SOU 2017:29
Brottsdatalag
Till statsrådet Anders Ygeman
Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:21).
Till särskild utredare förordnades från och med den 1 april 2016 numera f.d. överåklagaren Gunnel Lindberg.
Utredningen har antagit namnet Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06).
Till sakkunniga att biträda utredningen förordnades från och med den 1 april 2016 rättssakkunniga vid Justitiedepartementet Anna Westin och kanslirådet vid Finansdepartementet Leena Mildenberger. Till experter utsågs juristen vid Datainspektionen Cecilia Agnehall, verksjuristen vid Ekobrottsmyndigheten Eva Bergholm Guhnby, personuppgiftsombudet, tillika verksjuristen, vid Säkerhetspolisen Fredrik Berglund, verksjuristen vid Tullverket Pernilla Jäderberg, verksjuristen vid Polismyndigheten David Kummel, advokaten Conny Larsson, sektionschefen vid Kriminalvården Eric Leijonram, seniora föredraganden vid Säkerhets- och integritetsskyddsnämnden Lisa Lundin, it-utvecklingschefen vid Åklagarmyndigheten Stephan Uttersköld, dåvarande juristen vid Domstolsverket Jonna Wiborn, verksjuristen vid Kustbevakningen Peter Åkesson och rättsliga experten vid Skatteverket Maria Östgren.
Jonna Wiborn entledigades från sitt uppdrag den 31 augusti 2016 och bitr. enhetschefen Amanda Rörby utsågs i hennes ställe. Den 22 oktober 2016 entledigades Lisa Lundin från sitt uppdrag och juristen Fabian Holgersson utsågs i hennes ställe.
Ämnesrådet vid Justitiedepartementet Sofie Lindblom har varit huvudsekreterare i utredningen från och med den 1 april 2016. Sek-
reterare i utredningen har varit verksjuristen Malin Lundberg från och med den 1 april 2016, hovrättsassessorerna Karin Månsson och Anja Nordfeldt från och med den 1 maj 2016, hovrättsassessorn Karin Brandqvist Sundblad från och med den 16 maj 2016 och hovrättsassessorn Maria Arnell från och med den 1 september 2016.
Härmed överlämnas betänkandet Brottsdatalag, SOU 2017:29. Till betänkandet har fogats särskilda yttranden av experterna David Kummel och Conny Larsson. Med undantag från vad som framgår där har de sakkunniga och experterna i huvudsak ställt sig bakom utredningens överväganden och förslag.
Stockholm i april 2017
Gunnel Lindberg
/ Sofie Lindblom
Maria Arnell Karin Brandqvist Sundblad Malin Lundberg Karin Månsson Anja Nordfeldt
3
Innehåll
Sammanfattning ................................................................ 19
1 Författningsförslag ..................................................... 29
1.1 Förslag till brottsdatalag (2018:000)...................................... 29 1.2 Förslag till brottsdataförordning (2018:000) ........................ 57 1.3 Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål .................................... 70 1.4 Förslag till lag om ändring i lagen (2000:1219) om internationellt tullsamarbete .................................................. 71 1.5 Förslag till lag om ändring i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ...... 72 1.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) ....................................................... 73 1.7 Förslag till lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete ......................................... 76 1.8 Förslag till förordning om ändring i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen .................................................................................... 77 1.9 Förslag till förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ................................................................................. 78
Innehåll SOU 2017:29
4
2 Utredningens uppdrag och arbete ................................ 79
2.1 Utredningsuppdraget ............................................................. 79 2.2 Genomförande av uppdraget ................................................. 80 2.3 Avgränsningen av uppdraget.................................................. 81
3 Dagens reglering av behandlingen av personuppgifter .... 83
3.1 Huvuddragen i dagens personuppgiftsreglering ................... 83 3.1.1 Regeringsformen och Europakonventionen ......... 83 3.1.2 Personuppgiftslagen ................................................ 84 3.1.3 Personuppgiftslagens förhållande till annan lagstiftning ............................................................... 91 3.2 Särregler för brottsbekämpande verksamhet ........................ 91 3.2.1 Polisen ...................................................................... 91 3.2.2 Tullverket................................................................. 95 3.2.3 Kustbevakningen ..................................................... 97 3.2.4 Skatteverket ............................................................. 99 3.2.5 Åklagarväsendet .................................................... 101 3.2.6 Lagen om internationellt polisiärt samarbete ...... 102 3.2.7 Lagen om internationellt tullsamarbete ............... 102 3.2.8 Lagen om register över tillträdesförbud vid idrottsarrangemang ............................................... 103 3.3 Särregler för lagföring .......................................................... 103 3.3.1 Åklagarväsendet .................................................... 103 3.3.2 Domstolsväsendet ................................................. 106 3.3.3 Register över ordningsbot och strafföreläggande ................................................... 107 3.4 Särregler för verkställighet av straff .................................... 109 3.4.1 Särreglering bara för vissa former av verkställighet ......................................................... 109 3.4.2 Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst........................ 110 3.4.3 Verkställighet av bötesstraff ................................. 112 3.4.4 Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och ungdomstjänst ....................................................... 113
Innehåll
5
3.4.5 Internationellt samarbete rörande verkställighet av straffrättsliga påföljder .............. 115
3.5 Regler om personuppgiftsbehandling hos andra aktörer än myndigheter ..................................................................... 115 3.5.1 Uppgifter om brottsbekämpning, lagföring eller straffverkställighet ......................................... 115 3.5.2 Offentliga försvarare och annat juridiskt biträde ..................................................................... 116 3.5.3 Idrottsorganisationer............................................. 117 3.6 2013 års lag ............................................................................ 117
4 Reformer på dataskyddsområdet ............................... 119
4.1 Gällande unionsrättsakter .................................................... 119 4.1.1 Rättighetsstadgan .................................................. 119 4.1.2 1995 års dataskyddsdirektiv .................................. 119 4.1.3 Dataskyddsrambeslutet ......................................... 120 4.2 Europeiska unionens dataskyddsreform ............................. 120 4.2.1 Två nya rättsliga instrument ................................. 120 4.2.2 En dataskyddsförordning ...................................... 121 4.2.3 Ett nytt dataskyddsdirektiv .................................. 122 4.2.4 Viss personuppgiftsbehandling ligger utanför båda instrumenten ................................................. 123 4.3 Dataskyddskonventionen ..................................................... 123
5 Det nya dataskyddsdirektivet .................................... 125
5.1 Allmänt om direktivet .......................................................... 125 5.2 Innehållet i direktivet ............................................................ 125
6 En ny ramlag........................................................... 137
6.1 En ramlag för brottsbekämpning, lagföring och straffverkställighet bör införas ............................................. 137 6.1.1 En ny reglering behövs .......................................... 137 6.1.2 En generellt tillämplig men subsidiär lag ............. 139 6.1.3 Ramlagens syfte ..................................................... 144 6.1.4 2013 års lag bör upphävas ...................................... 145
Innehåll SOU 2017:29
6
6.2 Uttryck i ramlagen ............................................................... 146 6.3 Dataskyddsbestämmelser i tidigare rättsakter och avtal .... 154
7 Ramlagens tillämpningsområde ................................. 159
7.1 Utformningen av tillämpningsområdet .............................. 159 7.1.1 Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften ....................... 159 7.1.2 Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet ................................................ 161 7.1.3 Personuppgiftsbehandling som rör allmän ordning och säkerhet ............................................ 164 7.1.4 Vad är en behörig myndighet? ............................. 169 7.1.5 Arbetsuppgifterna är avgörande för när en myndighet är behörig ............................................ 171 7.1.6 Helt eller delvis automatiserad behandling ......... 173 7.2 Undantag från tillämpningsområdet ................................... 174 7.2.1 Personuppgiftsbehandling som rör nationell säkerhet .................................................................. 174 7.2.2 Den gemensamma utrikes- och säkerhetspolitiken ................................................. 178 7.3 Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten ............................................................. 179
8 Gränsdragningsfrågor som rör tillämpningsområdet ..... 181
8.1 Några allmänna principer för gränsdragningen .................. 181 8.2 Gränsdragningsfrågor som rör brottsbekämpning............. 185 8.2.1 Anmälan om brott ................................................. 185 8.2.2 Användning av straffprocessuella tvångsmedel ... 187 8.2.3 Utredning av brott som begåtts av någon under 15 år ............................................................. 188 8.2.4 Stödverksamhet till den brottsbekämpande verksamheten ......................................................... 189 8.2.5 Häktesverksamhet................................................. 191 8.2.6 Handräcknings- och transportverksamhet .......... 193 8.2.7 Samverkan mot organiserad brottslighet ............. 195
Innehåll
7
8.2.8 Viss skyddslagstiftning .......................................... 196 8.2.9 Omhändertagande och förstörande av alkohol och narkotika m.m. ................................................ 197 8.2.10 Kontrollverksamhet eller brottsbekämpning? ..... 198 8.2.11 Allmän övervakning eller brottsbekämpning? ..... 203
8.3 Gränsdragningsfrågor som rör lagföring ............................. 206 8.3.1 Åklagaruppgifter .................................................... 206 8.3.2 Brottmålshantering i domstol ............................... 207 8.3.3 Särskild talan i brottmål ........................................ 208 8.3.4 Talan om förbud i vissa fall ................................... 211 8.3.5 Personutredning i brottmål................................... 214 8.3.6 Behandling av uppgifter om lagöverträdelser ...... 215 8.4 Gränsdragningsfrågor som rör verkställighet av påföljder ................................................................................. 217 8.4.1 Verkställighet av fängelsestraff ............................. 217 8.4.2 Verkställighet av sluten ungdomsvård ................. 221 8.4.3 Verkställighet av frivårdspåföljder ........................ 221 8.4.4 Verkställighet av bötesstraff ................................. 222 8.4.5 Verkställighet av påföljder som innebär vård ...... 224 8.4.6 Domstolsprövning av vissa verkställighetsfrågor .............................................. 225 8.5 Gränsdragningsfrågor som rör upprätthållande av allmän ordning och säkerhet ................................................ 227 8.5.1 Tvångsingripanden vid ordningsstörningar ......... 227 8.5.2 Tillträdesförbud vid idrottsarrangemang ............. 228 8.5.3 Militärpolisen ......................................................... 229 8.5.4 Ordningsvakter och andra med likartade uppgifter ................................................................. 230 8.5.5 Lagstiftning av i huvudsak social karaktär ........... 232
9 Principer för behandling av personuppgifter ............... 235
9.1 Behandling för ändamål inom ramlagens tillämpningsområde .............................................................. 235 9.1.1 Förutsättningarna för att få behandla personuppgifter ..................................................... 235 9.1.2 Rättslig grund för behandling – huvudregeln ...... 236
Innehåll SOU 2017:29
8
9.1.3 Rättslig grund i undantagsfall för diarieföring och handläggning .................................................. 239 9.1.4 Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser .......................................... 240 9.1.5 Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål .......................... 242 9.1.6 Behandling för nya ändamål ................................. 246 9.1.7 Behandling för vetenskapliga, statistiska och historiska ändamål ................................................. 253
9.2 Grundläggande krav på behandlingen ................................. 254 9.2.1 Ingen generell bestämmelse om grundläggande principer ....................................... 254 9.2.2 Personuppgifter ska vara korrekta och adekvata ................................................................. 257 9.2.3 Olika typer av personuppgifter ska skiljas från varandra .................................................................. 260 9.2.4 Känsliga personuppgifter ...................................... 263 9.2.5 Inga ytterligare regler om vilka personuppgifter som får behandlas ...................... 276 9.2.6 Åtgärder för att säkerställa personuppgifternas kvalitet .................................. 278 9.3 Längsta tid som personuppgifter får behandlas .................. 282 9.3.1 Terminologin bör renodlas ................................... 282 9.3.2 Hur länge får personuppgifter behandlas? .......... 284 9.4 Automatiserade beslut.......................................................... 287 9.5 Användningsbegränsning ..................................................... 288 9.6 Behandling för ändamål utanför ramlagens tillämpningsområde .............................................................. 291
10
Personuppgiftsansvarigas skyldigheter ....................... 297 10.1 Vad innebär personuppgiftsansvar? ..................................... 297
10.1.1 Definition av personuppgiftsansvarig .................. 297 10.1.2 Personuppgiftsansvarets omfattning ................... 298
Innehåll
9
10.2 Skyldigheten att säkerställa författningsenlig behandling ............................................................................. 300 10.2.1 Tekniska och organisatoriska åtgärder ................. 300 10.2.2 Loggning ................................................................ 305 10.2.3 Tillgången till personuppgifter ............................. 311 10.2.4 Konsekvensbedömning ......................................... 313 10.2.5 Förhandssamråd med tillsynsmyndigheten ......... 314 10.2.6 Samarbete med tillsynsmyndigheten .................... 318 10.2.7 Skyldighet att förteckna behandlingar ................. 319 10.2.8 Anmälan av överträdelser ...................................... 323 10.3 Säkerheten för personuppgifter ........................................... 325 10.4 Personuppgiftsincidenter ..................................................... 328 10.4.1 Vad är en personuppgiftsincident? ....................... 328 10.4.2 Anmälan till tillsynsmyndigheten ........................ 330 10.4.3 Underrättelse till den registrerade ........................ 334 10.4.4 Dokumentations- och underrättelseskyldighet ... 338 10.5 Dataskyddsombud ................................................................ 339 10.5.1 Definition av dataskyddsombud ........................... 339 10.5.2 Krav på dataskyddsombud .................................... 340 10.5.3 Dataskyddsombudens arbetsuppgifter................. 344 10.6 Personuppgiftsbiträden ........................................................ 348 10.6.1 Definition av personuppgiftsbiträde .................... 348 10.6.2 Anlitande av personuppgiftsbiträden ................... 349 10.6.3 Behandling enligt den
personuppgiftsansvariges instruktioner ............... 354
10.6.4 Skyldighet att förteckna behandlingar ................. 356 10.6.5 Övriga skyldigheter för personuppgiftsbiträden ......................................... 357
10.7 Gemensamt personuppgiftsansvar ....................................... 359 10.7.1 Gemensamt personuppgiftsansvar i dag............... 359 10.7.2 En tydligare reglering av gemensamt
personuppgiftsansvar ............................................. 361
10.8 Föreskriftsrätt ....................................................................... 364
Innehåll SOU 2017:29
10
11
Enskildas rättigheter ................................................ 367 11.1 Tydligare reglering av enskildas rättigheter ........................ 367 11.2 Rätten till information ......................................................... 367
11.2.1 Allmänt om rätten till information ...................... 367 11.2.2 Reglerna om information i straffrättsliga förfaranden har företräde...................................... 370 11.2.3 Innehållet i direktivet ............................................ 371 11.2.4 Nuvarande reglering .............................................. 372 11.2.5 Innebörden av artiklarna om information ........... 374 11.2.6 Allmän information som ska göras tillgänglig .... 377 11.2.7 Information som ska lämnas i specifika fall ........ 378 11.2.8 Information som ska lämnas på begäran ............. 381 11.2.9 Information om automatiserade beslut ............... 389
11.3 Begränsning av rätten till information ................................ 390 11.3.1 Rätten till information får begränsas ................... 390 11.3.2 Kategorier av behandling ...................................... 396 11.3.3 Ofärdig text och minnesanteckningar ................. 397 11.3.4 Orimliga eller uppenbart ogrundade
framställningar ....................................................... 400
11.4 Rättelse, radering och begränsning av behandlingen .......... 402 11.4.1 Rätten till rättelse och komplettering .................. 402 11.4.2 Rätten till radering ................................................ 405 11.4.3 Begränsning av behandlingen ............................... 407 11.4.4 Val av åtgärd .......................................................... 412 11.5 Hur informationen ska begäras och lämnas ........................ 413 11.5.1 Kraven på informationen och på den som
begär information .................................................. 413
11.5.2 Skriftlig begäran .................................................... 413 11.5.3 Åtgärder för att säkerställa att begäran görs av en behörig person .................................................. 414 11.5.4 Lättbegriplig information i lämplig form ............ 415 11.5.5 Åtgärder som underlättar utövandet av rättigheterna .......................................................... 417 11.5.6 Skyldighet att informera om handläggningen ..... 418 11.5.7 Beslut ska vara skriftliga och motiverade ............ 419 11.5.8 Underrättelseskyldighet ....................................... 420
Innehåll
11
11.5.9 Information ska inte avgiftsbeläggas .................... 424
12
Tillsyn .................................................................... 425 12.1 Dagens tillsyn över personuppgiftsbehandling ................... 425
12.1.1 Datainspektionen................................................... 425 12.1.2 Säkerhets- och integritetsskyddsnämnden .......... 426 12.1.3 JO och JK ............................................................... 428
12.2 Utgångspunkter för utredningens överväganden om tillsyn ..................................................................................... 428 12.3 Tillsynsmyndighet enligt direktivet ..................................... 432 12.3.1 Förslaget från Utredningen om tillsyn över
den personliga integriteten ................................... 432
12.3.2 Annan tillsyn kan också förekomma .................... 433
12.4 Tillsynsområdet ..................................................................... 433 12.4.1 Tillsynsområdet bör slås fast i en definition ........ 433 12.4.2 Ingen förändring av tillsynen över dömande
verksamhet ............................................................. 435
12.5 Tillsynsmyndighetens uppdrag ............................................ 441 12.5.1 Tillsynsmyndighetens oberoende ska värnas ....... 441 12.5.2 Tillsynsmyndigheten ska ha dubbla perspektiv ... 443 12.6 Tillsynsmyndighetens uppgifter .......................................... 445 12.6.1 Huvuduppgifterna bör regleras i ramlagen .......... 445 12.6.2 Klagomål från enskilda .......................................... 447 12.6.3 Kontroll av om behandling är
författningsenlig .................................................... 450
12.6.4 Information och rådgivning .................................. 456
12.7 Tillsynsmyndighetens befogenheter .................................... 460 12.7.1 Hur bör tillsynen bedrivas? .................................. 460 12.7.2 Utgångspunkterna för regleringen ....................... 462 12.7.3 Undersökningsbefogenheter ................................ 463 12.7.4 Skillnad mellan förebyggande och
korrigerande befogenheter .................................... 466
12.7.5 Förebyggande befogenheter ................................. 468 12.7.6 Korrigerande befogenheter ................................... 470
12.8 Handläggningen av tillsynsfrågor ........................................ 473
Innehåll SOU 2017:29
12
12.8.1 Förvaltningslagens tillämplighet .......................... 473 12.8.2 Kommunikationsskyldighet ................................. 474 12.8.3 Beslut ska gälla när de fått laga kraft .................... 475 12.8.4 Anmälningsskyldighet .......................................... 476
12.9 Möjlighet att ifrågasätta giltigheten av unionsrättsakter ... 477 12.10 Internationellt samarbete ..................................................... 479 12.10.1 Skyldighet att bistå en tillsynsmyndighet i en
annan medlemsstat ................................................ 479
12.10.2 Svensk begäran om bistånd av en annan medlemsstat ........................................................... 481
12.11 Tillsyn ska vara avgiftsfri ...................................................... 483 12.11.1 Tillsynsmyndigheten ska inte kunna ta ut
avgifter ................................................................... 483
12.11.2 Ersättning för bistånd till en annan medlemsstat ........................................................... 484
12.12 Övriga frågor ........................................................................ 486
13
Sanktioner .............................................................. 489 13.1 Utgångspunkter för valet av sanktionssystem .................... 489
13.1.1 Olika typer av sanktioner ..................................... 489 13.1.2 Innehållet i direktivet och nuvarande reglering... 489 13.1.3 Ett sammanhållet sanktionssystem ...................... 491
13.2 Vilket sanktionssystem bör väljas? ...................................... 492 13.2.1 Ingen straffbestämmelse i ramlagen ..................... 492 13.2.2 En ny administrativ sanktion ska införas ............ 496 13.3 Utformningen av sanktionsavgiftssystemet ....................... 501 13.4 Vem ska betala sanktionsavgift? .......................................... 504 13.5 Vad ska föranleda sanktionsavgift? ..................................... 505 13.5.1 Allmänna utgångspunkter .................................... 505 13.5.2 Överträdelser som kan föranleda
sanktionsavgift ...................................................... 506
13.5.3 Ska sanktionsavgift alltid tas ut? .......................... 510
13.6 Hur sanktionsavgiften ska bestämmas ................................ 512 13.6.1 Sanktionsavgiftens storlek .................................... 512
Innehåll
13
13.6.2 Hur avgiften ska bestämmas i det enskilda fallet ........................................................................ 517
13.7 Beslut om sanktionsavgift .................................................... 520 13.7.1 Vem ska besluta om sanktionsavgift? .................. 520 13.7.2 Förfarandet vid beslut om sanktionsavgift .......... 521 13.7.3 Betalning och verkställighet .................................. 523 13.7.4 Överklagande ......................................................... 524 13.8 Sanktionsavgift och Europakonventionen .......................... 524 13.8.1 Konventionens krav på rättssäkerhetsgarantier ... 524 13.8.2 Konventionens förbud mot dubbelprövning ....... 525
14
Rättsmedel och skadestånd ...................................... 527 14.1 Krav på effektiva rättsmedel vid felaktig
personuppgiftsbehandling .................................................... 527
14.2 Talerätt för registrerade ........................................................ 529 14.3 Skadestånd ............................................................................. 530 14.3.1 Det allmännas skadeståndsansvar ......................... 530 14.3.2 Skadeståndsskyldighet för
personuppgiftsansvariga ........................................ 532
14.4 Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig ......................................................... 537 14.5 Klagomål ................................................................................ 540 14.6 Dröjsmålstalan ...................................................................... 545 14.6.1 En särskild reglering behövs ................................. 545 14.6.2 Handläggningen hos tillsynsmyndigheten ........... 550 14.6.3 Domstolsprövningen ............................................. 554 14.7 Överklagande av tillsynsmyndighetens beslut .................... 557 14.7.1 Tillsynsmyndighetens beslut ska kunna
överklagas ............................................................... 557
14.7.2 Det behövs ingen ny forumregel .......................... 562
14.8 Rättsmedlen är oberoende av varandra ................................ 563 14.9 Rätt för ideella organisationer att företräda registrerade ... 564
Innehåll SOU 2017:29
14
15
Överföring till tredjeland och internationella
organisationer .......................................................... 569
15.1 Bakgrund ............................................................................... 569 15.1.1 2013 års lag ............................................................ 569 15.1.2 Personuppgiftslagen .............................................. 570 15.1.3 Innehållet i direktivet ............................................ 571 15.2 Några grundläggande begrepp ............................................. 572 15.2.1 Överföring ............................................................. 572 15.2.2 Medlemsstat........................................................... 574 15.2.3 Tredjeland .............................................................. 578 15.2.4 Internationell organisation ................................... 578 15.2.5 Internationella avtal .............................................. 579 15.3 Allmänna principer för överföring av personuppgifter ...... 580 15.3.1 Grundläggande förutsättningar för överföring ... 580 15.3.2 Överföringen ska vara nödvändig för ett visst
ändamål och riktas till en behörig myndighet ..... 583
15.3.3 Viss skyddsnivå ska vara säkerställd .................... 585 15.3.4 Överföring av uppgifter från andra medlemsstater ska vara medgiven ........................ 586
15.4 Beslut om adekvat skyddsnivå ............................................. 589 15.5 Tillräckliga skyddsåtgärder .................................................. 591 15.6 Undantag i särskilda situationer .......................................... 595 15.6.1 Överföringen ska vara nödvändig i en särskild
situation ................................................................. 595
15.6.2 Enskildas vitala intressen ...................................... 599 15.6.3 Registrerades berättigade intressen ...................... 601 15.6.4 Myndigheters intresse i enskilda fall .................... 602 15.6.5 Rättsliga anspråk i enskilda fall ............................ 604 15.6.6 Allvarlig fara för allmän säkerhet ......................... 605 15.6.7 En intresseavvägning ska göras i vissa fall ........... 606
15.7 Vidareöverföring ................................................................... 607 15.8 Överföring till andra än behöriga myndigheter .................. 611 15.8.1 Förutsättningarna för överföring till andra än
behöriga myndigheter ........................................... 611
15.8.2 Överföringen ska vara absolut nödvändig ........... 614
Innehåll
15
15.8.3 Överföring till behörig myndighet blir ineffektiv eller är olämplig .................................... 615 15.8.4 En intresseavvägning ska göras ............................. 617
15.9 Villkor för användningen av personuppgifter ..................... 618 15.9.1 Villkor som ställs upp av utländska
myndigheter eller organ ........................................ 618
15.9.2 Villkor när personuppgifter överförs av svenska myndigheter ............................................. 619
15.10 Dokumentationskrav och informationsskyldighet ............. 621 15.11 Internationellt samarbete ..................................................... 624 15.12 Sekretess vid överföring till tredjeland ................................ 625 15.12.1 Överföring innebär utlämnande ........................... 625 15.12.2 Utlämnande av offentliga allmänna handlingar
till tredjeland .......................................................... 625
15.12.3 Uppgifter som inte är sekretessbelagda ............... 626 15.12.4 Uppgifter som är sekretessbelagda ....................... 626
16
Sekretessfrågor ....................................................... 629 16.1 Allmänt om offentlighet och sekretess ............................... 629
16.1.1 Rätten att ta del av allmänna handlingar .............. 629 16.1.2 Huvuddragen i sekretessregleringen .................... 629
16.2 Ändrade regler om sekretess och tystnadsplikt med anledning av dataskyddsreformen ........................................ 631 16.3 Sekretess i tillsynsverksamheten .......................................... 632 16.3.1 Nuvarande reglering .............................................. 632 16.3.2 Behovet av en ny sekretessbestämmelse .............. 635 16.3.3 Utformningen av sekretessbestämmelsen............ 638 16.3.4 En sekretessbrytande regel för
tillsynsverksamheten ............................................. 641
16.3.5 En hänvisningsbestämmelse bör införas .............. 643
16.4 Sekretess för sammanställningar av känsliga personuppgifter ..................................................................... 643 16.5 Sekretess för rapporter om personuppgiftsincidenter ........ 645
Innehåll SOU 2017:29
16
17
Konsekvenser .......................................................... 647 17.1 Få helt nya krav eller arbetsuppgifter men skärpta krav i
vissa fall ................................................................................. 647
17.2 Ekonomiska konsekvenser................................................... 649 17.2.1 Konsekvenser för staten ....................................... 649 17.2.2 Konsekvenser för kommuner och landsting ....... 651 17.2.3 Konsekvenser för enskilda .................................... 651 17.3 Konsekvenser för brottsligheten och det brottsförebyggande arbetet .................................................. 652 17.4 Konsekvenser i övrigt ........................................................... 652
18
Ikraftträdande och övergångsbestämmelser ................ 655 18.1 Ikraftträdande ....................................................................... 655 18.2 Övergångsbestämmelser ...................................................... 655
18.2.1 Den nya dataskyddsregleringen medför särskilda övergångsproblem.................................. 655 18.2.2 Ärendehandläggning m.m. ................................... 658 18.2.3 Övergångsbestämmelser till det nya sanktionssystemet ................................................. 659 18.2.4 Övergångsbestämmelser i övrigt .......................... 662
19
Författningskommentar ............................................ 665 19.1 Förslaget till brottsdatalag ................................................... 665 19.2 Förslaget till lag om ändring i lagen (2000:562) om
internationell rättslig hjälp i brottmål ................................. 771
19.3 Förslaget till lag om ändring i lagen (2000:1219) om internationellt tullsamarbete ................................................ 771 19.4 Förslaget till lag om ändring i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar.................................................................. 771 19.5 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) .................................................... 772
Innehåll
17
19.6 Förslaget till lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete ....................................... 774
Särskilda yttranden .......................................................... 775
Bilagor
Bilaga 1 Kommittédirektiv 2016:21 ........................................... 781
Bilaga 2 Europaparlamentets och rådets direktiv (EU)
2016/680 ........................................................................ 795
19
Sammanfattning
Uppdraget
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels en allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konsekvens av reformen är att personuppgiftslagen kommer att upphävas och att all lagstiftning om personuppgiftsbehandling behöver ses över och anpassas.
Utredningens uppdrag är att föreslå hur det nya direktivet ska genomföras i svensk rätt. Eftersom regleringen i förordningen inte omfattar det som regleras i direktivet är en viktig uppgift att genom den nya lagstiftningen avgränsa tillämpningsområdet i förhållande till förordningen.
Alla myndigheter som kommer att tillämpa den lagstiftning som genomför direktivet kommer även att tillämpa förordningen. Utredningen har därför strävat efter att ha samma terminologi och likartade lösningar som i förordningen, när båda rättsakterna innehåller samma eller liknande artiklar och det inte finns sakliga skäl att välja en annan lösning för direktivets del.
Uppdraget har genomförts i nära kontakt med Dataskyddsutredningen, som har till uppgift att senare i vår lägga fram de förslag till kompletterande reglering som dataskyddsförordningen kan kräva och att utreda vissa andra generella frågor som dataskyddsreformen väcker. Under arbetet har utredningen också haft kontakt med alla andra pågående utredningar vilkas arbete kan påverkas av vår utrednings förslag.
Sammanfattning SOU 2017:29
20
En ny ramlag
Utredningen föreslår att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Lagen ska – i likhet med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär. De myndigheter som bedriver verksamhet inom lagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. Utredningen kommer att i slutbetänkandet föreslå de anpassningar som krävs med anledning av ramlagen i de registerförfattningar som ingår i utredningens uppdrag. Registerförfattningarna kommer att gälla utöver brottsdatalagen.
Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.
Tillämpningsområdet
Lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. De som har sådana arbetsuppgifter betecknas behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.
De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dataskyddsförordningen kommer att bli tillämplig i övrigt, t.ex. när Polismyndigheten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol handlägger ett tvistemål. Det som blir avgörande för om lagen är tillämplig är dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen.
SOU 2017:29 Sammanfattning
21
Gränsdragningsfrågor som rör lagens tillämpningsområde diskuteras ingående i kapitel 8.
Lagen ska i huvudsak gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad.
Lagen ska inte tillämpas på Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Undantag ska också gälla för Polismyndigheten om den övertagit en uppgift som rör nationell säkerhet från Säkerhetspolisen. Något motsvarande undantag för andra myndigheter vid deras behandling av uppgifter som rör nationell säkerhet görs inte.
Principer för behandlingen av personuppgifter
Det ska alltid finnas en rättslig grund för att personuppgifter ska få behandlas med stöd av ramlagen. Den huvudsakliga grunden att behandlingen av personuppgifterna ska vara nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Den andra rättsliga grunden är om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Personuppgifter får dessutom bara behandlas för särskilda, uttryckligt angivna, och berättigade ändamål.
Det ställs krav på att personuppgifterna ska behandlas författningsenligt och på ett korrekt sätt. De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade. De ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler uppgifter än nödvändigt får inte behandlas och inga uppgifter får behandlas längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Det är tillåtet att behandla personuppgifter för ett nytt ändamål som ligger inom lagens tillämpningsområde, men det måste alltid först prövas om det finns en tillåten rättslig grund för den nya behandlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprungliga.
Sammanfattning SOU 2017:29
22
Lagen föreskriver att olika typer av personuppgifter ska särskiljas – t.ex. uppgifter om misstänkta respektive brottsoffer – och att personuppgifter som grundar sig på fakta ska skiljas från personuppgifter som grundar sig på personliga bedömningar.
Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning betecknas känsliga personuppgifter. Enligt huvudregeln får sådana uppgifter inte behandlas, men om uppgifter om en person redan behandlas får de, på samma sätt som i dag, kompletteras med känsliga personuppgifter, under förutsättning att det är absolut nödvändigt för ändamålet med behandlingen.
Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter är också känsliga personuppgifter. Sådana uppgifter får enbart behandlas om det är särskilt föreskrivet.
Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslår utredningen en särskild sekretessregel som innebär att det gäller absolut sekretess för uppgifter i sådana sammanställningar.
Personuppgiftsansvariga åläggs att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det regleras också under vilka förutsättningar personuppgifter som behandlas på ett otillåtet sätt ska raderas och när behandlingen av dem i stället ska begränsas.
Personuppgiftsansvarigas skyldigheter
De skyldigheter som personuppgiftsansvariga har i dag kommer till stor del att gälla även i fortsättningen. Vissa regler blir dock mer preciserade och det tillkommer också vissa nya skyldigheter. Kraven på säkerhets- och skyddsåtgärder blir mer preciserade, liksom kravet på att det ska finnas en behandlingshistorik. Det ställs exempelvis krav på inbyggt dataskydd och dataskydd som standard. Det införs också en generell bestämmelse om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
SOU 2017:29 Sammanfattning
23
Till de nya skyldigheterna hör att personuppgiftsansvariga ska dokumentera alla personuppgiftsincidenter och anmäla de incidenter som kan antas påverka registrerades integritet till tillsynsmyndigheten. Det gäller dock inte sådana incidenter som rör nationell säkerhet.
Det införs också ett generellt krav på att personuppgiftsansvariga som planerar en ny typ av behandling eller att genomföra betydande förändringar i pågående behandling ska göra en bedömning av konsekvenserna för registrerades personliga integritet och, beroende på framför allt risken för intrång, samråda med tillsynsmyndigheten innan behandlingen påbörjas eller förändras.
Alla personuppgiftsansvariga ska utse dataskyddsombud. Ombudens arbetsuppgifter anges i lagen.
En annan nyhet är att förutsättningarna för gemensamt personuppgiftsansvar regleras. Utredningen föreslår att gemensamt personuppgiftsansvar endast får förekomma om det följer av lag eller förordning eller om regeringen i ett enskilt fall har beslutat om det.
Enskildas rättigheter
När det gäller enskildas rättigheter kommer till stora delar samma reglering som i dag att gälla, men rätten till information blir tydligare i vissa avseenden. Genom att lagen är subsidiär kommer reglerna om information i straffrättsliga förfaranden att ha företräde framför ramlagens bestämmelser om information.
Utgångspunkten är att den som vill kontrollera om hans eller hennes personuppgifter behandlas får vända sig till den personuppgiftsansvarige, som utan onödigt dröjsmål ska lämna skriftligt besked om uppgifterna behandlas. Om så är fallet har den registrerade rätt att få del av uppgifterna och få viss information om behandlingen. Informationsskyldigheten gäller dock inte om uppgifterna inte får lämnas ut på grund av att vissa i lagen angivna intressen kan skadas. Om det finns grund för att inte lämna informationen får även skälen för det utelämnas.
Personuppgifter i ofärdig text eller som utgör minnesanteckningar omfattas som regel inte av informationsskyldigheten. Detsamma gäller personuppgifter som sökanden redan har tagit del av.
Sammanfattning SOU 2017:29
24
Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. En motsvarande skyldighet gäller i fråga om radering av personuppgifter som behandlas på ett otillåtet sätt eller om radering krävs för att den personuppgiftsansvarige ska fullgöra en rättslig förpliktelse. I vissa fall ska behandlingen av personuppgifterna i stället begränsas. Om det finns stöd för att begränsa informationen till den registrerade får den personuppgiftsansvarige också utelämna skälen för beslut om korrigeringsåtgärder.
Tillsynen över personuppgiftsbehandling
Utredningen tar inte ställning till vilken myndighet som ska utses till tillsynsmyndighet eller hur myndigheten ska organiseras, eftersom det har utretts i annan ordning. Utredningen behandlar enbart frågan hur verksamheten ska bedrivas.
Tillsynsmyndighetens dubbla perspektiv – att både verka för att fysiska personers grundläggande rättigheter och friheter skyddas och att underlätta det fria flödet av personuppgifter – lyfts fram. Myndighetens uppdrag, huvuduppgifter och befogenheter regleras i ramlagen. En viktig utgångspunkt är att tillsynsmyndighetens oberoende ska värnas, vilket görs bäst om det inte regleras när och hur tillsyn ska inledas respektive avslutas och hur den ska bedrivas.
Tillsynsmyndigheten ska utöva allmän tillsyn över personuppgiftsbehandling, handlägga klagomål från registrerade, på begäran av fysiska personer kontrollera om deras personuppgifter behandlas författningsenligt, på begäran bistå utländska tillsynsmyndigheter och ge råd och stöd åt personuppgiftsansvariga och personuppgiftsbiträden.
Tillsynsmyndighetens undersökningsbefogenheter, som inkluderar rätt att få tillgång till personuppgifter som behandlas och dokumentation om behandlingen och om säkerhets- och skyddsåtgärder, tillträde till lokaler där personuppgifter behandlas och rätt till biträde av den personuppgiftsansvarige eller personuppgiftsbiträdet vid tillsynen, blir tydligare.
Det görs också tydlig skillnad mellan tillsynsmyndighetens förebyggande och korrigerande befogenheter. Till de förebyggande
SOU 2017:29 Sammanfattning
25
befogenheterna, som inte är bindande, hör råd, rekommendationer och påpekanden. Tillsynsmyndigheten får också möjlighet att utfärda skriftlig varning om att det finns risk för att viss behandling kan komma att stå i strid med regelverket.
Till de korrigerande befogenheterna, som är bindande för den personuppgiftsansvarige eller personuppgiftsbiträdet, hör förelägganden, förbud mot fortsatt behandling och beslut om sanktionsavgift.
Tillsynsmyndighetens internationella samarbete regleras också i ramlagen. I anslutning till det föreslås en sekretessbrytande regel som ger myndigheten möjlighet att, om det ligger i svenskt intresse, lämna ut uppgifter som är sekretessbelagda när tillsynsmyndigheten begär bistånd av en utländsk tillsynsmyndighet. Vidare föreslås en ny sekretessregel som ska gälla hos tillsynsmyndigheten i tillsynsverksamhet enligt lagen för uppgifter som en utländsk tillsynsmyndighet har lämnat i samband med en begäran om svenskt bistånd med tillsyn. Sekretessen gäller om det kan antas att möjligheterna för den svenska tillsynsmyndigheten att bedriva tillsyn motverkas om uppgiften röjs.
Sanktioner
Utredningen anser att överträdelser av bestämmelserna om personuppgiftsbehandling i ramlagen inte ska straffsanktioneras. Det ska i stället införas en ny administrativ sanktion i form av sanktionsavgift. Det motsvarar vad som gäller vid överträdelse av bestämmelserna i dataskyddsförordningen.
Sanktionsavgift får tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbiträden. Sanktionsavgift får tas ut av personuppgiftsansvariga vid överträdelse av de grundläggande bestämmelserna till skydd för enskildas integritet. Det gäller bl.a. om personuppgifter behandlas utan rättslig grund eller utan ett särskilt angivet och berättigat ändamål, om personuppgifterna inte uppfyller kraven på att vara korrekta, aktuella, adekvata och relevanta eller om fler uppgifter än nödvändigt behandlas eller om de behandlas längre än vad som är nödvändigt med hänsyn till ändamålen. Det gäller också om den personuppgiftsansvarige inte vidtar tillräckliga säkerhets- och skyddsåtgärder eller om personuppgifter överförs
Sammanfattning SOU 2017:29
26
till tredjeland eller internationella organisationer i strid med regelverket.
Sanktionsavgift får också tas ut om den personuppgiftsansvarige inte bistår tillsynsmyndigheten vid tillsyn eller inte rättar sig efter tillsynsmyndighetens förelägganden eller beslut.
Regleringen av sanktionsavgift bygger på strikt ansvar, men sanktionsavgift behöver inte tas ut vid varje överträdelse. Vid bedömningen av om sanktionsavgift ska tas ut och till vilket belopp den ska bestämmas ska särskild hänsyn tas till bl.a. om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet och vad som gjorts för att begränsa skadan.
Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 10 000 000 kronor för mindre allvarliga överträdelser och det dubbla vid andra överträdelser.
Tillsynsmyndigheten ska besluta om sanktionsavgift och sanktionsavgiften ska tillfalla staten.
Rättsmedel och skadestånd
Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning som behandling av personuppgifter i strid med ramlagen med tillhörande förordning har orsakat. Jämkning av skadeståndsskyldigheten ska, i motsats till vad som är fallet i dag, inte vara möjlig.
Vissa beslut som en myndighet fattat i egenskap av personuppgiftsansvarig ska kunna överklagas. Det gäller beslut i fråga om rättelse, komplettering, radering eller begränsning av behandlingen, beslut att inte lämna ut information på begäran av en registrerad, att ta ut avgift för sådan information eller att inte medge omprövning av automatiserade beslut. Regleringen motsvarar i allt väsentligt det som gäller i dag.
Tillsynsmyndighetens beslut enligt lagen får också överklagas. Vid överklagande till kammarrätten ska det krävas prövningstillstånd vid överklagande av både personuppgiftsansvariga myndigheters och tillsynsmyndighetens beslut.
SOU 2017:29 Sammanfattning
27
Det införs också en möjlighet för registrerade att föra s.k. dröjsmålstalan om tillsynsmyndigheten dröjer med att handlägga klagomål. Om en registrerad har lämnat in ett klagomål till tillsynsmyndigheten och den inte inom tre månader har tagit ställning till om klagomålet ska föranleda tillsyn, har den registrerade rätt att inom två veckor antingen få ett skriftligt besked i den frågan eller ett särskilt beslut om att begäran om besked avslås. Om tillsynsmyndigheten har avslagit begäran får den registrerade överklaga beslutet till allmän förvaltningsdomstol. Om domstolen bifaller talan ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i frågan om tillsyn kommer att utövas. Domstolen ska däremot inte ta ställning i frågan om tillsyn ska utövas.
Överföring till tredjeland och internationella organisationer
I ramlagen regleras vad som ska gälla vid överföring av personuppgifter till tredjeland och internationella organisationer. Med tredjeland avses i lagen andra stater än EU:s medlemsstater, Island, Liechtenstein, Norge och Schweiz.
Behöriga myndigheter får överföra personuppgifter som behandlas automatiserat till ett tredjeland eller en internationell organisation eller överföra uppgifterna dit för att de ska behandlas automatiserat där. Det ställs upp en rad villkor för att uppgifterna ska få överföras. Personuppgifter får endast överföras om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Överföringen ska enligt huvudregeln riktas till en behörig myndighet i ett tredjeland eller en internationell organisation som är en behörig myndighet. Dessutom krävs det att kommissionen har meddelat ett beslut om att det tredjelandet eller den internationella organisationen har adekvat skyddsnivå för personuppgifter eller, om det inte finns ett sådant beslut, personuppgifterna omfattas av tillräckliga skyddsåtgärder. I vissa särskilda undantagssituationer får dock personuppgifter överföras även om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder. Det gäller bl.a. om det är nödvändigt för att skydda den registrerades eller en annan
Sammanfattning SOU 2017:29
28
fysisk persons vitala intressen, för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller för att avvärja en omedelbar eller allvarlig fara för allmän säkerhet.
Vidare regleras vad som ska göras om ett tredjeland eller en internationell organisation vill vidareöverföra personuppgifter till ett tredjeland eller en internationell organisation och möjligheten att i vissa fall överföra personuppgifter till andra än behöriga myndigheter.
Konsekvenser
Förslagen bedöms förbättra skyddet för enskildas integritet. Förbättrat dataskydd ger samtidigt möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter både nationellt och mellan medlemsstaterna, vilket är positivt för det brottsförebyggande arbetet. De ekonomiska konsekvenserna för berörda myndigheter bedöms rymmas inom de befintliga ekonomiska ramarna.
Ikraftträdande och övergångsbestämmelser
Den nya lagen föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser, dels för det nya sanktionssystemet, dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före lagens ikraftträdande men inte hunnit slutföras. Det krävs också övergångsbestämmelser för mål som har överklagats men inte hunnit slutföras och för ersättning för skador som har vållats före ikraftträdandet.
29
1 Författningsförslag
1.1 Förslag till brottsdatalag ( 2018:000 )
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser Syftet med lagen
1 § Syftet med denna lag är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).
Lagens tillämpningsområde
2 § Denna lag gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.
Författningsförslag SOU 2017:29
30
3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
4 § Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
Avvikande bestämmelser i annan författning
5 § Om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.
Uttryck i lagen
6 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Behandling av personuppgifter En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Behörig myndighet 1. En myndighet som har till uppgift att
a) förebygga, förhindra eller upptäcka brottslig verksamhet,
b) utreda eller lagföra brott,
SOU 2017:29 Författningsförslag
31
c) verkställa straffrättsliga påföljder, eller
d) upprätthålla allmän ordning och säkerhet, eller
2. en annan aktör som utövar myndighet för något av de syften som anges i 1.
Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Dataskyddsombud En fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Genetiska uppgifter Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga. Internationell organisation En organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. Medlemsstat En stat som är medlem i Europeiska unionen och Island, Liechtenstein, Norge och Schweiz. Mottagare Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Författningsförslag SOU 2017:29
32
Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Personuppgiftsansvarig Den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Registrerad Den fysiska person som personuppgiften rör. Tillsynsmyndighet Myndighet som regeringen utser att enligt dataskyddsdirektivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Tredjeland En stat som inte är en medlemsstat. Tredje man Någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.
SOU 2017:29 Författningsförslag
33
Uppgift som rör hälsa Personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
2 kap. Behandling av personuppgifter
Behandling för ändamål inom denna lags tillämpningsområde
Tillåtna rättsliga grunder för behandling av personuppgifter
1 § Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.
2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om
1. det är nödvändigt för diarieföring, eller
2. uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Ändamål för behandling av personuppgifter
3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.
Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.
Författningsförslag SOU 2017:29
34
4 § Innan personuppgifter får behandlas för ett nytt ändamål inom denna lags tillämpningsområde ska det säkerställas att
1. det finns en tillåten rättslig grund enligt 1 § för den nya behandlingen, och
2. behandlingen är nödvändig och proportionerlig för det nya ändamålet.
5 § En behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.
Grundläggande krav på behandlingen av personuppgifter
Laglig och korrekt behandling
6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.
Personuppgifters kvalitet
7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Åtskillnad mellan olika slag av personuppgifter
9 § Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade, som personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, särskiljas. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.
SOU 2017:29 Författningsförslag
35
10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.
Känsliga personuppgifter
11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.
Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.
12 § Biometriska uppgifter som används för att identifiera en person och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
13 § Personuppgifter som avses i 11 och 12 §§ betecknas i denna lag som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 2 §.
14 § Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Åtgärder för att säkerställa personuppgifternas kvalitet
15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.
När personuppgifter lämnas ut till en behörig myndighet ska mottagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
Författningsförslag SOU 2017:29
36
16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
Längsta tid som personuppgifter får behandlas
17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.
Automatiserade beslut
19 § Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person.
Automatiserade beslut får inte enbart grundas på känsliga personuppgifter.
Villkor om användningsbegränsning
20 § Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall
SOU 2017:29 Författningsförslag
37
får ställas upp samma typ av villkor i förhållande till en svensk mottagare.
Behandling för ändamål utanför denna lags tillämpningsområde
21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.
Föreskrifter
22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. underrättelseskyldighet, eller
2. åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.
3 kap. Personuppgiftsansvarigas skyldigheter Personuppgiftsansvarets omfattning
1 § Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.
Författningsförslag SOU 2017:29
38
3 § Både vid beslut om hur behandlingen ska utföras och vid behandlingen ska den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).
4 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem som regel endast är möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
5 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.
Tillgången till personuppgifter
6 § Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Konsekvensbedömning och förhandssamråd
7 § Kan en typ av ny behandling, eller betydande förändringar avseende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.
Om konsekvensbedömningen visar att det finns särskild risk för intrång i registerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs.
SOU 2017:29 Författningsförslag
39
Säkerheten för personuppgifter
Skyddsåtgärder
8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.
Personuppgiftsincidenter
9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten rör nationell säkerhet.
Anmälan behöver inte göras om det kan antas att personuppgiftsincidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.
Underrättelseskyldigheten enligt första stycket gäller inte om den personuppgiftsansvarige
1. har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,
2. har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet, eller
3. skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.
I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.
11 § Den personuppgiftsansvarige får underlåta att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
Författningsförslag SOU 2017:29
40
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. annans fri- och rättigheter skyddas. Första stycket gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400).
Samarbete med tillsynsmyndigheten
12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till den.
Dataskyddsombud
13 § Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
14 § Dataskyddsombud ska
1. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,
2. informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter,
3. på begäran ge den personuppgiftsansvarige råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,
4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och
5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.
SOU 2017:29 Författningsförslag
41
15 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.
16 § [Tystnadsplikt för dataskyddsombud]
Personuppgiftsbiträden
17 § Den personuppgiftsansvarige får, om det är lämpligt, anlita personuppgiftsbiträden. När ett personuppgiftsbiträde anlitas, ska den personuppgiftsansvarige försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
18 § Det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.
Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av den personuppgiftsansvarige anlita ett annat personuppgiftsbiträde.
19 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.
Om ett personuppgiftsbiträde i strid med den personuppgiftsansvariges instruktioner fastställer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.
20 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvar
21 § Två eller flera behöriga myndigheter får vara gemensamt personuppgiftsansvariga endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Författningsförslag SOU 2017:29
42
Bemyndigande
22 § Regeringen får meddela föreskrifter om skyldigheten att föra register över kategorier av behandling av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser.
Föreskrifter
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. åtgärder som avses i 2–5, 7 och 8 §§,
2. tillgången till personuppgifter,
3. anmälan om personuppgiftsincidenter,
4. underrättelser till registrerade om personuppgiftsincidenter, och
5. innehållet i avtal och överenskommelser enligt 18 §.
4 kap. Enskildas rättigheter Rätten till information
Allmän information
1 § Den personuppgiftsansvarige ska göra följande allmänna information tillgänglig för registrerade.
1. Den personuppgiftsansvariges identitet och kontaktuppgifter.
2. Dataskyddsombudets kontaktuppgifter.
3. Ändamålen med behandlingen.
4. Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.
5. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§.
6. Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.
Personrelaterad information
2 § Den personuppgiftsansvarige ska i specifika fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.
SOU 2017:29 Författningsförslag
43
1. Den rättsliga grunden för behandlingen.
2. Kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.
3. Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.
4. Övrig nödvändig information. Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.
3 § Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.
1. Vilka personuppgifter om sökanden som behandlas.
2. Varifrån personuppgifterna kommer.
3. Den rättsliga grunden för behandlingen.
4. Ändamålen med behandlingen.
5. Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.
6. Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.
7. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§.
8. Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den. Utlämnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.
4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § får av den personuppgiftsansvarige begära närmare information om beslutet.
Författningsförslag SOU 2017:29
44
Begränsning av rätten till information
5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. annans fri- och rättigheter skyddas. Om förutsättningarna i första stycket är uppfyllda, är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 9 eller 10 §.
Undantagen från informationsskyldigheten enligt första och andra styckena gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400).
6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.
7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.
Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.
SOU 2017:29 Författningsförslag
45
Möjligheten att begära kontroll genom tillsynsmyndigheten
8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.
Rätten till rättelse, radering och begränsning av behandlingen
9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.
Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.
10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
Avgiftsfri information
12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.
Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.
Författningsförslag SOU 2017:29
46
Föreskrifter
13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. information enligt 1–4 §§,
2. avgift för information som avses i 3 §, och
3. kraven på en begäran enligt 3, 4, 9 eller 10 §.
5 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 § Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.
Tillsynsmyndighetens uppgifter
2 § Tillsynsmyndigheten ska
1. utöva allmän tillsyn över personuppgiftsbehandling,
2. handlägga klagomål från registrerade,
3. utföra kontroll enligt 3 §, och
4. på begäran bistå en tillsynsmyndighet i en annan medlemsstat.
3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.
Myndigheten får vägra att utföra sådan kontroll som avses i första stycket om begäran är orimlig eller uppenbart ogrundad.
4 § Tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd och när det i övrigt är påkallat.
SOU 2017:29 Författningsförslag
47
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få
1. tillgång till alla personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,
3. tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och
4. det biträde och annan information som behövs för tillsynen.
Förebyggande befogenheter
6 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.
Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.
Korrigerande befogenheter
7 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldigheter, får tillsynsmyndigheten
1. genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
2. förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
Författningsförslag SOU 2017:29
48
3. förbjuda fortsatt behandling om bristen är allvarlig, eller
4. besluta om sanktionsavgift enligt 6 kap. Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.
Kommunikation
8 § Innan tillsynsmyndigheten fattar ett beslut enligt 7 § första stycket 2–4, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.
Besked angående handläggningen av ett klagomål
9 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.
Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran kom in till myndigheten.
10 § Om tillsynsmyndigheten har avslagit en begäran enligt 9 §, får den registrerade begära nytt besked tidigast tre månader efter det att myndighetens beslut meddelades. Om den registrerade innan dess på nytt begär besked avseende samma klagomål, ska myndigheten avvisa begäran.
Samarbete med tillsynsmyndigheter i andra medlemsstater
11 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat får vägras endast om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den.
12 § När tillsynsmyndigheten utövar tillsyn enligt 2 § 4 har den de befogenheter som anges i 5–7 §§.
SOU 2017:29 Författningsförslag
49
13 § Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).
14 § Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.
Ansökan hos allmän förvaltningsdomstol
15 § Om tillsynsmyndigheten vid handläggningen av ett ärende be-
dömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av denna lag, får myndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd som anges i 7 § första stycket 2–4 ska vidtas.
Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Föreskrifter
16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. kraven på en begäran enligt 3 §,
2. anmälningsskyldighet, och
3. samarbete med tillsynsmyndigheter i andra medlemsstater.
6 kap. Administrativa sanktionsavgifter Överträdelser som kan föranleda sanktionsavgift
1 § Sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av bestämmelser i
1. 2 kap. 1–5, 7–12, 14–18 eller 19 § andra stycket,
2. 3 kap. 2–8 §§, eller
3. 8 kap. 1–6 eller 8 §.
Författningsförslag SOU 2017:29
50
Sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar sådana incidenter eller underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller att följa tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
2 § Sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträdelse av 3 kap. 5, 6 eller 8 §.
Sanktionsavgift får också tas ut om ett personuppgiftsbiträde underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
Hur sanktionsavgiften ska bestämmas
3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter vara minst 25 000 kronor och högst 10 000 000 kronor.
Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften vara minst 50 000 kronor och högst 20 000 000 kronor.
Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
4 § Vid bedömningen av om sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till
1. om överträdelsen varit uppsåtlig eller berott på oaktsamhet,
2. den skada, fara eller kränkning som överträdelsen inneburit,
3. överträdelsens karaktär, svårhetsgrad och varaktighet,
4. vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan, och
5. om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala sanktionsavgift.
5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.
SOU 2017:29 Författningsförslag
51
Beslut om sanktionsavgift
6 § Tillsynsmyndigheten beslutar om sanktionsavgift.
Sanktionsavgiften tillfaller staten.
7 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om handläggningen av beslut om och verkställighet av sanktionsavgift.
7 kap. Skadestånd och rättsmedel
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den, har orsakat.
Överklagande
Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig
2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 §
första stycket, radering enligt 4 kap. 10 § första stycket, eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge omprövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Författningsförslag SOU 2017:29
52
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.
Dröjsmålstalan
3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.
Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i fråga om tillsyn kommer att utövas.
Domstolens beslut får inte överklagas.
Överklagande av andra beslut av tillsynsmyndigheten
4 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut som inte får överklagas
5 § Andra beslut enligt denna lag än de som anges i 2–4 §§ får inte överklagas.
8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
Grundläggande förutsättningar för överföring
1 § En behörig myndighet får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen
1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
SOU 2017:29 Författningsförslag
53
2. riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet, och
3. omfattas av
a) ett beslut om adekvat skyddsnivå enligt 3 §, eller
b) tillräckliga skyddsåtgärder enligt 4 §, eller
c) ett undantag för särskilda situationer enligt 5 §. En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.
2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.
Om medgivande enligt första stycket på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.
Tillåtna grunder för överföring
Beslut om adekvat skyddsnivå
3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.
Tillräckliga skyddsåtgärder
4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om
1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller
Författningsförslag SOU 2017:29
54
2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.
Överföring i särskilda situationer
5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en samling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att
1. skydda den registrerades eller en annan fysisk persons vitala intressen, eller andra berättigade intressen för den registrerade,
2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller
4. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.
Vidareöverföring
6 § En svensk behörig myndighet får inte tillåta att sådana personuppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte en behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.
7 § När en behörig myndighet ska ta ställning till om personuppgifter som behandlats i Sverige och därefter lämnats till en annan medlemsstat, som överfört dem till ett tredjeland eller en internationell organisation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar,
SOU 2017:29 Författningsförslag
55
allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den internationella organisationen dit uppgifterna ska vidareöverföras.
Överföring till andra än behöriga myndigheter
8 § En behörig myndighet, med undantag för en annan aktör som utövar myndighet, får i ett enskilt fall, trots kravet i 1 § 2, överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Personuppgifterna får överföras endast om
1. det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en arbetsuppgift enligt 1 kap. 2 § som den har ansvar för,
2. den svenska myndigheten informerar den som ska ta emot personuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och
3. det skulle vara ineffektivt eller olämpligt att överföra dem till behörig myndighet i det tredjelandet.
Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.
Villkor om användningsbegränsning
9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
10 § En svensk behörig myndighet får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Författningsförslag SOU 2017:29
56
Föreskrifter
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. information till annan medlemsstat när personuppgifter överförts utan förhandsmedgivande enligt 2 § andra stycket,
2. information till behörig myndighet i tredjeland när personuppgifter överförts enligt 8 §, och
3. dokumentation av överföringar och information om sådana till tillsynsmyndigheten.
1. Denna lag träder i kraft den 1 maj 2018.
2. Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. Bestämmelsen i 3 kap. 5 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
4. Sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.
5. För överträdelser av bestämmelser om personuppgiftsbehandling som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet som begåtts före ikraftträdandet gäller fortfarande äldre föreskrifter.
6. Ärenden om tillsyn över personuppgiftsbehandling och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.
7. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet.
8. Bestämmelserna om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats vid behandling av personuppgifter som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet före ikraftträdandet.
SOU 2017:29 Författningsförslag
57
1.2 Förslag till brottsdataförordning ( 2018:000 )
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av brottsdatalagen (2018:000).
2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i brottsdatalagen (2018:000).
2 kap. Behandling av personuppgifter
1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 15 § första stycket eller 16 § första stycket brottsdatalagen (2018:000) har lämnats ut ska mottagaren omedelbart underrättas om det. Detsamma gäller så långt möjligt den som har tagit del av sådana personuppgifter som har gjorts tillgängliga.
2 § Den personuppgiftsansvarige ska se till att det finns rutiner för
1. att säkerställa att de som behandlar personuppgifter respekterar fristerna för när personuppgifter inte längre får behandlas, och
2. årlig översyn av behovet av att lagra personuppgifter.
3 § Den som lämnar ut personuppgifter ska underrätta mottagaren om sådana särskilda villkor för behandlingen som har ställts upp med stöd av en bindande unionsrättsakt, en lag eller en förordning.
3 kap. Personuppgiftsansvarigas skyldigheter Tekniska och organisatoriska åtgärder
1 § De åtgärder som den personuppgiftsansvarige ska vidta enligt 3 kap.2 och 3 §§brottsdatalagen (2018:000) ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När den personuppgifts-
Författningsförslag SOU 2017:29
58
ansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.
Dokumentationsskyldighet
Interna strategier
2 § De åtgärder som avses i 3 kap. 2 § brottsdatalagen (2018:000) ska, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning, innefatta antagande och dokumentation av interna strategier för dataskydd.
Register över behandlingar
3 § Den personuppgiftsansvarige ska förteckna kategorier av behandlingar av personuppgifter som denne ansvarar för. Registret ska, förutom namnet på och kontaktuppgifter till den personuppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.
1. Den rättsliga grunden för behandlingen.
2. Ändamålen med behandlingen.
3. Kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas.
4. Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.
5. Kategorier av registrerade som berörs av behandlingen.
6. Kategorier av personuppgifter som kan komma att behandlas.
7. Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.
8. Användning av profilering.
9. Om det är möjligt, tidsfrister för hur länge kategorierna av personuppgifter får behandlas. 10. Om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.
SOU 2017:29 Författningsförslag
59
Loggning
4 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 3 kap. 5 § brottsdatalagen (2018:000) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.
Konsekvensbedömning och förhandssamråd
5 § Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brottsdatalagen (2018:000) ska dokumenteras och innehålla följande uppgifter.
1. En allmän beskrivning av den planerade behandlingen.
2. En bedömning av riskerna för intrång i registrerades personliga integritet.
3. Vilka åtgärder som planeras för att hantera riskerna.
4. Åtgärder och rutiner för att säkerställa skyddet av personuppgifterna.
5. Rutiner för att visa att tillämpliga dataskyddsregler följs.
6 § Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen (2018:000) ska den personuppgiftsansvarige ge in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten.
Vid bedömningen av om typen av behandling innebär sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.
Anmälan av överträdelser
7 § Den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.
Författningsförslag SOU 2017:29
60
Säkerheten vid behandling av personuppgifter
Skyddsåtgärder
8 § Skyddsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:000) ska åstadkomma en skyddsnivå som är lämplig med beaktande av
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.
Personuppgiftsincidenter
9 § Av 10 a och 39 §§säkerhetsskyddsförordningen (1996:633) framgår vilka incidenter som enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) inte ska anmälas till tillsynsmyndigheten på grund av att de rör nationell säkerhet.
10 § En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) ska innehålla följande information.
1. En beskrivning av personuppgiftsincidenten och när den inträffade.
2. Kategorier av registrerade och det uppskattade antalet registrerade som berörs.
3. Kategorier av personuppgiftsposter och det uppskattade antalet poster som berörs.
4. Sannolika konsekvenser av incidenten.
5. Vilka åtgärder som vidtagits eller kommer att vidtas med anledning av incidenten.
6. Genomförda eller planerade underrättelser till registrerade.
7. Namnet på och kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt. All information enligt första stycket ska lämnas samtidigt om det är möjligt. Om anmälan görs senare än 72 timmar efter att personuppgiftsincidenten blev känd för den personuppgiftsansvarige ska förseningen förklaras.
SOU 2017:29 Författningsförslag
61
11 § En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen (2018:000) ska innehålla följande uppgifter.
1. En beskrivning av personuppgiftsincidenten och när den inträffade.
2. Bedömda konsekvenser för den registrerade.
3. Vilka åtgärder som vidtagits eller kommer att vidtas med anledning av personuppgiftsincidenten.
4. Åtgärder som den registrerade kan vidta för att begränsa skadan.
5. Kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt.
12 § Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter. Av dokumentationen ska framgå omständigheterna rörande incidenten, dess effekter och de åtgärder som vidtagits med anledning av den.
13 § Om en personuppgiftsincident rör personuppgifter som kommer från eller har lämnats till en behörig myndighet i en annan medlemsstat ska sådan information som anges i 10 § första stycket utan onödigt dröjsmål lämnas till den myndigheten.
Dataskyddsombud
14 § Den personuppgiftsansvarige ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.
Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap.14 och 15 §§brottsdatalagen (2018:000) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personuppgiftsansvarige ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.
Författningsförslag SOU 2017:29
62
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
15 § Ett avtal eller en annan överenskommelse enligt 3 kap. 18 § brottsdatalagen (2018:000) ska åtminstone ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska
1. behandla personuppgifter bara enligt instruktioner från den personuppgiftsansvarige,
2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa den personuppgiftsansvarige att säkerställa att bestämmelserna om registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,
5. ge den personuppgiftsansvarige tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 16 § och 3 kap.17– 19 §§brottsdatalagen följs, och
6. respektera de villkor som framgår av denna paragraf, 16 § och 3 kap. 18 §brottsdatalagen vid anlitande av ett annat personuppgiftsbiträde.
Underbiträden
16 § Har den personuppgiftsansvarige lämnat ett generellt tillstånd enligt 3 kap. 18 § andra stycket brottsdatalagen (2018:000), ska personuppgiftsbiträdet informera den personuppgiftsansvarige innan nya personuppgiftsbiträden anlitas.
Register över behandlingar
17 § Varje personuppgiftsbiträde ska förteckna kategorier av behandling av personuppgifter som utförs för en personuppgiftsansvarigs räkning. Registret ska innehålla namnet på och kontaktuppgifter till
SOU 2017:29 Författningsförslag
63
personuppgiftsbiträdet och för varje kategori av behandling följande uppgifter.
1. Namnet på och kontaktuppgifter till eventuella underbiträden.
2. Namnet på och kontaktuppgifter till den personuppgiftsansvarige för vars räkning personuppgiftsbiträdet agerar.
3. Om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, vilka uppgifter som har överförts och till vem.
4. Om möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.
Underrättelseskyldighet
18 § Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den personuppgiftsansvarige om en personuppgiftsincident.
Övriga skyldigheter
19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och 8 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvariga
20 § Gemensamt personuppgiftsansvariga ska i en skriftlig överenskommelse reglera sina respektive förpliktelser i egenskap av personuppgiftsansvarig. I överenskommelsen ska det särskilt regleras
1. hur ansvaret för enskildas rättigheter ska utövas och vars och ens skyldighet att tillhandahålla information enligt 4 kap.1 och 2 §§brottsdatalagen (2018:000), och
2. vem som ska vara kontaktpunkt för registrerade. En sådan överenskommelse som anges i första stycket får inte innebära att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.
Den registrerade får, trots en sådan överenskommelse som avses i första stycket, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.
Författningsförslag SOU 2017:29
64
Bemyndiganden
21 § Tillsynsmyndigheten får meddela närmare föreskrifter om
1. sådana åtgärder som avses i 3 kap.2–4 och 8 §§brottsdatalagen (2018:000),
2. krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen,
3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen, och
4. anmälan och underrättelse om personuppgiftsincidenter.
4 kap. Enskildas rättigheter Krav på utformningen av information
1 § Information enligt 3 kap. 10 § första stycket och 4 kap.1–4 §§brottsdatalagen (2018:000) ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§, 3 kap. 11 § och 5 kap. 2 § denna förordning.
Enskilds begäran
2 § Begäran enligt 4 kap. 3, 4, 9 eller 10 § brottsdatalagen (2018:000) ska göras skriftligen hos den personuppgiftsansvarige.
Den personuppgiftsansvarige ska säkerställa att begäran görs av en behörig person.
Beslut
3 § Beslut enligt 4 kap. 5, 7, 9 och 10 §§ och 12 § andra stycket brottsdatalagen (2018:000) ska vara skriftliga. Beslut som går den registrerade emot ska motiveras.
Av 4 kap. 5 § andra och tredje styckena brottsdatalagen framgår att skälen för vissa beslut inte behöver lämnas ut.
SOU 2017:29 Författningsförslag
65
Underrättelser
Underrättelser till enskilda
4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt 4 kap. 5 § första eller tredje stycket brottsdatalagen (2018:000) i fråga om information enligt 4 kap. 3 § samma lag. Sökanden ska i sådana fall också underrättas om möjligheterna att lämna in klagomål till en tillsynsmyndighet och att begära kontroll enligt 5 kap. 3 § brottsdatalagen. Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.
5 § Sökanden ska underrättas om beslut enligt 4 kap. 7 § första stycket eller 12 § andra stycket brottsdatalagen (2018:000).
6 § Den registrerade ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen (2018:000) och om möjligheten att lämna in klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige med stöd av 4 kap. 5 § andra eller tredje stycket brottsdatalagen inte har lämnat ut skälen för beslutet ska den registrerade också underrättas om möjligheten att begära kontroll enligt 5 kap. 3 § brottsdatalagen.
7 § Den registrerade ska underrättas innan en begränsning enligt 4 kap. 9 § andra stycket brottsdatalagen (2018:000) upphör.
Underrättelser till andra
8 § Den myndighet från vilken personuppgifter kommer ska underrättas om beslut enligt 4 kap. 9 § första stycket brottsdatalagen (2018:000).
Den som har tagit emot personuppgifter ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen.
5 kap. Tillsyn
Kontroll genom tillsynsmyndigheten
1 § En begäran enligt 5 kap. 3 § brottsdatalagen (2018:000) ska göras skriftligen och ange vilken behörig myndighet och vilket mål, ärende, register eller verksamhetsområde som begäran om kontroll gäller.
Författningsförslag SOU 2017:29
66
Tillsynsmyndigheten ska säkerställa att begäran görs av en behörig person.
2 § Tillsynsmyndigheten ska skriftligen underrätta den sökande om att kontroll enligt 5 kap. 3 § brottsdatalagen (2018:000) har utförts.
Beslut att vägra utföra kontroll ska vara skriftliga och motiveras.
Anmälningsskyldighet
3 § Om tillsynsmyndigheten i sin tillsynsverksamhet uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till
Åklagarmyndigheten.
Om tillsynsmyndigheten uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, ska den anmäla det till Justitiekanslern.
Tillsynsmyndigheten ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första eller andra stycket görs. Till anmälan ska tillsynsmyndigheten foga det underlag som finns och även i övrigt lämna det biträde som behövs i anledning av anmälan.
Förhandssamråd
4 § Om tillsynsmyndigheten anser att sådan planerad behandling som avses i 3 kap. 7 § brottsdatalagen (2018:000) kan komma att stå i strid med lag eller annan författning, ska myndigheten senast sex veckor efter att begäran om samråd mottogs skriftligen lämna råd enligt 5 kap. 6 § första stycket samma lag. Om det finns särskilda skäl får tiden förlängas med en månad. Tillsynsmyndigheten ska inom en månad från det att begäran om samråd mottogs informera om förlängningen och om orsakerna till den.
SOU 2017:29 Författningsförslag
67
Samarbete med utländska tillsynsmyndigheter
Utländsk begäran om bistånd
5 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat ska besvaras så snabbt som möjligt och senast en månad efter att begäran togs emot. Den som begärt bistånd ska underrättas om handläggningen och om resultatet av begäran.
6 § Om bistånd till en tillsynsmyndighet i en annan stat vägras, ska den som begärt biståndet underrättas. I underrättelsen ska skälen för vägran anges.
Svensk begäran om bistånd av en annan medlemstat
7 § Tillsynsmyndigheten får begära bistånd av en tillsynsmyndighet i en annan medlemsstat med sådana åtgärder som myndigheten får vidta när den utövar tillsyn.
8 § En begäran om bistånd ska innehålla all information som behövs för att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara begäran. Syftet med och skälen för åtgärden ska anges.
Internationella överenskommelser
9 § Tillsynsmyndigheten får, trots det som sägs i 10 §, ingå överenskommelser med tillsynsmyndigheter i andra medlemsstater om avgift för internationellt bistånd.
Avgiftsfrihet
10 § Tillsynsmyndigheten ska utföra sina tillsynsuppgifter avgiftsfritt, om inte annat bestäms.
Författningsförslag SOU 2017:29
68
6 kap. Administrativa sanktionsavgifter Handläggning
1 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.
Verkställighet av sanktionsavgift
2 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
3 § En beslutad sanktionsavgift faller bort till den del beslutet inte har verkställts inom tio år från det att beslutet fick laga kraft.
4 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.
7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
1 § Den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan ett förhandsmedgivande enligt 8 kap. 2 § andra stycket brottsdatalagen (2018:000), ska utan dröjsmål informera den medlemsstat som lämnat uppgifterna till en svensk myndighet om överföringen.
2 § Om en svensk myndighet har överfört personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000), ska myndigheten utan onödigt dröjsmål informera behörig myndighet i det tredjelandet om överfö-
SOU 2017:29 Författningsförslag
69
ringen. Det som nu har sagts gäller inte om det skulle vara ineffektivt eller olämpligt att informera om överföringen.
3 § Överföringar av personuppgifter enligt 8 kap. 4 § 2 och 5 § brottsdatalagen (2018:000) ska dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som överförts, datum och tidpunkt för överföringen, ändamålet med och grunden för överföringen och till vilken myndighet som personuppgifterna överfördes.
På begäran ska dokumentationen göras tillgänglig för tillsynsmyndigheten.
4 § Den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar som görs enligt 8 kap. 4 § 2 brottsdatalagen (2018:000).
5 § Överföringar av personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000) ska dokumenteras. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om sådana överföringar.
1. Denna förordning träder i kraft den 1 maj 2018.
2. Genom förordningen upphävs förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. Bestämmelserna i 3 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
Författningsförslag SOU 2017:29
70
1.3 Förslag till lag om ändring i lagen ( 2000:562 ) om internationell rättslig hjälp i brottmål
Härigenom föreskrivs att 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 §1
Rättslig hjälp som lämnas en annan stat enligt denna lag får i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Detsamma gäller när rättslig hjälp, utan samband med ett ärende, lämnas en annan stat i form av uppgifter och bevisning för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott.
Villkor som avses i första stycket får inte ställas upp om de strider mot en internationell överenskommelse som är bindande för Sverige.
Villkor som avses i första stycket får inte ställas upp om de strider mot en internationell överenskommelse som är bindande för Sverige. I brottsdata-
lagen ( 2018:000 ) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
1 Senaste lydelse 2005:491.
SOU 2017:29 Författningsförslag
71
1.4 Förslag till lag om ändring i lagen ( 2000:1219 ) om internationellt tullsamarbete
Härigenom föreskrivs att 2 kap. 7 § lagen (2000:1219) om internationellt tullsamarbete ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
7 §
Uppgifter som lämnas ut enligt 6 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Villkor som avses i första stycket får inte strida mot en sådan internationell överenskommelse som avses i 1 kap. 1 §.
Villkor som avses i första stycket får inte strida mot en sådan internationell överenskommelse som avses i 1 kap. 1 §.
I brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
72
1.5 Förslag till lag om ändring i lagen ( 2003:1174 ) om vissa former av internationellt samarbete i brottsutredningar
Härigenom föreskrivs att 6 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §1
Överlämnande av uppgifter eller bevisning från en svensk myndighet till en gemensam utredningsgrupp som inrättats med stöd av denna lag får i enskilda fall förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.
Villkor som avses i första stycket får inte ställas upp om de strider mot den överenskommelse enligt 1 § första stycket som är tillämplig.
Villkor som avses i första stycket får inte ställas upp om de strider mot den överenskommelse enligt 1 § första stycket som är tillämplig.
( 2018:000 ) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
1 Senaste lydelse 2005:494.
SOU 2017:29 Författningsförslag
73
1.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 9 kap. 2 § och 35 kap. 24 § ska ha följande lydelse,
dels att det i lagen ska införas två nya paragrafer, 17 kap. 7 c § och
35 kap. 4 b §, med följande lydelse.
Lydelse enligt prop. 2016/17:139 Föreslagen lydelse
9 kap.
2 §
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2017:000) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,
10. lagen ( 2013:329 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,
11. lagen (2015:63) om utbyte
av upplysningar med anledning av FATCA-avtalet, och
10. lagen (2015:63) om utbyte
av upplysningar med anledning av FATCA-avtalet,
12. lagen (2015:912) om auto-
matiskt utbyte av upplysningar om finansiella konton.
11. lagen (2015:912) om auto-
matiskt utbyte av upplysningar om finansiella konton, och
Författningsförslag SOU 2017:29
74
Nuvarande lydelse Föreslagen lydelse
17 kap.
7 c §
Sekretess gäller hos tillsynsmyndigheten i tillsynsverksamhet enligt 5 kap. brottsdatalagen (2018:000) för uppgift som har lämnats i samband med en begäran om svenskt bistånd från en tillsynsmyndighet i en medlemsstat som medlemsstat definieras i den lagen, om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs.
För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.
35 kap.
4 b §
Sekretess gäller hos en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag.
För uppgift i en allmän handling gäller sekretessen högst sjuttio år.
24 §
Den tystnadsplikt som följer av 4 b § inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
SOU 2017:29 Författningsförslag
75
Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket inskränker rätten enligt 1 kap. 1 §
tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra
uppgifter.
Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket inskränker rätten att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.
Denna lag träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
76
1.7 Förslag till lag om ändring i lagen ( 2017:000 ) om internationellt polisiärt samarbete
Härigenom föreskrivs i fråga om lagen (2017:000) om internationellt polisiärt samarbete
dels att 6 kap. 2 § ska upphöra att gälla,
dels att 6 kap. 4 § ska ha följande lydelse.
Lydelse enligt prop. 2016/17:139 Föreslagen lydelse
6 kap.
4 §
En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskildas rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.
En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. I brottsda-
talagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
SOU 2017:29 Författningsförslag
77
1.8 Förslag till förordning om ändring i förordningen ( 2008:1396 ) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen
Härigenom föreskrivs att 6 § förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Uppgifter som tillhandahålls med stöd av 3 eller 4 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Ett sådant villkor får inte strida mot Sveriges internationella förpliktelser.
Uppgifter som tillhandahålls med stöd av 3 eller 4 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Ett sådant villkor får inte strida mot Sveriges internationella förpliktelser. I
brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna förordning träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
78
1.9 Förslag till förordning om ändring i förordningen ( 2015:1052 ) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
Härigenom föreskrivs att 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 §
Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).
Om det kan antas att en incident som rapporterats till Myndigheten för samhällsskydd och beredskap enligt första stycket har sin grund i en brottslig gärning, ska Myndigheten för samhällsskydd och beredskap skyndsamt uppmana den rapporterande myndigheten att anmäla incidenten till polisen.
I brottsdatalagen (2018:000) och brottsdataförordningen (2018:000) finns bestämmelser om skyldighet att anmäla personuppgiftsincidenter.
Denna förordning träder i kraft den 1 maj 2018.
79
2 Utredningens uppdrag och arbete
2.1 Utredningsuppdraget
Utredningsuppdraget består i att föreslå hur man i svensk rätt ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktiven för utredningsarbetet finns i bilaga 1 och dataskyddsdirektivet i
bilaga 2.
I utredningens uppdrag ingår bl.a. att – analysera och beskriva direktivets tillämpningsområde och hur
svensk rätt förhåller sig till direktivets förpliktelser, – lämna förslag till en ny ramlagstiftning med bestämmelser om
skydd av personuppgifter inom direktivets tillämpningsområde, – analysera och bedöma behovet av författningsändringar i vissa
centrala författningar om rättsväsendets behandling av personuppgifter, – lämna de förslag till ändringar som krävs för att anpassa dessa
författningar till de nya förutsättningarna för regleringen, – bedöma om direktivet ger anledning till ny eller ändrad reglering
om tillsyn och vid behov lämna författningsförslag, och – bedöma om det finns anledning att reglera Säkerhetspolisens
personuppgiftsbehandling separat från den lagstiftning som
Utredningens uppdrag och arbete SOU 2017:29
80
gäller för Polismyndigheten och vid behov lämna författningsförslag.
Uppdraget i den del det avser ny ramlagstiftning och tillsyn inom direktivets tillämpningsområde ska redovisas senast den 1 april 2017. Uppdraget ska slutredovisas senast den 30 september 2017.
2.2 Genomförande av uppdraget
Utredningens arbete påbörjades i slutet av april 2016 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av sakkunniga och experter. Utredningen har, för att ta fram detta betänkande, sammanträtt vid sammanlagt 10 tillfällen.
Enligt utredningens direktiv ska utredaren i lämplig omfattning samråda med Dataskyddsutredningen (Ju 2016:04) och Utredningen om tillsynen över den personliga integriteten (Ju 2015:02).
Utredaren och huvudsekreteraren samrådde med Dataskyddsutredningen den 15 april 2016 inför planeringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med varandra i för utredningarna gemensamma frågor. Den mycket begränsade tiden för vårt utredningsarbete har dock inte lämnat utrymme för att i tillräcklig utsträckning ta del av Dataskyddsutredningens förslag och texter. Det kan därför finnas oavsiktliga skillnader mellan utredningarnas syn på likartade frågor.
Utredaren samrådde med Utredningen om tillsynen över den personliga integriteten den 11 april och den 6 september 2016.
Utredaren och huvudsekreteraren samrådde med Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd (Ju 2015:14) den 22 september 2016. Utredarna samrådde också den 1 mars 2017.
Utredaren och huvudsekreteraren samrådde med Utredningen om stärkt integritet i Rättsmedicinalverkets verksamhet (Ju 2016:18) den 11 oktober 2016.
Utredaren och huvudsekreteraren samrådde med PNR-utredningen (Ju 2016:07) den 16 november 2016.
Utredaren och huvudsekreteraren samrådde den 8 februari 2016 med Eva Lönqvist som fått i uppdrag att biträda Justitiedeparte-
SOU 2017:29 Utredningens uppdrag och arbete
81
mentet med att anpassa viss lagstiftning på området för allmän ordning och säkerhet till EU:s dataskyddsreform.
Utredaren och huvudsekreteraren samrådde med Socialdataskyddsutredningen (S 2016:05) den 7 november 2016.
Utredaren och delar av sekretariatet samrådde den 7 november och den 21 december 2016 med Peder Liljeqvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa domstolsdatalagen till dataskyddsförordningen.
Utredaren och delar av sekretariatet träffade företrädare för Kriminalvården den 14 oktober 2016.
Utredaren och huvudsekreteraren sammanträffade med företrädare för Sveriges Kommuner och Landsting den 10 november 2016.
Utredaren och huvudsekreteraren har också deltagit vid möten med andra utredningar som utreder frågor om anpassning till EU:s dataskyddsreform den 28 september, 18 oktober, 7 november och 21 december 2016.
2.3 Avgränsningen av uppdraget
Utredningens direktiv framgår av avsnitt 2.1. Utredningen om tillsynen över den personliga integriteten och Dataskyddsutredningen har till viss del ett överlappande uppdrag, varför genomförandet av vissa delar av direktivet inte ankommer på vår utredning.
Utredningen om tillsyn över den personliga integriteten har bl.a. haft till uppgift att överväga hur den framtida tillsynen över behandling av personuppgifter bör organiseras och resurssättas och att lämna de förslag som behövs för att tillsynsmyndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering. I uppdraget till den utredningen ingår att föreslå författningsändringar och andra åtgärder som behövs.
Vi har uppfattat uppdraget till Utredningen om tillsynen över den personliga integriteten på det sättet att det främst avsett organisatoriska frågor, frågor som rör ledningen av myndigheten och tillsynsmyndighetens oberoende, vilket är frågor som främst berörs i artiklarna 41–43 och 44.1 i direktivet. De förslag som vi redovisar tar sin utgångspunkt i de bedömningar Utredningen om tillsynen över den personliga integriteten har gjort i fråga om vilken myndighet som ska utses till tillsynsmyndighet enligt direktivet. Vår ut-
Utredningens uppdrag och arbete SOU 2017:29
82
redning tar därför inte tar ställning till frågor som rör hur tillsynsmyndigheten och dess styrelseledamöter eller motsvarande ska utses och hur länge de får tjänstgöra eller frågor om hur tillsynsmyndighetens oberoende ska värnas genom organisatoriska åtgärder.
Det ingår i uppgifterna för Dataskyddsutredningen att bl.a. analysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Det innebär att vår utredning inte tar ställning till behovet av författningsreglering med anledning av kraven i artikel 44.2 i direktivet.
83
3 Dagens reglering av behandlingen av personuppgifter
3.1 Huvuddragen i dagens personuppgiftsreglering
3.1.1 Regeringsformen och Europakonventionen
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal regi-
Dagens reglering SOU 2017:29
84
strerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00).
Även Europeiska unionens (EU) stadga om de grundläggande rättigheterna (rättighetsstadgan) innehåller bestämmelser om behandling av personuppgifter (se avsnitt 4.1.1).
3.1.2 Personuppgiftslagen
Grundläggande begrepp
Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgifter. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen register den allmänt använda termen för datoriserade uppgiftssamlingar. Termen register används fortfarande i vissa författningar.
Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. I personuppgiftslagen (1998:204) nämns inte register utan det talas i stället om behandling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas benämns dock alltjämt den registrerade.
SOU 2017:29 Dagens reglering
85
Lagens tillämpningsområde
Personuppgiftslagen, genom vilken det nu gällande dataskyddsdirektivet genomfördes i svensk rätt, innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.
Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.
Behandling av uppgifter om juridiska personer (som definitionsmässigt inte utgör personuppgifter) omfattas inte av personuppgiftslagen.
Grundläggande krav för behandlingen
I 9 § personuppgiftslagen slås fast vissa grundläggande krav för behandling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna är felaktiga eller ofullständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.
Dagens reglering SOU 2017:29
86
Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas.
Tillåten och otillåten behandling
I 10–12 §§ finns en uttömmande uppräkning av de fall där behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. Återkallar personen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.
I vissa fall får personuppgifter behandlas även om den registrerade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.
Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.
Behandling av känsliga personuppgifter
I 13 § personuppgiftslagen förbjuds behandling av känsliga personuppgifter. Med det avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv.
Förbudet mot behandling av känsliga personuppgifter är inte undantagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de enligt 15 § behandlas. Vidare görs i
SOU 2017:29 Dagens reglering
87
16 § undantag för nödvändig behandling, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.
Undantag görs också i 17 § för ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.
Likaså finns det undantag i 18 § för behandlingen av känsliga personuppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om brott och behandling av personnummer
Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.
Uppgifter om personnummer och samordningsnummer får enligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Automatiserade beslut
Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att be-
Dagens reglering SOU 2017:29
88
döma egenskaper hos personen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.
Information till den registrerade
Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personuppgiftsansvariges skyldighet att självmant lämna information till registrerade gäller enligt 23 § i första hand uppgifter som den registrerade själv har lämnat. Har uppgifterna samlats in från annan källa, föreskrivs i 24 § att den personuppgiftsansvarige självmant ska informera den registrerade när uppgifterna registreras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av uppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.
Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Informationsskyldigheten omfattar bara sådana uppgifter som den registrerade inte redan känner till.
Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökanden behandlas, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteckning, utom i de fall där uppgifterna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.
Informationsskyldigheten gäller enligt 27 § inte heller om uppgifterna omfattas av sekretess eller tystnadsplikt.
SOU 2017:29 Dagens reglering
89
Rättelse
Personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.
Säkerheten vid behandling
I 30 och 31 §§personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säkerheten.
Överföring av personuppgifter till tredjeland
Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.
I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kommissionen) an-
Dagens reglering SOU 2017:29
90
ses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.
Tillsyn
Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyndighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda registerförfattningar. Inspektionen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§personuppgiftslagen regleras tillsynsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.
Sanktioner
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada och kränkning av den personliga integriteten för den registrerade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både personskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.
En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gärning som omfattas av ett vitesföreläggande enligt lagen.
SOU 2017:29 Dagens reglering
91
3.1.3 Personuppgiftslagens förhållande till annan lagstiftning
I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de verksamhetsområden som berörs av det nya dataskyddsdirektivet, vilket redovisas närmare i det följande. Regleringen har, av de skäl som anges i avsnitt 3.1.1, normalt lagform.
Författningar som reglerar personuppgiftsbehandling är ofta konstruerade så att de gäller utöver personuppgiftslagen. Det innebär att författningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämpningsområde är lagen (2001:617) om behandling av personuppgifter inom kriminalvården ett exempel på det.
Det finns emellertid även författningar som gäller i stället för personuppgiftslagen. Det innebär att de i sin helhet ersätter personuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa anges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsområde för flertalet av de centrala författningarna. Det gäller t.ex. polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433).
3.2 Särregler för brottsbekämpande verksamhet
3.2.1 Polisen
Allmänt om polisdatalagen
Polisdatalagen är generellt utformad och gäller i polisens brottsbekämpande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekämpande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och
Dagens reglering SOU 2017:29
92
lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Eftersom det, med undantag för den sistnämnda lagen, inte ingår i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.
Lagens tillämpningsområde
Polisdatalagen gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Ekobrottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av uppgifter om juridiska personer.
I annan verksamhet än den brottsbekämpande tillämpar Polismyndigheten personuppgiftslagen, om det inte finns en specialreglering. Myndigheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som den bedriver enligt utlännings- och medborgarskapslagstiftningen, om det inte är fråga om brottsbekämpning.
Förhållandet till personuppgiftslagen
Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamål för behandling och utlämnande av uppgifter
I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får behandlas. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att
SOU 2017:29 Dagens reglering
93
tillgodose de behov som finns i polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov eller till andra delar av polisverksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndighetens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som myndigheten ansvarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekretessbrytande bestämmelser som gäller i förhållande till Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap.16–18 §§polisdatalagen.
Dagens reglering SOU 2017:29
94
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Register som regleras särskilt i polisdatalagen
Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.
Behandling av personuppgifter för forensiska ändamål
I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål. Där regleras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regleringen i övrigt i lagen, på grund av att avdelningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gallring. När det gäller behandling av känsliga personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet
I 6 kap. polisdatalagen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens person-
SOU 2017:29 Dagens reglering
95
uppgiftsbehandling, som delvis avviker från regleringen för Polismyndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
3.2.2 Tullverket
En ny tullbrottsdatalag har föreslagits
Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – som för närvarande gäller för personuppgiftsbehandling i den del av Tullverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, tullbrottsdatalagen (Tullbrottsdatalag, prop. 2016/17:91). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrottsdatalag.
Lagens tillämpningsområde
Tullbrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Lagen föreslås enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen föreslås enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen föreslås gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Dagens reglering SOU 2017:29
96
Ändamål för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter föreslås få behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås också enligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten och i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså föreslås personuppgifter i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag.
Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 12 § föreslås en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyndighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket föreslås i 2 kap. 13 §.
SOU 2017:29 Dagens reglering
97
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 10 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.
3.2.3 Kustbevakningen
Allmänt om kustbevakningsdatalagen
För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen. Lagen reglerar i princip all behandling av personuppgifter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av personuppgifter i annan operativ verksamhet som Kustbevakningen bedriver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Förhållandet till personuppgiftslagen
Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Dagens reglering SOU 2017:29
98
Ändamålen för behandling och utlämnande av uppgifter
Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.
De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.
Personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myndighet eller mellanfolklig organisation. Personuppgifter får även behandlas om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol eller utländsk kustbevaknings-
SOU 2017:29 Dagens reglering
99
eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket.
Behandling av känsliga personuppgifter
I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av känsliga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
3.2.4 Skatteverket
En ny skattebrottsdatalag har föreslagits
Lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar – som för närvarande gäller för personuppgiftsbehandling i den del av Skatteverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, skattebrottsdatalagen (Skattebrottsdatalag, prop. 2016/17:89). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till skattebrottsdatalag.
Dagens reglering SOU 2017:29
100
Lagens tillämpningsområde
Skattebrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får enligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det. Tillämpningsområdet omfattar även sådana brott.
Skattebrottsdatalagen ska enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen föreslås gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter föreslås få behandlas i Skatteverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter föreslås enligt 2 kap. 5 § få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i
SOU 2017:29 Dagens reglering
101
brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås enligt 2 kap. 6 § också vara tillåten bl.a. när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. Personuppgifter föreslås i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 11 och 12 §§ föreslås sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbekämpande myndigheter och till en utländsk myndighet eller mellanfolklig organisation.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 8 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.
3.2.5 Åklagarväsendet
Åklagare har till uppgift både att bekämpa och lagföra brott, men eftersom åklagares brottsbekämpning syftar till att lagföra redovisas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 3.3.1.
Dagens reglering SOU 2017:29
102
3.2.6 Lagen om internationellt polisiärt samarbete
Lagen om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den utsträckning som följer av internationella överenskommelser. Polisdatalagen gäller enligt 1 a § lagen om internationellt polisiärt samarbete för polisens behandling av personuppgifter i det samarbete som regleras i lagen, om inte den lagen innehåller särskilda regler.
I 16–21 §§ lagen om internationellt polisiärt samarbete finns bestämmelser om informationsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant informationsutbyte. I 22 och 23 §§ regleras på motsvarande sätt informationsutbyte enligt CBE-direktivet. I 24–27 §§ finns bestämmelser om tillgång till uppgifter i informationssystemet för viseringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Paragraferna reglerar den behandling av personuppgifter som är tillåten för dessa syften.
I 28 och 29 §§ finns vissa bestämmelser som är gemensamma för Prümrådsbeslutet, CBE-direktivet och VIS-rådsbeslutet.
I propositionen Nya möjligheter till operativt polissamarbete med andra stater (prop. 2016/17:139) föreslås att lagen om internationellt polisiärt samarbete ska upphävas och ersättas med en ny lag i samma ämne. Där föreslås bl.a. att lagen delas in i kapitel och att det införs fem kapitel som reglerar olika former av personuppgiftsbehandling vid polisiärt samarbete med andra stater inom och utanför EU. Några ändringar i sak föreslås inte när det gäller regleringen av behandling av personuppgifter.
3.2.7 Lagen om internationellt tullsamarbete
Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även överträdelser som hanteras i Tullverkets verksamhet effektiv handel.
SOU 2017:29 Dagens reglering
103
I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regleringen gäller för både spontant uppgiftsutbyte och utlämnande av uppgifter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör underrätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i paragrafen angivna situationer.
3.2.8 Lagen om register över tillträdesförbud vid idrottsarrangemang
Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polismyndigheten och idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt 2 § med hjälp av automatiserad behandling föra ett tillträdesförbudsregister, som innehåller uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena framhålls att Polismyndighetens personuppgiftsbehandling enligt lagen åtminstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).
3.3 Särregler för lagföring
3.3.1 Åklagarväsendet
Allmänt om åklagardatalagen
Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och kustbevakningsdatalagen. Lagen gäller för behandling av personuppgifter i åklagarväsendets operativa verksamhet. Personuppgifter får behandlas både i åklagares brottsbekämpande verksamhet och om det behövs för att åklagare ska kunna fullgöra andra operativa uppgifter som de har enligt bestämmelser i lag eller förordning. Behandling för sistnämnda ändamål ligger utanför direktivets tilllämpningsområde och berörs därför inte vidare här. Lagen gäller
Dagens reglering SOU 2017:29
104
endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs. åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten. Lagen gäller däremot inte för behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller i stället.
Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 § finns hänvisningar som innebär att ett flertal bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom åklagarväsendet. De primära ändamålen för behandling anges uttömmande i 2 kap. 5 § åklagardatalagen. Personuppgifter får behandlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Personuppgifter får även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åklagare ska kunna fullgöra andra författningsreglerade uppgifter.
SOU 2017:29 Dagens reglering
105
De sekundära ändamålen är aktuella när personuppgifter som får behandlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt de sekundära ändamålen, som anges i 2 kap. 6 §, får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till åklagarväsendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad
Dagens reglering SOU 2017:29
106
som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.
3.3.2 Domstolsväsendet
Allmänt om domstolsdatalagen
Domstolsdatalagen (2015:728) gäller vid behandling av personuppgifter hos de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tullverkets och Skatteverkets motsvarande lagar – tillämplig i all rättsskipande och rättsvårdande verksamhet vid de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Trots det mycket omfattande tillämpningsområdet regleras endast få frågor i domstolsdatalagen, vilket beror på den vittomfattande ändamålsregeln som medger behandling för handläggning av alla typer av mål och ärenden.
I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om internationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straffrättsliga påföljder som är av intresse.
SOU 2017:29 Dagens reglering
107
Förhållandet till personuppgiftslagen
Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
Behandling av känsliga personuppgifter
I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
3.3.3 Register över ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötesstraff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraftvunnen dom.
Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföreläggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.
Dagens reglering SOU 2017:29
108
Förordningen om register över strafförelägganden
I förordningen (1997:902) om register över strafförelägganden regleras i 2 § Tullverkets rätt att föra register över utfärdade straffförelägganden och i 3 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se avsnitt 3.4.3 beträffande sistnämnda register).
Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, för visst uppgiftslämnande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.
Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åklagardatalagen är generellt tillämplig och när den infördes konstaterades det att särreglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (se Åklagardatalag, prop. 2014/15:63, s. 66).
Förordningen om register över ordningsbot
I förordningen (1997:903) om register över ordningsbot ges Polismyndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot.
Registret används inte bara av Polismyndigheten utan även av Säkerhetspolisen, Tullverket och Kustbevakningen. All registrering av förelägganden av ordningsbot hanteras i registret.
Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.
SOU 2017:29 Dagens reglering
109
3.4 Särregler för verkställighet av straff
3.4.1 Särreglering bara för vissa former av verkställighet
Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter
Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga påföljder. Det gäller fängelsestraff och frivårdspåföljder i form av skyddstillsyn och villkorlig dom med samhällstjänst.
Både Polismyndigheten och Kronofogdemyndigheten har uppgifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.
De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.
Överlämnande till särskild vård
Om rätten beslutar om överlämnande till särskild vård enligt 31 kap. brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap. brottsbalken är det andra myndigheter som ansvarar för verkställigheten. Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är det socialnämnden eller ett hem där sådan vård meddelas som ansvarar för verkställigheten.
Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen (1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av ett landsting för verkställigheten.
Är påföljden ungdomsvård eller ungdomstjänst ansvarar socialnämnden för verkställigheten. I de fall där påföljden bestäms till sluten ungdomsvård ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.
De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.
Dagens reglering SOU 2017:29
110
3.4.2 Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst
Allmänt om lagen om behandling av personuppgifter inom kriminalvården
Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier finns i stället i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.
Lagens tillämpningsområde
Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om personer som – är föremål för personutredning, – är häktade, – är dömda till fängelse, skyddstillsyn eller villkorlig dom med
föreskrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder i Sverige, – på någon annan grund är intagna i häkte eller fängelse, eller – annars transporteras av Kriminalvårdens transporttjänst.
Förhållandet till personuppgiftslagen
Lagen om behandling av personuppgifter inom kriminalvården gäller utöver personuppgiftslagen och innehåller bara vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller för Kriminalvårdens verksamhet.
SOU 2017:29 Dagens reglering
111
Ändamålen med behandlingen
Personuppgifter får enligt 3 § lagen behandlas bara om det är nödvändigt för att – Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med
lag eller förordning, – underlätta tillgången till sådana uppgifter om verkställighet av
påföljd eller häktning som rättsväsendets myndigheter behöver, eller – upprätthålla säkerheten och förebygga brott under den tid som
häktning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.
Behandling av känsliga personuppgifter
Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
Förordningen om behandling av personuppgifter inom kriminalvården
I förordningen om behandling av personuppgifter inom kriminalvården finns dels generella regler om vilka uppgifter som får behandlas, dels bestämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person förekommer hos Kriminalvården. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.
Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till
Dagens reglering SOU 2017:29
112
fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan påföljd i Sverige får finnas i registret.
Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får finnas i registret. Registrering förutsätter dessutom att vissa särskilda omständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.
Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.
3.4.3 Verkställighet av bötesstraff
Regler om verkställighet av böter
Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötesstraff antingen genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att belopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller föreläggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.
Uppbörd av böter
Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett
SOU 2017:29 Dagens reglering
113
föreläggande av ordningsbot eller ett strafföreläggande. Polismyndigheten ansvarar även för uppbörd av böter som utdömts av allmän domstol.
I Polismyndighetens verksamhet med uppbörd av böter tillämpas personuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägganden av ordningsbot och strafförelägganden (se avsnitt 3.3.3). Registren är bl.a. avsedda att utgöra hjälpmedel i Polismyndighetens roll som central uppbördsmyndighet.
I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är avsedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. Förslagen bereds i Regeringskansliet (Justitiedepartementet).
Verkställighet av böter som inte betalas frivilligt
Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att förvandlas till fängelse. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§bötesverkställighetslagen, dels i 17–23 §§bötesverkställighetsförordningen.
3.4.4 Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen , ungdomsvård och ungdomstjänst
Rättspsykiatrisk vård
När det gäller rättspsykiatrisk vård finns det ingen särskild reglering av personuppgiftsbehandling i sådan verksamhet. I den utsträckning som verksamheten är hänförlig till hälso- och sjukvård gäller patientdatalagen (2008:355) även för rättspsykiatrisk vård (se Patientdatalag m.m., prop. 2007/08:126, s. 49). I övrigt tillämpas personuppgiftslagen.
Dagens reglering SOU 2017:29
114
I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgiftslagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på journalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansvarig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndighet, landsting eller kommun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och vad som i övrigt gäller för behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.
Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare
Statens institutionsstyrelse, som ansvarar för verkställighet av sluten ungdomsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgiftslagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, domar i brottmål och straffprocessuella tvångsmedel.
Kommunala myndigheter tillämpar också lagen om behandling av personuppgifter inom socialtjänsten i verksamhet enligt lagstiftningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller missbrukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överlämnande till särskild vård enligt lagen om vård av missbrukare eller till ungdomstjänst eller ungdomsvård.
SOU 2017:29 Dagens reglering
115
3.4.5 Internationellt samarbete rörande verkställighet av straffrättsliga påföljder
Ett flertal lagar och förordningar reglerar internationellt samarbete beträffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndigheter vars registerförfattningar har redovisats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.
3.5 Regler om personuppgiftsbehandling hos andra aktörer än myndigheter
3.5.1 Uppgifter om brottsbekämpning, lagföring eller straffverkställighet
Det är inte bara myndigheter som behandlar uppgifter som rör brottsbekämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträckning sådana uppgifter får behandlas regleras dels i personuppgiftslagen, dels i andra författningar som ligger utanför direktivets tilllämpningsområde.
Som framgår i avsnitt 3.1.2 förbjuds andra än myndigheter i personuppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personuppgifter om lagöverträdelser får behandlas bl.a. om behandlingen
Dagens reglering SOU 2017:29
116
– är nödvändig för att fullgöra en föreskrift på socialtjänstområ-
det, – avser uppgift i fristående skolors elevvårdsverksamhet eller mot-
svarande verksamhet hos enskilda anordnare av högskoleutbildning, – är nödvändig för att kontrollera att en jävssituation inte förelig-
ger i advokatverksamhet eller annan juridisk verksamhet, eller – bara avser enstaka uppgift som är nödvändig för att anmälnings-
skyldighet enligt lag ska kunna fullgöras.
3.5.2 Offentliga försvarare och annat juridiskt biträde
I förundersökningar och brottmålsrättegångar biträds både den misstänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den som är advokat får enligt huvudregeln i 21 kap. 5 § rättegångsbalken utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen (1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträdande jurist eller någon annan som är lämplig för uppdraget. Motsvarande krav ställs på den som enligt 5 § lagen (1999:997) om särskild företrädare för barn får utses till särskild företrädare. Den som fullgör uppgifter som offentlig försvarare, målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning personuppgifter som härrör från förundersökningar, brottsmålsrättegångar och straffverkställighet.
I 8 kap. rättegångsbalken finns bestämmelser om advokatväsendet. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets styrelse och disciplinnämnd enligt 8 kap.6 och 7 §§rättegångsbalken utövar över advokaterna.
Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksamhet redbart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.
Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.
SOU 2017:29 Dagens reglering
117
3.5.3 Idrottsorganisationer
En idrottsorganisation får enligt 7 § lagen om register över tillträdesförbud vid idrottsarrangemang behandla personuppgifter från det tillträdesförbudsregister som Polismyndigheten för, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesförbudsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automatiserad behandling.
3.6 2013 års lag
Allmänt om lagen
Lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60, i fortsättningen dataskyddsrambeslutet). Lagen gäller när personuppgifter överförs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz
Dagens reglering SOU 2017:29
118
eller Liechtenstein eller mellan en svensk myndighet och ett EUorgan eller EU-informationssystem.
Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i paragrafen.
Personuppgifter som en svensk myndighet har tagit emot får enligt 5 § endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internationella organ.
I lagen finns också bestämmelser om villkor för användningen av personuppgifter.
119
4 Reformer på dataskyddsområdet
4.1 Gällande unionsrättsakter
4.1.1 Rättighetsstadgan
I artikel 8 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
4.1.2 1995 års dataskyddsdirektiv
Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, i fortsättningen det nu gällande dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter
Reformer på dataskyddsområdet SOU 2017:29
120
med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 3.1.2), gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
4.1.3 Dataskyddsrambeslutet
Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlemsstater och EU-organ och mellan medlemsstaster och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.
Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 3.6).
4.2 Europeiska unionens dataskyddsreform
4.2.1 Två nya rättsliga instrument
Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle ersätta 1995 års dataskyddsdirektiv pågick länge. Kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattade inte bara en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet utan även ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.
Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
SOU 2017:29 Reformer på dataskyddsområdet
121
Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt innebar förslaget stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en rad nyheter jämfört med dataskyddsdirektivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum.
Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv.
4.2.2 En dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EGT L 119, 4.5.2016, s. 1, i fortsättningen dataskyddsförordningen) börjar tilllämpas den 25 maj 2018.
Reformer på dataskyddsområdet SOU 2017:29
122
Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personuppgiftslagen upphävas. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande föreskrifter och i övrigt anpassas till den.
Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Från förordningens tillämpningsområde undantas personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften ligger i stället under det nya dataskyddsdirektivets tillämpningsområde (se avsnitt 4.2.3).
En särskild utredare har fått i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen har antagit namnet Dataskyddsutredningen. Den utredningen förutsätts samråda med vår utredning. I direktiven till Dataskyddsutredningen framhålls att samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering.
4.2.3 Ett nytt dataskyddsdirektiv
Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, i fortsättningen direktivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.
SOU 2017:29 Reformer på dataskyddsområdet
123
Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.
4.2.4 Viss personuppgiftsbehandling ligger utanför båda instrumenten
Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.
Vidare undantas den personuppgiftsbehandling som förekommer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.
4.3 Dataskyddskonventionen
Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
Reformer på dataskyddsområdet SOU 2017:29
124
I konventionen anges krav på de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.
Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.
Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.
Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.
125
5 Det nya dataskyddsdirektivet
5.1 Allmänt om direktivet
Det nya dataskyddsdirektivet riktar sig till medlemsstaterna och kräver att de genomför viss lagstiftning inom två år efter ikraftträdandet. Det innebär att direktivet ska vara genomfört senast den 6 maj 2018. Direktivet är indelat i tio kapitel och innehåller totalt 65 artiklar.
I detta avsnitt beskrivs kortfattat innehållet i samtliga artiklar, för att skapa en översiktlig bild av vilka krav på lagstiftning som direktivet ställer. Det närmare innehållet i artiklarna redovisas i de kapitel som behandlar sakfrågorna.
Av skäl 99 framgår att Storbritannien och Irland inte är bundna av bestämmelserna i direktivet i vissa delar.
Danmark ska enligt skäl 100 inom sex månader efter antagandet av direktivet besluta om man ska genomföra direktivet i sin nationella lagstiftning eller inte.
Av skäl 101–103 framgår att Norge, Island, Schweiz och Liechtenstein är bundna av direktivet genom att de har anslutit sig till Schengenregelverket.
5.2 Innehållet i direktivet
Allmänna bestämmelser – artiklarna 1–3
Enligt artikel 1 innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusiva att skydda mot och förebygga och förhindra hot mot den allmänna säkerheten. Syftet med direktivet är att dels skydda fysi-
Det nya dataskyddsdirektivet SOU 2017:29
126
ska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndigheter, detta utbyte varken begränsas eller förbjuds av hänsyn till skyddet för fysiska personer mot behandling av personuppgifter. Det slås också fast att direktivet inte hindrar att medlemsstaterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.
Artikel 2 anger direktivets tillämpningsområde. Direktivet ska
tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av personuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personuppgiftsbehandling som utförs av unionens institutioner eller andra organ.
Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses
med personuppgift, behandling, register, behörig myndighet, personuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsincident. Vidare definieras genetiska och biometriska uppgifter.
Principer – artiklarna 4–11
I artikel 4 anges grundläggande principer för behandling av personuppgifter. Personuppgifter ska – behandlas på ett lagligt och korrekt sätt, – samlas in för särskilda, uttryckligt angivna och berättigade ända-
mål och inte behandlas på ett sätt som står i strid med dessa ändamål, – vara adekvata, relevanta och inte för omfattande i förhållande till
de syften för vilka de behandlas, – vara korrekta och, om nödvändigt, uppdaterade, – inte möjliggöra identifiering av den registrerade under längre tid
än nödvändigt, och
SOU 2017:29 Det nya dataskyddsdirektivet
127
– behandlas på ett sätt som säkerställer säkerheten för uppgif-
terna.
Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personuppgiftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.
Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när personuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.
Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.
I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om felaktiga personuppgifter har överförts eller personuppgifter överförts olagligen ska mottagaren omedelbart underrättas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.
Enligt artikel 8 är behandling laglig endast om och i den utsträckning behandlingen är nödvändig för att behöriga myndigheter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och ändamålet med behandlingen.
I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för
Det nya dataskyddsdirektivet SOU 2017:29
128
andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskapliga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.
Artikel 10 reglerar behandling av det som brukar kallas känsliga
personuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgifter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåtgärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om det är fråga om uppgifter som den registrerade själv har offentliggjort.
I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de enbart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grundval av känsliga personuppgifter ska förbjudas.
Den registrerades rättigheter – artiklarna 12–18
Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättigheter. Informationen ska vara koncis, lättillgänglig och språkligt lättfattlig. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begäran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en registrerads begäran är uppenbart ogrundad eller orimlig får den per-
SOU 2017:29 Det nya dataskyddsdirektivet
129
sonuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.
I artikel 13 anges vilken information som alltid måste göras tillgänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begränsning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.
Artikel 14 behandlar den registrerades rätt till tillgång till per-
sonuppgifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till personuppgifterna och följande information: – ändamålen med behandlingen och den rättsliga grunden, – vilka kategorier av personuppgifter som behandlas, – vilka mottagare eller kategorier av mottagare som har fått per-
sonuppgifterna, – hur länge uppgifterna kommer att lagras eller, om det inte är
möjligt, kriterierna för att fastställa lagringstiden, – rätten att begära rättelse, radering eller begränsning av behand-
lingen, och – rätten att klaga hos en tillsynsmyndighet och dess kontaktupp-
gifter.
Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgärden är nödvändig och proportionell, helt eller delvis begränsa den registrerades rätt till tillgång till personuppgifter och information i syfte att undvika att förundersökningar och andra utredningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.
Det nya dataskyddsdirektivet SOU 2017:29
130
Artikel 16 behandlar rätten till rättelse eller radering av person-
uppgifter eller begränsning av behandlingen och vilka skyldigheter den personuppgiftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade. I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall begränsa behandlingen av uppgifterna.
Enligt artikel 17 ska den registrerades rättigheter även kunna utövas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.
I artikel 18 öppnas möjlighet att föreskriva att rätten till information, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredning och straffrättsliga förfaranden.
Av skäl 107 framgår att direktivet inte hindrar att det i nationell straffprocesslagstiftning finns bestämmelser om den registrerades rätt till information, tillgång till och rättelse eller radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden och begränsningar i dessa rättigheter.
Personuppgiftsansvarig och personuppgiftsbiträde – artiklarna 19–28
Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.
Artikel 20 behandlar inbyggt dataskydd och dataskydd som
standard.
Artikel 21 öppnar en möjlighet att låta två eller flera personupp-
giftsansvariga ha gemensamt personuppgiftsansvar för ett register.
I artikel 22 regleras vilka krav som ställs när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Som huvudregel får ett
SOU 2017:29 Det nya dataskyddsdirektivet
131
personuppgiftsbiträde enligt artikel 23 bara behandla uppgifter enligt instruktioner från den personuppgiftsansvarige.
Artikel 24 innehåller detaljerade regler om personuppgiftsansva-
rigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begäran göras tillgängliga för tillsynsmyndigheten.
Enligt artikel 26 ska personuppgiftsansvariga och personuppgiftsbiträden på begäran samarbeta med tillsynsmyndigheten.
I artikel 27 ställs krav på att den personuppgiftsansvarige gör en förhandsbedömning av behandlingens konsekvenser för skyddet av personuppgifter när det gäller en ny typ av behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.
Artikel 28 ställer krav på att den personuppgiftsansvarige under
vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.
Säkerhet för personuppgifter – artiklarna 29–31
Artikel 29 innehåller krav på säkerhet i samband med behandlingen
av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska – med beaktande av bl.a. kostnaderna och behandlingens art, omfattning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomstskydd för utrustning, kontroll av datamedier, lagringskontroll, användarkontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, transportkontroll, återställande, driftsäkerhet och dataintegritet.
I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsynsmyndigheten utan dröjsmål och enligt huvudregeln senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.
Artikel 31 innehåller regler om information till den registrerade
om en personuppgiftsincident och i vilka fall det inte krävs någon sådan information.
Det nya dataskyddsdirektivet SOU 2017:29
132
Dataskyddsombud – artiklarna 32–34
Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett dataskyddsombud. Undantag får göras för domstolars och andra oberoende rättsliga myndigheters dömande verksamhet. Flera myndigheter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentliggöras, dels meddelas till tillsynsmyndigheten.
Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet kan delta i frågor som rör skyddet av personuppgifter och stödja dataskyddsombudet i hans eller hennes uppgifter.
Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efterlevs och att samarbeta med och vara en kontaktpunkt för tillsynsmyndigheten.
Överföring av personuppgifter till tredjeländer eller internationella organisationer – artiklarna 35–40
I artikel 35 anges allmänna principer för överföring av personuppgifter till tredjeland och internationella organisationer. Där föreskrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstillstånd till överföringen.
Artikel 36 reglerar överföring till mottagare i tredjeland eller
internationella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt tillstånd.
Även om det inte finns något beslut om en adekvat skyddsnivå får, enligt artikel 37, uppgifter överföras till mottagare i ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säkerställas i ett enskilt fall.
I artikel 38 görs också undantag för överföring i särskilda situationer, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.
SOU 2017:29 Det nya dataskyddsdirektivet
133
Artikel 39 reglerar överföring direkt till vissa mottagare som inte
är behöriga myndigheter.
Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd för personuppgifter och att också erbjuda bistånd till tredjeland och internationella organisationer i det syftet.
Oberoende tillsynsmyndigheter – artiklarna 41–51
Enligt artikel 41 ska varje medlemsstat utse en eller flera myndigheter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt dataskyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.
Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt oberoende när den utför sina uppgifter och utövar sina befogenheter enligt direktivet. I artikeln utvecklas vilka krav som ska vara uppfyllda för att myndigheten ska anses vara oberoende.
De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett oberoende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.
Enligt artikel 44 ska inrättandet av myndigheten och regler och förfaranden för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.
Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsynsmyndigheten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.
Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till uppgifterna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge regi-
Det nya dataskyddsdirektivet SOU 2017:29
134
strerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgiftsfritt behandla klagomål från registrerade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.
Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsynsmyndigheten ska ha rätt att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogenheter t.ex. att kunna varna den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med de bestämmelser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyndigheten ska också ha rätt att anmäla överträdelser till rättsliga myndigheter.
De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanismer för att rapportera överträdelser av direktivet.
Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rapport om sin verksamhet. Rapporten ska överlämnas till parlamentet, regeringen och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommissionen.
Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och senast inom en månad och får bara vägra att tillmötesgå en begäran om myndigheten inte är behörig eller det skulle stå i strid med direktivet, unionsrätt eller nationell rätt. Kommissionen får genom genomförandeakter ange formerna för ömsesidigt bistånd.
I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personuppgifter enligt direktivet.
SOU 2017:29 Det nya dataskyddsdirektivet
135
Rättsmedel, ansvar och sanktioner – artiklarna 52–57
Artikel 52 reglerar rätten för registrerade att lämna in klagomål över
personuppgiftsbehandling till en tillsynsmyndighet. Har klagomålet lämnats till fel myndighet ska den utan dröjsmål överlämna klagomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av klagomålet och vad det resulterar i.
I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bindande och avser dem. Detsamma gäller om tillsynsmyndigheten inte behandlat ett klagomål inom tre månader eller inte informerat den registrerade enligt artikel 52.
Rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde regleras i artikel 54.
Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organisation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hennes räkning.
Den som lidit skada till följd av olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.
Artikel 57 ställer krav på att det finns sanktioner för överträdel-
ser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Genomförandeakter – artikel 58
Artikel 58 reglerar kommissionens kommittéförfarande.
Slutbestämmelser – artiklarna 59–65
Enligt artikel 59 upphävs dataskyddsrambeslutet.
I artikel 60 slås fast att direktivet inte påverkar särskilda bestämmelser om skydd av personuppgifter i gällande unionsrättsakter på området för straffrättsligt samarbete och polissamarbete och
Det nya dataskyddsdirektivet SOU 2017:29
136
i artikel 61 regleras förhållandet till tidigare ingångna avtal på området för straffrättsligt samarbete och polissamarbete.
Artikel 62 reglerar kommissionens skyldighet att senast sex år
efter ikraftträdandet och därefter vart fjärde år utvärdera direktivet.
I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall föreskriva att datasystem som inrättats före ikraftträdandet ska stå i överensstämmelse med bestämmelsen om loggning i direktivet senast den 6 maj 2023. Under exceptionella omständigheter kan tiden förlängas ytterligare i högst tre år.
Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.
137
6 En ny ramlag
6.1 En ramlag för brottsbekämpning, lagföring och straffverkställighet bör införas
6.1.1 En ny reglering behövs
Utredningens bedömning: Det behövs en ny reglering för att
genomföra dataskyddsdirektivet i svensk rätt. Regleringen bör ha lagform.
Skälen för utredningens bedömning
Behovet av en ny reglering
Det nu gällande dataskyddsdirektivet – som upphör att gälla när dataskyddsförordningen börjar tillämpas – har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig, vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Lagen gäller således även för verksamheter som omfattas av det nya dataskyddsdirektivet.
Personuppgiftslagen är subsidiär i förhållande till andra lagar och förordningar. Inom flera områden finns det särregler i registerförfattningar som helt eller delvis ersätter personuppgiftslagen. Som framgår av avsnitt 3 2–3.4 utgår registerförfattningarna när det gäller brottsbekämpning, lagföring och straffverkställighet från bestämmelserna i personuppgiftslagen. Antingen gäller registerförfattningarna utöver personuppgiftslagen, och innehåller bara de bestämmelser som avviker från bestämmelserna i den lagen, eller så
En ny ramlag SOU 2017:29
138
gäller de i stället för personuppgiftslagen men hänvisar till de bestämmelser i den lagen som ska tillämpas.
Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning motsvarar de krav på reglering som direktivet ställer. När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen och föreskrifter som har meddelats med stöd av den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – dataskyddsförordningen och kompletterande nationella bestämmelser – kommer inte att vara anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom brottsbekämpning, lagföring och straffverkställighet, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet.
Regleringen bör ha lagform
Enligt 2 kap. 6 § andra stycket regeringsformen är enskilda gentemot det allmänna skyddade mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Enligt 2 kap.20 och 21 §§regeringsformen kan inskränkningar i detta skydd enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Direktivet är inte avsett att leda till några inskränkningar i skyddet av enskildas personliga integritet utan har tvärtom till syfte att stärka det. Regleringen är ändå enligt utredningens mening av den arten att den lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsakligen i lag.
SOU 2017:29 En ny ramlag
139
6.1.2 En generellt tillämplig men subsidiär lag
Utredningens förslag: Dataskyddsdirektivet ska i huvudsak
genomföras genom en ny lag som ska vara generellt tillämplig. Särregler i en annan lag eller en förordning ska dock gälla framför den nya lagen. Lagen ska benämnas brottsdatalagen.
Skälen för utredningens förslag
En generell reglering
Dataskyddsdirektivet ska alltså genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lagstiftning, framför allt i berörda myndigheters registerförfattningar, eller genom att det införs en helt ny lag.
Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ändamål personuppgifterna behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlemsstat kan behöva tillämpa inte bara personuppgiftslagen och polisdatalagen (2010:361), utan också lagen om internationellt polisiärt samarbete eller 2013 års lag. Alternativet att genomföra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer sammanhållen reglering.
Det finns dock flera nackdelar med att placera den nya regleringen i de olika registerförfattningarna. En sådan är att registerförfattningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den generella regleringen. Det talar för att så långt som möjligt skapa ett gemensamt regelverk för behandling av personuppgifter inom direktivets
En ny ramlag SOU 2017:29
140
tillämpningsområde. Det bör därför, som anges i utredningens direktiv, införas en ny ramlagstiftning för brottsbekämpning, lagföring och straffverkställighet (dir. 2016:21 s. 7). Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 7.1.3.
Lagen bör vara subsidiär
Utredningen ska enligt direktiven sträva efter principiella lösningar som ansluter till och är förenliga med gällande författningar och systematik (dir. 2016:21 s. 5 f.). Den nya ramlagen bör därför innehålla de bestämmelser som krävs för att genomföra direktivet och som bör vara generellt tillämpliga. Regleringen bör på samma sätt som i dag kompletteras av registerförfattningar, där bestämmelser som är specifika för myndigheternas verksamhet finns.
Ramlagen kommer att vara anpassad till skyldigheterna och kraven i direktivet. I utredningens uppdrag ingår att anpassa myndigheternas registerförfattningar till ramlagen. Även andra författningar som innehåller bestämmelser om personuppgiftsbehandling på ramlagens tillämpningsområde måste ses över så att de, i den mån de innehåller bestämmelser som avviker från ramlagen, inte står i strid med direktivet.
Av artikel 18 framgår att det är tillåtet att i nationell rätt ha regler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 11.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestämmelser om information.
Mot den bakgrunden bör ramlagen, på samma sätt som personuppgiftslagen, vara subsidiär i förhållande till bestämmelser i lag eller annan författning.
När personuppgiftslagen infördes övervägdes om det skulle införas en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot det nu gällande dataskyddsdirektivet (Integritet, Offentlighet, Informations-
SOU 2017:29 En ny ramlag
141
teknik, SOU 1997:39, s. 210 f.). Datalagskommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon motsvarande nytta.
Befintlig lagstiftning måste ses över och anpassas så att det inte finns bestämmelser som står i strid med direktivet. Det arbetet pågår både genom vår utredning och andra översyner. När ny eller ändrad lagstiftning på området övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet. Utredningen anser i likhet med Datalagskommittén att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personuppgiftslagen.
En delvis ändrad struktur
Som framgår av avsnitt 3.2 och 3.3 gäller bl.a. polisdatalagen, kustbevakningsdatalagen (2012:145), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728) i stället för personuppgiftslagen. Dessa författningar innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksamhet. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en systematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ramlagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade registerförfattningarna kommer därför att behöva anpassas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikelser från bestämmelserna i ramlagen.
De registerförfattningar som i dag gäller utöver personuppgiftslagen måste också anpassas så att de i stället ska gälla utöver ramlagen.
En konsekvens av den ändrade strukturen är att vissa bestämmelser som nu finns i registerförfattningarna kan komma att flyttas till ramlagen, om de är av den arten att de bör gälla för all verksamhet inom direktivets tillämpningsområde. Som exempel kan nämnas regler om hur känsliga personuppgifter får behandlas (se avsnitt 9.2.4). Om det finns behov av särregler för de olika myndig-
En ny ramlag SOU 2017:29
142
heterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Utredningen kommer att – i enlighet med direktiven för arbetet – i slutbetänkandet lämna förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av ramlagen.
Lagens benämning
Ramlagen kommer som framgår av avsnitt 7.1 att tillämpas när behöriga myndigheter behandlar personuppgifter inom ramen för brottsbekämpning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tillämpas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.
Ett namn som skulle kunna återspegla lagens huvudsakliga innehåll men ändå är förhållandevis kort är lagen om behandling av personuppgifter vid brottsbekämpning, lagföring och straffverkställighet. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet) när den nu gällande polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hänvisning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).
De registerförfattningar som har införts på direktivets tillämpningsområde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen och domstolsdatalagen. Även Tullverkets och Skatteverkets nya registerförfattningar föreslås innehålla ordet datalag. Ett alternativ är därför att benämna ramlagen brottsdatalagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.
Nackdelen med benämningen brottsdatalag är att det inte framgår att lagen gäller för behandling av personuppgifter vid straffverkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straffverkställighet och brott gör att namnet
SOU 2017:29 En ny ramlag
143
inte är missvisande. I avsnitt 7.1.3 föreslås att lagen även ska omfatta behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till uppväger dock nackdelen att det inte uttömmande anger lagens tilllämpningsområde. Lagen bör därför benämnas brottsdatalagen.
Benämningen brottsdatalag aktualiserar frågan hur myndigheternas registerförfattningar bör benämnas. De kommer även fortsättningsvis att komplettera ramlagen och innehålla de mer preciserade eller avvikande regler som behövs för respektive myndighets verksamhet. Registerförfattningarna benämns i dag polisdatalag, kustbevakningsdatalag, åklagardatalag etc.
Kustbevakningsdatalagen och domstolsdatalagen gäller i dag i all verksamhet som inte är administrativ hos respektive myndighet. När dataskyddsförordningen börjar gälla finns det skäl att dela upp sådana registerförfattningar som både reglerar personuppgiftsbehandling som styrs av ramlagen och behandling för vilken dataskyddsförordningen gäller. För de myndigheter som redan har en sådan uppdelning av regelverken för personuppgiftsbehandling, Tullverket och Skatteverket, innebär uppdelningen på regelverk däremot ingen förändring. Det aktualiserar frågan hur registerförfattningarna bör benämnas i framtiden. Ett alternativ är att använda myndighetsnamnet tillsammans med brottsdatalag för de registerförfattningar som kompletterar ramlagen, t.ex. Polismyndighetens brottsdatalag, Tullverkets brottsdatalag och Kustbevakningens brottsdatalag. En alternativ benämning på ramlagen skulle då kunna vara allmän brottsdatalag för att skilja den från myndighetsförfattningarna. Eftersom frågan väckts i ett sent skede av utredningsarbetet läggs inget sådant förslag.
Lagen bör kompletteras av en förordning
Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detaljregler bör inte tas in i lagen utan regleras i förordning. För att genomföra direktivet i sin helhet är det enligt utredningens mening nödvändigt att komplettera brottsdatalagen med en förord-
En ny ramlag SOU 2017:29
144
ning. Utredningen lämnar därför även förslag till hur en sådan förordning, benämnd brottsdataförordning, bör utformas.
6.1.3 Ramlagens syfte
Utredningens förslag: Syftet med ramlagen ska vara dels att
skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Skälen för utredningens förslag: Av artikel 1.2 framgår att regle-
ringen har dubbla syften. Den ska skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt ska regleringen säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdatalagen anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Bestämmelser om syftet med en reglering saknar normalt egentligt materiellt innehåll. Man kan därför fråga sig om det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte enbart en symbolisk eller informativ betydelse att uttryckligen slå fast lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rättstillämpningen genom att det ger vägledning för tolkningen av de materiella bestämmelserna i lagen (se Myndighetsdatalag, SOU 2015:39, s. 220).
Det finns därför skäl att införa en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften. Att fysiska personers grundläggande fri- och rättigheter ska skyddas vid behandling av personuppgifter är en central målsättning för regleringen. Samtidigt är vissa intrång i den personliga integriteten
SOU 2017:29 En ny ramlag
145
nödvändiga för att myndigheterna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brottsutredning eller brottmålsrättegång innehåller ofta personuppgifter om både brottsoffer, misstänkta, vittnen och tjänstemän som deltar i verksamheten. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde. En bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter och att samtidigt säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt tydliggör den dubbla målsättningen.
Formuleringen avviker något från hur målsättningen anges i artikel 1.2. Enligt direktivet ska det säkerställas att behöriga myndigheters utbyte av personuppgifter inom unionen inte begränsas eller förbjuds med hänsyn till skyddet för enskildas personliga integritet. En grundläggande förutsättning för att behöriga myndigheter ska kunna utbyta personuppgifter är att de får behandla sådana uppgifter. Enligt utredningens mening bör ramlagen därför inte bara syfta till att de behöriga myndigheterna ska kunna utbyta personuppgifter med varandra, utan också till att de kan behandla personuppgifter på ett ändamålsenligt sätt.
6.1.4 2013 års lag bör upphävas
Utredningens förslag: Lagen med vissa bestämmelser om skydd
för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och hänvisningar till den lagen ska upphävas.
Skälen för utredningens förslag: Enligt artikel 59 ska dataskydds-
rambeslutet upphöra att gälla samma dag som medlemsstaterna ska ha införlivat direktivet i nationell rätt.
Rambeslutet bygger i huvudsak på det nu gällande dataskyddsdirektivet. Eftersom Sverige i princip genomförde det direktivet
En ny ramlag SOU 2017:29
146
även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmelser som motsvarade artiklarna i rambeslutet i personuppgiftslagen och i myndigheternas registerförfattningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EU-medlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sammanhållen som möjligt. Därför bör 2013 års lag upphävas. Därmed bör också alla de bestämmelser som hänvisar till den lagen upphävas. Sådana hänvisningar finns dels i myndigheternas registerförfattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tillämpningsområde. Hänvisningar i myndigheternas registerförfattningar kommer att ses över i slutbetänkandet, i samband med övriga anpassningar av dem, medan hänvisningar i övrigt behandlas i detta betänkande.
6.2 Uttryck i ramlagen
Utredningens förslag: Vissa uttryck som används i ramlagen
ska definieras.
Skälen för utredningens förslag
Definitionerna bör ligga så nära direktivets definitioner som möjligt
I artikel 3 definieras vissa uttryck som är av grundläggande betydelse för förståelsen av bestämmelserna i direktivet. Definitionerna överensstämmer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförordningen. Som framgår av avsnitt 7.1.5 kommer de myndigheter som är behöriga i ramlagens mening att också tillämpa förordningen i delar av sin verksamhet. För att underlätta tillämpningen finns det därför skäl att i så stor utsträckning som möjligt använda direktivets terminologi så att definitionerna i ramlagen och
SOU 2017:29 En ny ramlag
147
förordningen blir så lika som möjligt. Det innebär att motsvarande definitioner i personuppgiftslagen inte bör användas i den mån de avviker från direktivets terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning.
I artikel 3.3 finns en definition av begränsning av behandling. Som framgår av avsnitt 11.4.3 stämmer direktivets definition inte överens med vad som får antas vara avsikten med åtgärden. En definition i enlighet med direktivets lydelse blir därför missvisande och en definition i enlighet med syftet blir innehållslös. Begränsning av behandling bör därför inte definieras i ramlagen.
Både det nu gällande och det nya dataskyddsdirektivet innehåller en definition av register. När det nu gällande dataskyddsdirektivet genomfördes ville man komma bort från registerbegreppet som redan då ansågs otidsenligt (Personuppgiftslag, prop. 1997/98:44, s. 39). Någon definition av register infördes därför inte i personuppgiftslagen. Definitionen i direktivet användes i stället för att avgränsa lagens tillämpningsområde genom att det i 5 § anges att lagen även gäller för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Som framgår av avsnitt 7.1.6 föreslår utredningen att tillämpningsområdet för ramlagen anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Någon definition behövs därför inte.
I direktivet definieras även profilering och pseudonymisering. Profilering nämns i artikel 11 som ett exempel på beslut som grundas enbart på automatiserad behandling. I artikel 24.1 e anges att det register som den personuppgiftsansvarige ska föra över personuppgiftsbehandling i tillämpliga fall ska innehålla uppgifter om användningen av profilering. Pseudonymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. Utredningen föreslår inte att termerna ska användas i ramlagen och några definitioner av dem behövs därför inte.
Nedan följer en redogörelse för de definitioner som bör finnas i ramlagen.
En ny ramlag SOU 2017:29
148
Behandling av personuppgifter
Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med det nu gällande dataskyddsdirektivet och 3 § personuppgiftslagen. Definitionen i ramlagen bör nära ansluta till direktivets text.
Behandling av personuppgifter bör definieras som en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring.
Behörig myndighet
Att det bör införas en definition av uttrycket behörig myndighet och hur den bör utformas framgår av avsnitt 7.1.4.
Biometriska uppgifter
Varken det nu gällande dataskyddsdirektivet eller personuppgiftslagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen, som ansiktsbilder eller fingeravtrycksuppgifter. Biometriska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken utsträckning sådana uppgifter får behandlas.
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd
SOU 2017:29 En ny ramlag
149
identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr Fingeravtryck i pass, prop. 2008/09:132, s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
I direktivets definition av biometriska uppgifter anges ansiktsbilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen.
Ramlagen bör innehålla en definition av uttrycket biometriska uppgifter. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsatser om vad som omfattas. Biometriska uppgifter bör definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.
Dataskyddsombud
Dataskyddsombud nämns i flera artiklar men är inte definierat. I avsnitt 10.5.1 diskuterar utredningen behovet av en definition och hur den bör utformas.
Genetiska uppgifter
Genetiska uppgifter definieras inte i det nu gällande dataskyddsdirektivet eller i personuppgiftslagen. Med genetiska uppgifter avses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller
En ny ramlag SOU 2017:29
150
förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och som framför allt härrör från en analys av ett biologiskt prov från personen i fråga. I skäl 23 anges att det är kromosom-, dna- och rna-analyser eller andra analyser som gör det möjligt att inhämta sådan information som avses.
Genetiska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med genetiska uppgifter får därmed betydelse för i vilken utsträckning uppgifter som tas fram vid analys av prover från människokroppen får behandlas.
I direktivets definition nämns information om fysiologi eller hälsa. Det går dock även att få fram annan information genom analys av ett sådant biologiskt prov, exempelvis information om en persons biogeografiska ursprung. I framtiden kommer man troligen att kunna ta fram ytterligare uppgifter ur sådana prover. Utredningen anser därför att all information som rör nedärvda eller förvärvade genetiska kännetecken för en person och som kan tas fram ur ett prov från människokroppen bör anses vara genetiska uppgifter. Det bör också gälla information som på motsvarande sätt kan tas fram ur spår som påträffas på en brottsplats, exempelvis blodspår. Det bör framgå av definitionen. Det innebär att definitionen av genetiska uppgifter i ramlagen blir något vidare än den i dataskyddsförordningen. Det bör enligt utredningens mening inte orsaka några problem i praktiken.
Genetiska uppgifter bör således definieras som personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga.
Internationell organisation
I artikel 3.16 anges vad som avses med en internationell organisation. Att det bör införas en definition av internationell organisation i ramlagen och hur den bör utformas behandlas i avsnitt 15.2.4.
SOU 2017:29 En ny ramlag
151
Medlemsstat
Medlemsstat definieras inte i direktivet. I avsnitt 15.2.2 diskuterar utredningen behovet av en definition och hur den bör utformas.
Mottagare
Enligt artikel 3.10 omfattar uttrycket mottagare i princip samtliga personer, myndigheter eller andra organ till vilka personuppgifter lämnas ut. Myndigheter som får del av personuppgifter för att kunna utföra ett särskilt uppdrag ska dock inte anses som mottagare. I skäl 22 anges som exempel på myndigheter som får del av personuppgifter för att utföra särskilda uppdrag, skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering av värdepappersmarknader.
I 3 § personuppgiftslagen, som genomför artikel 2 g i det nu gällande direktivet, anges att en myndighet inte ska anses som mottagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som åsyftas kommenteras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma innebörd som motsvarande uttryck i direktivet (prop. 1997/98:44 s. 116). En motsvarande definition behövs i ramlagen.
Mottagare bör definieras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Personuppgift
Med personuppgift avses enligt både det nu gällande och det nya direktivet varje upplysning som avser en fysisk person som är identifierad eller som kan identifieras. I definitionen i artikel 3.1 exemplifieras personuppgifter som upplysningar om namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
En ny ramlag SOU 2017:29
152
Det framgår inte uttryckligen av direktivet om det gäller för uppgifter om avlidna personer eller inte. Definitionen av personuppgift omfattar enligt sin ordalydelse även uppgifter om avlidna personer. Definitionen är densamma som i artikel 4.1 i dataskyddsförordningen. I skäl 27 i förordningen anges emellertid att den inte gäller för behandling av personuppgifter om avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av sådana personuppgifter. Det kan enligt utredningens mening inte ha varit avsikten att behandling av uppgifter om avlidna skulle omfattas av direktivet men inte av förordningen när definitionerna av personuppgift i princip är identiska. Utredningen betraktar det som ett rent förbiseende att inte motsvarande skäl finns i direktivet. För att tydliggöra att personuppgift har samma betydelse som i förordningen bör det framgå av definitionen att den inte omfattar uppgifter om avlidna personer.
Personuppgifter bör alltså definieras som varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.
Personuppgiftsansvarig
Att det bör finnas en definition av personuppgiftsansvarig och hur den bör utformas framgår av avsnitt 10.1.1.
Personuppgiftsbiträde
Att det bör finnas en definition av personuppgiftsbiträde och hur den bör utformas framgår av avsnitt 10.6.1.
Personuppgiftsincident
Att det bör finnas en definition av personuppgiftsincident och hur den bör utformas framgår av avsnitt 10.4.1.
Registrerad
I direktivets definition av personuppgift i artikel 3.1 anges att en identifierad eller identifierbar fysisk person benämns registrerad.
SOU 2017:29 En ny ramlag
153
Definitionen av personuppgift är utformad på samma sätt i det nu gällande direktivet. I 3 § personuppgiftslagen definieras däremot den registrerade som den som en personuppgift avser.
Utredningen anser att det blir tydligare att definiera vad som avses med en registrerad än att låta det ingå som en del av definitionen av personuppgift. Registrerad bör därför definieras som den fysiska person som personuppgiften rör. Det blir då en skillnad i förhållande till dataskyddsförordningen men det saknar praktisk betydelse.
Tillsynsmyndighet
Att det bör finnas en definition av tillsynsmyndighet och hur den bör utformas framgår av avsnitt 12.4.1.
Tredjeland
Det finns ingen definition av tredjeland i direktivet trots att det innehåller detaljerade regler om överföringar av personuppgifter till bl.a. tredjeland. Att det bör finnas en definition av uttrycket tredjeland och hur den bör utformas framgår av avsnitt 15.2.3.
Tredje man
Det finns ingen definition av tredje man i direktivet men däremot i 3 § personuppgiftslagen. Att det bör finnas en definition av tredje man och hur den bör utformas framgår av avsnitt 11.3.3.
Uppgift som rör hälsa
Varken det nu gällande dataskyddsdirektivet eller personuppgiftslagen definierar vad som avses med uppgift som rör hälsa. Enligt artikel 3.14 avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I skäl 24 anges att det gäller information om en persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Där ges
En ny ramlag SOU 2017:29
154
också exempel på vilka uppgifter som kan anses avse hälsa. Ramlagen bör innehålla en definition av vad som avses med uppgift som rör hälsa som motsvarar definitionen i direktivet. Uppgift som rör hälsa bör definieras som personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
Uppgifter om hälsa räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4).
6.3 Dataskyddsbestämmelser i tidigare rättsakter och avtal
Utredningens bedömning: Det behövs inte någon särskild reg-
lering för att genomföra artiklarna 60 och 61 i direktivet.
Skälen för utredningens bedömning
Innehållet i direktivet och nuvarande reglering
Enligt artikel 60 ska direktivet inte påverka tillämpningen av särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare. En förutsättning är dock att rättsakterna reglerar behandlingen av personuppgifter mellan medlemsstaterna eller medlemsstaternas tillgång till informationssystem som är relevanta för direktivets tillämpningsområde. Kommissionen ska enligt artikel 62.6 se över om tidigare rättsakter behöver anpassas till direktivet och, om så behövs, lägga fram förslag till ändring av dessa rättsakter. De tidigare rättsakterna på området ska alltså fortsätta att gälla tills de ändras eller upphävs.
Som exempel på tidigare rättsakter som ska kvarstå oförändrade nämns i skäl 94 rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) och konventionen om ömsesidig rättslig hjälp i brottmål
SOU 2017:29 En ny ramlag
155
mellan Europeiska unionens medlemsstater (rådets akt av den 29 maj 2000).
Enligt artikel 61 ska internationella avtal som rör överföring av personuppgifter till tredjeland eller internationella organisationer och som ingicks av medlemsstaterna före den 6 maj 2016 fortsätta att gälla tills de ändras, ersätts eller återkallas. En förutsättning är dock att avtalen är förenliga med unionsrätten så som den tillämpades före angivet datum.
En liknande bestämmelse finns i artikel 26 i dataskyddsrambeslutet. Enligt den ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtalen med tredjeland som redan gällde när rambeslutet antogs. Artikel 26 ansågs inte kräva någon lagstiftningsåtgärd (prop. 2012/13:73 s. 108).
Bestämmelser om skydd för personuppgifter i tidigare rättsakter
Det finns en rad unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som innehåller bestämmelser om skydd av personuppgifter. Sådana bestämmelser ska alltså gälla i stället för direktivet om de är äldre än det. På motsvarande sätt bör sådana svenska lagar och förordningar som genomför de tidigare antagna unionsrättsakterna ges företräde framför ramlagen. Det är därför av intresse vilka rättsakter som har trätt i kraft före direktivet och som har genomförts i svensk rätt.
Prümrådsbeslutet och konventionen om ömsesidig rättslig hjälp i brottmål mellan EU:s medlemsstater har redan nämnts som exempel på tidigare unionsrättsakter på området. Konventionen av den 19 juni 1990 om tillämpningen av Schengenavtalet och rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) är också sådana tidigare unionsrättsakter som ska tillämpas i stället för direktivet. Konventionen upprättad på grundval av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullförvaltningar är ett annat exempel på en tidigare unionsrättsakt på området. En annan sådan rättsakt är Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om gränsöverskridande informationsutbyte om tra-
En ny ramlag SOU 2017:29
156
fiksäkerhetsrelaterade brott (det s.k. CBE-direktivet). Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott är också en äldre unionsrättsakt som innehåller bestämmelser om skydd av personuppgifter som ska gälla framför direktivet.
De nu aktuella unionsrättsakterna har i huvudsak genomförts i svensk rätt genom lagen (2000:344) om Schengens informationssystem, lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamarbete och den föreslagna lagen om internationellt polisiärt samarbete.
Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Förordningen är även tillämplig på informationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott. Regleringen innehåller bestämmelser om dataskydd och får därmed anses vara en sådan äldre rättsakt som avses i artikel 60.
Rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll syftar till att förbättra och underlätta utbytet av uppgifter ur kriminalregister mellan EU:s medlemsstater. Beslutet lägger också grunden för det europeiska informationssystemet för utbyte av uppgifter ur kriminalregistret, Ecris (rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregistret). Rambeslutet har genomförts i lagen (1998:620) om belastningsregister, förordningen (1999:1134) om belastningsregister och polisdatalagen. Rambeslutet och regleringen som genomför det innehåller vissa bestämmelser om skydd för personuppgifter som bör ha företräde framför direktivet.
SOU 2017:29 En ny ramlag
157
En annan unionsrättsakt av intresse i sammanhanget är Europolförordningen (Europaparlamentets och rådets förordning [EU] 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning [Europol] och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF). Förordningen ska, med något undantag, tillämpas från och med den 1 maj 2017. Den antogs den 11 maj 2016 och trädde i kraft 20 dagar efter att den hade offentliggjorts i Europeiska unionens officiella tidning, vilket gjordes den 24 maj 2016. Förordningen har alltså trätt i kraft efter den 6 maj 2016 och omfattas därför inte av artikel 60. Förordningen innehåller bestämmelser om behandling av personuppgifter men det är inte klart hur de förhåller sig till direktivet.
Genom rådets beslut 2002/187/RIF av den 28 februari 2002 inrättades Eurojust för att stärka kampen mot grov brottslighet. Rådets beslut har sedermera ändrats genom besluten 2003/659/RIF och 2009/426/RIF. Regleringen innehåller vissa bestämmelser om dataskydd för behandling av personuppgifter vid Eurojust. Beslutet om att inrätta Eurojust har genomförts enbart genom att Eurojusts administrativa direktör och personalen vid Eurojust har lagts till i bilagan till lagen (1976:661) om immunitet och privilegier i vissa fall. Det finns ett förslag till förordning om Eurojust genom vilken Eurojust bl.a. ska få en förnyad rättslig ram, men det har ännu inte antagits.
Avtal om överföring till tredjeland och internationella organisationer
Som framgått ovan ska internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer och som ingåtts före den 6 maj 2016 fortsätta att gälla. Med internationella avtal bör, enligt utredningens mening, i detta sammanhang förstås varje gällande bilateralt eller multilateralt avtal mellan medlemsstater och tredjeland eller med internationella organisationer inom området för straffrättsligt samarbete och polissamarbete som rör överföring av personuppgifter.
Som exempel på bilateralt avtal om informationsutbyte som Sverige ingått med tredjeland kan nämnas avtalet med Thailand om samarbete mellan brottsbekämpande myndigheter för att bekämpa
En ny ramlag SOU 2017:29
158
organiserad brottslighet (SÖ 2013:3). Avtalet innehåller till viss del bestämmelser om dataskydd, som hänvisar till internationella överenskommelser. Avtalet med Bosnien och Hercegovinas ministerråd om samarbete mellan brottsbekämpande myndigheter (SÖ 2013:4) innehåller liknande bestämmelser.
Sverige har även ingått ett flertal bilaterala avtal när det gäller informationsutbyte på tullområdet, t.ex. med USA och Ryssland. Avtalet med USA är genomfört i förordningen (1988:146) om tilllämpning av en överenskommelse mellan Sverige och Amerikas Förenta Stater om ömsesidigt bistånd i tullfrågor. Avtalet med Ryssland regleras i förordningen (1994:8) om tillämpning av en överenskommelse mellan Sverige och Ryska federationen om ömsesidigt bistånd i tullfrågor och förordningen (1998:318) om tillämpning av ett avtal mellan Sverige och Ryssland om ömsesidigt bistånd vid bekämpning av vissa fiskala brott.
Någon särskild reglering behövs inte
Av artiklarna 60 och 61 följer att särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området och internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer som medlemsstaterna ingått innan direktivet antogs ska tillämpas framför direktivet och gälla tills de ändras eller upphävs. Det är alltså inte fråga om någon tillfällig eller övergående reglering, utan en inskränkning i direktivets tillämpningsområde. De tidigare unionsrättsakter och avtal som Sverige ingått med tredjeland har i allt väsentligt genomförts i svensk rätt. I den mån sådana lagar och förordningar reglerar dataskydd på ramlagens tillämpningsområde bör de gälla framför ramlagen.
I avsnitt 6.1.2 föreslås att ramlagen ska vara subsidiär. Där diskuteras framför allt förhållandet mellan ramlagen och myndigheternas registerförfattningar, men resonemanget gör sig gällande även här. Några särskilda bestämmelser som genomför artiklarna 60 och 61 behövs därför inte.
159
7 Ramlagens tillämpningsområde
7.1 Utformningen av tillämpningsområdet
7.1.1 Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften
Utredningens förslag: Ramlagens tillämpningsområde ska kny-
tas till behandling av personuppgifter som behöriga myndigheter utför för vissa syften.
Skälen för utredningens förslag: Direktivet ska enligt artikel 2.1
tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Personuppgiftsbehandling inom direktivets tillämpningsområde är enligt artikel 2.2 d i dataskyddsförordningen undantagen från förordningens tillämpningsområde. Eftersom förordningen är direkt tillämplig i svensk rätt och gäller för all personuppgiftsbehandling som regleras av unionsrätt och inte omfattas av direktivet är avgränsningen av ramlagens tillämpningsområde en central fråga.
Direktivet gäller för all personuppgiftsbehandling inom sitt tilllämpningsområde, även om den är helt nationell. Det är en betydande skillnad i förhållande till dataskyddsrambeslutet, som bara gäller för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU-medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s informationssystem. I övrigt är tillämpningsområdet för direktivet och rambeslutet angivet på i stort sett samma sätt – båda omfattar behandling av personuppgif-
Ramlagens tillämpningsområde SOU 2017:29
160
ter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Direktivets tillämpningsområde omfattar också personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om regleringen i ramlagen kan utgå från hur tilllämpningsområdet är utformat i 2013 års lag.
Tillämpningsområdet för 2013 års lag bygger på i vilken verksamhet personuppgifter behandlas. En sådan lösning är enkel och tydlig för tillämparen. Som nyss nämnts bygger direktivets tillämpningsområde på dels syftet med behandlingen, dels om det är en behörig myndighet som utför den. Att enbart knyta ramlagens tillämpningsområde till i vilken verksamhet personuppgiftsbehandling utförs skulle därför göra det för vidsträckt. Som exempel kan nämnas att man i Kriminalvårdens häktesverksamhet behandlar personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administrativa frihetsberövanden, t.ex. tvångsvård eller häktning enligt konkurslagen (1987:672). Om syftet med förvaringen i häkte är brottsbekämpning, lagföring, straffverkställighet eller ordningshållning ligger det under direktivets tillämpningsområde. Är det däremot fråga om ett frihetsberövande av något annat slag gäller som regel dataskyddsförordningen (se avsnitt 8.2.5).
Tillämpningsområdet kan dock inte heller knytas enbart till syftet med personuppgiftsbehandlingen. Kameraövervakning kan tas som exempel för att illustrera det. Fast monterade kameror får sättas upp i exempelvis banklokaler och butikslokaler, om syftet med övervakningen ska vara att förebygga, avslöja eller utreda brott. Bankens eller butikens personuppgiftsbehandling i samband med sådan övervakning skulle därmed omfattas av ramlagens tilllämpningsområde om enbart syftet med behandlingen var avgörande. I och med att banker och butiker inte träffas av direktivets definition av behörig myndighet ligger deras personuppgiftsbehandling dock utanför tillämpningsområdet. En annan sak är att Polismyndighetens behandling av de personuppgifter som har samlats in av en bank vid exempelvis ett rån omfattas av tillämpningsområdet, eftersom myndigheten omfattas av definitionen av behörig myndighet och syftet med behandlingen är att utreda brott.
SOU 2017:29 Ramlagens tillämpningsområde
161
Ramlagens tillämpningsområde måste därför knytas både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Om en behörig myndighet behandlar personuppgifter för något av de syften som anges i ramlagen är lagen tillämplig, oavsett om behandlingen endast utförs i ringa omfattning eller under kort tid. Innan utredningen går närmare in på frågan vad som är en behörig myndighet (se avsnitt 7.1.4) är det nödvändigt att först redovisa för vilka syften personuppgifter får behandlas. I kapitel 8 diskuteras ingående olika gränsdragningsfrågor knutna till uttrycket behörig myndighet och syftena med behandlingen.
7.1.2 Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet
Utredningens förslag: Ramlagen ska gälla för behandling av
personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.
Skälen för utredningens förslag: Direktivets tillämpningsområde
omfattar personuppgiftsbehandling som utförs i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
I svensk rätt brukar man skilja mellan å ena sidan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och å andra sidan verksamhet som syftar till att utreda och beivra konkreta brott (se t.ex. 2 § polislagen [1984:387] och 2 kap. 7 § polisdatalagen [2010:361]). Vid genomförandet av unionsrättsakter där det talas om att förebygga och utreda brott har ordet brott därför tolkats så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som exempelvis underrättelseverksamhet tar sikte på (Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte, prop. 2010/11:129, s. 110 och prop. 2012/13:73, s. 63). Samma tolkning bör göras nu.
Utredningens utgångspunkt är att uttrycket förebygga, förhindra och upptäcka brottslig verksamhet – som används i flera av de berörda myndigheternas registerförfattningar – bör ges samma
Ramlagens tillämpningsområde SOU 2017:29
162
tolkning som hittills. I förarbetena till polisdatalagen diskuteras underrättelseverksamheten ingående (prop. 2009/10:85, s. 104 f.). Där vidgas också användningen av begreppet till att avse vad som där betecknas som underrättelsestyrd verksamhet. All sådan verksamhet, såväl på lokal nivå som regional och central nivå, och även annan planlagd verksamhet som betecknas som underrättelsestyrd bör således omfattas av ramlagens tillämpningsområde.
Spaningsverksamhet som inte är hänförlig till brottsutredande verksamhet är normalt underrättelsestyrd, exempelvis när spaning bedrivs lokalt för att kartlägga droghandel, prostitution eller någon annan typ av lokal brottslighet. Spaningsverksamhet av nu aktuellt slag bedrivs framför allt av Polismyndigheten.
Polismyndigheten bedriver emellertid även annan verksamhet som brukar räknas till brottsförebyggande arbete, t.ex. förebyggande insatser som riktar sig till brottsoffer eller personer som riskerar att utsättas för brott. I sådant arbete torde behovet av att behandla personuppgifter vara begränsat. Det kan diskuteras om sådan brottsofferverksamhet som har anknytning till pågående eller avslutade brottsutredningar, t.ex. uppföljning av meddelade kontaktförbud eller personskydd som beviljats med anledning av begångna brott, bör hänföras till uppgiften att utreda brott eller ses som brottsförebyggande arbete. Det saknar dock betydelse i detta sammanhang eftersom det i båda fallen är en uppgift som omfattas av ramlagens tillämpningsområde. Även behandlingen av personuppgifter vid Polismyndighetens kommunikationscentraler har i viss utsträckning ansetts falla under polisdatalagens tillämpningsområde och bör därmed omfattas av ramlagens tillämpningsområde (se prop. 2009/10:85, s. 140 f.).
Tullverket bedriver brottsförebyggande arbete som rör framför allt otillåten införsel av varor. Även den verksamheten, som innefattar bl.a. underrättelseverksamhet och sådan kartläggning och spaning som nyss nämnts, ligger inom ramlagens tillämpningsområde.
I förarbetena till 2013 års lag anses uttrycken upptäcka och beivra brott stämma bättre överens med språkbruket i svensk rätt än uttrycken avslöja och lagföra brott (se prop. 2012/13:73, s. 63). Utredningen delar regeringens bedömning när det gäller uttrycket upptäcka brott men anser att uttrycket lagföra brott bör användas i ramlagen i stället för beivra brott av följande skäl.
SOU 2017:29 Ramlagens tillämpningsområde
163
Uttrycket utreda och beivra brott används i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen (2012:145) och 2 kap. 5 § åklagardatalagen (2015:433). Samma uttryck föreslås också i både tullbrottsdatalagen och skattebrottsdatalagen (se avsnitt 3.2.2 och 3.2.4). Utreda brott omfattar framför allt arbete som utförs inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, medan förenklade förfaranden som mynnar ut i att strafföreläggande eller föreläggande av ordningsbot utfärdas i stället för att åtal väcks hänförs till beivra brott. Uttrycket beivra brott passar därför väl för Polismyndighetens, Tullverkets, Kustbevakningens och åklagares verksamhet, men mindre väl för handläggningen vid de allmänna domstolarna när de dömer någon till ansvar för brott och bestämmer påföljd. Däremot täcker uttrycket lagföra brott, som används i direktivet, såväl de förenklade förfaranden som Polismyndigheten, Tullverket, Kustbevakningen och åklagare tillämpar som handläggningen i domstol. Ordet lagföra framstår också som mer modernt än beivra. Utredningen anser därför att det mer vittomfattande uttrycket lagföra brott bör väljas i ramlagen. Frågan om även myndigheternas registerförfattningar bör ändras på motsvarande sätt kommer att behandlas i slutbetänkandet.
Uttrycket verkställa påföljd används i dag inte i någon av de berörda myndigheternas registerförfattningar. Däremot används det i 2013 års lag. I förarbetena till den lagen anges att regleringen omfattar bl.a. Kriminalvården och Statens institutionsstyrelse (prop. 2012/13:73, s. 61 f.). Terminologin i 2013 års lag framstår som lämplig och bör användas även i ramlagen. I avsnitt 8.4 diskuteras vilka myndigheter och andra aktörer som ansvarar för straffverkställighet i direktivets mening och som därmed bör tillämpa ramlagen.
Ramlagen bör således gälla vid personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det innebär att lagen kan bli tillämplig vid underrättelseverksamhet och annan brottsförebyggande verksamhet, förundersökning och liknande utredningar som hänvisar till reglerna om förundersökning, åtalsprövning, strafföreläggande och föreläggande av ordningsbot, domstols handläggning av brottmål och verkställighet av påföljder. Det är dock inte tillräckligt att personuppgiftsbehandlingen utförs i något av dessa syften. Det krävs också
Ramlagens tillämpningsområde SOU 2017:29
164
att det är en behörig myndighet som utför den, vilket utvecklas i avsnitt 7.1.4.
7.1.3 Personuppgiftsbehandling som rör allmän ordning och säkerhet
Utredningens förslag: Ramlagen ska gälla för behandling av
personuppgifter som utförs i syfte att upprätthålla allmän ordning och säkerhet.
Skälen för utredningens förslag
Tillämpningsområdet ska omfatta skydd av allmän säkerhet
Direktivets tillämpningsområde inkluderar personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, men att sådan verksamhet också kan innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Det anges också att verksamheten även omfattar upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.
Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. En av Polismyndighetens huvuduppgifter enligt 2 § polislagen är att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten och att övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat. Befogenheterna att ingripa finns bl.a. i 13– 13 c §§polislagen. I avsnitt 8.5.1 utvecklas närmare vad de innebär.
Även Kustbevakningen har vissa ordningshållande arbetsuppgifter. De rör främst sådant uppträdande i trafiken till sjöss som stör ordningen eller utgör en omedelbar fara för ordningsstörning.
SOU 2017:29 Ramlagens tillämpningsområde
165
En kustbevakningstjänsteman har också rätt att ingripa för att avvärja brott som avser trafikregler och säkerhetsanordningar för sjötrafiken, vattenförorening från fartyg och dumpning av avfall i vatten. Vid ett ingripande i någon av dessa situationer har en kustbevakningstjänsteman enligt 3 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning rätt att avvisa, avlägsna eller omhänderta den som stör ordningen eller utgör en omedelbar fara för den enligt reglerna i 13 § polislagen. Kustbevakningen har också särskilda ordningshållande uppgifter enligt lagstiftningen om sjöfartsskydd respektive hamnskydd.
I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning. Det beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan ofta också övergå i brottsbekämpning. Det ansågs dock föra för långt att betrakta mer renodlad övervakning och ordningshållande verksamhet som brottsbekämpande. Den verksamheten skulle därmed inte omfattas av polisdatalagens tilllämpningsområde (se prop. 2009/10:85, s. 75).
I artikel 1.1 anges att direktivet omfattar personuppgiftsbehandling i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om det bara är ordningshållande verksamhet som är en del av brottsbekämpningen som omfattas av direktivets tillämpningsområde. Enligt utredningens mening bör direktivet inte tolkas på det sättet. Om bara ordningshållande verksamhet som utgör en del av brottsbekämpningen skulle omfattas av direktivet, skulle det inte ha funnits något skäl att nämna den verksamheten särskilt. Personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten räknas upp i artikeln och i skäl 12 tydliggörs att det handlar om ingripanden mot sådant som inte i sig är brott som exempelvis tvångsåtgärder vid demonstrationer. Det är därmed enligt utredningens mening tydligt att direktivet omfattar mer än det som kan sägas höra till den traditionella brottsbekämpande verksamheten. Ramlagen bör ha ett tillämpningsområde som motsvarar direktivets. Det innebär att lagen bör gälla även för personuppgiftsbehandling som utförs för ordningshållande syften.
Ramlagens tillämpningsområde SOU 2017:29
166
Åtgärder för att skydda allmän säkerhet är som framgått något annat än att skydda den nationella säkerheten. Det sistnämnda är Säkerhetspolisens arbetsuppgift och behandlas i avsnitt 7.2.1.
Vilket uttryckssätt bör användas?
I svensk rätt har uttrycket allmän ordning och säkerhet använts under lång tid i olika polisrättsliga författningar. Uttrycket, som inte har någon legaldefinition, är vittomfattande och svårdefinierat. Det används bl.a. i ordningslagen (1993:1617) och polislagen.
I polislagen används uttrycket i 1 § som anger polisverksamhetens ändamål. Där sägs att polisens arbete syftar till att upprätthålla allmän ordning och säkerhet och att i övrigt tillförsäkra allmänheten skydd och hjälp. I kommentaren till polislagen framhålls att det i polisens uppgift att upprätthålla allmän ordning och säkerhet inte bara ligger att motverka och beivra straffsanktionerade handlingar. Även i övrigt har polisen viss skyldighet att söka säkerställa förutsättningarna för en i möjligaste mån trygg och friktionsfri samlevnad medborgarna emellan (Berggren m.fl. s. 35).
I 1 § polislagen används alltså uttrycket allmän ordning och säkerhet som ett överordnat begrepp som både omfattar brottsutredning och annan brottsbekämpande verksamhet och olika former av övervakning. Det återspeglar den helhetssyn på polisens alla olika funktioner som eftersträvas. I de enskilda bestämmelserna i lagen, särskilt när det gäller polismans befogenheter, används uttrycket i en snävare mening som ligger mera i linje med regleringen i ordningslagen. Den lagen tar sikte på regler som riktar sig till allmänheten och som rör användningen av allmänna utrymmen och samfärdseln samt sammankomster och tillställningar av olika slag.
Uttrycket allmän ordning och säkerhet används inte helt konsekvent ens i polislagen. I vissa av bestämmelserna används uttrycket ”den allmänna ordningen” medan ”ordningen och säkerheten” används i någon bestämmelse. Av förarbetena till 13–13 c §§ kan inte utläsas att lagstiftaren har avsett någon egentlig skillnad mellan uttryckssätten eller att de skulle avse olika situationer. Både 13 a och 13 c §§polislagen infördes för att komma till rätta med de problem som polisen ställs inför i samband med större evenemang (se Ändringar i polislagen m.m., prop. 1996/97:175, s. 23 f.). Det är
SOU 2017:29 Ramlagens tillämpningsområde
167
också sådana situationer som skäl 12 i direktivet förefaller ta sikte på, eftersom myndighetsutövning vid demonstrationer, större idrottsevenemang och upplopp nämns uttryckligen. I ramlagen bör uttrycket allmän ordning och säkerhet användas för att säkerställa att lagens tillämpningsområde täcker den verksamhet som är avsedd. Det stämmer också överens med hur Polismyndighetens uppgifter anges i bl.a. polislagen.
Ibland anges att polisen ska upprätthålla allmän ordning och säkerhet och ibland att polisen ska övervaka allmän ordning och säkerhet. I 2 § polislagen anges att en av polisens huvuduppgifter är att övervaka den allmänna ordningen och säkerheten. Övervakning kan ha många olika former, t.ex. att någon i en ledningscentral följer trafikflödet eller allmänhetens rörelser på en viss plats via övervakningskameror. Det kan även vara fråga om automatisk hastighetsövervakning med övervakningskameror och allmän trafikövervakning på vägar eller fasta kontrollplatser. Övervakning kan också innebära att polisen rutinmässigt med bil passerar vissa lokaler eller områden eller att polismän eller bevakningspersonal tillfälligt eller stadigvarande bevakar en viss plats eller byggnad. För att upprätthålla allmän ordning och säkerhet krävs normalt fysisk närvaro på platsen där oordning förekommer eller riskerar att göra det. Uttrycket övervaka den allmänna ordningen och säkerheten är således mera vittomfattande än uttrycket upprätthålla allmän ordning och säkerhet. Enligt utredningens mening återspeglar uttrycket upprätthålla allmän ordning och säkerhet bäst vad som enligt skäl 12 avses med direktivets uttryck skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det bör därför användas för att avgränsa tillämpningsområdet för ramlagen.
I begreppet allmän ordning och säkerhet har ansetts ligga att det ska vara något som berör allmänheten, dvs. samhällsmedlemmarna i gemen, vem som helst eller en obestämd krets av enskilda (se Nils-Olof Berggren och Johan Munck, Polislagen, En kommentar, 11 uppl. 2015, i fortsättningen Berggren m.fl., s. 35 f. och där anmärkt litteratur). Frågan har bl.a. diskuterats i anslutning till polisens agerande vid arbetsmarknadskonflikter, demonstrationer och andra liknande situationer där samhällsmedborgare kan komma att stå mot varandra. I NJA 1989 s. 308 hade drygt 200 personer tagit sig in på en byggarbetsplats, i syfte att hindra byggandet av en motorväg. Vägran att på polisens uppmaning lämna platsen ansågs i
Ramlagens tillämpningsområde SOU 2017:29
168
det rättsfallet utgöra en sådan kränkning av den allmänna ordningen att de medverkande kunde dömas för ohörsamhet mot ordningsmakten.
Anpassningar av registerförfattningar
Genom att ramlagen föreslås omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet kommer den att ha ett vidare tillämpningsområde än polisdatalagen. Frågan om det bör föranleda att polisdatalagens tillämpningsområde anpassas till ramlagens kommer att behandlas i slutbetänkandet.
Kustbevakningsdatalagen gäller enligt 1 kap. 2 § behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör både brottsbekämpning och annan operativ verksamhet som sjöövervakning och räddningstjänst. I 5 kap. regleras personuppgiftsbehandling i den verksamhet som inte är brottsbekämpande. Där regleras personuppgiftsbehandling i verksamhet som gäller både upprätthållande och övervakning av allmän ordning och säkerhet. Utredningen återkommer i slutbetänkandet till frågan hur personuppgiftsbehandlingen i den ordningshållande verksamheten bör regleras.
Omfattas informationssäkerhet?
Samhällets beroende av informationsteknik har enligt regeringen utvecklats till att bli en fråga om nationell och internationell säkerhet (Förebygga, förhindra och försvåra – den svenska strategin mot terrorism, skr. 2014/15:146, s. 26). I bl.a. 31 § personuppgiftslagen och 7 och 9 §§säkerhetsskyddslagen (1996:627) finns bestämmelser om informationssäkerhet. Den som är ansvarig för en verksamhet ska se till att informationssäkerheten håller tillräckligt hög nivå. Alla myndigheter och organ som hanterar känslig information förutsätts arbeta aktivt med att skydda sin information. Försvarsmakten, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Post- och telestyrelsen, Säkerhetspolisen och Polismyndigheten har emellertid ett särskilt utpekat ansvar för informationssäkerhet.
SOU 2017:29 Ramlagens tillämpningsområde
169
I likhet med det nu gällande dataskyddsdirektivet innehåller direktivet bestämmelser om informationssäkerhet. Direktivet innebär skärpningar i olika avseenden, bl.a. ställs det krav på att personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten. Direktivets bestämmelser om informationssäkerhet tar – på samma sätt som det nu gällande dataskyddsdirektivet – enbart sikte på att personuppgiftsansvariga bär ett särskilt ansvar för informationssäkerheten när det gäller de personuppgifter de behandlar. Det finns däremot inget som tyder på att det nya direktivet är avsett att omfatta förebyggande arbete som rör informationssäkerhet i allmänhet eller verksamhet för att förebygga och förhindra de hot som samhället kan ställas inför på informationssäkerhetens område. Tvärtom tyder skrivningarna i skäl 12 på att det som åsyftas är hot mot fysisk säkerhet. När begreppet allmän ordning och säkerhet används i ramlagen för att ange tillämpningsområdet bör det således inte omfatta informationssäkerhet.
7.1.4 Vad är en behörig myndighet?
Utredningens förslag: Behörig myndighet ska definieras som
en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften.
Skälen för utredningens förslag: Ramlagen ska gälla för person-
uppgiftsbehandling som behöriga myndigheter utför för vissa syften. Det bör därför definieras vad som avses med behörig myndighet i ramlagen. Utredningen delar den bedömning som gjordes i förarbetena till 2013 års lag att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i direktivet än att i lag räkna upp de myndigheter som ska tillämpa lagen (se prop. 2012/13:73 s. 62). Genom att direktivet har ett så brett tilllämpningsområde, vilket illustreras i kapitel 8, är det svårt att i författningstext peka ut alla myndigheter som har sådana arbetsuppgifter att de ska betraktas som behöriga myndigheter i ramlagens mening. Det är också svårt att i lagtext ange de kategorier
Ramlagens tillämpningsområde SOU 2017:29
170
som enligt viss lagstiftning har behörighet att utöva myndighet inom ramlagens tillämpningsområde. En uppräkning baserad på myndigheter och andra aktörer riskerar därför att bli ofullständig. Dessutom skulle en sådan uppräkning behöva förses med åtskilliga undantag, eftersom inte all deras personuppgiftsbehandling regleras i ramlagen. Definitionen bör därför utgå från myndigheternas arbetsuppgifter och de andra aktörernas rätt att utöva myndighet.
I artikel 3.7 definieras behörig myndighet som en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten eller ett annat organ eller annan enhet som har anförtrotts myndighetsutövning för något av detta. Som framgår av avsnitt 7.1.2 och 7.1.3 bör en delvis annan formulering väljas för avgränsningen av ramlagens tillämpningsområde. Samma formulering bör användas i definitionen av behörig myndighet. Behörig myndighet bör således definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften. Begreppet utöva myndighet – som också används i bl.a. 17 kap. 15 § brottsbalken – bör enligt utredningens mening användas. Det är enbart för aktörer som inte är myndigheter som det har betydelse om personuppgifter behandlas som ett led i myndighetsutövning eller inte. Personuppgifter som andra aktörer behandlar när de inte utövar myndighet ligger utanför ramlagens tillämpningsområde. När det gäller myndigheter omfattas däremot all personuppgiftsbehandling inom ramlagens tillämpningsområde, oavsett om den har samband med myndighetsutövning eller inte.
Hur man kan resonera vid bedömningen av om kraven för att vara en behörig myndighet är uppfyllda och vilka andra aktörer som kan anses utöva myndighet behandlas i kapitel 8.
SOU 2017:29 Ramlagens tillämpningsområde
171
7.1.5 Arbetsuppgifterna är avgörande för när en myndighet är behörig
Behörig eller inte behörig myndighet?
Det är självklart att vissa myndigheter på grund av sina arbetsuppgifter ska betraktas som behöriga myndigheter enligt ramlagen. Det är Polismyndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, de allmänna domstolarna och Kriminalvården som främst kommer att behandla personuppgifter som omfattas av ramlagens tillämpningsområde.
Dessa myndigheter har emellertid även arbetsuppgifter som ligger utanför ramlagens tillämpningsområde. Det gäller i hög grad Polismyndigheten och de allmänna domstolarna men också Tullverket, Kustbevakningen och Skatteverket, där den brottsbekämpande verksamheten bara utgör en del av den totala verksamheten. Även åklagare har vissa operativa uppgifter som inte omfattas av ramlagens tillämpningsområde. Den omständigheten att en myndighet har vissa arbetsuppgifter inom ramlagens tillämpningsområde gör inte att myndigheten i all sin verksamhet är behörig myndighet i ramlagens mening. Som exempel kan nämnas Skatteverket, där myndighetens brottsbekämpande enheter omfattas av definitionen av behörig myndighet, medan de enheter som arbetar med folkbokföring eller fastställande av skatt inte gör det. En myndighet kan således vara både behörig och icke behörig i ramlagens mening beroende på vilka arbetsuppgifter som utförs (se skäl 11).
När det har konstaterats att den som ska behandla personuppgifter är behörig myndighet i ramlagens mening måste det också fastställas att personuppgifterna ska behandlas för ett syfte som omfattas av lagen för att den ska vara tillämplig. Genom att regleringen i direktivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde kommer det att krävas av de behöriga myndigheterna och de enskilda tjänstemännen att de i större utsträckning än i dag överväger syftet med behandlingen av personuppgifter och om behandlingen ligger inom ramlagens tilllämpningsområde. Om personuppgifter behandlas för något annat syfte än brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän och säkerhet ska ramlagen inte tillämpas.
Ramlagens tillämpningsområde SOU 2017:29
172
Dubbla regelverk
Det är framför allt de myndigheter som arbetar med brottsbekämpning som kommer att möta gränsdragningsproblem. Det beror bl.a. på att deras verksamhet är sådan att det inte alltid från början är tydligt om syftet med behandlingen är brottsbekämpande eller inte. Även på andra områden kan gränsdragningen ibland vara svår.
Det är omöjligt att inom ramen för denna utredning uttömmande ange när de behöriga myndigheterna ska tillämpa ramlagen. I kapitel 8 redovisas dels vissa principer som utredningen anser bör vara vägledande, dels exempel på när ramlagen bör eller inte bör tillämpas. I det enskilda fallet blir det dock den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig.
Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör dock inte överdrivas. Redan i dag tillämpar myndigheterna olika regelverk – personuppgiftslagen och myndighetsanknutna registerförfattningar – beroende på i vilken verksamhet personuppgifterna behandlas. Problematiken med dubbla regleringar när det gäller personuppgiftsbehandling finns således redan i dag.
Så som tillämpningsområdet för direktivet är utformat kommer fler myndigheter och andra aktörer än enbart myndigheterna i rättskedjan att i viss del av sin verksamhet behöva tillämpa ramlagen. Det gäller exempelvis den som bedriver sluten ungdomsvård eller rättspsykiatrisk vård. Vidare kommer andra aktörer som utövar myndighet inom ramlagens tillämpningsområde att behöva tillämpa den när de behandlar personuppgifter för sådana syften som lagen reglerar. De ska då betraktas som behöriga myndigheter i ramlagens mening och tillämpa den. En del av aktörerna har hittills enbart tillämpat personuppgiftslagen och kommer att i fortsättningen tillämpa dataskyddsförordningen i huvuddelen av sin verksamhet. Det ställs alltså krav på att de, när personuppgiftslagen upphör att gälla, noga överväger för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.
Behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas således antingen av ramlagens eller dataskyddsförordningens tillämpningsområde. Ramlagen och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan de vara tilllämpliga parallellt. Som exempel kan nämnas Polismyndighetens
SOU 2017:29 Ramlagens tillämpningsområde
173
behandling av personuppgifter vid gränskontroll. Den behandling som görs med stöd av utlännings- och medborgarskapslagstiftningen ligger under förordningens tillämpningsområde, medan ramlagen ska tillämpas på den behandling som har ett brottsbekämpande syfte (jfr 3 § utlänningsdatalagen [2016:27] och Utlänningsdatalag, prop. 2015/16:65, s. 108). Det innebär att det är fråga om två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk. Hur gränsen ska dras diskuteras i avsnitt 8.2.10.
7.1.6 Helt eller delvis automatiserad behandling
Utredningens förslag: Ramlagen ska gälla för sådan behandling
av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Skälen för utredningens förslag: En fråga är vilka slags behand-
lingar som ska omfattas av tillämpningsområdet. Enligt artikel 2.2 är direktivet tillämpligt på sådan behandling av personuppgifter som helt eller delvis företas på automatiserad väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses enligt artikel 3.6 en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Tillämpningsområdet är detsamma enligt det nu gällande dataskyddsdirektivet och dataskyddsförordningen.
Som anges i avsnitt 6.2 ville man komma bort från registerbegreppet redan när personuppgiftslagen infördes. Personuppgiftslagen gäller därför enligt 5 § för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen i personuppgiftslagen har varit utgångspunkt vid utform-
Ramlagens tillämpningsområde SOU 2017:29
174
ningen av tillämpningsområdet för myndigheternas registerförfattningar. Mot den bakgrunden bör tillämpningsområdet för ramlagen anges på samma sätt. Det innebär ingen skillnad i sak i förhållande till direktivet. Att formuleringen skiljer sig något från hur tillämpningsområdet uttrycks i dataskyddsförordningen saknar enligt utredningens mening betydelse.
7.2 Undantag från tillämpningsområdet
7.2.1 Personuppgiftsbehandling som rör nationell säkerhet
Utredningens förslag: Ramlagen ska inte gälla vid Säkerhets-
polisens behandling av personuppgifter som rör nationell säkerhet. Undantaget ska också gälla i de fall där Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
Skälen för utredningens förslag
Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet undantas
Enligt artikel 2.3 a ska direktivet inte tillämpas på personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Av skäl 14 framgår att verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av personuppgifter inom verksamhet som avser den gemensamma utrikes- och säkerhetspolitiken inte omfattas av direktivets tillämpningsområde.
Det nu gällande dataskyddsdirektivet gäller inte för sådan personuppgiftsbehandling som inte omfattades av EG-rätten när direktivet antogs, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör statens säkerhet eller försvar. I förarbetena till personuppgiftslagen framhöll regeringen att om viss offentlig verksamhet generellt skulle undantas från lagen fanns det risk för att viss behandling inom den sektorn inte skulle omfattas av någon lagstiftning med motsvarande syfte som den nya lagen.
SOU 2017:29 Ramlagens tillämpningsområde
175
Personuppgiftslagen gjordes därför generellt tillämplig och omfattar även sådan verksamhet som då föll utanför EG-rätten. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, garanteras att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning (se prop. 1997/98:44 s. 41).
Undantaget i det nya dataskyddsdirektivet är utformat så att det utesluter viss verksamhet, inte vissa typer av myndigheter eller organisationer. Säkerhetspolisens verksamhet ligger i allt väsentligt utanför direktivets tillämpningsområde. Till Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott och att utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör till nationell säkerhet. Säkerhetspolisen har även andra uppgifter som hör till nationell säkerhet eller har ett mycket nära samband med sådan verksamhet. Av samma skäl som det inte bör anges i ramlagen vilka myndigheter som ska tillämpa den bör inte Säkerhetspolisens personuppgiftsbehandling generellt undantas från ramlagens tillämpningsområde. Redan i dag har myndigheten vissa uppgifter som omfattas av direktivets tillämpningsområde och det kan inte uteslutas att myndigheten i framtiden får nya sådana uppgifter. Undantaget bör därför utformas så att det endast träffar de delar av Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet.
I förarbetena till 2013 års lag diskuterades ingående hur motsvarande undantag i dataskyddsrambeslutet skulle formuleras och där stannade regeringen för att begreppet nationell säkerhet borde användas (prop. 2012/13:73 s. 69 f.). I 19 kap. brottsbalken används numera begreppet Sveriges säkerhet i stället för det äldre rikets säkerhet. När begreppet byttes ut konstaterade regeringen att innebörden av vad som betraktas som rikets säkerhet förändrats och fått ett vidare tillämpningsområde (Förstärkt skydd mot främmande makts underrättelseverksamhet, prop. 2013/14:51, s. 20). I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) används också begreppet Sveriges säkerhet. Betänkandet har remissbehandlats och bereds i Regeringskansliet (Justitiedepartementet).
Ramlagens tillämpningsområde SOU 2017:29
176
Eftersom undantagen från tillämpningsområdet både i direktivet och dataskyddsförordningen utgår från begreppet nationell säkerhet anser utredningen att det uttrycket bör användas i ramlagen.
Det sagda innebär dock inte att Säkerhetspolisens personuppgiftsbehandling bör lämnas oreglerad inom området nationell säkerhet. På samma sätt som Säkerhetspolisen i dag tillämpar polisdatalagen och vissa bestämmelser i personuppgiftslagen i verksamhet som rör nationell säkerhet bör myndigheten i framtiden tilllämpa vissa bestämmelser i ramlagen. Vilka bestämmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör regleras kommer utredningen att behandla i slutbetänkandet.
Det finns även andra myndigheter som i viss omfattning hanterar personuppgifter rörande nationell säkerhet. Det gäller bl.a. åklagare och allmänna domstolar när de behandlar personuppgifter i mål och ärenden som rör brott mot Sveriges säkerhet, som är den benämning som används bl.a. i brottsbalken i stället för nationell säkerhet. Det kan inte uteslutas att även andra myndigheter i viss utsträckning hanterar sådana personuppgifter.
De överväganden som gjordes när personuppgiftslagen infördes gör sig fortfarande gällande. Nationell säkerhet bör därför inte undantas generellt från den nya lagens tillämpningsområde. Det är en mycket liten del av åklagares och de allmänna domstolarnas verksamhet som rör nationell säkerhet. Det saknas skäl att undanta den mycket begränsade personuppgiftsbehandling som utförs av åklagare eller i domstolar på det området från ramlagens tillämpningsområde. De bör därför på samma sätt som i dag tillämpa samma regler som gäller för behandling av personuppgifter i verksamheten i övrigt vid utredning eller handläggning av brottmål och därtill anknutna ärenden enligt rättegångsbalken som rör Sveriges säkerhet. Detsamma bör gälla om någon annan myndighet undantagsvis skulle hantera sådana personuppgifter, exempelvis om Kriminalvården skulle ha tillgång till någon personuppgift som rör nationell säkerhet vid verkställighet av straff.
SOU 2017:29 Ramlagens tillämpningsområde
177
Ramlagen ska tillämpas i vissa fall
Även om merparten av Säkerhetspolisens personuppgiftsbehandling undantas från ramlagens tillämpningsområde, finns det viss behandling i myndighetens operativa verksamhet som bör omfattas av ramlagen eftersom den inte rör nationell säkerhet.
Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådan hjälp omfattas personuppgiftsbehandlingen av ramlagens tillämpningsområde om den avser brottsbekämpning, lagföring eller verksamhet för att upprätthålla allmän ordning och säkerhet. Säkerhetspolisen bör följaktligen tillämpa ramlagen när den bistår Polismyndigheten i sådan verksamhet. Detsamma gäller om Säkerhetspolisen bistår andra myndigheter i deras brottsbekämpning, t.ex. vid verkställighet av hemliga tvångsmedel. Som exempel kan nämnas att Säkerhetspolisen bistår Polismyndigheten vid verkställighet av hemlig rumsavlyssning.
Enligt 30 § förordningen (2014:1102) med instruktion för Polismyndigheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbekämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (se En ny organisation för polisen, prop. 2013/14:110, s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av ramlagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.
Polismyndighetens biträde till Säkerhetspolisen
En särskild fråga är vad som ska gälla för Polismyndigheten när den övertar uppgifter från Säkerhetspolisen eller biträder den på något annat sätt.
Ramlagens tillämpningsområde SOU 2017:29
178
Enligt 28 § instruktionen för Polismyndigheten ska myndigheten bistå vid polisverksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Polismyndigheten ska vidare, i den utsträckning som myndigheterna kommer överens om, lämna tekniskt biträde och annan hjälp till Säkerhetspolisen. Bestämmelsen är en spegling av 13 § instruktionen för Säkerhetspolisen.
Enligt 15 § instruktionen för Säkerhetspolisen får biträdande säkerhetspolischefen i samråd med chefen för Nationella operativa avdelningen, trots den ansvarsfördelning som annars gäller mellan myndigheterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska lämnas över till Polismyndigheten för fortsatt handläggning. Bestämmelsen motsvarar 30 § instruktionen för Polismyndigheten.
Eftersom det när Säkerhetspolisen begär biträde av Polismyndigheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § instruktionen för Säkerhetspolisen i de flesta fall är fråga om en arbetsuppgift som ligger utanför direktivets tillämpningsområde, bör Polismyndigheten inte tillämpa ramlagen i vidare mån än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där.
Det som nu har sagts bör även gälla för Försvarsmakten i fall där Säkerhetspolisen begär stöd enligt lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning.
7.2.2 Den gemensamma utrikes- och säkerhetspolitiken
Enligt skäl 14 undantas medlemsstaternas behandling av personuppgifter i verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken från direktivets tillämpningsområde. Utredningen kan inte se att någon av de som är behöriga myndigheter i ramlagens mening bedriver verksamhet inom detta område. Det finns därför inget behov av att från ramlagens tillämpningsområde undanta någon myndighet eller verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.
SOU 2017:29 Ramlagens tillämpningsområde
179
7.3 Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten
Utredningens bedömning: Behandling av personuppgifter på
tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar behöver inte regleras.
Skälen för utredningens bedömning: I skäl 16 framhålls att
direktivet inte påverkar tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar.
I dataskyddsförordningen finns bestämmelser som ger utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för personuppgifter och, å andra sidan, yttrande- och informationsfriheten och offentlighetsprincipen. Enligt artikel 85.1 i förordningen ska medlemsstaternas nationella lagstiftning förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Den ska omfatta personuppgiftsbehandling för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 i förordningen föreskriva om undantag eller avvikelser från stora delar av förordningens bestämmelser om det behövs för att förena rätten till integritet med yttrande- eller informationsfriheten.
Enligt artikel 86 i förordningen får personuppgifter i allmänna handlingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.
I direktiven till Dataskyddsutredningen konstaterar regeringen att det i dag är tydligare än i det nu gällande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dataskyddsutredningen har i uppdrag att analysera hur bestämmelser som balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten utanför grundlagarnas tillämpningsområde bör utformas (se dir. 2016:15 s. 22).
Enligt artikel 9.1 i direktivet ska dataskyddsförordningen tilllämpas vid behandling för ändamål som ligger utanför direktivets
Ramlagens tillämpningsområde SOU 2017:29
180
tillämpningsområde. Hur den artikeln ska genomföras behandlas i avsnitt 9.6. Någon reglering för att tydliggöra att förordningen ska tillämpas när det gäller yttrande- och informationsfriheten och offentlighetsprincipen behövs enligt utredningens mening inte.
Enligt 23 kap. 14 § andra stycket rättegångsbalken får en undersökningsledare hos rätten begära ett förordnande om att en allmän handling som kan antas ha betydelse som bevis ska tillhandahållas. I 38 kap. 8 § rättegångsbalken finns en motsvarande bestämmelse som är generell och som kan åberopas exempelvis av en målsägande. En myndighet, eller någon annan aktör som omfattas av reglerna om allmänna handlingar, kan alltså med stöd av någon av dessa regler åläggas att lämna ut en allmän handling till en förundersökning eller brottmålsrättegång. Det gäller dock inte en handling för vilken sekretess gäller enligt 15 kap. 1 eller 2 § offentlighets- och sekretesslagen (2009:400), som reglerar utrikessekretess respektive försvarssekretess, eller 16 kap. 1 § samma lag som reglerar statsfinanssekretess. Det gäller inte heller en handling vars innehåll är sådant att någon som haft befattning med handlingen inte får höras som vittne om dess innehåll. Likaså undantas handlingar som kan avslöja yrkeshemligheter, om det inte finns synnerlig anledning.
Oavsett vad Dataskyddsutredningen kommer fram till när det gäller behandling av personuppgifter på tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar kan det inte antas påverka tillämpningen av 23 kap. 14 § och 38 kap. 8 §rättegångsbalken.
181
8 Gränsdragningsfrågor som rör tillämpningsområdet
8.1 Några allmänna principer för gränsdragningen
Det är en fråga för rättstillämpningen att avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall. Som utredningen konstaterar i avsnitt 7.1 har det avgörande betydelse för tillämpningen om den som behandlar uppgiften är en behörig myndighet och i vilket syfte en personuppgift behandlas.
Det ingår inte i utredningens uppdrag att göra en jämförelse mellan reglerna i direktivet och dataskyddsförordningen och inte heller att analysera konsekvenserna av att det ena eller andra regelverket tillämpas. Utredningen anser emellertid att det är nödvändigt att ge tillämparna viss ledning för hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig. Det är också viktigt att ge de behöriga myndigheterna förutsättningar att kunna utveckla en gemensam syn på olika tillämpningsfrågor. Det gäller särskilt myndigheterna i rättskedjan. Mot den bakgrunden redovisar utredningen i det följande vissa allmänna principer som kan vara vägledande. Principerna utvecklas sedan genom exempel från olika verksamheter inom ramlagens tillämpningsområde. Det bör understrykas att det inte är någon uttömmande genomgång av vad som kan göra ramlagen tillämplig.
Om någon annan än en behörig myndighet behandlar personuppgifter är ramlagen inte tillämplig
Ett grundläggande krav för att ramlagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet i lagens mening och att behandlingen görs för något av de syften
Gränsdragningsfrågor SOU 2017:29
182
som anges där. Som framgår av avsnitt 7.1.4 pekas det inte ut vilka myndigheter som är behöriga. Det är enligt den föreslagna definitionen de myndigheter som fullgör arbetsuppgifter inom ramlagens tillämpningsområde och andra aktörer som utövar myndighet i samma syften som är behöriga. Är den som behandlar personuppgifterna inte en behörig myndighet gäller inte ramlagen för personuppgiftsbehandlingen.
Många myndigheter och andra aktörer är skyldiga att anmäla om det uppstått misstanke om brott. En sådan skyldighet medför inte att anmälaren ska betraktas som behörig myndighet i ramlagens mening, om anmälaren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som ramlagen omfattar.
Det förhållandet att någon som har fått tillstånd att sätta upp en övervakningskamera t.ex. i en bank eller butikslokal i syfte att förebygga, avslöja eller utreda brott innebär inte heller att behandlingen av de personuppgifter som erhålls genom övervakningen görs av en behörig myndighet i ramlagens mening. Företaget eller personen i fråga ägnar sig nämligen inte åt myndighetsutövning.
Varken typen av personuppgiftsbehandling eller personuppgiftens karaktär är avgörande för om ramlagen ska tillämpas
Det är, som tidigare nämnts, syftet med behandlingen av personuppgifter i det enskilda fallet som är en grundläggande förutsättning för att behandling av personuppgifter över huvud taget omfattas av ramlagens tillämpningsområde. Genom att syftet styr när det gäller personuppgiftsbehandling som omfattas av unionsrätten, kan en behörig myndighets behandling av samma personuppgift antingen styras av ramlagens eller dataskyddsförordningens regler. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas.
Myndighetsutövning som har överlåtits till andra än myndigheter
I viss lagstiftning överlåts myndighetsutövning inom ramlagens tillämpningsområde till andra aktörer. Är det fråga om myndighetsutövning för ett sådant syfte som anges i ramlagen ska ram-
SOU 2017:29 Gränsdragningsfrågor
183
lagen tillämpas på behandlingen av personuppgifter, t.ex. när föremål tas i beslag för att säkra utredningen av ett brott eller framtida förverkande. Den som har rätt att vidta sådana åtgärder anses nämligen vara en behörig myndighet i ramlagens mening. Det gäller t.ex. om en tjänsteman i Havs- och vattenmyndigheten tar egendom i beslag för ett misstänkt fiskebrott eller om en annan aktör handhar verkställighet av en straffrättslig påföljd.
Ramlagen ska tillämpas i viss verksamhet för att stödja en behörig myndighet
Myndigheterna i rättskedjan behöver ibland stöd från myndigheter med annan kompetens. Sådan stödverksamhet kan avse t.ex. forensisk, medicinsk eller psykiatrisk kompetens. Stödet kan också avse särskilda resurser. Den som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör vid utförandet av sådana arbetsuppgifter anses som behörig myndighet och tillämpa ramlagen.
Annat stöd som inte är författningsreglerat och som lämnas till en behörig myndighet av en myndighet eller annan aktör som inte själv är behörig myndighet i ramlagens mening, ligger däremot utanför ramlagens tillämpningsområde, t.ex. stöd från myndigheter som deltar i olika insatser för att förebygga brott eller att samverka mot brott och oordning. Ett exempel är när när en statlig myndighet som t.ex. Pensionsverket bistår åklagare i en förundersökningr om ekonomisk brottslighet.
När de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska ramlagen tillämpas
I ett brottmål får i viss utsträckning talan föras om annat än ansvar för brott. När de processuella reglerna om talan om ansvar för brott tillämpas på en talan som rör något annat, som t.ex. enskilda anspråk, rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreglerna ansetts väga över andra intressen. Då bör enligt utredningens mening sidofrågan anses vara så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen.
Gränsdragningsfrågor SOU 2017:29
184
Ramlagen bör också tillämpas vid bevistalan mot någon under 15 år.
Om sambandet med ansvarsfrågan upphör, bör ramlagen inte tillämpas på den fortsatta handläggningen. Enskilda anspråk som överklagas enbart av enskild part är exempel på det.
Ramlagen ska inte tillämpas av den som får tillgång till ett visst register eller en viss typ av uppgifter
Den omständigheten att någon som inte har brottsbekämpande, lagförande, straffverkställande eller ordningshållande uppdrag ges tillgång till ett register som förs av en myndighet med ett sådant uppdrag innebär inte att den förra ska betraktas som behörig myndighet. Det gäller även den som på annat sätt får del av uppgifter om lagöverträdelser. Den som får tillgång till domar eller till vissa uppgifter ur t.ex. belastningsregistret eller registret över tillträdesförbud blir alltså inte en behörig myndighet av det skälet. För att ramlagen ska vara tillämplig krävs att uppgifterna i fråga behandlas av en behörig myndighet för något av de syften som ramlagen anger.
Kontrollverksamhet och allmän övervakning ligger utanför ramlagens tillämpningsområde
Flera av de myndigheter som har till uppgift att bekämpa brott bedriver också i större eller mindre utsträckning kontrollverksamhet. Det gäller både polisen, Tullverket, Kustbevakningen och Skatteverket. Det kan gälla exempelvis gränskontroll, tullkontroll, utlänningskontroll eller skattekontroll. Sådan kontrollverksamhet ligger utanför ramlagens tillämpningsområde även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter.
Förutom författningsreglerad kontrollverksamhet bedriver vissa brottsbekämpande myndigheter också allmän övervakning. Den allmänna övervakningen är oreglerad och har inte så konkret utformning eller tydligt brottsbekämpande syfte att behandlingen av personuppgifter kan hänföras under ramlagen.
SOU 2017:29 Gränsdragningsfrågor
185
Ramlagen ska inte tillämpas när syftet med behandlingen inte längre är brottsbekämpning eller något annat som regleras i lagen
Personuppgifter som från början behandlas för något av de syften som är en förutsättning för att ramlagen ska vara tillämplig kan med tiden visa sig sakna betydelse för dessa syften. Som exempel kan nämnas att Tullverket tar en viss mängd vitt pulver i beslag i tron att det är fråga om narkotika men att det senare visar sig vara något som inte är straffbart att inneha. Utöver den behandling av personuppgifter som är nödvändig för att avsluta ärendet och arkivera det får uppgifterna inte längre behandlas i den brottsbekämpande verksamheten. Ramlagen är då inte längre tillämplig. Att ett enskilt anspråk som ursprungligen har behandlats tillsammans med frågan om ansvar för brottet avskiljs för handläggning i den för tvistemål föreskrivna ordningen är ett annat exempel på när ramlagen inte längre ska tillämpas.
8.2 Gränsdragningsfrågor som rör brottsbekämpning
8.2.1 Anmälan om brott
Ska de som har anmälningsskyldighet tillämpa ramlagen?
Vissa myndigheter och andra aktörer som inte arbetar med brottsbekämpning har en författningsreglerad skyldighet att anmäla brott. Många tillsynsmyndigheter är t.ex. skyldiga att anmäla brott som de upptäcker vid sin tillsyn. Som exempel kan nämnas att tillsynsmyndigheter på miljöområdet enligt 26 kap. 2 § miljöbalken ska anmäla överträdelser av bestämmelser i balken eller föreskrifter som har meddelats med stöd av balken. Inspektionen för vård och omsorg ska enligt 7 kap. 29 § patientsäkerhetslagen (2010:659) göra en åtalsanmälan om hälso- och sjukvårdspersonal skäligen kan misstänkas för brott i yrkesutövningen. Om Säkerhets- och integritetsskyddsnämnden i sin verksamhet uppmärksammar förhållanden som kan utgöra brott, ska nämnden anmäla det till Åklagarmyndigheten eller en annan behörig myndighet enligt 20 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.
Även andra aktörer än tillsynsmyndigheter kan ha anmälningsskyldighet. Som exempel kan nämnas att Försäkringskassan, Pen-
Gränsdragningsfrågor SOU 2017:29
186
sionsmyndigheten, Centrala studiestödsnämnden, Migrationsverket, Arbetsförmedlingen och kommuner och arbetslöshetskassor enligt 6 § bidragsbrottslagen (2007:612) ska anmäla misstanke om brott mot lagen. Vidare ska enligt 17 § skattebrottslagen (1971:69) förvaltningsmyndigheter som handlägger frågor om skatter eller avgifter anmäla misstanke om brott mot den lagen. I egenskap av konkursförvaltare är en advokat skyldig att anmäla brott enligt 7 kap. 16 § konkurslagen (1987:672).
Den behandling av personuppgifter som utförs i samband med att en myndighet eller någon annan aktör anmäler brott har till syfte att gärningen ska kunna utredas och lagföras. En brottsanmälan är dock inte ett beslut eller en faktisk åtgärd som direkt får rättsverkningar för enskilda och den kan därför inte i sig anses innefatta myndighetsutövning. Den ska emellertid föranleda ett agerande hos den myndighet som mottar anmälan. Därigenom kan en anmälan indirekt få rättsliga konsekvenser för en enskild.
Om de myndigheter och andra aktörer som har anmälningsskyldighet varken har ett brottsbekämpande uppdrag eller annars har anförtrotts myndighetsutövning på det området är de inte behöriga myndigheter i ramlagens mening. De ska därför inte tilllämpa ramlagen.
Brott som upptäcks inom annan verksamhet hos en behörig myndighet
En praktiskt viktig fråga är hur man ska se på de situationer där det uppstår misstanke om brott i en behörig myndighet inom ramen för kontrollverksamhet eller annan verksamhet utanför ramlagens tillämpningsområde. Som utvecklas närmare i avsnitt 8.2.10 är kontrollverksamhet inte en del av brottsbekämpningen i ramlagens mening. I exempelvis Tullverkets och Kustbevakningens kontrollverksamhet kan det uppkomma misstanke om många olika typer av brott. På motsvarande sätt kan det vid Polismyndighetens utlänningskontroll t.ex. uppkomma misstanke om människohandel eller brukande av falska handlingar och i Skatteverkets beskattningsverksamhet misstanke om skattebrott eller annan ekonomisk brottslighet. I ett sådant fall upprättas en brottsanmälan som överlämnas till någon som är behörig att inleda förundersökning och utreda brottet. Det kan diskuteras om de anmälningar som görs i
SOU 2017:29 Gränsdragningsfrågor
187
sådan kontrollverksamhet bör jämställas med anmälningar som görs av en icke behörig myndighet som har anmälningsskyldighet. Det finns mycket som talar för det, inte minst det faktum att det är viktigt att hålla isär kontrollverksamhet och brottsbekämpande verksamhet. Även sekretessregleringen förutsätter att sådan skillnad görs i några av myndigheterna. Enligt utredningens mening finns det sakliga skäl för att upprätthålla den gränsdragningen.
8.2.2 Användning av straffprocessuella tvångsmedel
I vissa fall har myndigheter med tillsynsuppgifter getts möjlighet att säkra en eventuell brottsutredning genom att ta föremål i beslag.
Enligt 47 § fiskelagen (1993:787) har en fisketillsynsman rätt att ta fisk, redskap, fiskefartyg och vissa andra föremål i beslag om någon som begår brott mot lagen påträffas på bar gärning. Detsamma gäller befattningshavare hos Kustbevakningen, Havs- och vattenmyndigheten eller länsstyrelsen, i vars arbetsuppgifter det ingår att övervaka efterlevnaden av bestämmelser om fiske. Enligt 26 kap. 23 § miljöbalken får en naturvårdsvakt ta i beslag jakt- och fångstredskap, fortskaffningsmedel och andra föremål som kan antas ha betydelse för utredning av ett brott, om vakten ertappar någon på bar gärning som bryter mot vissa förbud eller föreskrifter meddelade med stöd av balken.
Att ta föremål i beslag innebär myndighetsutövning mot enskild och medför att tjänstemannen agerar som behörig myndighet. Den behandling av personuppgifter som kan förekomma i samband med att det beslagtagna överlämnas till Polismyndigheten eller till åklagare ligger därmed inom ramlagens tillämpningsområde.
Regeln i 27 kap. 4 § rättegångsbalken – som ger envar som med laga rätt griper någon rätt att temporärt ta föremål i beslag – medför däremot inte att ramlagen blir tillämplig förrän åtgärden har anmälts till en behörig myndighet. I dessa fall grundas nämligen rätten att använda tvångsmedel inte på att myndighetsutövning har överlåtits i ramlagens mening. En butikskontrollant som tar egendom i beslag med stöd av bestämmelsen ska därför inte tillämpa ramlagen.
Gränsdragningsfrågor SOU 2017:29
188
8.2.3 Utredning av brott som begåtts av någon under 15 år
Enligt 1 kap. 6 § brottsbalken får den som har begått brott innan han eller hon fyllt 15 år inte dömas till påföljd för brottet. I 31– 38 §§ lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare regleras möjligheten att utreda sådana brott. Brott av allvarligare slag ska som regel utredas enligt 31 §. Vid sådan utredning tillämpas till stor del reglerna om förundersökning.
En utredning enligt 31 § kan ha flera syften. Det vanligaste är att utredningen görs för att klarlägga vem som bär ansvar för brottet och om även personer över 15 år varit delaktiga i det eller för att efterforska gods som har åtkommits genom brottet eller som kan bli föremål för förverkande. Utredningen initieras i dessa fall av Polismyndigheten eller åklagare. Det finns också möjlighet att föra s.k. bevistalan om sådana brott. Bevistalan innebär att allmän domstol ska ta ställning till om den unge begått brottet. Vid bevistalan tillämpar domstolen reglerna om allmänt åtal och talan förs av åklagare. Eftersom utredningen i dessa fall görs i syfte att utreda brott, reglerna om förundersökning tillämpas och det för bevistalan gäller samma regler som för allmänt åtal, bör enligt utredningens mening ramlagen tillämpas på behandlingen av personuppgifter.
Det finns emellertid även möjlighet för socialnämnden att initiera en utredning enligt 31 § lagen med särskilda bestämmelser om unga lagöverträdare. Syftet med utredningen är då att ge underlag för att bedöma behovet av sociala insatser för den unge, t.ex. om det är fråga om brott som innebär att den unge äventyrar sin hälsa eller utveckling. Det syftet ligger utanför ramlagens tillämpningsområde. Det finns också en särskild bestämmelse om kroppsbesiktning i 36 b §, om den unge misstänks ha brukat narkotika före 15 års ålder. Syftet med undersökningen är enbart att ge underlag för bedömningen av behovet av sociala insatser för den unge. Trots att beslut om sådan undersökning ska fattas av åklagare är det fråga om ett syfte utanför ramlagens tillämpningsområde och lagen bör därför inte tillämpas på behandlingen av personuppgifter.
Personuppgifter om unga lagöverträdare som inte är straffmyndiga behandlas inte sällan i underrättelseverksamhet på grund av deras kontakter med straffmyndiga personer.
SOU 2017:29 Gränsdragningsfrågor
189
8.2.4 Stödverksamhet till den brottsbekämpande verksamheten
Rättsmedicinalverket
Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedicinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet. Verkets huvuduppgift är att inom de verksamhetsområdena avge sakkunnigutlåtanden till rättsväsendets myndigheter. Vidare utför Rättsmedicinalverket analyser på uppdrag av myndigheter inom rättsväsendet. Det rör sig om analyser av bl.a. blod och urin för att hitta eventuella spår av alkohol, narkotika, läkemedel och gifter som kan ha betydelse för förundersökning och åtal.
Enligt 2 § lagen (2005:225) om rättsintyg i anledning av brott ska läkare vid Rättsmedicinalverket eller läkare som har avtal med verket utfärda sådana intyg. Intygen används framför allt i utredningar om våldsbrott eller grova sexualbrott. Enligt 13 § lagen (1995:832) om obduktion m.m. får rättsmedicinska undersökningar av avlidna göras bl.a. om undersökningen kan antas vara av betydelse för utredningen av ett dödsfall som inträffat under sådana omständigheter att det skulle kunna vara fråga om ett brott. Straffrättsligt ansvar för uppsåtligt dödande förutsätter att det inte finns en naturlig dödsorsak.
När Rättsmedicinalverket utför rättsmedicinska obduktioner, gör analyser, utfärdar rättsintyg eller på annat sätt fullgör en författningsreglerad uppgift att stödja den brottsutredande verksamheten med expertkunskaper bör ramlagen tillämpas vid personuppgiftsbehandlingen. Det gäller även när sådana uppgifter fullgörs av personer som har kontrakterats av Rättsmedicinalverket.
Rättsmedicinalverkets verksamhet med läkarutlåtanden enligt 7 § lagen (1991:2041) om särskild personutredning, m.m. i brottmål och rättspsykiatriska undersökningar behandlas i avsnitt 8.3.5.
Nationellt forensiskt centrum
Nationellt forensiskt centrum vid Polismyndigheten har enligt 5 kap. 1 § första stycket 2 polisdatalagen (2010:361) till uppgift att utföra forensiska analyser, undersökningar eller jämförelser, för-
Gränsdragningsfrågor SOU 2017:29
190
utom åt den egna myndigheten, åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket och allmän domstol. Som exempel kan nämnas att det för att någon ska kunna dömas för narkotikabrott krävs att substansen har analyserats och befunnits tillhöra något av de narkotikaklassade preparaten. Vid behandlingen av personuppgifter med anledning av uppdrag åt någon av nämnda myndigheter bör ramlagen tillämpas. Detsamma bör gälla om uppdrag utförs åt Kriminalvården.
Om Nationellt forensiskt centrum anser att ett annat laboratorium har en undersökningsmetod som skulle kunna ge bättre resultat än en undersökning vid centrumet eller ser behov av att inhämta en second opinion beträffande en undersökning, bör ramlagen tilllämpas på eventuell personuppgiftsbehandling både när uppdraget ges och redovisas.
Nationellt forensiskt centrum utför också vissa uppdrag åt enskilda enligt förordningen (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet. Även om avsikten är att resultatet av uppdraget ska användas i en brottmålsprocess, t.ex. av den misstänkte, utförs sådana uppdrag inte åt en behörig myndighet. Vid behandling av personuppgifter i sådana uppdrag gäller därför inte ramlagen.
Polismyndighetens elimineringsdatabas
Utöver de dna-register som regleras i polisdatalagen för Polismyndigheten ytterligare ett register över dna-profiler med stöd av lagen (2014:400) om Polismyndighetens elimineringsdatabas. Elimineringsdatabasen innehåller dna-profiler från vissa angivna personkategorier som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa (se prop. 2013/14:110 s. 451 f.). Syftet med elimineringsdatabasen, som inte får användas för att utreda brott, är att stärka kvaliteten i den forensiska verksamheten med dna-analyser.
Både dna-profiler som inte kan hänföras till en identifierbar person och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken jämförs alltid med dna-profilerna i eliminerings-
SOU 2017:29 Gränsdragningsfrågor
191
databasen innan de läggs in i spårregistret respektive utredningsregistret eller dna-registret. Syftet med det är att säkerställa att en kontaminerad profil inte registreras. Behandling av dna-profiler i elimineringsdatabasen är därigenom en verksamhet som är oupplösligt förbunden med Polismyndighetens hantering av de övriga dna-registren. Behandling av personuppgifter i elimineringsdatabasen bör därför omfattas av ramlagens tillämpningsområde.
Försvarsmaktens stöd till polisen
Enligt 1 § lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning ska Försvarsmakten ge stöd till Polismyndigheten och Säkerhetspolisen vid terrorismbekämpning i form av insatser som kan innebära användning av våld eller tvång mot enskilda. Polismyndigheten eller Säkerhetspolisen får begära sådant stöd om det behövs för att förhindra eller på annat sätt ingripa mot en handling som kan utgöra brott enligt lagen (2003:148) om straff för terroristbrott och ingripandet kräver resurser som varken Polismyndigheten eller Säkerhetspolisen har tillgång till. Försvarsmaktens personal står under ledning av polispersonal och har i vissa avseenden polismans befogenheter. Lagen syftar till att ge stöd vid terrorismbekämpning. Behandling av personuppgifter i den verksamheten har därmed ett brottsbekämpande syfte och ligger under ramlagens tillämpningsområde. En särskild fråga är vad som ska gälla när Försvarsmakten lämnar stöd till Säkerhetspolisen, mot bakgrund av att dess verksamhet i huvudsak ligger utanför ramlagens tillämpningsområde. Den frågan behandlar utredningen i avsnitt 7.2.1.
8.2.5 Häktesverksamhet
Frihetsberövande för brottsbekämpning, lagföring och straffverkställighet
En av Kriminalvårdens huvuduppgifter är att bedriva häktesverksamhet. Vid behandling av personuppgifter avseende den som är anhållen eller häktad för brott ska ramlagen tillämpas. Ramlagen ska också tillämpas på den som är häktad efter dom i avvaktan på
Gränsdragningsfrågor SOU 2017:29
192
att domen får laga kraft, eftersom häktningen då syftar till att säkra verkställigheten av påföljd.
Vid fällande dom tillkommer en ny häktningsgrund, häktning för att hindra att den dömde undandrar sig verkställighet av beslut om utvisning på grund av brott. Sådan häktning kan endast bestå till dess att domen fått laga kraft. Häktning på den grunden syftar visserligen enbart till att verkställa utvisningen men enligt utredningens mening bör ramlagen ändå tillämpas vid personuppgiftsbehandlingen, eftersom utvisning är en särskild rättsverkan av brott som är direkt kopplad till påföljdsbestämningen.
Ramlagen bör även tillämpas på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b §brottsbalken och förvaras i häkte. I dessa fall syftar omhändertagandet till att säkra verkställigheten eller en omprövning av påföljden. Det är frågor som rör verkställighet av påföljd.
Detsamma bör gälla behandling av personuppgifter vid Polismyndighetens och Kriminalvårdens medverkan i internationella brottmålsärenden, t.ex. när Polismyndigheten enligt 4 kap. 33 § lagen (2000:562) om internationell rättslig hjälp i brottmål tar i förvar en frihetsberövad person som transporteras genom Sverige till en annan stat för förhör eller konfrontation.
Andra frihetsberövanden
Häkteslagen (2010:611) gäller enligt 1 kap. 3 §, om inte annat är föreskrivet, också för den som är intagen i en kriminalvårdsanstalt eller ett häkte för annat ändamål än verkställighet av påföljd för brott. Lagen tillämpas bl.a. på den som har omhändertagits efter beslut enligt 4 § lagen (1976:511) om omhändertagande av berusade personer m.m., 47 § lagen (1991:1128) om psykiatrisk tvångsvård och 27 § lagen (1991:1129) om rättspsykiatrisk vård. Lagen tillämpas också på en utlänning som hålls i förvar i en kriminalvårdsanstalt eller ett häkte med stöd av 8 § lagen (1991:572) om särskild utlänningskontroll eller 10 kap. 1 eller 2 § utlänningslagen (2005:716) och den som är häktad enligt konkurslagen. När Kriminalvården behandlar personuppgifter beträffande någon som har placerats i häkte för något annat ändamål än för anhållande, häktning eller verkställighet eller ändring av påföljd är ramlagen som
SOU 2017:29 Gränsdragningsfrågor
193
huvudregel inte tillämplig. Syftet med sådana frihetsberövanden är i allmänhet inte heller att upprätthålla allmän ordning och säkerhet. De kan syfta till att skydda den enskilde eller att säkerställa viss vård eller ett konkursförfarande. Placeringen kan också bero på att exempelvis Migrationsverket bedömt att personen utgör en fara för säkerheten i deras lokaler, vilket inte är detsamma som en fara för allmän säkerhet. Frihetsberövanden av sådana skäl kan inte göra ramlagen tillämplig. I vissa fall kan dock förvaringen i häkte bero på att personen i fråga anses vara en fara för den allmänna säkerheten. Det är därför nödvändigt att bedöma vilket regelverk som ska tilllämpas med utgångspunkt i syftet med behandlingen i det enskilda fallet.
Det som nu har sagts om den som förvaras i häkte gäller på motsvarande sätt i fråga om behandling av personuppgifter som rör den som förvaras i polisarrest i stället för häkte och på vilken 1 kap. 3 § häkteslagen är tillämplig.
8.2.6 Handräcknings- och transportverksamhet
Handräckningsverksamhet
Till Polismyndighetens huvuduppgifter hör enligt 2 § 5 polislagen (1984:387) att fullgöra den verksamhet som ankommer på myndigheten enligt särskilda bestämmelser. Det syftar bl.a. på Polismyndighetens skyldighet att bistå andra myndigheter med s.k. handräckning. Handräckningsbestämmelser syftar oftast till att bereda myndigheter tillgång till lokaler för inspektion och liknande ändamål, att omhänderta personer som avvikit från tvångsvård och återföra dem och att transportera personer som är föremål för administrativa frihetsberövanden. Av samma skäl som anges i avsnitt 8.2.5 syftar handräckning i allmänhet inte heller till att upprätthålla allmän ordning och säkerhet. Syftet är således som regel inte brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid handräckning ligger därmed i de allra flesta fall utanför ramlagens tilllämpningsområde (jfr prop. 2009/10:85 s. 119 f.).
Vid handräckning avseende personer som avvikit från häktning, straffverkställighet eller verkställighet av en vårdpåföljd har handräckningen dock ett så direkt samband med häktningen respektive
Gränsdragningsfrågor SOU 2017:29
194
verkställigheten att Polismyndigheten vid behandling av personuppgifter bör tillämpa ramlagen.
Transporter av frihetsberövade
Behandling av personuppgifter vid Kriminalvårdens transporter av frihetsberövade till och från förundersökningsåtgärder eller brottmålsrättegångar och transporter av häktade eller intagna mellan olika häkten eller kriminalvårdsanstalter ligger inom ramlagens tilllämpningsområde. Det gäller även vid transporter som utförs inom ramen för internationellt samarbete, t.ex. när någon transporteras genom Sverige till en annan stat för utlämning enligt 26 § lagen (1957:668) om utlämning för brott eller som ett led i rättslig hjälp i brottmål för förhör eller konfrontation enligt 4 kap. 33 § lagen om internationell rättslig hjälp i brottmål.
Kriminalvården utför emellertid även transporter av andra slag. Enligt 6 § förordningen (2007:1172) med instruktion för Kriminalvården får myndigheten bistå andra myndigheter med inrikes- och utrikestransporter av personer som är berövade friheten. Kriminalvården utför i betydande utsträckning transporter vid administrativa frihetsberövanden i form av tvångsvård och transporter av utlänningar med stöd av utlänningslagen (t.ex. transporter till Migrationsverkets förvar och inrikes- och utrikestransporter i samband med verkställighet av utvisnings- eller avvisningsbeslut). När Kriminalvården behandlar personuppgifter beträffande någon som är föremål för ett administrativt frihetsberövande ligger det som anges i avsnitt 8.2.5 som huvudregel utanför ramlagens tillämpningsområde men kan i undantagsfall omfattas.
Det som har sagts om Kriminalvårdens behandling av personuppgifter vid transporter är på motsvarande sätt tillämpligt när Polismyndigheten utför sådana transporter.
Verkställighet av utvisningbeslut
Enligt huvudregeln verkställer Migrationsverket beslut om avvisning eller utvisning enligt utlänningslagen (2005:716). Polismyndigheten verkställer myndighetens egna beslut om avvisning och domstols beslut om utvisning på grund av brott. Migrationsverket
SOU 2017:29 Gränsdragningsfrågor
195
får också lämna över verkställigheten av avvisnings- och utvisningsärenden till Polismyndigheten. Det gäller bl.a. om utlänningen håller sig undan.
Polismyndighetens verkställighet av beslut om utvisning kan, av skäl som utvecklas närmare i avsnitt 8.2.10, inte generellt ses som vare sig brottsbekämpande verksamhet eller verksamhet för att upprätthålla allmän ordning och säkerhet. Det går dock inte heller att säga att sådan verkställighet alltid ligger utanför tillämpningsområdet. Det krävs därför en bedömning av syftet med behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.
8.2.7 Samverkan mot organiserad brottslighet
Polismyndigheten och flera andra myndigheter både inom rättskedjan och utanför den samverkar på olika sätt mot organiserad brottslighet. Sådan samverkan aktualiserar två frågor. Den ena är om det är en sådan arbetsuppgift som gör de medverkande myndigheterna till behöriga myndigheter i ramlagens mening. Den andra är om uppgiftsskyldighet vid sådan samverkan innebär att en myndighet blir behörig myndighet i ramlagens mening.
Regeringen har gett Polismyndigheten i uppdrag att tillsammans med dels myndigheter med brottsbekämpande uppgifter, dels några andra myndigheter utveckla den myndighetsgemensamma satsningen mot organiserad brottslighet. Uppdraget ger inte någon av de sistnämnda myndigheterna några sådana arbetsuppgifter som är förutsättningen för att en myndighet ska vara behörig myndighet enligt ramlagen. Tvärtom förutsätts de samverkande myndigheterna verka inom ramen för sina ordinarie arbetsuppifter. De myndigheter utanför rättskedjan som deltar i samverkan blir därför inte genom uppdraget behöriga myndigheter i ramlagens mening.
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet syftar till att förbättra samverkan och möjliggöra ett ökat informationsutbyte mellan myndigheter. Lagen föreskriver att vissa av regeringen utpekade myndigheter, trots sekretess, ska lämna ut uppgifter som en annan myndighet behöver inom ramen för särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet
Gränsdragningsfrågor SOU 2017:29
196
som är av allvarlig eller omfattande karaktär och som bedrivs i organiserad form eller systematiskt av en grupp individer.
De myndigheter som regeringen pekar ut i förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet är – förutom vissa myndigheter i rättskedjan – Arbetsförmedlingen, Försäkringskassan, Kronofogdemyndigheten och Migrationsverket. Skyldigheten att samverka medför inte att de myndigheter som är uppgiftsskyldiga blir behöriga myndigheter enligt ramlagen. Det som har sagts i avsnitt 8.2.1 om att anmälningsskyldiga myndigheter och organ inte blir behöriga myndigheter på grund av den skyldigheten gäller därför även för de myndigheter utanför rättskedjan som tillämpar den nu aktuella lagen. På motsvarande sätt blir inte heller myndigheter och andra aktörer som utan att ha vare sig anmälningsskyldighet eller uppgiftsskyldighet samverkar med brottsbekämpande myndigheter behöriga myndigheter enbart på grund av samverkan.
8.2.8 Viss skyddslagstiftning
Säkerhetsskyddslagen (1996:627) gäller i verksamhet hos staten, kommunerna och landstingen, i aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande och för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I sådan verksamhet ska det finnas visst i lagen närmare preciserat säkerhetsskydd till skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd av sekretessbelagda uppgifter och skydd mot terrorism. Ramlagen ska inte tillämpas på personuppgiftsbehandling enligt säkerhetsskyddslagen, eftersom uppgifterna behandlas i syfte att skydda nationell säkerhet – vilket inte omfattas av ramlagens tillämpningsområde.
SOU 2017:29 Gränsdragningsfrågor
197
Hamnskydd och sjöfartsskydd
Reglerna om sjöfartsskydd syftar till att skydda sjöfartssektorn mot grova våldsbrott. För att förebygga brott som utgör en fara för säkerheten vid sjöfart, får enligt 13 § lagen (2004:487) om sjöfartsskydd den som uppehåller sig på ett fartyg eller i en hamnanläggning kroppsvisiteras. Väskor, fordon, gods och förvaringsställe på fartyget eller inom hamnanläggningen får också undersökas. Om någon vägrar att låta sig eller sin egendom undersökas, får han eller hon avvisas eller avlägsnas från fartyget eller hamnanläggningen. Hamnskyddet innebär enligt lagen (2006:1209) om hamnskydd ett i stort sett motsvarande skydd inom de hamnområden som ligger utanför hamnanläggningarna.
Syftet med lagstiftningen om både sjöfartsskydd och hamnskydd är att förebygga och förhindra allvarliga brott. Därmed bör ramlagen tillämpas vid personuppgiftsbehandlingen.
8.2.9 Omhändertagande och förstörande av alkohol och narkotika m.m.
I ett flertal lagar och förordningar finns det bestämmelser om omhändertagande och förstörande av alkohol och narkotika (se t.ex. 20 § lagen [1990:52] med särskilda bestämmelser om vård av unga och 4 kap. 8 § häkteslagen). Motsvarande regler finns i bl.a. 8 kap. 8 § fängelselagen (2010:610) och 8 § lagen om omhändertagande av berusade personer m.m. Att omhänderta eller förstöra den typen av föremål utgör myndighetsutövning mot enskild. Om åtgärderna vidtas vid ett frihetsberövande vid brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet bör ramlagen tillämpas på personuppgiftsbehandlingen, eftersom åtgärden utgör en del av säkerhetsarbetet vid verkställigheten av frihetsberövandet. När motsvarande åtgärder vidtas vid administrativa frihetsberövanden eller vård som inte utgör en påföljd ska däremot ramlagen inte tillämpas.
Gränsdragningsfrågor SOU 2017:29
198
8.2.10 Kontrollverksamhet eller brottsbekämpning?
Gränsen mellan kontrollverksamhet och brottsbekämpning
Några av de myndigheter som i viss verksamhet är behöriga myndigheter i ramlagens mening bedriver samtidigt i stor utsträckning kontrollverksamhet som är särskilt reglerad. Som exempel kan nämnas Polismyndigheten (gränskontroll och utlänningskontroll), Tullverket (gränskontroll och tullkontroll), Skatteverket (skatte- och avgiftskontroll) och Kustbevakningen (bl.a. gränskontroll på svenskt sjöterritorium och kontroll i svensk ekonomisk zon).
I kontrollverksamhet är det vanligt med regler som tvingar den kontrollerade att lämna korrekta och fullständiga uppgifter. Skyldighet att lämna över handlingar eller att bereda kontrollanten tillträde till exempelvis fordon och lokaler är också vanlig. Skyldigheterna kan vara sanktionerade på olika sätt. Den som är misstänkt för brott får däremot aldrig tvingas att bidra till utredning eller bevisning, eftersom han eller hon därmed riskerar att belasta sig själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen. Rätten att tiga innebär att ingen får tvingas att avslöja sin egen brottslighet (”selfincrimination”). Gränsen mellan kontrollverksamhet och brottsbekämpning är därför av stor betydelse, eftersom skyldigheten för den enskilde att medverka skiljer sig kraftigt åt beroende på om det är fråga om kontrollverksamhet eller brottsutredning.
Kontrollverksamhet ligger enligt utredningens mening utanför ramlagens tillämpningsområde, även om den utförs av tjänstemän som annars sysslar med brottsbekämpning. Det är också så den nuvarande regleringen av vissa myndigheters personuppgiftsbehandling är reglerad. Som exempel kan nämnas gränsdragningen i utlänningsdatalagen och de föreslagna nya lagarna för Tullverkets respektive Skatteverkets brottsbekämpande verksamhet.
Visserligen leder kontrollverksamhet, t.ex. skattekontroll eller tullkontroll, till att brott i inte ringa utsträckning upptäcks eller förhindras men det är inte syftet med verksamheten. Kontroll är i första hand till för att stödja författningsenlig tillämpning av lagstiftningen, oavsett vilket område det är fråga om, och att upptäcka olika avvikelser. Det skulle enligt utredningens uppfattning föra alldeles för långt att betrakta all offentligrättslig kontrollverksamhet som ett sätt att förebygga brott. Med det synsättet är det få
SOU 2017:29 Gränsdragningsfrågor
199
verksamheter som inte skulle ligga under ramlagens tillämpningsområde. Det går inte heller att hävda att sådan kontrollverksamhet som utförs av myndigheter som också har till uppgift att bekämpa brott skulle ligga under ramlagens tillämpningsområde. Då skulle den gräns som i dag dras mellan t.ex. Skatteverkets beskattningsverksamhet och den brottsbekämpande verksamheten eller Tullverkets motsvarande verksamheter inte kunna upprätthållas.
Det finns dock situationer där det kan vara svårt att skilja kontrolluppgifterna från brottsbekämpningen. En verksamhet som omfattar både kontroll och brottsbekämpning, t.ex. gränskontroll, kan gradvis övergå från kontroll till brottsmisstanke. Omvänt kan en brottsmisstanke visa sig vara ogrundad men ge underlag för kontrollåtgärder. Kontrollbehovet kan bestå även efter det att en brottsmisstanke uppkommit, t.ex. om det är fråga om ett brott som inte primärt ska utredas av den kontrollerande myndigheten. Vid en kontroll kan, när brottsmisstanke uppkommit, föremål tas i beslag och användas som bevismedel i en brottsutredning. Det finns inget formellt hinder mot att de iakttagelser som gjorts vid en kontroll och att de handlingar eller föremål som säkrats senare läggs till grund för en förundersökning. Det är emellertid viktigt att det görs klart för den kontrollerade om så blir fallet. Utgångspunkten bör enligt utredningens mening vara att det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande och ramlagen blir tillämplig.
Skattekontroll
En av Skatteverkets huvuduppgifter är att ansvara för frågor som gäller skatter och avgifter. Skatteverket utför skattekontroll bl.a. genom kontroll av deklarationer och genom skatterevisioner enligt skatteförfarandelagen (2011:1244). Skatteverket gör även kontrollbesök i vissa branscher där det finns krav på kassaregister och personalliggare. Skatteutredningar och brottsutredningar har olika syften och styrs av olika regelverk. Skatteverket skiljer organisatoriskt mellan beskattningsverksamheten och den brottsbekämpande verksamheten. Verket tillämpar redan i dag olika lagar om person-
Gränsdragningsfrågor SOU 2017:29
200
uppgiftsbehandling i beskattningsverksamheten och den brottsbekämpande verksamheten. Vid utredning och beslut om skattetillägg kan det dock uppstå gränsdragningsfrågor. Skattetillägg behandlas i avsnitt 8.3.3.
Tullkontroll
Tullverket ansvarar för att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor följs. Tullverket kontrollerar såväl yttre som inre gräns och har befogenhet att ingripa mot och utreda brott mot tullbestämmelser vid gränspassage. Tullverket har också till uppgift att fastställa och ta ut tullar, skatter och avgifter. Inom ramen för den verksamheten får Tullverkets tjänstemän utföra olika typer av kontroller. Tullverket tillämpar två olika regelverk vid personuppgiftsbehandling, ett för den brottsbekämpande verksamheten och ett för verksamheten effektiv handel.
Ibland kan det vara svårt att avgöra om en arbetsuppgift som Tullverket utför ligger inom eller utanför ramlagens tillämpningsområde. Ett skäl är att det ingår i Tullverkets uppdrag att beivra överträdelser av tullbestämmelser. Sådana överträdelser kan avse både administrativa tullbestämmelser och straffbestämmelser. Båda typerna av bestämmelser kan övervakas av samma tjänsteman. Åtgärderna kan dessutom sammanfalla i både tid och rum, t.ex. när någon stoppas för tullkontroll vid gränspassagen och ertappas med smuggelgods. Lagstiftningen skiljer inte heller alltid tydligt mellan verkets brottsbekämpande verksamhet och övriga verksamhet. Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Med det avses överträdelser av både tullbestämmelser och straffbestämmelser. Behandling av personuppgifter vid tillämpning av den lagen kan således i vissa fall ligga under ramlagens tillämpningsområde och i andra fall utanför.
Ett annat exempel på att det inte finns en helt tydlig gräns mellan kontrollverksamheten och brottsbekämpningen är tullagen (2016:253), som i allt väsentligt reglerar kontroll av administrativa tullbestämmelser. Enligt 4 kap. 18 § ska ett befordringsföretag an-
SOU 2017:29 Gränsdragningsfrågor
201
mäla till Tullverket om det i företagets verksamhet uppkommer misstanke om att en försändelse innehåller narkotika som kan tas i beslag enligt lagen (2000:1225) om straff för smuggling. I 4 kap. 22 § tullagen föreskrivs att en särskilt förordnad tjänsteman får besluta att en postförsändelse som kommer från tredjeland ska hållas kvar av postbefordringsföretaget, om det finns anledning att anta att försändelsen innehåller narkotika som kan tas i beslag enligt lagen om straff för smuggling. Då försändelserna normalt har en adressat innebär hanteringen också behandling av personuppgifter. Eftersom syftet är att försändelsen ska kunna tas i beslag ligger Tullverkets behandling av personuppgifter inom ramlagens tillämpningsområde. Detsamma gäller vid hantering av postförsändelser enligt 8 och 11 §§ lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.
I 4 kap.50–53 §§tullagen finns bestämmelser om kontroll av kontanta medel. Alla som reser in i eller ut ur EU och medför kontanta medel till ett värde av minst 10 000 euro ska anmäla beloppet till behörig myndighet. Syftet med bestämmelserna är att kontrollera att resande fullgör den anmälningsplikt som föreskrivs i artikel 3 i förordning (EG) nr 1889/2005 av den 26 oktober 2005 om kontroller av kontanta medel som förs in i eller ut ur gemenskapen. Den som bryter mot anmälningsskyldigheten döms för tullförseelse enligt 5 kap. 2 § tullagen. Den behandling av personuppgifter som krävs för kontrollen och för anmälan om överträdelse ligger utanför ramlagens tillämpningsområde. Vid sådan personuppgiftsbehandling som krävs för utredning av förseelsen, som är straffbelagd, ska däremot ramlagen tillämpas.
Gränskontroll och utlänningskontroll
Polismyndigheten har enligt 9 kap. 1 § utlänningslagen ansvar för kontroll av personer enligt kodexen om Schengengränserna. Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid sådan kontroll och Migrationsverket får efter överenskommelse hjälpa till vid kontrollen. Polismyndigheten ansvarar också för s.k. inre utlänningskontroll enligt 9 kap. 9 § utlänningslagen. Med det avses kontroll av om personer som redan befinner sig i Sverige har rätt att vistas här. Kustbevakningen ska medverka i så-
Gränsdragningsfrågor SOU 2017:29
202
dan kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. Vid utlänningskontroll kan brott upptäckas, t.ex. att någon vistas olovligt i landet eller använder en falsk handling. Då upprättas brottsanmälan (se avsnitt 8.2.1).
Gränskontroll kan ha olika syften. Frågor som rör migration, asyl, medborgarskap och liknande ligger utanför ramlagens tillämpningsområde. Samtidigt kan behandling av personuppgifter vid gränskontroll även ha betydelse för brottsbekämpningen, bl.a. av det skälet att vissa personer kan nekas inresa i landet på grund av att det finns risk att de kan komma att begå brott här (se 8 kap. 3 § första stycket 3 utlänningslagen). I sistnämnda fall ska ramlagen tillämpas.
Vid gränskontroll kan en tjänsteman samtidigt behandla samma personuppgift för två olika syften, varav det ena ligger inom ramlagens tillämpningsområde och det andra utanför. När en flygplatskontrollant kontrollerar en resandes pass eller annan resehandling vid inresa till Sverige innefattar det behandling av personuppgifter för flera syften samtidigt. Resehandlingen kontrolleras både med avseende på om personen i fråga har rätt att resa in till Sverige (innehav av giltigt pass eller annan resehandling, behov av visum etc.) och mot bl.a. SIS-registret som innehåller uppgifter om personer som är efterlysta för brott. Behandlingen av personuppgifter för den förstnämnda kontrollen görs för syften utanför ramlagens tilllämpningsområde, medan den sistnämnda ligger inom ramlagens tillämpningsområde. Någon motsvarande generell kontroll av uppgifter i SIS-registret förekommer inte vid inresa med annat färdmedel än flyg.
Det förhållandet att det vid viss gränskontroll också kontrolleras om personen är efterlyst innebär emellertid inte att gränskontroll generellt kan sägas vara brottsbekämpande eller vara ett led i upprätthållande av allmän ordning och säkerhet. Det är tvärtom för ett mycket litet antal personer både i den totala resandeströmmen över gränserna och vid den inre gränskontrollen som kontrollen också får betydelse från brottsbekämpningssynpunkt eller för att upprätthålla allmän ordning och säkerhet.
Mot den nu angivna bakgrunden anser utredningen att gränskontroll inte generellt kan hänföras till brottsbekämpning eller ordningshållning och därmed ligga under ramlagens tillämpningsområde. Det går dock inte heller att säga att den alltid ligger utan-
SOU 2017:29 Gränsdragningsfrågor
203
för tillämpningsområdet. Det krävs därför en bedömning av syftet med behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.
Utredningen kan ha anledning att återkomma till vissa gränsdragningsfrågor vid anpassningen av myndigheternas registerförfattningar.
8.2.11 Allmän övervakning eller brottsbekämpning?
Allmän övervakning
Det är framför allt Polismyndigheten och Kustbevakningen som ägnar sig åt något som ibland kallas allmän övervakning. Polismyndigheten gör det huvudsakligen på land och Kustbevakningen huvudsakligen till sjöss.
Allmän övervakning ska både vara trygghetsskapande och visa att samhällets representanter finns tillgängliga för allmänheten. För Polismyndighetens del anges övervakning som en av myndighetens huvuduppgifter i 2 § 2 polislagen. Allmän övervakning anses enligt förarbetena till polislagen omfatta stationstjänst, områdesövervakning, utryckningstjänst, speciell övervakning och objektövervakning men inte trafikövervakning. Allmän övervakning tar således sikte både på arbete inne på polisstationerna och ute bland allmänheten. Allmän övervakning inriktas främst på att genom närvaro uppnå största möjliga brottsförhindrande effekt. Det har inte ansetts möjligt att ge några närmare anvisningar för hur övervakning ska utföras och den medför inga särskilda befogenheter. Den syftar till att vaka över att allmän ordning och säkerhet inte störs genom brott eller angrepp på annat sätt och att myndigheten ska kunna ingripa när sådana störningar och angrepp ändå inträffar. Den allmänna övervakningen ska också skapa sådan beredskap att det är möjligt för Polismyndigheten att ingripa vid störningar eller när hjälp eller räddningsåtgärder är påkallade (Berggren m.fl. s. 40 f.). För trafikövervakning gäller i allt väsentligt detsamma. Trafikövervakning fokuserar på att trafiken ska flyta utan störningar, att trafikanternas beteenden inte ska avvika från vad som är tillåtet och att kunna ge stöd och hjälp om det inträffar olyckor.
Gränsdragningsfrågor SOU 2017:29
204
Kustbevakningens sjöövervakning är på motsvarande sätt allmänt inriktad och har samma grundläggande syften som Polismyndighetens.
Av skäl 26 framgår att de former av verksamhet som direktivet reglerar ska vara författningsreglerade. Regleringen av övervakning har inte så konkret utformning att den enligt utredningens mening kan hänföras till ramlagens tillämpningsområde (jfr skäl 33). Det ligger också i sakens natur att allmän övervakning sällan kräver behandling av personuppgifter. Det är först när sådan övervakning övergår i konkreta personkontroller, t.ex. när ett fordon stoppas för att föraren har betett sig på ett avvikande sätt, eller när en polisman eller annan tjänsteman med befogenheter att förhindra eller utreda konkreta brott eller ordningsstörningar ingriper, som personuppgifter behöver behandlas. Ramlagen blir då tillämplig.
Kameraövervakning
Kameraövervakningslagen (2013:460), som inte gäller vid hemlig kameraövervakning, reglerar inte bara sådan övervakning som utförs med fast monterade övervakningskameror, utan även behandlingen av det bild- och ljudmaterial som tagits upp vid sådan övervakning. Den gäller till övervägande del annat än brottsbekämpning men innehåller vissa regler för sådan verksamhet. Lagen är föremål för översyn (dir. 2015:125).
Det krävs enligt huvudregeln tillstånd för att en övervakningskamera ska få sättas upp så att den riktas mot en plats dit allmänheten har tillträde. Enligt 10 § 4 krävs inget tillstånd för Polismyndighetens automatiska hastighetsövervakning med övervakningskameror. Syftet med sådan övervakning är att kamerainspelningen ska avslöja den som bryter mot hastighetsbestämmelser. Vid behandling av personuppgifter i bildmaterialet ska därför ramlagen tillämpas.
Enligt 11 § första stycket 3 kameraövervakningslagen får Polismyndigheten eller Säkerhetspolisen bedriva kameraövervakning utan tillstånd under högst en månad, om det av särskild anledning finns risk för att allvarlig brottslighet som innebär fara för liv eller hälsa kommer att utövas på en viss plats eller för omfattande förstörelse av egendom och syftet med övervakningen är att förebygga
SOU 2017:29 Gränsdragningsfrågor
205
eller förhindra brott. Om ansökan om tillstånd görs inom månadsfristen, får övervakningen fortsätta till dess att frågan om tillstånd har prövats. I sådana fall tillämpas de vanliga reglerna om tillstånd till kameraövervakning. Vid behandling av personuppgifter från sådan kameraövervakning som nu avses är ramlagen tillämplig.
Vissa företag får sätta upp fast monterade kameror utan att det krävs tillstånd, om de anmäler kameraövervakningen till tillsynsmyndigheten. Sådana övervakningskameror får enligt 12 § finnas i en banklokal, hos ett kreditmarknadsföretag eller i ett postkontor. Kameror får också finnas omedelbart utanför in- och utgångar till sådana lokaler och vid uttagsautomater eller liknande anordningar. Enligt 13 § gäller motsvarande för kameraövervakning i en butikslokal. Enligt båda paragraferna ska det enda syftet med kameraövervakningen vara att förebygga, avslöja eller utreda brott. Enligt utredningens mening innebär rätten att ha kameror uppsatta för sådana ändamål inte att aktörerna i fråga kan anses vara behöriga myndigheter i ramlagens mening. I dessa fall har nämligen ingen myndighetsutövning överlåtits till dem. För deras behandling av personuppgifter gäller därför inte ramlagen.
Även andra företag, fastighetsägare eller personer kan ansöka om tillstånd till kameraövervakning av en viss byggnad eller plats under hänvisning till risken för brott. Det kan t.ex. gälla ett centrumföretag, en skola eller någon som bedriver verksamhet som underentreprenör till Migrationsverket. Det som har sagts om banker, kreditmarknadsföretag och postkontor om att ramlagen inte är tillämplig gäller även för nu aktuella företag m.fl.
Om en brottsbekämpande myndighet begär att få ta del av ett företags kamerainspelning eller tar den i beslag som ett led i en förundersökning är ramlagen däremot tillämplig på behandlingen av personuppgifter efter utlämnandet.
Gränsdragningsfrågor SOU 2017:29
206
8.3 Gränsdragningsfrågor som rör lagföring
8.3.1 Åklagaruppgifter
Allmänna åklagare
De allra flesta åklagaruppgifter ligger inom ramlagens tillämpningsområde. Det gäller både åklagares verksamhet som förundersökningsledare, deras beslut i åtalsfrågor och när de för talan i brottmålsfrågor inför domstol. Även vid åklagares handläggning av frågor som rör omvandling av straffrättsliga påföljder eller extraordinära rättsmedel ska ramlagen tillämpas. Gränsdragningsfrågor som rör särskild talan i brottmål behandlas i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och personutredning i brottmål i avsnitt 8.3.5. I avsnitt 8.2.3 diskuteras vad som bör gälla vid utredning av brott som har begåtts av någon som är under 15 år.
Åklagare handlägger emellertid vissa frågor som inte anses utgöra ett led i att förebygga eller förhindra brottslig verksamhet eller i att utreda eller beivra brott (se prop. 2014/15:63 s. 68 f.). Till dessa frågor hör bl.a. talan enligt 3 § lagen (1985:277) om vissa bulvanförhållanden om tvångsförsäljning av fast egendom som förvärvats eller behålls genom bulvanförhållande, talan om äktenskapsskillnad enligt 5 kap. 5 § äktenskapsbalken, talan enligt 20 kap.13, 15 och 16 §§utlänningslagen, beslut enligt 2 § lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål och talan om hävande av registrering enligt vissa immaterialrättsliga lagar. Åklagare företräder också staten i mål om vattenföroreningsavgift enligt 9 kap. 5 § lagen (1980:424) om åtgärder mot förorening från fartyg. De flesta av dessa arbetsuppgifter ligger utanför ramlagens tillämpningsområde. Vid talan om särskild rättsverkan av brott som förs inom ramen för ett brottmål med stöd av reglerna i 20 kap. utlänningslagen bör dock enligt utredningens mening, av de skäl som anges i avsnitt 8.3.3, ramlagen tillämpas.
Särskilda åklagare
Både Justitiekanslern (JK) och i någon mån Riksdagens ombudsmän (JO) har vissa åklagaruppgifter. JK är ensam åklagare i mål om tryckfrihetsbrott (9 kap. 2 § tryckfrihetsförordningen) och yttran-
SOU 2017:29 Gränsdragningsfrågor
207
defrihetsbrott (7 kap. 1 § yttrandefrihetsgrundlagen). Både JK och JO får som särskild åklagare väcka åtal mot befattningshavare som står under deras tillsyn och som har begått brottslig gärning genom att åsidosätta vad som åligger honom eller henne i tjänsten eller uppdraget (se 5 § lagen [1975:1339] om justitiekanslerns tillsyn och 6 § lagen [1986:765] med instruktion för Riksdagens ombudsmän). Vid behandling av personuppgifter när de utreder brott eller utför andra åklagaruppgifter bör JK och JO tillämpa ramlagen.
Även inom Tullverket finns det vissa befattningshavare som utför åklagaruppgifter (se 32 § lagen om straff för smuggling). Det som nu har sagts gäller även för dem.
Regeringen
Regeringen utövar alltjämt vissa åklagaruppgifter. Det gäller framför allt i internationella förhållanden. I vissa fall får åtal inte väckas utan förordnande av regeringen (se bl.a. 2 kap.5 och 7 a §§brottsbalken). Regeringen prövar också enligt 4 kap. 30 § lagen om internationell rättslig hjälp i brottmål bl.a. om en person som är frihetsberövad i Sverige ska överföras till ett tredjeland för förhör eller rättegång i den andra staten eller om en person som är frihetsberövad i en sådan stat ska överföras till Sverige i motsvarande fall. Regeringen prövar vidare frågor om överförande av lagföring enligt lagen (1976:19) om internationellt samarbete rörande lagföring för brott och frågor om utlämning för brott.
När regeringen meddelar sådana förvaltningsbeslut som ligger inom ramlagens tillämpningsområde bör regeringen tillämpa ramlagen vid behandling av personuppgifter.
8.3.2 Brottmålshantering i domstol
Vid de allmänna domstolarna kommer all behandling av personuppgifter vid hantering av brottmål där åklagare för talan att ligga inom ramlagens tillämpningsområde. Det inkluderar handläggning av t.ex. tvångsmedelsfrågor, frågor om målsägandebiträde eller särskild företrädare för barn och andra frågor som prövas av domstol under förundersökningen (se exempelvis 23 kap.13, 14 och 19 §§, 24 kap. 5 § och 26 kap. 2 §rättegångsbalken). Domstols handlägg-
Gränsdragningsfrågor SOU 2017:29
208
ning av hemliga tvångsmedel under förundersökning hanteras som ärenden enligt rättegångsbalken. Detsamma gäller ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott. Även då är ramlagen tillämplig.
På motsvarande sätt ska ramlagen tillämpas vid behandling av personuppgifter i allmän domstol vid handläggning av frågor som rör internationell rättslig hjälp i brottmål, utlämning, överlämnande enligt arresteringsorder, frysning och annat internationellt rättsligt samarbete i brottmål.
Gränsdragningsfrågor som rör särskild talan i brottmål behandlas i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och personutredning i brottmål i avsnitt 8.3.5.
Exempel på talan som ligger utanför ramlagens tillämpningsområde är talan enligt lagen (1976:206) om felparkeringsavgift, eftersom överträdelser av sådana parkeringsbestämmelser inte är straffbelagda, och talan om ersättning enligt lagen (1998:714) om ersättning vid frihetsberövanden och andra tvångsåtgärder, eftersom det är en civilrättslig talan.
8.3.3 Särskild talan i brottmål
Av 1 kap. 8 § brottsbalken framgår att ett brott – utöver påföljden – kan föranleda förverkande, företagsbot eller annan särskild rättsverkan och skyldighet att betala skadestånd. Normalt för åklagare sådan talan och ansvarar för den utredning som krävs. Vissa typer av talan kan dock ibland föras av enskild part eller av en annan företrädare för staten än åklagare. I vissa fall kan talan avskiljas för att föras i särskild ordning. Åklagare kan också i brottmål föra viss talan som inte är en följd av brottet.
Talan om enskilt anspråk
Talan om enskilt anspråk i anledning av brott får enligt 22 kap. 1 § rättegångsbalken föras i samband med åtal för brottet. Åklagare är enligt 22 kap. 2 § rättegångsbalken skyldiga att i samband med åtal förbereda och utföra målsägandes talan om enskilt anspråk på grund av brott. Målsäganden kan dock välja att själv eller genom ombud föra sådan talan. Enskilda anspråk får, trots att det är fråga
SOU 2017:29 Gränsdragningsfrågor
209
om en civilrättslig talan, kumuleras med talan om ansvar för brottet. Om anspråket handläggs tillsammans med åtalet tillämpas i allt väsentligt de processuella reglerna om handläggning av brottmål. När talan förs enligt de processuella regler som gäller för talan om ansvar för brott rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreglerna ansetts väga över andra intressen. Då är enligt utredningens mening talan om enskilt anspråk så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen. Det bör gälla även i de fall där enskild part för talan i brottmålet vid sidan av åklagaren.
Om talan däremot förs i ett särskilt mål, och rätten inte beslutar att behandla anspråket i samband med brottmålet, handläggs anspråket som ett tvistemål. Detsamma gäller om talan om enskilt anspråk från början har förts tillsammans med åtalet men därefter enligt 22 kap. 5 § rättegångsbalken har avskilts för särskild handläggning eller om målet har överklagats endast avseende det enskilda anspråket. I sådana fall är åklagaren inte längre behörig att föra målsägandens talan. Då ska ramlagen inte längre tillämpas vare sig av åklagaren eller domstolen.
Talan om särskild rättsverkan av brott
Förutsättningarna för särskild rättsverkan av brott utreds inom ramen för förundersökningen och talan förs i brottmålet av åklagaren. För talan om särskild rättsverkan gäller i allt väsentligt samma processuella regler som för brottmål men vissa särregler finns bl.a. i 36 kap. brottsbalken och i särskilda lagar om talan om förverkande. Vid utredning av och talan om särskild rättsverkan av brott bör ramlagen tillämpas, eftersom den frågan är integrerad i brottmålet och följer de processuella reglerna för handläggning av brottmål. Detsamma bör enligt utredningens mening gälla utredning av och talan enligt lagen (1974:1065) om visst stöldgods m.m., som har ett förverkandeliknande syfte.
Utvisning på grund av brott räknas också som särskild rättsverkan av brott. De materiella reglerna om utvisning finns i utlänningslagen. Utvisning på grund av brott beslutas enligt 8 a kap. 6 § av den domstol som handlägger brottmålet. När en domstol enligt
Gränsdragningsfrågor SOU 2017:29
210
34 kap. brottsbalken beslutar att ändra en påföljd som en utlänning har dömts till utöver utvisning, får enligt 8 a kap. 7 § utlänningslagen domstolen även meddela det beslut om utvisningen som förändringen av påföljd ger anledning till. Några särskilda processuella regler om handläggningen av utvisning på grund av brott finns inte. Ramlagen bör tillämpas vid sådan talan. Frågan om ramlagen ska tillämpas på den som är häktad för verkställighet av utvisning på grund av brott behandlas i avsnitt 8.2.5.
Talan om skattetillägg
Skattetillägg är en administrativ sanktion som kan riktas mot den som genom oriktig uppgift eller passivitet föranlett att skatt eller avgift inte påförts eller påförts med fel belopp. Nya regler om talan om skattetillägg har införts genom lagen (2015:632) om talan om skattetillägg i vissa fall.
I första hand är det Skatteverket som ska se till att skattetillägg beslutas och betalas. Om åklagare väcker åtal för brott enligt skattebrottslagen ska dock åklagaren, om förutsättningarna är uppfyllda, samtidigt föra talan om skattetillägg som rör samma handlande. Syftet är att undvika dubbelprövning, eftersom skattetillägg anses ha straffliknande karaktär. När åklagare för talan om skattetillägg i samband med åtal för brott mot skattebrottslagen görs utredningen om skattetillägg i form av förundersökning (4 och 5 §§ lagen om talan om skattetillägg i vissa fall). Under förundersökningen kan tjänstemän vid Skatteverkets skattebrottsenhet biträda åklagaren med utredning om såväl brottet som frågan om skattetilllägg. De materiella reglerna om skattetillägg i skatteförfarandelagen tillämpas även när talan förs i brottmålet (3 §), medan de processuella reglerna för brottmål tillämpas på talan. Skattetillägg får även beslutas av åklagare om han eller hon utfärdar strafföreläggande. Reglerna om rättegången i brottmål tillämpas i överinstans även om målet överklagas endast i fråga om skattetillägget, i motsats till vad som annars gäller (se Skattetillägg: Dubbelprövningsförbudet och andra rättssäkerhetsfrågor, prop. 2014/15:131, s. 179). Åklagaren behåller därmed sin behörighet att föra talan.
SOU 2017:29 Gränsdragningsfrågor
211
Om frågan om ansvar för skattebrott inte aktualiseras, vilket gäller det stora flertalet beslut om skattetillägg, prövas frågan om skattetillägg av Skatteverket (se prop. 2014/15:131 s. 74 f.).
Även om skattetillägg är en administrativ sanktion också då talan förs av åklagare är förfarandet så intimt förknippat med brottmålet att ramlagen enligt utredningens mening bör tillämpas vid behandlingen av personuppgifter hos Skatteverkets skattebrottsenhet, hos åklagare och i allmän domstol.
När frågan om skattetillägg handläggs i Skatteverkets beskattningsverksamhet har den däremot inte samband med brottmål. Därför bör enligt utredningens mening ramlagen inte tillämpas i de fallen, trots att skattetillägg anses ha en straffliknande funktion. Ramlagen är då inte heller tillämplig om allmän förvaltningsdomstol prövar frågan om skattetillägg.
Vid behandling av personuppgifter vid verkställighet av skattetillägg gäller inte ramlagen, eftersom det inte är fråga om en straffrättslig påföljd utan en administrativ sanktion. Det gäller oavsett vilken myndighet eller domstol som har beslutat om skattetillägget.
8.3.4 Talan om förbud i vissa fall
Allmänt om talan om förbud
Åklagare ansvarar för utredning, beslut och i förekommande fall talan vid domstol när det gäller vissa typer av förbud som har till syfte att förebygga och förhindra brott. För utredningen tillämpas i varierande utsträckning reglerna om förundersökning i brottmål. I vissa fall kan talan om sådana förbud föras tillsammans med talan om ansvar för brott, i andra fall förs talan separat.
Om någon bryter mot ett förbud av nu aktuellt slag och förfarandet är straffbart, gäller ramlagen för utredning, lagföring och verkställighet av straff på vanligt sätt.
Tillträdesförbud vid idrottsarrangemang, som främst har till syfte att hindra störningar av den allmänna ordningen, behandlas i avsnitt 8.5.2.
Gränsdragningsfrågor SOU 2017:29
212
Talan om kontaktförbud
Enligt 1 § lagen (1988:688) om kontaktförbud får sådant förbud meddelas om det på grund av särskilda omständigheter finns risk för att en person kommer att begå brott mot, förfölja eller på annat sätt allvarligt trakassera den som ska skyddas av förbudet. Vid bedömningen av risken ska det särskilt beaktas om den mot vilken förbudet avses gälla har begått brott mot någon persons liv, hälsa, frihet eller frid.
Åklagare ansvarar för den utredning som ska ligga till grund för beslut angående kontaktförbud och beslutar i fråga om sådana förbud. Reglerna om förundersökning i brottmål gäller i tillämpliga delar för utredningen. Den som har fått ett kontaktförbud och den som har ansökt om kontaktförbud men nekats det kan begära prövning i allmän domstol. Rätten kan då besluta om kontaktförbud. Talan om kontaktförbud kan även prövas tillsammans med åtal för brott enligt 22 § lagen om kontaktförbud. Då tillämpas reglerna om rättegången i brottmål. Lagen om kontaktförbud innehåller vissa processuella regler för handläggningen i domstol och i övrigt tillämpas lagen om domstolsärenden.
Ramlagen bör tillämpas vid behandling av personuppgifter i frågor som rör kontaktförbud enligt lagen om kontaktförbud. Det gäller även vid behandling av sådana uppgifter om den övervakades position vid elektronisk övervakning som avses i 26 och 27 §§.
Om däremot frågan väcks om ett kontaktförbud enligt 14 kap. 7 § äktenskapsbalken bör utfärdas, är det fråga om en civilrättslig talan och domstolens handläggning ligger då utanför ramlagens tilllämpningsområde. Skulle ett sådant kontaktförbud överträdas, tilllämpas dock lagen om kontaktförbud. Polismyndigheten, åklagare och domstol ska då hantera frågan om överträdelse som ett brottmål och tillämpa ramlagen.
Talan om rådgivningsförbud
Talan om rådgivningsförbud enligt lagen (1985:354) om förbud mot juridiskt eller ekonomiskt biträde i vissa fall förs av åklagare vid allmän domstol. Rådgivningsförbud får utfärdas när ett juridiskt eller ekonomiskt biträde har gjort sig skyldig till brott som inte är ringa. Utredningen görs i form av en förundersökning. För-
SOU 2017:29 Gränsdragningsfrågor
213
budet är konstruerat som en särskild rättsverkan av brott (propositionen om kontroll av rådgivare, m.m., prop. 1984/85:90, s. 25). Talan kan antingen föras inom ramen för ett mål där den som förbudet avses gälla är tilltalad för brott eller som en separat talan (prop. 1984/85:90 s. 39). För talan gäller det som är föreskrivet om mål om allmänt åtal, om det inte finns avvikande regler i lagen. Vid behandling av personuppgifter bör därmed ramlagen tillämpas.
Talan om näringsförbud
Den som grovt åsidosatt sina skyldigheter i näringsverksamhet och därvid gjort sig skyldig till brottslighet som inte är ringa, ska enligt 4 § lagen (2014:836) om näringsförbud meddelas näringsförbud om ett sådant förbud är påkallat från allmän synpunkt. Näringsförbud kan aktualiseras i fyra olika fall; på grund av brott, i samband med konkurs, på grund av underlåtenhet att betala skatt eller avgifter och på grund av överträdelse av konkurrensbestämmelser. Den som har meddelats näringsförbud får inte driva näringsverksamhet, faktiskt utöva ledningen av sådan verksamhet eller vara företrädare för vissa typer av juridiska personer.
Talan om näringsförbud förs i allmän domstol. Om inte annat är föreskrivet, gäller i fråga om utredningen och förfarandet i domstol det som är föreskrivet om mål som rör allmänt åtal. Talan om näringsförbud på grund av brott förs av åklagare enligt bestämmelserna om talan i brottmål.
Talan om näringsförbud i samband med konkurs eller på grund av underlåtenhet att betala skatt eller avgifter får föras av åklagare. Det görs normalt i samband med talan om ansvar för brott. Om så inte är fallet tillämpas lagen (1996:242) om domstolsärenden vid handläggningen.
Ramlagen bör tillämpas på sådan talan om näringsförbud som förs av åklagare. Det bör gälla oavsett om den förs i samband med åtal eller som en särskild talan. När talan förs i samband med åtal är frågan så intimt förknippad med brottmålet att ramlagen enligt utredningens mening bör tillämpas. I de fall där åklagare för särskild talan om näringsförbud hör det normalt samman med tidigare brottmål och därför bör av samma skäl ramlagen tillämpas även i de fallen.
Gränsdragningsfrågor SOU 2017:29
214
Om åklagaren avstår från att ansöka om näringsförbud, får i vissa fall Kronofogdemyndigheten ansöka om sådant förbud. Det är då som regel fråga om att någon har agerat grovt otillbörligt mot borgenärer eller på annat sätt åsidosatt sina skyldigheter i samband med konkurs eller underlåtit att betala skatter eller avgifter. Vid sådan talan bör ramlagen inte tillämpas, eftersom behandlingen av personuppgifter inte görs för något sådant syfte som anges i ramlagen. Kronofogdemyndigheten bör därför inte ses som en behörig myndighet i ramlagens mening vid talan om näringsförbud.
Talan om näringsförbud på grund av överträdelse av konkurrensbestämmelser förs av Konkurrensverket. Sådan talan ligger utanför ramlagens tillämpningsområde.
Kronofogdemyndigheten utövar tillsyn över att näringsförbud följs och Bolagsverket för register över näringsförbud och tillfälliga sådana förbud. Ramlagen ska inte tillämpas vid vare sig Kronofogdemyndighetens eller Bolagsverkets handläggning i nu aktuella avseenden.
8.3.5 Personutredning i brottmål
Kriminalvården
En av Kriminalvårdens huvuduppgifter är att enligt 1 § lagen om särskild personutredning i brottmål, m.m. genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan och att avge yttranden som belyser återfallsrisken. Domstolen beslutar att inhämta yttranden, men i vissa situationer får även åklagare besluta om det. Kriminalvården ska ombesörja den personutredning som behövs i det enskilda fallet och kan då även förordna en särskild personutredare. Om det behövs för personutredningen, och inte särskilda skäl talar mot det, har den som förordnats att göra personutredningen bl.a. rätt att ta del av material i förundersökningen. Både begäran om yttrande, yttranden och annan personutredning förutsätter normalt behandling av personuppgifter. Vid sådan behandling ska ramlagen tillämpas, eftersom personutredningen är ett led i lagföringen. Det bör även gälla i de fall där Kriminalvården anlitar någon utanför den egna organisationen för att genomföra personutredningen.
SOU 2017:29 Gränsdragningsfrågor
215
Rättsmedicinalverket och Socialstyrelsen
Om någon misstänks ha begått ett brott under inflytande av en allvarlig psykisk störning är påföljdsvalet begränsat (se 30 kap. 6 § brottsbalken). För att fastställa den misstänktes psykiska status krävs att personen har undersökts av psykiatrisk expertis. Rättsmedicinalverket ska bl.a. på uppdrag av domstol undersöka om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Undersökningarna används för att utfärda läkarintyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. och utlåtande enligt 7 § lagen (1991:1137) om rättspsykiatrisk undersökning. Sådana intyg och utlåtanden används av domstolarna vid val av påföljd. Vid personuppgiftsbehandling för dessa syften bör Rättsmedicinalverket tillämpa ramlagen. Det bör även gälla den utredning i form av läkarintyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. som görs av personer som är kontrakterade av Rättsmedicinalverket.
Det som nu har sagts bör också gälla vid Socialstyrelsens behandling av personuppgifter när styrelsen avger särskilda utlåtanden över rättspsykiatriska utlåtanden och andra intyg som är avsedda att bilda underlag för en domstols beslut om påföljd.
8.3.6 Behandling av uppgifter om lagöverträdelser
Myndigheter och andra aktörer som underrättas om domar och brottsbelastning
Mot bakgrund av att det i varierande utsträckning finns behov av att kunna behandla uppgifter om dömda och om brottmålsdomar i många olika verksamheter finns det detaljerade bestämmelser om i vilka fall allmänna domstolar ska skicka domar till myndigheter och andra. Bestämmelserna finns bl.a. i förordningen (1990:893) om underrättelse om dom i vissa brottmål, m.m. Förordningen reglerar även vissa underrättelser under rättegången. Det förhållandet att en dom eller ett beslut skickas till någon innebär visserligen att den som får domen eller beslutet kan komma att behandla personuppgifter om lagöverträdelser, men det medför inte att personuppgiftsbehandlingen ligger inom ramlagens tillämpningsområde. Behandlingen av personuppgifter görs oftast för andra syften än de
Gränsdragningsfrågor SOU 2017:29
216
som anges i ramlagen och de som behandlar uppgifterna har inte anförtrotts myndighetsutövning på ramlagens område. För sådan behandling gäller därmed inte ramlagen. Det gäller t.ex. Patent- och registreringsverkets skyldighet att föra register över förbud enligt lagen om förbud mot juridiskt eller ekonomiskt biträde i vissa fall.
Det nu sagda gäller dock inte om behandlingen av personuppgifter utgör ett led i brottsbekämpning, lagföring eller verkställighet av påföljd eller annan verksamhet som regleras i ramlagen och utförs av en behörig myndighet. Behandling av uppgifter i en dom som expedieras till Polismyndigheten för att den ska återlämna beslagtagen egendom eller sköta uppbörden av böter eller till Kriminalvården för att myndigheten ska verkställa påföljden är exempel på behandling inom ramlagens tillämpningsområde. Ett annat exempel är åklagarens personuppgiftsbehandling vid överväganden av om en dom ska överklagas.
Det finns ett utvecklat system i förordningen (1998:1134) om belastningsregister och förordningen (1998:1135) om misstankeregister för att skapa tillgång till uppgifter om brottmålsavgöranden och aktuella brottsmisstankar utanför rättsväsendet. Syftet är att tillgängliggöra sådana uppgifter i bl.a. anställningsärenden och tillståndsärenden, vid olika former av lämplighetsprövning och vid prövning av vissa andra frågor. Behandling av personuppgifter för sådana ändamål ligger utanför ramlagens tillämpningsområde. Det gäller både myndigheters och andra aktörers behandling av personuppgifter som härrör från utdrag ur belastningsregistret eller misstankeregistret. Det innebär att t.ex. Transportstyrelsens hantering av uppgifter om trafikbrott i vägtrafikregistret ligger utanför ramlagens tillämpningsområde.
Advokater och andra juridiska biträden
Advokater, målsägandebiträden och särskilda företrädare för barn hanterar i stor utsträckning personuppgifter om misstänkta, brottsoffer och andra som berörs av förundersökningar och brottmålsrättegångar och om personer som verkställer påföljder. Någon myndighetsutövning har emellertid inte överlåtits till dem och därmed är de inte behöriga myndigheter i ramlagens mening.
SOU 2017:29 Gränsdragningsfrågor
217
8.4 Gränsdragningsfrågor som rör verkställighet av påföljder
8.4.1 Verkställighet av fängelsestraff
Kriminalvården
En av Kriminalvårdens huvuduppgifter är att sköta verkställigheten av utdömda fängelsestraff. Enligt sin instruktion ska Kriminalvården även vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras. Båda dessa uppdrag ligger under ramlagens tillämpningsområde. Det säkerhetsarbete som Kriminalvården bedriver i syfte att säkerställa ordningen på anstalterna och att förhindra rymningar har så nära samband med verkställigheten av fängelsestraff att ramlagen enligt utredningens mening är tillämplig på behandlingen av personuppgifter.
Det är emellertid inte självklart att ramlagen är tillämplig vid all behandling av personuppgifter inom Kriminalvården. Som tidigare nämnts är det varken verksamheten i sig eller att myndigheten ska utföra en viss arbetsuppgift som avgör om ramlagen är tillämplig utan syftet med behandlingen av personuppgifter.
Den som avtjänar fängelsestraff är enligt 3 kap. 2 § fängelselagen skyldig att delta i den sysselsättning som Kriminalvården bestämmer. Den vanligaste sysselsättningen är arbete i anstalt. Undantag gäller bara för den som har ålderspension. Eftersom arbetet utgör ett led i verkställigheten av straffet bör ramlagen tillämpas på behandlingen av personuppgifter som rör intagna. Myndigheten får enligt 5 § förordningen med instruktion för Kriminalvården mot avgift tillhandahålla sådana produkter och tjänster som produceras huvudsakligen av intagna. Behandling av personuppgifter som rör kunder eller leverantörer eller den verksamheten i övrigt ligger utanför ramlagens tillämpningsområde.
Kriminalvården driver skolverksamhet på grundskole- och gymnasienivå inom anstaltsverksamheten. Myndigheten följer skollagen och annat regelverk på området och har rätt att utfärda betyg över avslutade studier. Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning utgör de ett led i verkställigheten. Det som har sagts om behandling av personuppgifter när det gäller
Gränsdragningsfrågor SOU 2017:29
218
arbete i anstalt är relevant också för dessa studier, vilket innebär att ramlagen bör tillämpas på personuppgiftsbehandlingen.
I viss utsträckning kan intagna även anvisas studier vid universitet eller högskola. Sådana studier bedrivs på distans och utbildningsformer och examination bestäms av vederbörande läroanstalt, som också utfärdar betyg över avslutade studier. Kriminalvården erbjuder då enbart möjlighet att delta i en extern utbildning och underlättar för den intagne att delta i den genom att tillhandahålla nödvändig utrustning. Den personuppgiftsbehandling som utförs vid högskolan eller universitetet ligger utanför ramlagens tillämpningsområde. Detsamma bör enligt utredningens mening gälla för Kriminalvården när den behandlar personuppgifter i nu angivet syfte.
När ett fängelsestraff verkställs kan det också innefatta hälso- och sjukvård, inkluderande tandvård. Hälso- och sjukvården som bedrivs av Kriminalvården utgör inte en del av verkställigheten utan är en konsekvens av att den intagne genom frihetsberövandet saknar faktisk möjlighet att utnyttja den allmänna hälso- och sjukvården. Den hälso- och sjukvård som Kriminalvården bedriver anses sedan länge utgöra en särskild verksamhetsgren som är skild från den övriga verksamheten och för vilken särskilda regler gäller bl.a. i fråga om sekretess. Kriminalvården anses som vårdgivare i patientdatalagens (2008:355) mening när myndigheten tillhandahåller individinriktad hälso- och sjukvård för intagna (prop. 2007/08:126 s. 50 och 224). Eftersom hälso- och sjukvården inte utgör en del av verkställigheten bör ramlagen inte tillämpas på behandlingen av personuppgifter i den verksamheten.
Det bör understrykas att det som nu har sagts inte gäller sådan kontroll och provtagning som i vissa fall görs av läkare eller sjuksköterska under verkställigheten av straffet, t.ex. en intagens skyldighet att underkasta sig provtagning för drogkontroll enligt 8 kap. 6 § fängelselagen eller att genomgå läkarundersökning enligt 8 kap. 10 § fängelselagen när fängsel har använts. Eftersom sådana åtgärder ingår i verkställigheten, ska ramlagen tillämpas på personuppgiftsbehandlingen.
Kriminalvården behandlar i stor utsträckning uppgifter om personer som besöker eller på annat sätt har kontakt med de intagna. Den personuppgiftsbehandlingen utgör ett viktigt led i både verkställigheten (att underlätta den intagnes kontakter med anhöriga,
SOU 2017:29 Gränsdragningsfrågor
219
arbetsgivare och andra) och säkerhetsarbetet på anstalterna (att förhindra rymningar och att otillåtna föremål förs in på anstalterna). Sådan personuppgiftsbehandling ligger därför enligt utredningens mening under ramlagens tillämpningsområde.
I den senare delen av verkställigheten av fängelsestraff aktualiseras olika s.k. utslussningsåtgärder. Det rör sig om bl.a. vårdvistelse, vistelse i s.k. halvvägshus och frigång, vilket är olika former av verkställighet av fängelsestraff utanför anstalt. Vid vårdvistelse kan Kriminalvården placera en intagen på ett vårdhem som bedrivs i privat regi. De halvvägshus som finns i dag drivs dels i Kriminalvårdens regi, dels i privat regi. Vid vårdvistelse, vistelse i halvvägshus och under frigång pågår alltjämt verkställigheten av fängelsestraffet. Vid misskötsamhet kan den dömde återföras till anstalt för att avtjäna återstoden av straffet där. Kriminalvårdens behandling av personuppgifter i samband med sådana placeringar ingår därmed i verkställigheten, vilket innebär att ramlagen bör tillämpas på behandlingen av personuppgifter.
I Kriminalvårdens uppdrag vid verkställighet av påföljder ligger också att i stor utsträckning ha kontakter med andra myndigheter, i syfte att förbereda villkorlig frigivning och att motverka återfall i brott. Det gäller kontakter med bl.a. sociala myndigheter, arbetsgivare och Försäkringskassan. Det kan enligt utredningens mening ifrågasättas om förberedelserna för den intagnes liv efter verkställigheten ligger inom ramlagens tillämpningsområde. Ramlagen bör tillämpas i vart fall under tiden som den dömde har villkorlig frigivning, eftersom verkställigheten fortfarande pågår då.
Kriminalvården ansvarar också för verkställighet enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll. Sådan övervakning ersätter i vissa fall verkställighet av fängelse i anstalt. Det som har sagts om verkställighet i anstalt gäller i tillämpliga delar för verkställighet enligt den nu aktuella lagen.
Privata vårdgivare
Frågan är om ramlagen även bör tillämpas på behandlingen av personuppgifter när den intagne i stället för att avtjäna straffet i anstalt har placerats på ett vårdhem som bedrivs i privat regi. Kriminalvården får förena ett beslut om utslussningsåtgärd med de villkor som
Gränsdragningsfrågor SOU 2017:29
220
behövs bl.a. för att Kriminalvården ska kunna utöva nödvändig kontroll och i det syftet även utnyttja elektroniska hjälpmedel. Den som har beviljats en utslussningsåtgärd har samma skyldighet som den som avtjänar fängelsestraff i anstalt att lämna prover för kontroll av påverkan av narkotika eller alkohol. Det sagda talar enligt utredningens mening för att viss myndighetsutövning överlåts till vårdgivaren under den tid som fängelsedömda verkställer resterande straff där. Därmed bör de som utför sådana vårdinsatser betraktas som behöriga myndigheter i ramlagens mening och tillämpa ramlagen vid behandlingen av personuppgifter.
Övervakningsnämnderna
Övervakningsnämnderna prövar, efter anmälan eller underställning av Kriminalvården, vissa frågor om verkställighet utanför anstalt enligt fängelselagen (se 13 kap. 3–5 §§) och lagen (1994:451) om intensivövervakning med elektronisk kontroll (se 15–19 §§). Nämndernas organisation och arbetsuppgifter regleras i förordningen (2007:1174) med instruktion för övervakningsnämnderna och deras verksamhetsområden i förordningen (1998:1318) om övervakningsnämndernas verksamhetsområden m.m. Kriminalvården sköter kanslifunktionen åt nämnderna och ger dem det underlag som behövs för prövningen. Nämnderna ska tillämpa ramlagen vid personuppgiftsbehandling som rör verkställighet av påföljder. Detsamma gäller för Kriminalvården när den biträder nämnderna.
Regeringen
I den mån regeringen meddelar förvaltningsbeslut som rör verkställighet av straffpåföljd, eller beslut i en sådan fråga överklagas till regeringen, bör regeringen tillämpa ramlagen vid behandlingen av personuppgifter (se t.ex. 7 kap. 11 § och 14 kap. 5 §fängelselagen). Detsamma bör gälla vid regeringens prövning av ansökningar om nåd i brottmål.
SOU 2017:29 Gränsdragningsfrågor
221
8.4.2 Verkställighet av sluten ungdomsvård
Om någon har begått brott innan han eller hon fyllt 18 år och rätten finner att påföljden bör bestämmas till fängelse ska rätten normalt enligt 32 kap. 5 § brottsbalken i stället döma till sluten ungdomsvård under viss tid, lägst 14 dagar och högst fyra år. Den som har dömts till sluten ungdomsvård ska placeras på ett särskilt ungdomshem. Statens institutionsstyrelse ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård för verkställigheten. I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska ramlagen tillämpas, eftersom det är fråga om en straffrättslig påföljd.
8.4.3 Verkställighet av frivårdspåföljder
Kriminalvården
Kriminalvården ansvarar även för verkställigheten av skyddstillsyn. Skyddstillsyn kan förenas med andra åtgärder. Det kan vara böter, fängelse upp till tre månader, samhällstjänst eller särskild behandlingsplan. En dom på skyddstillsyn fortgår under tre år.
Den som döms till skyddstillsyn ska stå under övervakning åtminstone under ett år efter domen. Övervakningstiden kan förlängas i vissa fall, bl.a. om den dömde ska utföra samhällstjänst eller följa en särskild behandlingsplan eller om han eller hon missköter sig. Kriminalvården ansvarar för övervakningen av den dömde och ska genast när den får en dom med en frivårdspåföljd vidta de åtgärder som behövs för att övervakningen snabbt ska bli verkningsfull. Kriminalvården ska bl.a. utse övervakare, om inte rätten har gjort det i domen. Kriminalvården kan också byta övervakare. Kriminalvårdens uppgifter regleras huvudsakligen genom bestämmelser i förordningen (1998:642) om verkställighet av frivårdspåföljder.
När någon döms till villkorlig dom kan påföljden förenas med bl.a. föreskrift om samhällstjänst. Kriminalvården ansvarar för verkställigheten av samhäll