rättsliga befogenheter (SOU 2008:55) redogjort närmare för Kustbevakningens internationella samverkan (s.152-160). Nedan återges huvuddelen av betänkandets innehåll i dessa delar (bl.a. har delar som avser Kustbevakningens arbetsuppgifter med fiskeriövervakning utelämnats).

Baltic Sea Region Border Control Cooperation

En viktig del av den internationella samverkan inom området för sjöövervakning för civila ändamål sker numera inom ramen för gränsbevakningssamarbetet Baltic Sea Region Border Control Cooperation (BSRBCC) som bildades år 1997. Förutom Sverige består BSRBCC av gräns- och kustbevakningsmyndigheterna i Danmark, Estland, Finland, Lettland, Litauen, Norge, Polen, Ryssland och Tyskland. Genom BSRBCC bedrivs ett aktivt, operativt inriktat, samarbete mellan gränsbevakande och brottsbekämpande myndigheter i Östersjöregionen. Samtliga Östersjöstater samt Norge är medlemmar och Island har observationsstatus. Samarbetet syftar bl.a. till att begränsa illegal invandring och att bekämpa narkotikasmuggling, miljöbrott och annan gränsöverskridande brottslighet. Samarbetet är i första hand inriktat på Östersjöområdet, men omfattar också andra delar av Europa. Kustbevakningen deltar i den verkställande kommittén och det rådgivande sekretariatet (Baltic Sea Region Border Control Cooperation Conference, BSRBCCC).

Kustbevakningens internationella kontaktpunkt för de länder som ingår i samarbetet är International Coordination Centre (ICC Sweden) vid ledningscentralen i Region Syd (Karlskrona).

Finska Gränsbevakningsväsendet administrerar inom ramen för samarbetet en särskild databas – CoastNet – som bl.a. innehåller underrättelser avseende fartyg. Kustbevakningen deltar både i operationer och expertutbyte inom ramen för BSRBCC och i arbetet med Monthly Situation Reports (MSR). Kustbevakningen inhämtar information från Tullverket och polisen om intressanta företeelser under den aktuella månaden. Uppgifterna sammanställs

och kompletteras med den information som Kustbevakningen inhämtat på egen hand. Månadsrapporterna utbyts med övriga länder inom BSRBCC. Huvudsyftet med rapporterna är att kontinuerligt följa och kartlägga den internationella kriminaliteten, att upptäcka fler brott och att konkretisera eventuella brottsmisstankar.

Östersjösamarbetet

Kustbevakningen deltar aktivt i Task Force on Organised Crime in the Baltic Sea Region – Aktionsgruppen för gränsöverskridande brottslighet i Östersjöregionen. Aktionsgruppen inrättades år 1996 av statsministrarna i Östersjöområdet. Gruppens främsta uppgift är att planera och fullfölja de elva ländernas – Sverige, Norge, Danmark, Island, Finland, Tyskland, Polen, Ryssland, Estland, Lettland och Litauen – gemensamma arbete för att bekämpa organiserad brottslighet, bl.a. genom att främja informationsutbytet och samarbetet gällande rättsliga frågor, utbildning och forskning. Utöver Kustbevakningen deltar också åklagarväsendet, polisväsendet och tullväsendet i arbetet. Arbetet bedrivs främst genom den s.k. operativa kommittén (OPC) och ett antal nätverk som knutits till denna. Kustbevakningen har deltagit både i OPCarbetet och i bl.a. nätverket gällande miljöbrott. I det sistnämnda har arbetet bl.a. bestått i att förbättra kunskaperna och gemensamma mål kring arbetet med oljeutsläppsutredningar och s.k. CITES-brott. CITES är förkortning för Convention on International Trade in Endangered Species of Wild Fauna and Flora.

En annan arbetsgrupp inom OPC som berör Kustbevakningen är den s.k. Crossfire. Arbetsgruppen har riktat in sig på vapensmuggling från Balkan till Nordeuropa, som sker via turistbussar. Förutom Sverige deltar Danmark, Estland, Tyskland, Litauen, Norge, Ryssland och Slovenien. Samverkan sker mellan ländernas polisväsende, tullväsende, gränsbevakning, kustbevakning och deras motsvarigheter i andra länder samt Europol.

Schengensamarbetet

I Schengenavtalet (se vidare avsnitt 5.9.4) uttalar staterna sin avsikt att avskaffa personkontroller vid de gemensamma gränserna. Avtalet innehåller bestämmelser om åtgärder som på kort och på lång sikt ska främja den fria rörligheten för personer mellan Schengenstaterna. Schengenkonventionen innehåller bestämmelser om praktiska åtgärder för att fullt ut uppnå Schengenavtalets syfte. Bestämmelserna gäller bl.a. polissamarbete och rättsligt samarbete, dataskydd, samarbete om narkotikabekämpning, harmoniserad viseringspolitik och enhetliga yttre gränskontroller. För Schengenländerna innebär samarbetet att land- och sjögränser till övriga Schengenländer försvinner. För handelsfartyg, men däremot inte fritidsbåtar, kvarstår emellertid en uppgiftsskyldighet och Kustbevakningen genomför kontroller av vilka personer som finns ombord. En viktig del i samarbetet utgörs av Schengen Information System, SIS (se avsnitt 5.3.3 ovan).

Frontex

Det operativa samarbetet mellan medlemsstaterna när det gäller förvaltningen av de yttre gränserna samordnas av Europeiska byrån för förvaltningen av det operativa samarbetet vid Europeiska unionens medlemsstaters yttre gränser, inrättad genom rådets förordning (EG) nr 2007/2004 av den 26 oktober 2004, (Frontex). Frontex bistår också medlemsstaterna med utbildning av nationell gränsbevakningspersonal, fastställer gemensamma utbildningsnormer, genomför riskanalyser, följer upp forskning av betydelse för kontrollen och övervakningen av de yttre gränserna, hjälper medlemsstaterna i situationer som kräver tekniskt och operativt bistånd vid de yttre gränserna samt erbjuder dessa tekniskt stöd till gemensamma insatser för att återsända personer. Kustbevakningen deltar i förmötena i Frontex.

Rabit

Genom en EG-förordning, som antogs sommaren 2007 (Europaparlamentets och rådets förordning (EG) nr 863/2007 av den 11 juli 2007 om inrättande av en mekanism för upprättande av snabba gränsinsatsenheter och om ändring av rådets förordning

(EG) nr 2007/2004 vad beträffar den mekanismen och regleringen av gästande tjänstemäns uppgifter och befogenheter) inrättades ett system för att upprätta snabba gränsinsatsenheter, Rabit (Rapid Border Intervention Teams).

Genomförandet av förordningen kräver att medlemsstaterna upprättar en förteckning över nationella experter, som under en begränsad tid snabbt kan sättas in för att bistå med operativt stöd till en medlemsstat som begär detta och som står inför en akut och exceptionellt pressande situation, t.ex. när ett stort antal tredjelandsmedborgare anländer till platser vid de yttre gränserna.

Visst annat samarbete inom Europeiska unionen

Annat förekommande brottsbekämpande samarbete inom Europeiska unionen är att Kustbevakningen har inlett ett samarbete med Europeiska unionens organisation för polissamarbete, Europol. De närmare formerna för samarbetet är ännu inte fastlagda, men håller på att utarbetas i samarbete med Rikspolisstyrelsen. Kustbevakningen deltar vidare i arbetet med att förbättra Europol Information System. Eftersom vissa rättsliga problem uppmärksammats vid tolkningen av den tidigare gällande Europolkonventionen och det numera gällande Europolrådsbeslutet bedrivs för närvarande inget aktivt samarbete.

Viss övrig internationell samverkan

Kustbevakningen samverkar också kontinuerligt inom ramen för bl.a. Interpol, FN:s sjöfartsorgan International Maritime Organization (IMO) och Arktiska rådet.

Sedan år 2004 tillämpas en operativ plan för bl.a. samordnad planering av flygövervakningen i sydvästra Östersjön (SWEDENGER-planen) mellan Sverige, Danmark och Tyskland. För att beivra och avslöja illegala oljeutsläpp genomförs miljöövervakningsoperationer med deltagande av ledningsresurser, fartyg och flygplan från de länder som är ansvariga för respektive område. En liknande samplanering av flygövervakningen sker sedan flera år i Skagerackområdet mellan Sverige, Danmark och Norge. Kustbevakningen samarbetar dessutom med Finland i satellit-

övervakning av norra Östersjön och med Danmark och Polen vad gäller de södra delarna.

Kustbevakningen deltar vidare i de av Europeiska Säkerhetsbyrån (EMSA) anordnade aktiviteterna rörande oljeskyddsberedskap samt har medverkat i genomförandet av ett antal SIDA-finansierade utbildningar i samma ämne. För att bibehålla och utveckla förmågan till operativt samarbete vid olyckor hålls regelbundna möten och övningar. Ett särskilt samarbete avseende transporter av förpackat farligt gods bedrivs inom ramen för Östersjöavtalet. Med stöd av avtalet hålls årliga möten och genomförs bl.a. gemensamma inspektionsveckor. Avtalet omfattar Danmark, Finland, Tyskland, Sverige, Estland, Lettland, Litauen och Polen.

Nordiska kustbevakningskonferenser äger rum årligen. Deltagande länder utbyter information och orienterar varandra om viktiga förändringar i lagstiftning och verksamhet.

5.9.4. Polisen

Polisens samarbetsformer kan sammanfattas enligt följande.

Europol

EU-myndigheten Europols roll är att vara det europeiska navet och koordinatorn i bekämpningen av grov gränsöverskridande brottslighet genom att underlätta utbytet av underrättelseinformation mellan Europeiska unionens medlemsstater (se vidare avsnitt 5.8 ovan).

Europol har även till uppgift att verka som ett nav i informationsutbytet mellan Europeiska unionens medlemsstater, dels genom sina IT-system och dels genom medlemsstaternas Europol-sambandsmän. Analyser görs med hjälp av underrättelse- och utredningsinformation som medlemsstaterna förser Europol med. Sådan information förses även till Europol av tredje länder som har strategiska och operativa samarbetsavtal med Europol (t.ex. USA och Colombia). Vidare kan Europol uppmana och delta i gemensamma underrättelseprojekt (JAT – Joint Analytical Team) och utredningsgrupper (JIT – Joint Investigation Team) som bildas med stöd av EU-regelverk för dessa.

Inom ramen för de beskrivna uppgifterna utbyts personuppgifter mellan medlemsstaterna och Europol, mellan medlemsstaterna sinsemellan, samt mellan Europol och tredje land genom Europols IT-system.

För svensk del är Rikskriminalpolisen navet för informationsutbytet med medlemsstaterna och Europol.

Schengensamarbetet

Schengensamarbetet är en kompensatorisk åtgärd mot de negativa effekter som uppstår när de inre gränserna mellan Schengenanslutna länder avskaffas. De negativa effekterna är att den fria rörligheten för personer, varor, kapital och tjänster utnyttjas i kriminella syften för gränsöverskridande brottslighet. Exempel på detta är seriebrottslighet över gränserna genom organiserade stölder, införsel av narkotika, förflyttning av brottsvinster och människohandel genom prostitution. Schengenkonventionen sätter ramarna för det samarbete som ger möjligheter till ett närmare samarbete mellan brottsbekämpande myndigheter inom Schengenområdet. Det ger bl.a. möjligheter till informationsutbyte, genomförande av vissa polisiära åtgärder på annan stats mark, samt införandet av ett gemensamt efterlysning- och informationsutbytessystem (Schengen Information System – SIS). SIS är ett gemensamt efterlysning- och spaningsregister och en central del i samarbetet. I databasen efterlyses t.ex. personer som ska lagföras för brott, som ska avtjäna utdömda straff, men också försvunna personer och stulna fordon. I systemet tillgängliggörs och utbyts personuppgifter.

Rikspolisstyrelsen ansvarar för den svenska delen av SIS genom Rikskriminalpolisen. Rikspolisstyrelsen, polismyndigheterna, Kustbevakningen och Tullverket har tillgång till SIS (se avsnitt 5.3.3, 5.9.3 och 5.9.7). I varje medlemsstat finns ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS. Kontoret fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myndigheter. Sirene är en förkortning för Supplementary Information Request at the National Entries. Namnet kommer från Schengensamarbetets grundtanke om den fria rörligheten för personer och gods och om det fördjupade polis- och gränssamarbete som krävs dels vid den yttre, men också inom

den inre gränsen, för att bekämpa den grova gränsöverskridande brottsligheten.

Schengenkonventionen är genom Amsterdamfördraget numera en integrerad del av medlemskapet i Europeiska Unionen. För att som nybliven medlemstat i Europeiska unionen kunna ingå i Schengensamarbetet krävs dock ett godkänt resultat i ett flertal olika typer av Schengeninspektioner för att personkontrollerna vid de yttre gränserna mot övriga medlemsstater ska kunna hävas.

I Schengenkonventionen stadgas de s.k. ”kompensatoriska åtgärderna” för att motverka de kriminella strömningar som kan uppstå vid borttagandet av gränskontroller mellan Schengenländerna. Dessa är förstärkt yttre gränskontroll, samordning av visumpolitik och samordning av narkotikapolitik. Det ges möjlighet till sambandsmän (lokalt vid gränsområden). Vidare ska varje Schengenland ha ett nationellt kontor - Sirenekontoret, som i Sverige är integrerat i Enheten för internationellt polissamarbete (IPO) och är en del av enhetens Front Office. Sirenekontoret ansvarar för registreringar och uppdateringar av data i SIS, förhandsgranskar utländska efterlysningar samt ansvarar för handläggningen av träffar i SIS. Utöver SIS sker ett gränsöverskridande samarbete inom ramen för Schengen. Schengenkonventionen tillåter att spaning (övervakning) sker över nationsgränserna. Detta gränsöverskridande samarbete finns reglerat i lagen (2000:343) om internationellt polisiärt samarbete (se avsnitt 5.3.1 ovan). Likaledes tillåts enligt denna lag förföljande (s.k. ”hot pursuit”) över nationsgränser. Schengenkonventionen tillåter även informationsutbyte utöver det som sker i SIS mellan medlemsstaterna samt ett förenklat utlämningsförfarande. Slutligen så förutsätts det i gränsområdena mot Norge, Finland och Danmark att de lokala polismyndigheterna har ett gott och nära samarbete. Dessutom är det av största vikt att polismyndigheterna, Tullverket och Kustbevakningen har ett nära och omfattande samarbete.

Frontex

Frontex är Europeiska unionens gränskontrollbyrå för gemensam, operativ förvaltning av Europeiska unionens yttre gränser.

Frontex uppgift är att i samarbete med medlemsländerna koordinera det operativa arbetet vid Europeiska unionens yttre gräns. Huvuduppgifterna är att samordna det operativa samarbetet

mellan medlemsländernas förvaltning av de yttre gränserna, bistå med utbildning av nationell gränsbevakningspersonal, genomföra riskanalyser, följa upp utvecklingen inom forskningen som är av betydelse för gränskontrollen, bistå medlemsstaterna i situationer som kräver ökat tekniskt och operativt bistånd samt erbjuda tekniskt stöd till gemensamma insatser för återsändande av personer. Frontex bildades den 1 maj 2005 och har sitt säte i Warszawa, Polen. Centrala gränskontrollenheten vid Rikskriminalpolisen är nationell kontaktpunkt mellan Frontex och relevanta svenska myndigheter som polismyndigheterna, Tullverket, Kustbevakningen och Migrationsverket.

I nuläget har Frontex inget mandat att behandla personuppgifter, men inom ramen för sina uppgifter kan Frontex förmedla personuppgifter mellan medlemsstaterna. Utbytet sker främst elektroniskt genom IT-system som tillhandahålls av Europeiska unionen.

Interpol

I avsnitt 5.8 ovan redogörs allmänt om Interpol som mellanstatlig organisation, det internationella samarbetet och informationsutbytet.

I huvudsak är detta samarbete kriminalpolisiärt och rör brott som faller under allmänt åtal. Organisationen förfogar över databaser över internationellt efterlysta personer, stulna resedokument, fordon, DNA- och fingeravtryck samt stulna konstföremål.

Nationell Interpolbyrå

I varje medlemsstat finns en Interpolbyrå. I Sverige är Rikspolisstyrelsen nationell byrå. I praktiken utförs det dagliga Interpolarbetet vid Internationella sektionen på Enheten för internationellt polissamarbete, IPO. Typiska åtgärder som svenska polis- och åklagarmyndigheter begär genom Interpol är begäran om förhör, efterlysningar av försvunna och häktade personer, identitetsfastställelse av personer och fordonsuppgifter i samband med brott. Det omvända förhållandet gäller för åtgärder som begärs från andra länders Interpolbyråer. När en sådan begäran från annat land inkommit till Interpol Stockholm görs en bedömning

utifrån svensk rätt om det går att genomföra åtgärden i Sverige, varefter begäran översänds till polismyndighet eller annan rättsvårdande myndighet.

Biträdet sker genom ett gemensamt IT-system för utbyte av underrättelse- och utredningsinformation, samt genom insamling och analys av information från medlemsländerna inom ramen för uppdrag avseende gemensamma problemområden. Problemområdena påverkar flera av medlemsländerna och uppdragen följer av beslut fattade av Interpols generalförsamling.

Utbytet av personuppgifter sker främst mellan medlemsländerna avseende operativa underrättelse- eller utredningsärenden eller inom ramen för de gemensamma uppdragen. Utbytet sker även mellan medlemsländerna och Interpol inom ramen för gemensamma uppdrag genom vilka Interpol tillgängliggör viss typ av information.

Utbytet av personuppgifter sker genom Interpols IT-system. Rikskriminalpolisen är navet för det svenska utbytet med Interpols medlemsländer och Interpol centralt.

Polis Tull Norden (PTN)

PTN är ett rådgivande, koordinerande och samarbetande organ och således inte överordnat nationella bestämmelser. PTN-samarbetet är ett polis- och tullsamarbete mellan de nordiska länderna för att effektivisera bekämpningen av grov brottslighet av betydelse för Norden. Samarbetet avser främst strategisk och operativ underrättelseverksamhet inom ramen för gemensamma problemområden. Samarbetet avser vidare ett samnyttjande av respektive lands polis- och tullsambandsmän, som är utplacerade i andra länder. Underrättelsesamarbetet syftar till framtagandet av en gemensam nordisk lägesbild över brottsligheten. Lägesbilden används som grund för gemensamma underrättelseprojekt riktade mot problemområden som pekas ut i lägesbilden. Underrättelseprojekten i sin tur syftar till inledandet av nationella eller gemensamma brottsutredningar. Inom ramen för framtagandet av lägesbilden, under underrättelseprojekten och de gemensamma utredningarna sker ett utbyte av personuppgifter. För polisens del sker utbytet huvudsakligen elektroniskt genom SIS-, Europol- eller Interpolssystemen.

PTN-sambandsmännen är bemyndigade att bistå och samarbeta med de brottsbekämpande myndigheterna i det land eller de länder i vilka de är ackrediterade och med brottsbekämpande myndigheter i de nordiska länderna. Svensk polis har, tillsammans med Danmark, Finland, Norge och Island, gemensamma polis- och tullsambandsmän i ett 20-tal länder, varav flera är sidoackrediterade till andra länder. Enheten för internationellt polissamarbete (IPO) vid Rikskriminalpolisen ansvarar för samordning av alla nordiska sambandmäns operativa ärenden. Sambandsmannasektionen rekryterar, utbildar och administrerar de svenska sambandmännen. Sambandsmannasektionen skräddarsyr också utbildningen för sambandsmännen och deras familjer. De utbildas både vid Rikskriminalpolisen och Utrikesdepartementet.

Östersjösamarbetet

Task Force on Organised Crime in the Baltic Sea Region är en arbetsgrupp som 1996 inrättades av statsministrarna i Östersjöområdet. Arbetsgruppens uppgift är att planera och fullfölja de elva ländernas (Sverige, Norge, Island, Finland, Ryssland, Estland, Lettland, Litauen, Polen, Tyskland och Danmark) samarbete för att bekämpa organiserad brottslighet bl.a. genom att främja informationsutväxlingen och samarbetet gällande rättsliga frågor, utbildning och forskning. Det högsta politiska förvaltningsorganet är Task Force som samlas två gånger om året och består av personliga representanter för statsministrarna i Östersjöområdets länder. Operative Committee – OPC ansvarar för Task Forces operativa samarbete. I OPC:s verksamhet deltar polisen, tull- och gränsbevakningsmyndigheterna och åklagarväsendet. Till OPC:s uppgifter hör att för Task Force rekommendera gemensamma åtgärder, ansvara för implementeringen av pågående och planerade operativa åtgärder samt att vara ett expertorgan för olika operativa ärenden. De former av kriminalitet som samarbetet huvudsakligen koncentreras på är narkotikabrottslighet, illegal invandring och människosmuggling, smuggling av tillgripna fordon och högbeskattade varor, internationella kriminella ligor, brottslighet på datanät, miljöbrott, terrorism och penningtvätt. För varje form av brottslighet har en expertgrupp tillsatts, något av de elva medlemsländerna ansvarar för envar av dessa arbetsgrupper. I varje

land finns en koordinator. Vid OPC:s möten deltar även representanter för Interpol, Europol och Kommissionen.

Prümrådsbeslutet

Införandet av Prümrådsbeslutet i augusti 2011 kommer att innebära ett ökat utbyte av personuppgifter mellan Europeiska unionens brottsbekämpande myndigheter. Utbytet kommer främst att avse utredningsinformation avseende DNA-, fingeravtrycks- och fordonsuppgifter, men även underrättelseinformation i samband med utbyte inför större evenemang. Utbytet kommer att ske genom befintliga IT-system såsom EU-, Europol-, Schengen- eller Interpolsystemen.

Angående Prümrådsbeslutet se vidare avsnitt 5.3.5 ovan.

Övrigt internationellt informationsutbyte inom polisen

Polisen har flera uppgifter som innebär ett gränsöverskridande utbyte av personuppgifter. Utbytet avser underrättelse- och utredningsinformation. Uppgifterna kan vara specifika för polisen eller delas med andra brottsbekämpande myndigheter. För polisen sker utbytet genom Rikskriminalpolisen och genom polismyndigheterna. Exempel på uppgifter som Rikskriminalpolisen utbyter är hantering och verkställighet av internationella efterlysningar inom Europeiska unionen genom rättsreglerna för Europeiska arresteringsorders (EAW), hantering och verkställighet av överföring när någon har blivit gripen med stöd av en EAWhantering, hantering och verkställighet av internationella efterlysningar utanför Europeiska unionen genom Interpols ITsystem och databaser, hantering och verkställighet av utlämning när någon har blivit gripen med stöd av en svensk internationell efterlysning utanför Europeiska unionen, transiteringar av frihetsberövade genom Sverige, informationsutbyte inom ramen för det nordiska polissamarbetet och operativt utbyte avseende internationellt efterlysta personer genom EU-nätverket ENFAST (European Network för Fugitive Active Search Teams). Utbytet sker huvudsakligen elektroniskt genom SIS-, Europol- eller Interpolssystemen.

5.9.5. Skatteverket

Informationen om Skatteverkets internationella informationsutbyte har huvudsakligen hämtats från en decemberrapport från skattebrottsenheternas internationella grupp – SBE – Internationellt informationsutbyte, 2009. Av rapporten framgår bl.a. följande.

Informationsutbyte under förundersökning

Den centrala lagen inom området är lagen (2000:562) om internationell rättslig hjälp i brottmål (se avsnitt 5.5) som i stor utsträckning bygger på internationella överenskommelser, främst 1959 års europeiska konvention om inbördes rättshjälp i brottmål.

Av 2 kap. 10 § i lagen framgår att om inte annat föreskrivs i denna lag tillämpas samma förfarande som när en motsvarande åtgärd vidtas vid en svensk förundersökning eller rättegång.

Av 23 kap. 3 § andra stycket rättegångsbalken framgår att när förundersökningen leds av åklagaren, får han eller hon vid undersökningens verkställande anlita biträde av polismyndigheten.

I 2 § första stycket lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar stadgas att åklagare, som leder förundersökning enligt 23 kap. rättegångsbalken, får vid undersökningens verkställande anlita biträde av Skatteverket. Åklagaren får vidare, enligt andra stycket i ovan nämnda paragraf, begära biträde av Skatteverket i fråga om utredning av brott innan förundersökning har inletts.

I 1 § första stycket räknas de brott upp där Skatteverket får biträda åklagaren med tillägget enligt andra stycket att Skatteverket får medverka vid undersökning också i fråga om annat brott än som anges i första stycket om åklagaren finner att det finns särskilda skäl för detta.

I 6 § lagen (1999:90) om behandling av personuppgifter vid

Skatteverkets medverkan i brottsutredningar anges att uppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Skatteverket tolkar ovan nämnda paragraf som en sekretessbrytande regel och inte en regel som avser behandlingsändamål (se prop. 98/99:34 s. 42 ff. och s. 74).

Möjligheten finns att inrätta en gemensam internationell utredningsgrupp enligt bestämmelserna i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar (se avsnitt 5.3.2 ovan). Att en skattebrottsenhet kan ingå i en sådan utredningsgrupp framgår av prop. 2004/05:144 s. 142.

Informationsutbyte utanför förundersökning och vid underrättelseverksamhet

Det internationella samarbetet som sker utanför förundersökningar är inte reglerat i samma utsträckning som informationsutbytet under förundersökningar. Regler finns dock i lagen (2000:343) om internationellt polisiärt samarbete (se avsnitt 5.3.1) samt förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen (se avsnitt 5.3.4).

När det gäller utbyte av underrättelseinformation med utländska myndigheter har möjligheterna därtill varit förhållandevis begränsade.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater innehåller dock regler om tillhandahållande av information och underrättelser vad avser behörig brottsbekämpande myndighet (se avsnitt 5.3.4).

I artikel 2 a i ovannämnda rådsbeslut anges, angående det sistnämnda begreppet, att Skatteverket – genom skattebrottsenheterna – i nuläget inte ingår bland de behöriga myndigheterna enligt detta rambeslut. Detta beror på att vissa andra författningsändringar krävs för att Skatteverket ska kunna bli medlem. Skattebrottsenheterna kan inte självständigt utnyttja de möjligheter som rambeslutet ger.

Skatteverket verkar för att en förändring ska ske så att skattebrottsenheterna också ska anses utgöra en sådan behörig brottsbekämpande myndighet.

Förhållandet till Europol

Rikskriminalpolisen är nationell enhet för Europol i Sverige (se avsnitt 5.8 och 5.9.4). Den nationella enheten är det enda sambandsorganet mellan Europol och de behöriga myndigheterna i medlemsstaterna.

Artikel 4 punkt 2 i Europolkonventionen (se avsnitt 5.7 ovan) ger dock möjlighet att även bestämma att andra myndigheter än Rikskriminalpolisen kan ha direktkontakt med Europol, däribland Skatteverket

Såvitt känt har dock denna möjlighet att utse även t.ex. Skatteverket till myndighet som får ha direktkontakt med Europol inte utnyttjats av Sverige (Skatteverkets decemberrapport från skattebrottsenheternas internationella grupp, 22 december 2009, s. 15).

Särskilt om vissa skatteavtal

Ett antal informationsutbytesavtal har träffats med ett antal s.k. skatteparadis; Isle of Man, Jersey, Guernsey, Nederländska Antillerna, Aruba, Bermuda, Caymanöarna, Brittiska Jungfruöarna, Anguilla, Samoa, Cooköarna, Turks- och Caicoöarna och Gibraltar. Avtalen är konstruerade så att de i flertalet fall kräver en parallell brottsutredning för att de ska kunna användas för tid före avtalens ikraftträdande. Information inhämtad via dessa avtal kan sedan efterfrågas av åklagare för att användas i brottsutredning.

5.9.6. Allmänna domstolar och allmänna förvaltningsdomstolar

Vad avser de allmänna domstolarna och de allmänna förvaltningsdomstolarna har huvuddelen av texten nedan hämtats från Domstolsverkets Handbok för Internationellt samarbete (framtagen av hovrättsrådet Joakim Zetterstedt, Svea hovrätt.)

Det internationella straffrättsliga samarbetet sker till stor del på åklagarnivå utan domstols medverkan (se vidare avsnitt 5.9.8). De ärendeslag som behandlas nedan är, med några få undantag, av det slag att de innefattar allmän domstols handläggning och beslut. Inom det aktuella rättsområdet prövar förvaltningsdomstol i princip bara frågor om förvar av personer och i vissa fall frågor om överförande av verkställighet av fängelsestraff. Övervaknings-

nämnd beslutar i vissa fall vid överförande av en övervakningspåföljd.

Internationellt straffrättsligt samarbete har traditionellt skett mellan länder och kommunikationen har förts den diplomatiska vägen, dvs. mellan regeringar och ministerier. Under senare år har utvecklingen gått mot att samarbetet i stället sker mellan länders myndigheter och domstolar. För Sveriges del gäller fortfarande i hög utsträckning att domstolarna inte kommunicerar direkt med andra länders domstolar och myndigheter i frågor om internationellt straffrättsligt samarbete, men det förekommer undantag främst inom området för internationell rättslig hjälp i brottmål.

Internationell rättslig hjälp i brottsmål

Internationell rättslig hjälp i brottmål handlar om att länder hjälper varandra med rättsliga åtgärder i samband med brottsutredningar och rättegångar. Behovet av hjälp uppstår som en följd av att det många gånger är fråga om åtgärder som inte får eller kan genomföras utan ett annat lands tillstånd och bistånd.

Det internationella samarbetet rörande rättslig hjälp i brottmål regleras i ett stort antal internationella avtal. Vissa av dessa reglerar rättslig hjälp t.ex. för en viss typ av brott eller i förhållande till ett visst land.

Enligt olika internationella avtal som har utarbetats för det straffrättsliga samarbetet ska de deltagande länderna utse en centralmyndighet för att ta emot och sända framställningar. I många fall har länderna utsett sina justitieministerier till centralmyndigheter. Det gäller bl.a. enligt 1959 års Europarådskonvention.

Sverige har utsett ”Centralmyndigheten” vid Justitiedepartementet till att vara centralmyndighet i ärenden om internationell rättslig hjälp i brottmål. Det innebär att, i de fall direktkontakt inte tillämpas, ”Centralmyndigheten” vid Justitiedepartementet vidarebefordrar och i viss utsträckning granskar framställningar som görs till eller från Sverige. I vissa fall, som anges i lagstiftningen, ska beslut fattas av regeringen.

Under senare år har det internationella rättsliga samarbetet utvecklats från att vara ett mellanstatligt samarbete till att bli ett samarbete mellan myndigheter i olika länder. Som en följd av utvecklingen innehåller de internationella avtalen numera allt oftare

regler som möjliggör eller ibland föreskriver direkt kontakt mellan den ansökande och den anmodade myndigheten. En ansökan skickas då direkt från den myndighet som begär hjälp till den som lämnar hjälpen.

Bestämmelser om internationell rättslig hjälp i brottmål finns huvudsakligen i lagen (2000:562) om internationell rättslig hjälp i brottmål (se avsnitt 5.5. ovan). Till lagen finns en förordning och ett tillkännagivande – förordningen (2000:704) om internationell rättslig hjälp i brottmål och tillkännagivande (2005:1207) av överenskommelser som avses i lagen (2000:562) om internationell rättslig hjälp i brottmål.

En svensk domstol kan lämna ett annat land rättslig hjälp i brottmål i Sverige i enlighet med reglerna i lagen om internationell rättslig hjälp i brottmål. I dessa fall sker hjälpen som ett led i ett rättsligt förfarande – i allmänhet en rättegång eller en förundersökning – i det andra landet. Den svenska lagregleringen innehåller bestämmelser om förfaranden och förutsättningar för att lämna rättslig hjälp. En ansökan om rättslig hjälp handläggs som ett domstolsärende och genom hänvisningar i lagen om internationell rättslig hjälp i brottmål tillämpas regler i främst rättegångsbalken vid förfarandet. Det är den domstol som prövar ansökan som också prövar om de förutsättningar är uppfyllda som i svensk lag föreskrivs för olika åtgärder, t.ex. beslag eller förhör med ett vittne. Om det inte finns något hinder mot att en åtgärd vidtas ska den som regel genomföras som om den vidtogs inom ramen för en svensk förundersökning eller rättegång. Om det däremot finns hinder kan en ansökan i allmänhet inte bifallas och ska då avslås på motsvarande sätt som i ett nationellt förfarande. I 2 kap. 14 § lagen om internationell rättslig hjälp i brottmål finns därutöver vissa särskilt angivna avslagsgrunder. Endast regeringen får avslå en ansökan på en sådan grund.

En svensk domstol kan vidare, i vissa fall som anges i lagen om internationell rättslig hjälp i brottmål, begära rättslig hjälp utomlands.

Bestämmelser om utlämning och överlämnande

Utlämning för brott handlar om att tvångsvis föra en brottsmisstänkt eller dömd person mellan två länder. Utlämning har således samma syfte som överlämnande enligt en arresterings-

order(se nedan), men skiljer sig i fråga om förutsättningar och förfarande. Utlämning tillämpas i princip inte mellan Sverige och utomnordiska EU-länder.

I detta sammanhang tillämpas främst lagen (1957:668) om utlämning för brott och lagen (1959:254) om utlämning för brott till

Danmark, Finland, Island och Norge (utlämningslagen).

Utöver den kontrollerande funktion som Högsta domstolen har i ärenden om utlämning från Sverige har allmän domstol inte någon direkt beslutande roll i utlämningsfrågor. I dessa fall är det rättens uppgift att pröva personella tvångsmedel för att säkerställa utredning och verkställighet i ett utlämningsärende.

Det är åklagare som begär utlämning till Sverige för lagföring, vilket sker med stöd av ett beslut om utevarohäktning (se vidare avsnitt 5.9.8). Utlämning till Sverige kan också ske för verkställighet av en dom, men det är då Kriminalvården (se avsnitt 5.9.1), Socialstyrelsen eller Statens institutionsstyrelse som begär utlämning och i dessa fall krävs inte något häktningsbeslut, jfr se 3 och 7 §§ förordningen (1982:306) med vissa bestämmelser om utlämning för brott.

Angående Socialstyrelsen och Statens institutionsstyrelse och dataskyddsrambeslutet, se avsnitt 4.1 ovan.

Överlämnande för brott handlar om att tvångsvis föra en brottsmisstänkt eller dömd person mellan två länder. Med stöd av rådets rambeslut 2002/584/RIF av den 13 juni 2001 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (se avsnitt 5.5) kan numera personer överlämnas utan mer omfattande formaliteter och inom en relativt kort tidsfrist.

Den huvudsakliga lagstiftningen i denna del är lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder och förordningen i samma ämne, samt förordningen (2003:1178) om överlämnande till Sverige enligt en europeisk arresteringsorder.

I Sverige har avtalets regler genomförts på så sätt att det är allmän domstol som beslutar om överlämnande från Sverige. Vid överlämnande till Sverige har domstolen inte någon beslutande roll i frågan om överlämnande ska begäras eller inte. Domstolar har dock en indirekt roll och måste i vissa situationer ta särskilda hänsyn när en person har överlämnats till Sverige.

Enligt 5 kap. lagen om överlämnande från Sverige enligt europeisk arresteringsorder ska frågan om överlämnande alltid prövas av domstol efter framställning från åklagare (jfr dock 5 kap. 1 § andra

stycket). Rättens prövning går i huvudsak ut på att ta ställning till om den eftersökte ska överlämnas eller om det finns något hinder mot överlämnande. Prövningen görs främst utifrån de avslagsgrunder som anges i 2 kap. samma lag.

Internationell verkställighet

Förutom åtgärder under brottsutredning och rättegång omfattar det internationella straffrättsliga samarbetet även verkställighet av straffrättsliga påföljder. Detta samarbete kan sägas vara motiverat både av intresset av en effektiv brottsbekämpning och att påföljder verkställs i det land där det är lämpligast.

Allmänna domstolar i Sverige har i inhemska fall inte någon central roll i verkställigheten av påföljder som dömts ut här. Detsamma kan sägas gälla för det internationella samarbetet, dvs. när en utländsk påföljd ska verkställas här eller när en svensk påföljd ska verkställas utomlands. Det är dock inte ovanligt att domstolar i andra länder har en mer framträdande roll i verkställighetsfrågor.

Till skillnad från vad som gäller vid t.ex. internationell rättslig hjälp i brottmål förutsätter det internationella samarbetet för verkställighet av påföljder som regel att det finns uttryckliga avtal. Sverige har ingått såväl bilaterala som multilaterala avtal om verkställighet med andra länder och i några fall också med internationella domstolar.

Allmänt om verkställighet, se vidare se avsnitt 5.6 ovan. Nedan anges ett urval av de situationer då svensk domstol har en roll i frågor om internationell verkställighet.

– Verkställighet utomlands av svenska frihetsberövande påföljder; bestämmande av ny påföljd inför överförande (34 kap. 18 § och 38 kap. 4 § brottsbalken), omprövning av svensk utevarodom enligt lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, överförande till ett annat nordiskt land enligt 8, 25 och 26-26 d §§ lagen (1963:193)om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m.

– Verkställighet i Sverige av utländska frihetsberövande påföljder; bedömningar om vissa påföljder, påföljdsomvandling och tvångsmedel enligt lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, lagen (2003:1156) om över-

lämnande från Sverige enligt en europeisk arresteringsorder och förordningen i samma ämne, samt lagen (1963:193)om samarbete med Danmark, Finland, Island och Norge ang. verkställighet av straff m.m.

Dessutom kan allmän domstol pröva frågor om övervakning utomlands och i Sverige, verkställighet i Sverige av utländska bötesstraff samt verkställighet i Sverige av utländska bötesstraff (se även avsnitt 5.9.2). I dessa fall sker bl.a. överprövning av Kronofogdemyndighetens beslut under verkställigheten.

Allmän domstol beslutar också i vissa fall i frågor om erkännande och verkställighet i Sverige av ett utländskt frysningsbeslut (se avsnitt 5.5), dels när en domstol överprövar en åklagares verkställbarhetsförklaring, dels när en fråga om verkställighet – enligt utsökningsbalken – av ett frysningsbeslut överklagas till allmän domstol.

5.9.7. Tullverket

Nationell lagstiftning avseende det internationella samarbetet

Enligt 7 § tredje punkten lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet har Tullverket rätt att behandla personuppgifter för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

Lagen är tillämplig på internationellt tullsamarbete som följer av Europeiska unionens förordningar, internationella konventioner, bilaterala samarbetsavtal mellan Sverige och andra länder samt de avtal som Europeiska unionen ingått med tredje land, som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Samarbetet omfattar både den brottsbekämpande och fiskala verksamheten. Det kan avse rent administrativa åtgärder t.ex. utbyte av uppgifter, eller operativa åtgärder såsom utförande av övervakning åt en annan stat. Förutom Tullverket gäller lagen även för andra myndigheter som polis och kustbevakning när dessa har befogenheter som faller inom ramen för vad som betecknas som internationellt tullsamarbete.

Utanför lagens tillämpningsområde faller det fiskala samarbetet som avser bistånd med indrivning av fordringar eller andra åtgärder som inte berör överträdelser av tullbestämmelser. Sveriges

samarbete med Norge och Finland vid gränserna går längre än det samarbete som omfattas av lagen om internationellt tullsamarbete och har en annan karaktär. Detta samarbete sker i stället med stöd av lagen (1959:590) om gränstullsamarbete samt de tillhörande förordningarna.

Vidare omfattar lagen inte det internationella polissamarbetet eller åklagares och domstolars samarbete över gränserna i brottsutredningar och brottmålsrättegångar. Lagen är inte heller tillämplig på polisiära samarbeten som sker enligt Schengenavtalet. I den mån Tullverket deltar i sådana åtgärder sker det med stöd av reglerna i lagen (2000:343) om internationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:344) om Schengens informationssystem (se vidare avsnitt 5.3.1–5.3.3).

Avtal, konventioner, internationella överenskommelser om tullsamarbete m.m.

Några av de konventioner, avtal och överenskommelser om tullsamarbete – där informationsutbyte sker med stöd av lagen om internationellt tullsamarbete och ändamålsbestämmelsen i 7 § tredje punkten lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, om inget annat sägs – som bör falla in under dataskyddsrambeslutets tillämpningsområde för Tullverkets del är följande.

Brysselkonventionen, 1950, Brysselrekommendation, 1953, FN narkotikabrottkonvention, 1988 och WCO-konventionen

WCO konventionen (även kallad Nairobikonventionen, 1977) har införlivats i svensk rätt genom förordningen (1983:682) om tillämpning av en internationell konvention om ömsesidigt administrativt bistånd för att förhindra, utreda och beivra tullbrott, m.m. Sverige har antagit sex av elva bilagor till konventionen; bilaga 1: spontant bistånd, rörande misstänkt tullbrottslighet riktad mot annat anslutet land, bilaga 3: bistånd på begäran, rörande kontroller, bilaga 4: bistånd på begäran, rörande övervakning, bilaga 8: deltagande i undersökningar i utlandet, bilaga 9: central registrering av upplysningar och bilaga 10: bistånd i kampen mot

smugglingen av narkotika och psykotropa ämnen. Angående WCO i övrigt se även avsnitt 5.8 ovan.

Bilaterala avtal med tillämpningsavtal från 1972 och framåt

Sverige har ingått ett flertal bilaterala avtal som alltjämt är giltiga, men som sedan Neapel II konventionen, med ett par undantag i praktiken inte används, eftersom Neapel II ger möjlighet till mer långtgående samarbete.

Utanför Europeiska unionen finns liknande avtal mellan Sverige och USA (1988:146) respektive Ryssland (bl.a. Tull, 1994:8 och Inrikesministeriet, ekonomisk brottslighet, 1998:318). På myndighetsnivå finns ett avtal med Ryssland, (Federala myndigheten för narkotikakontroll 2005).

Europeiska unionens tullsamarbetsavtal med tredje land från 1993 och framåt

Tullsamarbetsavtalen innebär informationsutbyte vid bl.a. misstankar om brott mot tullagstiftningen. Tullmyndigheterna utbyter information spontant eller på begäran. De kan begära övervakning av personer, transportmedel eller gods, ge varandra bistånd med utredningar och kontroller samt driva in tullskulder åt vissa länder.

Tullsamarbetskonventionen

Tullsamarbetskonventionen – rådets akt av den 18 december 1997 om upprättande av konventionen, upprättad på grundval av artikel K 3 i Fördraget om Europeiska unionen, om ömsesidigt bistånd och samarbete mellan tullförvaltningar (även kallad Neapel II konventionen, 1997) – medger informationsutbyte framför allt inom ramen för en brottsutredning. Konventionen reglerar även gränsöverskridande polisiärt samarbete på vissa typer av brott som har anknytning till Tullverkets verksamhetsområde. Det uppgiftsutbyte som sker med stöd av konventionen kan därmed omfattas både av lagen om internationellt tullsamarbete och lagen om internationellt polisiärt samarbete.

Tullinformationssystemet (TIS)

Den rättsliga grunden för Europeiska unionens tullinformationssystem består av dels rådets förordning (EG) nr 515/97 om ömsesidigt bistånd i tullärenden, dels rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål, som ersätter den nuvarande TIS-konventionen den 27 maj 2011. Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS. Syftet med TIS är att underlätta informationsutbytet mellan medlemsstaterna för att effektivisera bekämpningen av brott inom tullområdet. TIS består av två skilda databaser - TIS I för den fiskala verksamheten och TIS III för den brottsbekämpande verksamheten (enligt den så kallade pelarstrukturen i arbetet i Europeiska unionen). TIS första pelaren ska hjälpa tullmyndigheterna att utbyta information för att bekämpa brott mot Europeiska unionens gemensamma tull- och jordbrukslagstiftning medan TIS tredje pelaren ska underlätta informationsutbyte för att bekämpa brott mot medlemsstaternas nationella tullagstiftning. Tullinformationssystemet innehåller också en särskild databas kallad FIDE. Uppgifter ur informationssystemen får användas bl.a. av Tullverket, polisen och Kustbevakningen inom ramen för respektive myndighets befogenheter. Dessa myndigheter får ha direktåtkomst till uppgifter i samtliga kategorier i TIS. Tullverket är registeransvarigt och den enda som har rätt att föra in uppgifter i systemet.

Schengensamarbetet

Schengensamarbetet, som Sverige tillträdde 1996, omfattar förutom avvecklingen av gränskontroller, också ett förstärkt polisiärt och straffrättsligt samarbete. Det innefattar såväl utbyte av information som operativt samarbete. Bestämmelser finns framför allt i lagen om internationellt polisiärt samarbete, som bl.a. innefattar en specialreglering av vissa situationer i Schengenavtalet. I 2 § i lagen definieras svenska tjänstemän som polismän, tulltjänstemän eller kustbevakningstjänstemän när de har polisiära befogenheter. Tullverket tillämpar lagen för t.ex. gränsöverskridande övervakning och förföljande enligt artiklarna 40-41 i Schengenkonventionen.

Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIS). Behandlingen av uppgifter i SIS regleras särskilt i lagen (2000:344) om Schengens informationssystem (SIS) och förordningen (2000:836) i samma ämne (se vidare avsnitt 5.3.3). Enligt 9 § i lagen har Tullverket rätt att begära uppgifter ur systemet i sin verksamhet för att förebygga och utreda brott.

Europolsamarbetet

Den rättslig grunden för Europolsamarbetet finns numera i rådsbeslutet 2009/371/RIF om inrättande av Europeiska polisbyrån. Europol biträder nationella myndigheter med bland annat informationsutbyte, underrättelseanalys, samordning och utbildning (se avsnitt 5.8 ovan). Förutom polisen är Tullverket en behörig myndighet. Uppgiftsinhämtning från Europol sker både inom ramen för pågående brottsutredningar och underrättelseverksamhet för att förhindra och upptäcka brottslig verksamhet. Tullverket har en sambandsman placerad på den svenska sambandsenheten (desken) på Europol. Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIENA).

Andra initiativ inom Europeiska unionen

Genom rådets beslut 85/187 antogs Tullsamarbetsrådets rekommendation om åtgärder mot tullbedrägerier i fråga om containrar.

I lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och förordningen (2003:1176) i samma ämne (se avsnitt 5.3.2 ovan) genomförs rådets rambeslut 2002/465/RIF om gemensamma utredningsgrupper, utredningsgrupper som inrättas med stöd av 2000 års EU-konvention om internationell rättslig hjälp liksom avtalet med Island och Norge. I lagen regleras även grundläggande förfaranderegler om s.k. kontrollerade leveranser.

Lagen (2000:562) om internationell rättshjälp i brottmål och förordningen (2000:704) i samma ämne (se avsnitt 5.5 ovan) reglerar åklagarens möjligheter till straffrättsligt samarbete. I detta arbete kan åklagaren begära biträde av Tullverket på motsvarande sätt som i en svensk förundersökning.

Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder har genomförts i lagen (2003:1156) om

överlämnande från Sverige enligt en europeisk arresteringsorder med tillhörande förordning (2003:1178) i samma ämne (se avsnitt 5.5 ovan). Enligt 5 och 7 §§ i lagen har tulltjänstemän vissa befogenheter använda tvångsmedel.

Rådets rambeslut 2003/577/RIF av den 22 juli 2003 har genomförts i lagen (2005:500) om erkännande och verkställighet inom

Europeiska unionen av frysningsbeslut (se avsnitt 5.5). Enligt lagens 12 § kan åklagare begära biträde av bl.a. Tullverket vid verkställigheten av beslut enligt lagen.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna, även kallat ”det svenska initiativet”(se avsnitt 5.3.4 ovan), bygger på decentralisering och gör det möjligt för polisen, tullen eller andra myndigheter med befogenheter när det gäller att utreda brott (med undantag för underrättelsetjänster, som vanligtvis hanterar underrättelser med koppling till den nationella säkerheten) att utbyta information och kriminalunderrättelser med sina motsvarigheter i Europeiska unionen. I förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen finns tillämpningsbestämmelser till rådsbeslutet (se avsnitt 5.3.4). Förordningen möjliggör informationsutbyte inom underrättelseverksamheten mellan två medlemsstater via samtliga befintliga kommunikationsvägar.

Nordiskt samarbete

Polis och Tull i Norden (PTN) är ett samarbete mellan Tullverket och polisen i de nordiska länderna för att effektivisera bekämpningen av grov brottslighet (se vidare avsnitt 5.9.4). Svensk tull och polis har, tillsammans med Danmark, Finland, Norge och Island 38 gemensamma tull- och polissambandsmän (31 poliser och 7 tulltjänstemän) i ett 20-tal länder.

5.9.8. Åklagarväsendet

Åklagarväsendets internationella åtaganden sker huvudsakligen genom

  • Eurojust 2002/187/RIF implementerat genom Åklagarmyndighetens författningssamling, ÅFS, 2007:12
  • EJN – det europeisk rättsliga nätverket 2008/976/RIF implementerat genom ÅFS 2007:12

Informationsutbyte sker också genom Europol (Europolrådsbeslutet) samt genom Interpol.

Allmänt angående Eurojust, EJN, Europol och Interpol (se vidare avsnitt 5.8 ovan).

Nedan följer ytterligare redogörelse för de avtal och konventioner som berör åklagarväsendets internationella samarbete.

Rättslig hjälp

Åklagarväsendets internationella åtaganden avseende rättslig hjälp regleras vidare i Europeisk konvention om inbördes rättslig hjälp i brottmål, Strasbourg den 20 april 1959 (SÖ 1968:15) och Europeiska unionens konvention den 29 maj 2000 om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater.

Ett bilateralt instrument och konsoliderat avtal om rättslig hjälp mellan Sverige och USA har trätt i kraft den 1 februari 2010 (se bilaga 2 till prop. 2004/05:46). Vidare finns avtal om rättslig hjälp mellan EU och USA, som trätt i kraft samma datum (se bilaga 4 till prop. 2004/05:46).

Härutöver finns avtal om inbördes rättslig hjälp i brottmål mellan Sverige och Australien (SÖ 2001:47), Ungern (SÖ 1986:5), Polen (SÖ 1990:90) och Kanada (SÖ 2001:43).

Vad gäller Norden finns en Nordisk överenskommelse om inbördes rättslig hjälp genom delgivning och bevisupptagning (SÖ 1975:42).

Gemensamma utredningsgrupper m.m.

För gemensamma utredningsgrupper m.m. finns bestämmelser som reglerar samarbete i

  • lagen (2006:939) om kvalificerade skyddsidentiteter,
  • lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, samt
  • förordningen (2003:1176) om vissa former av internationellt samarbete i brottsutredningar

Angående sistnämnda lag och förordning se vidare avsnitt 5.3.2 ovan.

Bestämmelser om utlämning och överlämnande

Bestämmelser om utlämning från Sverige till en stat utanför Norden och Europeiska unionen finns i lagen (1957:668) om utlämning för brott (utlämningslagen). Bestämmelser om utlämning till Sverige från en stat utanför Norden och Europeiska unionen finns i 15 §§ och 99 c §§ förordningen (1982:306) med vissa bestämmelser om utlämning för brott (utlämningsförordningen). Det finns särskilda regler för utlämning inom Europeiska unionen. Utlämningslagen och utlämningsförordningen gäller inte om lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder är tillämplig (1 § andra stycket utlämningslagen).

Det finns också särskilda regler för utlämning inom Norden. Utlämningslagen gäller inte vid utlämning till ett annat nordiskt land (1 § andra stycket utlämningslagen). I sådant fall tillämpas i stället lagen (1959:254) om utlämning för brott till Danmark,

Finland, Island och Norge (nordiska utlämningslagen).

Regeringen har i sin promemoria Ds 2010:26, Överlämnande från Sverige enligt en nordisk arresteringsorder, föreslagit att Sverige ska godkänna konventionen om överlämnande mellan de nordiska staterna på grund av brott (nordisk arresteringsorder). I promemorian har även lämnats förslag till en ny lag om överlämnande från

Sverige enligt en nordisk arresteringsorder samt vissa övriga lagändringar som behövs för att Sverige ska leva upp till de åtaganden som ett tillträde till konventionen medför. Nordiska utlämningslagen (se ovan) föreslås i samband härmed att upphävas.

Konventionens reglering skiljer sig på många sätt från den ordning

som gäller enligt den nordiska utlämningslagen. En grundläggande skillnad är att konventionen bygger på principen om ömsesidigt erkännande av nordiska domar och beslut i stället för den fria prövningsrätt som hittills har gällt inom Norden.

Lagändringarna föreslås träda i kraft den dag regeringen bestämmer.

Åklagarväsendets internationella samarbete angående utlämning av brottslingar följer vidare av konventioner och överenskommelser.

Närmare kan utläsas av följande avtal.

  • Europa; Europeiska utlämningskonventionen med tilläggsprotokoll (SÖ 1959:65), samt
  • USA; Bilateralt instrument och konsoliderat avtal om utlämning mellan Sverige och USA (SÖ 1963:17, se bilaga 1 till prop. 2004/05:46, jfr även avtal om utlämning mellan Europeiska unionen och USA).

Vidare finns specifika avtal om utlämning med Kanada (SÖ 2001:42) och Australien (SÖ1974:3, 1985:64 och 1989:49).

Härutöver finns bestämmelser som reglerar åklagarväsendet vad gäller överlämnade av personer i lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder (se avsnitt 5.5. ovan).

Överförande av lagföring

Åklagarväsendet regleras vidare av bestämmelser om överförande av lagföring. Överförande av lagföring innebär att en stat till en annan gör en framställning om att den anmodade staten ska inleda lagföring för en gärning som är ett straffbart brott både i den ansökande staten och i den anmodade staten. Konventioner och avtal finns inom detta område enligt följande.

Europeisk konvention den 15 maj 1972 om överförande av lagbrott i brottmål (lagföringskonventionen, SÖ 1976:21), och

Nordiskt samarbetsavtal om lagföring i annat nordiskt land än där brottet förövats.

Det sistnämnda samarbetsavtalet gäller mellan de nordiska länderna. Avtalet ingicks år 1970 och ändrades i vissa delar år 1972.

I november 1973 träffades en överenskommelse om tillägg till samarbetsavtalet.

Angående lagföringskonventionens förhållande till det nordiska samarbetsavtalet, se prop. 1975/76:3 s. 89 samt 20. Lagföringskonventionen har hittills tillträtts av Sverige, Danmark och Norge. Finland och Island har inte tillträtt (1 § lagföringsförordningen).

Internationellt samarbete för att återföra brottsvinster

Inom Europeiska unionen finns sedan 2008 särskilda nationella enheter, Asset Recovery Offices (ARO) för att skapa bättre förutsättningar för det operativa internationella samarbetet med att återföra brottsvinster och bekämpa penningtvätt. Svenska ARO består av Brottsutbytesenheten på Ekobrottsmyndigheten för rättsliga frågor och av Finanspolisen på Rikskriminalpolisen för polisiära frågor av underrättelsekaraktär.

I denna del tillämpas även lagen (2003:500) om erkännande och verkställighet av frysningsbeslut samt förordningen (2005:501) i samma ämne (se avsnitt 5.5. ovan).

Angående direktivet om europeisk utredningsorder, se vidare samma avsnitt.

Övriga konventioner

Även i övriga delar föreligger konventioner som påverkar åklagarväsendets internationella arbete.

  • Konvention från Förenade Nationerna (FN) - The UN

Convention against Transnational Organized crime,

  • FN – United Nations Convention against Corruption,
  • FN – Säkerhetsrådets resolutioner,
  • FN – konventioner avseende bekämpande av terrorism

(13 stycken),

  • FN – Förenta nationernas konvention mot olaglig hantering av narkotika och psykotropa ämnen, Wien den 20 december 1988 (SÖ 1991:41),
  • Konvention om penningtvätt, efterforskning, beslag och förverkande av vinning av brott, Strasbourg den 8 november 1990 (SÖ 1996:19),
  • Europeiska konventionen den 27 januari 1977 om bekämpande av terrorism (SÖ 1977:12),
  • Överenskommelse med Storbritannien och Nordirland om tvångsåtgärder och förverkande avseende vinning av brott, Stockholm den 14 december 1989 (SÖ1992:5),
  • Konvention om bekämpande av bestickning av utländska offentliga tjänstemän i internationella affärsförbindelser, Paris den 17 december 1997 (SÖ1999:33), samt
  • Tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Frankrike om gradvis avskaffande av kontroller vid de gemensamma gränserna (Schengenkonventionen).

6. Sekretess

6.1. Vårt uppdrag i denna del

Enligt vårt uppdrag ska vi analysera hur svensk rätt förhåller sig till bestämmelserna i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Regeringen har i prop. 2008/09:16 s. 39, Godkännande av

Dataskyddsrambeslutet, framhållit att det kan finnas skäl att se över hur det svenska regelverket som reglerar offentlighet och sekretess påverkas och om genomförandet av dataskyddsrambeslutet kräver en mer omfattande sekretessreglering än den som gäller i dag.

Skäl föreligger därför att först undersöka hur gällande svensk rätt inom detta område är utformad och därefter överväga om det, på grund av dataskyddsrambeslutets bestämmelser, finns skäl att – inom sekretessområdet – införa kompletteringar eller ändringar av svensk rätt.

Nedan följer därför inledningsvis en genomgång av gällande rätt inom området.

Texterna nedan har i huvudsak hämtats ur Offentlighets- och sekretesskommitténs slutbetänkande, SOU 2004:75Insyn och sekretess – i statliga företag – i internationellt samarbete, s. 191 ff. (se avsnitt 6.4) samt Justitiedepartementens promemoria Ds 2008:30

Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 79 ff. (se avsnitt 6.3 och 6.5–6.6).

6.2. Allmänt om sekretess och tystnadsplikt

För många av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten gäller sekretess. Offentlighets- och sekretesslagen (2009:400; OSL) med tillhörande förordning innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Grundprincipen är att om det råder sekretess så gäller den även mellan myndigheter. Myndigheterna prövar frågan om utlämnande av uppgifter är tillåtet eller inte med stöd av sekretessregleringen. Offentlighets- och sekretesslagen reglerar enbart offentlig verksamhet. För annan verksamhet finns i begränsad utsträckning regler om tystnadsplikt.

Det som är av störst intresse i detta sammanhang är sekretessen till skydd för den brottsbekämpande verksamheten och för enskilda vilkas uppgifter registreras i sådan verksamhet samt sekretessen för vissa register som används av de myndigheter som berörs av rambeslutet. Vidare har reglerna om utlämnande av sekretessbelagda uppgifter stor betydelse med tanke på rambeslutets tillämpningsområde.

6.3. Sekretess i brottsbekämpande verksamhet

6.3.1. Sekretess till skydd för brottsbekämpningen

Sekretess till skydd för brottsbekämpningen

I 18 kap. 1–3 §§ OSL finns regler till skydd för det allmännas brottsförebyggande och brottsbeivrande verksamhet. Sekretessen gäller bl.a. för anmälan om brott och i förundersökningar. Den gäller också i polisens, åklagarnas, Tullverkets, Skatteverkets och Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller att den framtida verksamheten skadas om uppgiften röjs.

För Säkerhetspolisens verksamhet och för underrättelseverksamhet, oavsett vid vilken myndighet den bedrivs, gäller sekretess om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller att den framtida verksamheten skadas.

I de fall där en myndighet får uppgifter med sekretess enligt ovan från en brottsbekämpande myndighet gäller sekretessen också hos mottagaren.

Sekretessen till skydd för brottsbekämpande verksamhet gäller enbart svensk sådan verksamhet. Därför har en särskild bestämmelse, som skyddar utländsk brottsbekämpande verksamhet, införts i 18 kap. 17 § OSL. Sekretess gäller i verksamhet som avser rättsligt samarbete på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till antingen utredning enligt bestämmelserna om förundersökning i brottmål eller angelägenhet som angår tvångsmedel, om det kan antas att det varit en förutsättning för den ansökandes begäran att uppgiften inte skulle röjas.

Motsvarande sekretess gäller hos polismyndighet eller åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen för uppgift som avser framställningar enligt 3 § 1 och 5 lagen (2000:344) om Schengens informationssystem om viss åtgärd. Utan hinder av sekretessen får dock uppgifter lämnas ut enligt bestämmelser i den lagen eller i polisdatalagen (2010:361).

Sekretess till skydd för enskild

I 34 kap. 8 § OSL och 35 kap. OSL regleras skyddet för enskildas personliga och ekonomiska förhållanden i brottsbekämpande verksamhet. Sekretess gäller bl.a. i utredning enligt reglerna om förundersökning i brottmål och i angelägenhet som rör användning av tvångsmedel. Sekretess gäller dessutom i polisens, åklagarnas, Tullverkets, Skatteverkets och Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Sekretess enligt dessa bestämmelser överförs normalt inte till andra myndigheter, men de brottsbekämpande myndigheterna har i allt väsentligt samma sekretessreglering till skydd för enskilda.

Enligt 35 kap. 6-7 §§ OSL gäller sekretessen inte beslut i en åtalsfråga eller beslut om att en förundersökning inte ska inledas eller läggas ned. Den gäller inte heller i ärenden om ordningsbot eller strafföreläggande. Sekretessen enligt ovan upphör i allmänhet att gälla om uppgiften lämnas till domstol med anledning av åtal. Däremot kan sekretessen föras över i andra fall.

6.3.2. Sekretess för vissa register

Många register som innehåller ett stort antal personuppgifter som uppfattas som känsliga omgärdas av sekretess. Sekretessreglerna utgör i dessa fall ett skydd för den registrerade mot att uppgifter ur registren kommer i orätta händer. I de särskilda registerlagarna finns det dessutom i vissa fall regler om utlämnande av uppgifter som gäller i stället för den allmänna regleringen i offentlighets- och sekretesslagen.

Enligt 35 kap. 3 § OSL gäller sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1998:620) om belastningsregister. Sekretessen är absolut, vilket innebär att någon skadeprövning inte behöver göras. Det är tillräckligt att konstatera om sekretessregeln är tillämplig. Utlämnande kan endast ske med stöd av regler i lagen om belastningsregister eller säkerhetsskyddslagen (1996:627) eller förordningar som har stöd i dessa lagar.

Sekretessen för vissa andra certifikatregister regleras i 29 kap. 9 § och 35 kap. 4 § OSL. Enligt dessa paragrafer gäller sekretess bl.a. i verksamhet som avser förande av register eller uttag ur register för uppgift som har tillförts strafförelägganderegister eller ordningsbotsregistret, och för annan uppgift hos Rikspolisstyrelsen som angår brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i andra register än de två nämnda.

Sekretessen för strafföreläggande- och ordningsbotsregistren gäller dock inte själva ärendet.

Sekretessen i 29 kap. 9 § och 35 kap. 4 § OSL omfattar inte de register vars sekretess regleras i 35 kap. 1 § första stycket OSL. Enligt den sistnämnda sekretessbestämmelsen gäller sekretess för uppgift om enskilds personliga eller ekonomiska förhållanden i register som förs av Rikspolisstyrelsen enligt polisdatalagen (2010:361) eller som annars behandlas där med stöd av samma lag (punkten 6) samt i register som förs enligt lagen (1998:621) om misstankeregister (punkten 7). Sekretessen gäller i dessa fall om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men.

I samma paragraf regleras också sekretessen för register som förs i Skatteverkets brottsbekämpande verksamhet (punkten 8), register som förs i Tullverkets brottsbekämpande verksamhet

(punkten 10), och åklagarväsendets ärenderegister över brottmål (punkten 9) med undantag för diarieuppgifter. Sekretessen för dessa register gäller under samma förutsättningar som för nyssnämnda polisregister.

Sekretess gäller också enligt 35 kap. 1 § första stycket punkten 4 i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Denna bestämmelse reglerar bl.a. sekretessen för sådana lokala polisregister som inte omfattas av sekretessen i 29 kap. 9 § och 35 kap. 4 § OSL.

Enligt 35 kap. 10 § punkten 3 OSL får, utan hinder av sekretess, en uppgift lämnas ut enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (2010:361), lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar. Syftet med bestämmelsen är bl.a. att myndigheterna inte ska behöva förlita sig på en sekretessprövning i de fall där det i författning anges att uppgifter får lämnas ut.

Enligt 32 kap. 7 § OSL gäller sekretess i verksamhet som avser förande eller uttag ur register som förs enligt lagen (2006:444) om passagerarregister för uppgift om enskilds namn och födelsedatum samt nummer på resehandling. Sekretessen beträffande sådana uppgifter är absolut. Sekretess gäller också för uppgifter om enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs.

I 18 kap. 16 § OSL regleras sekretessen för vapenregister. Sekretessen gäller bl.a. för förande av eller uttag ur vapenregister för uppgift som har tillförts registret, om det inte står klart att uppgiften kan röjas utan fara för att vapen eller ammunition kommer till brottslig användning. Sekretessen omfattar inte namn och adress på den som har tillstånd att driva handel med vapen och inte heller uppgift om vilka typer av vapen tillståndet omfattar.

6.3.3. Sekretess vid handläggning i domstol

Handlingar som ges in till domstol i brottmål är oftast inte sekretessbelagda. I de fall där en domstol i sin rättsskipande eller rättsvårdande verksamhet tar emot sekretessbelagda handlingar

från en domstol eller annan myndighet gäller emellertid, enligt 43 kap. 3 § OSL, sekretessen även vid domstolen. Sekretess enligt 35 kap. 1 § första stycket OSL, dvs. sekretess i utredning enligt bestämmelserna om förundersökning i brottmål, gäller enligt 43 kap. 3 § hos domstol endast om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs. Motsvarande gäller för sekretess i angelägenhet som avser användning av tvångsmedel (35 kap. 1 § andra stycket OSL). Sekretess för uppgift om vem som är misstänkt gäller dock bara vid fara för att den misstänkte eller någon närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

Huvudprincipen är att förhandlingar inför domstol är offentliga. Sekretessen för en uppgift upphör normalt att gälla hos domstolen om uppgiften förebringas vid en offentlig förhandling. Om uppgiften förebringas inför stängda dörrar fortsätter dock som regel sekretessen att gälla (43 kap. 5, 8 och 10 §§ OSL).

Sekretessen för en uppgift upphör också att gälla om uppgiften tas in i en dom eller ett beslut (43 kap. 8–10 §§ OSL).

6.3.4. Sekretess för verkställighet av straffrättsliga påföljder

Enligt 35 kap. 15–16 §§ OSL gäller sekretess inom kriminalvården för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Sekretessen gäller dock inte för beslut i ärenden.

Enligt 35 kap. 16 § OSL gäller sekretess hos regeringen i ärende om överförande av verkställighet av brottmålsdom för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Sekretessen gäller dock inte regeringens beslut i ärenden.

Vidare gäller enligt 18 kap. 11 § OSL sekretess inom polisväsendet och Kriminalvården för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

6.3.5. Sekretess för personuppgifter

I sammanhanget bör också nämnas att sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

6.3.6. Utlämnande av sekretessbelagda uppgifter

Allmänt om sekretessbrytande regler

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgifter som den förfogar över, i den mån hinder inte möter på grund av sekretess eller av hänsyn till arbetets behöriga gång. Denna regel kan ses som en precisering av den allmänna skyldigheten att samverka och att lämna andra myndigheter hjälp inom ramen för den egna verksamheten.

Enligt 8 kap. 1 § OSL får en sekretessbelagd uppgift hos en myndighet inte röjas för en annan myndighet utom i de fall som anges i offentlighets- och sekretesslagen eller i lag eller förordning till vilken offentlighets- och sekretesslagen hänvisar. Likaså gäller enligt andra stycket sekretess inom en myndighet mellan skilda verksamhetsgrenar.

Sekretessbelagda uppgifter kan ibland lämnas ut med stöd av sekretessbrytande regler efter en bedömning i det enskilda fallet. Sekretessbestämmelser kan innehålla ett skaderekvisit som kan vara rakt eller omvänt. Vid rakt skaderekvisit är presumtion för offentlighet medan presumtionen är den motsatta vid omvänt skaderekvisit. Vid absolut sekretess finns, som nyss nämnts, inget sådant skaderekvisit.

Generella sekretessbrytande regler finns framför allt i 10 kap. OSL.

Sekretess hindrar enligt 10 kap. 2 § OSL inte att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sina uppgifter. Inom den brottsbekämpande verksamheten måste t.ex. ofta sekretessbelagda uppgifter röjas i samband med förundersökning. Däremot får uppgifter inte lämnas ut med stöd av bestämmelsen enbart av den anledningen att dessa skulle behövas i den mottagande myndighetens verksamhet.

I 10 kap. 28 § OSL föreskrivs bl.a. att sekretess inte hindrar utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Bestämmelsen tillämpas vid rutinmässigt och regelbundet återkommande utlämnande när uppgifterna behövs i bl.a. förundersökningar. Den s.k. generalklausulen i 10 kap. 27 § OSL medger att annars hemliga uppgifter får lämnas till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. En prövning ska alltid göras i det enskilda fallet.

De sekretessbrytande bestämmelserna gäller dock enbart mellan svenska myndigheter.

Utlämnande till utländsk myndighet eller organisation

Utgångspunkten i offentlighets- och sekretesslagen är att en uppgift, för vilken sekretess gäller, inte får röjas för en utländsk myndighet eller mellanfolklig organisation. I 8 kap. 3 § OSL finns dock bestämmelser som innebär att en sekretesskyddad uppgift får röjas för en utländsk myndighet eller mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning. En uttrycklig bestämmelse om att uppgifter får lämnas till en utländsk myndighet eller organisation bryter alltså sekretess. Den andra är när uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas. Den sistnämnda bestämmelsen är, som framgår av lydelsen, avsedd att tillämpas restriktivt.

Särskilda regler om utlämnande till utländsk brottsbekämpande myndighet eller mellanfolklig organisation med brottsbekämpande uppgifter finns bl.a. i 2 kap. 15 § polisdatalagen (2010:361),11 och 12 §§ lagen (1998:620) om belastningsregister, 9 och 10 §§ lagen om (1998:621) misstankeregister, 2 kap. 6 § lagen (2000:1219) om internationellt tullsamarbete, 6 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och 18 § förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet.

Den nyss nämnda bestämmelsen i 10 kap. 2 § OSL har också viss betydelse i sammanhanget. I den brottsbekämpande verksamheten är det nämligen i ganska stor utsträckning

nödvändigt att lämna sekretessbelagda uppgifter för att över huvud taget genomföra en brottsutredning. Ett typiskt exempel har ansetts vara att svenska myndigheter i samband med en begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1–3 §§ och 34 kap. 8 § OSL samt 35 kap. 1, 2, 6, 8, 9 och 10 §§ OSL till en utländsk polis- eller åklagarmyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndigheten ska kunna fullgöra sin egen verksamhet står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna.

Se vidare om särskilda sekretessåtgärder på grund av internationella avtal i avsnitt 6.4 nedan.

6.4. Särskilda sekretessåtgärder på grund av internationella avtal

6.4.1. Allmänt om behovet av särskilda sekretessåtgärder vid internationellt samarbete

Som ett led i det internationella samarbetet ingår Sverige ofta överenskommelser med andra länder eller med mellanfolkliga organisationer. Det kan röra sig om allt från mindre omfattande bilaterala avtal om samarbete inom ett visst sakområde till mer omfattande multilaterala avtal och medlemskap i mellanfolkliga organisationer som EU. Såväl enskilda bilaterala avtal och internationella konventioner som bindande EG-förordningar kan innehålla åtaganden om informationsutbyte mellan Sverige och andra länder eller mellanfolkliga organisationer. I de internationella avtalen förekommer också bestämmelser som reglerar under vilka förutsättningar Sverige får lämna ut handlingar eller på annat sätt använda information som Sverige erhåller eller förfogar över på grund av den bakomliggande överenskommelsen. Många gånger måste Sverige få tillgång till hemliga handlingar från internationella avtalsparter för att internationellt kunna driva frågor som tillgodoser landets intressen. Det är dock inte alltid möjligt när förutsatta garantier för sekretess inte kan sättas upp från Sveriges sida. Ett problem i internationella sammanhang är därför hur Sverige ska kunna garantera den sekretess som andra länder eller mellanfolkliga organisationer kräver.

Vid internationellt samarbete följer många stater den monistiska rättstraditionen, som innebär att överenskommelser med andra stater eller mellanfolkliga organisationer blir direkt tillämpliga nationellt utan ytterligare lagstiftningsåtgärder. Sverige tillämpar emellertid en dualistisk rättsordning, som innebär att internationellt avtalade regler i princip måste införlivas med den svenska rättsordningen genom särskilda lagstiftningsåtgärder för att bli tillämpliga. Detta behövs dock endast till den del de avtalade bestämmelserna saknar motsvarighet i eller strider mot de svenska rättsreglerna (jfr prop.1990/91:131 s. 13 f.). När det behövs kan införlivande i svensk rätt ske genom transformation eller genom inkorporation (se bet. 1989/90:SKU17 s. 67 f., 1989/90:KU3y).

Med transformation avses att aktuella delar i en internationell överenskommelse omarbetas till svensk författningstext. Inkorporation innebär i stället att det i svensk författning föreskrivs att bestämmelserna i överenskommelsen gäller direkt i Sverige och ska tillämpas av de svenska myndigheterna.

Internationellt avtalsreglerade krav på sekretess och begränsningar av Sveriges förfoganderätt över handlingar har inte alltid någon direkt motsvarighet i offentlighets- och sekretesslagens materiella bestämmelser. Normalt förutsätts enligt 2 kap. 14 § tryckfrihetsförordningen att en självständig skadeprövning enligt offentlighets- och sekretesslagen görs av den myndighet som förvarar handlingarna. Sverige kan följaktligen inte alltid garantera andra länder eller mellanfolkliga organisationer att en självständig skadeprövning skulle leda till att uppgifter i en viss handling sekretessbeläggs i enlighet med vad som avtalats i en internationell överenskommelse. I många fall har regeringen och riksdagen emellertid ansett att de befintliga bestämmelserna i offentlighets- och sekretesslagen är fullt tillräckliga för att det sekretesskydd som förutsätts i de internationella överenskommelserna ska uppnås. Något införlivande i svensk rätt har alltså inte behövts av dessa överenskommelser. I andra fall har det i stället ansetts nödvändigt att införliva de internationellt avtalade reglerna i svensk rätt genom att i offentlighets- och sekretesslagen eller andra lagar införa särskilda bestämmelser som anger att sekretess gäller i enlighet med de avtal Sverige har ingått. Regeringen har vid ett flertal tillfällen uttalat att ett krav för att sekretess i sådana fall ska gälla enligt vad som föreskrivs i internationella avtal, är att det är fråga om en begränsning av offentlighetsprincipen som tillgodoser någon av de sekretessgrunder som anges i 2 kap. 2 § tryckfrihetsförordningen,

t.ex. att det är påkallat med hänsyn till rikets förhållande till annan stat eller mellanfolklig organisation (se t.ex. prop. 1987/88:41 s. 15 och 1992/93:120 s. 10).

I de följande avsnitten redovisas dels några exempel på sekretessåtaganden som Sverige har accepterat genom sitt deltagande i internationellt samarbete samt exempel på vissa i detta sammanhang betydelsefulla internationella avtal, dels de generella principer som ligger bakom införandet i offentlighets- och sekretesslagen – och vissa andra lagar – av särskilda bestämmelser om sekretess på grund av internationella avtal som innefattar åtaganden om informationsutbyte.

6.4.2. Sekretessåtaganden och internationella avtal

”Originator control” och andra exempel på hur sekretesskrav kan utformas i internationella avtal

Originator control

En grundläggande princip i Sverige är att den myndighet som förvarar en handling självständigt ska pröva om den kan lämnas ut. I många länder tillämpas i stället en rättslig princip som med ett ofta använt engelskt uttryck brukar kallas ”originator control”. Denna princip innebär att den som har upprättat en hemlig handling äger rätten att kontrollera till vem handlingen lämnas ut även efter att den har överlämnats till exempelvis andra myndigheter eller andra länder. I enlighet med rättstraditionen i andra länder används ofta bestämmelser om ”originator control” vid internationella överenskommelser som omfattar informationsutbyte. I avtalstexter brukar sådana bestämmelser formuleras så att den som tar emot en hemlig handling från ett annat land eller en mellanfolklig organisation inte får lämna handlingen vidare utan ”the written consent of the originator”.

En följd av principen om ”originator control” är att den som upprättat en hemlig handling ofta vill lämna den ifrån sig endast på sådana villkor att det är möjligt att avgöra till vem den lämnas vidare i ett senare skede. Det innebär att Sverige vid fullgörandet av internationellt avtalade skyldigheter ofta är förhindrat att offentliggöra eller på annat sätt lämna ut handlingar som erhållits från ett annat land, om inte utlämnandet godkänns av ursprungslandet. I vissa fall är det alltså ursprungslandet som bestämmer hur

Sverige får förfoga över handlingar som lämnas hit. Det går därför inte alltid att utläsa i det egentliga avtalet vilken sekretess som gäller för uppgifter som Sverige har fått del av. I stället kan det vara ursprungslandet som generellt för vissa typer av uppgifter eller efter en bedömning i varje enskilt utlämnandefall, avgör vilka uppgifter eller handlingar som Sverige kan lämna ut. Bestämmelser om ”originator control” kan förekomma såväl i avtal med enskilda stater som i överenskommelser med mellanfolkliga organisationer [se t.ex. Sveriges överenskommelse om säkerhetsskydd med det Europeiska Rymdorganet (ESA) den 13 juni 2002]. Tidigare förekom sådana bestämmelser främst inom försvarsområdet men de är numera vanliga även i andra sammanhang, inte minst inom EU.

Andra typer av bestämmelser

Vid sidan av bestämmelser om ”originator control” förekommer det i vissa internationella avtal förhållandevis oprecisa bestämmelser som förbjuder myndigheter och tjänstemän att avslöja uppgifter som har inhämtats med stöd av avtalet och är av sådant slag att de omfattas av sekretess, utan att det uttryckligen anges vilka upplysningar som är av sådant slag. Det är då upp till de avtalsslutande staterna att närmare ange detta (jfr prop. 1992/93:120 s. 10). Som exempel kan nämnas regler om att avtalsstaternas tjänstemän ska vara bundna av tystnadsplikt, (professional secrecy, se Ds 1992:84, s. 21). Denna typ av bestämmelser är vanligt förekommande i avtal med mellanfolkliga organisationer och i EG-förordningar eller EG-direktiv.

Andra bestämmelser i internationella avtal innebär att när Sverige har erhållit handlingar från en annan stat ska dessa behandlas som hemliga i enlighet med svensk rätt eller i enlighet med den utlämnande statens sekretesslagstiftning om denna är mer restriktiv, se t.ex. lagen (1990:313) om Europaråds- och OECDkonventionen om ömsesidig handräckning i skatteärenden (art. 22 i konventionen). En sådan bestämmelse får till följd att en svensk myndighet enligt avtalet ska pröva ett utlämnande enligt både offentlighets- och sekretesslagen och motsvarande lagstiftning i det land som Sverige fått handlingarna från. Som ett sista exempel kan nämnas att det inte är ovanligt att sekretessbestämmelser i internationella avtal innebär krav på att information som Sverige erhåller inte får användas för andra ändamål än det den har inhämtats för.

Sådana bestämmelser medför alltså ytterligare en inskränkning i Sveriges förfoganderätt över uppgifter utöver vad som följer av den egentliga sekretessen (se t.ex. prop. 1992/93:120 s. 15). Den ovan nämnda principen om ”originator control” förekommer även i fråga om avtalsklausuler som på detta sätt begränsar vilka ändamål inhämtade uppgifter får användas för.

6.4.3. EU-medlemskapet

Den 1 januari 1994 inledde Sverige tillsammans med övriga EFTAländer sitt deltagande i det Europeiska ekonomiska samarbetsområdet (EES), enligt ett omfattande avtal med Europeiska gemenskaperna (EG). Samarbetet var ett steg mot medlemskap i Europeiska Unionen (EU) och innebar bl.a. att ca 1 500 EG-rättsakter blev tillämpliga i Sverige (prop. 1992/93:120 s. 11 f.) När Sverige ett år senare blev medlem i EU innebar det att Sveriges internationella samarbete utökades än mer och att ytterligare internationella rättsakter blev av direkt betydelse. En följd av medlemskapet är överföringen av normgivningskompetens till EU inom vissa områden. Numera är flera av de inom EU beslutade normerna direkt tillämpliga i Sverige.

När det gäller de enskilda medlemsländernas hantering av uppgifter och handlingar som rör EU-samarbetet kan Sverige i princip uteslutande tillämpa den nationella svenska rättsordningen. Det finns emellertid i flera EG-rättsakter inom olika sakområden föreskrifter om tystnadsplikt som ska iakttas (prop. 1994/95:112 s. 8). Ett problem är att föreskrifterna ofta inte innebär någon fullständig reglering av hur eller på vilka grunder uppgifter kan hållas hemliga. De anger endast att tystnadsplikt gäller för förtrolig information, men inte närmare vilka uppgifter som avses. Regeringen konstaterade inför Sveriges inträde i EU att i detta avseende är sekretesstadganden i direkt tillämpliga förordningar inte mer utvecklade än motsvarande regler i direktiv (prop. 1994/95:112 s. 22). Sådana materiella regler utgör inte en tillräcklig rättslig reglering av hur Sverige ska hantera handlingar, utan de svenska reglerna om offentlighet och sekretess måste fortfarande tillämpas. Vid en prövning enligt de svenska nationella bestämmelserna måste emellertid hänsyn tas till den allmänna lojalitetsplikten inom EU.

Det innebär att Sverige har att tillämpa svenska regler på ett sådant sätt att de krav som kan utläsas ur EU-rätten kan tillgodoses (ibid.).

Ett särskilt problem inom EU är det vanliga synsättet på hantering av sekretess som innebär att den som upprättar eller avsänder en handling själv bedömer om den ska hållas hemlig eller inte och att den som tar emot handlingen ska respektera denna vilja – originator control – (prop. 1994/95:112 s. 23). De konflikter som kan uppstå i dessa situationer får hanteras med stöd av offentlighets- och sekretesslagens materiella bestämmelser inom skilda sakområden och av den generella utrikessekretessen i 15 kap. 1 § OSL. När det bedöms nödvändigt kan det också införas särskilda bestämmelser som direkt eller indirekt hänvisar till den sekretess som föreskrivs i de rättsakter som Sverige är bundet av till följd av medlemskapet i EU.

6.4.4. Exempel på andra internationella avtalsformer

Även utöver EU-medlemskapet deltar Sverige i stor omfattningi internationellt samarbete. Det manifesteras ofta genom bilaterala eller multilaterala avtal eller konventioner med andra stater och genom medlemskap i olika mellanfolkliga organisationer. Oavsett formen för samarbete kan det förekomma krav på Sverige att iaktta olika regler om tystnadsplikt, sekretess och förfogandeinskränkningar i samband med informationsutbyte avtalsparterna emellan.

Bilaterala och multilaterala avtal med andra stater förekommer inom många skiftande sakområden. Ofta innebär dessa avtal att information ska utbytas mellan avtalsstaterna. Som exempel kan nämnas överenskommelser med de nordiska länderna och med Kanada och Australien om ömsesidig rättslig hjälp i brottmål. Andra exempel är Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden samt Europeiska konventionen till skydd för mänskliga rättigheter.

Som exempel på andra mellanfolkliga organisationer än EU som Sverige – på grund av medlemskap eller samarbetsavtal – har informationsutbyte med, kan nämnas det Europeiska Rymdorganet (ESA).

Inom ramen för vissa internationella avtal utgör Sveriges deltagande närmast ett mellanting av medlemskap i en mellanfolklig organisation och avtalspart i en mellanstatlig överenskommelse.

Det gäller t.ex. de konventioner som EU:s medlemsländer undertecknar vid sidan av det gemenskapsrättsliga samarbetet. Två exempel på sådana överenskommelser inom ramen för EUsamarbetet som innebär ett omfattande informationsutbyte mellan medlemsstaterna är Dublinförordningen om asylmottagning och Schengenavtalet om gränskontroll.

6.4.5. Tillämpning av offentlighets- och sekretesslagen (2009:400) vid internationella förbindelser utan att särskilda åtgärder vidtas

I många fall utgör det inga problem ur svensk synvinkel att det i internationella avtal som Sverige ingår finns särskilda bestämmelser om sekretess. Det är ofta möjligt för svenska myndigheter att sekretessbelägga uppgifter i handlingar som berörs av ett sådant avtal med direkt stöd av en materiell sekretessbestämmelse inom sakområdet, t.ex. 18 kap. 1 § OSL om förundersökningssekretess i en svensk brottsutredning. Också när det saknas en sådan direkt tillämplig materiell bestämmelse avseende den aktuella sakfrågan eller ärendet, kan uppgifter i vissa fall hemlighållas på ett avtalsenligt sätt med stöd av den generella bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Grunden för en sådan tillämpning är då vanligtvis att det kan antas störa de mellanfolkliga förbindelserna om Sverige inte följer ett internationellt avtal som innebär att Sverige har åtagit sig att inte sprida vidare uppgifter som har erhållits med stöd av avtalet (se t.ex. prop. 1987/88:41 s. 15 f.).

När det gäller tillämpningen av utrikessekretessen har Högsta förvaltningsdomstolen emellertid slagit fast att det måste vara det konkreta informationsinnehållet i en uppgift – eller i vissa fall uppgiftens art och anknytning till internationell verksamhet – som medför att ett röjande av uppgiften kan förorsaka störningar i de mellanfolkliga förbindelserna (RÅ 1998 ref. 42 och RÅ 2000 ref. 22). En störning som förorsakas endast av det faktum att en uppgift röjs skulle därmed inte alltid omfattas av skadebegreppet.

Även med beaktande av Högsta förvaltningsdomstolens ställningstagande är utformningen av rekvisiten för utrikessekretess enligt 15 kap. 1 § OSL sådan att det finns ett stort utrymme för att sekretessbelägga uppgifter som berör Sveriges förbindelser med andra stater eller mellanfolkliga organisationer. Trots detta har regeringen ansett det omöjligt att generellt göra gällande att varje

uppgiftslämnande i strid med ett internationellt avtal skulle kunna anses uppfylla något av de skaderekvisit som gäller enligt 15 kap. 1 § OSL (se t.ex. prop. 1987/88:41 s. 15 f.). Det finns med andra ord situationer då det är nödvändigt med särskilda sekretessbestämmelser för att Sverige ska kunna fullgöra sin skyldighet i vissa fall att hemlighålla uppgifter som erhållits från andra stater eller från mellanfolkliga organisationer. Sådana bestämmelser kan antingen direkt ange vad som gäller enligt en överenskommelse eller endast hänvisa till de bakomliggande internationella avtalen.

I detta sammanhang bör nämnas att Sverige i vissa fall, genom politiska förhandlingar innan ett internationellt avtal undertecknas, kan undvika att förbinda sig att följa ”omöjliga” sekretessbestämmelser. Sverige kan med andra ord få till stånd ändringar i föreslagna avtalstexter så att de överensstämmer med svensk rätt. Till exempel kan bestämmelser om förbud att lämna ut hemliga handlingar utan ”the written consent of the originator”, dvs. principen om ”originator control” ändras till ett krav på att Sverige lämnar ut sådana handlingar endast ”after consultation with the originator”. Ofta godtar emellertid andra länder eller mellanfolkliga organisationer inte en sådan uppmjukning, eftersom den inte ger tillräckliga garantier för den eftersträvade sekretessen.

När Sverige måste ingå internationella avtal som ställer icke uppfyllbara krav på sekretess, kan det ändå i vissa fall göras utan att det leder till särskilda lagstiftningsåtgärder i offentlighets- och sekretesslagen. I vissa situationer förklarar Sverige i stället genom en särskild deklaration i samband med avtalet, att de svenska offentlighets- och sekretessreglerna kommer att tillämpas och att Sverige är medvetet om att en tillämpning av de nationella reglerna i strid med det ingångna avtalet kan komma att störa förbindelserna med övriga avtalsparter (en s.k. unilateral declaration). I princip innebär detta att Sverige klargör att det internationella avtalet inte kommer att följas på denna punkt. Genom ett sådant förfarande har Sverige folkrättsligt formellt förbundit sig att uppfylla t.ex. vissa sekretesskrav, samtidigt som de övriga avtalsparterna är medvetna om att Sverige inte kan garantera att så kommer att ske [se t.ex. Sveriges deklaration till överenskommelsen om säkerhetsskydd med det Europeiska Rymdorganet (ESA) den 13 juni 2002]. Eventuella efterföljande konsekvenser av ett svenskt avtalsbrott får då lösas genom politiska förhandlingar.

6.4.6. Särskilda bestämmelser i offentlighets- och sekretesslagen (2009:400) med anledning av internationella avtal

I detta avsnitt redovisas inledningsvis de generella överväganden som legat till grund för införandet av särskilda sekretessbestämmelser med anledning av internationella avtal om informationsutbyte som Sverige har ingått med andra länder eller mellanfolkliga organisationer. Därefter lämnas en redogörelse för de materiella bestämmelser i offentlighets- och sekretesslagen som reglerar sådan särskild sekretess inom skilda sakområden. Den senare redogörelsen är kronologisk såtillvida att de aktuella lagrummen redovisas i den ordning de ursprungligen infördes i sekretesslagen (1980:100) respektive i andra lagar.

Generella principer för de särskilda sekretessbestämmelserna

Det finns inte någon fullständig enhetlighet i utformningen och innebörden av de sekretessbestämmelser som sedan år 1988 har tillkommit på grund av internationella avtal om informationsutbyte som innefattar sekretessåtaganden m.m. från Sveriges sida. Den vanligaste lagstiftningsmodellen i offentlighets- och sekretesslagen innebär emellertid att absolut sekretess gäller för uppgifter som Sverige erhållit eller förfogar över på grund av ett internationellt avtal som innehåller en klausul om att uppgifterna inte får lämnas vidare i det aktuella fallet (a. prop. s. 19) Ofta kompletteras denna sekretess med en bestämmelse om att uppgifterna inte heller får lämnas till andra svenska myndigheter med stöd av sekretessbrytande bestämmelser, om det skulle strida mot det bakomliggande avtalet. Ett ”typexempel” på en sekretessbestämmelse som tillkommit på grund av ett internationellt avtal kan utformas på följande sätt.

Sekretess gäller, i den mån riksdagen har godkänt avtal härom med främmande stat eller mellanfolklig organisation, hos myndighet i verksamhet som avses i X § för sådan uppgift om enskilds personliga eller ekonomiska förhållanden som myndigheten erhållit/förfogar över på grund av avtalet. Föreskrifterna i 14 kap.13 §§sekretesslagen (1989:100), numera 10 kap. 10 §. OSL, får inte i fråga om denna sekretess tillämpas i strid med avtalet.

Utformningen av bestämmelserna har sin grund i 27 kap. 5 § OSL och 34 kap. 4 § OSL avseende sekretess i internationellt samarbete inom beskattningsområdet (SFS 1987:1161). De bakomliggande motiven för den bestämmelsen har senare åberopats i ett flertal andra lagstiftningsärenden om sekretess vid internationellt samarbete, se t.ex. prop. 1990/91:42 (om insiderhandel) och prop. 1992/93:120 (om EES-avtalet). Regeringen anförde som skäl för införandet av bestämmelsen att enligt 2 kap. 2 § tryckfrihetsförordningen ska en begränsning av rätten att ta del av allmän handling anges noga i offentlighets- och sekretesslagen eller i annan (svensk) lag som offentlighets- och sekretesslagen hänvisar till. Orsaken är att man ska kunna utläsa av offentlighets- och sekretesslagen i vilka fall uppgifter i en allmän handling är hemliga (prop. 1987/88:41 s. 16). I vissa internationella avtal finns det klausuler som säger att andra sekretessregler än de svenska ska tillämpas, om de senare ger ett sämre skydd. Ska Sverige kunna åta sig en sådan avtalsförpliktelse måste den svenska lagstiftningen vara utformad så att en tillräckligt sträng sekretess föreskrivs, eftersom det enligt tryckfrihetsförordningen inte är möjligt att inskränka offentligheten genom att hänvisa till utländsk lag. [Lagrådet har dock uttalat att en hänvisning till en EG-förordning bör kunna likställas med en hänvisning till svensk lag och därför uppfylla kraven i 2 kap. 2 § TF (se prop. 1999/2000:126 s. 283)].

I vissa fall förutsätts i offentlighets- och sekretesslagen att en viss risk för skada ska föreligga för att uppgifter ska kunna sekretessbeläggas. I många fall kan denna konstruktion göra att sekretesskyddet i Sverige är svagare än i andra stater som Sverige vill ingå avtal med (prop. 1987/88:41 s. 16).

En föreskrift om absolut sekretess är däremot särskilt ägnad att tillgodose ett önskemål att den svenska lagstiftningen ska vara minst lika sträng som en utländsk reglering. Det bör därför i vissa fall vara möjligt att i särskilda bestämmelser ge ett sådant sekretesskydd som den utländska staten eller den mellanfolkliga organisationen vill ha för att lämna känsliga uppgifter till Sverige (ibid.).

Regeringen har också konstaterat att de krav som vissa internationella avtal ställer om att uppgifter inte får spridas vidare, inte bara gäller utlämnande av uppgifter till enskilda utan även utlämnande till andra myndigheter (a. prop. s. 17 f.) Enligt 6 kap. 5 § OSL ska en myndighet lämna ut uppgifter till en annan svensk myndighet som begär det, om inte hinder möter på grund av

sekretess. I många fall föreligger det inga sådana hinder mot utlämnande på grund av sekretess, trots att sekretess gäller för en uppgift. Anledningen är att det i 10 kap. 15–28 §§ OSL finns eller hänvisas till särskilda sekretessbrytande bestämmelser som tillåter utbyte av hemliga uppgifter mellan myndigheter. Även om det föreskrivs särskilt i offentlighets- och sekretesslagen att en uppgift omfattas av absolut sekretess på grund av kopplingen till ett internationellt avtal, skulle sådana uppgifter alltså ändå kunna lämnas ut från en myndighet till en annan med stöd av de sekretessbrytande bestämmelserna. För att Sverige ska kunna fullfölja sina åtaganden fullt ut – vilket kan inkludera att uppgifter inte får lämnas från en myndighet till en annan – har regeringen ansett att de sekretessbrytande bestämmelserna i 10 kap.15-28 §§ OSL inte bör få tillämpas i den mån det skulle strida mot ett bakomliggande avtal (a. prop. s. 19).

Avslutningsvis bör något nämnas om de problem som kan vara förknippade med den unika svenska meddelarfrihet som i många fall bryter tystnadsplikten, dvs. den i tryckfrihetsförordningen och yttrandefrihetsgrundlagen stadgade rätten att röja även sekretessbelagd information för publicering. Denna meddelarfrihet kan i sin tur brytas genom bestämmelser i offentlighets- och sekretesslagen om s.k. kvalificerad tystnadsplikt (se SOU 2003:99, kap. 16 och 17). Regeringen har konstaterat att det är vanskligt att avgöra vilket utrymme som internationella sekretessregler ger åt uppgiftslämnande i publiceringssyfte, men att det är möjligt att i mellanfolkliga sammanhang hävda uppfattningen att det finns utrymme för meddelarfriheten (prop. 1992/93:120 s. 11). Slutsatsen från regeringens sida var att ett krav på sekretess i ett internationellt avtal inte nödvändiggör undantag från meddelarfriheten, utan att den frågan får avgöras från fall till fall efter den typ av intresseavvägning som görs också i andra sammanhang.

6.4.7. Särskilt sekretessförordnande i domstol

Genom lagen (1990:313) om ömsesidig handräckning i skatteärenden godkände riksdagen en Europaråds- och OECD-konvention om sådan handräckning. Regeringen ansåg att de huvudsakliga sekretesskrav som ställdes upp i konventionen kunde uppfyllas med stöd av den tidigare införda bestämmelsen 9 kap. 3 § andra stycket sekretesslagen (1980:100) om skattesekretess till följd av

internationella avtal (jfr prop. 1989/90:14 s. 22), numera 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena offentlighets- och sekretesslagen. Kraven gällde bl.a. att svenska myndigheter ska tillämpa sekretesslagstiftningen i det land varifrån en viss uppgift kommer, om det landets sekretess är strängare än den svenska. Konventionen ställer emellertid ytterligare krav, som bl.a. berör domstolarna. Av särskild betydelse var kravet på att uppgifter som Sverige fått från en annan stat inte får yppas offentligt i domstolsförfaranden och domstolsavgöranden, om inte ursprungslandet samtycker till det (s.k. originator control). I förarbetena uttalade regeringen att den ökade internationella rörligheten medför ett ökat behov av samarbete mellan skattemyndigheter i olika länder och att den aktuella konventionen utgör ett instrument som kan leda det internationella samarbetet ett stort steg framåt (a. prop. s. 116 f.). En förutsättning för att Sverige ska kunna delta i det internationella samarbetet på ett meningsfullt sätt ansågs därför vara att de svenska sekretessbestämmelserna ges en sådan utformning att de inte hindrar inhämtandet av uppgifter med stöd av konventionen. För domstolarnas del löstes de på grund av konventionen uppkomna sekretessproblemen i två steg.

För det första infördes det i 5 kap. 1 § rättegångsbalken en bestämmelse som innebär att en domstol alltid ska hålla förhandling inom stängda dörrar om sekretess gäller enligt 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL och det skulle strida mot avtal som avses där att uppgiften röjs vid förhandlingen. Den processuella bestämmelsen är enligt 16 § förvaltningsprocesslagen (1971:291) tillämplig också hos allmän förvaltningsdomstol.

För det andra infördes särskilda bestämmelser i 12 kap.3 och 4 §§sekretesslagen (1980:100), sedermera 43 kap. 5, 8, 9 och 10 §§ OSL. En domstol ska sedan dess alltid i dom eller beslut förordna att sekretessen ska bestå för uppgift som har förebringats vid förhandling inom stängda dörrar, om sekretess enligt 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL gäller för uppgiften och det skulle strida mot avtal som avses där att uppgiften röjs. I fråga om sådana uppgifter ska en domstol dessutom alltid förordna att sekretessen ska bestå även för uppgifter som tas in i domen eller beslutet. Domstolen ska med andra ord sekretessbelägga domskälen i den del de innefattar en uppgift som är sekretessbelagd med stöd av 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL.

Bestämmelserna berör främst skattemål i de allmänna förvaltningsdomstolarna (bet. 1989/90:SkU17 s. 57).

6.4.8. Rättslig hjälp som avser förundersökning m.m.

Sverige har sedan en längre tid tillbaka deltagit i internationellt rättsligt samarbete, bl.a. genom överenskommelser mellan de nordiska länderna från år 1974 och genom den europeiska konventionen om inbördes rättshjälp i brottmål från år 1959. Detta samarbete har sedan utvecklats genom den Schengenkonvention som flertalet EU-länder är anslutna till (även Norge och Island deltar i samarbetet). I konventionen finns bestämmelser om rättsligt samarbete och praktiska åtgärder med syftet att genomföra avvecklingen av gränskontrollerna vid EU:s inre gränser. Som en följd av Schengenkonventionen, bilaterala avtal med Kanada och Australien samt vissa EU-rättsakter, infördes i Sverige år 2000 en ny lag (2000:562) om internationell rättslig hjälp i brottmål.

I förarbetena diskuterade regeringen frågor om sekretess i samband med nämnda internationella avtal och den nya lagen. Bland annat konstaterades att tidigare centrala konventioner inom området saknar bestämmelser om sekretess, men att frågor om offentlighet och sekretess har fått allt större betydelse i det europeiska samarbetet i Europarådet och inom EU. I fråga om det internationella rättshjälpssamarbetet konstaterade regeringen att en ansökan om rättslig hjälp och andra uppgifter som lämnas av en annan stat måste åtnjuta sekretesskydd för att inte motverka brottsutredningen i den ansökande staten. Med hänvisning till ett JO-beslut (1997/98 s. 112) fann regeringen att sekretessen enligt 18 kap. 1–3 §§ OSL till skydd för brottsutredande verksamhet inte var tillämplig i förhållande till utredningar som utförs på ansökan av en främmande stat (prop. 1999/2000:61 s. 164). Behovet av sådan sekretess var däremot enligt regeringen detsamma och det ansågs inte självklart att uppgifter alltid kan hemlighållas med stöd av den generella bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Regeringen gjorde därför bedömningen att en ny bestämmelse behövde införas i offentlighets- och sekretesslagen.

Med anledning av att Sverige tillträdde Romstadgan för Internationella brottmålsdomstolen fann regeringen att motsvarande skäl för en ny sekretessbestämmelse gjorde sig gällande även i fråga om sekretess i Sverige för ansökningar om rättslig hjälp eller om

överlämnande av misstänkta, som domstolen lämnar till de anslutna staterna. Däremot fann regeringen att de sekretesskrav som kan ställas på underrättelser som domstolens åklagare lämnar till anslutande stater om pågående eller förestående utredning, i allmänhet torde kunna omfattas av utrikessekretess enligt 15 kap. 1 § OSL. Enligt 18 kap. 17–18 §§ OSL gäller således numera sekretess i verksamhet som avser rättslig hjälp på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till bl.a. utredning enligt bestämmelserna om förundersökning i brottmål. Sekretessen gäller om det kan antas att den rättsliga hjälpen har begärts under förutsättning att uppgifterna inte röjs. Skaderekvisitet är alltså utformat med utgångspunkt i den ansökande statens vilja att hemlighålla uppgifter. Anledningen till att den utländska staten eller en mellanfolklig domstol på det sättet får förfoga över sekretessen i Sverige, är de svårigheter som en svensk myndighet skulle ha att bedöma behovet av sekretess i en annan stats förundersökning eller i Internationella brottmålsdomstolens brottsutredningar. Motsvarande sekretess gäller enligt samma paragraf också för vissa uppgifter hos Rikspolisstyrelsen, Tullverket och Kustbevakningen som rör angelägenheter enligt lagen (2000:344) om Schengens informationssystem.

På motsvarande sätt som för förundersökningssekretess enligt 18 kap. 1–3 §§ OSL gäller kvalificerad tystnadsplikt för uppgifter om vissa tvångsåtgärder som omfattas av sekretess enligt 18 kap. 17 §. Meddelarfriheten är alltså inskränkt.

6.5. Särskilda sekretessbestämmelser i andra lagar

För att handlingsoffentligheten ska kunna inskränkas krävs enligt 2 kap. 2 § tryckfrihetsförordningen att begränsningen anges noga i offentlighets- och sekretesslagen eller i annan lag som offentlighets- och sekretesslagen hänvisar till. Sådana hänvisningar görs i 7 kap. 1 § och 9 kap. 2 § OSL till de nedan redovisade lagarna. Dessa lagar innehåller bestämmelser som begränsar möjligheterna för en svensk myndighet att utnyttja vissa uppgifter som den har fått från en myndighet i en annan stat, t.ex. att lämna uppgifterna till andra svenska myndigheter.

7 kap. 1 § OSL stadgar att om enligt lagen förbud gäller mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad.

9 kap. 2 § OSL har följande lydelse. Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1. lagen (2000:343) om internationellt polisiärt samarbete,

2. lagen (2000:344) om Schengens informationssystem,

3. lagen (2000:562) om internationell rättslig hjälp i brottmål,

4. lagen (2000:1219) om internationellt tullsamarbete, och 5. lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar.

Angående vår bedömning rörande eventuella ändringar i OSL med anledning av dataskyddsrambeslutet, se avsnitt 12.3.4 nedan.

6.5.1. Lagen (2000:343) om internationellt polisiärt samarbete och lagen (2000:562) om internationell rättslig hjälp i brottmål

I avsnitt 6.4.8 redovisas kort bakgrunden till bestämmelsen om sekretess i 18 kap. 17 § OSL, bl.a. Sveriges anslutning till Schengenkonventionen. Särskilda bestämmelser som utöver denna sekretess begränsar svenska myndigheters möjlighet att använda sig av uppgifter som har lämnats av en annan stat finns i 3 § lagen om internationellt polisiärt samarbete och i 18 kap. 1-4 §§ lagen om internationell rättslig hjälp i brottmål (som gäller för åklagare och domstolar). Bestämmelserna ska tillämpas om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse som är bindande för Sverige. Om överenskommelsen innehåller villkor som begränsar möjligheten att använda uppgifterna eller bevisningen vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning.

Regeringen har i förarbetena till den aktuella lagstiftningen konstaterat att det i konventioner ofta förekommer bestämmelser och villkor om begränsning i rätten att använda bevismaterial m.m. som överlämnats från en annan stat, t.ex. i Schengen- och Dublinkonventionerna samt i bilaterala avtal med Australien och Kanada. Sådana internationellt avtalade bestämmelser kan för svenskt vidkommande medföra att en konflikt uppkommer mellan

bestämmelserna i överenskommelsen och inhemska regler om en myndighets skyldighet att fullgöra sina myndighetsuppgifter, inte minst inom det straffrättsliga området. Orsaken är att den s.k. officialprincipen gäller för svenska myndigheter. Den innebär bl.a. att en polis eller åklagare i princip är skyldig att inleda förundersökning så snart det finns anledning att anta att ett brott som lyder under allmänt åtal har begåtts.

Regeringen menade att denna konflikt måste undanröjas för att förhindra att svenska myndigheter tvingas avstå från viktig information som en främmande stat är villig att lämna. Det ansågs således nödvändigt att Sverige vidtog ovan nämnda lagstiftningsåtgärder för att därigenom kunna uppfylla de villkor som det internationella samarbetet ställer för att Sverige över huvud taget ska få tillgång till information som ökar möjligheterna att komma till rätta med allvarlig brottslighet.

6.5.2. Lagen (2000:344) om Schengens informationssystem

Enligt lagen om Schengens informationssystem ska Rikspolisstyrelsen föra ett automatiserat register som utgör den svenska nationella enheten i Schengens informationssystem (SIS) och är anslutet till det centrala informationssystemet inom SIS. Registret ska vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar till svensk polis för att främja samarbete som avser polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd.

Enligt lagen får registret endast användas för vissa angivna ändamål. Den svenska polisen har genom SIS tillgång till uppgifter som har förts in i registret av andra stater.

I 10 § nämnda lag finns en bestämmelse som innebär att en svensk myndighet inte får utnyttja en uppgift i SIS för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften också för andra ändamål som anges i lagen. Bestämmelsen innebär alltså att de övriga Schengenstaterna i viss mån förfogar över den svenska polisens rätt att utnyttja uppgifter som den har tillgång till i SIS.

6.5.3. Lagen (2000:1219) om internationellt tullsamarbete

År 2001 trädde en ny lag om internationellt tullsamarbete i kraft. Den är tillämplig på sådant samarbete som följer av en internationell överenskommelse med en annan stat eller en mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Med stöd av såväl flera bilaterala tullsamarbetsavtal och internationella konventioner som EU-förordningar, deltar Sverige i ett omfattande internationellt samarbete av det slag som avses i lagen. I dessa avtal finns bestämmelser om såväl inskränkning i förfoganderätten över som sekretess för uppgifter som lämnas mellan avtalsstaterna. Bestämmelserna innebär att samarbetande stater kan ställa upp villkor för hur uppgifter som lämnas ut får användas av den stat som tar emot dem.

Med hänvisning till den dåvarande lagen om internationellt samarbete på brottmålsområdet ansåg regeringen att det i en ny lag om tullsamarbete måste införas en bestämmelse som möjliggör för Sverige att ta emot uppgifter från andra stater på de villkor som ställs upp vid utlämnandet. Därför framgår det av 4 kap. 2 § lagen om internationellt tullsamarbete att om en behörig svensk myndighet vid tillämpning av lagen har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse som omfattas av lagen och som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska den svenska myndigheten följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning.

6.6. Övrig gällande rätt inom området

6.6.1. Tystnadsplikt i registerförfattningar

Några registerförfattningar innehåller bestämmelser om tystnadsplikt för den som får del av uppgifter ur registren. Sådana bestämmelser finns i 19 § lagen om belastningsregister och 14 § lagen om misstankeregister.

Bestämmelserna är utformade på samma sätt och innebär att den som med stöd av lagen har fått del av uppgifter om annans personliga förhållanden inte obehörigen får röja dessa uppgifter.

Den som bryter mot en sådan tystnadsplikt kan straffas enligt 20 kap. 3 § brottsbalken.

Regleringen ska ses mot bakgrund av att den som bedriver viss verksamhet, bl.a. den som beslutar om anställning av personer inom psykiatrisk vård, vård av utvecklingsstörda eller vård av barn och ungdom, kan ha rätt att få utdrag ur registren i fråga även om verksamheten bedrivs i privat regi. Registerkontroll är numera obligatorisk inom vissa sektorer, se exempelvis lagen (2000:783) om registerkontroll av personal inom förskoleverksamhet, skola och barnomsorg.

I det allmännas verksamhet tillämpas, som tidigare nämnts, i stället offentlighets- och sekretesslagen.

6.6.2. Regler om informationssäkerhet

I 9 § säkerhetsskyddslagen (1996:627) finns vissa regler om informationssäkerhet. Dessa syftar till att skydda sekretessbelagda handlingar som rör rikets säkerhet mot att dessa röjs, ändras eller förstörs (6 och 7 §§). I 12 § säkerhetsskyddsförordningen (1996:633) finns ytterligare föreskrifter med inriktning på skyddet för register och system för automatisk databehandling som innehåller sekretessbelagda uppgifter av nyss nämnt slag. Vidare föreskrivs att myndigheter och andra som omfattas av reglerna i förordningen ska förvissa sig om att mottagaren har fullgod informationssäkerhet innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll.

Regelverket om arkivering räknas också som bestämmelser om informationssäkerhet (prop. 1997/98:44 s. 92). Som exempel kan nämnas reglerna i 3, 5 och 6 §§arkivlagen (1990:782) om hur arkivhandlingar och arkiv ska hanteras. Vidare bör nämnas att regeln i 18 kap. 8 § offentlighets- och sekretesslagen om sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på byggnader eller andra anläggningar, lokaler eller inventarier har ansetts gälla för uppgifter om en tingsrätts datorer och tillhörande utrustning (RÅ 2004:97).

VÅRA ÖVERVÄGANDEN

7. Övergripande frågeställningar

7.1. Utgångspunkter för vårt arbete med dataskyddsrambeslutet

I vårt kommittédirektiv Genomförande av dataskyddsrambeslutet (dir. 2010:17) den 25 februari 2010 har regeringen framhållit att de frågeställningar som är i behov av närmare analys är

  • avgränsningen av rambeslutets tillämpningsområde,
  • behandlingen av känsliga personuppgifter, och
  • användningsbegränsningar.

Vi har vid en genomgång av regeringens proposition 2008/09:16,

Godkännande av Dataskyddsrambeslutet, funnit att det, förutom nämnda områden, även finns ett antal andra frågor som regeringen där anför bör belysas. Sammantaget finns på tjugotvå ställen i regeringens proposition – s. 30, 32, 33, 34, 35, 36, 38, 39, 40, 41, 42, 43, 44, 47, 49, 55, 56 och 57 – angivet olika områden som bör utredas ytterligare.

Vi har i vårt arbete utgått från samtliga de frågeställningar som regeringen har lyft fram i propositionen. Dessa frågeställningar har därmed utgjort utgångspunkten för betänkandets utformning.

De aktuella frågeställningarna finns redovisade i vart och ett av betänkandets kapitel 8–15.

7.2. Lag, förordning eller myndighetsföreskrifter

Vår bedömning: Bestämmelserna i artiklarna 5, 7, 10, 15, 21 och

22 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) föranleder inte någon ändring i lag eller förordning.

I proposition 2008/09:16, Godkännande av dataskyddsrambeslutet, har det inte pekats på behov av eller föreslagits några lagstiftningsåtgärder vad gäller dataskyddsrambeslutets artiklar 5 (fastställande av tidsfrister för radering och kontroll), 7 (datoriserade beslut), 10 (registrering och dokumentation), 15 (information på begäran av den behöriga myndigheten), 21 (sekretess i samband med behandlingen av uppgifter) och 22 (säkerhet i samband med behandlingen av uppgifter).

Vi ansluter oss till denna bedömning. Nämnda artiklar föranleder inte någon ändring i lag eller förordning.

En ytterligare frågeställning är om en reglering som berör personuppgiftsbehandling bör ha lagform för att den enskildes personliga integritet därmed ska kunna ha ett tillfredställande skydd.

Gällande svensk rätt inom området för nu aktuella myndigheters brottsbekämpande verksamhet m.m. har både lag- och förordningsform. För flertalet av de registerförfattningar som i nuläget är förordningar finns dock i olika betänkanden förslag om ändringar till lagform (se vidare kap. 4).

Regeringen har i denna del i prop. 2008/09:16 s. 30 framhållit följande.

Även om det i det fortsatta lagstiftningsarbetet med att genomföra rambeslutet – beroende på vilka förändringar som har hunnit ske – kan vara lämpligt att överväga om viss reglering av personuppgiftsbehandling som finns i förordning bör ges i lagform kan det dock inte hävdas att Sverige på den grunden inte uppfyller förpliktelserna i rambeslutet, så länge författningarna i övrigt uppfyller kraven. Att vissa författningar inte har lagform spelar alltså ingen roll i det avseendet.

En utgångspunkt i svensk rätt är att det i 2 kap. 6 § andra stycket regeringsformen stadgas att var och en är ”…gentemot det allmänna skyddad mot betydande intrång i den personliga

integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden”.

I vårt arbete har vi som utgångspunkt haft att grundläggande frågor bör regleras i lag, medan detaljfrågor lämpligen bör regleras i förordning.

Frågor om regleringen av personuppgifter har behandlats av konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll ska regleras särskilt i lag (se bet 1990/91:KU11 s. 11 och 1997/98:KU8 s. 48). Denna uppfattning har även regeringen givit uttryck för (se bl.a. prop. 1990/91:60 s. 58).

Enligt vår mening är den automatiserade behandling av personuppgifter som förekommer inom den brottsbekämpande verksamheten m.m. hos de i betänkandet aktuella myndigheterna (se kap. 4) av sådan karaktär och omfattning att de grundläggande principerna för behandling givetvis bör slås fast i lag.

Mot bakgrund av det föreliggande lagstiftningsarbetet (se kap. 4) vad avser de i betänkandet aktuella myndigheterna och med beaktande av regeringens uttalande i prop. 2008/09:16 ovan, finner vi emellertid inte skäl i detta sammanhang att föreslå någon ändring av utformningen av registerförfattningarna i det avseendet att en författning ska vara lag i stället för förordning.

Vi har därför i våra förslag nedan (se kap. 8–15) utgått från gällande rätt inom området och – där exempelvis en registerförfattning utgör en förordning – föreslagit tillägg eller justeringar i gällande författning.

8. Dataskyddsrambeslutets tillämpningsområde m.m.

8.1. Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) hänvisas till propositionen Godkännande av dataskyddsrambeslutet (prop. 2008/09:16) och att det däri anges ett par områden där det finns skäl att närmare analysera behovet av lagändringar. Ett av dessa områden är avgränsningen av dataskyddsrambeslutets tillämpningsområde. Nedan följer en genomgång av dataskyddsrambeslutets syfte, allmänt om dess tillämpningsområde och undantagen härifrån.

8.2. Allmänt om dataskyddsrambeslutets syfte och tillämpningsområde

Artikel 1 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) omfattar bestämmelser om dataskyddsrambeslutets syfte och innehåll. Innehållet i artikeln är följande.

1. Syftet med detta rambeslut är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, särskilt när det gäller deras rätt till privatliv, med avseende på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete enligt avdelning VI i fördraget om Europeiska unionen och samtidigt garantera en allmän säkerhet på hög nivå.

2. I enlighet med detta rambeslut ska medlemsstaterna skydda fysiska personers grundläggande fri- och rättigheter, och särskilt deras rätt till privatliv, när personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

a) överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna,

b) överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c) överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättandet av Europeiska gemenskapen.

3. Detta rambeslut gäller för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

4. Detta rambeslut påverkar inte viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

5. Detta rambeslut hindrar inte medlemsstaterna från att föreskriva strängare säkerhetsåtgärder för skydd av personuppgifter som samlas in eller behandlas på nationell nivå än de som fastställs i detta rambeslut.

8.2.1. Syftet med dataskyddsrambeslutet

Syftet med dataskyddsrambeslutet är således enligt artikel 1 punkten 1 ovan att säkerställa en hög skyddsnivå för fysiska personer när det gäller behandling av personuppgifter. Denna punkt kan närmast ses som en programförklaring (jfr prop. 2008/09:16 s. 30).

Vi anser att det i denna del inte föreligger skäl att föreslå någon ändring eller något tillägg i lag eller förordning.

8.2.2. Skydd enbart för fysiska personer?

Av artikel 1 punkten 2 framgår att dataskyddsrambeslutet ska skydda fysiska personers grundläggande fri- och rättigheter m.m. Formellt sett faller således överföring av uppgifter om juridiska personer utanför rambeslutet.

I svensk lagstiftning finns dock i viss utsträckning exempel på motsvarande skydd även för juridiska personer, t.ex. 19 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 1 kap. 3 § polisdatalagen (2010:361).

I detta sammanhang ska även framhållas att artikel 1 punkten 5 i dataskyddsrambeslutet möjliggör för medlemsstaterna att ha ett starkare nationellt skydd än vad som framgår av dataskyddsrambeslutet (jfr även skäl 8 i dataskyddsrambeslutets inledande delar).

Vi anser mot bakgrund härav att det inte finns skäl att föreslå ändring eller tillägg i lag eller förordning i denna del.

8.2.3. Enbart personuppgifter som förts över eller har gjorts tillgängliga?

På sätt som anges i artikel 1 punkten 2. a) kan, formellt sett, tillämpningsområdet anses omfatta endast uppgifter som överförs eller görs tillgängliga, eller har överförts eller gjorts tillgängliga, mellan medlemsstater.

Detta utgör således strikt sett ett mycket snävt tillämpningsområde.

Av Justitiedepartementets promemoria Ds 2008:30; Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 154 framgår dock i detta sammanhang följande.

Under förhandlingsarbetet har ett flertal stater, bland dem Sverige, motsatt sig att rambeslutet ska tillämpas på all nationell lagstiftning som rör personuppgiftsbehandling inom rambeslutets tillämpningsområde. Huvudskälen för detta var dels att rambeslutet i så fall skulle gå utöver Europeiska unionens rätt att besluta i mellanstatliga frågor, dels att det skulle kunna leda till kompromisser som för enskilda stater skulle innebära ett svagare integritetsskydd för den enskilde.

Under förhandlingarna har diskuterats om rambeslutet också bör omfatta alla uppgifter som kan komma att överföras eller göras tillgängliga mellan medlemsstater eller mellan medlemsstater och tredje land eller internationella organ. Den politiska överenskommelse som träffats om innehållet ställer inte krav på detta. Däremot är det en klart uttalad målsättning med rambeslutet att dataskyddet vid nationell behandling ska hålla samma standard som krävs enligt detta, i syfte att underlätta informationsutbytet inom Europeiska unionen (skäl 6 a).

Motsvarande inställning framgår i prop. 2008/09:16 s. 31.

Vi instämmer i bedömningen i nämnda förarbeten. Dataskyddsrambeslutet kan således inte frånkännas betydelse för den nationella lagstiftningen och tillämpningen i övrigt. Utgångs-

punkten bör därför vara att svensk lagstiftning anpassas till rambeslutet där detta är möjligt och lämpligt.

8.2.4. Behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

I artikel 1 punkten 2. b) anges att dataskyddsrambeslutet är tillämpligt på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete enligt avdelning VI1 i fördraget om Europeiska unionen, dock endast när personuppgifter samlas in, bearbetas eller behandlas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Polisiärt eller rättsligt samarbete i annat syfte än det ovan nämnda faller således utanför dataskyddsrambeslutets tillämpningsområde.

Uppgifter i exempelvis passregistret omfattas t.ex. inte av tillämpningsområdet, eftersom uppgifterna samlats in och behandlats för annat ändamål.

Utanför tillämpningsområdet faller också rättslig hjälp i civilmål, liksom även utbyte av information som rör offer för olyckshändelser (jfr prop. 2008/09:16 s. 31 och Ds 2008:30 s. 151).

Vi finner inte skäl att föreslå någon ändring i lag eller förordning i denna del.

8.2.5. Personuppgifter som gjorts tillgängliga av eller för myndighet eller informationssystem som inrättats enligt EU-fördrag

Dataskyddsrambeslutet omfattar enligt artikel 1.2. a)–c) behandling av personuppgifter som

a) överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna,

b) överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som

1 Bestämmelserna i avdelning VI i det i artikeln nämnda EU-fördraget om polissamarbete och straffrättsligt samarbete har – genom Lissabonfördraget av den 13 december 2007 om ändring av fördraget om Europeiska unionen och fördraget om upprättandet av Europeiska gemenskapen – ersatts med bestämmelserna i kapitlen 1, 4 och 5 i avdelning IV (omnumrerad V) i tredje delen i Fördraget om EU:s funktionssätt (EUF-fördraget).

inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c) överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen.

Under b) och c) ovan anges således att personuppgifter har gjorts tillgängliga av eller för myndighet eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen. Detta kan utgöra information till och från t.ex. Europol, Eurojust eller det EU-gemensamma informationssystemet för visering, VIS, (se vidare kap. 5 ovan).

Överföring m.m. av personuppgifter till och från EUmyndigheter, EU-organ eller EU-gemensamma informationssystem omfattas således av dataskyddsrambeslutets bestämmelser.

Utgångspunkten i vårt arbete med anpassningen av svensk rätt till dataskyddsrambeslutets bestämmelser är dock att personuppgifter överförs m.m. från andra medlemsstater.

I detta sammanhang kan övervägas om det i våra förslag till ny svensk författning (se vidare kap. 12 nedan) krävs ett uttryckligt tydliggörande att den aktuella överföringen m.m. av personuppgifter även ska omfatta myndighet eller informationssystem som har inrättats i enlighet med fördraget om Europeiska unionen.

Då personuppgifter – som lämnas från en EU-myndighet, ett EU-organ eller ett informationssystem inom EU – ursprungligen härstammar från de olika medlemsstaterna, finner vi emellertid att det inte är nödvändigt med ett sådant förtydligande.

Angående vårt ställningstagande i denna del i vår föreslagna nya lag, se vidare kap. 12.5, 12.8 och 12.9 nedan.

8.2.6. Behandling av personuppgifter som utförs helt eller delvis automatiserat och som ingår i eller är avsedda att ingå i register

Dataskyddsrambeslutets tillämpningsområde omfattar enligt artikel 1 punkten 3 dels behandling av personuppgifter som utförs helt eller delvis automatiserat, dels annan behandling av personuppgifter som ingår i eller kommer att ingå i register.

Tillämpningsområdet motsvarar i denna del Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet har i sin tur – genom införandet av personuppgiftslagen – varit utgångspunkten för utformningen av särlagstiftning angående behandling av personuppgifter vad gäller utarbetade förslag till författningar om personuppgiftsbehandling inom Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket och åklagarväsendet samt har samma grundläggande tillämpningsområde som personuppgiftslagen (1998:204). Mot bakgrund härav är således tillämpningsområdet inom svensk lagstiftning såvitt nu är ifråga i grunden detsamma som det som anges i dataskyddsrambeslutet. Dessutom omfattas också sådan verksamhet som anges i artikel 1 punkten 2 ovan. Att dataskyddsrambeslutet är tillämpligt på uppgifter som är avsedda att ingå i ett register innebär att det inte bara är tillämpligt på uppgifter som har överförts elektroniskt, utan även på uppgifter mottagna i handlingar om uppgifterna ska registreras (jfr prop. 2008/09:16 s. 31).

Även särskilda författningar om enskilda register, exempelvis författningarna om belastningsregister, misstankeregister, strafförelägganderegister och ordningsbotsregister, reglerar behandlingen i register och faller därmed automatiskt under dataskyddsrambeslutets tillämpningsområde i de fall registren i fråga har brottsbekämpning, lagföring eller straffverkställighet som ändamål.

Andra register som inte har detta ändamål faller således utanför tillämpningsområdet, exempelvis polisens passregister. Även Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och Tullverket för register som ligger utanför tillämpningsområdet.

Vi finner inte skäl att med anledning av dataskyddsrambeslutets tillämpningsområde föreslå någon ändring i lag eller förordning avseende denna punkt i artikeln.

8.3. Verksamhet som undantas från dataskyddsrambeslutets tillämpningsområde

Vår bedömning: Den absoluta merparten av Säkerhetspolisens

verksamhet omfattar frågor som rör nationell säkerhet.

Endast vad gäller vissa mindre delar av verksamheten kan en annan bedömning göras. Vi finner i detta sammanhang det varken möjligt eller lämpligt att exakt ange vilka delar av Säkerhetspolisens verksamhet som inte skulle komma att omfattas av frågor som rör nationell säkerhet.

Detta medför, enligt vår mening, att Säkerhetspolisens verksamhet i sin helhet bör anses omfattas av begreppet nationell säkerhet i den mening som avses i dataskyddsrambeslutet och – som en följd härav – undantas från dataskyddsrambeslutets tillämpningsområde (jfr avsnitt 12.3.5 nedan).

Annan verksamhet än Säkerhetspolisens ska inte, med beaktande av artikel 1 punkten 5 i dataskyddsrambeslutet, undantas från tillämpningsområdet.

8.3.1. Frågor rörande nationell säkerhet

Artikel 1 punkten 4 i dataskyddsrambeslutet har följande lydelse.

Detta rambeslut påverkar inte viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Den engelska versionen har i sin tur följande lydelse.

This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.

Det nämnda undantaget omfattar således verksamhet som avser frågor rörande nationell säkerhet.

Skäl föreligger därmed att dels undersöka vad som menas med nationell säkerhet i detta sammanhang, dels utreda hos vilka myndigheter sådan verksamhet kan förekomma.

Definition av begreppet

När begreppet nationell säkerhet ska definieras i detta sammanhang är en inledande frågeställning om detta begrepp är detsamma eller om det skiljer sig från det i svensk rätt förekommande begreppet rikets säkerhet.

I personuppgiftslagen respektive dataskyddsdirektivet, förekommer begreppen rikets respektive statens säkerhet.

Enligt 8 a § personuppgiftslagen får regeringen meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till bl.a. a) rikets säkerhet.

Regeringen är således bemyndigad att, med hänsyn till vissa angivna intressen – däribland rikets säkerhet – meddela föreskrifter om undantag från en rad bestämmelser i personuppgiftslagen.

Paragrafen är avsedd att ha samma innebörd som artikel 13.1 i dataskyddsdirektivet, av vilken framgår bl.a. följande.

Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till a) statens säkerhet.

I den engelska versionen av direktivet har motsvarande begrepp lydelsen ”national security”.

Begreppet ”statens säkerhet” i direktivet har bytts ut mot ”rikets säkerhet” i personuppgiftslagen utan att någon saklig skillnad är avsedd (Öman/Lindblom: Personuppgiftslagen, en kommentar, 3 uppl., s. 155).

Av EG-kommissionens förklaring till dataskyddsdirektivet framgår att begreppet är avsett att omfatta skydd av den nationella suveräniteten mot såväl interna som externa hot (jfr SOU 1993:10,

En ny datalag, bil. s. 184).

Det i dataskyddsrambeslutet aktuella begreppet nationell säkerhet (national security) är, enligt vår mening, inte avsett att utgöra någon saklig skillnad jämfört med begreppen statens respektive rikets säkerhet (national security) i dataskyddsdirektivet respektive personuppgiftslagen.

Allmänt om Säkerhetspolisens verksamhet

Av prop. 2008/09:16 s. 32 framgår att, så som undantaget är utformat, Säkerhetspolisens verksamhet i allt väsentligt faller utanför dataskyddsrambeslutets tillämpningsområde men att i det kommande lagstiftningsarbetet måste tydliggöras för vilka delar av Säkerhetspolisens personuppgiftsbehandling som detta är fallet.

Skäl föreligger därför att inledningsvis närmare undersöka vilken typ av verksamhet som Säkerhetspolisen bedriver.

Säkerhetspolisen har enligt 2 § förordningen (2002:1050) med instruktion för Säkerhetspolisen till uppgift att inom Rikspolisstyrelsen leda och bedriva polisverksamhet för att förebygga och avslöja brott mot rikets säkerhet (jfr förordningen med instruktion för Rikspolisstyrelsen 4, 6 och 14 §§).

Säkerhetspolisens verksamhet delas in i fem huvudområden.

  • Kontraspionageverksamheten – som har till uppgift att förebygga och avslöja spioneri, olaglig underrättelseverksamhet och andra brott mot rikets säkerhet.
  • Kontraterrorismverksamheten – som har till uppgift att förebygga och avslöja terrorism som riktas mot Sverige eller utländska intressen här i landet, terroristhandlingar i andra länder samt förekomsten av internationella terroristnätverks förgreningar i Sverige.
  • Personskyddsverksamheten – som utgör bevaknings- och säkerhetsarbete av bl.a. den centrala statsledningen.
  • Den författningsskyddande verksamheten – som syftar till att förebygga och avslöja brott mot rikets inre säkerhet, dvs. olaglig verksamhet som syftar till att med våld, hot eller tvång ändra vårt statsskick, förmå beslutande politiska organ eller myndigheter att fatta beslut i en viss riktning eller att hindra enskilda medborgare från att utöva sina grundlagsfästa fri- och rättigheter.
  • Säkerhetsskyddsverksamheten – som arbetar för att höja säkerhetsnivån i samhället och där Säkerhetspolisen ger råd till och kontrollerar myndigheters och företags verksamhet i syfte att skydda mot spioneri, sabotage och andra brott som kan röra rikets säkerhet, att skydda hanteringen av uppgifter som har betydelse för rikets säkerhet och att förebygga terrorism. I arbetet ingår att genomföra registerkontroll av personer efter

framställan från berörda myndigheter eller i vissa fall annan stat eller mellanfolklig organisation.

Frågan om viktiga nationella säkerhetsintressen

I den aktuella artikeln anges ordagrant undantag från tillämpningsområdet för ”…viktiga nationella säkerhetsintressen…”. En bedömning får göras hur denna formulering ska tolkas i sammanhanget. Ledning kan här fås från regeringens uttalande i prop. 2008/09:16 s. 6263.

Enligt Säkerhetspolisens mening ger formuleringen av undantaget för viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet upphov till frågor då den kan tolkas som att det finns områden som berör nationell säkerhet som faller inom tillämpningsområdet. Säkerhetspolisen har också pekat på att viss del av myndighetens verksamhet inte kan sägas röra nationell säkerhet och därmed kan komma att omfattas av regelverket i rambeslutet.

Såväl Säkerhetspolisen som Skatteverket har understrukit vikten av att det i det kommande lagstiftningsarbetet klargörs i vilka avseenden respektive myndighet omfattas av rambeslutet. När det gäller undantaget för viktiga nationella säkerhetsintressen kan regeringen dela Säkerhetspolisens synpunkt att rambeslutet ger utrymme för tolkning när det gäller vad som ska anses vara ett viktigt nationellt intresse och vad som inte når upp till den graden.

Enligt regeringens mening torde – med hänsyn till hur arbetet är fördelat mellan Säkerhetspolisen och den öppna polisen i Sverige - den slutsatsen dock kunna dras att all verksamhet som Säkerhetspolisen bedriver som rör nationell säkerhet faller utanför rambeslutets tillämpningsområde.

Vi gör i denna del motsvarande bedömning som i nämnda förarbeten, dvs. att all Säkerhetspolisens verksamhet som avser nationell säkerhet är undantagen från dataskyddsrambeslutets tillämpningsområde.

I den del Säkerhetspolisens verksamhet inte rör nationell säkerhet – och då övriga förutsättningar enligt avsnitt 8.2 är uppfyllda – omfattas verksamheten av dataskyddsrambeslutets tillämpningsområde.

Verksamhet som rör rikets/nationell säkerhet vid Säkerhetspolisen

I och med att övervägande delar av Säkerhetspolisens verksamhet omfattar frågor som tar direkt sikte på rikets/nationell säkerhet faller således stora delar av den verksamhet som Säkerhetspolisen bedriver utanför dataskyddsrambeslutets tillämpningsområde.

Frågan vad som utgör ett hot mot rikets säkerhet är alltså av avgörande betydelse.

Det finns ingen legaldefinition av vad som utgör ett brott mot rikets säkerhet. I kap. 18 och 19 brottsbalken finns de straffbestämmelser som har som primärt syfte att utgöra ett skydd för rikes säkerhet. Detta kan konkret handla om brott riktade direkt mot statsskicket eller den fria åsiktsbildningen. Exempel på detta är spioneri, högförräderi och brott mot medborgerlig frihet.

På en mer konkret nivå kan i sammanhanget ytterligare ledning fås från Rikspolisstyrelsens föreskrift angående polismyndigheternas skyldighet att underrätta Säkerhetspolisen om vissa brottsmisstankar m.m. (RPSFS 1999:10 FAP 403-3). Skyldigheten att underrätta Säkerhetspolisen gäller brott i kap. 18 och 19 i brottsbalken. Härutöver anges i föreskriften att Säkerhetspolisen, efter särskilt beslut av myndigheten, alltid ska handha brott mot en rad bestämmelser i 13 kap. brottsbalken. Exempel härpå är brotten sabotage, mordbrand och företagsspioneri, allt under förutsättning att dessa brott har framkallat fara för landets säkerhet, begåtts i politiskt syfte eller om det annars finns särskilda skäl för detta.

I Justitiedepartementets promemoria DS 2008:38; Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag, s. 33, har generaldirektören för Säkerhetspolisen Anders Danielsson i avsnittet Säkerhetspolisens roll och personsäkerhetsarbetet, framhållit att Rikspolisstyrelsens föreskrift ger vid handen att Säkerhetspolisens ansvarsområde inte begränsas av specifika brottsrubriceringar och att det är Säkerhetspolisen som ytterst har ansvar för att avgöra om ett brott utgör ett hot mot rikets säkerhet.

I nämnda promemoria, Ds 2008:38 s. 34 har vidare, vid tolkningen av begreppet, hänvisats till lagförarbetena i propositionen 2005/06:177 s.15; Åtgärder att förhindra vissa särskilt allvarliga brott, varav framgår följande.

Inom författningsskyddsverksamheten bedrivs arbete med att avslöja brott mot rikets inre säkerhet, dvs. olaglig verksamhet som syftar till att med våld, hot eller tvång ändra vårt statsskick, förmå beslutande

politiska organ eller myndigheter att fatta ett beslut i viss riktning eller att hindra den enskilda medborgaren från att utöva sina grundlagsfästa fri- och rättigheter.

I promemorian Ds 2008:38 s. 34 har härefter anförts följande.

Ett brott mot rikets säkerhet är således olaglig verksamhet som antingen syftar till att omkullkasta det demokratiska statsskicket eller till att påverka den politiska processen på ett otillåtet sätt. För att sådan verksamhet ska anses utgöra ett hot mot rikets säkerhet bör aktören ha kapacitet och avsikt att hota en samhällsfunktion. Aktörer som endast begår denna typ av brott mot enstaka individer anses i allmänhet inte utgöra ett hot mot rikets säkerhet.

I samma promemoria, s. 34, har vidare framhållits att, vid bedömningen, ledning även kan fås genom vad som skrivs i regeringens regleringsbrev till Säkerhetspolisen. I denna del anförs följande.

Utifrån Säkerhetspolisens övergripande uppdrag och nuvarande regleringsbrev har det alltså ingen betydelse om en aktör utövar otillåten påverkan mot viktiga samhällsfunktioner i ett politiskt, ekonomiskt eller, för den delen, något annat syfte. Det som är avgörande är om aktören utövar otillåten påverkan på det demokratiska statsskicket och har kapacitet att hota en viktig samhällsfunktion.

Enligt prop. 2008/09:16 s. 63

…torde viss verksamhet som Säkerhetspolisen bedriver falla utanför begreppet nationell säkerhet och därför omfattas av rambeslutet. När det gäller samtliga berörda myndigheter får det i det fortsatta lagstiftningsärendet närmare utredas hur tillämpningsområdet för de författningsbestämmelser som föranleds av rambeslutet bör avgränsas.

För närvarande regleras personuppgiftsbehandlingen vid Säkerhetspolisen på i huvudsak samma sätt som för polisen i övrigt.

I 5 kap. 1 § polisdatalagen (2010:361) finns särskilda bestämmelser om Säkerhetspolisens brottsbekämpande verksamhet. Nämnda paragraf har följande lydelse.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Ändamål

1 § Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet, b) terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter i samband med personskydd,

4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5. fullgöra förpliktelser som följer av internationella åtaganden, eller

6. lämna tekniskt biträde till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.

Enligt vår mening får övervägande delar av de ändamål som anges i paragrafen för Säkerhetspolisens personuppgiftsbehandling inrymmas under begreppet nationell säkerhet, trots att begreppet rikets säkerhet uttryckligen anges endast under punkten 1. a). I vissa fall är det dock osäkert om verksamheten kan anses falla in under begreppet nationell säkerhet, framförallt vad gäller det som anges under punkten 6 ovan angående tekniskt biträde.

En central och allmän utgångspunkt vid bedömningen om verksamheten utgör en påverkan av den nationella säkerheten eller inte är huruvida det i en viss situation finns en otillåten påverkan på det demokratiska statsskicket eller en kapacitet att hota en viktig samhällsfunktion.

Enligt vår mening är det endast en mindre del av Säkerhetspolisens verksamhet som inte kan komma att röra nationell säkerhet.

Exempel på verksamhet som inte rör nationell säkerhet är, enligt prop. 2008/09:16 s. 32, t.ex. när Säkerhetspolisen biträder den öppna polisen eller Tullverket med hanteringen av hemliga tvångsmedel i deras verksamhet.

Sådant biträde innebär dock endast att Säkerhetspolisen tillhandahåller vissa tekniska system. Då verksamheten därmed är av rent teknisk karaktär och inte medför något utbyte av personuppgifter med andra stater för Säkerhetspolisens del, berörs nämnda verksamhet således inte av dataskyddsrambeslutets tillämpningsområde.

Personskydd för den centrala statsledningen får räknas som en form av skydd för nationell säkerhet. Vad gäller Säkerhetspolisens

personskyddsverksamhet omfattande andra kategorier av personer är detta mer tveksamt och skulle i vissa fall kunna anses utgöra verksamhet som inte rör nationell säkerhet.

Vidare torde vissa delar av den verksamhet inom myndigheten som rör t.ex. arbetet mot grov organiserad brottslighet kunna komma att omfattas av rambeslutets tillämpningsområde. Då vi genom tilläggsdirektiv (dir. 2010:112) ska utreda utbyte av personuppgifter för att motverka grov organiserad brottslighet kan det finnas anledning att på nytt se över denna fråga i det kommande arbetet.

Med beaktande av det ovan anförda anser vi sammanfattningsvis att den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet.

Att dra en exakt gräns för vilka delar av Säkerhetspolisens verksamhet som inte ska anses utgöra nationell säkerhet i dataskyddsbeslutets mening finner vi i detta sammanhang varken möjligt eller lämpligt.

Enligt vår bedömning är den enda rimliga slutsatsen att Säkerhetspolisens verksamhet i sin helhet ska anses omfattas av begreppet nationell säkerhet i den mening som avses i dataskyddsrambeslutet och därmed – som en följd härav – ska anses falla utanför dataskyddsrambeslutets tillämpningsområde (jfr avsnitt 12.3.5 nedan).

Verksamhet som rör nationell säkerhet vid övriga myndigheter

En del polisiära arbetsmetoder som innefattar insamling, bearbetning och hantering av information i register och databaser har påpekats kunna ha ett behov av att undantas från det aktuella regelverket.

Ifrågavarande arbetsmetoder är bl.a. insamling av källinformation och källor, information insamlad av och om informatörer samt uppgifter insamlade av och om s.k. undercover-operatörer. Sådan information utbyts mellan brottsbekämpande myndigheter inom EU.

Vidare finns det vissa polisiära uppgifter som innebär informationshantering i register och databaser där det kan finnas behov av undantag. Exempel på detta är Finanspolisens uppgift inom området penningtvätt och finansiering av terrorism. Dessa

uppgifter innebär insamling, bearbetning och utbyte av information inom EU.

Den verksamhet och de arbetsmetoder som anförts ovan bedrivs i dag i stor omfattning genom polisens kriminalunderrättelsetjänst (KUT), spaningsverksamhet, det internationella samarbetet eller genom den s.k. aktionsgruppsverksamheten (vanligtvis efter beslut av det myndighetsgemensamma Operativa Rådet).

Ett annat synsätt på problematiken kring begreppet nationell säkerhet är att utgå från att viss brottslig verksamhet i sig är så samhällshotande att det finns skäl att i dessa fall tala om brott mot nationell/rikets säkerhet, oavsett vilken myndighet som handhar utredningen av frågan. Det kan här t.ex. vara fråga om hot och våld mot rättsväsendets företrädare i avsikt att påverka utgången i ett visst mål och i förlängningen vår demokratiska rättsordning.

I nuläget har det t.ex. blivit allt mer förekommande att Säkerhetspolisen och den öppna polisen utreder brott tillsammans. Det kan därför framföras argument för att även andra myndigheter än Säkerhetspolisen ska kunna undantas från dataskyddsrambeslutets tillämpningsområde.

Eftersom en medlemsstat – med beaktande av artikel 1 punkten 5 i dataskyddsrambeslutet och skäl 8 i rambeslutets inledande delar – har möjlighet att ha ett starkare nationellt skydd än vad som framgår av dataskyddsrambeslutet, finner vi emellertid, även med beaktande av vad som anförts ovan, inte skäl att föreslå att andra myndigheter än Säkerhetspolisen ska omfattas av undantaget i artikel 1 punkten 4 dataskyddsrambeslutet.

8.3.2. Övriga undantag

Uppgifter som en medlemsstat har fått från en annan medlemsstat, men som har sitt ursprung i den första staten, omfattas inte av dataskyddsrambeslutets tillämpningsområde (jfr skäl 9 i dataskyddsrambeslutets inledande delar).

Undantaget ska ses mot bakgrund av att överföring av uppgifter formellt inte påverkar den nationella lagstiftningen.

Personuppgiftsbehandling av administrativ natur, t.ex. avseende den egna personalen, faller också utanför dataskyddsrambeslutets tillämpningsområde.

9. Definitioner

9.1. Definitioner i dataskyddsrambeslutet

Utredningens bedömning: Artikel 2 i dataskyddsrambeslutet –

definitioner – föranleder inte någon ändring i lag eller förordning.

Vid en genomgång av Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) föreligger skäl att närmare undersöka om definitionerna i svensk rätt överensstämmer med definitionerna i dataskyddsrambeslutet (jfr propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09:16 s. 33).

Nedan följer därför en jämförelse mellan definitionerna dels i dataskyddsrambeslutet, dels i Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), samt dels i personuppgiftslagen (1998:204).

Dataskyddsrambeslutet

I artikel 2 i dataskyddsrambeslutet definieras begreppen

a) personuppgifter,

b) behandling av personuppgifter och behandling,

c) blockering,

d) register med personuppgifter och register,

e) registerförare,

f) mottagare,

g) den registrerades samtycke,

h) behöriga myndigheter,

i) registeransvarig,

j) markering och

k) avidentifiering.

9.2. Definitioner i dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet

I artikel 2 i dataskyddsdirektivet finns i flertalet fall motsvarande definitioner som i dataskyddsrambeslutet. Härvid definieras begreppen

a) personuppgifter

b) behandling av personuppgifter (behandling)

c) register med personuppgifter (register)

d) registeransvarig

e) registerförare

f) tredje man

g) mottagare, och

h) den registrerades samtycke.

Personuppgiftslagen

I 3 § personuppgiftslagen (1998:204), som har sitt ursprung i dataskyddsdirektivet, finns i sin tur definitioner av i huvudsak motsvarande begrepp som ovan enligt följande; behandling (av personuppgifter), blockering (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud,

den registrerade, samtycke, tillsynsmyndigheten, tredje land, och tredje man.

9.3. Övergripande jämförelse mellan definitionerna

Personuppgiftslagens definitioner av begreppen behandling (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, den registrerade och tredje man är avsedda att ha samma innebörd som motsvarande uttryck har enligt artikel 2 i dataskyddsdirektivet (jfr Öman/Lindblom, Personuppgiftslagen, en kommentar, 3 uppl., s. 69).

Vad avser begreppet tredje man har i personuppgiftslagen gjorts en precisering att det inte omfattar ett av den personuppgiftsansvarige utsett personuppgiftsombud. I dataskyddsrambeslutet finns inte någon specifik definition av begreppet tredje man.

Begreppet register förekommer inte i personuppgiftslagen. Vad avser begreppen ovan föreligger sammantaget enligt vår mening inte skäl att föreslå någon komplettering av svensk rätt med anledning av definitionerna i dataskyddsrambeslutet.

9.4. Närmare jämförelse av vissa begrepp

I vissa fall föreligger utöver vad som anförts ovan skäl att närmare jämföra vissa begrepp som finns definierade i dataskyddsrambeslutet med de begrepp som finns definierade i dataskyddsdirektivet och personuppgiftslagen, och i förekommande fall föreslå en komplettering av svensk rätt där så bedöms nödvändigt (jfr prop. 2008/09:16 s. 33).

9.4.1. Blockering/Spärrande

I dataskyddsrambeslutet definieras begreppet blockering enligt följande.

Blockering: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Dataskyddsrambeslutets engelska version anger följande.

‘blocking’ means the marking of stored personal data with the aim of limiting their processing in future.

Någon definition av detta begrepp finns inte i dataskyddsdirektivet.

Däremot finns en definition av begreppet blockering i personuppgiftslagen enligt följande.

En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

Definitionen har utformats mot bakgrund av vad EG-kommissionen anfört i sina förklaringar till direktivförslagen (Öman/Lindblom, Personuppgiftslagen, en kommentar, 3 uppl., s. 71 och SOU 1993:10, En ny datalag, bil. s. 183).

Av personuppgiftslagens definition framgår således att blockerade personuppgifter är spärrade och anledningen därtill och att de får användas internt hos den personuppgiftsansvarige och hos ett anlitat personuppgiftsbiträde, under förutsättning att det är där uppgifterna förekommer. Däremot får uppgifterna inte lämnas ut till tredje man, med undantag vad gäller utlämnande av allmänna handlingar enligt 2 kap. tryckfrihetsförordningen (jfr Öman/Lindblom s. 71).

I prop. 2008/09:16 s. 33 har regeringen uppmärksammat skillnaden i definitionerna och framhållit att en närmare analys bör göras av om personuppgiftslagens definition av begreppet behöver anpassas till definitionen i rambeslutet.

Angående denna definition har vi funnit skäl att göra en jämförelse med hur liknande begrepp har definierats i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet).

I artikel 24.1 d) i Prümrådsbeslutet finns en snarlik definition av begreppet ovan. Här används dock i stället begreppet spärrande. Artikeln har följande utformning.

Spärrande: märkning av registrerade personuppgifter i syfte att begränsa den framtida behandlingen av dem.

Denna definition har nu också förts in i 6 § förordningen (2010:705) om internationellt polisiärt samarbete som anger följande.

I stället för att gallra personuppgifter enligt 5 § ska uppgifterna spärras, om det finns skäl att anta att gallring skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade gallring.

Vi bedömer sammantaget att inget hindrar att den nu befintliga definitionen i personuppgiftslagen – som utöver definitionen även innehåller ytterligare information om hanteringen av blockerade/spärrade uppgifter – kan kvarstå. Varken innehållet i dataskyddsrambeslutet eller i Prümrådsbeslutet anser vi utgör tillräckliga skäl för att ändra eller komplettera svensk rätt i denna del.

9.4.2. Mottagare

I dataskyddsrambeslutet definieras begreppet mottagare enligt följande.

Mottagare: Varje organ till vilken uppgifterna utlämnas.

I den engelska versionen av dataskyddsrambeslutet har i sin tur definitionen följande utformning.

‘Recipient’ means any body to which data are disclosed.

I dataskyddsdirektivet definieras mottagare enligt följande.

Mottagare: Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare.

I personuppgiftslagen anges vidare begreppet mottagare enligt följande.

Mottagare: Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Som anförts ovan är begreppet i personuppgiftslagen avsett att ha samma innebörd som begreppet i dataskyddsdirektivet.

Vid en jämförelse framstår dataskyddsrambeslutets definition som snävare än dataskyddsdirektivets och därmed även personuppgiftslagens definitioner.

Då det inte föreligger några regler som hindrar medlemsstaterna att införa strängare regler finns, enligt vår mening, inte skäl att föreslå någon justering eller komplettering av svensk rätt.

9.4.3. Den registrerades samtycke

I dataskyddsrambeslutet definieras begreppet den registrerades samtycke enligt följande.

den registrerades samtycke: varje slag av frivillig, uttrycklig och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.

Motsvarande definition finns i dataskyddsdirektivet.

Personuppgiftslagens definition av begreppet samtycke är också avsedd att ha samma innebörd som definitionen i dataskyddsdirektivet. I lagen har det dock tagits in ett krav på att samtycket ska vara otvetydigt. I de fall där samtycket enligt dataskyddsdirektivet dessutom ska vara uttryckligt anges detta direkt i de aktuella paragraferna. Begreppen otvetydigt och uttryckligt har en EG-gemensam innebörd (jfr Öman/Lindblom s. 69).

Enligt vår bedömning är skillnaderna mellan dessa definitioner inte så betydande att det finns skäl att föreslå en komplettering i personuppgiftslagen eller annan svensk författning.

9.4.4. Övrigt

Dataskyddsrambeslutet innehåller även definitioner av begreppen behörig myndighet (engelsk version: ‘competent authorities’), markering (engelsk version: ‘referencing’) och avidentifiering (engelsk version: ‘to make anonymous’).

Nämnda begrepp återfinns inte definierade i dataskyddsdirektivet eller personuppgiftslagen.

Enligt prop. 2008/09:16 s.33 är dock dessa definitioner inte av den arten att de måste införas i svensk lagstiftning.

Vi gör motsvarande bedömning. Skäl att komplettera personuppgiftslagen eller annan svensk författning i dessa delar föreligger därför inte.

Vad gäller begreppet vidarebehandling, som förekommer i dataskyddsrambeslutets artikel 3.2 samt i skäl 20 och 21 i dataskyddsrambeslutets inledande delar, se vidare avsnitt 12.4 nedan.

10. Ändamålsbestämmelser

10.1. Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) anges att utredningen bl.a. närmare ska analysera behovet av lagändringar vad gäller frågan om behandlingen av känsliga personuppgifter.

På sätt som anges i avsnitt 10.5.1 anser vi att förslagen till kompletterande bestämmelser angående registerförfattningarnas behandling av känsliga uppgifter ska läsas tillsammans med utformningen av registerförfattningarnas ändamålsbestämmelser. Bestämningen av ändamål för behandlingen av personuppgifter anses vara av central betydelse från integritetssynpunkt. Skäl föreligger därför att närmare undersöka hur ändamålsbestämmelserna är utformade i EU-författningar respektive svensk rätt.

10.2. Dataskyddsrambeslutet

I artikel 3 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) anges följande angående bl.a. ändamålen.

Principerna om lagenlighet, proportionalitet och ändamål

1. De behöriga myndigheterna får inom ramen för sina uppgifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.

2. Vidare behandling för ett annat ändamål är tillåten om

a) denna vidare behandling inte är oförenlig med det ändamål för vilket uppgifterna samlades in,

b) de behöriga myndigheterna i enlighet med tillämpliga rättsliga bestämmelser är bemyndigade att behandla sådana uppgifter för ett sådant annat ändamål, och

c) denna behandling är nödvändig och står i proportion till det andra ändamålet.

Dessutom får de överförda personuppgifterna behandlas vidare av den behöriga myndigheten för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, som avidentifiering av uppgifterna.

Personuppgifter får, enligt artikel 3 i dataskyddsrambeslutet, således endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

Som huvudregel får uppgifterna endast behandlas för det ändamål som låg till grund för insamlingen av dem.

Personuppgifter får dock också vidarebehandlas för andra ändamål, om dessa inte är oförenliga med dem för vilka uppgifterna först samlades in, allt under förutsättning att de berörda myndigheterna får behandla uppgifterna för givna ändamål enligt nationell rätt och behandlingen dessutom är nödvändig och står i proportion till de ursprungliga ändamålen.

Angående vidarebehandling och användningsbegränsningar se kap. 12.

Som ett allmänt undantag från huvudregeln om att uppgifter bara får behandlas för det ursprungliga ändamålet finns bestämmelsen i artikel 3 sista stycket i dataskyddsrambeslutet där det anges att uppgifter alltid får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga skyddsåtgärder, såsom avidentifiering av uppgifterna (se vidare avsnitt 12.6 nedan).

Behandlingen av personuppgifter måste alltid vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket uppgifterna samlades in.

I artikel 15 i dataskyddsrambeslutet finns vidare regler som ålägger mottagaren av uppgifter att på begäran av den myndighet som har överfört uppgifterna ge besked om hur uppgifterna behandlas.

Då det i nämnda artikel anges att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och behandlas för det ändamål som låg till grund för insamlingen av dem, är det enligt vår mening av vikt att utreda om det i svensk rätt (personuppgiftslagen respektive de aktuella registerförfattning-

arna) i nuläget finns sådana ändamålsbestämmelser som motsvarar dataskyddsrambeslutets krav.

Av skäl 6 i dataskyddsrambeslutets inledande delar framgår vidare att det får avgöras på nationell nivå vilka ändamål som ska anses vara oförenliga med det ändamål för vilket personuppgifterna ursprungligen insamlades.

Som tidigare anförts (se kap. 7) är dataskyddsrambeslutet tillämpligt endast vad gäller personuppgifter som samlas in, bearbetas eller behandlas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Nedan följer således en genomgång av dataskyddsdirektivet, svensk rätt och förslag till införande av kompletterande ändamålsbestämmelser (se kap. 10.3–10.5).

10.3. Dataskyddsdirektivet

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) innehåller bestämmelser om ändamål med följande innehåll

Ingresspunkt 28) Varje behandling av personuppgifter måste vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs. Ingresspunkt 29) Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämpliga garantier - inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person. Artikel 6

1. Medlemsstaterna skall föreskriva att personuppgifter

a) skall behandlas på ett korrekt och lagligt sätt,

b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt

med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,

c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,

d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.

10.4. Personuppgiftslagens ändamålsbestämmelser

10.4.1. Ändamålsbestämning och finalitetsprincipen

Artikel 3 i dataskyddsrambeslutet motsvaras delvis av bestämmelserna i 9 § personuppgiftslagen (1998:204).

För behandling som omfattas av personuppgiftslagen gäller vissa grundläggande krav. I exempelvis 9 § personuppgiftslagen finns bestämmelser om krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste följa. När det gäller ändamål anges i 9 § första stycket personuppgiftslagen att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). De insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkt d). Denna sistnämnda bestämmelse kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns alltså inte.

Uppgifterna ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Personuppgiftslagens regler om grundläggande krav på behandlingen i dessa delar gäller inom de nu aktuella verksamhetsområdena.

Enligt 9 § andra stycket personuppgiftslagen ska senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål dock inte anses som oförenliga med de ändamål för vilka uppgifterna samlades in.

Med behandling avses enligt 3 § personuppgiftslagen i detta sammanhang varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

10.5. Registerförfattningarnas ändamålsbestämmelser

10.5.1. Allmänt

Registerförfattningar innehåller i regel bestämmelser om ändamål för behandlingar av de uppgifter som omfattas av den särskilda regleringen. I registerförfattningarna finns ofta en hänvisning till 9 § personuppgiftslagen eller en bestämmelse i själva registerförfattningen med samma innehåll. Den ram för tillåtna behandlingar som ges genom en angivelse av ändamål definieras i regel av 9 § första stycket c) och d) personuppgiftslagen i förening med den aktuella registerförfattningen (jfr SOU 2003:99, Ny sekretesslag, s. 236 och prop. 2002/03:135 s. 55).

Finalitetsprincipens innehåll är något oklar och har varit föremål för diskussion.

Det har bl.a. diskuterats i vad mån ändamålsbestämningar i registerförfattningar ska anses vara uttömmande eller inte. Med andra ord om andra med ändamålsbestämningen inte oförenliga ändamål ska anses vara tillåtna eller inte vid sidan av de uttryckliga ändamålen, då det handlar om en behandling av redan insamlade personuppgifter. – Att myndigheten inom ramen för registerförfattningens tillämpningsområde inte får behandla personuppgifter för helt andra ändamål än de i författningen angivna, trots att det om författningen inte funnits skulle ha varit tillåtet enligt 10 § personuppgiftslagen (se avsnitt 2.7.2 ovan), torde stå klart. Det är likaså klart att myndigheten oberoende av ändamålsangivelserna och registerförfattningen i övrigt ska

uppfylla sina skyldigheter att enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen söka efter, sammanställa och lämna ut personuppgifter. Det följer om inte annat av att grundlag tar över författningar av lägre rang. I de särskilda registerförfattningarna anges de tillåtna ändamålen, men av 9 § personuppgiftslagen – som normalt gäller vid behandling som omfattas av en registerförfattning – framgår indirekt (första stycket punkt d) att det inte är otillåtet att personuppgifterna också behandlas för alla ändamål som inte är oförenliga med det för vilket uppgifterna samlades in och (andra stycket) under alla förhållanden för historiska, statistiska och vetenskapliga ändamål. (Sören Öman:

Festskrift till Peter Seipel, 2006 s. 700).

I dessa sammanhang har det uttolkats (bl.a. av Patientdatautredningen 2006:82) att – om det inte framgår av den aktuella registerförfattningen att ändamålsbestämmelsen syftar till att vara uttömmande och personuppgiftslagen gäller utöver den särskilda registerförfattningen – även andra icke angivna ändamål torde vara tillåtna, om dessa andra ändamål är förenliga med de i författningen angivna ändamålen eller om det är fråga om behandling för historiska, statistiska eller vetenskapliga ändamål.

För den brottsbekämpande verksamheten som bedrivs av Kustbevakningen, Skatteverket och åklagarväsendet, finns bestämmelser om personuppgiftsbehandling som innebär att bestämmelsen i 9 § första stycket d) personuppgiftslagen i princip är tillämplig.

I 2 kap. 2 § 3. polisdatalagen (2010:361) regleras bl.a. förhållandet mellan denna lag och personuppgiftslagen varvid framgår att när personuppgifter behandlas enligt polisdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen gäller 9 §, med undantag för första stycket i) och tredje stycket personuppgiftslagen, om grundläggande krav på behandling av personuppgifter.

En motsvarande hänvisning finns för Tullverkets del i 6 § första stycket 3. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, men där hänvisningen till personuppgiftslagens bestämmelser om grundläggande krav på behandling i 9 § första stycket är begränsad till punkterna a), b) och e)–h).

Vad särskilt gäller för Tullverkets möjlighet till vidarebehandling för historiska, vetenskapliga och statistiska ändamål, se avsnitt 12.6.

10.5.2. Primära och sekundära ändamål

Ett av de grundläggande kraven i personuppgiftslagen är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I registerförfattningarna förekommer ofta även en indelning i primära och sekundära ändamål för behandling av personuppgifter.

Primära ändamål är sådana som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvarig myndighet. Sekundära ändamål är i stället sådana som kan hänföras till andra myndigheters eller enskildas verksamhet; t.ex. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan. Eftersom personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket det samlades in, fyller de sekundära ändamålen sin plats i och med att de anger för vilka andra ändamål än de primära, som uppgifter får behandlas genom, lagring och annan behandling inom den aktuella myndighetens verksamhet (jfr Integritetsskyddskommitténs betänkande, Skyddet för den personliga integriteten – kartläggning och analys, SOU 2007:22 s. 465).

I vissa fall har uppdelningen mellan primära och sekundära ändamål undvikits.

10.5.3. Kriminalvården

Av 3 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården framgår följande.

Kriminalvården får behandla personuppgifter bara om det behövs för att

1. myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,

2. underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

3. upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2-9 pågår.

Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.

10.5.4. Kronofogdemyndigheten

De av Kronofogdemyndighetens verksamhetsgrenar som omfattas av dataskyddsrambeslutets tillämpningsområde är verkställighet av straff i form av böter och förverkanden som ska indrivas. Dessa områden utgör delar av Kronofogdemyndighetens utsöknings- och indrivningsverksamhet.

Bestämmelserna i 2 kap. lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattar Kronofogdemyndighetens utsöknings- och indrivningsdatabas.

I 2 kap. 2 § i nämnda lag stadgas följande.

Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Skatteverkets och Kronofogdemyndighetens verksamhet för

1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,

2. indrivning av statliga fordringar m.m.,

3. avräkning vid återbetalning av skatter och avgifter,

4. ansökan om och tillsyn över näringsförbud,

5. ärenden om ansvar för någon annans skatter och avgifter, och

6. tillsyn, kontroll, uppföljning och planering av verksamheten.

10.5.5. Kustbevakningen

Av 47 §§ förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen framgår följande.

4 §

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet, om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott.

5 §

Personuppgifter får behandlas i den kontroll- och tillsynsverksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten.

6 §

Personuppgifter får behandlas vid Kustbevakningens handläggning av ärenden om vattenföroreningsavgift enligt lagen (1980:424) om åt-

gärder mot förorening från fartyg eller förordningen (1980:789) om åtgärder mot förorening från fartyg, om det är nödvändigt för att

1. utreda frågan om sådan avgift,

2. besluta om att påföra någon sådan avgift, eller

3. besluta om förbud eller förelägganden som avses i 8 kap. lagen om åtgärder mot förorening från fartyg.

7 §

Personuppgifter får utöver vad som anges i 4-6 §§ behandlas av Kustbevakningen om det är nödvändigt för att planera, följa upp och utvärdera verksamhet som anges där. Känsliga personuppgifter och sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får därvid behandlas bara om uppgifterna har behandlats för ändamål som avses i 4-6 §§.

I betänkandet av Utredningen om Kustbevakningens personuppgiftsbehandling (SOU 2006:18Kustbevakningens personuppgiftsbehandling, Integritet – Effektivitet) föreslås att personuppgifter får behandlas för primära ändamål i Kustbevakningens brottsbekämpande verksamhet om det behövs för att

1. förhindra eller upptäcka brottslig verksamhet, eller

2. utreda eller beivra visst brott.

Uppgifter får även behandlas när det behövs för att utreda och besluta i ärenden om vattenföroreningsavgift.

I betänkandet har föreslagits att registerförfattningen ska gälla i stället för personuppgiftslagen (s. 193). Där anges vidare att det inte föreligger skäl att införa sekundära ändamål (s. 204).

10.5.6. Polisen

I 2 kap.78 §§polisdatalagen (2010:361) anges följande.

7 §

Personuppgifter får behandlas om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden.

8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3. sådan verksamhet hos polisen som avser handräckningsuppdrag,

4. annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller

6. en myndighets verksamhet

a) om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

I nämnda proposition (s. 319) har vidare anförts följande.

Som exempel på situationer där [ 7 §] punkten 3 kan bli tillämplig kan nämnas att Sverige i flera internationella överenskommelser har åtagit sig att inom polisen ha en nationell kontaktpunkt som myndigheter i andra länder kan nå dygnet runt, året om. En sådan kontaktpunkt ska bl.a. kunna ta emot och lagra information samt besvara förfrågningar av olika slag. Detta kräver i många fall personuppgiftsbehandling. Ett annat exempel är när polisen i ett ärende om rättslig hjälp vidtar utredningsåtgärder för en utländsk polismyndighets räkning, genom t.ex. verkställighet av tvångsmedel. Det kan också vara fråga om en skyldighet att underrätta en främmande stats konsulat eller beskickning om att någon av statens medborgare har berövats friheten i Sverige.

10.5.7. Skatteverket

Av 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar framgår följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1. bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,

2. förebygga brott som avses i 1.

10.5.8. Allmänna domstolar och allmänna förvaltningsdomstolar

I förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfallsregister (6 §) och annan automatiserad behandling av personuppgifter (7–8 §§).

I förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfallsregister (6 §) och annan automatiserad behandling av personuppgifter (7–8 §§).

I förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfallsregister (7 §) och annan automatiserad behandling av personuppgifter (8-9 §§).

10.5.9. Tullverket

Av 79 §§ lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet framgår följande.

7 §

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

8 §

Uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Skatteverket och Kustbevakningen.

9 §

I Tullverkets brottsbekämpande verksamhet får uppgifter inte behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

10.5.10. Åklagarväsendet

Av 79 §§ förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, framgår följande.

Tillåten behandling av personuppgifter

7 §

Uppgifter om den som kan misstänkas för brott och om andra personer får behandlas i åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten när det behövs för att en åklagare skall kunna utföra de uppgifter som enligt bestämmelser i rättegångsbalken eller annan författning skall eller får utföras av åklagare vid myndigheten.

Personuppgifter får också behandlas i åklagarverksamhet om det behövs för tillsyn, planering, uppföljning eller framställning av statistik.

8 §

Uppgifter som behandlas i åklagarväsendets åklagarverksamhet får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en myndighet som har till uppgift att förebygga, utreda eller i övrigt beivra brott.

9 §

I åklagarväsendets åklagarverksamhet får personuppgifter inte behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till andra i den utsträckning uppgiftsskyldighet följer av lag eller förordning.

I betänkandet av Åklagardatautredningen (SOU 2008:87Åklagarväsendets brottsbekämpning, Integritet – Effektivitet) föreslås följande ändamålsbestämmelser.

4 §

Personuppgifter får, om inte annat följer av 5, 6 eller 7 §, behandlas i åklagarväsendets brottsbekämpande verksamhet endast om det behövs för att

1. förebygga brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden. 5 § Om personuppgifter behandlas enligt 4 §, får de även behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos

1. Rikspolisstyrelsen, polismyndighet, Tullverket, Kustbevakningen och Skatteverket, samt

2. utländsk myndighet eller mellanfolklig organisation.

10.6. Ändringar i registerförfattningarnas ändamålsbestämmelser

Våra bedömningar och förslag:

Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter(artikel 3).

Som vi anfört ovan (se avsnitt 8.2.3) anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där detta är möjligt och lämpligt.

I svensk rätt saknas i dag – i stort sett – uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgifts-

behandling som följer av myndigheternas internationella åtaganden.

För att tydliggöra myndigheternas fullgöranden av förpliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de registerförfattningar som reglerar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket, och åklagarväsendet enligt följande (nedan anges utdrag ur paragraferna).

Kronofogdemyndigheten:

En nytt, kompletterande, andra stycke införs i 2 kap. 2 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, med följande lydelse.

I Kronofogdemyndighetens utsöknings- och indrivningsverksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kustbevakningen:

En ny, kompletterande, punkt 2 i 4 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen införs enligt följande.

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet, -- -- 2. för att fullgöra förpliktelser som följer av internationella åtaganden.

Skatteverket:

En ny, kompletterande punkt införs i 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, enligt följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att -- 3. fullgöra förpliktelser som följer av internationella åtaganden enligt 1. och 2.

Tullverket:

Ändringar görs i punkterna 1 och 3 i 7 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet enligt följande.

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att – -- 1. förebygga, förhindra eller upptäcka brottslig verksamhet, ----- -- 3. fullgöra förpliktelser som följer av internationella åtaganden.

En följdändring införs i rubriken till 15 § enligt följande. Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden.

Åklagarväsendet:

En ny paragraf införs – 8 a § – i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, med följande lydelse.

I åklagarväsendets brottsbekämpande verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kriminalvården, allmänna domstolar och allmänna förvaltningsdomstolar:

Vad avser Kriminalvården, allmänna domstolar och allmänna förvaltningsdomstolar bedömer vi inte att det finns behov av kompletterande bestämmelser av sådant slag som anges ovan.

10.6.1. Nya ändamålsbestämmelser

På sätt som angivits ovan (se avsnitt 10.5.3–10.5.10) finns i dag inte några uttryckliga ändamålsbestämmelser som särskilt reglerar behandlingen av personuppgifter vad avser det specifika ändamålet utbyte av uppgifter i samband med polis- och straffrättsligt samarbete inom Europeiska unionen.

Det står samtidigt klart att det redan i dag hos de myndigheter som omfattas av dataskyddsrambeslutets tillämpningsområde förekommer ett stort internationellt samarbete och utbyte av uppgifter (se kap. 5). I dessa fall tillämpar myndigheterna vid behandlingen av personuppgifter de i dag i registerförfattningarna befintliga ändamålsbestämmelserna (se avsnitt 10.5.3–10.5.10).

Utöver detta författningsreglerade utbyte av uppgifter förekommer även i olika omfattning hos myndigheterna ett

informellt internationellt samarbete och uppgiftsutbyte, med stöd av bl.a. myndigheternas instruktioner eller andra avtal.

I något enstaka fall – jfr 7 § 3. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – har det också ifrågasatts om befintliga ändamålsbestämmelser i sin helhet kan anses omfatta allt uppgiftsutbyte som omfattas av dataskyddsrambeslutets bestämmelser.

För att tydliggöra att de ändamålsbestämmelser som myndigheterna tillämpar även omfattar ett internationellt uppgiftsutbyte, finner vi angeläget – främst med beaktande av den enskildes integritet – att det i registerförfattningarna ska finnas en ändamålsbestämmelse som klargör att myndigheterna får behandla personuppgifter som en följd av internationella åtaganden.

Även om det inte är ett uttryckligt enskilt krav enligt dataskyddsrambeslutet anser vi således att – för att undvika oklarhet och tveksamheter – det är lämpligt att reglerna om uppgiftsutbyte i dataskyddsrambeslutet ska omfattas av en särskild och uttryckligt angiven likalydande ändamålsbestämmelse i var och en av de aktuella registerförfattningarna.

Enligt vår mening föreligger därför skäl att komplettera registerförfattningarna med sådana ändamålsbestämmelser.

Vad gäller utformningen av ändamålsbestämmelsen kan det, i enlighet med vad som angivits ovan (se avsnitt 10.5.1), ur ett integritetsskyddsperspektiv finnas fördelar med att den nya bestämmelsen ska vara så detaljerad som möjligt så att den enskilde därmed hålls informerad om för vilka ändamål personuppgifter kan behandlas. Samtidigt kan det anföras att en alltför detaljerad bestämmelse kan leda till att den eftersträvade effektiviteten av brottsbekämpning m.m. minskar.

Vi finner en fördel i att registerförfattningarnas bestämmelser sinsemellan ska vara så likformiga som möjligt och anser att en mer generellt utformad ändamålsbestämmelse även är att föredra i detta sammanhang.

Som tidigare redogjorts för, finns redan i dag – i ny lagstiftning (polisdatalagen 2010:361) samt i förslag till nya registerförfattningar (SOU 2008:87 avseende åklagarväsendet) – regler som omfattar ändamålsbestämmelser som avser att ”fullgöra förpliktelser som följer av internationella åtaganden”.

Mot bakgrund härav finns det därför argument som talar för att föreslå att en motsvarande bestämmelse även ska införas i de registerförfattningar som saknar sådan.

Synpunkter har under vårt arbete framförts kring valet av begreppet ”fullgöra förpliktelser”. Argument har framhållits att det genom en sådan utformad bestämmelse skulle kunna komma att utesluta internationella överenskommelser som bygger på ett mer frivilligt samarbete.

Vi har mot bakgrund härav under vårt arbete övervägt att föreslå att den tillkommande ändamålsbestämmelsen i stället skulle komma att ges följande utformning; ”genomföra behörigt internationellt samarbete”.

Å andra sidan har vi funnit att det i detta sammanhang är av vikt att klargöra att samarbetet ska ha en legitim och klart härledbar rättslig grund.

Sammantaget har vi – för att undvika att tillämpningen av ändamålsbestämmelsen i fråga blir alltför vid i sin omfattning – funnit skäl att begränsa denna till de fall där det för en myndighet finns en bakomliggande skyldighet eller förpliktelse för informationsutbyte. Detta överstämmer även med polisdatalagens utformning.

Vi föreslår därför sammanfattningsvis att nya bestämmelser ska införas i de registerförfattningar som omfattar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet, i vilka det anges att personuppgifter vid brottsbekämpande verksamhet m.m. ska få behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Vad gäller polisen finns således redan motsvarande bestämmelse i 7 § polisdatalagen (2010:361), varför några ändringar eller kompletteringar vad gäller ändamålsbestämmelserna angående polisens verksamhet i nu aktuell del därför inte föreslås.

Vad gäller Kriminalvården, allmänna domstolar och allmänna förvaltningsdomstolar har det för oss klargjorts att myndigheterna inte har några internationella åtaganden utöver vad som föreskrivs i lag eller förordning.

Då det redan i lagen (2001:617) om behandling av personuppgifter inom kriminalvården samt i förordningarna (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling och (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, finns ändamålsbestämmelser som reglerar aktuell situation finner vi inte skäl att föreslå någon kompletterande

ändamålsbestämmelse för Kriminalvården, allmänna domstolar eller allmänna förvaltningsdomstolar.

Kronofogdemyndigheten

En nytt, kompletterande, andra stycke införs i 2 kap. 2 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, med följande lydelse.

I Kronofogdemyndighetens utsöknings- och indrivningsverksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kustbevakningen

En ny, kompletterande punkt 2 införs i 4 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen där det anges följande.

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet,

1. om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott, eller

2. för att fullgöra förpliktelser som följer av internationella åtaganden.

Skatteverket

En ny, kompletterande punkt införs i 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar där det anges följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1. bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,

2. förebygga brott som avses i 1, eller

3. fullgöra förpliktelser som följer av internationella åtaganden enligt 1. och 2.

Utformningen av den kompletterande regeln ovan innebär inte att lagens tillämpningsområde ska utvidgas på ett icke önskvärt sätt.

Tullverket

Ändringar görs i punkterna 1 och 3 i 7 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet enligt följande.

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden.

En följdändring införs även i rubriken före 15 § i samma lag där rubriken nu föreslås få följande lydelse

Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden.

Utöver ovan angivna allmänna skäl för införandet av en ny ändamålsbestämmelse (se avsnitt 10.5.1 ovan) finns också särskilda skäl härtill genom att, som tidigare anförts, det även kan konstateras att punkt 3 i den nu gällande bestämmelsen med lydelsen ”fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete” inte – åtminstone fullt ut – kan anses omfatta allt uppgiftsutbyte som omfattas av dataskyddsrambeslutets bestämmelser.

Enligt förarbetena till lagen (2000:1219) om internationellt tullsamarbete (prop. 1999/2000:122 s. 2829) framgår bl.a. avseende Tullverkets polisiära befogenheter att eventuellt samarbete i dessa delar faller utanför den lagens tillämpningsområde och att lagen (2000:343) om internationellt polisiärt samarbete då i stället ska vara tillämplig. Sker ett samarbete inom ramen för lagen (2000:344) om Schengens informationssystem bör denna lag gälla i stället för lagen om internationellt tullsamarbete.

Genom våra förslag byts alltså hänvisningen till lagen om internationellt tullsamarbete ut mot en bredare hänvisning. Den nu föreslagna kompletteringen bedöms täcka in såväl det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete, som övriga internationella åtaganden som Tullverket kan vara tvunget att fullgöra.

Vi föreslår vidare ett tillägg i 7 § punkten 1 i nämnda lag, där – för att uppnå likformighet med Polisdatalagen (jfr även Åklagardatautredningens betänkande, SOU 2008:87) – begreppet förebygga läggs till.

Åklagarväsendet

En ny paragraf föreslås – 8 a § – i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, med följande lydelse.

I åklagarväsendes brottsbekämpande verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Utformningen av detta förslag följer förslaget i SOU 2008:87.

11. Känsliga uppgifter

11.1. Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) framgår att ett av de områden där det finns skäl att närmare analysera behovet av lagändringar är frågan om behandlingen av känsliga personuppgifter (jfr även propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09:16 s. 30 f.) I propositionen (s. 36) framhålls bl.a. följande.

Frågan om de nu aktuella bestämmelsernas förhållande till dataskyddsrambeslutets krav kräver ytterligare analys – även med beaktande av utgångspunkten att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen (skäl 31). En sådan fördjupad analys bör ske i det fortsatta lagstiftningsärendet för genomförande av dataskyddsrambeslutet.

I avsnitten nedan följer en genomgång av reglerna om behandlingen av känsliga personuppgifter inom EU (se avsnitt 11.2) och svensk rätt (se avsnitt 11.3). Därefter följer våra förslag till ändringar i svensk rätt med anledning av dataskyddsrambeslutets bestämmelser om känsliga uppgifter.

Bestämmelser angående registerförfattningarnas ändamål, se kap. 10.

11.2. EU-bestämmelser

11.2.1. Dataskyddsrambeslutet

I artikel 6 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram-

beslutet) anges följande angående behandling av särskilda kategorier av uppgifter.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när detta är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

Artikel 6 i dataskyddsrambeslutet reglerar således behandling av vad som brukar kallas känsliga personuppgifter. Med detta avses personuppgifter som avslöjar uppgifter som rör

  • ras eller etniskt ursprung,
  • politiska åsikter,
  • religiös eller filosofisk övertygelse,
  • medlemskap i fackförening, samt
  • hälsa eller sexualliv.

Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga och adekvata skyddsåtgärder i den nationella lagstiftningen.

11.2.2. Dataskyddsdirektivet

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) innehåller bestämmelser om känsliga uppgifter med följande innehåll

Ingresspunkt 33) Uppgifter som på grund av sin natur kan kränka grundläggande fri- och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade. Dock måste det finnas en uttrycklig möjlighet att tillgodose särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter. Artikel 8 Behandlingen av särskilda kategorier av uppgifter

1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

2. Punkt 1 gäller inte om

a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller

b) behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller

c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller

d) behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller

e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller — om lämpliga skyddsåtgärder finns i nationell lag — med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.

7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

Dataskyddsdirektivets bestämmelser i artikel 8.1 om behandling av känsliga personuppgifter skiljer sig således från ovannämnda bestämmelser i dataskyddsrambeslutet. I svensk rätt finns en motsvarighet till artikel 8.1 i 13 § personuppgiftslagen (1998:204).

I artikel 8.2–8.4 i dataskyddsdirektivet ställs det upp andra typer av begränsningar för behandling av nämnda uppgifter.

Dessa undantag återspeglas vidare i svensk rätt i 1420 §§personuppgiftslagen.

Angående personuppgiftslagens bestämmelser, se nedan avsnitt 11.3.1.

11.3. Behandling av känsliga uppgifter i svensk rätt

11.3.1. Personuppgiftslagen (1998:204)

I 13 § personuppgiftslagen finns bestämmelser som förbjuder behandling av känsliga personuppgifter.

Känsliga personuppgifter definieras i lagen som uppgifter som avslöjar

  • ras eller etniskt ursprung,
  • politiska åsikter,
  • religiös eller filosofisk övertygelse,
  • medlemskap i fackförening samt
  • uppgifter som rör hälsa eller sexualliv.

Förbudet mot behandling av känsliga uppgifter är inte undantagslöst.

Det gäller inte personuppgifter som inte ingår i eller är avsedda att ingå i strukturerat material – dvs. en samling av personuppgifter

som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (5 a § personuppgiftslagen).

I 1419 §§personuppgiftslagen anges också undantag från förbudet mot behandling av känsliga uppgifter med följande innehåll.

14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Nödvändig behandling

16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att

a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,

b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter, om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten.

Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Lag (2003:466).

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Lag (1998:1436).

Undantagen från förbudet att behandla känsliga uppgifter kan således sammanfattas enligt följande med hänvisningar till respektive paragraf i personuppgiftslagen.

  • Den registrerades samtycke (15 §)
  • Den registrerades offentliggörande (15 §)
  • Behandling inom arbetsrätten (16 §)
  • För att skydda vitala intressen (16 §)
  • För att kunna fastställa, göra gällande eller försvara rättsliga anspråk (16 §)
  • Behandling inom ideella organisationer (17 §)
  • Behandling för hälso- och sjukvårdsändamål (18 §)
  • Behandling av personuppgifter som omfattas av hälso- och sjukvårdssekretess (18 §)
  • Behandling för forsknings- och statistikändamål (19 §)

Det finns också utrymme för regeringen, eller den myndighet regeringen bestämmer, att meddela föreskrifter om ytterligare undantag från förbudet i 13 § personuppgiftslagen , om det behövs med hänsyn till ett viktigt allmänt intresse (20 § personuppgiftslagen).

Sådana föreskrifter finns i 8 § personuppgiftsförordningen (1998:1191). Av den bestämmelsen följer att myndigheter generellt även får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.

11.3.2. Registerförfattningarna

Innehållet i registerförfattningarna vad avser Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket och åklagarväsendet (se vidare kap. 4) avviker i flera fall från personuppgiftslagens regler om behandling av känsliga uppgifter.

Däremot finns det inga sådana regler i de registerförfattningar som reglerar enskilda register. Detta ska ses mot bakgrund av att dessa normalt har preciserade bestämmelser om vilka typer av uppgifter som får finnas i registren och att bestämmelserna om innehållet i praktiken inte tillåter registrering av känsliga uppgifter.

11.4. Ändringar i personuppgiftslagen?

Vår bedömning: Skäl att föreslå ändringar i personuppgifts-

lagens (1998:204) bestämmelser om känsliga uppgifter föreligger inte.

11.4.1. Allmänt

Personuppgiftslagen är subsidiär i förhållande till annan författningsreglering.

Då det rättsliga område som reglerar behandlingen av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete är specificerat till registerförfattningarna för ovan nämnda myndigheter samt domstolarna (se avsnitt 11.3.2) och då dessa

författningar helt eller delvis ersätter nämnda lag, finns enligt vår bedömning inte – med anledning av dataskyddsrambeslutet – skäl att föreslå någon ändring i personuppgiftslagen.

Detta gäller oavsett om en registerförfattning gäller i stället för eller utöver personuppgiftslagens bestämmelser.

11.4.2. Närmare om begreppsanvändningen

Vissa begrepp som används som beskrivning av vad som utgör s.k. känsliga uppgifter har tidigare kritiserats. Främst avser detta begreppet ras (jfr prop. 2007/08:95 s. 117 och 2009/10:80). Att i detta lagstiftningssammanhang utmönstra detta ord har inte ansetts vara möjligt (jfr 2009/10:85 s. 123 och bet. 1997/98:KU 29 s. 7). Regeringen har samtidigt klargjort att den har som ambition att i ett annat sammanhang se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.

I de ändringar som införts i regeringsformen från och med den 1 januari 2011 har detta begrepp tagits bort och i stället anges tillämpningsområdet för bl.a. diskrimineringsskyddet som ”etniskt ursprung, hudfärg eller annat liknande förhållande”.

Trots detta bedömer vi att det inte finns möjlighet för oss i den aktuella utredningen att föreslå någon ändring av begreppet.

Ej heller finns i detta sammanhang enligt vår mening skäl att vad gäller övriga begrepp föreslå någon ändring eller något tillägg i gällande svensk rätt.

11.5. Ändringar i registerförfattningarna

11.5.1. Allmänt om kompletteringar

Registerförfattningarnas bestämmelser tillåter generellt behandling i större utsträckning än personuppgiftslagen, men författningarnas utformning medför att möjligheten att behandla känsliga personuppgifter är mycket begränsad (jfr prop. 2008/09:16 s. 36).

Att uppmärksamma är att dataskyddsrambeslutet ställer upp kraven för behandling av känsliga personuppgifter på ett sådant sätt att behandling endast får ske när det är ”absolut nödvändigt” och när det samtidigt, genom svensk rätt, tillhandahålls ”tillräckliga och adekvata skyddsåtgärder”.

Bedömningen av eventuella justeringar i registerförfattningarna nedan får därmed enligt vår mening göras mot bakgrund av vilket skydd som personuppgiftslagen och aktuella registerförfattningar ställer upp vad gäller bl.a. sökbegränsningar och gallring. Dessutom får beaktas vilka sekretessbestämmelser som finns inom området (se vidare kap. 6).

Förslagen till ändringar i registerförfattningarna nedan ska även läsas tillsammans med våra förslag till komplettering av registerförfattningarnas ändamål (se vidare kap. 10).

11.5.2. Språkliga justeringar

Våra förslag: För att, vid regleringen av känsliga uppgifter i

registerförfattningar, få till stånd en språklig likformighet föreslår vi en ändring från begreppet oundgängligen nödvändigt till absolut nödvändigt i följande författningar;

4 § lagen (1999:90)om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

9 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, och

– 4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.

Av samma skäl som ovan föreslås en ändring från begreppet nödvändigt till absolut nödvändigt i följande författningar;

1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

4 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

3 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, och

3 § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling.

Reglerna i registerförfattningarna får i dessa delar – med de språkliga justeringar som föreslås – anses motsvara de krav som ställs på utformningen av bestämmelserna i dataskyddsrambeslutet.

Kriminalvården

Kriminalvårdens behandling av känsliga uppgifter regleras i 5 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården samt i 4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 § förordningen (2001:682) i samma ämne.

Av 5 § i nämnda lag framgår att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av det förhållandet.

Vidare anges att om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Sådana uppgifter får, enligt 5 § tredje stycket samma lag, inte användas som sökbegrepp, om inte regeringen har föreskrivit det.

I Säkerhetsregistret (39–45 §§ förordningen om behandling av personuppgifter inom kriminalvården) finns möjlighet att söka på känsliga uppgifter.

I 4, 7, 12, 18, 23, 27, 32, 41 och 48 §§ i ovannämnda förordning regleras också behandlingen av känsliga personuppgifter inom området, men där används begreppet oundgängligen nödvändigt i stället för absolut nödvändigt. Begreppen är likvärdiga. För att få till stånd en språklig likformighet föreslår vi därför en ändring i förordningen (4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 §) till det sistnämnda begreppet.

Kustbevakningen

Vad gäller behandling av känsliga personuppgifter inom Kustbevakningen anges i 9 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

I paragrafen anges vidare att om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga

personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

I 21 § samma lag anges utöver detta att vid sökning i kustbevakningsdatabasen får uppgifter som avslöjar ras, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller som rör sexualliv inte användas som sökbegrepp.

På motsvarande sätt som för Kriminalvården ovan föreslår vi även i registerförfattningen angående Kustbevakningen en språklig ändring av begreppet oundgängligen till absolut.

Skatteverket

Behandlingen av känsliga uppgifter i Skatteverkets brottsbekämpande verksamhet regleras i 4 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

Av ovannämnda paragraf framgår att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

Vidare anges i paragrafen att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

Känsliga personuppgifter får dock aldrig behandlas i underrättelseverksamhet.

Vid sökningar i beskattningsdatabasen får, enligt 14 a § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, endast uppgift om namn, person- eller samordningsnummer användas som sökbegrepp.

På motsvarande sätt som för myndigheterna ovan föreslås även i denna registerförfattning en språklig ändring av begreppet oundgängligen till absolut.

Allmänna domstolar och allmänna förvaltningsdomstolar

Behandlingen av känsliga personuppgifter regleras i 3 § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 3 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, samt 4 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling.

I förordningarna anges att domstolarna får föra automatiserade register över mål eller ärenden som handläggs vid rätten (verksamhetsregister) samt föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information (rättsfallsregister).

De ovan nämnda paragraferna har likadan utformning och däri anges – vad avser verksamhetsregister – att vid angivande av vad saken gäller (ärendemening) får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

I paragraferna (se 7 respektive 8 § i ovan nämnda förordningar) anges också att – vid annan automatiserad behandling av personuppgifter – får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet (se vidare avsnitt 11.5.3).

Känsliga personuppgifter får vidare inte användas som sökbegrepp, jfr 4 § förordningen om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 4 § förordningen om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling och 5 § förordningen om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling.

Utformningen av de bestämmelser ovan som reglerar behandlingen av känsliga personuppgifter för domstolarna innehåller således begreppet nödvändigt. Som en konsekvens av utformningen av dataskyddsrambeslutet och övriga registerförfattningar som har anknytning till polissamarbete och straffrättsligt samarbete, bör – enligt vår bedömning – en justering göras av detta begrepp för att uppnå en språklig enhetlighet mellan registerförfattningarna. Vi har inte funnit andra skäl för att det

nuvarande begreppet i detta sammanhang ska kvarstå. Vi föreslår därför även i denna del en språklig ändring av begreppet nödvändigt till absolut nödvändigt.

Ändringen gäller endast behandlingen av känsliga personuppgifter. Ingen ändring föreslås vad gäller uppgifter om lagöverträdelser m.m., eftersom dataskyddsrambeslutet inte innehåller något sådant krav.

Ur ett integritetsskyddsperspektiv kan det vidare diskuteras om det finns skäl att göra ytterligare ändringar i de aktuella författningarna rörande ifrågavarande domstolar så att det, på motsvarande sätt som i de övriga i avsnittet ovan nämnda författningarna, direkt av författningstexten ska framgå vilka personuppgifter som är känsliga och inte framgå genom en hänvisning till personuppgiftslagens motsvarande bestämmelse. Vi har dock inte ansett detta som en förutsättning för dataskyddsrambeslutets genomförande i svensk rätt och därför valt att inte föreslå någon ändring i denna del.

Kronofogdemyndigheten

Kronofogdemyndighetens behandling av känsliga uppgifter regleras i 1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. I paragrafen anges att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om – i den del som nu är aktuell – uppgifterna är nödvändiga för handläggningen.

Utöver vad som anförts ovan anges i 1 kap. 6 § att känsliga personuppgifter också ska få behandlas om uppgifterna har lämnats i ett mål eller ärende (se vidare avsnitt 11.5.3).

I den del i samma lag som innehåller gemensamma bestämmelser om Kronofogdemyndighetens databaser anges särskilda regler om elektroniska handlingar (24 §) och sökbegrepp (29 §). I den sistnämnda paragrafen stadgas att som sökbegrepp i handlingar enligt 24 § får inte uppgift som avses i 1 kap. 6 § samma lag (känsliga personuppgifter) användas.

På motsvarande sätt som för domstolarna ovan föreslår vi – för att uppnå en språklig enhetlighet mellan registerförfattningarna – en ändring i 1 kap. 6 § i ovan nämnda lag av begreppet nödvändiga

till absolut nödvändiga vad gäller behandling av känsliga personuppgifter.

Ingen ändring föreslås vad gäller uppgifter om lagöverträdelser m.m., eftersom dataskyddsrambeslutet inte innehåller något sådant krav.

Polisen

I 2 kap. 10 § polisdatalagen (2010:361) anges att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter)

I paragrafen stadgas vidare att om uppgifter om en person redan behandlas på annan grund, får uppgifterna kompletteras med sådana uppgifter, när det är absolut nödvändigt för syftet med behandlingen.

I 3 kap. 5 § samma lag finns vidare bestämmelser som reglerar sökning i personuppgifter. Av första stycket i nämnda paragraf framgår att vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

polisdatalagen således är anpassad till dataskyddsrambeslutets bestämmelser finns inte skäl att föreslå några ändringar eller justeringar i denna del.

Utöver vad som anförts ovan anges i 2 kap. 10 § andra stycket polisdatalagen jämfört med 2 kap. 9 § i samma lag att känsliga personuppgifter också ska få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (se vidare avsnitt 11.5.3).

Tullverket

I 11 § första stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska

ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

I paragrafens andra stycke anges att om uppgifter om en person behandlas på annan grund får de, enligt andra stycket samma paragraf, dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.

I 20 § i samma lag finns bestämmelser om sökförbud vad gäller känsliga personuppgifter vari stadgas att uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller som rör hälsa eller sexualliv inte får användas som sökbegrepp.

Då registerförfattningarna angående Tullverket i ovan nämnda delar motsvarar dataskyddsrambeslutets bestämmelser föranleder inte detta oss att lämna några förslag till ändringar eller justeringar i svensk rätt.

I 11 § tredje stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges härutöver att uppgifter som avses i paragrafens första stycke får behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende (se vidare avsnitt 11.5.3).

Åklagarväsendet

I 10 § första stycket första meningen i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet anges att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

Dessutom anges i 10 § andra stycket i samma förordning att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Vid sökningar i åklagarväsendets ärendedatabas får vidare uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Dataskyddsrambeslutets bestämmelser föranleder mot bakgrund härav inte några förslag till ändringar eller justeringar såvitt nu är ifråga.

Härutöver anges i 10 § första stycket andra meningen i nämnda förordning att om uppgifterna finns i en handling som kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende får de dock behandlas. Angående detta undantag från huvudregeln i 10 § se vidare avsnitt 11.5.3 nedan.

11.5.3. Närmare om behandling av känsliga personuppgifter vid handläggning av mål och ärenden samt vid diarieföring

Våra förslag: Behandling av känsliga personuppgifter får ske

dels vid diarieföring, dels om sådana uppgifter har lämnats i ett mål, ett ärende, en anmälan eller liknande, dels vid handläggningen av ett mål, ett ärende, en anmälan eller liknande – allt under förutsättning att detta är att se som absolut nödvändigt.

Vi föreslår därför att ett tillägg med sistnämnda begrepp införs i följande författningar.

2 kap. 10 § polisdatalagen (2010:361), – 11 § tredje stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

10 § förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet,

8 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

7 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, och

7 § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling.

Som ovan nämnts finns i vissa registerförfattningar bestämmelser som tillåter personuppgiftsbehandling av känsliga uppgifter vid t.ex. handläggning av mål och ärenden, samt vid diarieföring m.m.

Kronofogdemyndigheten

I 1 kap. 6 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet anges att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen.

Polisen

I 2 kap. 10 § andra stycket polisdatalagen jämfört med 2 kap. 9 § i samma lag stadgas att känsliga personuppgifter också ska få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Allmänna domstolar och allmänna förvaltningsdomstolar

Vid annan automatiserad behandling av personuppgifter än vid verksamhets- och rättsfallsregister, anges – i de registerförfattningar som omfattar de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet – att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller behövs för handläggningen av målet eller ärendet.

Tullverket

I 11 § tredje stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter som avses i paragrafens första stycke – känsliga personuppgifter – får behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.

Åklagarväsendet

Vid åklagarväsendet får, enligt 10 § förordningen om behandling av personuppgifter inom åklagarväsendet, behandling av känsliga personuppgifter ske om de finns i en handling som kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende.

Vår bedömning i denna del

Utgångspunkten är, som angetts tidigare, att dataskyddsrambeslutet ställer upp krav på att behandling av känsliga personuppgifter enbart ska få ske när det är absolut nödvändigt och när det genom svensk rätt tillhandahålls tillräckliga och adekvata skyddsåtgärder.

Som en följd härav föreslås språkliga justeringar i flertalet registerförfattningar (se avsnitt 11.5.2).

Frågan är nu om de i registerförfattningarna ovan redovisade reglerna angående handläggningen av mål och ärenden samt diarieföring kan anses stå i överensstämmelse med dataskyddsrambeslutets krav.

Av Justitiedepartementets promemoria, Ds 2008:30, Antagande av rambeslut om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 166, framgår bl.a. följande.

Att tillåta behandling av en inkommen handling torde ändå vara förenligt med kravet på att behandlingen är absolut nödvändig, så som den svenska lagstiftningen reglerar hanteringen av allmänna handlingar. Däremot kan det behövas mer begränsande regler för annan behandling.

En föreskrift om att känsliga personuppgifter får behandlas därför att de ”behövs för handläggningen” torde inte ensamt uppfylla kraven i rambeslutet på att behandlingen ska vara absolut nödvändig och att det ska finnas adekvata skyddsåtgärder.

En vägledning kan fås genom förarbetena till polisdatalagen (2010:361), vari det i prop. 2009/10:85, s. 122, anförs bl.a. följande.

Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Polisen måste alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Sådan behandling

bör vara tillåten även i de fall där inkommande anmälningar innehåller känsliga personuppgifter. Detta bör komma till uttryck i lagtexten som ett undantag från förbudet att behandla känsliga personuppgifter.

I propositionen anges vidare (s. 324 ff.).

Känsliga personuppgifter får alltid behandlas i de fall som avses i 9 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i en anmälan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt för polisen att ta emot och besvara anmälningar och liknande skrifter som lämnas i elektronisk form även om dessa innehåller känsliga personuppgifter. -- Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av inkomna handlingar får således alltid anges vem handlingen har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för diarieföringen får emellertid inte utföras med stöd av [9 §] första punkten.

Vidare får, enligt [9 §] andra punkten, personuppgifter alltid behandlas om de har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uttrycket ”anmälan eller liknande” innefattar alla slag av framställningar till polisen. --

-- Eftersom en framställan vanligtvis påfordrar något slag av handläggning hos myndigheten, har det ansetts nödvändigt med en särskild bestämmelse för personuppgiftsbehandling i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att framställan besvaras.

Motsvarande resonemang vad avser diarieföring och uppgifter som har lämnats i en anmälan eller liknande, har förts i Åklagardatautredningens betänkande (SOU 2008:87, Åklagarväsendets brottsbekämpning, Integritet – Effektivitet, s. 210 f.).

I förarbetena till lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164) har vidare avseende syftet i 11 § tredje stycket framhållits att Tullverket inte har möjlighet att påverka vilka uppgifter som ingår i handlingar vilka inkommer till myndigheten. Vidare har anförts följande.

Normalt diarieförs dessa handlingar och åsätts ett ärendenummer, vilka därefter får behandlas av Tullverket även om de innehåller känsliga personuppgifter. Bestämmelsen avser således endast de

handlingar som är av sådan karaktär att de behandlas som ett ärende av myndigheten.

I likhet med vad som anförts ovan i citerade förarbeten är vår utgångspunkt att en myndighet – med stöd av offentlighetsprincipen – ska kunna behandla känsliga uppgifter dels vid diarieföringen, dels om sådana uppgifter har lämnats i ett mål, ett ärende, en anmälan eller liknande, dels vid handläggningen av ett mål, ett ärende, en anmälan eller liknande.

Även vår bedömning är således att Kronofogdemyndigheten, allmänna domstolar, allmänna förvaltningsdomstolar, polisen och åklagarväsendet, i de situationer som anges ovan, alltid ska ha möjlighet att diarieföra och handlägga inkommande anmälningar eller liknande skrivelser i mål och ärenden m.m. – även i de fall där sådana handlingar innehåller känsliga personuppgifter.

Liknande bedömning anser vi kunna göras vad gäller ärenden i

Tullverket.

Dataskyddsrambeslutets krav att behandlingen av känsliga personuppgifter endast får ske när det är absolut nödvändigt och när tillräckliga och adekvata skyddsåtgärder i den nationella lagstiftningen tillhandahålls får, enligt vår mening, anses uppfyllas genom övriga bestämmelser i registerförfattningarna och personuppgiftslagen i form av bl.a. sökbegränsningar och gallringsbestämmelser m.m. samt även i denna del genom ett förtydligande att behandlingen av känsliga personuppgifter vid diarieföring, handläggning av mål m.m. enbart ska ske när detta är att se som absolut nödvändigt.

Genom att utforma likalydande bestämmelser i registerförfattningarna stärks även skyddet av den enskildes integritet.

Det har i sammanhanget framhållits att diarieföring och handläggning givetvis även förekommer vid andra brottsbekämpande myndigheter såsom Kriminalvården, Kustbevakningen och Skatteverket.

I registerförfattningarna för nämnda myndigheter finns i nuläget inte några bestämmelser som särskilt reglerar behandling av känsliga uppgifter vid t.ex. diarieföring eller handläggning av ärenden.

I nuläget är således reglerna för Kriminalvården, Kustbevakningen och Skatteverket än mer begränsande än för tidigare nämnda myndigheter.

Då medlemsstaterna kan ha ett starkare nationellt skydd än vad som framgår av dataskyddsrambeslutet (jfr artikel 1 punkten 5 dataskyddsrambeslutet och skäl 8 i rambeslutets inledande delar) har vi valt att inte föreslå införandet av några nya bestämmelser i registerförfattningarna för Kriminalvården, Kustbevakningen och Skatteverket, utan enbart justerat de registerförfattningar som redan i dag innehåller bestämmelser om diarieföring, handläggning av mål och ärenden m.m.

12. Användningsbegränsningar

12.1. Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) anges bl.a. att utredningen närmare ska analysera behovet av lagändringar angående rambeslutets användningsbegränsningar.

Det föreligger mot bakgrund härav skäl att först undersöka vilka regler i dataskyddsrambeslutet som berör olika användningsbegränsningar, därefter undersöka vilka motsvarande begränsningar som finns i svensk rätt och slutligen lämna eventuella förslag på hur svensk rätt ska kompletteras i dessa delar för att motsvara dataskyddsrambeslutets krav.

12.2. Allmänt om dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) innehåller – förutom regler om begränsningar av den behandling av personuppgifter som är en följd av vissa angivna ändamål (se vidare kap. 10) – regler om vidarebehandling och användningsbegränsningar, vad avser uppgifter som erhållits från en annan medlemsstat eller som har gjorts tillgängliga av en annan medlemsstat, nämligen

  • Artikel 3.2 (se vidare avsnitt 12.4).
  • Artikel 11 – Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat (se vidare avsnitt 12.5).
  • Artikel 3 sista stycket och artikel 11 sista stycket – Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål (se avsnitt 12.6).
  • Artikel 12 – Iakttagande av nationella restriktioner för behandling av uppgifter (se vidare avsnitt 12.7).
  • Artikel 13 – Överföring till behöriga myndigheter i tredjestater eller till internationella organ (se vidare avsnitt 12.8).
  • Artikel 14 – Överföring till privata parter i medlemsstaterna (se vidare avsnitt 12.9).
  • Artikel 16.2 – Information till den registrerade (se vidare avsnitt

13.1.5).

  • Artikel 9 – Skyldighet att iaktta överförande stats gallringsfrister (se vidare avsnitt 12.10).

Dataskyddsrambeslutet innehåller därmed en rad bestämmelser som på olika sätt begränsar rätten att behandla personuppgifter som omfattas av dataskyddsrambeslutet.

Artiklarna kräver till viss del lagändringar. Ändringarna redogörs för avsnitten 12.5–12.10 nedan.

12.2.1. Begränsning av vårt uppdrag

Vår bedömning: Frågan om att ta fram förslag till bestämmelser

som reglerar möjligheten för svenska myndigheter att ställa villkor för användningen av uppgifter som överförs till andra stater och medge undantag från sådana villkor, ligger utanför vårt uppdrag.

Ett genomförande av dataskyddsrambeslutet ställer krav på att det finns en reglering som säkerställer att svenska myndigheter inte behandlar uppgifter på ett sätt som inte dataskyddsrambeslutet tillåter. Däremot kräver inte dataskyddsrambeslutet att det finns nationella regler som reglerar möjligheten för svenska myndigheter att ställa villkor för användningen av uppgifter som överförs till andra stater och medge undantag från sådana villkor.

I detta sammanhang kan inledningsvis konstateras att det redan i dag är möjligt att lämna användningsbegränsningar generellt (jfr propositionen Genomförande av delar av Prümrådsbeslutet, prop. 2009/10:177, s. 1213).

I propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09: 16, s. 40 har i denna del anförts att frågan, om en sådan

reglering bör införas för svenska myndigheter att ställa villkor för användningen av uppgifter som förs över till andra stater, inte bör behandlas i propositionen. Däremot kan det enligt propositionen ”vara lämpligt att se över denna fråga i det fortsatta lagstiftningsarbetet”.

Enligt vår bedömning faller emellertid denna frågeställning utanför det uppdrag som vi enligt våra direktiv är ålagda att utreda. Några skäl att ändå utreda nämnda frågeställning föreligger inte heller.

12.2.2. Märkning av uppgifter

Vår bedömning: Vi bedömer att en märkning, varifrån upp-

gifter härstammar, är både nödvändig och möjlig för att reglerna i dataskyddsrambeslutet om exempelvis användningsbegräsningar ska kunna tillämpas på rätt sätt.

Frågan om utarbetandet av ett system med märkning av uppgifter får överlämnas till de myndigheter som utbyter de aktuella uppgifterna.

Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som föreslås med anledning av dataskyddsrambeslutet, bör inte föreligga.

Dataskyddsrambeslutets bestämmelser omfattar personuppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat.

När det gäller regler om användningsbegränsningar är det av vikt att veta varifrån en viss uppgift kommer för att klargöra om en uppgift lyder under dataskyddsrambeslutets tillämpningsområde.

I prop. 2008/09:16 s. 44 har med anledning härav framhållits att det i sammanhanget krävs någon typ av ”märkning” av varifrån uppgifterna härstammar, så att reglerna om användningsbegränsningar ska kunna tillämpas på ett korrekt sätt. Av förarbetena framgår närmare följande.

Även om det krävs lagändringar kan regleringen därför utformas så att den inte hämmar det informationsutbyte som äger rum nationellt.

Det som i så fall krävs är någon form av märkning av uppgifter som härrör från en annan medlemsstat, som gör den behandlande myndigheten uppmärksam på att uppgifterna inte får användas fritt.

Varje överföring från en annan stat eller tillgängliggörande kommer nämligen att bära med sig begränsningar i fråga om behandling. Om uppgifter som bär med sig en användarbegränsning inte är märkta finns det en uppenbar risk att någon annan än den som tog emot uppgifterna oavsiktligt använder dessa i strid med användningsbegränsningen. I det fortsatta lagstiftningsarbetet bör även denna fråga uppmärksammas.

Vi bedömer att en sådan märkning, varifrån uppgifterna härstammar, är både nödvändig och möjlig för att reglerna i dataskyddsrambeslutet ska kunna tillämpas i svensk rätt.

Något integritetsintrång för den enskilde i dessa delar kan inte anses föreligga.

Vi är samtidigt medvetna om att problem i sammanhanget kan komma att uppstå när uppgifter ”flyter in och ut” hos myndigheterna och att det i sådana fall kan bli svårigheter att utröna varifrån uppgifterna ursprungligen kommer.

I de flesta fall bedömer vi dock att det torde finnas en möjlighet att ta reda på varifrån uppgifterna härstammar.

Hos vissa myndigheter – t.ex. Åklagarmyndigheten och Ekobrottsmyndigheten – förekommer redan i dag viss märkning varifrån uppgifter ursprungligen kommer.

Frågan om utarbetandet av ett system med märkning av uppgifter får överlämnas till de myndigheter som utbyter de aktuella uppgifterna. Någon författningsreglering på lag- eller förordningsnivå är inte nödvändig.

Att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som föreslås med anledning av dataskyddsrambeslutet framstår inte som realistiskt eller genomförbart. Något krav härpå kan enligt vår bedömning inte heller föreligga genom dataskyddsrambeslutet.

12.3. Vad innebär användningsbegränsningar?

12.3.1. Svensk rätt – användningsbegränsningar i författningar om internationellt samarbete

På sätt som redogjorts för i kap 5 finns bestämmelser i svensk rätt som reglerar situationerna då en svensk myndighet erhåller information eller bevismaterial med s.k. användningsbegränsningar (villkor för användningen) från en utländsk myndighet.

Bestämmelser i svensk rätt om internationellt samarbete, med s.k. användningsbegränsningar, tar över vad som är gällande i andra fall, t.ex. angående åtalsplikt (se vidare kap. 5).

Bestämmelser om användningsbegränsningar finns i

I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.

Ett sätt att se på dataskyddsrambeslutets användningsbegränsningar är att den typ av begränsningar som t.ex. anges i artikel 11 a)–d) torde kunna betraktas som sådana användningsbegränsningar som motsvaras av reglerna i ovan nämnda författningar, jfr prop. 2007/08:83 s. 41 f. avseende artikel 26 i Prümrådsbeslutet (se avsnitt 5.3.5) samt prop. 2008/09:16 s. 40.

Av sistnämnda förarbeten framgår dessutom i huvudsak följande. Bestämmelserna i de nämnda författningarna innebär att personuppgifter, som behandlas av Kustbevakningen, polisen, Tullverket och åklagarväsendet i enlighet med dessa författningar, omfattas av dataskyddsrambeslutet och att de villkor som dataskyddsrambeslutet föreskriver, t.ex. kravet på samtycke ska följas.

Vidare omfattas, enligt samma förarbeten, personuppgifter som kommit in genom nämnda författningar och som därefter kommit någon av de ovan nämnda myndigheterna eller Kriminalvården, Skatteverket eller allmänna domstolar eller allmänna förvaltningsdomstolar till del (jfr JO 2007/08 s. 57).

De internationella samarbetslagarna ovan innehåller den materiella lagstiftningen vad avser samarbete m.m.

Med andra ord reglerar dessa samarbetslagar enbart de generella regler som tydliggör det internationella samarbetet och villkor för användningen av viss information och bevismaterial.

Vi kan härigenom konstatera att de internationella samarbetslagarna har ett mer vitt tillämpningsområde än dataskyddsrambeslutet. Flera av lagarna, t.ex. lagen om internationellt tullsamarbete, reglerar inte enbart polisiärt samarbete, utan även samarbete inom andra områden. Samarbetslagarna täcker vidare långt ifrån allt samarbete i form av uppgiftsutbyte som myndigheterna utövar (jfr kap. 5 ovan).

12.3.2. Reglering av utlämnande av uppgifter

Vår bedömning: Bestämmelserna om användningsbegränsning-

ar m.m. i dataskyddsrambeslutet reglerar endast vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I artikel 1.3 dataskyddsrambeslutet – syfte och tillämpningsområde – stadgas att rambeslutet gäller för sådan behandling av personuppgifter som utförs helt eller delvis automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

Enligt vår bedömning utgör således dataskyddsrambeslutets bestämmelser endast en reglering av automatiserad spridning av behandlade personuppgifter eller personuppgifter som ingår eller kommer att ingå i ett register.

Detta innebär bl.a. att de bestämmelser om t.ex. användarbegränsningar som ställs upp i dataskyddsrambeslutet avser en inskränkning för enskilda att få del av personuppgifter i viss form.

12.3.3. Utlämnande med stöd av handlingsoffentligheten

Vår bedömning: För det fall en vidarebehandling av personupp-

gifter sker i syfte att uppfylla de krav som gäller offentlighetsprincipen enligt tryckfrihetsförordningen, kan en sådan vidarebehandling givetvis inte ses som oförenlig med dataskyddsrambeslutets bestämmelser om begränsningar i rätten att vidarebehandla uppgifter.

I skäl 31 i dataskyddsrambeslutets inledande delar anges att dataskyddsrambeslutet ”-- gör att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta.”

Det nämnda syftar på reglerna om utlämnande av personuppgifter med stöd av offentlighetsprincipen.

Ett uttryck för offentlighetsprincipen är principen om handlingsoffentlighet som garanterar insyn i riksdagens, regeringens och myndigheternas arbete.

Enligt 2 kap. 1 § tryckfrihetsförordningen framgår att ” -- till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna handlingar”.

Handlingsoffentligheten ger således var och en rätt att begära att få del av allmänna handlingar.

Som tidigare har anförts (se avsnitt 12.3.2) innehåller dataskyddsrambeslutet enbart regler om vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Allmänheten har inte rätt att med stöd av offentlighetsprincipen kräva att uppgifter lämnas ut på visst sätt, t.ex. automatiserat (jfr 2 kap. 13 § tryckfrihetsförordningen).

Detta innebär att dataskyddsrambeslutets bestämmelser inte strider mot allmänhetens rätt till insyn och rätt att ta del av allmänna offentliga handlingar.

Vi bedömer i likhet med vad som sägs i förarbetena – prop. 2008/09: 16 s. 39 – att för det fall en vidarebehandling av personuppgifter sker i syfte att uppfylla de krav som gäller offentlighetsprincipen enligt svensk rätt, kan en sådan vidarebehandling inte ses som oförenlig med dataskyddsrambeslutets bestämmelser om begränsningar i rätten att vidarebehandla uppgifter.

Angående frågor om allmänhetens tillgång till uppgifterna och frågor om sekretessregleringen i svensk rätt i detta sammanhang, se kap. 6.

12.3.4. Offentlighets- och sekretesslagens påverkan av dataskyddsrambeslutet

Vår bedömning: Dataskyddsrambeslutets bestämmelser om

användningsbegränsningar föranleder inte någon ändring i offentlighets- och sekretesslagen (2009:400).

I avsnitt 6.5 ovan har redogjorts för bestämmelsen i 9 kap. 2 § offentlighets- och sekretesslagen (2009:400, OSL), som hänvisar till de bestämmelser i svensk rätt som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat.

På sätt som anges nedan i avsnitt 12.3.5 har vi funnit skäl att föreslå att en ny lag – lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen – ska införas.

Mot bakgrund härav föreligger enligt vår mening inte något skäl att föreslå justeringar i OSL.

Vår bedömning är att den av oss föreslagna nya lagen nedan (se vidare avsnitt 12.3.5) samt 9 kap. 2 § OSL tillsammans med övriga sekretessregler, är tillräckliga för att uppfylla dataskyddsrambeslutets krav.

Sammanfattningsvis föranleder dataskyddsrambeslutets bestämmelser således inte någon ändring i OSL.

12.3.5. Ny lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Våra förslag: En ny lag om användningsbegränsningar vid

behandling av personuppgifter vid polissamarbete och straffrättligt samarbete inom Europeiska unionen införs i svensk rätt. I lagens 1–3 §§ införs bestämmelser om lagens tillämpningsområde mm med följande innehåll.

1 § I denna lag finns bestämmelser om användningsbegränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

2 § Denna lag gäller endast vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

3 § Denna lag gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad.

Lagen gäller även för annan vidarebehandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

För att uppfylla dataskyddsrambeslutets krav, föreslår vi att en ny lag – lagen om användningsbegränsningar vi behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen – ska införas.

Denna nya lag föreslås innehålla bestämmelser om lagens tillämpningsområde m.m. (1-3 §§), ändamål för vidarebehandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av personuppgifter till privat part inom Europeiska unionen (6 §), nationella restriktioner för behandling av uppgifter (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).

Lagens bestämmelser ska motsvara artikel 3.2 jämförd med artikel 11, samt artiklarna, 9, 12, 13, 14 och 16.2 i dataskyddsrambeslutet.

Ett alternativ till att föreslå en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de för myndigheterna här aktuella internationella samarbetslagarna (jfr avsnitt 12.3.1 och 5 kap.). Ett sådant alternativ hade dock medfört att omfattningen av användningsbegränsningarna hade blivit större än vad som nu är fallet, detta på grund av att den av oss nu föreslagna lagstiftningen enbart omfattar behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som

är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

En placering av motsvarande bestämmelser i de internationella samarbetslagarna hade således inneburit att användningsbegränsningarna inte hade begränsats till det som omfattas av dataskyddsrambeslutet.

Mot bakgrund av det ovan anförda föreligger alltså enligt vår mening skäl att föreslå att en ny lag ska införas.

Ett annat alternativ till vår föreslagna nya lag hade varit att placera bestämmelserna i var och en av de registerförfattningar som gäller för de aktuella myndigheter som anges i 2 § i vår föreslagna lag.

Vi anser dock att det för tillämparna blir tydligast att ifrågavarande regler finns i en särskild lag. Det lämpar sig nämligen enligt vår mening bäst att specialregler inom ett visst område finns i särskild lag till vilken man sedan gör hänvisningar (jfr 2 kap. 2 § tryckfrihetsförordningen).

Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.

Mot bakgrund härav och av tydlighetsskäl föreslår vi också att ett antal hänvisningsparagrafer till vår nya lag ska införas i myndigheternas registerförfattningar (se vidare kap. 15).

Vad gäller lagens tillämpningsområde m.m. finns bestämmelser i 1–3 §§.

I 1 § anges att lagen avser bestämmelser om användningsbegränsningar enligt dataskyddsrambeslutet.

I 2 § anges dels att lagen gäller vidarebehandling av personuppgifter, dels att lagen enbart ska tillämpas inom ramen för polissamarbete och straffrättsligt samarbete vad gäller personuppgifter som har tagits emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat (jfr kap. 8 ovan).

I paragrafen anges också vilka myndigheter som omfattas av lagens bestämmelser. Dessa myndigheter är Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket samt Åklagarmyndigheten och Ekobrottsmyndigheten (jfr kap. 4 ovan). Vad gäller undantaget för Säkerhetspolisen, se avsnitt 8.3.1 ovan.

I 3 § stadgas att lagen gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad samt för

annan vidarebehandling av uppgifter under förutsättning att uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (jfr avsnitt 8.2.6 ovan).

Angående vårt ställningstagande vad gäller uppgifter som tagits emot från en EU-myndighet eller ett informationssystem inom EU, se avsnitt 8.2.5.

Nedan (se kap. 12.5–12.10 samt i kap. 13.1.5) följer en genomgång av artiklarna i dataskyddsrambeslutet vad gäller användningsbegränsningarna, samt förslag till ändringar och kompletteringar av svensk rätt.

12.4. Vidarebehandling – gemensamma bestämmelser

Vår bedömning: Bestämmelserna i artikel 3.2 dataskyddsram-

beslutet föranleder inte någon ändring i lag eller förordning. Vad avser vidarebehandling för historiska, statistiska eller vetenskapliga ändamål se vidare kap. 12.6 nedan.

När det gäller annan vidarebehandling än för historiska, statistiska eller vetenskapliga ändamål ställer dataskyddsrambeslutet mer preciserade krav än dataskyddsdirektivet.

Artikel 3.2 i dataskyddsrambeslutet innehåller bestämmelser om vidarebehandling av personuppgifter som omfattas av rambeslutet, när det gäller andra ändamål än det ursprungliga ändamålet, eller historiska, statistiska eller vetenskapliga ändamål.

Följande förutsättningar anges.

  • Behandlingen ska inte vara oförenlig med det ändamål för vilket uppgifterna samlades in.
  • Den behandlande myndigheten ska vara behörig att utföra behandlingen.
  • Behandlingen ska vara nödvändig och stå i proportion till det andra ändamålet.

Begreppet vidarebehandling finns inte definierat i artikel 2 i dataskyddsrambeslutet (jfr kap. 9 ovan). Begreppet – som inte heller förekommer i personuppgiftslagen eller registerförfattningarna – får enligt vår mening anses utgöra vidare behandling av person-

uppgifter som har överförts eller gjorts tillgänglig av bl.a. annan medlemsstat.

Då begreppet förekommer i dataskyddsrambeslutet (se artikel 3 och 11 samt i skäl 20 och 21 i dataskyddsrambeslutets inledande delar) har vi funnit skäl att använda oss av samma begrepp i vår nya föreslagna lag om användningsbegränsningar (se nedan avsnitt 12.3.5).

Enligt artikel 11 i dataskyddsrambeslutet begränsas vidarebehandlingen av uppgifter som har överförts eller gjorts tillgängliga ytterligare genom att avse vissa däri särskilt uppräknade ändamål, bl.a. för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga eller för andra rättsliga eller administrativa förfaranden med direkt anknytning till sådan verksamhet (se vidare kap. 12.5).

I artikel 3.2 b) och c) ställs upp villkor för vidarebehandling genom att de berörda myndigheterna ska ha befogenhet att behandla uppgifterna för det andra ändamålet enligt nationell rätt och att behandlingen ska vara nödvändig och stå i proportion till det ursprungliga ändamålet.

Dessa villkor får anses uppfyllda genom bestämmelserna i 9 § a) och e) personuppgiftslagen om grundläggande krav på behandlingen av personuppgifter.

Vi bedömer mot bakgrund härav inte att, med anledning enbart av bestämmelserna i artikel 3.2, det föreligger skäl att föreslå något tillägg till eller justering av svensk rätt.

Vad avser vidarebehandling för historiska, statistiska eller vetenskapliga ändamål se vidare kap. 12.6 nedan.

12.5. Behandling av personuppgifter som har överförts från eller gjorts tillgängliga av en annan medlemsstat (artikel 11)

12.5.1. Allmänt innehåll

Artikel 11 i dataskyddsrambeslutet har följande lydelse.

Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat

Personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får, i enlighet med

kraven i artikel 3.2, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes tillgängliga:

a) För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga.

b) För andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder.

c) För att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

d) För varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.

Dessutom får de överförda personuppgifterna behandlas vidare av de behöriga myndigheterna för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder som exempelvis avidentifiering av uppgifterna.

Artikeln innehåller enligt vår mening mer preciserade begränsningar än vad som anges i artikel 3 (se vidare kap. 10 om Ändamålsbestämmelser).

Enligt artikel 11 första stycket måste förutsättningarna enligt artikel 3.2 a – bl.a. att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in – alltid vara uppfyllda.

Reglerna om begränsningar vad gäller vidarebehandling är i huvudsak aktuella i de situationer där den mottagande myndigheten själv vill vidarebehandla uppgifter för ett helt annat ändamål än brottsbekämpning eller vill lämna uppgifterna vidare till en myndighet som varken sysslar med brottsbekämpning, lagföring eller verkställighet av straff. I praktiken torde därför detta inte ha så stor påverkan på de berörda myndigheternas verksamhet (jfr prop. 2008/09:16 s. 38).

I artikel 11 anges, under punkterna a)–d), de syften för vilka personuppgifter som omfattas av dataskyddsrambeslutet får vidarebehandlas, i enlighet med kraven i artikel 3.2 och för andra ändamål än de för vilka personuppgifterna överfördes eller gjordes tillgängliga.

12.5.2. Artikel 11 a)

Punkt a) avser vidarebehandling av personuppgifter för att förebygga, upptäcka, utreda eller lagföra andra brott än de som föranledde att uppgifterna överfördes eller gjordes tillgängliga samt för verkställighet av annan påföljd.

Dessa ändamål torde ha stor praktisk betydelse från verksamhetssynpunkt. Vidarebehandling i syfte att förebygga, upptäcka, utreda eller lagföra ett annat brott är således alltid tillåten.

Av prop. 2008/09:16 s. 39 framgår följande.

Vidarebehandling får alltså ske om uppgifterna behövs för att handlägga konkreta brottsmisstankar. Vidarebehandling för att förebygga brott skapar också utrymme för att behandla uppgifter även utan konkreta brottsmisstankar. Likaså måste uppgifter få användas t.ex. för att berika pågående underrättelsearbete eller för att verkställa en existerande påföljd. Det kan också vara nödvändigt för polisen att bevara och behandla information om brott och brottstyper för specifika ändamål, t.ex. att jämföra tillvägagångssättet vid allvarliga brott eller att övervaka seriebrottslingar.

12.5.3. Artikel 11 b)

Punkt b) avser vidarebehandling av personuppgifter för andra rättsliga eller administrativa förfaranden som har direkt anknytning till förebyggande, avslöjande, utredning eller lagföring av brott eller till verkställigheten.

I prop. 2008/09:16 s. 37 anges följande exempel på när personuppgifterna i detta sammanhang får, alternativt bör, kunna vidarebehandlas.

  • För indrivning av skadestånd, företagsbot eller andra ekonomiska åligganden i en brottmålsdom.
  • I nådeärenden samt i ärenden som rör ändring av påföljd.
  • I ärenden angående särskild förverkandetalan vad gäller utbyte av brottslig verksamhet.
  • För att ta ut skatt, tull eller andra avgifter som är direkt relaterade till det brott för vilket de överfördes.

Härutöver kan som ytterligare exempel anges polisens egen tillståndsverksamhet i s.k. tillståndsärenden vid bl.a. stora evenemang.

12.5.4. Artikel 11 c)

Punkt c) avser vidarebehandling av personuppgifter för att avvärja en överhängande och allvarlig fara för allmän säkerhet.

I prop. 2008/09:16 s. 38 anges att utrymmet för tillämpningen av denna bestämmelse torde vara begränsat och komma i fråga framför allt i de fall där man inte hinner kontakta den andra staten därför att behovet av att agera har uppkommit plötsligt.

12.5.5. Artikel 11 d)

Punkt d) avser vidarebehandling av personuppgifter för vilket annat ändamål som helst, under förutsättning att den överförande staten har lämnat medgivande till detta i enlighet med sin nationella lagstiftning.

Av skäl 20 i dataskyddsrambeslutets inledande delar framgår vidare att ett medgivande till vidarebehandling av uppgifter som har överförts från en annan stat, beroende på den enskilda statens nationella lagstiftning, kan lämnas i form av ett allmänt samtycke till vidarebehandling av kategorier av information eller för en viss typ av behandling.

12.5.6. Våra förslag

Våra förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om ändamål för vidarebehandling av personuppgifter(4 §, första och andra styckena) med följande innehåll.

Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a) för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) för varje annat syfte endast om den överförande medlemsstaten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.

Som anförts ovan måste, enligt artikel 11 första stycket, förutsättningarna enligt artikel 3.2 a) – att exempelvis behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen) – alltid vara uppfyllda.

I artikel 11 d) anges härutöver – vad gäller vidarebehandling i vissa fall – att även i de situationer då ett ändamål för vidarebehandling är förenligt med det ursprungliga ändamålet, kan sådan vidarebehandling ändå inte få ske, om samtycke inte har givits.

I prop. 2008/09:16 s. 39 har mot bakgrund härav anförts att finalitetsprincipen i 9 § d) personuppgiftslagen (jfr avsnitt 10.4.1) inte i sig är tillräcklig för att följa de krav som dataskyddsrambeslutet ställer upp i denna del.

Bestämmelser i svensk rätt om internationellt samarbete, med s.k. användningsbegränsningar, tar över vad som är gällande i andra fall, t.ex. angående åtalsplikt (se vidare kap. 5).

Som anförts ovan (se avsnitt 12.3.2) reglerar dataskyddsrambeslutet enbart vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i artikel 11 har inte i detalj någon motsvarighet i registerförfattningarna i svensk rätt. Skäl att införa kompletterande bestämmelser i denna del föreligger därför.

Vi föreslår mot bakgrund härav att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om ändamål för vidarebehandling av personuppgifter(4 § första och andra styckena) med följande innehåll.

Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a) för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) för varje annat syfte endast om den överförande medlemsstaten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.

12.6. Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål (artikel 3 sista stycket och artikel 11 sista stycket)

Våra förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om uppgifter för historiska, statistiska eller vetenskapliga ändamål (4 § tredje stycket) med följande innehåll.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Enligt artikel 3 sista stycket och artikel 11 sista stycket dataskyddsrambeslutet är behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål generellt tillåten enligt rambeslutet, men bara under förutsättning att medlemsstaterna föreskriver lämpliga skyddsåtgärder.

Motsvarande krav ställs i dataskyddsdirektivet. Enligt 9 § första stycket punkten i) i personuppgiftslagen får inte personuppgifter bevaras under längre tid än vad som är

nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock enligt 9 § tredje stycket samma lag, under längre tid bevaras för historiska, statistiska eller vetenskapliga ändamål.

Att behandla personuppgifter som bevaras för sådana ändamål är dock begränsad. Dessa personuppgifter får användas för att vidta åtgärder mot den registrerade bara om denne har samtyckt till det eller om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

I propositionen till personuppgiftslagen (prop. 1997/98:44 s. 47 f.) diskuterades ingående huruvida den svenska arkivlagstiftningen uppfyllde kraven i dataskyddsdirektivet i detta avseende. Regeringen ansåg att så var fallet och riksdagen anslöt sig till detta.

I prop. 2008/09:16 s. 34 anförs att dataskyddsrambeslutet inte bedöms, med något enstaka undantag (se nedan angående Tullverket), kräva några lagändringar när det gäller bl.a. vidarebehandling för historiska, statistiska eller vetenskapliga ändamål.

Sett till det ovan anförda föreligger skäl att anse att bestämmelsen i artikel 3, sista stycket, inte ska föranleda några författningsförslag från vår sida. Vi har dock ändå, för tydlighets skull, valt att i 4 § om ändamål för vidarebehandling av personuppgifter i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införa en bestämmelse med följande innehåll.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Närmare om Tullverket

I sistnämnda proposition framhålls vidare att de flesta av registerförfattningarna har, i fråga om vidarebehandling för historiska, statistiska eller vetenskapliga ändamål, regleringar motsvarande personuppgiftslagens.

Tullverkets författningar lämnar dock utrymme för att handlingar bevaras i stället för att gallras, men anger inte för vilka ändamål dessa får bevaras. Dessa författningar kan därför behöva ses över. Härutöver har i propositionen (s. 38) vad gäller Tullverket och vidarebehandling av personuppgifter, anförts följande.

För Tullverkets del uttrycks i lagen uttömmande de ändamål för vilka behandling får ske och någon hänvisning till 9 § första stycket d) personuppgiftslagen finns inte.

Emellertid är ändamålsbestämmelserna för tullens brottsbekämpande verksamhet angivna på ett sådant sätt att Tullverket i stort sett torde ha samma möjlighet att vidarebehandla och lämna ut uppgifter till andra myndigheter som om verket haft att tillämpa en bestämmelse motsvarande den i 9 § första stycket d) personuppgiftslagen. Det kan dock inte uteslutas att det kan uppkomma situationer i vilka ändamålsbestämmelserna inte täcker en upptänklig vidarebehandling, som får ske enligt bestämmelserna i rambeslutet. Det kan därför finnas behov av att se över om ändamålsbestämmelserna för Tullverkets del överensstämmer med rambeslutet.

De ovan nämnda ändamålsbestämmelserna för Tullverkets brottsbekämpande verksamhet kan enligt vår mening inte anses avse frågor som berör genomförandet av dataskyddsrambeslutet i svensk rätt.

Vi anser därför inte att det inom ramen för vårt uppdrag föreligger skäl att beröra denna fråga.

12.7. Iakttagande av nationella restriktioner för behandling av uppgifter (artikel 12)

Våra förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om nationella restriktioner för behandling av uppgifter (7 §) med följande innehåll.

Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

Artikel 12 i dataskyddsrambeslutet har följande lydelse.

Iakttagande av nationella restriktioner för behandling av uppgifter

1. Om det, enligt den överförande medlemsstatens nationella lagstiftning, under särskilda omständigheter gäller särskilda begränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.

2. Vid tillämpning av punkt 1 ska medlemsstaterna inte tillämpa några andra begränsningar när det gäller överföringen av uppgifter till andra medlemsstater eller till byråer eller organ som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen än de som gäller motsvarande nationella överföringar av uppgifter.

I artikel 12.1 anges således regler om viss informationsskyldighet från den överförande staten till mottagaren vad gäller särskilda begränsningar enligt den överförande statens lagstiftning i fråga om utbyte av personuppgifter mellan nationella myndigheter. Mottagaren ska å sin sida se till att dessa begränsningar för behandling följs.

Medlemsstaterna får enligt artikel 12.2 inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar.

I prop. 2008/09:16 s. 41 har angetts att de befintliga reglerna om användningsbegränsningar i svensk rätt i huvudsak är tillräckliga för att uppfylla dataskyddsrambeslutet i dessa delar, men att behovet av lagändringar kan behöva analyseras närmare.

Vad gäller regler om information till den registrerade finns bestämmelser i artikel 16.2 (se avsnitt 13.1.5 nedan).

Vi gör i denna del bedömningen att artikel 12 innehåller sådana användningsbegränsningar som bör föranleda ett tillägg i svensk rätt.

Angående andra stycket i vår föreslagna paragraf kan det i och för sig ifrågasättas om det inte är tillräckligt med den formulering som vi föreslår i första stycket, sista meningen. Då det i dataskyddsrambeslutet uttryckligen har förts in bestämmelser i artikel 12.2 föreslår vi dock att det även i svensk rätt ska föras in en motsvarande förtydligande bestämmelse.

Vi föreslår därför att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska

unionen, införs en bestämmelse om iakttagande av nationella restriktioner för behandling av uppgifter (7 §) med följande innehåll.

Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

12.8. Överföring till behöriga myndigheter i tredjestater eller till internationella organ (artikel 13)

Våra förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om överföring av personuppgifter till tredje land eller till internationella organ (5 §) med följande innehåll.

Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a) det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b) mottagaren har ansvar för sådan verksamhet som anges i a),

c) den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d) mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

Uppgifter får föras över utan samtycke enligt första stycket om det är absolut nödvändigt, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för en medlemsstats väsentliga intresse, och ett sådant samtycke inte kan erhållas i tid.

12.8.1. Allmänt om artikel 13

Artikel 13 i dataskyddsrambeslutet har följande lydelse.

Överföring till behöriga myndigheter i tredjestater eller till internationella organ

1. Medlemsstaterna ska föreskriva att personuppgifter som överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får överföras till tredjestater eller internationella organ endast om

a) detta är nödvändigt för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

b) den mottagande myndigheten i tredjestaten eller det mottagande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verkställigheten av straffrättsliga påföljder,

c) den medlemsstat från vilken uppgifterna erhölls har gett sitt samtycke till överföringen i enlighet med sin nationella lagstiftning, och om

d) berörd tredjestat eller internationellt organ sörjer för en adekvat skyddsnivå för den avsedda databehandlingen.

2. Överföring utan förhandsmedgivande enligt punkt 1 c ska tillåtas endast om överföringen av uppgifter är absolut nödvändig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för en medlemsstats väsentliga intressen och ett förhandsmedgivande inte kan erhållas i tid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.

3. Med avvikelse från punkt 1 d får personuppgifter överföras om

a) den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

i) den registrerades legitima specifika intressen, eller ii) legitima faktiska intressen, främst viktiga allmänna intressen, eller

b) tredjestaten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

4. Bedömningen av om den skyddsnivå som avses i punkt 1 d är adekvat ska ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn ska tas till uppgifternas art, den föreslagna behandlingens eller behandlingarnas ändamål och varaktighet, ursprungsstaten och den stat eller internationella organ som utgör slutdestination för uppgifterna, den lagstiftning, både allmän och sektoriell, som gäller i den berörda tredjestaten eller för det berörda

internationella organet samt de yrkesregler och säkerhetsbestämmelser som ska tillämpas.

Bestämmelserna i dataskyddsrambeslutet – som innehåller förbud mot överföring av uppgifter till tredjeland, internationella organ eller organisationer – begränsar rätten att använda uppgifterna.

Artikeln ställer således upp vissa krav på när uppgifter som omfattas av dataskyddsrambeslutet ska få föras över eller göras tillgängliga. Sådan överföring får ske endast om den är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd, mottagaren har ansvar för sådan verksamhet, den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, och mottagaren har en adekvat skyddsnivå för databehandling.

För att det ska vara tillåtet att föra över uppgifter eller att göra dessa tillgängliga för ett tredjeland eller ett internationellt organ måste således samtliga dessa villkor som huvudregel vara uppfyllda.

I artikel 13.2 anges som undantag från kraven på förhandsmedgivande till överföring att detta endast får ske om överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller för en medlemsstats väsentliga intressen och ett förhandsmedgivande inte hinner utverkas i tid. I sådana fall ska den myndighet som ska medge överföring underrättas utan dröjsmål.

Från kravet på adekvat skyddsnivå hos mottagaren medges också – enligt artikel 13.3 och 13.4 – vissa undantag, nämligen om den nationella lagstiftningen hos den medlemsstat som överför uppgifterna föreskriver detta på grund av vissa viktiga intressen eller om mottagaren sörjer för skyddsåtgärder som den överförande staten bedömer vara tillräckliga enligt sin lagstiftning.

Vid bedömningen av om skyddsnivån är adekvat ska hänsyn tas till alla relevanta omständigheter, bl.a. uppgifternas art, syftet med behandlingen och varaktigheten av densamma.

Angående vårt ställningstagande vad gäller uppgifter som tagits emot från en EU-myndighet eller ett informationssystem inom EU, se avsnitt 8.2.5 ovan.

Formuleringen i artikel 13 i dataskyddsrambeslutet – vilken även återfinns i 5 § i vårt förslag till ny lag inom området (se avsnitt 12.8.2 nedan) – att personuppgifter har ”gjorts tillgängliga” för medlemsstaten, anser vi dessutom tillräckligt tydliggörande i denna del. Eftersom personuppgifterna i grunden är hänförliga till

medlemsstaterna är det enligt vår mening i detta sammanhang tillräckligt att i vår nya lag (se avsnitt 12.8.2) enbart referera till medlemsstaterna.

12.8.2. Jämförelse med svensk rätt

I 3335 §§personuppgiftslagen (1998:204) anges följande

Förbud mot överföring av personuppgifter till tredje land

33 §

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Undantag från förbudet mot överföring av personuppgifter till tredje land

34 §

Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

35 §

Regeringen får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje

land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Personuppgiftslagen föreskriver således ett generellt förbud mot överföring av personuppgifter till tredje land, nämligen om landet inte har en adekvat nivå för skyddet av personuppgifterna.

Personuppgiftslagen innehåller dock inte något generellt förbud mot överföring av personuppgifter till internationella organ.

Flera av de författningar som avser internationellt samarbete (se avsnitt 12.3.1 och kap. 5) innehåller särskilda regler om t.ex. utlämnande av uppgifter till såväl utländska myndigheter som mellanfolkliga organisationer, såsom

I 10 § första stycket lagen (2000:344) om Schengens informationssystem stadgas att en uppgift som behandlas i registret inte får överföras eller göras tillgänglig för ett tredje land eller en internationell organisation.

Reglerna är i stort sett utformade på samma sätt. De tillåter att uppgifter lämnas ut om detta följer av en internationell överenskommelse som har godkänts av riksdagen eller om en för Sverige bindande överenskommelse har träffats med en annan stat.

I prop. 2008/09:16 s. 43 har – angående svensk rätt jämförd med artikel 13 i dataskyddsrambeslutet – framhållits att de nu nämnda reglerna om förutsättningarna för att föra över uppgifter till tredje land eller till mellanfolkliga organ, inte innehåller begränsningar i den utsträckning som artikel 13 kräver. – I propositionen görs samtidigt bedömningen att de svenska bestämmelserna om

användningsbegränsningar i huvudsak uppfyller dataskyddsrambeslutet i denna del, men anges vidare ”-- att behovet av lagändringar inom vissa verksamhetsområden kan behöva analyseras närmare.”

Med beaktande av vad vi ovan anfört om att dataskyddsrambeslutet endast reglerar vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 12.3.2) är det av huvudsakligt intresse för vår bedömning om registerförfattningarna i svensk rätt innehåller motsvarande regler.

Vid en jämförelse mellan sistnämnda författningars bestämmelser och reglerna i artikel 13 dataskyddsrambeslutet, finner vi att svensk rätt inte överensstämmer med dataskyddsrambeslutets angivna användningsbegränsningar.

Mot bakgrund härav anser vi att nya bestämmelser med motsvarande begränsningar som finns i artikel 13 ska införas i vår föreslagna nya lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (5 §) enligt följande.

Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a) det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b) mottagaren har ansvar för sådan verksamhet som anges i a),

c) den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d) mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

Uppgifter får föras över utan samtycke enligt första stycket om det är absolut nödvändigt, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för en medlemsstats väsentliga intresse, och ett sådant samtycke inte kan erhållas i tid.

Skäl att föra in ytterligare delar av artikel 13 föreligger inte.

12.8.3. Närmare om vissa begrepp i artikel 13

Tredjestater

I artikel 13 finns regler om hur personuppgifter ska få föras över till tredjestater. I den engelska versionen av dataskyddsrambeslutet anges motsvarande begrepp som third States.

I svensk rätt – se 3 § personuppgiftslagen – anges begreppet tredje land som en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

Den engelska översättningen av denna term är third countries. Vi anser att det inte finns någon saklig skillnad mellan begreppen och har i våra förslag genomgående använt begreppet tredje land.

Internationella organ

I artikeln anges vidare hur personuppgifter ska få föras över till internationella organ. I den engelska versionen av dataskyddsrambeslutet anges motsvarande begrepp som international bodies.

Allmänt torde en internationell organisation vara en organisation vars verksamhet eller medlemsbas överskrider enskilda nations- och statsgränser. En internationell organisation kan antingen vara mellanstatlig eller icke-statlig. Exempel på mellanstatliga organisationer är Förenade Nationerna och världshandelsorganisationen WTO. Exempel på icke-statliga organisationer är Röda Korset och Amnesty, som är så kallade NGO:s (Non-Governmental Organizations).

I svensk rätt förekommer i detta sammanhang ett flertal snarlika begrepp; internationellt organ eller internationell organisation, mellanfolkligt organ eller mellanfolklig organisation. Någon tydlig linje hur begreppen skiljer sig åt är svårt att läsa ut i här aktuella svenska bestämmelser. Detta speglas bl.a. genom att det i den proposition som låg till grund för det preliminära godkännandet av dataskyddsrambeslutet i Sverige (prop. 2008/09:16 s. 43) i samma stycke används ett flertal olika begrepp, som regeringen torde avse ha samma innebörd.

Personuppgiftslagen innehåller dock inte något generellt förbud mot överföring av personuppgifter till internationella organ. Flera av de författningar som nu är aktuella innehåller särskilda regler om utlämnande av uppgifter till såväl utländska myndigheter som mellanfolkliga organisationer. Reglerna är i stort sett utformade på samma

sätt. De tillåter att uppgifter lämnas ut om detta följer av en internationell överenskommelse som har godkänts av riksdagen eller om en för Sverige bindande överenskommelse har träffats med en annan stat. De nu nämnda reglerna om förutsättningarna för att överföra uppgifter till tredjeland eller till mellanfolkliga organ innehåller dock inte begränsningar i den utsträckning som artikel 13 kräver. Bestämmelserna i rambeslutet om förbud mot överföring av uppgifter till tredjeland, internationella organ eller organisationer begränsar rätten att använda uppgifterna.

I lagen (1946:818) om bevisupptagning åt internationella organ används begreppet internationella organ. Detta görs också i prop. 2009/10:245 Folkbokföring av personer med anknytning till internationella organ.

I flera av ovan nämnda lagar (se avsnitt 12.3.1) och i 2 kap. 8 § lagen (2000:1219) om internationellt tullsamarbete används dock begreppet mellanfolklig organisation. Andra exempel där detta begrepp används är bl.a. i 8 kap. 3 § och 15 kap. 1 §offentlighets- och sekretesslagen (2009:400). Begreppet mellanfolklig organisation används också i 10 kap. 1 § regeringsformen för att beskriva staten Sveriges förhållande till sådan organisation.

Med mellanfolklig organisation i detta sammanhang avses endast organisationer som är rättssubjekt enligt folkrätten, dvs. i huvudsak sådana där stater är medlemmar (Henrik Jermstens kommentar i Karnov).

Då olika begrepp förekommer i svensk rätt och i prop. 2008/09:16 ovan har vi i våra förslag till nya bestämmelser och ändringar i gällande svensk rätt valt att använda oss av det begrepp som finns i dataskyddsrambeslutet; nämligen internationella organ.

Behörig myndighet

En grundläggande förutsättning enligt artikeln är att överföringen ska ske till behörig myndighet i tredje land.

I artikel 2 h) definieras ”behöriga myndigheter” enligt följande.

Behöriga myndigheter: byråer eller organ som inrättats genom rättsakter antagna av rådet enligt avdelning VI i fördraget om Europeiska unionen, samt polismyndigheter, tullmyndigheter, domstolar eller andra behöriga myndigheter i medlemsstaterna som genom nationell lagstiftning är bemyndigade att behandla personuppgifter inom tillämpningsområdet för detta rambeslut.

12.9. Överföring till privata parter i medlemsstaterna (artikel 14)

Våra förslag och vår bedömning: I den av oss föreslagna nya

lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om överföring till privata parter i medlemsstaterna (6 §) med följande innehåll.

Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1. myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2. inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3. överföringen är absolut nödvändig för att

a) utföra en författningsenlig uppgift,

b) förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) förhindra att enskildas rättigheter lider allvarlig skada. Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Undantaget från innehållet i artikel 14 i dataskyddsrambeslutet som redogörs för i skäl 18 i dataskyddsrambeslutets inledande delar bör inte föras in i vår lag.

Artikel 14 i dataskyddsrambeslutet har följande lydelse.

Överföring till privata parter i medlemsstaterna

1. Medlemsstaterna ska föreskriva att personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat endast får överföras till privata parter om

a) den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,

b) inga legitima specifika intressen för den registrerade personen hindrar överföringen, och om

c) överföringen i särskilda fall är absolut nödvändig för att den behöriga myndighet som överför uppgifterna till en privat part ska kunna

i) utföra en uppgift den lagenligen tilldelats, ii) förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,

iii) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iv) förhindra att enskilda personers rättigheter lider allvarlig skada.

2. Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål uppgifterna uteslutande får användas.

För vidarebehandling i form av överföring av personuppgifter som har erhållits från en annan medlemsstat till privata parter i medlemsstaterna ställs således enligt artikeln särskilt stränga krav. Överföring är tillåten endast om behörig myndighet i den andra staten har samtyckt till överföring och inga legitima intressen för den registrerade hindrar överföringen samt överföringen i det enskilda fallet är absolut nödvändig för att

  • utföra en författningsenlig uppgift,
  • förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder,
  • avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller
  • förhindra att enskildas rättigheter lider allvarlig skada.

Något av de ovan nämnda skälen ska alltså vara uppfyllda.

Enligt artikel 14.2 ska vidare myndigheten – vid överföringen – underrätta mottagaren om för vilket ändamål uppgifterna uteslutande får användas.

En bokstavstolkning av innehållet i artikel 14 – artikelns rubrik ”privata parter i medlemsstaterna” och första stycket ”får överföras till privata parter” – innebär att artikeltexten om överföring av personuppgifter till privata parter skulle kunna tolkas så att den skulle omfatta alla medlemsstater inom Europeiska unionen, inklusive förhållandena inom Sverige. Vi har i denna del ansett att svensk rätt i detta sammanhang har en tillräcklig reglering och omfattning, genom bestämmelserna i personuppgiftslagen (1998:204), myndigheternas registerförfattningar och offentlighets- och sekretesslagen (2009:400), för att kunna säkerställa skyddet av

enskildas personliga integritet mm. och för att därigenom leva upp till dataskyddsrambeslutets syfte och krav.

Vi anser därför att den enda rimliga tolkningen av artikelns innehåll är att den ska reglera situationen om överföring som rör annan medlemsstat i Europeiska unionen än Sverige.

Genom en ändamålstolkning av artikeltexten anser vi därför att den författningstext som vi föreslår ska införas med anledning dataskyddsrambeslutet i denna del ska utformas på sådant sätt att den tydliggör att detta enbart avser överföring av personuppgifter till en privat part i en ”annan medlemsstat”.

I skäl 18 i dataskyddsrambeslutets inledande delar framhålls att regleringen i artikel 14 inte berör personuppgifter som lämnas från domstolar, polisen eller Tullverket till privata parter i brottmål. Som exempel på sådana privata parter nämns här försvarsadvokater och brottsoffer.

Det kan övervägas om undantaget i skäl 18 från bestämmelserna i artikel 14 i dataskyddsrambeslutet uttryckligen bör tas in i vår föreslagna nya lag.

Enligt vår mening är detta undantag dock en självklar förutsättning i svensk rätt. Lika självklart som att den enskilde själv ska ha rätt att ta del av sina egna uppgifter.

Vi noterar även att undantaget inte heller har förts in direkt i artikeltexten utan enbart i de inledande delarna av dataskyddsrambeslutet.

Sammantaget anser vi därför att det inte finns skäl att uttryckligen föra in undantaget i vår föreslagna lag.

I skäl 17 i dataskyddsrambeslutets inledande delar nämns vidare som exempel på när det kan vara nödvändigt att lämna uppgifter för att avvärja en omedelbar och allvarlig fara för allmän säkerhet och förhindra att enskilda personers rättigheter lider allvarlig skada. Exemplen som nämns är varningar till banker eller kreditinstitut om förfalskade värdepapper.

Dessutom anges i samma skäl – i fråga om fordonsstölder – uppgiftslämnande till försäkringsbolag för att hindra olaglig handel med stulna motorfordon och för att återföra stulna motorfordon från utlandet.

I prop. 2008/09:16 s. 44 anförs att svensk rätt i huvudsak bedöms uppfylla dataskyddsrambeslutet i denna del. I förarbetena anges även att möjligheten till utlämnande av uppgifter med stöd av offentlighetsprincipen bör uppmärksammas i sammanhanget. Det framhålls också att det i artikeln görs undantag från huvudregeln

för sådant uppgiftslämnande som utgör ett normalt led i brottmålsprocessen, dvs. uppgifter till parter i brottmål, brottsoffer och försvarare.

Bestämmelserna i artikel 14 ovan har dock inte någon uttrycklig motsvarighet i registerförfattningarna i svensk rätt, varför skäl till att införa kompletterande bestämmelser föreligger i denna del.

Vi föreslår att i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska införas en bestämmelse om överföring till privata parter i medlemsstaterna (6 §) med följande innehåll.

Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1. myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2. inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3. överföringen är absolut nödvändig för att

a) utföra en författningsenlig uppgift,

b) förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d) förhindra att enskildas rättigheter lider allvarlig skada. Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Angående vårt ställningstagande vad gäller uppgifter som har tagits emot från en EU-myndighet, ett EU-organ eller ett informationssystem inom EU, se avsnitt 8.2.5 ovan.

Formuleringen i artikel 14 i dataskyddsrambeslutet – vilken även återfinns i 6 § i vårt förslag till ny lag på området – att personuppgifter har ”gjorts tillgängliga” för medlemsstaten, anser vi dessutom tillräckligt tydliggörande i denna del. Eftersom personuppgifterna i grunden är hänförliga till medlemsstaterna är det enligt vår mening i detta sammanhang tillräckligt att i vår nya lag ovan enbart referera till medlemsstaterna.

12.10. Skyldighet att iaktta överförande stats gallringsfrister (artikel 9)

Våra förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om bevarande och gallring (9 §) med följande innehåll.

Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.

Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

Artikel 9 i dataskyddsrambeslutet har följande lydelse.

Tidsfrister

1. När den överförande myndigheten överför uppgifter eller gör dessa tillgängliga, får den enligt nationell lagstiftning och i enlighet med artiklarna 4 och 5 meddela de tidsfrister för lagring av uppgifterna efter vilka mottagaren ska radera eller blockera uppgifterna eller kontrollera om dessa fortfarande behövs. Denna skyldighet ska inte tillämpas, om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

2. Om den överförande myndigheten inte har angivit en tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna 4 och 5 för lagring av uppgifterna enligt de mottagande medlemsstaternas nationella lagstiftning tillämpas.

Artikeln anger således att mottagaren av personuppgifter som huvudregel är skyldig att – när de tidsfrister för gallring m.m. som meddelats av den överförande staten löper ut – radera eller blockera uppgifterna eller att göra en bedömning av om uppgifterna fortfarande behövs.

Om uppgifterna vid tidsfristens utgång behövs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder gäller inte gallringsskyldigheten. Av prop. 2008/09:16 s 41f framgår följande.

Även här är det alltså fråga om bestämmelser i den överförande statens nationella rätt som följer med uppgifter som överförs. Kravet på att

den överförande statens gallringsfrister ska iakttas kan innebära en begränsning i rätten att använda eller på annat sätt vidarebehandla uppgifter för ett ändamål som annars skulle ha varit tillåtet, t.ex. för att inleda en brottsutredning. Ett villkor om att en överförd uppgift ska gallras efter en bestämd tid som uppställs i samband med överförandet skulle därför kunna ses som en sådan användningsbegränsning som anges i de olika författningar som innehåller bestämmelser om användningsbegränsningar --- --- Ett sådant synsätt kan emellertid ifrågasättas. Syftet med bestämmelserna om användningsbegränsningar är att begränsa rätten att använda uppgifter till vissa bestämda ändamål. Skyldighet att gallra en uppgift sträcker sig längre än så eftersom det innebär ett förbud mot att låta uppgiften finnas kvar tillgänglig efter en viss tid, således även ett förbud mot att använda uppgiften för det ändamål som den överfördes för. Syftet med att underrätta mottagarstaten om en gallringsfrist torde snarare vara att på ett mera allmänt plan upprätthålla ett önskat dataskydd än att styra användningsområdet för den uppgift som överförs. I det fortsatta lagstiftningsarbetet bör därför närmare analyseras om det behövs kompletterande lagstiftning (jfr prop. 2007/08:83 s. 48).

En jämförelse kan i detta sammanhang göras med Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet, jfr avsnitt 5.3.5).

Artikel 28.3 b) i Prümrådsbeslutet har följande innehåll.

Översända personuppgifter ska utplånas om de inte borde ha översänts eller mottagits. Uppgifter som har översänts och mottagits korrekt ska utplånas –- efter det att den tidsfrist som fastställs för lagring av uppgifterna enligt den översändande medlemsstatens nationella lagstiftning har löpt ut, när det översändande organet har informerat det mottagande organet om denna maximala lagringstid i samband med att uppgifterna översändes.

I propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/10:177 s. 15) anges att när det gäller uppgifter som har överskridit den längsta tillåtna tiden för bevarande i artikel 28.3 rör det sig om ett villkor som är känt redan vid översändandet och som därmed kan sägas utgöra ett villkor för att uppgifterna ska få användas.

Vår bedömning

Gallringsregler av personuppgifter finns som regel i de olika registerförfattningarna. I annat fall blir personuppgiftslagens och arkivlagens bestämmelser tillämpliga. De olika registerförfattningarnas gallringsbestämmelser går huvudsakligen ut på att uppgifter ska gallras viss tid efter att de inte längre behövs för sina ursprungliga ändamål.

Vi finner inget skäl att – med anledning av vad som anges i dataskyddsrambeslutet – göra några ändringar vad gäller de allmänna gallringsbestämmelserna i registerförfattningarna, personuppgiftslagen eller arkivlagen.

Däremot anser vi att om ett villkor för användning av personuppgifter ställs upp redan vid översändandet av sådana uppgifter är detta att se som en användningsbegränsning som bör regleras särskilt i svensk rätt.

Artikel 9.1 i dataskyddsrambeslutet är enligt vår mening att se som en sådan användningsbegränsning.

Vi föreslår mot bakgrund härav att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska införas en bestämmelse om tidsfrister för bevarande och gallring (9 §).

Ur ett integritetsskyddsperspektiv föreslås denna bestämmelse begränsas till kortare tidsfrister än vad som följer av svensk rätt.

Paragrafen föreslås få följande innehåll.

Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.

Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

13. Rätt till information

13.1. Registrerade personers rätt till information

13.1.1. Dataskyddsrambeslutet

I artikel 16.1 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) finns regler om information till den registrerade vari det anges följande.

Medlemsstaterna ska se till att den registrerade informeras om insamling eller behandling av personuppgifter av deras behöriga myndigheter i enlighet med nationell lagstiftning.

I skäl 27 i inledningen till dataskyddsrambeslutet anges i denna del vidare följande.

Medlemsstaterna bör se till att den registrerade personen informeras om att personuppgifter kan eller håller på att samlas in, behandlas eller överföras till en annan medlemsstat för att förebygga, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. De närmare villkoren för den registrerade personens rätt att bli informerad och undantag från denna rätt bör fastställas i den nationella lagstiftningen. Detta kan genomföras på ett generellt sätt, t.ex. genom lagstiftning eller offentliggörande av en förteckning över olika typer av uppgiftsbehandling.

I artikel 16.2 i dataskyddsrambeslutet anges följande.

Om personuppgifter har överförts eller gjorts tillgängliga mellan medlemsstaterna, får varje medlemsstat i enlighet med bestämmelserna i sin nationella lagstiftning enligt punkt 1, begära att den andra medlemsstaten inte informerar den registrerade. I sådana fall ska den senare medlemsstaten inte informera den registrerade utan förhandsmedgivande från den andra medlemsstaten.

Artikel 17 i dataskyddsrambeslutet innehåller vidare bestämmelser om rätt till tillgång och har följande innehåll.

1. Varje registrerad ska ha rätt att på begäran, med rimliga intervall, utan hinder och utan större tidsutdräkt eller kostnader erhålla

a) åtminstone en bekräftelse från den registeransvarige eller från den behöriga nationella tillsynsmyndigheten på huruvida uppgifter som rör honom eller henne har överförts eller gjorts tillgängliga samt information om till vilka mottagare eller mottagarkategorier uppgifterna har lämnats ut och information om vilka uppgifter som behandlas, eller

b) åtminstone en bekräftelse från den behöriga nationella tillsynsmyndigheten på att alla nödvändiga kontroller har utförts.

2. Medlemsstaterna får anta lagstiftning som begränsar tillgången till information enligt punkt 1 a, om denna begränsning med vederbörligt beaktande av vederbörandes legitima intressen är en nödvändig och rimlig åtgärd för att

a) hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) skydda allmän säkerhet,

d) skydda nationell säkerhet,

e) skydda den registrerade eller andra personers fri- och rättigheter.

3. Varje vägran till tillgång eller begränsning av denna ska skriftligen meddelas den registrerade. De sakliga och rättsliga skäl som beslutet grundar sig på ska därvid också meddelas. Det sistnämnda meddelandet kan underlåtas om skäl enligt punkt 2 a−e föreligger. I samtliga dessa fall ska den registrerade meddelas att han eller hon kan överklaga till den behöriga nationella tillsynsmyndigheten, en rättslig myndighet eller domstol.

13.1.2. Dataskyddsdirektivet

I artiklarna 10–13 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) finns regler som behandlar frågan om registrerade personers rätt till information m.m.

Artiklarna, som sorterar under avdelningarna i direktivet vad gäller informationsplikt till den registrerade (artiklarna 10 och 11),

den registrerades rätt att få tillgång till uppgifter (artikel 12), samt undantag och begränsningar (artikel 13), har följande innehåll.

Artikel 10

Information vid insamling av uppgifter från den registrerade

Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:

a) Den registeransvariges och dennes eventuella företrädares identitet.

b) Ändamålen med den behandling för vilken uppgifterna är avsedda.

c) All ytterligare information, exempelvis – mottagarna eller de kategorier som mottar uppgifterna, – huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,

– förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom,

i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling. Artikel 11

Information när uppgifterna inte har samlats in från den registrerade

1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen:

a) Den registeransvariges och dennes eventuella företrädares identitet.

b) Ändamålen med behandlingen.

c) All ytterligare information, exempelvis – de kategorier av uppgifter som behandlingen gäller, – mottagarna eller de kategorier som mottar uppgifterna, – förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom,

i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.

2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskap-

liga forskningsändamål – visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. Artikel 12

Rätt till tillgång

Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige

a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader

– få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas,

– få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,

– få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,

b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,

c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning. Artikel 13

Undantag och begränsningar

1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till

a) statens säkerhet,

b) försvaret,

c) allmän säkerhet,

d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,

f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,

g) skydd av den registrerades eller andras fri- och rättigheter.

2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.

I dataskyddsdirektivet har vidare i ingresspunkterna 41–44 anförts följande.

41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar programvaran. Detta bör dock inte få resultera i att den registrerade nekas all information. 42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården. 43) Rätten till tillgång till uppgifter och information samt vissa skyldigheter hos den registeransvarige kan inskränkas av medlemsstaterna i den utsträckning som det är nödvändigt för att skydda till exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga ekonomiska eller finansiella intressen som är av betydelse för en medlemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret. 44) För att uppfylla vissa av de nämnda målsättningarna kan medlemsstaterna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kvaliteten på uppgifterna.

13.1.3. Personuppgiftslagen (1998:204)

Dataskyddsdirektivets bestämmelser ovan har införts i svensk rätt under rubriken information till den registrerade genom bestämmelserna i 23–27 §§ i personuppgiftslagen (1998:204) som har följande innehåll.

Information skall lämnas självmant

23 § Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.

24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

Den information som skall lämnas självmant

25 §

Information enligt 23 eller 24 § skall omfatta

a) uppgift om den personuppgiftsansvariges identitet,

b) uppgift om ändamålen med behandlingen, och

c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall lämnas efter ansökan

26 §

Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

a) vilka uppgifter om den sökande som behandlas,

b) varifrån dessa uppgifter har hämtats,

c) ändamålen med behandlingen, och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter till den registrerade.

13.1.4. Jämförelse mellan EU-bestämmelser och svensk rätt

Vår bedömning: Bestämmelserna i artiklarna 16.1 och 17 i data-

skyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

I regeringens proposition Godkännande av Dataskyddsrambeslutet, 2008/09:16 s. 45 f. har angetts att de befintliga reglerna om användningsbegränsningar i svensk rätt i huvudsak är tillräckliga för att uppfylla dataskyddsrambeslutet i dessa delar, men att behovet av lagändringar kan behöva analyseras närmare.

Kraven i dataskyddsrambeslutet angående regler om information är mindre långtgående än de krav som enligt svensk rätt följer av personuppgiftslagens bestämmelser.

Inom de områden där personuppgiftslagen är tillämplig finns således inte några skäl att föreslå tillägg eller justeringar i svensk rätt.

Kriminalvården, Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och åklagarväsendet

Registerförfattningarna för Kriminalvården, Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och åklagarväsendet innehåller inte några särskilda bestämmelser angående information till den registrerade.

personuppgiftslagen gäller utöver dessa registerförfattningar är de i avsnitt 13.1.3 angivna reglerna – 2326 §§personuppgiftslagen – därmed gällande för verksamheten i nämnda myndigheter samt domstolar.

Att göra tillägg eller ändringar i dessa registerförfattningar blir mot bakgrund härav inte aktuellt.

I sammanhanget kan framhållas att för flera myndigheter – Kustbevakningen och åklagarväsendet – har i olika betänkanden (Utredningens om Kustbevakningens personuppgiftsbehandling betänkande SOU 2006:18 och Åklagardatautredningens betänkande SOU 2008:87) föreslagits en ändrad utformning av registerförfattningarna på så sätt att reglerna föreslås ska gälla i stället för personuppgiftslagen. I bägge fallen har då i denna del föreslagits införandet av direkta hänvisningar till personuppgiftslagens bestämmelser om information.

I detta sammanhang kan också uppmärksammas att bestämmelserna i 24 § personuppgiftslagen ålägger den personuppgiftsansvarige att, om uppgifterna har samlats in från någon annan källa än den registrerade, självmant informera den registrerade om denna behandling. Detta gäller inte om det finns särskild reglering. Ovan nämnda betänkanden och nedan nämnda lagstiftning angående polisen och Tullverket har en sådan särskild reglering.

Polisen

Polisdatalagen (2010:361) gäller i stället för personuppgiftslagen. I 2 kap. 2 § 5. i den förstnämnda lagen finns en direkt hänvisning till bestämmelserna i 23 och 2527 §§personuppgiftslagen. Skäl att föreslå ändringar i denna del föreligger därför inte.

Kronofogdemyndigheten

Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet gäller i stället för personuppgiftslagen.

I 3 kap. 1 § i den förstnämnda lagen finns en direkt hänvisning till bestämmelserna i 23 § och 2527 §§personuppgiftslagen.

Information som ska lämnas enligt 26 § personuppgiftslagen behöver inte, enligt 3 kap. 2 § i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, omfatta uppgift i en handling som avses i 2 kap. 24 § samma lag, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.

Mot bakgrund av det ovan anförda anser vi sammantaget att det inte finns skäl att föreslå några ändringar i denna del.

Tullverket

Angående Tullverket – vars registerförfattning gäller i stället för personuppgiftslagen – finns i 6 § lagen (2005:787) om Tullverkets brottsbekämpande verksamhet också en direkt hänvisning till 23 och 25–27 §§ i personuppgiftslagen. Detta innebär att personuppgiftslagens bestämmelser om information till den registrerade också är gällande för Tullverket. Ej heller här föreligger därför skäl att införa ändringar i registerförfattningen.

Vissa författningar om enskilda register

I vissa fall finns i författningar om enskilda register särskilt angivna regler om information till den registrerade.

I 9 § lagen (1998:620) om belastningsregister anförs följande.

En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Sådana uppgifter skall på begäran lämnas ut utan avgift en gång per kalenderår. En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret

1. för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,

2. enligt bestämmelser i lagen (2000:873) om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnsomsorg,

3. enligt bestämmelser i lagen (2005:405) om försäkringsförmedling, eller

4. enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid sådana hem för vård eller boende som tar emot barn.

Regeringen, eller i fråga om andra stycket punkterna 1–3 den myndighet regeringen bestämmer, får meddela föreskrifter om vilka uppgifter ett sådant utdrag skall innehålla.

En begäran om uppgifter ur registret skall vara skriftlig och undertecknad av den sökande.

Den enskilde har alltså, enligt nämnda lag, rätt att få del av samtliga uppgifter ur registret om sig själv (en gång per kalenderår avgiftsfritt) samt rätt att erhålla registerutdrag i andra situationer.

Även lagen (1998:621) om misstankeregister innehåller bestämmelser om utlämnande av uppgifter till enskilda. I denna lag finns restriktioner för den registrerade att erhålla viss information. Att lämna ut informationen till den enskilde skulle bl.a. kunna skada den brottsbekämpande verksamheten.

Eftersom både belastningsregistret och misstankeregistret gäller utöver personuppgiftslagen är 2327 §§personuppgiftslagen (se avsnitt 13.1.3) gällande även i dessa sammanhang.

Motsvarande bedömning kan göras vad avser förordningen (1997:902) om register över strafförelägganden och förordningen (1998:903) om register över föreläggande av ordningsbot.

Sammantaget uppfyller därmed nämnda regelverk dataskyddsrambeslutets krav. Skäl att införa kompletterande bestämmelser i svensk rätt i dessa delar föreligger därmed inte.

Schengens informationssystem (SIS)

Av förarbetena till lagen (2000:344) om Schengens informationssystem framgår, enligt prop. 1999/2000:64 s. 135, följande.

Schengens informationssystem (SIS) är ett efterlysnings- och spaningsregister, som har till syfte att främja samarbetet avseende

polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd mellan Schengenstaterna. De personuppgifter som får registreras i SIS är i huvudsak sådana polisiära uppgifter som enligt personuppgiftslagen endast får registreras av myndigheter. Uppgifterna i SIS är typiskt sett sådana som förekommer i polisregister. En författningsreglering av det svenska SIS-registret måste därför utgå från de lagar och andra författningar som reglerar behandling av personuppgifter i polisens verksamhet, dvs. främst personuppgiftslagen (1998:204), polisdatalagen (1998:622)1, PDL, lagen (1998:620) om belastningsregister, BRL, och lagen (1998:621) om misstankeregister, MRL. Det innebär att Sverige får registrera uppgifter i SIS endast i den utsträckning som behandling av motsvarande slag av uppgifter är tillåten enligt dessa lagar eller annan författning.

Då även dessa regler således gäller utöver personuppgiftslagen finns, på sätt som anges ovan avseende författningar om enskilda register, inte heller skäl att föreslå ändringar i denna del.

13.1.5. Närmare om artikel 16.2 i dataskyddsrambeslutet

Vårt förslag: I den av oss föreslagna nya lagen om användnings-

begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om information till den registrerade (8 §) med följande innehåll.

Om personuppgifter har överförts eller gjorts tillgängliga får den överförande medlemsstaten begära att den mottagande medlemsstaten inte informerar den registrerade om behandlingen. I sådana fall ska den registrerade inte informeras utan förhandsmedgivande från den överförande medlemsstaten.

I artikel 16.2 finns bestämmelser om skyldighet att iaktta den överförande statens nationella rätt i fråga om information till den registrerade. I artikel 12 finns vidare bestämmelser om iakttagande av nationella restriktioner för behandling av uppgifter (se avsnitt 12.7 ovan). I artikel 16.2 föreskrivs att om den överförande staten begär det i enlighet med sin nationella lagstiftning, så ska den mottagande staten inte lämna någon information till den registrerade.

1 Numera polisdatalagen (2010:361).

Eventuella begränsningar i rätten till användning av uppgifter på nationell nivå efter överföring av uppgifter till en annan stat bör beaktas. Detta får anses utgöra användningsbegränsningar på grund av nationell lagstiftning om internationellt samarbete, jfr vad som anförts ovan i avsnitt 12.2.

Vad gäller det som anges i artikel 16.2 i dataskyddsrambeslutet finns inte någon motsvarighet i svensk rätt. Vi föreslår därför att en motsvarande bestämmelse införs i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen med följande innehåll.

Om personuppgifter har överförts eller gjorts tillgängliga får den överförande medlemsstaten begära att den mottagande medlemsstaten inte informerar den registrerade om behandlingen. I sådana fall ska den registrerade inte informeras utan förhandsmedgivande från den överförande medlemsstaten.

Vad gäller frågor om sekretess, se kap. 6 och kap. 12.3.4.

14. Rättelse, tillsyn, skadestånd, sanktioner och överklagande

14.1. Rättelse

14.1.1. Dataskyddsrambeslutet

I artikel 4 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) anges följande under rubriken Rättelse, radering och blockering

1. Personuppgifter ska rättas om de är felaktiga samt, om så är möjligt och nödvändigt, kompletteras eller aktualiseras.

2. Personuppgifter ska raderas eller avidentifieras när dessa inte längre behövs för de ändamål för vilka de lagligen insamlades eller lagligen vidare bearbetas. Arkivering av de uppgifter som införts i ett separat dataset under en lämplig period i överensstämmelse med national lagstiftning ska inte påverkas av denna bestämmelse.

3. Personuppgifter ska inte raderas utan blockeras, om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. Blockerade uppgifter får endast behandlas för det ändamål som hindrade att de raderades.

4. Om personuppgifterna ingår i ett domstolsbeslut eller akten i samband med utfärdandet av ett rättsligt beslut ska rättelse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Artikel 8 i dataskyddsrambeslutet – Kontroll av kvaliteten på de uppgifter som överförs eller görs tillgängliga – har följande lydelse.

1. De behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av

uppgifter ska, så långt detta är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av korrekthet, fullständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.

2. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Uppgifterna måste ofördröjligen rättas, raderas eller blockeras i enlighet med artikel 4.

I artikel 18 i dataskyddsrambeslutet – Rätt till rättelse, radering eller blockering av uppgifter – anges följande.

1. Den registrerade ska ha rätt att förvänta sig att den registeransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att rätta, radera eller blockera personuppgifter som registrerats inom ramen för detta rambeslut. Medlemsstaterna ska fastställa huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om den registeransvarige vägrar att rätta, radera eller blockera måste vägran meddelas skriftligen och den registrerade måste informeras om de möjligheter som tillhandahålls inom den nationella lagstiftningen att anföra klagomål eller begära prövning. När klagomålet eller begäran om prövning behandlats ska den registrerade informeras om huruvida den registeransvarige handlat korrekt eller ej. Medlemsstaterna får även föreskriva att den registrerade ska informeras av den behöriga nationella tillsynsmyndigheten om att en översyn har utförts. Om den registrerade bestrider korrektheten av en personuppgift och det inte kan fastställas huruvida denna är korrekt får denna uppgift markeras.

14.1.2. Dataskyddsdirektivet

Av artikel 6 d) i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) framgår följande (del av artikeln anges nedan).

1. Medlemsstaterna skall föreskriva att personuppgifter --- --- d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

--- 2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.

I artikel 12 b) finns ytterligare bestämmelser i direktivet angående -

Rätt till tillgång – med följande innehåll.

Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige --

b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,

c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

14.1.3. Personuppgiftslagen (1998:204)

9 § personuppgiftslagen (1998:204) innehåller bl.a. de grundläggande kraven på den personuppgiftsansvarige. Av 9 § första stycket h) framgår att det är ett grundläggande krav vid behandling av personuppgifter att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e) och g) finns det vidare bestämmelser som innebär krav på den personuppgiftsansvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Redan av de grundläggande kraven i 9 § framgår det således att den personuppgiftsansvarige på egen hand måste vara aktiv för att se till att de behandlade uppgifterna är korrekta.

I 28 § personuppgiftslagen finns vidare regler om rättigheter för den registrerade, bl.a. att påkalla den personuppgiftsansvariges aktivitet att korrigera uppgifter. Den sistnämnda paragrafen har följande lydelse.

Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna

undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas.

Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter.

Med blockering avses här en åtgärd som vidtas för att personuppgifter ska vara förknippade med information om att de är spärrade och om anledningen till spärren (jfr även vad som anförts om begreppet i avsnitt 9.4.1).

Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas.

Endast fysiska personer kan åberopa bestämmelsen om rättelse i personuppgiftslagen (detsamma gäller skadestånd, jfr avsnitt 14.3.3).

Förutom möjligheterna till korrigering i 28 § personuppgiftslagen har den registrerade, enligt 47 § personuppgiftslagen, också möjlighet att anmäla saken till tillsynsmyndigheten som i sin tur bl.a. kan föra talan i domstol om att uppgifterna ska utplånas (angående tillsyn se vidare avsnitt 14.2). Den registrerade har även själv, enligt 52 § samma lag, möjlighet att överklaga den personuppgiftsansvariges beslut vad gäller rättelse.

14.1.4. Val av metod för korrigering av uppgifter

Angående vilken metod för korrigering av uppgifter som den personuppgiftsansvarige ska använda sig av, finns i dataskyddsrambeslutet endast specifika regler i artikel 4 punkten 3 i vilken anförs att en uppgift inte ska raderas utan att den i stället ska blockeras om ”det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen”.

Härutöver finns inte några regler i dataskyddsrambeslutet som anger vilken av metoderna i artikel 18 som den personuppgiftsansvarige ska använda sig av för att korrigera uppgifter i olika situationer.

Motsvarande synsätt föreligger i dataskyddsdirektivet. I personuppgiftslagen finns inte heller några bestämmelser om när en viss form av rättelse ska vidtas, utan det bör vara upp till den

personuppgiftsansvarige att avgöra om en uppgift ska rättas, blockeras/spärras eller utplånas (jfr prop. 1997/98:44 s. 87).

14.1.5. Jämförelse mellan EU-rätt och svensk rätt

Vår bedömning: Bestämmelserna i artiklarna 4 och 8 respektive

18 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning, förutom vad som anges i avsnitt 14.1.6.

Artiklarna 4 och 8 jämförda med 9 § personuppgiftslagen

Artiklarna 4 och 8 i dataskyddsrambeslutet har delvis motsvarigheter i artikeln 6 d) i dataskyddsdirektivet och motsvaras i sin tur i svensk rätt av 9 § personuppgiftslagen.

9 § personuppgiftslagen är tillämplig på de myndigheter som omfattas av dataskyddsrambeslutets bestämmelser, dels – genom avsaknad av särreglering – på Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar samt åklagarväsendet,

dels på Tullverket, genom en hänvisning till 9 § e)–h) i 6 § 3. i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt hänvisning till 28 § personuppgiftslagen i 6 § 5.

I artikel 4 punkten 4 dataskyddsrambeslutet stadgas att för det fall personuppgifterna ingår i ett domstolsbeslut eller akten i samband med utfärdandet av ett rättsligt beslut ska rättelse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Från rättelsekravet i artikel 4 görs således genom ovan nämnda punkt ett undantag som innebär att felaktiga uppgifter i domstolsbeslut och underlagen för dem inte behöver raderas.

Motsvarande begränsningar finns inte i 9 § personuppgiftslagen. Dataskyddsrambeslutet ställer inte krav på ändring av svensk rätt i denna del.

I detta sammanhang kan beaktas att det i skäl 31 i dataskyddsrambeslutets inledande delar anges att rambeslutet gör att principerna om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta.

Rambeslutet får därmed inte anses inskränka på den rätt till insyn som allmänheten har genom rätten att ta del av allmänna offentliga handlingar.

Då svenska regler i detta fall således inte – på sätt som det finns möjligheter till i dataskyddsrambeslutet – begränsar den registrerades rätt till korrigering av uppgifterna, finns inte anledning att föreslå några ändringar eller tillägg i svensk rätt i denna del.

Artikel 18 jämförd med 28 § personuppgiftslagen

Artikel 18 i dataskyddsrambeslutet motsvaras delvis av artikel 12 b) i dataskyddsdirektivet som i sin tur har 28 § i personuppgiftslagen som motsvarighet i svensk rätt.

Flertalet av de registerförfattningar som avser de myndigheter som berörs av dataskyddsrambeslutet innehåller hänvisningar till personuppgiftslagens bestämmelser om rättelse.

I lagen (2000:344) om Schengens informationssystem finns vidare en särskild rättelseregel där det föreskrivs att Rikspolisstyrelsen är skyldig att på begäran av den registrerade, eller om det annars finns anledning till det, snarast rätta, blockera eller utplåna en personuppgift som styrelsen har registrerat, om uppgiften är rättsligt eller sakligt felaktig.

Denna bestämmelse får också anses motsvara dataskyddsrambeslutets krav.

Skäl att i denna del föreslå kompletteringar i svensk rätt föreligger därför i huvudsak inte.

I något enstaka fall saknas dock denna hänvisning varför ett tillägg då föreslås, se avsnitt 14.1.6 nedan angående förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot.

14.1.6. Särskilt om vissa förordningar i svensk rätt

Våra förslag: Nya paragrafer ska införas, dels i förordningen

(1997:902) om register över strafförelägganden, dels i förordningen (1997:903) om register över förelägganden av ordningsbot, där det anges att bestämmelserna i personuppgiftslagen (1998:204) om rättelse ska tillämpas vid behandling av personuppgifter enligt respektive förordning.

Det bör noteras att 28 § personuppgiftslagen endast gäller korrigering av personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Detta innebär bl.a. att korrigering enligt paragrafen inte kan ske vid brott mot bestämmelser i s.k. särskilda registerförfattningar, som enligt 2 § gäller framför personuppgiftslagen. I de fall det krävs enligt dataskyddsdirektivet måste således de särskilda registerförfattningarna innehålla egna bestämmelser om korrigering eller en hänvisning till denna paragraf (jfr prop. 1997/98:136 s. 78 och 97).

I prop. 2008/09:16 s. 49 har framhållits att det i förordningen (1997:902) om register över strafförelägganden och i förordningen (1997:903) om register över förelägganden om ordningsbot, inte finns några regler om rättelse eller någon hänvisning till personuppgiftslagens bestämmelse i denna del. I övriga författningar om enskilda register finns hänvisningar till personuppgiftslagens rättelseregel.

Vi anser mot bakgrund härav att – för att svensk rätt fullt ut ska motsvara dataskyddsrambeslutets bestämmelser i artikel 18 samt för att erhålla en likformighet i utformningen av de svenska författningarna – nya paragrafer ska införas i nämnda förordningar, med angivande att personuppgiftslagens bestämmelse om rättelse ska tillämpas.

14.2. Tillsyn

14.2.1. Dataskyddsrambeslutet

Artikel 25 i dataskyddsrambeslutet innehåller bestämmelser om nationella tillsynsmyndigheter och har följande lydelse.

1. Varje medlemsstat ska se till att det utses en eller flera myndigheter med uppgift att inom dess territorium vägleda och övervaka tillämpningen av de bestämmelser som medlemsstaterna antagit i enlighet med detta rambeslut. Dessa myndigheter ska vara fullt oberoende när de fullgör sina åligganden.

2. Varje tillsynsmyndighet ska framför allt ha

a) utredande befogenheter, som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,

b) faktisk befogenhet att ingripa, som till exempel att kunna avge yttranden innan en behandling äger rum, att se till att sådana yttranden

i lämplig omfattning offentliggörs, att kunna besluta om blockering, radering eller förstöring av uppgifter, att kunna besluta om tillfälligt eller definitivt förbud mot behandling, att kunna ge den registeransvarige en varning eller tillrättavisning eller att kunna hänskjuta frågor till nationella parlament eller andra politiska institutioner,

c) befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta rambeslut har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Beslut av tillsynsmyndigheten, som ger upphov till klagomål bör kunna överklagas till domstol.

3. Var och en ska kunna vända sig till tillsynsmyndigheten med en begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen ska informeras om vilka följder hans begäran har fått.

4. Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal ska vara bundna av de för respektive behörig myndighet gällande dataskyddsbestämmelserna och ha tystnadsplikt med avseende på konfidentiell information som de har tillgång till även sedan deras uppdrag eller anställning upphört.

Enligt artikel 10 punkten 2 ska den nationella tillsynsmyndigheten få tillgång till registrering och dokumentation som rör behandlingen av personuppgifter.

I dataskyddsrambeslutet finns även bestämmelser i artikel 23 om föregående samråd med nationella tillsynsmyndigheter i vissa fall (se avsnitt 14.2.5).

14.2.2. Dataskyddsdirektivet

Artikel 28 i dataskyddsdirektivet omfattar regler om tillsynsmyndighet och har följande lydelse.

1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv. Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.

2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

3. Varje tillsynsmyndighet skall särskilt ha

– undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,

– effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,

– befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått. Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.

5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.

6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.

7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.

Dataskyddsrambeslutets bestämmelser motsvarar det som anges i artikel 28 punkterna 1–2 samt del av punkten 3 i dataskyddsdirektivet ovan.

14.2.3. Personuppgiftslagen (1998:204)

Dataskyddsdirektivets bestämmelser har genomförts i svensk rätt genom reglerna om tillsynsmyndighetens befogenheter i 4347 §§personuppgiftslagen. Dessa paragrafer har följande lydelse.

43 §

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

a) tillgång till de personuppgifter som behandlas,

b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och

c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

44 §

Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

45 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite.

46 §

Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den personuppgiftsansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan.

47 §

Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet angående personuppgiftslagens bestämmelser.

Mot bakgrund av vad som anförts ovan kommer således Datainspektionen att utöva tillsyn över behandlingen av personuppgifter som omfattas av dataskyddsrambeslutet.

Det kan noteras att – som ett komplement till Datainspektionen – Säkerhets- och integritetsskyddsnämnden (SIN) också har vissa tillsynsuppgifter angående bl.a. Säkerhetspolisens personuppgiftsbehandling enligt 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet. Från och med den 1 mars 2012 ska nämnden även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen och 12 § lagen om polisens allmänna spaningsregister, dvs. behandling av känsliga personuppgifter.

14.2.4. Jämförelse mellan EU-rätt och svensk rätt

Vår bedömning: Artikel 25 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

Bestämmelserna i 43-47 §§personuppgiftslagen om tillsynsmyndighetens befogenheter (se avsnitt 14.2.3) uppfyller enligt vår mening kraven i artikel 25 i dataskyddsrambeslutet. Artikeln föranleder därför inte någon ändring i lag eller förordning.

14.2.5. Föregående samråd med tillsynsmyndigheten

Vår bedömning: Artikel 23 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

Artikel 23 i dataskyddsrambeslutet reglerar frågan om föregående samråd och har följande lydelse.

Medlemsstaterna ska sörja för att de behöriga nationella tillsynsmyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om

a) särskilda uppgiftskategorier enligt artikel 6 behandlas, eller om

b) behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda risker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.

I dataskyddsrambeslutet finns således, enligt vad som anges ovan, inte något uttryckligt krav på att en anmälan för förhandskontroll av tillsynsmyndigheten ska ske av särskilt integritetskänsliga behandlingar (jfr artikel 20 i dataskyddsdirektivet).

I prop. 2008/09:16 s. 54 har framhållits att artikel 23 endast innehåller förpliktelser av sådana slag som anges i artikel 28 punkten 2 i dataskyddsdirektivet, dvs. regler om att varje medlemsstat ska se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

Förhandskontrollen ska således endast tolkas så att medlemsstaterna ska ge en nationell tillsynsmyndighet möjlighet att yttra sig i ett lagstiftningsärende. Reglerna ovan åligger alltså inte medlemsstaterna att ha ett system med obligatorisk förhandskontroll av enskilda register. Å andra sidan finns inte regler som hindrar medlemsstaterna att införa sådana strängare regler (jfr prop. 2008/09:16 s. 54).

Vi gör motsvarande bedömning som redogjorts i förarbetena. Skäl att föreslå ändringar eller tillägg i svensk rätt med anledning av artikel 23 i dataskyddsrambeslutet föreligger mot bakgrund härav inte.

14.3. Skadestånd

14.3.1. Dataskyddsrambeslutet

Artikel 19 dataskyddsrambeslutet reglerar rätt till ersättning och har följande lydelse.

1. Var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta rambeslut ska ha rätt till ersättning för den skada han lidit av den registeransvarige eller av en annan ansvarig myndighet enligt nationell lagstiftning.

2. Om den behöriga myndigheten i en medlemsstat överför personuppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skadelidande. Om mottagaren utbetalar skadestånd för en skada som vållats av att felaktigt överförda uppgifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren det skadestånd som utbetalats men därvid ta med i beräkningen eventuella felaktigheter som kan ha begåtts av mottagaren.

Av artikeln framgår således att den, som har lidit skada till följd av en otillåten behandling av personuppgifter eller någon annan åtgärd som är oförenlig med nationell lagstiftning, ska ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada som han eller hon har lidit.

Vad gäller översända uppgifter kan mottagaren inte åberopa att dessa var felaktiga för att på detta sätt undgå ansvar.

Mottagaren kan dock i vissa fall ha regressrätt mot den översändande för det skadestånd som har betalats ut.

14.3.2. Dataskyddsdirektivet

Av artikel 23 dataskyddsdirektivet framgår under rubriken ansvar följande.

1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.

2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Punkten 1 ovan motsvarar delvis det som finns angivet i dataskyddsrambeslutet.

Enligt punkten 2 kan den personuppgiftsansvarige helt eller delvis befrias från ersättningsskyldigheten om han eller hon bevisar att han eller hon inte var ansvarig för den händelse som orsakade skadan (jfr även punkt 55 i ingressen till dataskyddsdirektivet).

14.3.3. Personuppgiftslagen (1998:204)

Regeln i dataskyddsdirektivet finns införd i svensk rätt genom 48 § personuppgiftslagen som har följande innehåll.

Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Denna bestämmelse omfattar således varje typ av skada eller kränkning av den personliga integriteten orsakad genom en behandling i strid med reglerna i personuppgiftslagen eller föreskrifter som har meddelats med stöd av den lagen.

Det är den personuppgiftsansvarige som ska ersätta den registrerade. Skadestånd kan komma ifråga vid varje brott mot lagen och utgår trots att ingen har skadats fysiskt eller ekonomiskt och trots att den personuppgiftsansvarige inte haft uppsåt att göra fel eller varit försumlig vid behandlingen. Bakgrunden till denna reglering är att bestämmelsen om skadestånd, precis som enskildas rättigheter i övrigt enligt lagen – rätt till information och rättelse m.m. – har till syfte att skydda människor mot kränkning av den personliga integriteten genom behandling av personuppgifter (jfr prop. 1997/98:44 s. 106 och SOU 1997:39 s. 432).

De svenska skadeståndsbestämmelserna måste betecknas som strängare än vad som krävs enligt dataskyddsdirektivet (jfr prop. 1999/2000:40 s. 37 f.).

I likhet med vad som gäller de rättsliga möjligheterna att få information eller att få uppgifter rättade, gäller rätten till skadestånd endast fysiska personer. En juridisk person får i stället i den ordning som gäller för statlig verksamhet i allmänhet vända sig till Justitiekanslern – eller till allmän domstol – om den juridiska personen anser att behandling av uppgifter inom myndigheten i fråga har vållat skada.

I huvudsak motsvarar således svensk rätt de krav som ställs genom dataskyddsrambeslutets bestämmelser om rätt till ersättning.

Enligt paragrafens andra stycke kan skadeståndet i vissa fall jämkas. Någon motsvarande bestämmelse finns inte i dataskyddsrambeslutet (se vidare avsnitt 14.3.5 nedan).

I princip samtliga författningar i svensk rätt som är berörda av dataskyddsrambeslutet innehåller hänvisningar till personuppgiftslagens skadeståndsbestämmelser (se nedan avsnitt 14.3.6).

14.3.4. Regressrätt mellan stater

Vår bedömning: Sveriges regressanspråk är att se som ett folk-

rättsligt åtagande som inte föranleder någon ändring i lag eller förordning. Frågan bör ses över i ett annat större sammanhang.

Artikel 19 punkten 2 i dataskyddsrambeslutet reglerar möjligheten till regressrätt mellan stater.

Varken dataskyddsdirektivet – som enbart reglerar förhållandet mellan det allmänna och enskilda – eller personuppgiftslagen innehåller några bestämmelser i dessa delar.

Regeringen har i propositionen 2008/09:16 – Godkännande av dataskyddsrambeslutet i denna del anfört att staternas skyldighet beträffande regressanspråk är att se som ett folkrättsligt åtagande som därmed inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att ”i ett lämpligt sammanhang överväga en reglering av formerna för handläggningen av sådana regresskrav.”

Vi gör i denna del motsvarande bedömning som den som redogjorts för i propositionen, men konstaterar samtidigt att frågan om sådana regresskrav bör ses över i ett större övergripande sammanhang. Denna frågeställning föranleder därför inte några förslag i betänkandet.

14.3.5. Personuppgiftslagens jämkning av skadestånd

Vår bedömning: Bestämmelserna i artikel 19 punkten 2 i data-

skyddsrambeslutet föranleder inte någon ändring av reglerna om jämkning av skadeståndet enligt 48 § andra stycket personuppgiftslagen (1998:204).

Skyldigheten till ersättning kan, enligt 48 § andra stycket personuppgiftslagen, jämkas. Detta innebär att ersättningsskyldigheten helt kan komma att falla bort eller sättas ner delvis.

Jämkningen sker i den utsträckning det är skäligt om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Vad som är skäligt eller inte är en fråga som vid en rättslig prövning ska bedömas i varje enskilt fall av domstol.

I de fall där jämkningsbestämmelsen inte kan användas därför att den personuppgiftsansvarige inte har förmått visa att felet inte berodde på honom eller henne, har lagrådet framhållit att jämkningsbestämmelserna i skadeståndslagen bör kunna tillämpas (prop. 1997/98:44 s. 243 och s. 144).

I prop. 2008/09:16 s. 56 ställs frågan om reglerna om jämkning av skadeståndsansvar i svensk rätt till fullo är förenliga med dataskyddsrambeslutets bestämmelser.

Enligt artikel 19 punkten 2 i dataskyddsrambeslutet kan regressansvar mot en utländsk myndighet aktualiseras (jfr avsnitt 13.3.4 ovan).

Vid skälighetsbedömningen bör man, enligt doktrinen (Öman/Lindblom;