SOU 2017:57

Lag om flygpassageraruppgifter i brottsbekämpningen

Till statsrådet Anders Ygeman

Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direktiv om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och tillhörande överenskommelser ska genomföras i svensk rätt. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:22).

Till särskild utredare förordnades från och med den 17 mars 2016 rådmannen Anna Tansjö.

Till sakkunniga att biträda utredningen förordnades från och med den 18 mars 2016 ämnesrådet Gabriela Kalm, Finansdepartementet, och rättssakkunniga Ida Salomonsson, Justitiedepartementet. Till experter utsågs samma dag den seniora strategiska rådgivaren Kurt Alavaara, Säkerhetspolisen, juristen Johnny Andersson, Transportstyrelsen, den nationella specialisten Mats Pettersson, Tullverket, tf. enhetschefen Karin Tollbäck, Säkerhets- och integritetsskyddsnämnden, och handläggaren Britt-Louise Wahlberg, Polismyndigheten. Juristen Eric Åmell, Polismyndigheten, förordnades som expert i utredningen från och med den 21 oktober 2016.

Hovrättsassessorn Anna-Karin Leo har varit sekreterare i utredningen från och med den 15 april 2016.

Utredningen har antagit namnet PNR-utredningen (Ju 2016:07). Härmed överlämnas betänkandet Lag om flygpassageraruppgifter i brottsbekämpningen, SOU 2017:57.

Till betänkandet har fogats ett särskilt yttrande av experterna Kurt Alavaara, Britt-Louise Wahlberg och Eric Åmell. Med undantag från vad som framgår där har de sakkunniga och experterna i huvudsak ställt sig bakom utredningens överväganden och förslag.

Uppdraget är härmed slutfört.

Höganäs i juni 2017

Anna Tansjö

/Anna-Karin Leo

Förkortningar

BDL brottsdatalagen (2018:000), förslag till ramlag för genomförande av det nya dataskyddsdirektivet, lämnat av Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29) BDF brottsdataförordningen (2018:000), den till den föreslagna brottsdatalagen tillhörande förordningen dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) dataskyddsrambeslutet rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete dir. direktiv Ds Departementsserien EU Europeiska unionen EU-stadgan Europeiska unionens stadga om de grundläggande rättigheterna

FN Förenta Nationerna JK Justitiekanslern JO Justitieombudsmannen Ju Justitiedepartementet kommissionen Europeiska kommissionen nya dataskyddsdirektivet Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF OSL offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition PDL polisdatalagen (2010:361) PDF polisdataförordningen (2010:1155) PUF personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) RF regeringsformen RB rättegångsbalken SOU Statens offentliga utredningar TBL tullbrottsdatalagen (2017:000), som träder i kraft den 1 juli 2017 TF tryckfrihetsförordningen

Sammanfattning

PNR-direktivet

Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNRuppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat PNR-direktivet).

PNR är en förkortning av den engelska benämningen Passenger Name Record. Det som åsyftas är uppgifter som passagerare lämnar vid beställning och bokning av flygresor samt vid incheckning. Uppgifterna kan till exempel avse namn, resedatum, resväg, bagageinformation och betalningssätt. Lufttrafikföretagen samlar redan i dag in och behandlar sådana uppgifter om sina passagerare för sina egna operativa och kommersiella syften. PNR-uppgifter är också av intresse i det brottsbekämpande arbetet. Uppgifterna kan t.ex. användas för att sålla ut tidigare okända passagerare som skulle kunna vara intressanta för myndigheterna att kontrollera. PNR-uppgifterna kan även användas i samband med brottsutredningar eller för att analysera och fastställa misstänkta rese- och beteendemönster.

Myndigheter världen över har i allt större utsträckning börjat samla in PNR-uppgifter från lufttrafikföretag och analysera dem i syfte att bekämpa terrorism och grov brottslighet. För Sveriges del kan Polismyndigheten, Säkerhetspolisen och Tullverket redan i dag begära in vissa PNR-uppgifter från lufttrafikföretag och använda dessa för brottsbekämpande ändamål.

PNR-direktivet utgör ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet. Utredningens övergripande uppdrag är att lämna förslag till de lagändringar som krävs för att genomföra PNR-direktivet i svensk rätt.

En ny lag om flygpassageraruppgifter i brottsbekämpningen

Vi föreslår att PNR-direktivet i huvudsak ska genomföras i en ny lag, lagen om flygpassageraruppgifter i brottsbekämpningen. Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNRuppgifter till enheten för passagerarinformation och om behandlingen av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i sådan verksamhet och att skydda människor mot att deras personliga integritet kränks vid behandling av uppgifter om dem.

Lagen, liksom det bakomliggande PNR-direktivet, innehåller såväl verksamhetsreglering som dataskyddsreglering. I sistnämnt avseende har vi bedömt det som lämpligast att anpassa författningsförslaget så långt möjligt till den dataskyddsreform som kommer att genomföras under våren 2018. Bestämmelserna i lagen kommer att gälla utöver eller i stället för de generella bestämmelserna i dataskyddsförordningen, den nya ramlag, brottsdatalagen, som föreslås genomföra det nya dataskyddsdirektivet (SOU 2017:29) och annan särreglering för dataskydd som gäller eller kommer att gälla för berörda myndigheter.

Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.

Otillåten behandling av PNR-information

Lagen innehåller en portalbestämmelse som anger att PNR-uppgifter som överförts från lufttrafikföretag eller resultatet av en enhet för passagerarinformations behandling av sådana uppgifter, dvs. PNRinformation, inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Terroristbrottslighet definieras i lagen som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism. Med grov brottslighet avses de brott som anges i en förteckning i bilaga II till PNR-direktivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.

Lagen innehåller också ett generellt förbud mot behandling av PNR-uppgifter som utgör känsliga personuppgifter. För det fall enheten för passagerarinformation eller en behörig myndighet mottar sådana uppgifter ska dessa genast raderas.

En enhet för passagerarinformation

Det ska enligt lagen finnas en enhet för passagerarinformation inom Polismyndigheten. Denna enhet har till övergripande uppgift att samla in PNR-uppgifter från lufttrafikföretag, lagra och behandla dessa uppgifter och överföra PNR-information till behöriga svenska myndigheter. Enheten ska också ansvara för utbytet av PNR-information inom EU.

PNR-uppgifter som behandlas av enheten ska inte vara direkt tillgängliga för behöriga myndigheter eller för övriga som arbetar inom Polismyndigheten. Direktåtkomst till PNR-information som behandlas vid enheten ska därför inte tillåtas. Inom enheten ska tillgången till PNR-information begränsas genom särskilda behörighetsbestämmelser.

Lufttrafikföretagens skyldigheter

PNR-uppgifter ska enligt lagen överföras från lufttrafikföretag som har en giltig operativ licens eller motsvarande som ger rätt att mot vederlag utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar och hanterar PNR-uppgifter i reservationssystem. Som utgångspunkt utesluts från överföringsskyldighet flertalet mindre lufttrafikföretag som utför taxiflygningar från mindre flygstationer som saknar system för avgångskontroll av passagerare.

PNR-uppgifterna ska överföras elektroniskt till enheten för passagerarinformation. Vilka PNR-uppgifter som ska överföras framgår av en bilaga till lagen. Även s.k. API-uppgifter (se om dessa slags uppgifter nedan) ingår bland de PNR-uppgifter som ska överföras. Uppgifterna i bilagan ska dock endast överföras i de fall lufttrafikföretagen samlar in dem som en del av sin normala verksamhet. Lagen ålägger alltså inte lufttrafikföretagen att hämta in ytterligare PNRuppgifter om sina passagerare utan endast att överföra sådana uppgifter som de redan har tillgång till.

PNR-uppgifterna ska normalt överföras vid två tillfällen inför varje flygning ankommande till eller avgående från Sverige. Den första överföringen ska ske 24–48 timmar före flygningens avgång och den andra överföringen omedelbart efter det att gatens dörrar har stängts. Överföringsskyldigheten omfattar såväl flygningar inom EU som flygningar till eller från tredjeland.

Ett lufttrafikföretag som inte har överfört PNR-uppgifter i enlighet med bestämmelserna i lagen eller föreskrifter som utfärdats i anslutning till lagen ska betala en sanktionsavgift. Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till minst 20 000 kronor och högst 100 000 kronor. Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.

Behandling av PNR-uppgifter vid enheten för passagerarinformation

De PNR-uppgifter som har överförts till enheten för passagerarinformation från lufttrafikföretag ska lagras i en särskild databas vid enheten under fem års tid. Därefter ska de raderas. Efter sex månader ska PNR-uppgifterna i databasen maskeras, vilket innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person ska göras osynliga för en användare som saknar särskild behörighet för tillgång till uppgifterna.

PNR-uppgifter som har överförts till enheten för passagerarinformation från lufttrafikföretag får endast behandlas för följande ändamål.

  • Förhandsbedömning: Uppgifterna får behandlas för att enheten ska kunna göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol (användning i realtid). Vid en sådan förhandsbedömning av passagerare får PNR-uppgifterna jämföras dels med uppgifter

i relevanta register eller andra uppgiftssamlingar, dels med på förhand fastställda kriterier.

  • Besvara förfrågningar: Lagrade uppgifter får behandlas för att enheten för passagerarinformation ska kunna fullgöra sina uppgifter enligt lagen om att på begäran överföra PNR-information till behöriga mottagare (reaktiv användning).
  • Utforma urvalskriterier: Uppgifterna får analyseras för att enheten ska kunna uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar av passagerare.

Enheten för passagerarinformation kommer även att få del av PNR-information som har överförts till enheten från motsvarande enheter i andra medlemsstater. Sådan information får endast behandlas för att vidarebefordras till behöriga myndigheter.

Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation. Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Ombudets uppgifter framgår av lagen.

Överföring av PNR-information från enheten för passagerarinformation

Enheten för passagerarinformation ska fungera som en nod vid vilken massan av PNR-uppgifter som lufttrafikföretagen överför tas emot, lagras och analyseras översiktligt. Endast sådan PNR-information som bedömts vara av intresse för att bekämpa terroristbrottslighet eller grov brottslighet ska därefter nå ut till behöriga myndigheter i det egna landet för vidare analys och åtgärder. Regeringen har utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten såsom behöriga att ta emot och begära ut PNR-uppgifter från enheten för passagerarinformation. Ytterligare myndigheter kan komma att utses framöver. Enligt lagen ska enheten i enskilda fall överföra resultatet av sina förhandsbedömningar till en eller flera behöriga myndigheter så att de kan utföra en vidare granskning av PNR-informationen. Enheten ska också överföra PNR-information till behöriga myndigheter som svar på särskilda förfrågningar från en behörig myndighet. Vidare ska enheten vidarebefordra PNR-information som har mottagits från andra med-

lemsstaters enheter för passagerarinformation till behöriga myndigheter. En befattningshavare vid enheten ska alltid ha gjort en bedömning av PNR-informationen innan den lämnas från enheten.

Enheten för passagerarinformation ska enligt lagen även överföra PNR-information till motsvarande enheter i andra medlemsstater. Så ska ske om enheten vid en förhandsbedömning bedömt att viss information även är relevant och nödvändig för en annan medlemsstat. En överföring ska även ske till andra medlemsstater som svar på en begäran från den medlemsstaten. Vidare kan överföringar av PNR-information ske till Europol.

Lagen innehåller också bestämmelser om att enheten för passagerarinformation under vissa förutsättningar får överföra PNRinformation till tredjeland.

Överföring av avmaskerade PNR-uppgifter, dvs. fullständiga PNR-uppgifter där personuppgifter tidigare genomgått en maskering, får bara ske om vissa närmare förutsättningar är uppfyllda. Om förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till avmaskerade PNR-uppgifter ha beslutats av allmän åklagare. I alla andra fall krävs att Polismyndighetens myndighetschef har godkänt utlämnandet. Rikspolischefen ska med vissa begränsningar kunna delegera beslutanderätten.

Behöriga myndigheters behandling av PNR-information

Det finns i lagen särskilda bestämmelser om behandling av PNRinformation vid de behöriga myndigheterna. Bland annat anges att ett resultat av enheten för passagerarinformations förhandsbedömning av passagerare genast ska gallras av behöriga myndigheter om det visar sig sakna betydelse för något av de syften som anges i lagens portalbestämmelse. Vidare finns ett undantag från lagens portalbestämmelse om otillåten behandling av PNR-information. Om det har kommit fram uppgifter om annat slags brott än terroristbrottslighet eller grov brottslighet, s.k. överskottsinformation, i samband med en behörig myndighets insats som görs till följd av behandling av PNR-information, får uppgifterna användas för att förhindra, utreda eller lagföra det brottet.

Övriga bestämmelser

Direktivets krav på generella dataskyddsbestämmelser och rättigheter för enskilda omfattas i stor utsträckning av annan tillämplig dataskyddsreglering och behöver, med något undantag, inte särskilt regleras i den nya lagen.

Tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt den föreslagna brottsdatalagen och i enlighet med bestämmelserna om tillsyn i den lagen.

Sanktionsavgift får tas ut av personuppgiftsansvariga myndigheter vid överträdelser av vissa grundläggande bestämmelser i lagen som har till syfte att skydda enskildas integritet. Vid bestämmande av sanktionsavgiftens storlek och i handläggningsfrågor ska sanktionsavgiftssystemet i den föreslagna brottsdatalagen och den tillhörande förordningen tillämpas.

Sekretess

Befintlig sekretesslagstiftning bedöms ge ett tillfredsställande skydd för PNR-informationen såväl vid enheten för passagerarinformation som vid behöriga myndigheter. Någon ny eller ändrad sekretessreglering är inte motiverad. Inte heller behövs det någon särskild bestämmelse om sekretessgenombrott.

PNR-direktivets förhållande till API-direktivet

API-uppgifter (Advance Passenger Information) avser främst sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. API-uppgifter anses utgöra verifierbar information och används därför huvudsakligen som ett verktyg för identifiering. I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (nedan kallat API-direktivet) regleras transportörers ansvar för att på begäran förse nationella myndigheter med sådana passageraruppgifter inför resor från länder utanför Schengensamarbetet. Direktivet är i Sverige genomfört främst genom vissa bestämmelser i utlänningslagen (2005:716) samt genom lagen (2006:444) om passagerarregister.

Enligt PNR-direktivet ska lufttrafikföretagen överföra såväl PNR- som API-uppgifter till enheterna för passagerarinformation. Skyldigheten att överföra API-uppgifter följer således inte bara av API-direktivet utan även av PNR-direktivet. Det ingår i vårt uppdrag att analysera om och i så fall hur PNR-direktivet påverkar det svenska genomförandet av API-direktivet samt att föreslå hur systemet med flygpassageraruppgifter ska möjliggöra hantering av både PNR-uppgifter och API-uppgifter.

Enligt vår bedömning varken ersätter eller påverkar PNRdirektivet API-direktivet eller dess genomförande i Sverige. Direktiven och deras respektive genomföranden kommer därför att vara parallellt tillämpliga. Vi har vidare funnit att en samordnad hantering av PNR- och API-uppgifter vid enheten för passagerarinformation är möjlig även avseende API-uppgifter som behandlas enligt lagen om passagerarregister. Det kräver dock att API-uppgifter som behandlas enligt lagen om passagerarregister hålls isär från de API-uppgifter som överförs från lufttrafikföretagen enligt den nya lagen, att det alltid står klart för vilket syfte och enligt vilket regelverk API-uppgifter behandlas samt att det säkerställs att regelverkens olikheter i fråga om t.ex. tillgång till uppgifterna följs.

PNR-direktivets betydelse för den nuvarande regleringen

Genomförandet av direktivet får också en effekt på den nuvarande regleringen. Vi föreslår därför att det i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) förs in bestämmelser som innebär att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polismyndigheten, Säkerhetspolisen och Tullverket inte ska gälla när lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig.

Resebyråer och researrangörer

Medlemsstaterna har i en deklaration som antogs samtidigt som PNR-direktivet, angett att de, i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, åtar sig att utvidga insamlingen av PNR-uppgifter till att om-

fatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning anges inte i deklarationen. Enligt vår bedömning omfattas resebyråer och researrangörer redan av systemet med insamling av PNR-uppgifter eftersom de överför PNR-uppgifter till lufttrafikföretagen för vidare överföring till enheten för passagerarinformation. Ytterligare utvidgningar av detta system bör enligt vår mening tills vidare anstå. Frågan bör dock bevakas och eventuellt utredas vidare.

Konsekvenser

Förslagen innebär att fler PNR-uppgifter avseende enskilda flygresenärer kommer att samlas in i brottsbekämpande syfte, vilket vi bedömer kommer att få positiva konsekvenser för det brottsbekämpande arbetet. Förslagen innebär också att skyddet för enskildas personliga integritet vid de brottsbekämpande behöriga myndigheternas behandling av uppgifterna säkerställs.

Lufttrafikföretagen kommer att belastas arbets- och kostnadsmässigt av förslagen. Dock bedömer vi inte att deras konkurrensförhållanden kommer att påverkas i någon större omfattning. Vidare medför förslagen ökade kostnader för Polismyndigheten kopplade till inrättandet av en enhet för passagerarinformation och till drivandet av enheten. De ekonomiska konsekvenserna för Polismyndigheten och övriga berörda myndigheter bedöms dock rymmas inom de befintliga ekonomiska ramarna.

Ikraftträdande

Den nya lagen föreslås träda i kraft den 25 maj 2018.

Summary

The PNR Directive

On 27 April 2016, the European Parliament and the Council adopted Directive (EU) 2016/681 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime (referred to below as the PNR Directive).

PNR refers to data provided by passengers when booking flights and during check-in. This data can include names, travel dates, route, luggage information and method of payment. Air carriers already collect and process such data about their passengers for their own operational and commercial purposes. PNR data is also of interest for law enforcement purposes. The data can be used, for example, to screen out previously unknown passengers who should be subject to further examinations by the authorities. PNR data can also be used in connection with criminal investigations or to analyse and establish suspicious travel and behavioural patterns.

Authorities all over the world have begun to collect more PNR data from air carriers and to analyse it for the purpose of combating terrorism and serious crime. In Sweden, the Swedish Police Authority, the Swedish Security Service and Swedish Customs are already permitted to request certain PNR data from air carriers and to use it for law enforcement purposes.

The PNR Directive is an EU-wide regulatory framework for the collection and use of PNR data in certain law enforcement activities. The Inquiry’s overall remit is to present proposals on the legislative amendments necessary to implement the PNR Directive in Swedish law.

A new Act on air passenger data for law enforcement purposes

We propose that the PNR Directive should mainly be implemented through a new act, the Act on air passenger data for law enforcement purposes. This Act will contain provisions on the transfer by air carriers of PNR data to the passenger information unit and the processing of PNR data in activities for the prevention, detection, investigation and prosecution of terrorist offences or serious crime. The purpose of this Act is to meet the need for access to PNR data in such activities and protection of privacy in the processing of such data.

The Act, like the underlying PNR Directive, will contain regulations on both operations and data protection. Regarding the latter, we consider it most appropriate to adapt the legislative proposal as far as possible to the data protection reform that will be implemented in the first half of 2018. The provisions in the Act will apply in addition to, or instead of, the general provisions in the General Data Protection Regulation, the new framework law – the Criminal Data Act – which has been proposed to implement the new Data Protection Directive (SOU 2017:29), and other special regulations on data protection that apply or will apply to relevant authorities.

The Act will be accompanied by an ordinance implementing certain detailed provisions of the Directive.

Unlawful processing of PNR information

The Act will contain a preamble stating that PNR data transferred by air carriers or the results of a unit for the processing of such passenger information, i.e. PNR information, may not be processed for any purposes other than the prevention, detection, investigation and prosecution of terrorist offences or serious crime. Terrorist offences are defined in the Act as the offences referred to under domestic law in Sweden or other Member States in Articles 1–4 of Council Framework Decision 2002/475/JHA of 13 June 2002 on combating terrorism. Serious crime refers to the offences listed in annex II of the PNR Directive, and for which domestic law in Sweden or other Member States prescribes imprisonment of three years or more.

The Act also contains a general ban on processing PNR data that is sensitive personal data. In the event that the passenger informa-

tion unit or a competent authority receives such data, it must be deleted immediately.

A passenger information unit

Under the Act, there will be a passenger information unit at the Swedish Police Authority. This unit will have responsibility for collecting PNR data from air carriers, storing and processing this data, and transferring PNR information to competent Swedish authorities. The unit will also be responsible for the exchange of PNR information within the EU.

PNR data that is processed by the unit will not be directly available to competent authorities or to others working at the Swedish Police Authority. Direct access to PNR information processed at the unit will therefore not be permitted. In this unit, access to PNR information will be restricted through special authorisation provisions.

Obligations on air carriers

Under the Act, PNR data should be transferred from air carriers with a valid operating licence or equivalent permitting them to carry out, with compensation, carriage of passengers by air, and that collect and process PNR data in reservation systems in their regular activities. One starting point is that the transfer obligation does not apply to the majority of small air carriers conducting taxi flights from small airfields that do not have departure control systems for passengers.

PNR data is to be transferred electronically to the passenger information unit. An annex to the Act specifies the PNR data to be transferred. ‘API’ data (see below for details about this kind of data) is included in the PNR data to be transferred. However, the data referred to in the annex may only be transferred when air carriers collect it as part of their regular activities. Therefore, the Act does not oblige air carriers to collect additional PNR data about their passengers; it simply states that they must transfer data to which they already have access.

PNR data should normally be transferred on two occasions prior to every flight arriving to or departing from Sweden. The first transfer should take place 24–48 hours before the flight departure, and the second transfer should take place immediately after the gate has been closed. The obligation to transfer data applies to flights both within the EU and to or from a third country.

An air carrier that has not transferred PNR data in accordance with the provisions in the Act or provisions issued in connection with the Act must pay a financial penalty. For every flight conducted without the air carrier fulfilling its transfer obligation, the financial penalty is set at a minimum of SEK 20 000 and a maximum of SEK 100 000. The financial penalty may be reduced or waived, in whole or in part, if the infringement is excusable, or if, in view of the circumstances, it would be unreasonable to impose the penalty.

Air carriers must inform passengers about the transfer of PNR data to the passenger information unit and the reasons for this transfer.

Processing of PNR data at the passenger information unit

The PNR data that has been transferred to the passenger information unit from air carriers must be stored in a special database at the unit for a period of five years. It must then be deleted. After six months, the PNR data in the database must be masked, which means that accessible data directly attributable to a natural person must be made invisible to users without special authorisation to access the data.

PNR data that has been transferred to the passenger information unit from air carriers may be processed for the following purposes only.

  • Advance assessment: the data may be processed to enable the unit to conduct an assessment of passengers before their estimated arrival to or departure from Sweden so as to select individuals who need to be further investigated by competent authorities or Europol (use in real time). In this kind of advance assessment of passengers, PNR data may be compared with data in relevant databases or other data collections, and with pre-determined criteria.
  • Responding to enquiries: stored data may be processed to enable the passenger information unit to fulfil its responsibility under the Act to transfer PNR information to competent recipients upon request (reactive use).
  • Devising selection criteria: data may be analysed to enable the unit to update or create new criteria to be used when conducting advance assessments of passengers.

The passenger information unit will also have access to PNR information transferred to the unit from corresponding units in other Member States. This data may only be processed for further transfer to competent authorities.

The Swedish Police Authority is the personal data controller for the processing of personal data conducted at the passenger information unit. The Swedish Police Authority will appoint a data protection officer for the passenger information unit. The officer’s duties are stated in the Act.

Transfer of PNR information from the passenger information unit

The passenger information unit will function as a hub at which the mass of PNR data transferred by air carriers is received, stored and superficially analysed. Only PNR information considered to be of interest for combating terrorist offences or serious crime will subsequently be made available to competent domestic authorities for further analysis and action. The Government has appointed the Swedish Police Authority, the Swedish Security Service, Swedish Customs, the Swedish Economic Crime Authority and the Swedish Armed Forces as competent authorities to receive and request PNR data from the passenger information unit. Additional agencies may be appointed in the future. Under the Act, the unit is required, in individual cases, to transfer the results of its advance assessments to one or several competent authorities so that they can conduct an additional examination of the PNR information. The unit should also transfer PNR information to competent authorities in response to special requests from a competent authority. Moreover, the unit should forward PNR information received from other Member States’

passenger information units to competent authorities. An official at the unit is required to have always carried out an assessment of the PNR information before it is disclosed by the unit.

Under the Act, the passenger information unit should also transfer PNR information to corresponding units in other Member States. This is what should be done if, after an advance assessment, the unit considers that certain information is also relevant and necessary for another Member State. Data should also be transferred to other Member States in response to a request from that Member State. Moreover, PNR information should be transferred to Europol.

The Act also contains provisions stating that the passenger information unit may transfer PNR information to a third country under certain conditions.

The transfer of unmasked PNR data, i.e. complete PNR data in which personal data has previously been masked, may only occur if certain more closely defined conditions have been met. If a preliminary investigation is under way, a request from a competent authority on gaining access to unmasked PNR data must have been approved by a public prosecutor. In all other cases, the disclosure must have been approved by the head of the Swedish Police Authority. The National Police Commissioner should be able to delegate the right to decide, subject to certain limitations.

Processing of PNR information by competent authorities

The Act will contain special provisions on the processing of PNR information by the competent authorities. They state, among other things, that the result of an advance assessment of passengers by the passenger information unit must be immediately deleted by competent authorities if it proves to be irrelevant for the purposes stated in the preamble to the Act. In addition, there is an exemption from the Act’s preamble on the unlawful processing of PNR information. If information has emerged about some form of offence other than a terrorist offence or serious crime – known as ‘excess disclosure’ – in connection with a competent authority’s actions as a result of having processed PNR information, this information may be used for the prevention, investigation and prosecution of the offence.

Other provisions

The Directive’s requirements concerning general data protection provisions and the rights of individuals are largely met by other applicable data protection regulations, and need not – with the occasional exception – be regulated separately in the new Act.

Supervision of personal data processing under the Act should be carried out by the supervisory authority in accordance with the proposed Criminal Data Act and in line with the provisions on supervision in that Act.

A financial penalty may be charged by authorities acting as personal data controllers in the event of a breach of certain fundamental provisions in the Act intended to protect personal privacy. When determining the size of the financial penalty, and in processing issues, the financial penalty system in the proposed Criminal Data Act and the accompanying ordinance should be applied.

Secrecy

Current secrecy legislation is considered to provide sufficient protection for PNR information at both the passenger information unit and competent authorities. There is no need for any new or amended secrecy regulation. Nor is there any need for special provisions on secrecy exemptions.

How does the PNR Directive relate to the API Directive?

API (advance passenger information) data refers primarily to information contained in the machine-readable part of a passport, such as name, date of birth, nationality and passport number. API data is considered to constitute verifiable information and is therefore mainly used as a tool for identification purposes. Council Directive 2004/82/EC of 29 April 2004 on the obligation of carriers to communicate passenger data (referred to below as the API Directive) regulates carriers’ obligations to provide national authorities, upon request, with such passenger information ahead of travel from countries outside the Schengen area. In Sweden, the Directive has been implemented primarily through certain provisions of the

Aliens Act (2005:716) and through the Passenger Name Record Act (2006:444).

Under the PNR Directive, air carriers should transfer both PNR and API data to the passenger information units. Therefore, the obligation to transfer API data is imposed not only by the API Directive, but also by the PNR Directive. Our remit includes analysing whether and how the PNR Directive affects Sweden’s implementation of the API Directive and proposing how the system of flight passenger data can enable processing of both PNR and API data.

In our view, the PNR Directive neither replaces nor affects the API Directive or its implementation in Sweden. The Directives and their implementation will therefore be applicable in parallel. We have also found that the coordinated processing of PNR and API data at the passenger information unit is possible, also with regard to API data processed under the Passenger Name Record Act. However, this requires that API data processed under the Passenger Name Record Act is kept separate from the API data transferred from air carriers under the new Act, that it is always clear which purpose and under which regulatory framework API data is processed, and that it is ensured that the differences in the regulatory frameworks concerning access to data, for example, are monitored.

Significance of the PNR Directive for the existing regulations

Implementation of the Directive will also have an effect on the existing regulations. We therefore propose that the Police Act (1984:387), the Customs Act (2016:253) and the Act on the powers of Swedish Customs at Sweden’s borders with other European Union countries (1996:701) (the Internal Borders Act) include provisions requiring that obligations on air carriers under these acts to transfer booking data to the Swedish Police Authority, the Swedish Security Service and Swedish Customs should not apply when the Act on air passenger data in law enforcement is applicable.

Travel agencies and tour operators

In a declaration adopted at the same time as the PNR Directive, the Member States stated that they, in accordance with their national legislation and subject to parliamentary processing in certain Member States, undertake to expand the collection of PNR data to also apply to actors that are not air carriers. Examples given in the declaration include travel agencies and tour operators that offer travel-related services. The declaration gives no time limit for when this should be implemented in national legislation. In our view, travel agencies and tour operators are already covered by the system for collecting PNR data as they transfer PNR data to air carriers for further transfer to the passenger information unit. We consider that further expansions of this system should be deferred until further notice. However, the issue should be monitored and possibly investigated further.

Impact

The proposals would mean more PNR data concerning individual air passengers being collected for law enforcement purposes, which we consider would have a positive impact on law enforcement efforts. The proposals also mean that protection of personal privacy would be guaranteed in the competent law enforcement authorities’ processing of data.

The proposals will add a burden in terms of work and costs for air carriers. However, we do not consider that their competitiveness will be affected to any great extent. In addition, the proposals would mean increased costs for the Swedish Police Authority linked to the establishment of a passenger information unit and the running of such a unit. However, the economic consequences for the Swedish Police Authority and other relevant authorities are deemed to fall within the existing economic framework.

Entry into force

It is proposed that the new Act enter into force on 25 May 2018.

1. Författningsförslag

1.1. Förslag till lag (2018:000) om flygpassageraruppgifter i brottsbekämpningen

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens innehåll

1 § Denna lag innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandlingen av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet).

Lagens syfte

2 § Syftet med lagen är att tillgodose behovet av tillgång till PNRuppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandling av uppgifter om dem.

Definitioner

3 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Avmaskerade PNR-uppgifter Fullständiga flygpassageraruppgifter (PNR-uppgifter) där personuppgifter tidigare genomgått en maskering. Behörig mottagare En behörig myndighet, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol. Behörig myndighet En sådan av regeringen utsedd myndighet som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Flygpassageraruppgifter eller PNR-uppgifter

En sammanställning av uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen.

Grov brottslighet De brott som anges i bilaga II till PNR-direktivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer. Lufttrafikföretag Ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att mot vederlag utföra lufttransporter av passagerare, och som i sin normala

verksamhet samlar och hanterar PNR-uppgifter i reservationssystem.

Maskerade PNR-uppgifter Personuppgifter som genomgått en maskering. Maskering Åtgärd som innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som saknar särskild behörighet för tillgång till uppgifterna. Medlemsstat En stat som är medlem i EU, med undantag för Danmark. Passagerare Alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen. PNR-information PNR-uppgifter och resultatet av en enhet för passagerarinformations behandling av sådana uppgifter. Reservationssystem System där PNR-uppgifter samlas för hantering av reservationer. Terroristbrottslighet De brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism. Tredjeland En stat som inte är en medlemsstat.

Enhet för passagerarinformation

4 § Det ska hos Polismyndigheten finnas en enhet för passagerarinformation. Enheten ska ansvara för att

1. samla in PNR-uppgifter från lufttrafikföretag, lagra och behandla dessa uppgifter och överföra PNR-information till behöriga myndigheter, och

2. utbyta PNR-information med andra behöriga mottagare.

Otillåten behandling av PNR-information

5 § PNR-uppgifter som har överförts från lufttrafikföretag enligt denna lag eller föreskrifter som meddelats i anslutning till lagen och resultatet av enheten för passagerarinformations behandling av sådana uppgifter får inte behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, om inte annat anges i denna lag. Detsamma ska gälla

PNR-information som har mottagits från en annan medlemsstat och som där samlats in och behandlats av en enhet för passagerarinformation enligt den nationella reglering som genomfört PNR-direktivet.

Förbud mot behandling av känsliga personuppgifter

6 § PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000)1 får inte behandlas enligt denna lag.

2 kap. Lufttrafikföretagens skyldigheter

Överföring av PNR-uppgifter till enheten för passagerarinformation

1 § Lufttrafikföretag ska inför varje flygning ankommande till eller avgående från Sverige överföra samtliga de PNR-uppgifter som anges i bilagan till denna lag till enheten för passagerarinformation. PNR-

1 Med hänvisningen avses förslaget till ramlag i SOU 2017:29.

uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.

2 § PNR-uppgifterna ska överföras

1. 24–48 timmar före flygningens avgång, och

2. omedelbart efter det att gatens dörrar har stängts. Överföringar enligt första stycket 2 får begränsas till uppdateringar och kompletteringar av de uppgifter som överförts vid den tidpunkt som avses i första stycket 1.

3 § När det i ett enskilt fall är nödvändigt med tillgång till PNRuppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska lufttrafikföretag på begäran av enheten för passagerarinformation överföra

PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §.

4 § Lufttrafikföretagen ska överföra PNR-uppgifterna i elektronisk form. Enheten för passagerarinformation får inte medges direktåtkomst till lufttrafikföretagens uppgiftssamlingar med PNR-uppgifter.

5 § Den som är skyldig att överföra uppgifter enligt denna lag får anlita ett personuppgiftsbiträde för att utföra överföringen.

Information till passagerare

6 § Lufttrafikföretag ska informera passagerare om överföringen av

PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.

Sanktionsavgift för lufttrafikföretag

7 § Ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som utfärdats i anslutning till lagen ska betala en sanktionsavgift.

8 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till minst 20 000 kronor och högst 100 000 kronor.

Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

9 § Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag enligt denna lag.

Sanktionsavgiften tillfaller staten.

10 § Sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.

11 § Polismyndighetens beslut om sanktionsavgift överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation samt om handläggningen av beslut om och verkställighet av sanktionsavgifter.

3 kap. Behandling av PNR-information vid enheten för passagerarinformation

PNR-databas

1 § PNR-uppgifter som överförts från lufttrafikföretag ska lagras i en databas vid enheten för passagerarinformation.

Personuppgiftsansvar m.m.

2 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.

3 § Enheten för passagerarinformations behandling av PNR-uppgifter får inte ske utanför medlemsstaternas territorium.

Tillåtna ändamål

4 § Enheten för passagerarinformation får endast behandla PNRuppgifter som anges i 1 § för följande ändamål:

1. Göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller grov brottslighet.

2. I enskilda fall fullgöra sina uppgifter enligt 4 kap. att överföra PNR-information på eget initiativ eller för att besvara en begäran från en behörig mottagare.

3. Göra analyser för att uppdatera eller skapa nya kriterier som anges i 5 § 2. Av 6 kap. framgår att PNR-uppgifter i vissa fall även får överföras till mottagare i tredjeland.

5 § Vid förhandsbedömning enligt 4 § första stycket 1 får PNRuppgifter

1. jämföras med register eller andra uppgiftssamlingar som är relevanta för ett eller flera av de syften som anges i 1 kap. 5 §, eller

2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000).

6 § PNR-information som enheten för passagerarinformation mottagit från motsvarande enheter i andra medlemsstater får endast behandlas för att vidarebefordra uppgifterna till behöriga myndigheter för fortsatt användning för ett eller flera av de syften som anges i 1 kap. 5 §.

Tillgång till PNR-information

7 § Endast den som tjänstgör vid enheten för passagerarinformation får ha tillgång till PNR-information som behandlas vid enheten. Tillgången ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten.

Förbud mot direktåtkomst

8 § Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte tillåtas.

Bevarande och gallring av PNR-uppgifter

9 § PNR-uppgifter som lagras i databasen för PNR-uppgifter ska bevaras där i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de gallras genom att raderas.

10 § PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000) ska genast gallras genom att raderas, om de kommer in till enheten för passagerarinformation.

Maskering av PNR-uppgifter

11 § Följande PNR-uppgifter ska maskeras i databasen för PNRuppgifter sex månader efter att de kommit in från lufttrafikföretagen:

1. Alla namn på passagerare.

2. Antal passagerare som reser tillsammans.

3. Adress och kontaktuppgifter.

4. Alla former av betalningsinformation, inklusive faktureringsadress, om informationen innehåller uppgifter som kan användas för att direkt identifiera en person.

5. Uppgifter om bonusprogram.

6. Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att direkt identifiera en passagerare.

7. Alla API-uppgifter.

Dataskyddsombud

12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.

Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.

13 § Utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000) ska dataskyddsombudet vid enheten för passagerarinformation ansvara för genomförandet av relevanta skyddsåtgärder.

Enskilda ska ha rätt att kontakta dataskyddsombudet i egenskap av enda kontaktpunkt i alla frågor som gäller behandling enligt denna lag av PNR-uppgifter om denne.

14 § Om dataskyddsombudet anser att enheten för passagerarinformation bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.

Föreskrifter

15 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. utformande av kriterier,

2. tillgång till PNR-information,

3. dataskyddsombudets uppgifter,

4. bevarande och gallring,

5. dokumentation och loggning,

6. information till dataskyddsombud, och

7. enheten för passagerarinformations inhämtande av PNRinformation från andra medlemsstater.

4 kap. Överföring av PNR-information från enheten för passagerarinformation

Överföring till behöriga myndigheter

1 § Enheten för passagerarinformation ska i enskilda fall lämna PNRinformation till en eller flera behöriga myndigheter för att

1. en vidare granskning ska ske av PNR-information rörande passagerare som valts ut vid en förhandsbedömning enligt 3 kap. 4 § första stycket 1,

2. besvara en motiverad begäran från en behörig myndighet om att tillhandahålla och behandla PNR-uppgifter för ett eller flera av de syften som anges i 1 kap. 5 § och tillhandahålla resultaten av sådan behandling, eller

3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.

En befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen innan den lämnas från enheten.

Överföring till andra medlemsstater

2 § Enheten för passagerarinformation ska till en motsvarande enhet i en annan medlemsstat överföra sådan PNR-information som behandlats för ändamålet förhandsbedömning enligt 3 kap. 4 § första stycket 1 och som bedömts relevant och nödvändig för vidare granskning i den andra medlemsstaten.

3 § Enheten för passagerarinformation ska så snart som möjligt besvara en motiverad begäran från en motsvarande enhet i en annan medlemsstat och överföra lagrade PNR-uppgifter och resultatet av en eventuell behandling enligt 3 kap. 4 § första stycket 1 av dessa uppgifter dit.

4 § Endast när det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en motiverad begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra PNR-uppgifter och resultatet av en eventuell behandling enligt 3 kap. 4 § första stycket 1 av dessa uppgifter direkt till den myndigheten.

5 § När det i ett enskilt fall är nödvändigt med tillgång till PNRuppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter i enlighet med 2 kap. 3 § och överföra dessa till den begärande enheten.

Överföring till Europol

6 § Enheten för passagerarinformation ska besvara en motiverad begäran från Europol och överföra PNR-information dit.

Överföring av avmaskerade PNR-uppgifter

7 § Avmaskerade PNR-uppgifter får lämnas från enheten för passagerarinformation till behöriga mottagare eller till ett tredjeland endast om det rimligen kan antas vara nödvändigt för ändamålet att besvara en sådan begäran som anges i 1 § första stycket 2, 3, 4 eller 6 §§ detta kapitel eller 6 kap. 1 §. Dessutom krävs sådant beslut eller tillstånd som anges i 8 eller 9 §.

8 § Om förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till avmaskerade PNR-uppgifter ha beslutats av allmän åklagare.

9 § I de fall som inte omfattas av 8 § krävs att tillstånd till överföringen har lämnats av Polismyndigheten.

Myndighetschefen får delegera rätten att besluta om tillstånd till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs.

Den som har fått rätten att fatta beslut får inte arbeta vid enheten för passagerarinformation eller fatta beslut om överföring till sådan verksamhet som han eller hon deltar i.

5 kap. Behöriga myndigheters behandling av PNR-information

Gallring av PNR-information

1 § En behörig myndighet som mottagit PNR-information enligt 4 kap. 1 § första stycket 1 ska genast gallra informationen genom att den raderas, om den visar sig sakna betydelse för något av de syften som anges i 1 kap. 5 §.

2 § För det fall en behörig myndighet mottar PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000) ska de uppgifterna genast gallras genom att raderas.

Annan behandling av PNR-information

3 § Om det har kommit fram uppgifter om annat brott än terroristbrottslighet eller grov brottslighet i samband med en behörig myndighets insats som görs till följd av behandling av PNR-information, får informationen, utöver vad som anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.

Automatiserade beslut

4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter eller uppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000).

Föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela bestämmelser om behöriga myndigheters inhämtande och behandling av PNR-information.

6 kap. Överföring till tredjeland

1 § Enheten för passagerarinformation får överföra PNR-information till en myndighet i ett tredjeland som där är behörig att bedriva verksamhet som motsvarar ett eller flera av de syften som anges i 1 kap. 5 §. PNR-informationen får dock endast överföras om

1. förutsättningarna i 8 kap. 1 § första stycket 3 och 2 § första stycket brottsdatalagen (2018:000), 4 kap. 3 och 7 §§ samt 2 § detta kapitel är uppfyllda,

2. överföringen är nödvändig för ett eller flera av de syften som anges i 1 kap. 5 §, och

3. det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för ett eller flera av de syften som anges i 1 kap. 5 § och enheten för passagerarinformation har lämnat ett uttryckligt medgivande till vidareöverföringen.

2 § Om medgivande till överföring på grund av tidsbrist inte kan hämtas in i förväg från en medlemsstat som har lämnat PNR-information till enheten för passagerarinformation, får, i stället för vad som anges i 8 kap. 2 § andra stycket brottsdatalagen (2018:000), informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet.

3 § När enheten för passagerarinformation överför PNR-information till ett tredjeland ska vad som anges i 8 kap. 8 § brottsdatalagen (2018:000) inte gälla.

4 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om

1. information till annan medlemsstat när personuppgifter överförts utan förhandsmedgivande enligt 2 §, och

2. uppställande av villkor om användningsbegränsning av PNRinformation som överförts till ett tredjeland.

7 kap. Övriga bestämmelser

Enskildas rättigheter

1 § Vad som anges i 4 kap. 10 § brottsdatalagen (2018:000) om registrerads rätt till radering eller begränsning av behandling av personuppgifter ska tillämpas vid behandling i strid mot

1. 1 kap. 5 §,

2. 1 kap. 6 §, eller

3. 3 kap. 9 §. Det framgår av 7 kap. 2 § brottsdatalagen att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas.

2 § Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller förordning som har meddelats i anslutning till den.

Tillsyn

3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.

Sanktionsavgifter vid överträdelser av enheten för passagerarinformation eller en behörig myndighet

4 § Sanktionsavgift får tas ut av den personuppgiftsansvariga myndigheten vid överträdelse av bestämmelserna i

1. 1 kap. 5 eller 6 §,

2. 3 kap. 3–11 §§,

3. 4 kap. 7–9 §§,

4. 5 kap. 1, 2 eller 4 §§, eller

5. 6 kap. 1 eller 2 §§.

5 § Vad som sägs i 6 kap. 3 § tredje stycket och 48 §§brottsdatalagen (2018:000) ska gälla även vid uttagande av sanktionsavgift enligt 4 §.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Det framgår av 7 kap. 4 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.

Bilaga

PNR-uppgifter som enligt 2 kap. 1 § ska föras över från lufttrafikföretag till enheten för passagerarinformation:

1. PNR-uppgifternas lokaliseringskod.

2. Datum för bokning/utfärdande av biljett.

3. Planerat eller planerade resedatum.

4. Namn.

5. Adress och kontaktuppgifter (telefonnummer och e-postadress).

6. All betalningsinformation, inklusive faktureringsadress.

7. Fullständig resplan.

8. Uppgifter om bonusprogram.

9. Resebyrå/reseagent. 10. Passagerarens resestatus, inklusive resebekräftelser, incheckningsstatus, upplysningar om passagerare som inte infinner sig (no show) och passagerare utan bokning (go show). 11. Delade PNR-uppgifter. 12. Allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten. 13. Biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift. 14. Platsnummer och annan platsinformation. 15. Information om gemensam linjebeteckning. 16. All bagageinformation. 17. Antal medresenärer i PNR-uppgifterna och deras namn. 18. All eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, och sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid.

19. Alla ändringar som har gjorts av de PNR-uppgifter som anges i punkterna 1–18.

Denna lag träder i kraft den 25 maj 2018.

1.2. Förslag till förordning (2018:000) om flygpassageraruppgifter i brottsbekämpningen

Härigenom föreskrivs följande

1 kap. Allmänna bestämmelser

1 § Denna förordning innehåller kompletterande bestämmelser till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

2 kap. Lufttrafikföretagens skyldigheter

Överföring av PNR-uppgifter till enheten för passagerarinformation

1 § Lufttrafikföretagen ska överföra PNR-uppgifter i enlighet med artikel 1 i kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation.

Vid eventuella tekniska problem får överföringen ske på annat lämpligt sätt som säkerställer ett tillfredsställande skydd för uppgifterna.

2 § Lufttrafikföretag som har samlat in sådan förhandsinformation om passagerare (API-uppgifter) som anges i punkt 18 i bilagan till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen, men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska överföra även dessa uppgifter till enheten för passagerarinformation. Bestämmelserna i lagen och i denna förordning är tillämpliga även för dessa uppgifter.

Handläggning av sanktionsavgift för lufttrafikföretag

3 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.

Verkställighet av sanktionsavgift för lufttrafikföretag

4 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

5 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

3 kap. Behandling av PNR-information vid enheten för passagerarinformation

Utformande av kriterier

1 § Enheten för passagerarinformation ska i samarbete med de behöriga myndigheterna fastställa och regelbundet se över de kriterier som avses i 3 kap. 5 § 2 lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

Tillgång till PNR-information

2 § Behörighet för tillgång till uppgifter som har maskerats enligt 3 kap. 11 § lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen får endast ges till dataskyddsombudet eller den som har ett särskilt behov av fullständiga uppgifter för att kunna utföra sina arbetsuppgifter vid enheten för passagerarinformation. Behörigheten får bara utnyttjas när det i ett enskilt fall är absolut nödvändigt med tillgång till fullständiga uppgifter.

3 § Polismyndigheten meddelar närmare föreskrifter om tillgång till

PNR-information och till övriga personuppgifter som behandlas vid enheten för passagerarinformation.

Elektroniskt utlämnande av personuppgifter

4 § Begränsningen i 2 kap. 20 § första meningen polisdatalagen (2010:361) gäller inte för enheten för passagerarinformations överföring av PNR-information till behöriga mottagare.

Efterhandskontroll

5 § Har överföring av avmaskerade PNR-uppgifter skett efter tillstånd från Polismyndigheten, ska dataskyddsombudet vid enheten för passagerarinformation göra en utvärdering av överföringen i efterhand.

Dataskyddsombudet ska även göra en utvärdering i efterhand av varje överföring till tredjeland som skett utan förhandssamtycke från den medlemsstat som har lämnat uppgifterna till enheten.

Bevarande och gallring

Omedelbar gallring

6 § Om lufttrafikföretagen har sänt in andra PNR-uppgifter än de som anges i bilagan till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen, ska enheten för passagerarinformation vid mottagandet genast gallra dessa genom att de raderas.

Annan gallring

7 § Resultatet av en sådan behandling av PNR-uppgifter som avses i 3 kap. 4 § första stycket 1 lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen ska gallras så snart det inte längre behövs för att kunna informera behöriga mottagare om resultatet.

Om ett sådant resultat som avses i första stycket utgörs av en träff som inte bedöms behöva granskas vidare, får resultatet bevaras om syftet med bevarandet är att undvika motsvarande felaktiga träffar i framtiden. Gallring måste dock senast ske då de bakomliggande PNR-uppgifterna ska gallras enligt 3 kap. 9 § samma lag.

8 § Resultatet av en sådan behandling av PNR-uppgifter som avses i 3 kap. 4 § första stycket 2 lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen ska gallras så snart det inte längre behöver bevaras för återrapportering från mottagaren.

9 § PNR-information som har mottagits från andra medlemsstaters enheter för passagerarinformation ska gallras så snart resultatet inte längre behövs för att kunna informera behöriga myndigheter samt för att återrapportera till den enhet för passagerarinformation som har sänt in informationen.

Dokumentation och loggning

10 § Dokumentation om behandlingen av PNR-uppgifter vid enheten för passagerarinformation ska bevaras. Dokumentationen ska minst avse

1. uppgifter om vilka register eller andra uppgiftssamlingar och på förhand fastställda kriterier som används inom enheten,

2. namn och kontaktuppgifter för den organisation och personal inom enheten för passagerarinformation som har behörighet att behandla PNR-uppgifter samt personalens olika nivåer av åtkomstbehörighet,

3. varje begäran om att få ta del av PNR-uppgifter som har framställts av en behörig myndighet, en enhet för passagerarinformation i en annan medlemsstat eller en myndighet som har utsetts som behörig i en annan medlemsstat, och

4. varje begäran om att få ta del av PNR-uppgifter från och varje överföring av sådana uppgifter till ett tredjeland.

11 § Sådan loggning som avses i 3 kap. 4 § brottsdataförordningen (2018:000) ska utföras över enheten för passagerarinformations personuppgiftsbehandling. Loggarna ska bevaras i 5 år.

Information till dataskyddsombud

12 § Dataskyddsombudet vid enheten för passagerarinformation ska informeras om

1. varje utlämnande av avmaskerade PNR-uppgifter efter tillstånd från Polismyndigheten, och

2. varje överföring av PNR-uppgifter från enheten för passagerarinformation till tredjeland.

4 kap. Inhämtande av PNR-information från andra medlemsstaters enheter för passagerarinformation

1 § Inhämtande av PNR-information från andra medlemsstater får endast ske för ett eller flera av de syften som anges i 1 kap. 5 § lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

2 § En behörig myndighet som önskar ta del av PNR-information som lagras hos en enhet för passagerarinformation i en annan medlemsstat ska framställa begäran till enheten för passagerarinformation vid Polismyndigheten för vidare förmedling till den andra medlemsstaten.

3 § Endast om det i ett enskilt brådskande fall är absolut nödvändigt får en behörig myndighet vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om att ta del av PNR-information som lagras hos den enheten.

Om en behörig myndighet har framställt en begäran enligt första stycket, ska en kopia av begäran skickas till enheten för passagerarinformation vid Polismyndigheten.

4 § Endast när det i ett enskilt fall är nödvändigt för att reagera på en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, får enheten för passagerarinformation hos en motsvarande enhet i en annan medlemsstat begära att PNR-uppgifter ska hämtas in från lufttrafikföretag i enlighet med artikel 8.5 i

PNR-direktivet för vidarebefordran till enheten.

5 kap. Överföring till tredjeland

1 § När enheten för passagerarinformation har överfört PNRinformation till ett tredjeland utan förhandsmedgivande ska den utan dröjsmål informera den medlemsstat som har lämnat uppgifterna till enheten om överföringen.

2 § I samband med en överföring av PNR-information till ett tredjeland ska enheten för passagerarinformation uppställa villkor om användningsbegränsning som avses i 8 kap. 10 § brottsdatalagen (2018:000) i syfte att skydda PNR-informationen från användning i strid med PNR-direktivet.

Denna förordning träder i kraft den 25 maj 2018.

1.3. Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

25 §2

Ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhetspolisen skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.

Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksamheten.

Vad som anges i första och andra stycket ska inte gälla när lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse 2014:588.

1.4. Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

15 §3

Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.

Tullverket får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för verkets brottsbekämpande verksamhet.

Vad som anges i första och andra stycket ska inte gälla när lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.

Denna lag träder i kraft den 25 maj 2018.

3 Senaste lydelse 1999:434.

1.5. Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Härigenom föreskrivs att det i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska införas en ny paragraf, 1 kap. 1 a §, med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 a §

I lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 25 maj 2018.

1.6. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 4 a §, med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

4 a §

I lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 25 maj 2018.

1.7. Förslag till lag om ändring i tullagen (2016:253)

Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

6 a §

Vad som anges i 6 § ska inte gälla när lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.

Denna lag träder i kraft den 25 maj 2018.

1.8. Förslag till lag om ändring i tullbrottsdatalagen (2017:000)

Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:000) ska ha följande lydelse.

Lydelse enligt prop. 2016/17:91 Föreslagen lydelse

2 kap.

8 §

Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.

I lagen ( 2018:000 ) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 25 maj 2018.

2. Inledning

2.1. Uppdraget

Utredningens uppdrag är att lämna förslag till de lagändringar som krävs för att i svensk rätt genomföra Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och för att Sverige ska leva upp till den deklaration som medlemsstaterna har antagit i anledning av direktivet. Direktiven för arbetet finns i bilaga 1.

I uppdraget ingår bl.a. att – föreslå ett system för hur flygpassageraruppgifter ska hanteras i

Sverige och hur enheten för passagerarinformation ska organiseras, – föreslå vilka sanktioner som ska kunna åläggas flygbolag som inte

uppfyller sina skyldigheter enligt direktivet, – föreslå en reglering för personuppgiftsbehandling och sekretess

som passar in i den befintliga svenska strukturen och ger en rättssäker och mer effektiv brottsbekämpning samtidigt som skyddet för den personliga integriteten säkerställs, och – analysera om och i så fall hur direktivet påverkar det svenska

genomförandet av rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet) samt att föreslå hur systemet med flygpassageraruppgifter ska möjliggöra hanteringen av både PNR-uppgifter och API-uppgifter.

2.2. Arbetets genomförande

Utredningens arbete påbörjades i mitten av april 2016. Arbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av sakkunniga och experter. Utredningen har sammanträtt vid sammanlagt nio tillfällen.

Utredningen har beaktat det arbete som pågår inom Polismyndigheten med att bl.a. inrätta en enhet för passagerarinformation och i övrigt genomföra direktivets tekniska delar. Den 17 juni 2016 genomfördes ett besök vid Polismyndigheten.

Det samråd som utredningen enligt direktiven ska ha med berörda myndigheter har huvudsakligen skett genom experterna. Därutöver har utredningen i vissa delar samrått med Datainspektionen som har lämnat övergripande synpunkter.

Synpunkter har också inhämtats från berörda ekonomiska aktörer. Den 25 oktober 2016 hölls ett dialogmöte med representanter för lufttrafikföretagen. Ett dialogmöte med representanter för resebyråer och researrangörer hölls den 7 november 2016. Ytterligare kontakter med dessa aktörer har förekommit efter mötena.

Enligt utredningens direktiv ska utredaren i den utsträckning det är möjligt beakta det arbete som genomförs av Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06). Utredningarna samrådde den 16 november 2016. Arbetet med genomförandet av det nya dataskyddsdirektivet har därutöver följts under hand. Våra författningsförslag är anpassade till den nämnda utredningens förslag till ny ramlagstiftning, brottsdatalagen med anslutande förordning, varigenom det nya dataskyddsdirektivet föreslås bli genomfört (SOU 2017:29). Skälet för detta något ovanliga anslag redogör vi för i avsnitt 8.5.

Utredningen har vidare deltagit vid ett flertal möten med andra utredningar som utreder frågor om anpassning till EU:s dataskyddsreform. Även arbetet inom andra relevanta utredningar har beaktats.

3. PNR-direktivet och överenskommelser i anledning av direktivet

3.1. Allmänt om direktivet

Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNRuppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Direktivet jämte rättelser av detta finns i bilaga 2 och 3.

PNR är en förkortning av den engelska benämningen Passenger Name Record. I den svenska versionen av direktivet har detta begrepp översatts som passageraruppgiftssamling eller PNR-uppgifter. Det som åsyftas är uppgifter som passagerare lämnar vid beställning och bokning av flygresor samt vid incheckning. Uppgifterna kan till exempel avse namn, resedatum, resväg, bagageinformation och betalningssätt. Lufttrafikföretagen samlar redan i dag in och behandlar sådana uppgifter om sina passagerare i olika bokningssystem för sina egna operativa och kommersiella syften. Direktivet reglerar skyldigheten för lufttrafikföretag att överföra dessa redan insamlade uppgifter till enheter för passagerarinformation i medlemstaterna. Direktivet anger också för vilka ändamål uppgifterna får behandlas samt hur länge uppgifterna får och ska lagras och under vilka förutsättningar de ska överföras till olika mottagare. Målen för direktivet är bl.a. att trygga säkerheten, skydda personers liv och säkerhet samt att inrätta en rättslig ram till skydd för PNR-uppgifterna vid behöriga myndigheters behandling av dessa.

3.2. Bakgrund

Terroristattentat under senare årtionden har lett till nya initiativ för att förbättra säkerheten. Samtidigt har den internationella organiserade brottsligheten ökat.1 Organiserad brottslighet och terrorism är företeelser som ofta inbegriper internationella resor. Som en följd av detta har myndigheterna i flera länder i allt större utsträckning börjat samla in och analysera PNR-uppgifter i syfte att bekämpa terrorism och grov brottslighet.

PNR-uppgifter bör skiljas från s.k. API-uppgifter (Advance Passenger Information). API-uppgifter avser främst sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet) regleras transportörers ansvar för att på begäran förse nationella myndigheter med sådana passageraruppgifter inför resor från länder utanför Schengen-området. API-direktivet syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring.

API-uppgifter används huvudsakligen som ett verktyg för identifiering. Uppgifterna kan därmed användas som ett led i gränskontrollerna. API-uppgifterna kan dock även användas av brottsbekämpande myndigheter för att dessa ska kunna identifiera misstänkta och eftersökta personer. Uppgifterna kan även komma till användning i underrättelsearbetet med att exempelvis kartlägga var vissa personer har befunnit sig vid olika tidpunkter.

PNR-uppgifter används snarare som ett verktyg för underrättelseverksamhet än som ett verktyg för identitetskontroll. Uppgifterna används främst för att göra riskbedömningar av passagerare och för att sålla ut personer som skulle kunna vara intressanta att kontrollera vidare men som inte är misstänkta sedan tidigare. Uppgifterna kan även användas för att analysera och fastställa misstänkta rese- och beteendemönster. PNR-uppgifterna kan också användas i samband med brottsutredningar och för lagföringsåtgärder. En närmare beskrivning av hur PNR- och API-uppgifter kan användas i brottsbekämpande verksamhet finns i avsnitt 14.1.

1 KOM (2010) 492 slutlig av den 21 september 2010, s. 2.

PNR-uppgifter har använts i närmare 60 år, främst av tullmyndigheter men också till viss del av andra brottsbekämpande myndigheter världen över.2 I Sverige har uppgifterna använts av Tullverket på Arlanda sedan början av 1990-talet. Inledningsvis förekom endast manuell behandling av PNR-uppgifter. Den senaste tidens tekniska utveckling har möjliggjort tillgång till och analys av PNR-uppgifter på ett sätt som inte tidigare var möjligt.

Ett antal länder utanför Europeiska unionen har i dag särskilda system för inhämtande och analys av PNR-uppgifter. Efter terroristattentaten den 11 september 2001 antog USA lagstiftning som innebär att lufttrafikföretag med trafik till, från eller genom dess territorium ska tillhandahålla de amerikanska myndigheterna PNR-uppgifter. Snart beslutade Kanada och Australien att göra samma sak. Flera länder har följt i deras fotspår.

EU ingick i mitten av 2000-talet avtal som reglerar överföringen av PNR-uppgifter från lufttrafikföretag till USA, Australien och Kanada. Avtalen har därefter omförhandlats. De senaste avtalen med USA och Australien har godkänts av Europaparlamentet och trädde i kraft år 2012. Vad gäller det planerade nya avtalet med Kanada har Europaparlamentet ännu inte tagit ställning. Parlamentet har begärt ett yttrande från EU-domstolen bl.a. i frågan om avtalet är förenligt med fördraget om Europeiska unionen och Europeiska unionens stadga om de grundläggande rättigheterna vad gäller fysiska personers rätt till skydd av personuppgifter. Generaladvokaten har lämnat ett förslag till yttrande där det anges att vissa förtydliganden måste göras i avtalet och/eller vissa av bestämmelserna utgå för att avtalet ska vara förenligt med stadgan och inte gå utöver vad som är strängt nödvändigt för att uppnå målsättningen att skydda den allmänna säkerheten. Något yttrande från EU-domstolen har dock ännu inte kommit. Under 2015 antog Europeiska unionens råd ett beslut som godkänner att förhandlingar inleds om ett avtal med Mexiko.

De brottsbekämpande myndigheterna i EU-länderna har i olika utsträckning möjlighet att tillgå och behandla PNR-uppgifter. För Sveriges del kan bl.a. Polismyndigheten och Tullverket redan i dag begära in och använda vissa PNR-uppgifter för brottsbekämpande ändamål. Detta beskrivs närmare i kapitel 5. Uppgifterna kan också sparas i enskilda utredningar med stöd av polisdatalagen (2010:361)

2 A.a. s. 4.

och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet3. Något nationellt system för insamling av uppgifterna finns dock inte. Uppgifterna sparas inte heller i någon central databas.

Ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i brottsbekämpande verksamhet har diskuterats under flera år. År 2007 överlämnade Europeiska kommissionen ett förslag till rådets rambeslut om användande av PNR-uppgifter i brottsbekämpningssyfte. Förslaget förhandlades under två år men blev inaktuellt när Lissabonfördraget trädde i kraft år 2009. År 2011 lade kommissionen fram ett förslag till direktiv om användning av PNR-uppgifter för bekämpande av terroristbrott och allvarliga brott. Förslaget syftade till att enhetligt reglera insamling, sparande och behandling av flygpassageraruppgifter. I huvudsak fanns det två skäl till förslaget. Det första var att bidra till medlemsstaternas möjligheter att bekämpa och skydda medborgarna från allvarliga brott, inklusive terroristbrottslighet. Det andra var att undvika utvecklandet av olika PNR-system inom EU vilket skulle kunna leda till rättsosäkerhet, ökade kostnader och risk för bristande skydd för den personliga integriteten.

Rådet var tidigt positivt till förslaget. Europaparlamentet dröjde längre med att ta ställning bl.a. eftersom det ansågs behövas ett starkare skydd för den personliga integriteten. Efter år av förhandlingar och sedan ett antal terroristattentat genomförts i Europa, kom rådet och parlamentet i december 2015 överens om ett gemensamt förslag till reglering. Förslaget innebar bl.a. att vissa frågor lämnades utanför direktivet och i stället hanteras i frivilliga överenskommelser mellan medlemsstaterna.

3.3. Direktivets innehåll i korthet

Direktivet är indelat i fyra kapitel och innehåller sammanlagt 22 artiklar. Artiklarna presenteras starkt förkortat i det följande. Det närmare innehållet i artiklarna och de skäl som hänför sig till dessa kommer att redovisas i anslutning till våra överväganden om artiklarnas implementering.

3 Ersätts den 1 juli 2017 av tullbrottsdatalagen (2017:000).

Av artikel 1 framgår att direktivet innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter på flygningar utanför EU. I artikeln anges att de PNR-uppgifter som samlas in i enlighet med direktivet endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

Direktivet avser således endast flygningar utanför EU. I artikel 2 ges dock möjlighet för en medlemsstat att tillämpa direktivets bestämmelser även för flygningar inom EU.

I artikel 3 definieras centrala begrepp i direktivet. Med lufttrafik-

företag avses exempelvis ett sådant företag med giltig operativ licens

eller motsvarande som ger rätt att bedriva passagerarflygtrafik. Med

flygningar utanför EU menas varje flygning som utförs av ett sådant

lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer. Passagerare är alla personer, förutom besättningsmedlemmar, som transporteras med eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande. Godkännandet framgår av att personen står med i passagerarförteckningen.

I artikel 4 anges att varje medlemsstat ska inrätta eller utse en myndighet eller del av en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet som ska fungera som medlemsstatens enhet för passagerarinformation. Enheten ska ansvara för att samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga myndigheter. Enheten ska även ansvara för att utbyta uppgifterna och resultatet av behandlingen av uppgifterna med andra medlemsstaters motsvarande enheter och med Europol.

Av artikel 5 framgår att enheten för passagerarinformation ska utse ett dataskyddsombud, som bl.a. ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder.

I artikel 6 anges hur de överförda PNR-uppgifterna får behandlas vid enheten för passagerarinformation och för vilka ändamål. Enligt bestämmelsen får PNR-uppgifterna användas för att göra bedömningar av passagerare före deras planerade ankomst till eller avresa från en medlemsstat. Uppgifterna får även användas för att besvara

motiverade frågor från exempelvis de behöriga myndigheterna. Vidare får uppgifterna behandlas för att uppdatera och skapa nya riskkriterier som kan användas vid förhandsbedömningar av passagerare. I artikel 6 regleras vidare överföring av PNR-uppgifter och resultatet av behandlingen av uppgifterna till behöriga myndigheter i samma medlemsstat.

Varje medlemsstat ska enligt artikel 7 fastställa en förteckning över de myndigheter som har befogenhet att begära eller motta PNRuppgifter eller resultatet av behandlingen av dessa uppgifter från enheten för passagerarinformation. Artikeln innehåller också vissa bestämmelser om dessa myndigheters vidare behandling av PNRuppgifter.

Lufttrafikföretagens skyldigheter vad gäller överföring av PNRuppgifter framgår av artikel 8. Överföringen ska ske genom att uppgifterna skickas från lufttrafikföretagen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium flygningen kommer att avgå. I bilaga I till direktivet anges vilka PNR-uppgifter som ska överföras, i den mån dessa uppgifter redan samlas in av företaget som en del av dess normala verksamhet. Direktivet ålägger alltså inte lufttrafikföretagen att samla in ytterligare uppgifter om sina passagerare. Lufttrafikföretagen ska normalt överföra uppgifterna elektroniskt 24–48 timmar före flygningens planerade avgång samt omedelbart efter det att gaten har stängts.

Formerna för utbyte av PNR-uppgifter eller resultatet av en eventuell behandling av dessa uppgifter mellan medlemsstaterna framgår av artikel 9, exempelvis när det ska ske självmant och när det ska ske på begäran. Villkoren för Europols åtkomst till PNR-uppgifter anges i artikel 10. En medlemsstat får endast under de förutsättningar som anges i artikel 11 överföra PNR-uppgifter och resultatet av behandlingen av sådana uppgifter till ett tredjeland.

I artikel 12 behandlas frågor om lagringstid för uppgifter och avidentifiering. PNR-uppgifter som lämnas av lufttrafikföretag ska lagras i en databas vid enheten för passagerarinformation under en period av fem år efter överföringen till enheten och ska sedan raderas. Sex månader efter överföringen ska uppgifterna avidentifieras genom maskering av vissa uppgifter som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser. Efter utgången av sexmånadersperioden ska utlämnande av fullständiga

PNR-uppgifter endast tillåtas om vissa särskilda förutsättningar är uppfyllda.

Artikel 13 innehåller bestämmelser om skydd av personuppgifter.

Medlemsstaterna ska bl.a. föreskriva att den behandling av personuppgifter som sker vid den nationella enheten för passagerarinformation och vid behöriga myndigheter ska omfattas av vissa nationella dataskyddsbestämmelser som överensstämmer med rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Med hänvisningen till dataskyddsrambeslutet ska förstås såväl nuvarande lagstiftning som de framtida bestämmelser som kommer att ersätta detta. Vidare finns i artikel 13 dataskyddsbestämmelser om bl.a. förbud mot behandling av känsliga personuppgifter, regler om loggning, informationssäkerhet m.m.

Medlemsstaterna ska enligt artikel 14 införa effektiva, proportionella och avskräckande sanktioner för överträdelser av nationella bestämmelser som genomför direktivet. Sanktioner ska särskilt riktas mot lufttrafikföretag som inte överför PNR-uppgifter.

Enligt artikel 15 ska den nationella tillsynsmyndighet som anges i artikel 25 i dataskyddsrambeslutet ansvara för att ge riktlinjer för och övervaka tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med direktivet. Tillsynsmyndigheten ska vidare hantera klagomål från registrerade, kontrollera att uppgiftsbehandlingen är laglig samt på begäran ge registrerade råd om hur de kan utöva sina rättigheter på området.

I artikel 16 anges att all överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation ska ske elektroniskt och med tillräcklig grad av informationssäkerhet. Gemensamma protokoll och understödda dataformat för detta ändamål ska antas av kommissionen. Kommissionen ska biträdas av en kommitté i enlighet med artikel 17.

Artiklarna 18–22 innehåller bestämmelser om införlivande, över-

syn, statistik, förhållande till andra bilaterala eller multilaterala avtal eller andra instrument samt ikraftträdande. Direktivet ska vara genomfört i medlemsstaterna senast den 25 maj 2018.

Danmark deltar inte i antagandet av direktivet, som därför inte är bindande för eller tillämpligt på Danmark.

3.4. Överenskommelser i anledning av direktivet

Genom PNR-direktivet åläggs lufttrafikföretag att överföra PNRuppgifter om samtliga passagerare på flygningar som anländer från eller avgår till ett land utanför EU. De medlemsstater som så önskar får enligt artikel 2 i direktivet på frivillig grund tillämpa det även på flygningar inom EU. I en deklaration som antogs av rådet i samband med antagandet av PNR-direktivet har Sverige och övriga medlemsstater förklarat att de, mot bakgrund av det aktuella säkerhetsläget i Europa, fullt ut kommer att utnyttja denna möjlighet. Enligt deklarationen ska detta ske senast det datum då direktivet ska införlivas i nationell rätt. Deklarationen finns i bilaga 4.

I deklarationen har medlemsstaterna även förklarat att de, i enlighet med parlamentets önskemål, åtar sig att i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, utvidga insamlingen av PNR-uppgifter till att omfatta även aktörer som inte är lufttrafikföretag, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka sådana uppgifter samlas in och behandlas. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning är inte angivet.

4. Transportörsansvaret och API-direktivet

4.1. Inledning

Brottsbekämpande myndigheter hanterar redan i dag information från transportföretag, inklusive flygbolag, för brottsbekämpande ändamål. För flygbolagens del innebär det en skyldighet att överlämna uppgifter om sina passagerare till vissa brottsbekämpande myndigheter. Ett sådant ansvar kan sägas vara en vidareutveckling av det s.k. transportörsansvaret i vid mening. PNR-uppgifter och PNRdirektivet har således en koppling till transportörsansvaret, varför detta kommer att beskrivas översiktligt i det följande. Transportörsansvaret handlar dock huvudsakligen inte om brottsbekämpning utan har sin grund i utlänningsrätten och bestämmelser om en reglerad invandring.

Med transportörsansvar menas att transportörer har vissa skyldigheter beträffande de personer som de transporterar till ett lands gräns. De kan också åläggas sanktioner om de inte uppfyller sina skyldigheter. Sverige har alltsedan anslutningen till den s.k. Chicagokonventionen på 1940-talet haft internationella åtaganden när det gäller transportörsansvaret. De svenska reglerna härom bygger huvudsakligen på dessa internationella åtaganden.

I detta avsnitt kommer inledningsvis de internationella åtaganden som Sverige har på området att behandlas. Därefter kommer bestämmelser om transportörsansvar i EU-rätten och i den nationella rätten att översiktligt beskrivas. Slutligen behandlas det s.k. APIdirektivet och dess genomförande i svensk rätt.

4.2. Internationella åtaganden på området

4.2.1. Chicagokonventionen

Sverige har anslutit sig till 1944 års konvention angående internationell civil luftfart, den så kallade Chicagokonventionen, också kallad Icao-konventionen (SÖ 1946:2). Denna konvention reglerar internationell civil luftfart och syftar till att upprätthålla säkerhet under internationell lufttrafik och att underlätta och främja luftfarten. Så gott som alla länder har anslutit sig till konventionen. Den svenska luftfartslagstiftningen bygger i stora delar på konventionen.

I Chicagokonventionen förbinder sig de fördragsslutande staterna till samarbete för att, i alla sådana hänseenden där likformighet kan underlätta och befrämja luftfarten, säkerställa största möjliga likformighet i fråga om författningar, normer, tillämpningsförfaranden och organisation avseende luftfartyg, besättning, luftfartslinjer och markorganisation. I detta syfte antar det permanenta rådet av FN:s fackorgan International Civil Aviation Organization (Icao) olika internationella normer och rekommendationer, vilka tas in i s.k. Annex till konventionen.

I det nu gällande Annex 9 finns bl.a. internationella normer om transportörsansvar och behandlingen av API- och PNR-uppgifter.

Artikel 3.35 i Annex 9 ålägger flygtrafikföretagen att kontrollera att passagerare vid ombordstigningen innehar pass och tillstånd för transit och inresa. Enligt artikel 3.33 ska de fördragsslutande staterna och transportörerna samarbeta för att fastställa att de resedokument som visas upp är äkta och giltiga. Myndigheterna ska enligt artikel 5.3 och 5.4 utan dröjsmål informera transportören när en person inte tillåts inresa och rådgöra med transportören angående möjligheter till återförande. Transportören ska därefter enligt artikel 5.11 återföra passageraren till den plats där han eller hon påbörjade sin resa eller till någon annan plats där han eller hon kan tas emot. Enligt artikel 5.10 får transportören inte hindras från att ta ut transportkostnaden från den avvisade personen. Återförandeplikten upphör enligt artikel 3.47 när personen tillåts resa in i landet.

I artikel 3.48 finns bestämmelser hänförliga till API-uppgifter (se närmare i avsnitt 4.5). Här anges att varje fördragsslutande stat som inför ett API-system ska använda sig av internationellt erkända standarder för överföring av API-uppgifter. Utgångspunkten är att de fördragsslutande länderna ska använda sig av den standard

UN/EDIFACT PAXLST som har utarbetats gemensamt av World Customs Organization (WCO), International Air Transport Association (Iata) och Icao. Det anges vidare att de fördragsslutande staterna så långt det är möjligt ska försöka minimera de operativa och administrativa bördorna för flygtrafikföretagen. Antalet överföringar av API-uppgifter per flygning bör minimeras. De fördragsslutande staterna bör inte använda sig av sanktioner mot flygtrafikföretagen på grund av tekniska överföringsfel. De stater som kräver elektronisk överföring av API-uppgifter ska inte därutöver kräva uppgifterna i pappersform. Det rekommenderas även att API-systemet används dygnet runt samt att olika rutiner för att undvika tekniska avbrott i systemet införs.

Enligt artikel 3.49 bör fördragsslutande stater som kräver tillgång till PNR-uppgifter anpassa sin behandling av uppgifterna och sina tekniska krav till vissa angivna riktlinjer. De riktlinjer som anges är Icao:s dokument 9944, Guidelines on Passenger Name Record (PNR) Data, samt instruktioner för implementering av standardformatet PNRGOV. Riktlinjerna rörande PNRGOV publiceras av WCO under godkännande av Icao och Iata. Vidare rekommenderas de fördragsslutande staterna att överväga att använda sig av standardformatet PNRGOV för överföringen av PNR-uppgifter.

4.2.2. FN:s resolution 2178

Den 24 september 2014 antog FN:s säkerhetsråd resolution 2178 (2014). Resolutionen är antagen i enlighet med kapitel VII i FNstadgan och är därmed folkrättsligt bindande för alla medlemsstater.

I resolutionen anges att terrorism i alla dess former är ett hot mot internationell fred och säkerhet. Vidare uttrycks en allvarlig oro över det akuta och växande hot som de personer utgör som reser till ett annat land för att delta i terroristhandlingar eller terroristträning, även när detta sker inom ramen för en väpnad konflikt. De bidrar enligt resolutionen till intensiteten och varaktigheten i konflikter och till att de blir mer svårlösta. Personerna uppges även kunna utgöra ett allvarligt hot mot bl.a. sina ursprungsländer, länderna de reser igenom och länderna de reser till.

I resolutionens paragraf 2 bekräftas att alla stater ska begränsa möjligheten för terrorister eller terroristgrupper att röra sig fritt över

gränserna bl.a. genom effektiva gränskontroller och medlemsstaterna uppmanas att införa vissa säkerhetsåtgärder i detta avseende. Medlemsstaterna uppmuntras således att använda sig av evidensbaserad riskbedömning och kontrollförfaranden för resande, inklusive insamling och analys av resedata. Det påpekas dock att profilering utifrån stereotyper grundade på diskriminering är förbjudet enligt folkrätten.

I resolutionens paragraf 9 uppmanas medlemsstaterna att kräva att lufttrafikföretag som är verksamma inom deras territorier i förväg lämnar ut uppgifter om passagerare till behöriga nationella myndigheter för att upptäcka avresa från deras territorier eller försök till inresa till eller transitering genom deras territorier med civila luftfartyg.

4.3. Vissa EU-rättsliga åtaganden

4.3.1. Schengenkonventionen och direktivet om transportörsansvar

Sverige har EU-rättsliga åtaganden om transportörsansvar. Hit kan även räknas API-direktivet, som behandlas nedan i avsnitt 4.5.1.

Artikel 26 i Schengenkonventionen1 och rådets direktiv om komplettering av bestämmelserna i den artikeln (direktivet om transportörsansvar2) behandlar transportörsansvaret. I artikel 26 i Schengenkonventionen föreskrivs att de avtalsslutande parterna – om inte annat följer av förpliktelser i samband med anslutning till Genèvekonventionen angående flyktingars rättsliga ställning, ändrad genom New York-protokollet – ska införa vissa bestämmelser på området. Dessa bestämmelser gäller en skyldighet för en transportör att kontrollera inresehandlingar och ett ansvar för denne att ordna återresa för utlänningar som vägras inresa i en Schengenstat samt sanktioner mot den som befordrar utlänningar utan nödvändiga resehandlingar. Med transportör avses i Schengenkonventionen varje fysisk eller juridisk person som bedriver yrkesmässig persontrafik luft-, sjö- eller landvägen.

1 Konventionen om tillämpning av Schengenavtalet av den 14 juni 1985. 2 Rådets direktiv 2001/51/EG av den 28 juni 2001 om komplettering av bestämmelserna i artikel 26 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.

Direktivet om transportörsansvar har som syfte att harmonisera medlemsstaternas lagar om ekonomiska sanktioner mot transportörer som försummar sin kontrollskyldighet avseende inresehandlingar.

De förpliktelser som följer av artikel 26 i Schengenkonventionen och direktivet om transportörsansvar har Sverige uppfyllt genom bestämmelser i utlänningslagen (2005:716), se avsnitt 4.4.2.

4.3.2. Kodex om Schengengränserna

I den så kallade kodexen om Schengengränserna3, även kallad gränskodexen, behandlas en unionskodex om gränspassager för personer. I bilaga VI till kodexen upptas särskilda bestämmelser om de olika transportmedel som används för passage av de yttre gränserna. Bl.a. anges att befälhavaren vid privata flygningar från eller till tredjeländer före starten ska överlämna uppgifter om passagerarnas identitet till gränskontrolltjänstemännen i destinationsmedlemsstaten och, i förekommande fall, i den medlemsstat där den första inresan äger rum.

4.4. Svenska regler om transportörsansvar

4.4.1. Bakgrund

I svensk rätt har det under lång tid funnits reglering av transportörsansvaret såsom nära knuten till utlänningslagstiftningen. Utan att i detalj gå in på detta kan nämnas att det redan i lagen den 14 september 1914 (nr 196) angående förbud för vissa utlänningar att här i riket vistas fanns en bestämmelse om att en befälhavare på fartyg under vissa förutsättningar var skyldig att, utan ersättning från statsverkets sida, vid avvisning återföra utlänningar till det land varifrån de hade medtagits. Bestämmelser med i huvudsak samma innehåll återkom i flera därpå följande utlänningslagar. Genom en ändring i 1937 års utlänningslag den 1 september 1942 ålades befälhavare på luftfartyg samma skyldighet som befälhavare på fartyg. I 1954 års utlännings-

3 Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna).

lag lades ansvaret för återförandet i stället på innehavaren av fartyget eller luftfartyget.

Regler om transportörsansvaret har funnits kvar i senare versioner av utlänningslagen och har skärpts både i fråga om återförandeplikten och gällande transportörens kostnadsansvar. Den senaste regelskärpningen i utlänningslagen skedde den 1 juli 2004 sedan Sverige operativt inträtt i Schengensamarbetet. Transportörsansvaret i utlänningslagen utvidgades då för att uppfylla de åtaganden som följer av artikel 26 i Schengenkonventionen och direktivet om transportörsansvar. Bl.a. lagreglerades transportörers skyldighet att kontrollera att utlänningar har pass och andra tillstånd som krävs för inresa i landet.

På senare tid har transportörer också ålagts en skyldighet att genomföra identitetskontroller vid transporter som utförs med buss, tåg eller passagerarfartyg till Sverige från en annan stat bl.a. med stöd av bestämmelserna i den tillfälliga lagen (2015:1073) om särskilda åtgärder vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet.

4.4.2. Utlänningslagens bestämmelser om transportörsansvar

De svenska bestämmelserna om transportörsansvar återfinns alltså främst i utlänningslagen. I 9 kap. 3 § regleras transportörers kontrollskyldighet. Enligt bestämmelserna ska en transportör kontrollera att en utlänning, som transportören transporterar till Sverige direkt från en stat som inte omfattas av Schengenkonventionen, innehar pass och de tillstånd som krävs för att resa in i landet. Transportören ska också, om det inte är obehövligt på grund av resultatet av denna kontroll, kontrollera att utlänningen har medel för sin hemresa.

I 12 kap. 5 § regleras transportörers ansvar att ombesörja utlänningars återresa i vissa fall. Med transportör avses här ägare eller brukare av ett fartyg eller ett luftfartyg. En utlänning som har kommit till Sverige med ett fartyg eller ett luftfartyg direkt från en stat som inte omfattas av Schengenkonventionen och som har avvisats för att han eller hon saknar pass eller de tillstånd som krävs för att resa in i landet eller medel för sin hemresa, får som utgångspunkt föras tillbaka till fartyget eller luftfartyget eller sättas ombord på ett annat sådant med samma transportör.

I 19 kap. 2 § regleras transportörers kostnadsansvar om utlänningar saknar pass eller de tillstånd som krävs för inresa till Sverige eller medel för hemresan. Transportören är enligt denna bestämmelse normalt skyldig att ersätta staten för kostnader för utlänningens resa från Sverige samt resekostnaden för den bevakningspersonal som följer med.

De transportörer som inte har fullgjort sin kontrollskyldighet beträffande pass och de tillstånd som krävs för inresa till landet kan enligt 19 kap. 5 § bli skyldiga att betala en särskild avgift. Avgiften ska enligt 19 kap. 6 § bestämmas till högst 46 000 kr för varje utlänning.

4.4.3. Befälhavares skyldigheter

Befälhavaren på ett luftfartyg som kommer från en ort utanför Schengenstaterna ska enligt 6 kap. 8 § utlänningsförordningen (2006:97) före ankomst underrätta flygplatschefen om ankomsten. Flygplatschefen ska i sin tur utan dröjsmål underrätta Polismyndigheten om att ett luftfartyg kommer från eller avgår till en ort utanför Schengenstaterna. Underrättelseskyldigheten gäller inte för befälhavaren på ett privatflyg. För en sådan befälhavare finns bestämmelser om underrättelseskyldighet i gränskodexen, se ovan under avsnitt 4.3.2.

4.5. API-direktivet och dess genomförande i svensk rätt

4.5.1. API-direktivet

Den 29 april 2004 antog rådet direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet). I direktivet regleras transportörers skyldighet att överföra förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter. Direktivet syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. Direktivet är också ett led i kampen mot terrorism (se prop. 2005/06:129 s. 18).

Uppgiftsskyldigheten enligt direktivet omfattar transportörer som luftvägen ska transportera passagerare från länder som inte tillhör

EU och inte heller har slutit avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. Dessa transportörer ska på begäran av en myndighet som ansvarar för personkontrollen vid de yttre gränserna föra över information om de ankommande passagerarna. De uppgifter som ska överföras avser bl.a. passagerarnas namn, födelsedatum, medborgarskap, ort för ombordstigning och gränsövergångsställe för inresa. Sådana uppgifter av personlig karaktär hämtas i normala fall från den maskinläsbara delen av passagerarens pass. Uppgifterna ska vidarebefordras till myndigheterna efter incheckning. Myndigheterna får spara passageraruppgifterna i ett tillfälligt register i 24 timmar och ska därefter radera dem om inte uppgifterna behövs för att de myndigheter som ansvarar för genomförandet av personkontroller vid de yttre gränserna ska kunna utföra sina lagstadgade uppgifter.

Medlemsstaterna ska införa sanktioner mot de transportörer som genom fel eller försummelse underlåter att lämna uppgifter eller som lämnar ofullständiga eller felaktiga uppgifter.

I svensk rätt har direktivet genomförts främst genom nya bestämmelser i utlänningslagen samt genom lagen (2006:444) om passagerarregister.

4.5.2. API-direktivets genomförande i utlänningslagen

API-direktivets bestämmelser om transportörers skyldigheter har i Sverige genomförts genom bestämmelser i 9 och 19 kap. utlänningslagen.

I 9 kap. 3 a § anges att en transportör, som luftvägen ska transportera passagerare till Sverige direkt från en stat som inte tillhör EU och inte heller har slutit avtal om samarbete enligt Schengenkonventionen med konventionsstaterna, på begäran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats. De uppgifter som ska överföras är

1. nummer på och typ av resehandling som används,

2. medborgarskap,

3. fullständigt namn,

4. födelsedatum,

5. gränsövergångsstället för inresa,

6. transportkod,

7. avgångs- och ankomsttid för transporten,

8. det totala antalet passagerare vid transporten, och

9. ursprunglig ort för ombordstigning.

De insamlade uppgifterna ska enligt 3 b § samlas in av transportören och överföras elektroniskt till Polismyndigheten. Om det inte är möjligt att föra över uppgifterna elektroniskt ska de överföras på annat lämpligt sätt. I 3 c § anges att bestämmelser om behandlingen av de uppgifter som överförts till Polismyndigheten finns i lagen om passagerarregister.

I 3 d § anges att en transportör som har överfört uppgifter enligt 3 a § inom 24 timmar efter det att transportmedlet har anlänt till gränsövergångsstället ska radera de insamlade och överförda uppgifterna.

En transportör som samlar in uppgifter som är avsedda att överföras enligt 3 a § ska enligt 3 e § informera passagerarna enligt bestämmelserna i 23–26 §§ PUL. Informationsskyldigheten enligt de nämnda bestämmelserna omfattar bl.a. den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen.

I 19 kap. 5 a § framgår att en transportör som inte har fullgjort sin uppgiftsskyldighet kan bli skyldig betala en särskild avgift. Enligt 19 kap. 6 § ska den särskilda avgiften för varje flygning som har gjorts utan att transportören har fullgjort sin uppgiftsskyldighet bestämmas till högst 46 000 kr.

4.5.3. Lagen om passagerarregister

I lagen om passagerarregister finns bestämmelser om behandlingen av de API-uppgifter som har överförts till Polismyndigheten enligt 9 kap. 3 b § utlänningslagen. I 1 § anges att Polismyndigheten med hjälp av automatiserad behandling ska föra ett register över sådana passagerare som avses i 9 kap. 3 a § utlänningslagen. Myndigheten

är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Av 2 § framgår att personuppgiftslagen är tillämplig om inget annat följer av lagen eller föreskrifter som har meddelats med stöd av den. Det framgår också att en registrerad person inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen. I 3 § definieras vissa begrepp.

I 4 § anges passagerarregistrets ändamål. Registret ska föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna.

Registret får enligt 5 § endast innehålla de uppgifter som har inkommit i enlighet med 9 kap. 3 a § utlänningslagen.

Personuppgifter i passagerarregistret ska på begäran lämnas ut till Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Personuppgifterna får dock inte lämnas ut på medium för automatiserad behandling. Säkerhetspolisen får dock ha direktåtkomst till personuppgifterna i registret. Regeringen får meddela föreskrifter om utlämnande till och direktåtkomst för fler myndigheter. (Se 6–8 §§.)

I 9 § anges att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda.

Vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd (10 §).

Tullverket har nyligen i en framställan till regeringen hemställt om att medges direktåtkomst till passagerarregistret.

5. Dagens reglering och användning av flygpassageraruppgifter i brottsbekämpningen

5.1. Inledning

Brottsbekämpning är ett samlingsbegrepp för alla åtgärder som syftar till att motverka brottslighet. I det brottsbekämpande arbetet innefattas självfallet att utreda begångna brott. Men även åtgärder för att förebygga, förhindra och upptäcka brottslig verksamhet innefattas i begreppet. I svensk lagstiftning brukar man skilja mellan sådan verksamhet som innebär att förebygga, förhindra och upptäcka brottslig verksamhet samt utredning och beivrande av konkreta brott. Åtskillnad görs alltså mellan sådan informations- och underrättelseinhämtning, ”spaning”, som sker innan det finns anledning att anta att ett brott som hör under allmänt åtal har begåtts och sådan utredning som sker sedan en förundersökning enligt 23 kap. 1 § RB har inletts.

I polisens arbetsuppgifter ingår att förebygga och utreda all brottslighet. Även Tullverket har till uppgift att bl.a. bekämpa brott. I den brottsbekämpande verksamheten har Tullverket till uppgift att övervaka och kontrollera trafiken till och från utlandet, så att bestämmelserna om in- och utförsel av varor efterlevs.

Det är Polismyndigheten som ansvarar för personkontrollen vid våra yttre gränser, medan Tullverket svarar för varukontrollen. Även om tullens verksamhet är inriktad på varor får den brottsbekämpande verksamheten indirekt en viss anknytning till personer, eftersom det är personer som för varorna med sig över gränserna och kan dömas för smugglingsbrott. Tullverket och Kustbevakningen är skyldiga att bistå Polismyndigheten vid kontrollen av utlänningars inresa och utresa. Mellan Polismyndigheten och Tullverket har träffats en överenskommelse om samverkan vad gäller person- och tull-

kontroll vid yttre gräns. Tullverket ansvarar emellertid för närvarande inte för personkontroll vid någon flygplats.

Sverige inträdde i EU den 1 januari 1995. Inträdet innebar bl.a. att gränsformaliteter mellan Sverige och de övriga EU-staterna i princip inte längre skulle förekomma. Borttagandet av dessa formaliteter innebar emellertid att tullens kontroll över varuflödet till Sverige minskade och att det således fanns en ökad risk för olaglig införsel av bl.a. narkotika, vapen och dopningsmedel. Som kompensatorisk åtgärd för detta införde Sverige den 1 juli 1996 en möjlighet för tullen att i den brottsbekämpande verksamheten inhämta uppgifter från transportörer i fråga om bl.a. passagerare för att uppnå bättre träffsäkerhet i kontrollerna med mindre störning i den legala trafiken över gränserna. Motsvarande bestämmelser infördes för polisens del den 1 april 1998. I förarbetena till införandet av bestämmelserna för Tullverkets del angavs att uppgiftsskyldigheten innebär att tullen får en möjlighet att förhandsgranska de kommersiella datoriserade bokningssystemen för internationell trafik för att kunna göra en riskbedömning avseende ankommande last och passagerare innan transportmedlet kommer (se prop. 1995/96:166 s. 78). Detsamma gäller för polisens del.

5.2. Tillämpliga bestämmelser

5.2.1. Polismyndigheten och Säkerhetspolisen

Som angetts ovan har polisen sedan år 1998 rätt att få tillgång till uppgifter från transportföretag redan innan misstanke om ett visst konkret brott har uppstått. Detta regleras i 25 och 26 §§polislagen (1984:387). På begäran av Polismyndigheten eller Säkerhetspolisen ska således ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter som företaget har tillgång till. Uppgifter om passagerare ska avse namn, resrutt, bagage, medpassagerare samt sättet för betalning och bokning. Polisen får begära in uppgifterna endast om de kan antas ha betydelse för den brottsbekämpande verksamheten. Avsikten är dock inte att uppgifterna ska begäras in för att bekämpa rena bagatellbrott. Detta framgår redan av proportionalitetsprincipen i 8 § polislagen (se prop. 1996/97:175 s. 68).

Uppgifterna kan lämnas på så sätt att de görs läsbara genom terminalåtkomst. Härmed avses detsamma som numera normalt benämns direktåtkomst. Polismyndigheten och Säkerhetspolisen får emellertid ta del av uppgifterna på detta sätt endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. De får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt. Uppgifter om enskilda som har lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning eller lagföring av brott.

Regleringen är inte avsedd att tillåta någon systematisk kartläggning av resandeströmmar eller något generellt insamlande av uppgifter. Det är inte heller avsett att uppgifter om resande ska registreras, lagras eller bearbetas på ett sådant sätt att nya personregister med uppgifter om resande skapas. Uppgifter som inhämtas genom uppkoppling till databaser via terminal (direktåtkomst) anses således fortfarande tillhöra och förvaras hos transportföretaget. (Jfr prop. 1995/96:166 s. 81 ff.)

För det fall uppgifterna anses ha betydelse för utredning eller lagföring får informationen sparas i enskilda brottsutredningar med stöd av bestämmelserna i polisdatalagen.

5.2.2. Tullverket

Tullverkets befogenhet att inhämta vissa passageraruppgifter från transportföretag om uppgifterna kan antas ha betydelse för dess brottsbekämpande verksamhet infördes år 1996. Bestämmelserna finns numera i 4 kap.68 §§tullagen (2016:253) samt i 15 och 16 §§ lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen). Bestämmelserna motsvarar de i 2526 §§polislagen.

Kompletterande bestämmelser finns i 4 kap.49 §§tullförordningen (2016:287) och i 37 §§ förordningen (1996:702) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. Bl.a. anges att information om innehållet i de inhämtade bokningsuppgifterna får lämnas till andra tulltjänstemän, andra enheter inom Tullverket, Polismyndigheten och Kustbevakningen om uppgiften behövs i Tullverkets brottsbekämpande verk-

samhet för att klarlägga om brott eller brottslig verksamhet har förekommit, pågår eller planeras. Sådan information får också lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en konvention som Sverige har tillträtt eller en överenskommelse som Sverige har ingått.

Om transportföretag inte lämnar bokningsuppgifter på Tullverkets begäran har Tullverket möjlighet att förelägga transportföretaget att vid vite lämna uppgifterna. Bestämmelser härom finns i 4 kap. 24 § och 7 kap. 5 §tullagen samt i 21 § inregränslagen.

Användningen av passageraruppgifter inom Tullverket regleras i dag i övrigt av lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, främst 13 §. Den lagen ska dock ersättas av en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, tullbrottsdatalagen. Den nya lagen träder i kraft den 1 juli 2017 (se prop. 2016/17:91). I förslaget till tullbrottsdatalag finns bestämmelser om personuppgifter från transportföretag intagna i 2 kap. 8 och 9 §§.

Enligt 2 kap. 8 § TBL får personuppgifter som har lämnats till Tullverket enligt de aktuella bestämmelserna i tullagen eller inregränslagen behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall får, enligt andra stycket, personuppgifterna behandlas för något av lagens primära ändamål och göras gemensamt tillgängliga. I 2 kap. 9 § finns bestämmelser om i vilka fall identitetsbeteckningar såsom namn och personnummer får användas som sökbegrepp vid sökning i sådana personuppgifter som lämnats till Tullverket enligt 8 § första stycket. Sådana sökbegrepp får användas bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som övervakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts allmänt tillgängliga gäller lagens bestämmelser om sökning bland sådana uppgifter.

5.3. Dagens användning av PNR-uppgifter

5.3.1. Polismyndigheten

Polismyndigheten arbetar i dag i en mycket begränsad omfattning med PNR- och API-uppgifter för att förhindra grov brottslighet i form av narkotikasmuggling, människosmuggling och penningtvätt. Främst används uppgifterna av gränspolisen i gränskontrollverksamheten.

Passageraruppgifterna används både för att hitta kända personer och för att leta efter mönster som kan indikera att en person är av intresse, s.k. profilering.

Endast ett flygbolag tillhandahåller terminalåtkomst till sitt bokningssystem. De API- och PNR-uppgifter som behandlas utgörs således främst av sådan information som finns tillgänglig på de passagerarlistor som flygbolagen manuellt tillhandahåller vid förfrågan. Vid sådana förfrågningar kan uppgifterna överlämnas i pappersform från flygbolagen över disk. Uppgifterna kan även levereras via fax eller e-post. Kvaliteten på informationen skiljer sig åt då flygbolagen har olika reservations- och incheckningssystem. Uppgifterna från flygbolagen innehåller ofta grundläggande uppgifter. Efterfrågas mer information måste flygbolagen kontaktas igen för komplettering.

Även analysen av de uppgifter som inhämtas sker manuellt då Polismyndigheten saknar tekniskt stöd för hantering av uppgifterna. Varje passagerare hanteras individuellt vilket är ett tidskrävande arbete. Arbetet ställer också höga krav på analytikern då antalet parametrar som ska granskas kan vara stort.

Bristen på IT-stöd hindrar en kontinuerlig bevakning då antalet resenärer är för stort för att uppgifterna ska kunna hanteras manuellt. Analysarbetet blir också extremt krävande med långa handläggningstider och innebär att enbart ett fåtal av alla resenärer kan profileras.

5.3.2. Säkerhetspolisen

Säkerhetspolisen arbetar i dag med insamling av API- och PNRuppgifter i sitt arbete med kontraterrorism, kontraspionage, författningsskydd och personskydd. PNR-uppgifter används främst för kartläggning.

Vid de tillfällen då PNR-uppgifter behövs tas en direktkontakt med det flygbolag som bedöms kunna ge efterfrågade uppgifter. Denna hantering innebär en osäkerhet i informationshantering, vilket kan medföra att frågor ställs till en större skara än nödvändigt. De uppgifter som levereras från flygbolagen skiljer sig åt och innehåller i flera fall inte tillräcklig information.

Säkerhetspolisen saknar direktåtkomst till system som lagrar PNR-uppgifter eller API-uppgifter. Vissa passageraruppgifter kan komma myndigheten till handa via myndighetssamverkan. All tillgång till passageraruppgifter kräver dock fysisk närvaro av särskilda personer och fysisk tillgång till system på flygplatsen. Detta gör att Säkerhetspolisen inte kan räkna med att information går att få fram just när den behövs.

Säkerhetspolisen saknar tekniskt stöd för hantering av såväl API- som PNR-uppgifter och all hantering sker manuellt. Vid behov kan Säkerhetspolisen använda ett eget analyssystem inköpt av en extern leverantör för att analysera de PNR- och API-uppgifter som samlas in manuellt. Underlaget är varierande beroende på vilket flygbolag som har levererat uppgifterna och det krävs ett stort manuellt arbete för att mata in informationen i analyssystemen.

5.3.3. Tullverket

Tullverket är den myndighet som i störst utsträckning använder API- och PNR-uppgifter i dag. Uppgifterna används främst för att upptäcka brottslighet i form av smuggling av narkotika, dopningsmedel och cigaretter. Tullverket kan även dela med sig av PNRuppgifter till övriga brottsbekämpande myndigheter i vissa fall.

Tullverket delar uppgifter med andra länder, främst i Norden. Enbart uppgifter om specifika brottsmisstänkta personer delas för att möjliggöra identifiering och matchning av liknande inkommande händelser.

Tullverket begär in eller hämtar själv in PNR-uppgifter från flygbolagen. Tullen har tillgång till vissa flygbolags bokningssystem och kan på så sätt få del av uppgifterna via direktåtkomst. Uppgifterna skickas även till Tullverket från flygbolagen via e-post eller fax. Informationen inkommer i ett stort antal olika format. För att underlätta en snabb och effektiv sökning för planering och urval av

lämpliga kontrollobjekt får uppgifterna formateras om till ett användarvänligt format och sammanställas elektroniskt. Sammanställningen sker i ett avgränsat system. Tullverket har således visst systemstöd till sin hjälp vid överföringen av uppgifterna. All inhämtning, profilering och analys av uppgifterna hanteras dock manuellt.

Tullverket använder PNR-uppgifter för att profilera sedan tidigare okända personer. En profilering börjar med att Tullverket begär in eller själv hämtar bokningsuppgifterna som behövs för att genomföra profileringen. När bokningsuppgifterna finns tillgängliga analyseras uppgifterna. Efter analys skickas utfallet vidare till det s.k. tullfiltret som agerar på underlaget.

Tullverket har dagligen åtkomst till bokningsuppgifter från 32 flygbolag, antingen via direktåtkomst eller genom att flygbolagen skickar sina uppgifter till Tullverket. Hur stor del av dessa uppgifter som tullen faktiskt tar del varierar. Vissa dagar sker inte någon profilering över huvud taget beroende på personalsituationen. Vissa bolag, vars bokningssystem tullen har direktåtkomst till, anses inte utgöra en risk ur ett tullperspektiv. Dessa bokningsuppgifter granskas därför sällan. Av samtliga ankommande resenärer till statliga och kommunala flygplatser år 2015 kontrollerade Tullverket mindre än 1 procent.

Alla grova narkotikabeslag på Arlanda år 2015 i passagerartrafiken var baserade på tillgång till PNR-uppgifter. Alla gripna kurirer var tidigare okända för svenska myndigheter. Samtliga beslag avsåg flygningar inom EU.

6. Dataskyddsreglering

6.1. Internationella konventioner

6.1.1. Europakonventionen m.m.

Enligt artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får endast göra inskränkningar i dessa rättigheter med stöd av lag och om det är nödvändigt i ett demokratiskt samhälle för vissa i artikeln uppräknade ändamål, bl.a. med hänsyn till den allmänna säkerheten och till förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter.

Europakonventionen gäller som svensk lag. Det framgår av 2 kap. 19 § RF att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd för godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

6.1.2. Dataskyddskonventionen

Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Sverige har, liksom övriga EU-medlemsstater, anslutit sig till konventionen. Ett arbete med att se över konventionen pågår.

Dataskyddskonventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till per-

sonlig integritet i samband med automatiserad behandling av personuppgifter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.

Konventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Bl.a. ska personuppgifter som är föremål för automatiserad behandling samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen med behandlingen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre tid än vad som är nödvändigt för ändamålen.

Vissa kategorier av personuppgifter får enligt konventionen behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv och uppgifter om brott. Vidare föreskrivs att en registrerad bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade.

Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen om bl.a. uppgifternas beskaffenhet. Sådana inskränkningar förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. brottsbekämpning.

Konventionen kompletteras med flera av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.

6.2. Gällande EU-rättslig reglering

6.2.1. EU-stadgan om de grundläggande rättigheterna

I artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna slås fast att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har

rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

6.2.2. Dataskyddsdirektivet

Den allmänna regleringen av behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 6.3.2). Direktivet gäller inte för behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

6.2.3. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte. Det är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstater och EU-organ eller vissa utpekade informationssystem. Dataskydds-

rambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Dataskyddsrambeslutet uppfylls redan till stora delar av befintlig lagstiftning. De återstående delarna har genomförts i svensk rätt genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) med tillhörande förordning (se avsnitt 6.4.5).

6.3. Huvuddragen i den svenska regleringen

6.3.1. Regeringsformen

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.

Andra stycket i 2 kap. 6 § infördes vid 2010 års grundlagsreform. Bestämmelsen omfattar enbart betydande intrång i den enskildes privata sfär. I förarbetena anges att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig

än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget. (Se prop. 2009/10:80 s. 183.)

6.3.2. Personuppgiftslagen

Lagens syfte och tillämpningsområde

Personuppgiftslagen, genom vilket det nu gällande dataskyddsdirektivet genomfördes i svensk rätt, syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Kompletterande bestämmelser till lagen finns i personuppgiftsförordningen (1998:1191).

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifterna.

Lagen innehåller generella regler för all behandling av personuppgifter och behandlar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.

Enligt 5 § ska lagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling av uppgifter om juridiska personer, som definitionsmässigt inte utgör personuppgifter, omfattas inte av personuppgiftslagen. Sådan behandling som en fysisk person utför i verksamhet av rent privat natur undantas också enligt 6 §.

Grundläggande krav på behandlingen

Vissa grundläggande krav för all behandling av personuppgifter slås fast i 9 § PUL. Där anges att personuppgifter alltid ska behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara riktiga och relevanta i förhållande till ändamålen med behandlingen och får inte vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. För det fall personuppgifterna inte uppfyller dessa krav, ska alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna uppgifterna.

Personuppgifter får inte bevaras längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. Därefter ska de avidentifieras eller förstöras. Eftersom personuppgiftslagen är subsidiär till annan lagstiftning får uppgifter inte avidentifieras eller förstöras om det strider mot annan lagstiftning, t.ex. tryckfrihetsförordningens bestämmelser om allmänna handlingar eller arkivlagstiftningen.

Tillåten och otillåten behandling

I 10–12 §§ PUL finns en uttömmande uppräkning av de fall där behandling av personuppgifter är tillåten. Den registrerades samtycke är alltid en legitim rättslig grund för behandling. Återkallar personen sitt samtycke får ytterligare uppgifter om honom eller henne inte behandlas.

I vissa fall får personuppgifter behandlas även om den registrerade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.

Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Som exempel på behandling som kan vara nödvändig för att fullgöra ett avtal kan nämnas fakturering och förande av kundregister. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig

skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.

Behandling av känsliga personuppgifter

I 13 § PUL förbjuds behandling av känsliga personuppgifter. Med detta avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Från förbudet mot behandling av känsliga uppgifter gäller ett flertal undantag som närmare regleras i 15–19 §§ PUL.

Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

Information till den registrerade

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige enligt 23 § självmant lämna den registrerade information om behandlingen av uppgifterna. Har uppgifterna samlats in från en annan källa, ska den personuppgiftsansvarige enligt 24 § självmant informera den registrerade när uppgifterna noteras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Informationen behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.

Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen. Information behöver inte lämnas om sådant som den registrerade redan känner till.

Enligt 26 § är den personuppgiftsansvarige vidare skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökanden behandlas eller inte, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteckning, utom i de fall där uppgifterna har lämnats till tredje man eller – i fråga om behandling i löpande text – har behandlats under längre tid än ett år.

Informationsskyldigheten gäller enligt 27 § inte om uppgifterna omfattas av sekretess eller tystnadsplikt.

Rättelse

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska enligt 28 § på begäran av den registrerade rättas, blockeras eller utplånas av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats till tredje man, ska denne i vissa fall informeras om korrigeringen.

Säkerhet vid behandlingen

I 30 och 31 §§ PUL finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säkerheten.

Överföring av personuppgifter till tredjeland

Enligt 33 § PUL är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skydd av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § PUL finns vissa bemyndiganden som ger möjlighet att besluta om ytterligare undantag i förbudet i 33 §. I bilagor till personuppgiftsförordningen anges vilka stater som enligt särskilda beslut av kommissionen anses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.

I 13 a § PUF finns en specialbestämmelse som reglerar transportörers överföring av flygpassageraruppgifter till tredjeland. Enligt bestämmelsen får en transportör som luftvägen transporterar passagerare till eller från ett tredjeland, till det landet föra över personuppgifter som finns i transportörens passagerarförteckning, om det sker enligt villkor som framgår av en överenskommelse mellan tredjelandet och EU avseende behandling och överföring av uppgifter rörande flygpassagerare. I en bilaga till förordningen anges att sådana överenskommelser gäller mellan EU och USA respektive Australien.

Tillsyn

Datainspektionen är enligt 2 § PUF tillsynsmyndighet enligt personuppgiftslagen. Inspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda registerförfattningar. Datainspektionen har till uppgift att bl.a. verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Inspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger

råd och hjälp åt personuppgiftsombud. I 43–47 §§ PUL finns närmare bestämmelser om tillsynsmyndighetens befogenheter, t.ex. om rätt att meddela vite och möjligheten att förbjuda viss behandling.

Sanktioner

I 48 § PUL regleras den registrerades rätt till skadestånd för den kränkning som en behandling av personuppgifter i strid med lagen har orsakat. Lagen innehåller också en straffbestämmelse. Enligt 49 § kan den som uppsåtligen eller av grov oaktsamhet överträder vissa bestämmelser i lagen dömas för brott mot personuppgiftslagen.

6.4. Aktuella särregleringar

6.4.1. Polisdatalagen

Syfte och tillämpningsområde

Polisdatalagen (2010:361) är tillämplig vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen. Lagen gäller även för den polisiära verksamheten vid Ekobrottsmyndigheten. Kompletterande bestämmelser finns i polisdataförordningen (2010:1155).

Syftet med lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda enskilda mot att deras personliga integritet kränks vid sådan behandling.

Lagen är tillämplig endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Enligt 1 kap. 6 § tillämpas lagen även i viss utsträckning på behandling av uppgifter om juridiska personer.

Lagen är generellt utformad. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekämpande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § undantas från lagens tillämpningsområde behandling av personuppgifter enligt bl.a. lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen

(2000:344) om Schengens informationssystem och lagen (2006:444) om passagerarregister.

Förhållande till personuppgiftslagen

Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och sanktioner.

Ändamål för behandling och utlämnande av uppgifter

I 2 kap. PDL anges för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Enligt 2 kap. 7 § får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden. Bestämmelsen innehåller de primära ändamål för vilka personuppgifter enligt lagen får behandlas.

I 2 kap. 8 § anges de sekundära ändamålen för vilka personuppgifter får behandlas enligt lagen. De ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt bestämmelsen får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgifter får också behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Enligt 2 kap. 9 § får personuppgifter också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till

Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekretessbrytande bestämmelser som gäller i förhållande till vissa andra myndigheter finns i 2 kap. 16–18 §§.

Behandling av känsliga personuppgifter

För behandling av känsliga personuppgifter finns särskilda begränsningar i 2 kap. 10 § PDL. Enligt bestämmelsen får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. PDL. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 6 kap. PDL finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Bestämmelserna reglerar framför allt ändamålen för Säkerhetspolisens personuppgiftsbehandling, som delvis avviker från regleringen för Polismyndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgifts-

skyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.

6.4.2. Tullbrottsdatalag

En ny lag för Tullverkets personuppgiftsbehandling

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller för närvarande för Tullverkets personuppgiftsbehandling i denna verksamhet. Lagen kommer att ersättas av en ny lag, tullbrottsdatalagen (prop. 2016/17:91) den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrottsdatalag.

Lagens tillämpningsområde

Tullbrottsdatalagen har utformats i nära anslutning till andra dataskyddslagar på det brottsbekämpande området, t.ex. polisdatalagen. Lagen ska reglera all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Enligt 1 kap. 2 § ska lagen endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Tullbrottsdatalagen ska gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

Ändamål för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter ska få behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § TBL få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen ska också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande ska också enligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten och i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså får personuppgifter i ett enskilt fall behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag, se avsnitt 5.2.2.

Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 12 § finns en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyndighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till vissa myndigheter finns i 2 kap. 13 §.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, ska enligt 2 kap. 10 § TBL inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.

6.4.3. Lagen om internationellt polisiärt samarbete

Lagen (2000:343) om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den utsträckning som följer av internationella överenskommelser. Enligt 1 a § gäller polisdatalagen för polisens behandling av personuppgifter vid sådant internationellt polisiärt samarbete som regleras i lagen, om den inte innehåller särskilda regler.

Lagen innehåller bestämmelser om informationsutbyte enligt Prümrådsbeslutet1, CBE-direktivet2 och VIS-rådsbeslutet3. Lagen innehåller också vissa bestämmelser rörande Schengensamarbetet.

Den nuvarande lagen om internationellt polisiärt samarbete kommer att upphävas den 2 juli 2017 och ersättas av en ny lag i samma ämne. Lagen kommer att delas in i kapitel. Det införs också fem kapitel som reglerar olika former av personuppgiftsbehandling vid polisiärt samarbete med andra stater inom och utanför EU. Några ändringar i sak ska dock inte ske när det gäller regleringen av behandling av personuppgifter. (Se prop. 2016/17:139.)

1 Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet. 2 Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om underlättande av gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott. 3 Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

6.4.4. Lagen om internationellt tullsamarbete

Lagen (2000:1219) om internationellt tullsamarbete tillämpas bl.a. på internationellt tullsamarbete som följer av vissa internationella åtaganden och har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Enligt 6 § får en behörig svensk myndighet, när det är nödvändigt för genomförande av internationellt tullsamarbete på eget initiativ eller på ansökan lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).

6.4.5 2013 års lag

Lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) genomför dataskyddsrambeslutet. Kompletterande bestämmelser finns i förordningen (2013:343) med i övrigt samma namn. Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz eller Liechtenstein eller mellan en svensk myndighet och ett EU-organ eller EU-informationssystem. Lagen är tillämplig endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i bestämmelsen.

Personuppgifter som en svensk myndighet har erhållit får enligt 5 § endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda

eller beivra brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internationella organ.

Lagen reglerar också villkor för användningen av personuppgifter. Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) har föreslagit att lagen upphävs i samband med genomförandet av det nya dataskyddsdirektivet.

6.5. EU:s dataskyddsreform

6.5.1. Bakgrund till reformen

I januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattade en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet samt ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv. Regleringen antogs tillsammans med PNR-direktivet och var en förutsättning för att Europaparlamentet skulle rösta genom det förslaget.

6.5.2. En dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen) börjar tillämpas den 25 maj 2018.

Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersätta dataskyddsdirektivet från år 1995. Förordningen, som är direkt tillämplig, kommer att utgöra ett ramregelverk för skyddet av personuppgifter inom EU. Den kommer därigenom att gälla t.ex. för lufttrafikföretags behandling av PNR-uppgifter. När förordningen träder i kraft måste personuppgiftslagen upphävas, i vart fall i den omfattning som den annars skulle innehålla en dubbelreglering i förhållande till förordningen. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande föreskrifter och i övrigt anpassas till den.

Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.

Från förordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde.

Dataskyddsutredningen har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till. Utredningen har avgett betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I betänkandet föreslås att kompletterande bestämmelser till dataskyddsförordningen av generell karaktär ska samlas i en ny lag, dataskyddslagen.

6.5.3. Ett nytt dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och om det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (det nya dataskyddsdirektivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.

Direktivet ska dels skydda fysiska personers grundläggande friheter och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet.

I förhållande till nuvarande svensk reglering innehåller det nya dataskyddsdirektivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumentation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personuppgiftsincidenter.

Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredjeland och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser.

Enligt direktivet har enskilda vissa rättigheter, bl.a. att få vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rättsmedel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansvariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om påföljder eller sanktioner vid överträdelser av bestämmelser som genomför direktivet.

Utredningen om 2016 års dataskyddsdirektiv har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt. Utredningen har i delbetänkandet Brottsdatalagen (SOU 2017:29) föreslagit att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med den föreslagna lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säker-

ställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Enligt förslaget ska lagen – i likhet med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär. Den föreslagna lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. De som har sådana arbetsuppgifter betecknas behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena. De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dataskyddsförordningen kommer att bli tillämplig i övrigt, t.ex. när Polismyndigheten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol handlägger ett tvistemål. Det som blir avgörande för om lagen är tillämplig är dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen.

De närmare bestämmelserna i förslaget till brottsdatalag kommer, i den mån de är av intresse för vår utredning, att behandlas i kommande avsnitt.

De myndigheter som bedriver verksamhet inom den föreslagna lagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. Utredningen om 2016 års dataskyddsdirektiv kommer att i slutbetänkandet, som ska redovisas den 30 september 2017, föreslå de anpassningar som krävs i berörda registerförfattningar.

6.5.4. Viss personuppgiftsbehandling faller utanför båda instrumenten

Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområden. Det gäller bl.a. personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet. Till

Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott och att utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör till nationell säkerhet.

Utredningen om 2016 års dataskyddsdirektiv har föreslagit att brottsdatalagen inte ska vara tillämplig för Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Inte heller ska lagen vara tillämplig när Polismyndigheten övertagit en uppgift som rör nationell säkerhet från Säkerhetspolisen. Förslaget innebär dock inte att Säkerhetspolisens personuppgiftsbehandling kommer att lämnas oreglerad inom området nationell säkerhet. På samma sätt som Säkerhetspolisen i dag tillämpar polisdatalagen och vissa bestämmelser i personuppgiftslagen i verksamhet som rör nationell säkerhet bör, enligt utredningen, myndigheten i framtiden tillämpa vissa bestämmelser i brottsdatalagen. Vilka bestämmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör regleras kommer utredningen att behandla i slutbetänkandet. (Se SOU 2017:29 s. 175 ff.)

7. Pågående arbeten

7.1. Internationellt arbete

Intresset för att använda sig av PNR-uppgifter i den brottsbekämpande verksamheten är stort över hela världen. Flera länder, t.ex. USA, Australien och Kanada, har redan etablerade PNR-system. Även Storbritannien har ett fungerande system i bruk. Exempelvis Frankrike och Ungern har också legat långt fram i arbetet med att driftsätta egna PNR-system.

Som angetts i avsnitt 3.2 ingick EU i mitten av 2000-talet avtal som reglerar överföringen av PNR-uppgifter från flygbolag till USA, Australien och Kanada. Avtalen har därefter omförhandlats. De nya avtalen med USA och Australien har godkänts av Europaparlamentet och har trätt i kraft. Vad gäller det planerade avtalet med Kanada har Europaparlamentet ännu inte tagit ställning. Parlamentet har begärt ett yttrande från EU-domstolen bl.a. i frågan om avtalet är förenligt med EU-fördraget och EU-stadgan vad gäller fysiska personers rätt till skydd av personuppgifter. Generaladvokaten har lämnat ett förslag till yttrande där det anges att vissa förtydliganden måste göras i avtalet och/eller vissa av bestämmelserna utgå för att avtalet ska vara förenligt med stadgan och inte gå utöver vad som är strängt nödvändigt för att uppnå målsättningen att skydda den allmänna säkerheten. Något yttrande från EU-domstolen har dock ännu inte kommit. Under 2015 antog EU:s ministerråd ett beslut som godkänner att förhandlingar inleds om ett avtal med Mexiko.

Fem länder, Storbritannien, USA, Kanada, Australien och Nya Zeeland, har ett underrättelsesamarbete kallat ”The Five Eyes” som även behandlar PNR- och API-frågor. Inom ramen för samarbetet utbyter länderna erfarenheter kring användningen av PNR- och APIuppgifter samt även operativ information.

7.1.1. Arbete inom PNRGOV Working Group

Som framgått i avsnitt 4.2.1 rekommenderas i annex 9 till Chicagokonventionen att de fördragsslutande staterna använder sig av standardformatet PNRGOV för överföringen av PNR-uppgifter. I annexet anges även att de fördragsslutande stater som kräver tillgång till PNR-uppgifter bör anpassa sin behandling av uppgifterna och sina tekniska krav till vissa angivna riktlinjer, bl.a. instruktioner för implementering av standardformatet PNRGOV.

PNRGOV har utarbetats gemensamt av stater, lufttrafikföretag och tjänsteleverantörer. Formatet uppdateras ständigt och instruktionerna för dess implementering finns för närvarande i version 16.1. Arbetet relaterat till PNRGOV utförs av en arbetsgrupp bestående av företrädare för såväl industrin som olika stater och leds av Iata. Arbetsgruppen, med namnet PNRGOV Working Group, håller årligen två möten där standardformatet diskuteras och förslag till förändringar tas fram. Vid mötena deltar Iata, Icao, WCO samt företrädare för olika länder, flygbolag och systemleverantörer.

7.1.2. Arbete inom EU

Samtliga berörda medlemsstater arbetar nu med att genomföra PNR-direktivet i nationell rätt och i den operativa verksamheten. Beroende på befintliga system och den nuvarande användningen av PNR-uppgifter i brottsbekämpningen har medlemsstaterna kommit olika långt i detta arbete.

Enligt artikel 4 i PNR-direktivet ska varje medlemsstat inrätta eller utse en myndighet eller del av en myndighet som ska fungera som medlemsstatens enhet för passagerarinformation. Den engelska benämningen för enheten är Passenger Information Unit (PIU). Enheten ska ansvara för att samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra uppgifterna eller resultatet av behandlingen av dem till behöriga myndigheter. Enheten ska även ansvara för att utbyta uppgifterna med främst andra medlemsstaters motsvarande enheter och med Europol.

Under tiden PNR-direktivet har förhandlats har kommissionen skapat en möjlighet för medlemsstaterna att ansöka om bidrag för att etablera nationella enheter för passagerarinformation och för att bygga upp nödvändiga rutiner och datastöd. 14 medlemsstater, där-

ibland Sverige, har ansökt och erhållit bidrag från den s.k. ISECfonden1. Sedan PNR-direktivet antogs har kommissionen erbjudit juridisk assistans, expertis och ekonomisk support för att tillse att fungerande enheter för passagerarinformation byggs upp inom medlemsstaterna och kommer att vara på plats när direktivet ska vara genomfört i maj 2018. Ytterligare ekonomiskt stöd finns att ansöka om för perioden 2017–2020. Kommissionen har även anordnat möten där frågor kring implementeringen har diskuterats tillsammans med medlemsstaterna. Hittills har fyra sådana möten hållits under kommissionens ledning.

Enligt artikel 8.3 i PNR-direktivet ska all överföring av PNRuppgifter från lufttrafikföretag till enheter för passagerarinformation ske på elektronisk väg med användning av gemensamma protokoll och understödda dataformat. Gemensamma protokoll ska användas så att PNR-uppgifternas säkerhet under överföringen tryggas. Understödda dataformat ska säkerställa att de överförda uppgifterna kan läsas av alla berörda parter. Kommissionen har enligt direktivet getts befogenhet att anta en förteckning över de gemensamma protokoll och understödda dataformat som ska användas (artikel 16.2). Kommissionen har i detta arbete biträtts av en kommitté bestående av företrädare för medlemsstaterna. Arbetet är nu slutfört och ett genomförandebeslut har trätt i kraft.2

Inom EU finns även en operativ arbetsgrupp som har till uppgift att säkerställa ett harmoniserat genomförande av PNR-direktivet i medlemsstaterna. Arbetsgruppen utgör ett forum för de framtida enheterna för passagerarinformation och lämnar stöd under arbetet med att implementera direktivet. Gruppen har till syfte att främja största möjliga samarbete och utbyte av information mellan olika enheter för passagerarinformation. Arbetsgruppen är också tänkt att utgöra en grund för ett framtida nätverk mellan enheterna för passagerarinformation. Alla medlemsstater ansvariga för PNR-projekt deltar i arbetsgruppens arbete, som leds av ordförandeskapet.

Inom kommissonens Generaldirektorat för skatter och tullar (Taxud) pågår ett arbete som syftar till att så många tullmyndig-

1 Program “Prevention of and Fight against Crime” (ISEC). 2 Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation.

heter som möjligt ska bli delaktiga i medlemsstaternas enheter för passagerarinformation.

7.2. Arbete i Sverige

7.2.1. Arbete med att upprätta en nationell enhet för passageraruppgifter

Polismyndigheten har till uppgift att förebygga, upptäcka och utreda de flesta av de brott som omfattas av PNR-direktivet. Enligt våra utredningsdirektiv är en utgångspunkt för utredningens uppdrag att den svenska enheten för passagerarinformation ska placeras vid Polismyndigheten.

Polismyndigheten har tillsammans med Tullverket, som framgått ovan, ansökt och erhållit bidrag från en EU-fond. Fondmedlen har avsett att förbereda och sätta upp en it-plattform som kan hämta in PNR-uppgifter från flygbolag och som kan användas för att bearbeta de inhämtade uppgifterna. I ansökan angavs även att en enhet för passagerarinformation skulle etableras. Projektet har tilldelats 1,08 miljoner euro från fonden. Sverige har därefter fått vissa, begränsade, medel för 2017 och kommer att ansöka om ytterligare medel för 2018 och 2019.

Polismyndigheten, Tullverket och Säkerhetspolisen har genomfört en förstudie gällande införandet av en systematiserad hantering av såväl PNR- som API-uppgifter. Projektet startade i november 2014 och redovisades i en rapport daterad den 14 augusti 2015. Enligt rapporten syftar den till att skapa en gemensam bild för såväl Polismyndigheten, Säkerhetspolisen och Tullverket som för berörda departement kring den verksamhet som ska ansvara för hanteringen av PNR- och API-uppgifter. Rapporten syftar också till att tydliggöra verksamhetsnyttan för den brottsbekämpande och brottsförebyggande verksamheten och utgöra ett beslutsunderlag för att starta utvecklingsprojekt för både verksamheten och dess it-stöd.

I förstudierapporten lämnas vissa förslag på hur den nationella enheten för passagerarinformation bör organiseras. Enheten föreslås vara bemannad dygnet runt och bestå av personal som har sin grundanställning inom Polismyndigheten, Säkerhetspolisen eller Tullverket. Tillgång till passageraruppgifterna ska ske via ett it-stöd som uppfyller ställda säkerhetskrav. Förstudien innehåller även bl.a. uppgifter

om de olika roller och kompetenser som kommer att krävas vid enheten, uppgifter om processer och arbetssätt samt ett tekniskt lösningsförslag.

Det bedrivs för närvarande ett projekt vid Polismyndigheten som har till uppgift att etablera en nationell enhet för passagerarinformation med relevant it-stöd. Projektet omfattar såväl sådana uppgifter om passagerare som omfattas av PNR-direktivet, som sådana som omfattas av det tidigare genomförda API-direktivet. En utgångspunkt för projektet är att enheten för passagerarinformation ska behandla såväl sådana uppgifter som hämtas in enligt de nationella bestämmelser som genomför PNR-direktivet som de som genomför APIdirektivet. I det senare fallet är planeringen dock att enheten för passagerarinformation endast ska utgöra en stödfunktion, eftersom berörda myndigheter kommer att ha direktåtkomst till uppgifterna i det registret. När det gäller PNR-uppgifter kommer enheten att ansvara för behandlingen av uppgifterna och direktåtkomst till uppgifterna i PNR-databasen kommer inte att vara tillåten.

Vid Polismyndighetens fortsatta arbete med att inrätta en enhet för passagerarinformation har de i förstudien angivna organisationsförslagen vidhållits.

7.2.2. Arbetet med direktivets tekniska bestämmelser

Inom Polismyndigheten pågår således ett arbete med att införa ett automatiserat och strukturerat system för hantering av PNR-uppgifter. Utgångspunkten är att systemet ska ge de behöriga myndigheterna ett effektivt och användarvänligt verktyg för behandlingen av uppgifterna. Tanken är också att enheten för passagerarinformation ska ge likvärdig service till de behöriga myndigheterna. Internationella riktlinjer angående överföring av PNR-uppgifter följs under arbetet.

Analyssystemet för PNR-uppgifter kommer att göra automatiska sökningar mot olika databaser. Exempel på sådana databaser är Sis (Schengens informationssystem) och Interpols STLD (Stolen and lost travel documents). En utgångspunkt är att de sökningar som görs vid en normal gränskontroll ska kunna utföras, dock med de begränsningar som följer av PNR-direktivet och datakvalitet. Vidare

kommer systemet att ge möjlighet att jämföra PNR-uppgifter med på förhand fastställda kriterier, s.k. profilering.

De behöriga myndigheterna kommer att få möjlighet att via särskilda sökmallar i ett gemensamt it-system göra förfrågningar hos enheten för passagerarinformation. Stort arbete kommer att läggas på att göra dessa beställningar så lätthanterliga som möjligt. Vidare kommer systemet att utformas så att det inte tillåter vissa beställningar som är oförenliga med PNR-direktivet. Beställningarna kommer att skickas via systemets ärendehantering till en analytiker vid enheten för passagerarinformation, som kontrollerar beställningen och godkänner att den körs i systemet. Systemet genomför därefter en sökning mot den information som finns lagrad. Vid en träff informerar systemet analytikern som analyserar informationen mer i detalj och överför resultatet till behörig myndighet.

Med tanke på de risker som är förknippade med behandlingen och arten av PNR-uppgifterna är det viktigt att systemet håller en hög säkerhetsnivå. Samråd planeras därför ske med Datainspektionen och Säkerhets- och integritetsskyddsnämnden under arbetet med att utforma it-stödet. Såvitt vi erfarit har sådant samråd ännu inte skett.

VÅRA ÖVERVÄGANDEN

OCH FÖRSLAG

8. Utgångspunkter och inledande ställningstaganden

8.1. Allmänt om att genomföra EU-direktiv

Vårt övergripande uppdrag är att föreslå de författningsändringar och andra åtgärder som krävs för att genomföra PNR-direktivet i svensk rätt. Ett direktiv har som syfte att harmonisera medlemsstaternas lagstiftning. När ett direktiv genomförs nationellt ska varje medlemsstat besluta de lagar och andra författningar som garanterar att direktivet tillämpas fullt ut på ett tillräckligt klart och precist sätt. Hur själva genomförandet av direktivet i en medlemsstats rättsordning närmare ska gå till överlämnas alltså åt varje stat att själv avgöra. En medlemsstat är följaktligen inte bunden av ett direktivs terminologi eller systematik, om det avsedda resultatet kan uppnås på något annat sätt. EU-direktiv ska således införlivas i nationell rätt genom den lagstiftningsteknik som är ändamålsenlig. Det finns inte heller något absolut krav på att direktiv ska föranleda ny författningsreglering. I den mån befintlig lagstiftning redan uppnår direktivets krav, behövs i princip inte några författningsändringar. Enskilda ska dock ha möjlighet att identifiera sina rättigheter enligt direktivet och kunna göra dessa rättigheter gällande vid domstol (se EU-domstolens domar i t.ex. mål C-131/88, kommissionen mot Tyskland, REG 1991 I-825, och i mål C-361/88, kommissionen mot Tyskland, REG 1991 I-2567).

Det avgörande är således att det i nationell rätt läggs fast en rättslig ram som garanterar att direktivet tillämpas fullt ut på ett tillräckligt klart och precist sätt och som gör det möjligt för enskilda individer att på ett tydligt sätt urskilja vilka rättigheter och skyldigheter de har enligt unionsrätten.

8.2. En samlad ny lag

Vårt förslag: PNR-direktivet ska i huvudsak genomföras genom

införandet av en ny samlad lag.

PNR-direktivet innehåller flera nyheter i jämförelse med gällande svensk lagstiftning. Genom direktivet åläggs lufttrafikföretag att överföra PNR-uppgifter inför samtliga flygningar ankommande från eller avgående till ett land utanför EU. Enligt gällande svensk lagstiftning är dessa företag endast skyldiga att på begäran lämna över vissa uppgifter om sina passagerare till den efterfrågande myndigheten. Dagens uppgiftsskyldighet omfattar dock färre uppgifter än vad som enligt direktivet framöver ska överföras. PNR-direktivet innehåller vidare för svensk rätt nya företeelser som en databas för PNR-uppgifter och en enhet för passagerarinformation som ska bearbeta uppgifterna. Lagring, analys och utbyte av PNR-uppgifter på det sätt som föreskrivs i direktivet förekommer inte i dag i Sverige.

PNR-direktivet innebär alltså inte, för Sveriges vidkommande, att en redan befintlig verksamhet och reglering ska anpassas till en inom EU utformad harmoniserad reglering för medlemsstaternas pågående verksamheter, så som annars ganska ofta är fallet vid genomförande av direktiv. Genom PNR-direktivet införs i stället en på det hela taget ny verksamhet; ett system för behandling av PNRuppgifter i en kvantitativ och kvalitativ omfattning som kan sägas innebära ett nytt brottsbekämpningsverktyg i Sverige. Det anförda innebär att en rad helt nya bestämmelser behöver införas för att Sverige ska uppfylla sina skyldigheter enligt direktivet. Frågan är hur regleringen lämpligen bör struktureras rent lagtekniskt.

PNR-direktivet innehåller dels verksamhetsreglering, dels dataskyddsreglering. Till verksamhetsregleringen hör sådana bestämmelser vilka medlemsstaterna måste omvandla till nationell författningsreglering med handlingsdirektiv som anger vad som ska göras med PNR-uppgifterna; att de ska sändas från lufttrafikföretagen till nationella enheter för passagerarinformation, att de ska lagras av enheterna viss period och vidaresändas i vissa fall till behöriga mottagare m.m. Till dataskyddsregleringen hör sådana bestämmelser som sätter gränser för vad behöriga myndigheter får göra med uppgifterna eller som anger vissa rättigheter för enskilda registrerade m.m., dvs. bestämmelser som syftar till att ge skydd för personuppgifter vid den

personuppgiftsbehandling som systemet med användning av PNRuppgifter inom brottsbekämpningen för med sig. Bestämmelsernas utformning är dock ibland sådan att de olika karaktärerna av reglering är sammanvävda och svåra att särskilja. Direktivet är vidare omfattande och komplext, bl.a. i det att det berör helt olika slags aktörer; såsom kommersiellt verksamma flygbolag och brottsbekämpande myndigheter.

Rent lagtekniskt finns det olika tänkbara sätt att helt eller delvis inarbeta PNR-direktivet i redan gällande lagstiftning. En möjlighet vore således att inarbeta verksamhetsregleringen i t.ex. polislagen (1984:387) och den nya lag om internationellt polisiärt samarbete som ska träda i kraft den 2 juli 2017 (se avsnitt 6.4.3). Dataskyddsregleringen skulle kunna tas in i polisdatalagen och andra registerförfattningar som gäller för myndigheter som kommer att få motta PNRuppgifter. Regleringen av lufttrafikföretagens skyldigheter skulle vidare kunna tas in i luftfartslagen (2010:500) eller lagen (2010:510) om lufttransporter.

Vår bedömning är dock att en sådan uppsplittrad lagteknisk lösning skulle vara komplicerad, oöverskådlig och kräva korshänvisningar som skulle göra tillämpningen besvärlig. Övervägande skäl talar i stället, enligt vår mening, för att direktivet i huvudsak bör införas i svensk rätt genom en samlad ny lag. Genom en sådan lösning kommer en överskådlig reglering av området för PNR-uppgifter att tillskapas. Dessutom framstår en samlad ny reglering för stunden som den mest praktiska lagtekniska lösningen med tanke på den pågående dataskyddsreformen och därav följande oklarhet om utformningen av den kommande regleringen på området.

8.3. Normgivningsnivå

Vårt förslag: Till den nya lagen ska det införas en anslutande för-

ordning. Centrala bestämmelser i direktivet ska finnas i lagen. Bestämmelser i frågor av mindre vikt för enskilda intressen och närmare bestämmelser rörande hanteringen av PNR-uppgifter m.m. ska tas in i förordningen.

Införandet av PNR-direktivet medför att uppgifter som ett lufttrafikföretag innehar om sina passagerare på flygningar till eller från EU ska överföras till enheten för passagerarinformation i det land dit flygningen kommer att ankomma eller i det land varifrån flygningen kommer att avgå. Enligt den överenskommelse som medlemsstaterna har ingått, och som ska börja gälla senast när direktivet ska vara genomfört i nationell rätt, ska direktivet även tillämpas på flygningar inom EU. Med hänsyn till den stora mängden flygresor som genomförs varje år är det fråga om ett mycket stort antal PNRuppgifter som ska överföras. Under 2015 uppgick antalet ankommande och avresande utrikespassagerare endast på de svenska flygplatserna till 27 miljoner, varav 20,3 miljoner reste till eller från andra EU-länder. Antalet flygpassagerare ökar ständigt och 2016 var antalet utrikespassagerare på de svenska flygplatserna 28,6 miljoner, varav 22 miljoner reste till eller från andra EU-länder.1

PNR-uppgifterna ska enligt direktivet lagras vid en nationell enhet för passagerarinformation, analyseras och gallras efter viss tid. Det kan förmodas att endast en mycket liten andel av uppgifterna kommer att bedömas ha samband med sådan brottslighet som faller under direktivet och därför kommer att överföras till behöriga myndigheter eller till andra länders enheter för passagerarinformation eller Europol. Det stora flertalet uppgifter som kommer att lagras vid enheterna avser alltså resenärer som inte på något sätt är inblandade i någon brottslighet.

Enligt 2 kap. 6 § RF är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden. Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ RF). Det har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

1 Enligt Transportstyrelsens statistikuppgifter. Observera dock att alla resande inom EU inte nödvändigtvis har ett EU-land som slutdestination. Statistiken avser första destinationsland efter avgång. Den som t.ex. flyger från Linköping till New York via Köpenhamn räknas i statistiken som resande inom EU.

Det kan diskuteras hur pass integritetskänsliga PNR-uppgifterna kan anses vara sedda var för sig. Emellertid möjliggör systemet, potentiellt sett, en ökad kartläggning av individers flygresor till och från Sverige. Uppgifterna, som från början samlats in av enskilda aktörer för kommersiella syften, görs tillgängliga för användning i viss slags brottsbekämpning trots att det stora flertalet passagerare saknar anknytning till brottslighet. Dessa förhållanden medför enligt vår uppfattning att direktivet huvudsakligen bör införas i svensk rätt genom lag. Vidare innebär direktivet att det måste införas åligganden för enskilda, nämligen lufttrafikföretagen, vilket kräver lagform, se 8 kap. 2 § RF. I den mån det inte finns några normgivningsmässiga eller annars principiella hinder kan dock förordningsform vara att föredra för vissa bestämmelser av för enskilda intressen mindre ingripande karaktär. I och med den relativt detaljerade reglering som ska genomföras enligt direktivet framstår det vidare som en ändamålsenlig ambition att vissa, mer tekniskt inriktade bestämmelser, tas in i en ny, till den nya lagen hörande förordning.

De delar av direktivet som bör införas i svensk rätt genom lag avser bl.a. de grundläggande bestämmelserna om lufttrafikföretagens skyldigheter, tillåten behandling och vidaresändande av PNR-uppgifter. Regleringen av närmare frågor om hanteringen av PNRuppgifterna m.m., kan dock föras in på förordningsnivå.

8.4. En grundläggande allmän utgångspunkt

Vår utgångspunkt: Utformningen av våra förslag ska ske med

beaktande av att det nya systemet för insamling och utbyte av PNR-uppgifter för brottsbekämpande syften är integritetskänsligt. En återhållsam hållning ska därför intas vid utformningen av våra förslag.

Som vi redan framhållit ovan innebär PNR-direktivet att det införs ett i princip nytt verktyg i brottsbekämpningen. Stora nationella databaser över resenärers flygresor kommer att byggas upp i medlemsstaterna. Även om systemet är uppbyggt så att så få uppgifter som möjligt om oskyldiga, vanliga passagerare ska nå ut till den brottsbekämpande verksamheten i Sverige eller utomlands, innebär PNRsystemet en potentiellt sett ökad kartläggning av personers inter-

nationella flygresande. Härigenom företer systemet i viss mån likheter med skyldigheten för teleoperatörerna att utföra en generell datalagring för brottsbekämpande syften, vilket har underkänts av EU-domstolen.2 Det rör sig således om en känslig verksamhet när det gäller skyddet för enskildas personliga integritet. Som framgått av avsnitt 7.2 sker vårt arbete med att föreslå direktivets rättsliga genomförande parallellt med arbetet att bygga upp ett organisatoriskt och tekniskt system som lever upp till direktivets krav.

Verksamhetens känsliga karaktär talar, tillsammans med bristande erfarenhet av hur man ska arbeta med PNR-uppgifterna, starkt för att ett återhållsamt förhållningssätt krävs när direktivet nu genomförs. Vår utgångspunkt är därför att våra förslag ska hålla sig nära lydelsen av direktivets bestämmelser samt att, i den mån direktivets bestämmelser öppnar för tolkningar, den tolkning ska väljas som är minst ingripande ur integritetssynpunkt.

Av bl.a. detta skäl vore det lämpligt med en utvärdering och en rättslig översyn efter det att PNR-systemet varit i drift en tid. En sådan utvärdering och översyn torde mycket väl kunna leda till att det identifieras behov av författningsändringar i olika avseenden. Detta kommer vi att beröra i senare avsnitt.

8.5. Den nya lagstiftningens förhållande till relevant dataskyddsreglering

Våra bedömningar: Eftersom PNR-direktivet ska införlivas sam-

tidigt som EU:s dataskyddsreform genomförs, bör våra författningsförslag lämpligen – och så lång möjligt i nuläget – anpassas till den reformen och det förslag om en ny ramlag som lämnats för att genomföra det nya dataskyddsdirektivet.

Övervägande skäl talar för att i lagen inte närmare reglera dess förhållande till mer generell dataskyddsreglering på området. Bestämmelserna i lagen kommer dock att i olika avseenden gälla utöver eller i stället för de generella bestämmelserna i dataskyddsförordningen, den nya ramlag som genomför det nya dataskydds-

2 Dom den 21 december 2016 i de förenade målen C-203/15 och C-698/15, Tele2 Sverige och Watson m.fl.

direktivet och annan särreglering för dataskydd som gäller eller kommer att gälla för berörda myndigheter.

Vårt förslag: Det tas i de behöriga myndigheternas allmänna

registerförfattningar in bestämmelser om att det i den av oss föreslagna lagen och i föreskrifter som meddelats med stöd av den lagen finns bestämmelser om personuppgiftsbehandling som ska tillämpas i stället för bestämmelserna i aktuell registerförfattning.

Den nya lagen kommer att innehålla bestämmelser som berör flera olika aktörer; främst lufttrafikföretag och olika myndigheter med uppgifter inom det slags brottsbekämpning som avses i PNRdirektivet. Verksamheterna hos dessa aktörer är redan föremål för mer eller mindre ingående författningsreglering. Detta gäller även den personuppgiftsbehandling som sker i verksamheterna. Några grundläggande relationer till annan lagstiftning måste därför redas ut. Det gäller framför allt förhållandena till de nya generella regleringarna på dataskyddsområdet, nämligen dataskyddsförordningen och det förslag till ramlag som genomför det nya dataskyddsdirektivet. Även några andra regleringar kommer att beröras nedan.

EU:s dataskyddsreform

EU:s nya dataskyddsförordning antogs den 27 april 2016. Förordningen, som ska börja tillämpas den 25 maj 2018, utgör en ny generell reglering för personuppgiftsbehandling och kommer att ersätta dataskyddsdirektivet från år 1995. Samtidigt antogs ett nytt dataskyddsdirektiv som ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I detta ingår även att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Personuppgiftsbehandling som ligger inom direktivets tillämpningsområde är undantagen från dataskyddsförordningens tillämpningsområde. Det nya dataskyddsdirektivet ska vara genomfört i nationell rätt senast den 6 maj 2018. Se en något mera utförlig beskrivning av reformen i avsnitt 6.5.

Förslag till anpassning och genomförandet i Sverige

Två olika utredningar har analyserat den nya förordningen och det nya direktivet.

Dataskyddsutredningen har i betänkandet Ny dataskyddslag.

Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39) bl.a. lämnat förslag till en ny lag, dataskyddslagen, med kompletterande bestämmelser till dataskyddsförordningen. Till lagen har även föreslagits en anslutande förordning. Enligt förslaget till kompletterande lag ska dataskyddsförordningen, i den ursprungliga lydelsen, i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Alla bestämmelser i förordningen gäller dock inte, t.ex. inte de som reglerar skyldigheter för medlemsstaters nationella tillsynsmyndigheter att samarbeta med den svenska tillsynsmyndigheten eller den europeiska tillsynsmyndighetens befogenheter (a. SOU s. 354).

Den till dataskyddsförordningen kompletterande lagen föreslås vara subsidiär till annan lagstiftning (1 kap. 3 §). Avvikande bestämmelser i annan lag eller förordning gäller alltså i stället för lagen.

Utredningen om 2016 års dataskyddsdirektiv har i delbetänkandet

Brottsdatalag (SOU 2017:29) lämnat förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde. I delbetänkandet föreslås en ny ramlag, brottsdatalagen, som ska vara generellt tillämplig vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Ramlagen föreslås också gälla vid behöriga myndigheters personuppgiftsbehandling som utförs i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 § förslaget till brottsdatalag). Med behörig myndighet avses en myndighet som har till uppgift att utföra sådan brottsbekämpning m.m. som nyss sagts (1 kap. 6 §). Genom en särskild bestämmelse föreslås dock att Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet inte ska omfattas av lagens tillämpningsområde (1 kap. 4 §). Detsamma ska gälla om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Enligt vad utredningen anger i delbetänkandet som sin uppskatt-

ning ligger Säkerhetspolisens verksamhet i allt väsentligt utanför det nya dataskyddsdirektivets tillämpningsområde, bl.a. dess verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott samt att utreda och beivra sådana brott (a. SOU s. 175).

I förslaget föreslås att ramlagen ska vara subsidiär till annan lagstiftning. I 1 kap. 5 § föreskrivs således att om det i en annan lag eller en förordning finns bestämmelser som avviker från ramlagen, ska de bestämmelserna gälla. Om det i en viss myndighets registerförfattning, t.ex. polisdatalagen, finns avvikande bestämmelser gäller alltså de i stället för ramlagen.

I det återstående uppdraget för Utredningen om 2016 års dataskyddsdirektiv innefattas bl.a. att lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna. De centrala författningarna avser bl.a. polisdatalagen och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet3. Vidare ska utredningen överväga om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag. Uppdraget ska slutredovisas senast den 30 september 2017.

Olika regleringsmodeller för registerförfattningar

I nuvarande dataskyddsreglering finns, såsom beskrivits i avsnitt 6.3, personuppgiftslagen varigenom 1995 års dataskyddsdirektiv genomförts. Personuppgiftslagen är generellt tillämplig och gäller även för personuppgiftsbehandling vid brottsbekämpande verksamhet trots att det bakomliggande dataskyddsdirektivet undantar sådan verksamhet från dess tillämpningsområde. Personuppgiftslagen är dock subsidiär till avvikande reglering i annan lag eller förordning (2 § PUL). Inom främst myndighetsområdet finns en mycket stor mängd särregleringar i förhållande till personuppgiftslagen som innehåller just från personuppgiftslagen avvikande regleringar. Det kan handla om författningar som reglerar viss registerföring eller författningar som

3 Ersätts av tullbrottsdatalagen (2017:000) den 1 juli 2017.

mer övergripande reglerar dataskyddsfrågor vid personuppgiftsbehandling vid en viss myndighet eller viss verksamhet. Det gemensamma begreppet för sådan särreglering är registerförfattning.

I dagens registerförfattningar förekommer vanligen bestämmelser som på ett eller annat sätt klargör lagens förhållande till personuppgiftslagen. Olika regleringsmodeller har kommit till användning, huvudsakligen enligt antingen den kompletterande modellen eller den hänvisande modellen men det finns även en heltäckande variant.

De flesta registerförfattningar är i dag utformade i enlighet med den kompletterande modellen. Den tekniken kännetecknas av att särregleringen endast kompletterar eller ersätter huvudregleringen, dvs. personuppgiftslagen, i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Den myndighet som berörs måste därmed tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Personuppgiftslagen ska tillämpas om inte annat följer av registerförfattningen eller av föreskrifter som meddelats med stöd av registerförfattningen. Detta gäller oavsett om registerförfattningen i fråga innehåller eller inte innehåller någon bestämmelse som anger vilket förhållande som gäller mellan författningen och personuppgiftslagen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt personuppgiftslagen får göras med tillämpning av sedvanliga metoder för tolkning av författningar (se prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltså inte måste regleras att registerförfattningen och personuppgiftslagen kompletterar varandra på detta sätt, innehåller registerförfattningar ofta bestämmelser som ger uttryck för förhållandet till personuppgiftslagen, dvs. det anges på ett eller annat sätt att personuppgiftslagen gäller utöver registerförfattningen. Ofta anges detta i en paragraf under en särskild rubrik, exempelvis Förhållandet till personuppgiftslagen.

Vid användning av den hänvisande modellen anges i registerförfattningen att den gäller i stället för personuppgiftslagen, om inte annat anges i bestämmelser i registerförfattningen som hänvisar till särskilt utpekade bestämmelser i personuppgiftslagen som ska vara tillämpliga även vid behandling av personuppgifter enligt registerförfattningen i fråga. Även vid den hänvisande modellen måste alltså myndigheten tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Däremot behöver man inte jämföra bestämmelserna i de båda författningarna

för att komma fram till vad som gäller. Den hänvisande modellen används i flertalet registerförfattningar som gäller för behandling av personuppgifter inom den brottsbekämpande sektorn, exempelvis polisdatalagen och den nya tullbrottsdatalagen som träder i kraft den 1 juli 2017.

För de registerförfattningar som är konstruerade enligt den heltäckande modellen är personuppgiftslagen över huvud taget inte tillämplig beträffande den behandling av personuppgifter som regleras genom författningen. De bestämmelser i personuppgiftslagen som trots detta ska tillämpas i den aktuella verksamheten upprepas i stället i registerförfattningen, vilket i praktiken innebär ett slags dubbelreglering. Fördelen är att tillämparen inte behöver läsa i två olika lagar – registerförfattningen respektive personuppgiftslagen – för att konstatera vilka bestämmelser som reglerar den aktuella personuppgiftsbehandlingen. Registerförfattningen är således heltäckande på så sätt att den helt ersätter personuppgiftslagen. Den heltäckande modellen är ovanlig men används t.ex. i kameraövervakningslagen (2013:460).

Våra bedömningar och förslag

Vårt förslag till lagstiftning för genomförande av PNR-direktivet innehåller bestämmelser som direkt eller indirekt gäller personuppgiftsbehandling hos så pass skilda aktörer som kommersiella lufttrafikföretag och myndigheter som ska använda PNR-uppgifter. Beträffande de sistnämnda har regeringen den 4 maj 2017 utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten såsom behöriga myndigheter enligt artikel 7 i direktivet. Möjligen kommer andra myndigheter att efter hand läggas till. Det är därmed inte möjligt att med en enda bestämmelse klargöra relationen till annan dataskyddsreglering. I det följande behandlar vi frågan i vilken utsträckning det behövs.

Redan här vill vi emellertid framhålla att det mot bakgrund av dataskyddsreformen, som ska genomföras ungefär samtidigt med PNR-direktivet, ter sig mest ändamålsenligt att våra förslag anpassas till reformen i stället för till nu gällande personuppgiftslag. Vi återkommer nedan till detta.

Förhållandet till dataskyddsförordningen

Vissa bestämmelser i den nya lag som vi föreslår kommer att ha lufttrafikföretagen som adressat. Dessa bestämmelser handlar i allt väsentligt om skyldigheter för företagen att leverera PNR-uppgifter till en nationell enhet för passagerarinformation som ska finnas hos Polismyndigheten. Dessa är i och för sig inga dataskyddsbestämmelser men dess fullföljande medför av naturliga skäl en personuppgiftsbehandling i och med översändandet till enheten. Lufttrafikföretagen kommer vid sin personuppgiftsbehandling att omfattas av dataskyddsförordningens bestämmelser. Det innebär bl.a. att förpliktelsen att leverera PNR-uppgifter till de olika enheterna för passagerarinformation i EU, däribland den svenska, kommer att utgöra en sådan laglig grund för behandlingen som avses i artikel 6.1 c om nödvändig behandling för att fullgöra en rättslig förpliktelse. Även den av Dataskyddsutredningen föreslagna kompletterande lagen kommer i princip bli tillämplig, i vart fall i den utsträckning som ett utländskt lufttrafikföretag alls träffas av svensk författningsreglering. De flesta bestämmelser i den lagstiftning vi föreslår kommer emellertid inte att rikta sig till lufttrafikföretagen. På grund därav och på grund av karaktären på de bestämmelser som faktiskt riktar sig till lufttrafikföretagen ser vi inte tillräckliga skäl att ta in en bestämmelse i lagen som mer allmänt upplyser om dess förhållande till dataskyddsförordningen. Förordningen kommer att gälla oavsett. I senare avsnitt kommer vi emellertid, i mån av behov, att ytterligare behandla vad som följer av dataskyddsförordningen.

Förhållandet till den föreslagna ramlagen, brottsdatalagen

Vi kommer i vårt arbete att i stor utsträckning förhålla oss till det förslag till ramlag som lämnats av Utredningen om 2016 års dataskyddsdirektiv såsom om den vore genomförd i enlighet med utredningsförslaget. Av framställningstekniska skäl har vi valt att konsekvent kalla förslaget för brottsdatalagen och även använda förkortningen BDL i anslutning till hänvisningar till föreslagna bestämmelser. Det kan förvisso te sig ovanligt att i så stor utsträckning förhålla sig till ett författningsförslag som ännu inte är antaget av riksdagen och inte heller har föreslagits av regeringen eller ens remissbehandlats. Det är dock fråga om en ovanlig situation där våra för-

fattningsförslag, såsom anförts ovan, bör anpassas till genomförandet av det nya dataskyddsdirektivet som ska genomföras ungefärligen vid samma tidpunkt. I sammanhanget kan nämnas att flera artiklar i PNR-direktivet hänvisar till dataskyddsrambeslutet. Dessa hänvisningar ska enligt skäl 27 i direktivet också ses som hänvisningar till den rättsakt som ersätter rambeslutet, dvs. det nya dataskyddsdirektivet (se avsnitt 6.5.3). Eftersom andra förhållningspunkter saknas har vi i vårt arbete och i utformningen av våra författningsförslag utgått från att brottsdatalagen kommer att genomföras på utsatt datum och på det sätt som föreslagits. Vi är dock medvetna om att i den mån det vidare lagstiftningsarbetet med förslagen i delbetänkandet Brottsdatalag leder till förändringar i författningsförslagen, kan det få följdverkningar på det vidare lagstiftningsarbetet med våra förslag.

Vi bedömer att den personuppgiftsbehandling som kommer att ske hos den nationella enheten för passagerarinformation som en följd av PNR-direktivets bestämmelser faller in under den nya brottsdatalagens tillämpningsområde. Enhetens arbete med PNR-uppgifterna kommer att ingå i Polismyndighetens verksamhet i stort med att förebygga, förhindra, upptäcka, utreda eller lagföra brott, om än bara avseende viss slags brottslighet; terroristbrottslighet och grov brottslighet. I och med att enheten ska finnas hos Polismyndigheten, kommer det föreslagna undantaget i brottsdatalagen för Säkerhetspolisen inte att omfatta enhetens behandling av PNR-uppgifter ens när den avser bekämpning av terroristbrottslighet. Det är alltså vår uppfattning att Polismyndigheten i detta avseende inte kan anses ha övertagit en uppgift rörande nationell säkerhet från Säkerhetspolisen när Polismyndigheten, genom den nationella enheten för passagerarinformation, fullgör sina uppgifter enligt den av oss föreslagna lagen.

Det är vidare vår uppfattning att brottsdatalagen, som förslaget nu är utformat, kommer att i och för sig vara tillämplig på behandlingen av PNR-uppgifter hos sådana svenska myndigheter som ska vara behöriga myndigheter enligt PNR-direktivet och som omfattas av den lagens tillämpningsområde i sin brottsbekämpande verksamhet, nämligen i vart fall Polismyndigheten, Tullverket, och Ekobrottsmyndigheten.

Frågan är om brottsdatalagens tillämplighet bör framgå i lagen genom någon bestämmelse på sätt som i dag vanligen sker när det

gäller befintliga registerförfattningars förhållande till personuppgiftslagen.

Som framgått kommer avvikande bestämmelser i annan lag eller förordning att gälla framför brottsdatalagens bestämmelser alldeles oavsett om detta anges i registerförfattningar eller inte. Omvänt gäller vidare att brottsdatalagens bestämmelser kommer att vara tillämpliga även på en registerförfattnings tillämpningsområde, i den utsträckning som den sistnämnda inte innehåller avvikande bestämmelser och givetvis i övrigt faller under brottsdatalagens tillämpningsområde.

Utredningen om 2016 års dataskyddsdirektiv har aviserat att det kommer att lämnas förslag om en delvis ny regleringsmodell för registerförfattningarna på området. Enligt förslaget ska registerförfattningarna anpassas till brottsdatalagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikelser från bestämmelserna i ramlagen (se SOU 2017:29 s. 141). Utredningen kommer dock, i enlighet med direktiven för arbetet, först i slutbetänkandet lämna förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av brottsdatalagen.

De redovisade modeller som förekommer bland gällande registerförfattningar är alla förenade med både för- och nackdelar. Vår ambition är att anpassa vår lagkonstruktion till hur de centrala författningarna om personuppgiftsbehandling på det brottsbekämpande området kommer att se ut framöver.

Utredningen om 2016 års dataskyddsdirektiv har alltså redan angett att särförfattningarna ska utformas i enlighet med den kompletterande modellen. Hur detta kommer att närmare utformas är dock på nuvarande stadium inte klart, dvs. om det kommer att föras in bestämmelser i respektive registerförfattning som klargör dess förhållande till brottsdatalagen eller inte.

Vi ser inte skäl att föreslå en annan lagteknisk lösning för vår lag, i den utsträckning den riktar sig till myndigheter som är behöriga myndigheter enligt den nya brottsdatalagen. Även den lagstiftning vi föreslår bör alltså vara kompletterande och gälla utöver brottsdatalagen. Frågan är om det behöver anges på annat sätt än genom den bestämmelse i brottsdatalagen som anger att avvikande bestämmelser i lag eller förordning gäller före den lagen.

Brottsdatalagen är utformad för och kommer att, med visst undantag, att gälla generellt för brottsbekämpande verksamhet vid myndigheter som har till uppgift att bedriva sådan verksamhet. Detta kommer att bli väl inarbetat hos dessa myndigheter. Vi ser därför inte att det finns ett behov av att i en allmän bestämmelse i den lag vi föreslår upplysa om förhållandet till brottsdatalagen, vare sig att brottsdatalagen gäller utöver de regler som finns i den föreslagna lagen eller, motsatsvis, att den föreslagna lagens bestämmelser ersätter eller gäller utöver brottsdatalagens bestämmelser. Det sagda menar vi bör gälla för såväl den reglering som avser personuppgiftsbehandling vid enheten för passagerarinformation vid Polismyndigheten som de bestämmelser som berör den behandling som kommer att ske hos behöriga myndigheter när de mottar PNR-uppgifter och som annars omfattas av brottsdatalagens tillämpningsområde. Till detta kommer att Säkerhetspolisen föreslås stå utanför ramlagens tillämpningsområde när den mottagit PNR-uppgifter i sin verksamhet med att bekämpa terroristbrottslighet. Även Försvarsmakten torde stå utanför brottsdatalagens tillämpningsområde i den verksamhet vari det kan bli aktuellt att motta PNR-uppgifter från enheten för passagerarinformation. För Säkerhetspolisens och Försvarsmaktens del skulle därvid behövas någon specialreglering som inte skulle underlätta begripligheten i lagstiftningen.

Sammantaget är det alltså vår bedömning att övervägande skäl talar för att det är mest ändamålsenligt att inte ta in någon bestämmelse i den av oss föreslagna lagen som upplyser om det som redan gäller vare sig det uttrycks särskilt i lagen eller inte. Med detta åsyftas att brottsdatalagen också gäller vid behandlingen av PNR-uppgifter i tillämpliga delar för sådana myndigheter som också annars har att tillämpa brottsdatalagen, dock inte i den utsträckning den av oss föreslagna lagen kommer att innehålla från brottsdatalagen avvikande bestämmelser. I följande avsnitt kommer vi att i mån av behov närmare beröra vilka bestämmelser i brottsdatalagen som kommer att vara tillämpliga och vilka bestämmelser i den av oss föreslagna lagen som gäller i stället för brottsdatalagen. I övrigt blir det dock en rättstillämpningsfråga att bedöma i vad mån en bestämmelse i vår föreslagna lagstiftning innefattar en avvikelse. Den frågan får avgöras med sedvanliga metoder för tolkning av författningar.

Det är möjligt att de lagtekniska lösningarna för registerförfattningars förhållande till brottsdatalagen som Utredningen om

2016 års dataskyddsdirektiv kommer att föreslå blir andra och att det därför, för att uppnå konsekvensens och ändamålsenlighet på området, finns anledning att i det fortsatta arbetet med genomförandet av PNR-direktivet anpassa våra förslag till dessa kommande, mer generella lösningar.

Registerförfattningar

En ytterligare fråga är hur den av oss föreslagna lagstiftningen ska förhålla sig till sådana registerförfattningar som i dag gäller och som framöver kommer att anpassas till brottsdatalagen.

Utgångspunkten för vårt uppdrag är, enligt våra kommittédirektiv, att den nationella enheten för passagerarinformation ska inrättas vid Polismyndigheten. Vi kommer att behandla detta mer ingående i avsnitt 10. Redan här och i linje med det ovan sagda kan sägas att enhetens arbete kommer att omfattas av tillämpningsområdet för polisdatalagen i dess nuvarande lydelse (1 kap. 2 § första stycket 1 PDL). Det är oklart hur polisdatalagens tillämpningsområde kommer att anges i det anpassade förslag som Utredningen om 2016 års dataskyddsdirektiv ska föreslå. Vi har därför att utgå från den utformning som finns i dag.

Många bestämmelser i den lag vi föreslår kommer att avvika från regleringen i polisdatalagen. Det gäller t.ex. bestämmelser om tillåtna ändamål, behandling av känsliga personuppgifter, gallring, åtkomst m.m. Det skulle tala för att den av oss föreslagna lagen helt skulle ersätta polisdatalagen. Samtidigt kommer emellertid enhetens arbete med PNR-uppgifter att innefatta en hel del annan personuppgiftsbehandling än just den som specifikt rör PNR-uppgifter. Exempelvis ska PNR-uppgifter analyseras och jämföras med uppgifter i relevanta databaser. Detta kommer att beskrivas i avsnitt 13.

I den tämligen omfattande bearbetningen och i det analysarbete som ska ske vid enheten bör enligt vår mening polisdatalagen gälla i den utsträckning som den av oss föreslagna lagen inte innehåller avvikande bestämmelser. Vi föreslår därför detta. Rent lagtekniskt bör detta åstadkommas genom en bestämmelse som utformas med 1 kap. 4 § PDL som modell. Det bör alltså föras in en bestämmelse i polisdatalagen, 1 kap. 4 a §, av vilken framgår att det finns avvikande bestämmelser i den av oss föreslagna lagen som ska tillämpas

i stället för bestämmelserna i polisdatalagen när det gäller personuppgiftsbehandling vid enheten för passagerarinformation.

De behöriga myndigheterna kommer också att behandla PNRuppgifter när de väl mottagit denna information från enheten för passagerarinformation. Även för den behandlingen kommer det i våra författningsförslag finnas vissa begränsningar som går utöver vad som i dag gäller enligt polisdatalagen och motsvarande regleringar för andra behöriga myndigheter som utsetts eller senare kan komma att utses av regeringen till behöriga myndigheter enligt PNR-direktivet. Även för dessa behöriga myndigheter bör gälla att de avvikande bestämmelserna i vår lag ska gälla framför bestämmelserna i registerförfattningar som annars gäller i deras verksamheter.

I och med att Polismyndigheten och Ekobrottsmyndighetens utsetts som behöriga myndigheter kan den av oss nyss föreslagna bestämmelsen i polisdatalagen göras mer generell så att den omfattar all behandling enligt den av oss föreslagna lagen för dessa myndigheter. Enligt vad vi upplysts om är tanken att det endast är inom Ekobrottsmyndighetens polisiära del som det kommer att bli aktuellt att behandla PNR-information. Det bör därför, enligt vår bedömning, inte föreslås en motsvarande bestämmelse i åklagardatalagen (2015:433).

För Tullverkets del bör en motsvarande bestämmelse tas in i den nya tullbrottsdatalagen, Vi föreslår därför det. Bestämmelsen kan tas in som en nytt tredje stycke i 2 kap. 8 § TBL.

Med tanke på den osäkerhet som råder angående den kommande regleringen för Säkerhetspolisen har vi inte sett det som möjligt att lämna något förslag för den myndigheten. I den mån Säkerhetspolisen även framgent ska omfattas av polisdatalagens tillämpningsområde, kommer emellertid den bestämmelse vi ovan föreslagit i polisdatalagen att även omfatta Säkerhetspolisens personuppgiftsbehandling.

Särskilt om Försvarsmakten

Som nämnts ovan utsåg regeringen den 4 maj 2017 Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten såsom behöriga myndigheter enligt artikel 7 i direk-

tivet. Vi har av tidsskäl inte haft möjlighet att närmare behandla frågor som gäller Försvarsmakten.

Såvitt vi erfarit är tanken att PNR-information ska kunna mottas från eller begäras från enheten för passagerarinformation endast i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten. Inom den verksamheten gäller lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Regleringen av Försvarsmaktens behandling av personuppgifter, inklusive den nu nämnda lagen, kan komma att förändras betydligt till följd av förslag från den utredning som nyligen getts i uppdrag att se över regleringen av behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (dir. 2017:42). Det uppdraget ska dock redovisas först den 31 maj 2018. Det är därför vår uppfattning att en motsvarande bestämmelse som den vi ovan föreslagit för polisdatalagen och tullbrottsdatalagen bör införas i den nämnda lagen för försvarsunderrättelseverksamheten och militära säkerhetstjänsten i avvaktan på en eventuell ändrad reglering på Försvarsmaktens område. Vi föreslår därför detta och att en sådan bestämmelse tas in som en ny paragraf, 1 kap. 1 a §, i den lagen.

9. Den nya lagens inledande bestämmelser

9.1. Den nya lagens namn, innehåll och syfte

Våra förslag: Den nya lagen ska heta lagen om flygpassagerar-

uppgifter i brottsbekämpningen. Lagen ska inledas med bestämmelser som i korthet anger lagens innehåll och att lagen innebär ett genomförande av PNR-direktivet.

Syftet med lagen ska vara att dels tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som omfattas av PNR-direktivets tillämpningsområde, dels skydda människor mot att deras personliga integritet kränks vid behandling av uppgifter om dem. Syftet ska uttryckligen anges i lagen.

Lagens namn

Som framgått i avsnitt 8.2 kommer den nya lagen som genomför PNR-direktivet att innehålla såväl verksamhets- som dataskyddsreglering. Med tanke härpå bör lagens namn inte ge intrycket att enbart vara av det ena eller andra slaget av reglering. Flygpassagerardatalag eller lag om behandling av flygpassageraruppgifter eller liknande som för tankarna till dataskyddsreglering bör därför inte väljas. Det är vidare allmänt eftersträvansvärt med korta namn på författningar som dock samtidigt ska ge information om författningens innehåll (se t.ex. Ds 2014:1 s. 17). Vi har övervägt att föreslå namnet PNRlagen. Vi har dock funnit att det skulle vara alltför svårbegripligt för icke insatta och att det därmed vore olämpligt att använda sig av en sådan förkortning i lagens namn.

Den nya lagen är komplex och riktar sig i större eller mindre utsträckning till flera aktörer. För att i någon mån leva upp till kravet på korta lagrubriker anser vi att benämningen lagen om flygpassa-

geraruppgifter i brottsbekämpningen är ändamålsenlig då den fångar

kärnan i regleringen, nämligen att sådana uppgifter ska bli tillgängliga för användning inom brottsbekämpande verksamhet.

Lagens innehåll

PNR-direktivets artikel 1 har rubriken syfte och tillämpningsområde. Artikeln innehåller dock dels en sammanfattande beskrivning av direktivets innehåll, dels ett initialt klargörande av den mest centrala begränsningen av för vilka ändamål insamlade uppgifter får behandlas enligt direktivet. Vad gäller PNR-direktivets innehåll framgår av punkten a i artikel 1.1 att direktivet innehåller bestämmelser om lufttrafikföretagens överföring av PNR-uppgifter om passagerare på flygningar utanför EU. I punkten b framgår att direktivet också innehåller bestämmelser om behandlingen av de uppgifterna. I den behandling av PNR-uppgifter som omfattas av direktivet inbegrips enligt artikeln medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter.

De PNR-uppgifter som samlas in i enlighet med direktivet får enligt artikel 1.2 endast behandlas på det sätt som anges i direktivets artikel 6.2 a, b och c och endast i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. I direktivet används begreppet brott när det är fråga om såväl att förebygga och upptäcka brott som att utreda brott. I svensk lagstiftning brukar man emellertid skilja mellan å ena sidan underrättelseverksamhet som är ett led i arbetet med att förebygga, förhindra och upptäcka brottslig verksamhet och, å andra sidan, utredning och beivrande av konkreta brott. Vid tidigare genomföranden av såväl Prümrådsbeslutets bestämmelser om automatiserat utbyte av fingeravtrycksuppgifter och VIS-rådsbeslutets bestämmelser om brottsbekämpande myndigheters tillgång till information för viseringar har begreppet brott tolkats så att det omfattar både konkreta brott och sådan brottslig verksamhet som är föremål för underrättelsearbete (se prop. 2010/11:129 s. 110 och prop. 2014/15:82 s. 34). Vi ser ingen anledning att göra någon annan tolkning av begreppets

innebörd i PNR-direktivet. Det innebär att PNR-uppgifter enligt direktivet får behandlas både vid underrättelseverksamhet och vid förundersökning. Vidare får uppgifterna användas av åklagare och i domstol vid en lagföring.

Bestämmelsen i artikel 1 utgör en bra sammanfattning av direktivet. En ny lag om PNR-uppgifter skulle därför kunna inledas med liknande bestämmelser. Således föreslås en inledande bestämmelse som anger att lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till den nationella enheten för passagerarinformation och om behandlingen av PNR-uppgifter. Det bör av bestämmelsen vidare framgå att sådana uppgifter får användas i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Det kan här anmärkas att vi valt att använda ordet eller i uttrycken ”utreda eller lagföra” samt ”terroristbrottslighet eller grov brottslighet” i stället för ordet

och som används på motsvarande ställen i den svenska översättning-

en av PNR-direktivet, vilket torde vara en felöversättning. Det är alltså inte nödvändigt att alla de angivna syftena samtidigt är uppfyllda för att uppgifterna ska få behandlas i ett enskilt fall. Inte heller behöver ett syfte med behandlingen vara att både bekämpa terroristbrottslighet och grov brottslighet, utan det är tillräckligt att den ena sortens brottslighet är aktuell. Vi kommer i det följande att föreslå hur terroristbrottslighet och grov brottslighet ska definieras i lagen. Vi återkommer då till vårt val att använda begreppet terroristbrottslighet i stället för direktivets uttryck terroristbrott.

Upplysning om PNR-direktivet

I författningar som genomför direktiv förekommer ibland och ibland inte en upplysning om att författningen i fråga genomför ett EUdirektiv. En sådan bestämmelse har ingen materiell betydelse som sådan utan innebär enbart just en upplysning. Vi ser ett värde i att upplysa om att lagen genomför PNR-direktivet och föreslår därför att det tas in en sådan upplysningsbestämmelse i lagens inledande paragraf. Härigenom uppfylls vidare kravet enligt artikel 18.1 andra stycket i PNR-direktivet om att hänvisning till direktivet ska göras vid den nationella implementeringen.

Lagens syfte

Direktivets syfte får anses framgå av dess ingress. I skäl 5 anges att målen för direktivet bland annat är att trygga säkerheten, skydda personers liv och säkerhet och att inrätta en rättslig ram till skydd för PNR-uppgifter vid behöriga myndigheters behandling av dessa. I skäl 6 anges att en effektiv behandling av PNR-uppgifter, exempelvis genom att jämföra PNR-uppgifter med uppgifter i olika databaser över eftersökta personer och föremål, är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten. En sådan behandling av PNR-uppgifter anges även vara nödvändig för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk. I skäl 7 anges vidare att bedömningen av PNR-uppgifter gör det möjligt att identifiera personer som tidigare inte har varit misstänkta för delaktighet i terroristbrott eller grov brottslighet och som bör undersökas närmare av de behöriga myndigheterna. Genom att använda PNR-uppgifter är det möjligt att möta hotet från terroristbrott och grov brottslighet från en annan utgångspunkt än vid behandling av andra kategorier av personuppgifter.

Enligt skäl 10 är det av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhandahåller flygförbindelser utanför EU att överföra de PNR-uppgifter, inklusive API-uppgifter, som de samlar in för att det ska gå att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Av skäl 11 framgår vidare att behandlingen av personuppgifter bör stå i proportion till de särskilda säkerhetsmål som direktivet syftar till att uppfylla.

På grund av rättsliga och tekniska skillnader mellan olika nationella bestämmelser om behandling av personuppgifter, däribland PNR-uppgifter, möts lufttrafikföretagen av olika krav på vilken typ av information som ska översändas och vilka villkor som gäller för översändandet av denna information till de behöriga nationella myndigheterna. Dessa skillnader kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. I skäl 35 anges därför som ytterligare syfte bakom

direktivet att det är nödvändigt att på unionsnivå inrätta en gemensam rättslig ram för överföring och behandling av PNR-uppgifter.

Det bör i lagens inledande del finnas en bestämmelse som beskriver lagens syfte. En sådan bestämmelse måste dock utformas på ett mycket övergripande och förenklat sätt men ändå fånga regleringens syfte. Detta är tudelat. Lagen syftar dels till att ge behöriga myndigheter tillgång till information för användning i viss brottsbekämpande verksamhet, dels till att värna de enskildas integritet vid insamlingen och den vidare användningen samt utbytet av uppgifter om dem. PNR-direktivets artiklar avspeglar således en avvägning mellan, å ena sidan, viljan att skapa ett harmoniserat och enhetligt system för informationsanvändning och utbyte inom EU för en effektiv bekämpning av allvarlig brottslighet och, å andra sidan, ett tillgodoseende av berörda passagerares grundläggande rättigheter om respekt för privatlivet och skydd för sina personuppgifter. Detta uttrycks, enligt vår mening, lämpligen med en bestämmelse som anger att syftet med lagen är att tillgodose behovet av tillgång till PNRuppgifter vid sådan verksamhet som nämnts ovan och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifter om dem.

9.2. Definitioner i lagen

Vårt förslag: Vissa uttryck som används i lagen ska definieras.

Definitionerna ska ligga så nära PNR-direktivets definitioner som möjligt.

Vi har i tidigare avsnitt angett att dataskyddsförordningen, brottsdatalagen, polisdatalagen och viss annan dataskyddsreglering för behöriga myndigheter kommer att gälla i mer eller mindre stor utsträckning utöver de bestämmelser som vi föreslår i den nya lagen. Därmed kommer en hel rad dataskyddsrättsliga begrepp att också bli tillämpliga vid behandling av personuppgifter enligt vår lag. Exempel på detta är just orden behandling och personuppgifter, men även begreppen personuppgiftsansvarig, personuppgiftsbiträde, dataskyddsombud, registrerad m.m.

I artikel 3 i PNR-direktivet definieras vissa uttryck som är av grundläggande betydelse både för förståelsen av bestämmelserna i

direktivet och för att ringa in dess närmare tillämpningsområde. Vi menar att huvuddelen av dessa definitioner bör tas in i den nya lagen som genomför direktivet och föreslår därför detta. Vi kommer därvid att förhålla oss nära lydelsen i direktivet. Vilka begreppen är kommer att närmare behandlas eller annars framgå i andra avsnitt i detta betänkande.

Ett par definitioner i direktivet kommer det dock att saknas behov av i vårt förslag enligt vår bedömning. Detta gäller till en början begreppen flygning utanför EU och flygning inom EU, eftersom det inte kommer att finnas någon särreglering för det ena eller andra slaget av flygningar. Inte heller finns det behov av att definiera begreppet sändmetoden. Detta kommer vi att närmare behandla i avsnitt 11.4.7.

Vidare kommer vi att föreslå definitioner av en del ytterligare begrepp än de som anges i artikel 3 i direktivet. Skälet till detta är närmast att förenkla utformningen av de materiella bestämmelserna i lagen. Inte i något avseende kommer dessa extra definitioner att strida mot direktivet. Vilka dessa definitioner är kommer att framgå i senare avsnitt.

Av avgörande betydelse för PNR-direktivets tillämpningsområde och tillåtna ram för användningen av PNR-uppgifter är emellertid begreppen terroristbrott och grov brottslighet. Genom portalparagrafen i artikel 1.2 slås nämligen fast att PNR-uppgifter som samlas in i enlighet med direktivet endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet. Nedan behandlar vi i separata avsnitt vad som ska förstås med begreppen terroristbrott och grov brottslighet och hur de bör definieras i den nya lagen.

9.3. Terroristbrott

I artikel 3.8 i PNR-direktivet definieras terroristbrott som de brott enligt nationell rätt som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (terrorismrambeslutet). Någon kvalifikation angående straffets svårighet anges inte i direktivet.

9.3.1. Bakgrund

Vad som utgör ett terroristbrott definieras i artikel 1 i terrorismrambeslutet. Med ett sådant brott avses i korthet vissa uppsåtliga handlingar som genom sin art eller sitt sammanhang allvarligt kan skada ett land eller en internationell organisation och som begås i syfte att – injaga allvarlig fruktan hos en befolkning, – otillbörligen tvinga offentliga organ eller en internationell orga-

nisation att utföra eller att avstå från att utföra en handling, eller – allvarligt destabilisera eller förstöra de grundläggande politiska,

konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation.

Artiklarna 2–4 i rambeslutet innehåller ytterligare brott med anknytning till terroristbrottslighet, däribland brott som begås av en terroristgrupp och brott med anknytning till terroristverksamhet. Det huvudsakliga genomförandet av terrorismrambeslutet har i svensk rätt skett genom införandet av lagen (2003:148) om straff för terroristbrott. Artiklarna 1–4 i rambeslutet motsvaras i svensk rätt av 2, 4 och 5 §§ i denna lag. Artikel 3 och 4 i terrorismrambeslutet har ändrats genom rambeslutet 2008/919/RIF1. Ändringarna innebar att ytterligare vissa gärningar med anknytning till terroristbrott skulle vara kriminaliserade. Ändringarna har genomförts i svensk rätt genom lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet.

Den 15 mars 2017 antog Europaparlamentet och rådet ett direktiv om bekämpande av terrorism2 (terrorismdirektivet). Direktivet har trätt i kraft. Avsikten med direktivet är att fastställa minimiregler rörande definitionen av straffbara gärningar samt påföljder och sanktioner på området för terroristbrott, brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet.

1 Rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism. 2 Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF.

Avsikten är vidare att fastställa minimiregler om åtgärder för skydd av och hjälp till offer för terrorism. Direktivet innehåller flera nyheter i förhållande till rambeslutet. Bl.a. föreslås terroristbrottet utökas till att även omfatta vissa angrepp mot informationssystem (i svensk rätt t.ex. grovt dataintrång). Kriminaliseringen av terrorismfinansiering utvidgas också. Artiklarna 3–14 i terrorismdirektivet innehåller de olika straffbara gärningarna på terrorismområdet. Terrorismdirektivet ersätter terrorismrambeslutet, dvs. det rambeslut som anges i PNR-direktivet. I terrorismdirektivets artikel 27 anges att hänvisningar till terrorismrambeslutet ska anses som hänvisningar till terrorismdirektivet. Medlemsstaterna ska senast den 8 september 2018 sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet.

Utredningen om genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism (Ju 2014:26) har fått i uppdrag att analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra det nya terrorismdirektivet. Utredningen ska redovisa detta uppdrag senast den 29 september 2017.

Vidare har en särskild utredare fått i uppdrag att genomföra en översyn av den nationella straffrättsliga lagstiftningen för att bekämpa terrorism. Syftet med översynen är att åstadkomma en ändamålsenlig, effektiv och överskådlig reglering som samtidigt är förenlig med ett väl fungerande skydd för grundläggande fri- och rättigheter. Den föreslagna regleringen bör enligt utredningsdirektivet samlas i ett regelverk (dir. 2017:14). Uppdraget ska redovisas senast den 31 januari 2019.

9.3.2. Våra överväganden och förslag

Vårt förslag: I stället för direktivets benämning terroristbrott

ska benämningen terroristbrottslighet användas i lagen. Terroristbrottslighet ska i den nya lagen definieras som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i terrorismrambeslutet.

PNR-direktivets definition av terroristbrott omfattar samtliga brott som har införts i eller ansetts svara mot befintlig nationell rätt enligt 2002 års rambeslut, med de ändringar som har genomförts genom 2008 års beslut. Att i lag eller förordning ange exakt vilka svenska brott som motsvarar direktivets definition skulle kräva en längre uppräkning och omfatta brott i såväl lagen om terroristbrott som lagen om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet. Redan av detta framgår att benämningen terroristbrott som används i direktivet är för snävt för att passa svenska förhållanden. Vi kommer därför att i lagen använda benämningen terroristbrottslighet både i begreppsdefinitionen och i lagens materiella bestämmelser.

Behovet och nyttan av en uppräkning av olika brottsbenämningar som avser terroristbrottslighet kan ifrågasättas, bl.a. med hänsyn till att det främst är enheten för passagerarinformation som ska tillämpa regleringen. Till detta kommer att terrorismdirektivet har trätt i kraft. Detta direktiv, som ersätter terrorismrambeslutet, innehåller flera förändringar avseende aktuell brottslighet. En möjlig uppräkning av svenska brott i vårt författningsförslag skulle därmed bli inaktuell efter genomförandet av terrorismdirektivet.

Det främsta skälet mot en uppräkning av svenska brottsbenämningar är emellertid att även terroristbrottslighet i andra medlemsstaters nationella rätt, vari 2002 års rambeslut genomförts eller det nya terrorismdirektivet kommer att genomföras, är av betydelse för tillämpningen av den nya lag vi föreslår. Så blir fallet vid utlämnande av PNR-uppgifter från Sverige till andra medlemsstater, eftersom det även då är ett villkor att mottagaren ska använda uppgiften bara för sådan terroristbrottslighet som avses i PNR-direktivet (eller grov brottslighet enligt samma direktiv). Det är därför olämpligt att bara ha svensk lagstiftning i åtanke vid utformningen av den nya lagens definition av begreppet terroristbrottslighet.

I redan befintlig näraliggande lagstiftning rörande brottsbekämpande myndigheters åtkomst till informationssystemet för viseringar (VIS) förekommer en lagteknisk lösning som innebär att begreppet terroristbrott definieras genom en direkt hänvisning till definitionen i artikeln i rådets beslut 2008/633/RIF, se 24 § lagen (2000:343) om internationellt polisiärt samarbete och prop. 2014/15:82 s. 34 f. I artikeln i fråga hänvisas vidare till artiklar i 2002 års rambeslut. Vi har övervägt en motsvarande lösning eftersom det finns uppenbara

fördelar med enhetliga lagtekniska lösningar på näraliggande områden. Enligt vår mening skulle det emellertid innebära en enklare och tydligare reglering att i vår lag föra in en direkt hänvisning till de brott enligt nationell rätt som avses i rambeslutet. Med nationell rätt skulle då kunna avses såväl svensk som annat EU-lands rättsordning. Av tydlighetsskäl anser vi dock att det bör uttryckligen anges att det kan vara fråga om såväl svensk som annan medlemsstats nationella rätt. Definitionen skulle i så fall kunna ha följande lydelse: ”terroristbrottslighet – de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism”. Även om en hänvisning i vår lag till rambeslutet i stället för omvägen via definitionen i artikel 3.8 PNR-direktivet avviker från det definitionssätt som använts i 2000 års lag, anser vi att fördelarna med en direkthänvisning överväger. Den föreslagna definitionen blir därmed i princip likalydande med PNR-direktivets definition.

Som nyss angetts har terrorismdirektivet förvisso trätt i kraft. Den av oss föreslagna definitionen kan därför troligen behöva ändras i samband med att terrorismdirektivet genomförs i svensk rätt. Det är ännu inte klart hur detta kommer att genomföras i Sverige och vilka analyser som kommer att göras angående förhållandet mellan befintliga och nya definitioner av aktuell brottslighet. Dessa analyser och ställningstaganden bör lämpligen göras av den utredning som genomför terrorismdirektivet.

9.4. Grov brottslighet

Med grov brottslighet avses enligt PNR-direktivet de brott som förtecknas i bilaga II till direktivet och som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt (se rättelse av direktivet, bilaga 3).

Förteckningen över brott i bilaga II omfattar 26 punkter. Uppräkningen innefattar flera brottsbalksbrott (t.ex. mord, grov misshandel, rån och bedrägeri) liksom brott och gärningstyper i specialstraffrätten (t.ex. narkotikabrott och miljöbrott). En del punkter avser brott som inte har någon direkt svensk motsvarighet, dock kan det indirekt, helt eller delvis, finnas motsvarigheter.

9.4.1. Bakgrund

De brott som anges i bilaga II till PNR-direktivet omfattas alla, förutom brottet industrispionage (punkten 26), av den uppräkning som finns i artikel 2.2 i rambeslutet om en europeisk arresteringsorder3. Den aktuella artikeln i rambeslutet omfattar däremot fler brott än de som upptas i bilaga II till PNR-direktivet. I rambeslutets artikel 2.2 anges de där uppräknade brotten utgöra sådana brott som medför att ett överlämnande på grundval av en europeisk arresteringsorder ska ske utan kontroll av om det föreligger dubbel straffbarhet för gärningen, förutsatt att brotten, som de definieras i den utfärdande medlemsstatens lagstiftning, kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år i den utfärdande medlemsstaten. Artikeln har införlivats i svensk rätt genom 2 kap. 2 § andra stycket lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder (arresteringsorderlagen). Av bestämmelsen framgår att den brottslighet som avses är de gärningar som finns angivna i en bilaga till lagen och för vilka det är föreskrivet en frihetsberövande påföljd i tre år eller mer.4 Om det i arresteringsordern har angetts att en gärning är sådan som anges i den s.k. listan och gärningen enligt den utfärdande medlemsstatens lagstiftning kan leda till en frihetsberövande påföljd i tre år eller mer, ska således ett överlämnande beviljas utan prövning av om gärningen motsvarar brott enligt svensk lag (se prop. 2003/04:7 s. 76).

Tanken med urvalet av brotten i den s.k. listan enligt artikel 2.2 i rambeslutet är att listan ska omfatta typiskt sett grov, gränsöverskridande brottslighet som kan förekomma mellan medlemsstaterna (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 58.). Vare sig i arresteringsorderlagen eller i dess förarbeten finns angivet vilka svenska brott som motsvarar listbrotten. Detta får anses naturligt eftersom lagen endast gäller överlämnande från Sverige enligt en europeisk arresteringsorder och en uppgift från den utfärdande myndigheten om att en gärning omfattas av listan innebär att någon prövning inte ska göras. Frågan om överlämnande till Sverige enligt en europeisk arresteringsorder regleras i förordningen (2003:1178)

3 Rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan staterna (2002/584/RIF). 4 En motsvarande lösning har införts i lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen.

om överlämnande till Sverige enligt en europeisk arresteringsorder. Enligt förordningen får en arresteringsorder för lagföring utfärdas för brott, för vilket den eftersökte är häktad på sannolika skäl misstänkt för brottet och för vilket är föreskrivet fängelse i ett år eller mer. Inte heller när det gäller överlämnande till Sverige enligt en europeisk arresteringsorder finns det således angivet vilka svenska brott som motsvarar listbrotten. De brott som anges i listan motsvarar dock inte nödvändigtvis brott som i den svenska lagen har samma beteckning (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 57 f.).

För att de brott som anges i bilaga II till PNR-direktivet ska omfattas av direktivets tillämpningsområde krävs, som redan angetts, att de enligt nationell rätt kan leda till minst tre års fängelse. Skrivningen är densamma som i artikel 2.2 i rambeslutet om en europeisk arresteringsorder. Den innebär att det ska ingå tre års fängelse i brottens straffskala för att de ska omfattas, dvs. det ska för de aktuella brotten vara föreskrivet fängelse i tre år eller däröver. Det avgörande är alltså om fängelsestraff av den angivna längden ingår i straffskalan för det brott det gäller. Bedömningen är således hänförlig till straffskalan för ett brott och inte till en straffvärdebedömning.

För Sveriges del innebär kravet på att det ska finnas tre års fängelse i straffskalan för ett brott att det i flera fall krävs att brott bedöms som grova för att de ska omfattas av direktivets användningsområde även om de i och för sig omfattas av listan. Som exempel kan nämnas stöld, bedrägeri, barnpornografibrott och vapenbrott. Narkotikabrott och narkotikasmuggling av normalgraden omfattas dock. Inom tillämpningsområdet faller också t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt, och rån.

9.4.2. Våra överväganden och förslag

Vårt förslag: Begreppet grov brottslighet ska i lagen definieras

genom en hänvisning till de brott som anges i bilaga II till PNRdirektivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.

Vid genomförandet av EU:s direktiv om underlättande av ett gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott, det s.k. CBE-direktivet, ansåg regeringen det var tillräckligt att i en lagbestämmelse ange att en sökning i en annan stats fordonsregister får göras i syfte att utreda ett sådant trafiksäkerhetsrelaterat brott

som omfattas av artikel 2 i CBE-direktivet” (se prop. 2013/14:65

s. 36 f.). I propositionen hänvisades till att motsvarande författningsteknik använts tidigare i straffrättsliga regleringar som genomfört internationella instrument, bl.a. i 2 § lagen om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott (se prop. 2009/10:78 s. 40 f.).

På samma sätt ansåg regeringen vid genomförandet av VIS-rådsbeslutet, som framgått ovan, att det var tillräckligt att i författningstexten göra en hänvisning till rådsbeslutets definitioner. VIS-rådsbeslutet innehåller samma definitioner av såväl terroristbrott som grov brottslighet som PNR-direktivet, dock med den skillnaden att det för grova brott enligt VIS-rådsbeslutet görs en direkt hänvisning till den s.k. listan i artikel 2.2 i rambeslutet om en europeisk arresteringsorder. I propositionen hänvisade regeringen till att definitionerna är desamma som i den omförhandlade s.k. Eurodacförordningen (EU) nr 603/2013 som bl.a. ger brottsbekämpande myndigheter och Europol rätt att under vissa förutsättningar få tillgång till uppgifter i Eurodac, en EU-gemensam databas med fingeravtryck. Förordningen började tillämpas i juli 2015 och lämnar till tillämparna att avgöra vilka brott som ska anses falla inom definitionerna av terroristbrott och andra grova brott enligt förordningen. Regeringen fann det lämpligt att även beträffande VIS-rådsbeslutet överlämna åt tillämparna att uttolka begreppen. Det angavs också att det ytterst är en fråga för EU-domstolen att avgöra (se prop. 2014/15:82 s. 35 f.). Riksdagen godtog regeringens förslag.

Den hänvisningslösning som har valts vid genomförandet av bl.a. CBE-direktivet och VIS-rådsbeslutet framstår som mest ändamålsenlig. Författningstekniken har därtill använts i flera tidigare lagstiftningsärenden. Metoden att införa en hänvisning till direktivets definition har även den fördelen att regleringen inte kommer att behöva förändras om det i den svenska lagstiftningen skulle införas nya brott med tre års fängelse i straffskalan eller om straffskalan för vissa brott höjs till maximala tre år. Vidare gäller på samma sätt här såsom vi angett ovan angående terroristbrottslighet att inte endast

svensk lagstiftning är av intresse för tillämpningen av den nya lagen. Vid utlämnande av PNR-uppgifter till en behörig mottagare i annan medlemsstat är det således ett villkor att det sker för användning i mottagarlandet vid bekämpning av just sådan grov brottslighet som avses i PNR-direktivet och som i mottagarlandet omfattas av nationell reglering enligt direktivets definition (eller terroristbrottslighet).

Det som talar mot en hänvisning till direktivets definition av grov brottslighet är att en viss otydlighet kan komma att uppstå för tillämparna. Som angivits ovan kommer det dock att vara den nationella enheten för passageraruppgifter som i första hand kommer att behandla PNR-uppgifterna och förfrågningar från behöriga myndigheter m.m. Det kan förutsättas att riktlinjer för enhetens arbete med dessa frågor kommer att utarbetas.

Enligt vår mening framstår lösningen med en direkt hänvisning till direktivets bilaga sammantaget som den både enklaste och lämpligaste lösningen för den nya lagen. Eftersom direktivets definition har rättats bör det av tydlighetsskäl därutöver av lagens definition framgå att brottsligheten ska vara sådan för vilken det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.

9.5. Otillåten behandling av PNR-information

Vårt förslag: Det ska i lagen föras in en inledande allmän portal-

bestämmelse som tydliggör att det inte är tillåtet att behandla PNR-uppgifter eller resultatet av en enhet för passagerarinformations behandling av sådana uppgifter i annat syfte än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Bestämmelsen genomför bl.a. artikel 1.2, 7.4 och 9.2–4. För behöriga myndigheter ska dock gälla ett undantag, som närmare kommer att behandlas i avsnitt 16.2.3.

Vi har redan nämnt att det i artikel 1.2 i direktivet föreskrivs – under artikelns rubrik ”Syfte och tillämpningsområde” – att PNR-uppgifter som samlas in i enlighet med direktivet endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c. (Vi kommer att behandla artikel 6 närmare i avsnitt 13).

Artikeln kan enligt vår mening ses som en portalbestämmelse som talar om vilken behandling av PNR-uppgifter som över huvud taget är tillåten enligt direktivet. Såsom vi tolkar bestämmelsen gäller denna begränsning till bekämpning av terroristbrottslighet och grov brottslighet oavsett om PNR-uppgifterna har samlats in från lufttrafikföretag i Sverige eller har samlats in från lufttrafikföretag i en annan medlemsstat men kommit till Sverige i enlighet med direktivets bestämmelse om utbyte av PNR-uppgifter mellan medlemsstaterna, se artikel 9.2–4. Vidare är begränsningen som huvudregel tillämplig för behöriga myndigheters behandling av mottagna PNRuppgifter. Det framgår av artikel 7.

Av direktivets olika bestämmelser följer vidare att inte heller resultatet av en enhet för passagerarinformations behandling av PNRuppgifter får användas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Vi menar att det är lämpligt att i en allmän portalparagraf slå fast den begränsning för användningen av PNR-uppgifter och resultatet av enheternas behandling av PNR-uppgifter som följer av direktivet. Av tydlighetsskäl bör den formuleras som en förbudsregel som anger att användning för annat slags verksamhet än sådan som avser bekämpning av terroristbrottslighet eller grov brottslighet inte är tillåten. I avsnitt 16.2.3 kommer dock frågan om ett undantag att behandlas (artikel 7.5).

I avsnitt 18.5 kommer vi att föreslå ett mer allmängiltigt förbud som enligt vår mening bör tas in redan i lagens inledande kapitel, nämligen förbudet mot behandling av känsliga personuppgifter. Av framställningstekniska skäl behandlas frågan först i det nämnda senare avsnittet.

10. En enhet för passagerarinformation

10.1. Direktivets bestämmelser

Enligt artikel 4.1 i direktivet ska varje medlemsstat inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet vilken ska fungera som medlemsstatens enhet för passagerarinformation. Av skäl 13 framgår att ett syfte med att PNR-uppgifter överförs till en särskilt upprättad enhet är att säkerställa klarhet om vad som gäller och att minska kostnaderna för lufttrafikföretagen. Enheten ska, enligt artikel 4.2, ansvara för att

a) samla in PNR-uppgifter från lufttrafikföretagen, lagra och be-

handla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga myndigheter,

b) utbyta både PNR-uppgifter och resultatet av behandlingen av

dessa uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol.

Personal vid enheten för passagerarinformation kan, enligt artikel 4.3, utgöras av tjänstemän som har avdelats från behöriga myndigheter. Vidare anges att medlemsstaterna ska ge enheterna för passagerarinformation tillräckliga resurser för att de ska kunna utföra sina uppgifter. Av artikel 4.4 framgår att två eller flera medlemsstater får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. Slutligen anges i artikel 4.5 att varje medlemsstat inom en månad från inrättandet eller utseendet av sin enhet för passagerarinformation ska informera kommissionen om detta och får när som helst ändra detta meddelande. Kommissionen ska

offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.

10.2. Den svenska enheten för passagerarinformation

Våra förslag: Det ska i lagens inledande bestämmelser tas in en

paragraf om att det hos Polismyndigheten ska finnas en enhet för passagerarinformation. I bestämmelsen ska enhetens övergripande uppgifter beskrivas. Dessa är att samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra PNR-uppgifter och resultaten av behandlingen av dem till behöriga myndigheter samt att utbyta sådan information med andra som är behöriga att motta uppgifterna.

I lagens definitionsparagraf tas in ett samlingsbegrepp för PNR-uppgifter och resultaten av en enhet för passagerarinformations behandling av PNR-uppgifter. Samlingsbegreppet ska benämnas PNR-information.

Det förs även i lagen in en definition av behörig mottagare. Med en behörig mottagare avses en behörig myndighet i Sverige, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.

Artikel 4 slår alltså fast att varje medlemsstat ska inrätta en egen eller med andra medlemsstater gemensam enhet. Enligt direktivet ska enheten utgöra en egen myndighet med brottsbekämpande uppgifter eller utgöra en avdelning inom en sådan myndighet, Direktivet ger således inte utrymme för att enheten utformas som ett myndighetsgemensamt organ för samverkan mellan flera nationella myndigheter med brottsbekämpande uppgifter. Direktivet slår också fast vad enheten för passagerarinformation ska ha för grundläggande uppgifter.

Enligt våra kommittédirektiv är utgångspunkten för vårt uppdrag att den nationella enheten för passagerarinformation ska placeras vid Polismyndigheten. Det är således inte aktuellt för vår del att överväga en placering hos någon annan myndighet, att en med annan medlemsstat gemensam enhet för passagerarinformation skulle finnas eller att den svenska enheten ska inrättas som en egen myndighet.

Inrättandet och placeringen av den svenska nationella enheten för passagerarinformation bör enligt vår mening komma till klart uttryck genom en bestämmelse som placeras bland den nya lagens inledande bestämmelser. I och med att det redan i lagen framgår att enheten ska finnas och vara placerad vid Polismyndigheten, saknas behov av föreskrifter om enheten i Polismyndighetens instruktion.

Även enhetens övergripande uppgifter bör komma till klart uttryck i bestämmelsen. Dessa uppgifter kan uttryckas på motsvarande sätt som i artikel 4.2 i direktivet. Dock anges i den nämnda artikeln endast att utbyte av PNR-uppgifter och resultatet av behandlingen av dessa uppgifter ska ske med andra medlemsstaters enheter för passagerarinformation och med Europol. Längre fram i direktivet framgår dock att även sådana myndigheter som utsetts som behöriga i andra medlemsstater har rätt att få del av uppgifter från enheten på motsvarande sätt (artikel 9.3). Enligt vår mening bör det redan av denna inledande bestämmelse framgå samtliga aktörer som är behöriga att motta uppgifter från enheten för passagerarinformation. Vi föreslår därför att detta kommer till uttryck i lagen. Vi föreslår även att det i lagens definitionsbestämmelse förs in en definition av behöriga mottagare. Definitionen ska omfatta behöriga svenska myndigheter, enheter för passagerarinformation i andra medlemsstater, myndigheter som har utsetts som behöriga i andra medlemsstater samt Europol. Tredjeländer omfattas inte av definitionen.

Som framgår redan i artikel 4.2 avser enhetens uppgifter inte bara att lagra, analysera och utbyta PNR-uppgifter som mottagits från lufttrafikföretagen. Analyserna m.m. kommer också att leda till så kallade träffar eller andra slags resultat av behandlingen av PNRuppgifterna. Uttrycket ”PNR-uppgifter eller resultatet av behandlingen av dem” eller motsvarande återkommer ett stort antal tillfällen i direktivet. Det finns därför ett behov av att i den lagstiftning vi föreslår referera till inte bara själva PNR-uppgifterna utan även resultatet av behandlingen av dem. För att förenkla lagstiftningen föreslår vi att det i lagen förs in en definition som omfattar såväl PNRuppgifter som resultatet av behandlingen av sådana uppgifter. En lämplig samlingsbeteckning är PNR-information, vilket vi alltså föreslår ska tas in i lagens definitionsparagraf.

10.3. Enhetens organisation och utredningens uppdrag

Vår bedömning: Våra författningsförslag ger ett rättsligt ramverk

för verksamheten enligt den nya lagen vid enheten för passagerarinformation. Hur enheten närmare ska organiseras, bemannas och administreras m.m. bör överlåtas till Polismyndigheten att bestämma, lämpligen i samråd med behöriga myndigheter.

Enligt våra kommittédirektiv ska Polismyndigheten ansvara för genomförandet av direktivets tekniska bestämmelser. I vårt utredningsuppdrag ingår dock att föreslå hur enheten för passagerarinformation ska organiseras.

Inom Polismyndigheten pågår redan ett arbete med att införa en enhet för passagerarinformation. En förstudie gällande införandet av en systematiserad hantering av PNR- och API-uppgifter har, som beskrivits i avsnitt 7.2.1, genomförts av Polismyndigheten tillsammans med Tullverket och Säkerhetspolisen. I förstudien finns förslag på hur enheten för passagerarinformation ska vara organiserad. Polismyndigheten har också, tillsammans med Tullverket, ansökt om och erhållit bidrag från kommissionen för att etablera en enhet för passagerarinformation. Det pågår för närvarande ett arbete med att etablera en sådan enhet med tillhörande it-stöd.

Vi har tolkat utredningsuppdraget så att vi i frågan om hur enheten för passagerarinformation ska vara organiserad bör arbeta i linje med det planeringsarbete som redan pågår. Vi ser det således som vårt uppdrag att se till att det finns ett rättsligt ramverk inom vilket inrättandet och organiseringen kan utvecklas vidare. Vår målsättning är således att ge Polismyndigheten möjlighet att genomföra direktivets tekniska bestämmelser och utarbeta hur enheten för passagerarinformation rent operativt och administrativt ska organiseras. De mer praktiska frågorna kring hur enheten för passagerarinformation rent faktiskt ska arrangeras och bemannas tas lämpligen och bäst om hand av involverade myndigheter själva. Utgångspunkten för vårt arbete är alltså att Polismyndigheten i stor utsträckning ska få bestämma sin egen organisation (jfr 38 § förordning [2014:1102] med instruktion för Polismyndigheten). Med tanke på enhetens uppgifter att bidra till arbetet att bekämpa terroristbrottslighet och

grov brottslighet även vid andra behöriga myndigheter, ter det sig dock lämpligt att det i relevant omfattning sker ett samråd med dessa andra myndigheter när det gäller utformningen av enhetens organisation och arbetssätt m.m. Det är dock inget som vi anser behöver regleras närmare. Endast i den mån det anses nödvändigt kommer vi därför att föreslå att enheten för passagerarinformations organisation ska författningsregleras (jfr prop. 2013/14:110 s. 395 f.).

Organisatoriska frågor för utredningen

Vi ser det således som vårt uppdrag att utarbeta ett rättsligt ramverk inom vilket Polismyndigheten kan organisera enheten för passagerarinformation. Den övergripande rättsliga frågan av organisatorisk karaktär som enligt vår mening bör behandlas av utredningen, avser att överväga vilken reglering som krävs för att säkerställa att behandlingen av PNR-information vid enheten för passagerarinformation hålls tillräckligt åtskild från övrig personuppgiftsbehandling inom Polismyndigheten och från behöriga myndigheter i övrigt. PNR-direktivet kan nämligen inte förstås på annat sätt än att de från lufttrafikföretagen insamlade uppgifterna och analysresultaten m.m., dvs. PNR-informationen, ska skyddas inom de nationella enheterna och bara, i bildlig mening, passera enheternas väggar genom de dörrar och under de förutsättningar i övrigt som direktivets regelverk ställer upp. I och med att den svenska enheten inrättas i en befintlig stor myndighet uppstår frågor om hur dessa ”väggar” lämpligen kan åstadkommas. Denna fråga kommer att analyseras i nästföljande avsnitt 10.4. En annan fråga med organisatorisk anknytning är vilka rättsliga konsekvenser m.m. som följer av planerna på att det vid enheten ska tjänstgöra personal som har sin grundanställning vid andra behöriga myndigheter, se avsnitt 7.2.1. Den frågan behandlas nedan i avsnitt 10.5.

10.4. Tillgången till PNR-information bör begränsas

10.4.1. Direktåtkomst

Vårt förslag: Direktåtkomst till PNR-information som behand-

las vid enheten för passagerarinformation hos Polismyndigheten ska inte vara tillåten. En bestämmelse som klargör detta tas in i lagen.

Om direktåtkomst

Det finns inte någon legaldefinition av begreppet direktåtkomst. Begreppet har dock använts i lagstiftningssammanhang sedan 1990talet. Dessförinnan användes begreppet terminalåtkomst. Begreppet direktåtkomst har i senare års dataskyddsreglering främst använts såsom en specialform av elektroniskt utlämnande genom passerande av rättsliga gränser mellan myndigheter eller mellan självständiga verksamhetsgrenar inom myndigheter, s.k. sekretessgränser. Med direktåtkomst avses vanligtvis att någon myndighet har en sådan teknisk tillgång till en annan myndighets upptagningar som avses i 2 kap. 3 § andra stycket TF. En myndighet med direktåtkomst har alltså getts direkt tillgång till någon annan myndighets register eller databas och kan på egen hand söka efter information, normalt utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall (se bl.a. SOU 2015:39 s. 121). Beslutet att lämna ut uppgifterna tas långt tidigare. Uppgifterna i registret eller databasen är nämligen att betrakta som utlämnade i tryckfrihetsförordningen och sekretesslagstiftningens mening redan då direktåtkomsten tekniskt etableras.

Varken nuvarande personuppgiftslag eller det nya dataskyddsdirektivet reglerar närmare olika sätt att elektroniskt lämna ut personuppgifter. Inte heller brottsdatalagen innehåller bestämmelser av det slaget. Däremot förekommer sådana bestämmelser i polisdatalagen,

tullbrottsdatalagen och flertalet andra registerförfattningar på området. Enligt 2 kap. 21 § PDL är direktåtkomst tillåten bara i den utsträckning som följer av polisdatalagen. Av 3 kap. 8 § PDL följer att bl.a. Säkerhetspolisen, Ekobrottsmyndigheten och Tullverket får medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga i Polismyndighetens brottsbekämpande verksamhet. Med gemensamt tillgängliga avses att fler än ett fåtal personer har rätt att ta del av uppgifterna (3 kap. 1 § PDL). Enligt en förekommande uppfattning innebär tillgång bland en grupp på fler än tio personer att rekvisitet gemensamt tillgängliga är uppfyllt. Inte bara antalet personer med tillgång räknas emellertid. Även sådana faktorer som hur länge uppgifter behandlas kan ha betydelse för att ta bara ett exempel. I 3 kap. 2 § PDL anges vilka personuppgifter som får göras gemensamt tillgängliga.

Det kan också nämnas att lagen (2006:444) om passagerarregister, som tillkommit för att genomföra API-direktivet i svensk rätt, tillåter Säkerhetspolisen att ha direktåtkomst till personuppgifterna i det registret.

Våra överväganden

Av PNR-direktivet följer att behöriga myndigheter, inklusive Polismyndigheten, ska få tillgång till PNR-information först efter det att de har behandlats och vidareförts från enheten för passagerarinformation i enlighet med en viss procedur enligt direktivets bestämmelser. De behöriga myndigheterna kan således inte, såsom i lagen om passagerarregister, tillåtas ha egen åtkomst till PNR-information som behandlas vid enheten.

Som vi redovisat i avsnitt 8.5 kommer polisdatalagen att vara tillämplig vid enhetens behandling av PNR-uppgifter och andra personuppgifter i den utsträckning den nya lagstiftning vi föreslår inte innehåller avvikande bestämmelser. Det är vår bedömning att PNRuppgifterna, som ska lagras fem år i en databas enligt direktivet, likväl som resultatet av enhetens behandling av PNR-uppgifterna rimligen bör betraktas som sådana personuppgifter som gjort gemensamt tillgängliga inom Polismyndighetens brottsbekämpande verksamhet även om uppgifterna de facto behandlas avgränsat vid enheten. Med tanke på vad 3 kap. 8 § PDL föreskriver om att direktåtkomst

får medges till vissa av de myndigheter som är behöriga myndigheter enligt PNR-direktivet, anser vi att det behövs en uttrycklig bestämmelse i den nya lagen som förbjuder direktåtkomst till PNRinformation som behandlas vid enheten. Utan en sådan bestämmelse ger nämligen, logiskt sett, 3 kap. 8 § PDL en rättslig öppning för att medge direktåtkomst till enhetens PNR-information. Vi föreslår därför en sådan förbudsbestämmelse, som kommer att gälla i stället för polisdatalagens reglering av direktåtkomst. Genom en bestämmelse som inte tillåter direktåtkomst säkerställs alltså att andra behöriga myndigheter än Polismyndigheten förhindras att ta direkt del PNR-information som behandlas vid enheten. Med hänsyn till bestämmelsens grundläggande betydelse bör den, enligt vår mening, föras in i vårt förslag till lag.

Vi förutsätter att informationsutbytet enligt direktivet ska kunna ske med användning av modern informationsteknik. Därmed anser vi att det i vår reglering finns behov av ett undantag från den nuvarande bestämmelsen i 2 kap. 20 § första meningen PDL som anger att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Frågan kan regleras i förordning.

10.4.2. Sekretess inom Polismyndigheten?

Vår bedömning: Det kommer inte att finnas någon sekretess-

gräns mellan enheten för passagerarinformation och Polismyndighetens övriga brottsbekämpande verksamhet. Det finns inte heller tillräcklig anledning att föreslå en reglering som skulle kunna skapa en sådan sekretessgräns.

Uppgifter inom Polismyndighetens verksamhet omfattas av bestämmelserna om tystnadsplikt och handlingssekretess i offentlighets- och sekretesslagen. Uppgifter som skyddas av sekretess får inte lämnas ut till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen. Sekretess gäller således även mellan myndigheter (8 kap. 1 § OSL). Mellan myndigheter, även med näraliggande uppgifter, finns alltså sekretessgränser.

Enligt 8 kap. 2 § OSL kan det även finnas en sekretessgräns inom en myndighet, nämligen mellan olika verksamhetsgrenar om de är att betrakta som självständiga i förhållande till varandra. Mellan så-

dana verksamhetsgränser får sekretessbelagda uppgifter inte röjas utan stöd i offentlighet- och sekretesslagen. Bestämmelsen har sin motsvarighet i 2 kap. 8 § TF om när en handling blir allmän när den överlämnats mellan organ inom samma myndighetsorganisation. Det avgörande är även i detta fall att organen uppträder som självständiga i förhållande till varandra. Däremot behöver det inte vara fråga om olika verksamhetsgrenar.

Frågan om när organ eller verksamhetsgrenar inom samma myndighetsorganisation är att betrakta som självständiga i förhållande till varandra kan vara svårbedömd. Frågan har behandlats i ett antal propositioner på senare år, se t.ex. En Kronofogdemyndighet i tiden (prop. 2005/06:200 s. 146 f.) och Patientdatalag m.m. (prop. 2007/08:126 s. 162 f. och 202). I dessa propositioner har, mot bakgrund av uttalandena i förarbetena till den tidigare gällande sekretesslagen, slagits fast att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser, får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagstiftningens mening finns det skäl att även ta ställning till om de också är att betrakta som självständiga i förhållande till varandra.

I motiven till offentlighets- och sekretesslagen anges att det förhållandet att en myndighet har att tillämpa olika sekretessbestämmelser inte med automatik innebär att det också finns olika verksamhetsgrenar inom myndigheten i lagens mening. Att myndigheten har att tillämpa flera olika sekretessbestämmelser kan t.ex. bero på att bestämmelserna visserligen gäller på samma verksamhetsområde men att de finns i olika kapitel därför att de gäller till skydd för olika intressen, t.ex. sekretess till skydd för allmänna intressen i 18 kap. OSL och sekretess till skydd för enskildas intressen i 35 kap. OSL. Sekretessregleringen inom ett verksamhetsområde kan vidare vara uppdelad på flera paragrafer av redaktionella skäl. Först om det finns olika delar av en myndighets verksamhet som har att tillämpa sinsemellan helt olika set av sekretessbestämmelser är det fråga om olika verksamhetsgrenar i sekretesslagstiftningens mening. Om så är fallet behövs det därutöver göras en bedömning av om de olika verksamhetsgrenarna också har organiserats på ett sådant sätt att de förhåller sig självständiga till varandra. Det är bara om båda dessa kriterier är uppfyllda som det uppstår en sekretessgräns inom en myndighet. (Se prop. 2008/09:150 s. 358 ff.).

De tidigare 21 polismyndigheterna, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium slogs den 1 januari 2015 ihop i en ny myndighet, Polismyndigheten. Säkerhetspolisen utgör sedan samma datum en egen myndighet. I propositionen En ny organisation för polisen (prop. 2013/14:110) analyserades om det kommer att finnas enheter inom den nya Polismyndigheten som intar en sådan ställning att de kan anses utgöra självständiga organ i tryckfrihetsförordningens mening. Det ansågs då ännu inte gå att bedöma vilka delar av verksamheten som skulle komma att anses som självständiga organ. Den omständigheten att handläggningen av vissa ärenden koncentreras till en viss enhet inom myndigheten ansågs dock inte innebära att enheten kan anses som ett självständigt organ i den mening som avses i 2 kap. 8 § TF (se a. prop. s. 507 ff.).

I propositionen analyserades vidare om det kommer att finnas sekretessgränser inom Polismyndigheten. Åtta olika verksamhetsgrenar identifierades: den brottsförebyggande och brottsutredande verksamheten (18 kap. 1–3 §§ och 35 kap. 1–5 §§), särskilt personsäkerhetsarbete enligt 2 a § polislagen [1984:387] (18 kap. 7 § och 35 kap. 11 §), handläggningen av vapenärenden (18 kap. 16 § och 35 kap. 23 §), verksamhet enligt lagen om fingerade personuppgifter (22 kap. 2 §), räddningsinsatser enligt lagen om skydd mot olyckor (32 kap. 8 §), verksamhet som avser hjälp och bistånd till enskilda (35 kap. 20 §), verksamhet som avser utlänningskontroll och medborgarskap (37 kap. 1 §) och verksamhet som avser skadereglering (40 kap. 6 §). Bedömningen gjordes att de verksamheter som avser personsäkerhetsarbete och fingerade personuppgifter kunde anses utgöra självständiga verksamhetsgrenar i den tidigare organisationen, men att övriga verksamhetsgrenar tidigare inte hade organiserats så att de kunde anses vara självständiga i förhållande till varandra. Det förutsattes att de både verksamheterna avseende personsäkerhetsarbete och fingerade personuppgifter skulle komma att organiseras skilda från övriga verksamheter så att sekretessgränser uppstår. Huruvida övriga verksamhetsgrenar kommer att kunna anses vara självständiga angavs bero på hur den nya myndigheten organiseras. Det angavs vidare att det vid tillfället inte gick att med säkerhet uttala sig om i vilken utsträckning det kommer att finnas sekretessgränser inom Polismyndigheten, men att det är sannolikt att det i de allra flesta fall inte kommer att finnas sådana gränser. (Se a. prop. s. 508 f.) Angående en följdändring i 2 kap. 18 § PDL, angavs vidare

att ”första stycket har anpassats till att sekretess inte gäller inom Polismyndigheten i dess brottsbekämpande verksamhet, varför polismyndigheter har tagits bort” (a. prop. s. 649).

En närliggande fråga är hur en befattningshavare ska tillämpa sekretessreglerna i förhållande till sina kollegor. Den frågan berörs i viss utsträckning i förarbetena till ändringar i sekretesslagen. Där uttalas att sekretessreglerna inte anses utgöra hinder mot att lämna uppgifter mellan befattningshavare hos en myndighet i den utsträckning som är normal för och behövlig för ett ärendes handläggning eller verksamhetens bedrivande i övrigt (prop. 1990/91:111 s. 24.) Det framhålls dock att det av grunderna för sekretesslagen torde följa att en befattningshavare inte bör anses ha en obegränsad frihet att lämna uppgifter som omfattas av sekretess till andra anställda inom myndigheten. JO har också uttalat att det torde stå klart att en befattningshavare inte har någon obegränsad frihet att lämna uppgifter som omfattas av sekretess till sina arbetskamrater (JO 1983/84 s. 262). JO konstaterar dock att sekretesslagstiftningen inte kan anses utgöra ett hinder mot att en handläggare rådfrågar andra befattningshavare om ett ärende, åtminstone inte om det framstår som objektivt försvarbart. Uppgifter måste också fritt kunna lämnas till den som på ett eller annat sätt deltar i beredningen och avgörande av ett ärende. (Se prop. 2013/14:110 s. 517.)

Vår bedömning

Enheten för passagerarinformation kommer att vara en egen enhet men som sådan utgöra en del av Polismyndighetens brottsbekämpande verksamhet. När det gäller informationsöverföring inom Polismyndigheten synes den rådande uppfattningen vara den att det inte förekommer sekretessgränser (eller sekretessväggar) inom Polismyndighetens brottsförebyggande och brottsutredande verksamhet (se t.ex. a. prop. s. 508 f.). Vi delar den uppfattningen. De sekretessbestämmelser som i första hand blir tillämpliga för PNR-information som behandlas hos enheten finns i 18 kap. 1–2 §§ OSL, till skydd för den brottsbekämpande verksamheten, och 35 kap. 1–2 §§ OSL, till skydd för enskilda. Dessa bestämmelser tillämpas också för annan brottsförebyggande och brottsutredande verksamhet.

Även för det fall särskilda sekretessbestämmelser därutöver skulle införas avseende PNR-information m.m. till skydd för verksamheten vid enheten och för registrerade passagerare (se dock våra bedömningar i den frågan i avsnitt 24) är det knappast motiverat att skapa ett helt eget set av sekretessbestämmelser för verksamheten inom enheten för passagerarinformation. Såvitt kan bedömas är det varken möjligt eller lämpligt att införa någon sekretessreglering i syfte att utforma arbetet inom enheten som en egen verksamhetsgren av annat slag än den brottsförebyggande och brottsutredande verksamheten i övrigt vid Polismyndigheten. Trots att enheten för passagerarinformation kommer att organiseras skild från övrig verksamhet, är det inte heller troligt att den kommer att organiseras så att den blir i tillräcklig grad självständig gentemot övrig brottsbekämpande verksamhet vid Polismyndigheten. Som vi angett ovan bör det överlämnas åt Polismyndigheten att närmare bestämma hur enheten ska organiseras. Sammanfattningsvis är det därför olämpligt att lagstiftningsvägen försöka skapa en ny sekretessgräns inom den brottsbekämpande verksamheten.

Begränsningar i tillgången till PNR-information inom Polismyndigheten med stöd av sekretessbestämmelser synes alltså inte vara en framkomlig väg för att skydda PNR-informationen i förhållande till övrig brottsbekämpande verksamhet inom Polismyndigheten. Det bör dock i sammanhanget påpekas att frånvaron av en sekretessgräns mellan enheten för passagerarinformation och övrig brottsförebyggande och brottsutredande verksamhet inte innebär att det finns en obegränsad rätt att sprida sekretessbelagda uppgifter till kollegor inom myndigheten.

10.4.3. Begränsningar via dataskyddsbestämmelser m.m.

Våra förslag: Det ska föras in en bestämmelse i lagen om att bara

den som tjänstgör vid enheten för passagerarinformation får ha tillgång till PNR-information som behandlas vid enheten samt att tillgången till PNR-informationen ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten. Närmare bestämmelser om tillgång, behörighetstilldelning m.m. kan meddelas genom föreskrifter av regeringen eller myndighet som regeringen bestämmer.

Nuvarande reglering i polisdatalagstiftningen m.m.

I 2 kap. 11 § PDL slås fast att tillgången till personuppgifter inom Polismyndigheten ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen omfattar såväl direkt tillgång till automatiserade uppgiftssamlingar som tillgång i allmänhet. Polismyndigheten ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. Bestämmelsen riktar sig inte bara till dem som är engagerade i den dagliga verksamheten. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter. (Se prop. 2009/10:85 s. 94 och 326.) I bestämmelsens andra stycke finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande. I lagens förarbeten har angetts att det inte är lämpligt att i lagform ange detaljerade riktlinjer för hur tillgången till personuppgifter bör avgränsas. Det har i stället angetts vara Polismyndighetens och övriga berörda myndigheters uppgift att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen (a. prop. s. 95.) Regeringen har i 3 § PDF föreskrivit att Polismyndigheten och Säkerhetspolisen får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive verksamhetsområden. Vidare anges att för tilldelning av behörigheter för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Enligt 4 § ska de nu nämnda myndigheterna ansvara för att det inom respektive myndighet finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Av 4 a § framgår vidare att beträffande penningtvättsregistret som regleras i 4 kap. 18 § PDL och det internationella registret som regleras i 4 kap. 21 § PDL får bara tjänstemän vid särskilda enheter ges tillgång till uppgifter i de registren. I paragrafen anges således att endast tjänstemän vid finansunderrättelseenheten vid Polismyndigheten får ha tillgång till upp-

gifter i penningtvättsregister och att endast tjänstemän vid den nationella funktionen för internationella uppgifter vid Polismyndigheten får ha tillgång till uppgifter i det internationella registret. Av bestämmelsen framgår vidare att det vid Polismyndigheten löpande ska föras en förteckning över de tjänstemän vid myndigheten som behandlar dessa uppgifter.

I förarbetena till polisdatalagen framgår därtill att underrättelseverksamhet bedrivs vid särskilda enheter med särskilt utbildade tjänstemän och att det är en naturlig del av underrättelsearbete att begränsa antalet tjänstemän som tar del av viss information (a. prop. s. 107). I propositionen En ny organisation för polisen (prop. 2013/14:110) anges att det får förutsättas att underrättelsearbetet kommer att bedrivas på samma sätt i den nya polisorganisationen. Polismyndigheten och Säkerhetspolisen ska se till att anställda som arbetar med underrättelseverksamhet inte ges tillgång till fler uppgifter än de har behov av i sitt arbete (a. prop. s. 517).

I de för Tullverket nu gällande bestämmelserna om tillgång till passageraruppgifter finns bestämmelser som reglerar vilka anställda som ska ha behörighet att ta del av bokningsuppgifterna. Således anges i 4 kap. 6 § tullförordningen (2016:287) och i 5 § förordningen (1996:702) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen att chefen för Tullverket, eller en chefstjänsteman som förordnats för uppgiften av chefen, beslutar om vilka anställda som ska ha behörighet att ta del av bokningsuppgifter som lämnats av transportföretag, eller genom terminalåtkomst. Behörighet ska endast ges till den som har nödvändig utbildning och som behöver informationen för sina arbetsuppgifter inom Tullverkets brottsbekämpande verksamhet.

Våra överväganden

Inom en myndighet utan inre sekretessgränser ställer det allmänna dataskyddsrättsliga regelverket krav på att personuppgifter ska skyddas genom att tillgången till uppgifterna avgränsas och begränsas så långt möjligt är för verksamheten. Som framgått ovan finns redan tydliga regler om detta för Polismyndighetens del i polisdatalagstiftningen. Det är snarare regel än undantag att sådana bestämmelser tas in i registerförfattningar som sätter ramar för myndigheternas

informationshantering. Denna dataskyddsreglering sker utifrån intresset att tillgodose enskilda registrerades intresse av att personuppgifter om dem hanteras på ett sätt som ger dem ett tillbörligt skydd för deras personliga integritet.

I stor utsträckning överlappande och likartade krav på att begränsa tillgång till myndigheternas information, särskilt känslig sådan, följer även av annan reglering som motiverats av helt andra intressen än det integritetsintresse som ligger bakom den dataskyddsrättsliga regleringen. Begränsningar av tillgången till en myndighets elektroniska informationssamlingar behövs för att skydda t.ex. verksamhetens effektivitet, samhällsfunktioner och liknande. Det säger sig självt att Polismyndighetens verksamhet är sådan att ett otal begränsningar i polisanställdas tillgång till information måste finnas för att skydda informationen från risken att spridas till nackdel för polisverksamheten som sådan.

Inom enheten för passagerarinformation kommer det att finnas personuppgifter om enskilda som inte bör kunna vara allmänt tillgängliga inom Polismyndigheten för att PNR-direktivets krav på tillfredsställande integritetsskydd ska uppnås (se t.ex. artikel 13.2). En korrekt tillämpning av polisdatalagens och polisdataförordningens bestämmelser skulle emellertid i och för sig kunna anses tillräckliga för att få till konsekvens att endast den som tjänstgör vid enheten för passagerarinformation ges tillgång till PNR-information som behandlas vid enheten. Dock anser vi att frågan om begränsning av tillgången är så pass central för integritetsskyddet att den bör regleras särskilt. Ett tillägg i 4 a § PDF om att endast tjänstemän vid enheten får ha tillgång till PNR-information skulle därvid i och för sig kunna tänkas. I och med att PNR-direktivet genomförs genom en egen avgränsad lagstiftning är det emellertid lämpligare att bestämmelser om begränsningar i tillgången tas in i den lag och förordning som vi föreslår. Vi menar också att en övergripande bestämmelse om att endast den som tjänstgör vid enheten får ha tillgång till PNRinformation är av så stor vikt för integritetsskyddet att den bör tas in i lagen.

Det är också av vikt, menar vi, att det inom enheten inte ska få lov att vara full åtkomst till PNR-informationen alldeles oavsett om det är motiverat för verksamhetens effektivitet och ändamålsenlighet eller inte. Även detta bör framgå på lagnivå. Vi föreslår därför att det i lagen också anges att tillgången till PNR-informationen ska

begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten. Därmed framgår motsatsvis att onödigt bred åtkomst bland tjänstemännen på enheten inte får förekomma. Närmare bestämmelser om tillgången – inom denna ram – bör dock kunna meddelas i förordningen eller genom föreskrifter av Polismyndigheten. Dessa bestämmelser kommer att gälla i stället för polisdatalagstiftningens reglering. Vi kommer att i senare avsnitt föreslå en bestämmelse i förordningen om att tillgången till vissa slags uppgifter ska begränsas, se avsnitt 13.4.

Därutöver får tillgången till uppgifterna vid enheten för passagerarinformation regleras internt med hjälp av bestämmelser om behörighetstilldelning. Med en sådan ordning kan de uppgifter som behandlas inom enheten på ett enkelt sätt avgränsas och omges av extra integritets- och säkerhetsskydd. Därmed kan tillgången till den information som finns tillgänglig inom enheten för passagerarinformation begränsas till vad varje tjänsteman behöver för att utföra sina arbetsuppgifter. Behörighetsstyrning och principer som avgör tillgången till uppgifter kan utarbetas på förhand. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.

Inom enheten kommer emellertid att behandlas inte bara PNRinformation som vårt förslag tar sikte på. Enheten kommer exempelvis att kunna göra slagningar i andra databaser som finns tillgängliga i den brottsbekämpande verksamheten. Tillgång och övriga förutsättningar för detta bör, menar vi, lämpligen bedömas och hanteras utifrån polisdatalagstiftningen eller annan tillämplig reglering för detta. Vi föreslår alltså ingen tillkommande dataskyddsrättslig reglering för detta.

Vidare kommer enheten att motta framställningar med förfrågan från behöriga svenska myndigheter, andra länders enheter för passagerarinformation eller Europol. Dessa förfrågningar ska vara motiverade och det kan förmodas att de innehåller information som är känslig både för enskilda personer och för underrättelse- eller utredningsverksamheten vid den begärande myndigheten. Hur dessa ska skyddas från alltför stor tillgänglighet inom enheten eller från spridning ut till övrig verksamhet inom Polismyndigheten bör myndigheten lämpligen själv tillse, på motsvarande sätt som i dag sker beträffande annan information som av andra hänsyn än integritetsintresset inte kan få bli fritt tillgänglig bland myndighetens tiotusen-

tals anställda. Vi föreslår därför ingen reglering av detta. Däremot kommer vi i nästföljande avsnitt att behandla några särskilda frågor som uppkommer med anledning av att personal från andra myndigheter, dvs. andra behöriga myndigheter än Polismyndigheten, kommer att tjänstgöra vid enheten.

Slutligen hänvisar vi till avsnitt 24 där vi allmänt kommer att behandla frågor om det behövs nya eller förändrade sekretessbestämmelser för att skydda PNR-informationen. En ytterligare fråga är om det behövs sekretessbrytande bestämmelser för att möjliggöra de uppgiftsströmmar som PNR-systemet innefattar.

10.5. Personal anställd vid andra myndigheter

Vår bedömning: Det behövs inga särskilda bestämmelser med

anledning av att personal med grundanställning vid andra behöriga myndigheter än Polismyndigheten kommer att tjänstgöra vid enheten för passagerarinformation.

Som tidigare angetts kan enligt direktivet personalen vid enheten för passagerarinformation komma att utgöras av tjänstemän som har avdelats från behöriga myndigheter. Således kan personalen vid enheten komma att ha sin grundanställning inte bara vid Polismyndigheten utan även vid exempelvis Tullverket och Säkerhetspolisen. En sådan bemanning ger större möjligheter att ta tillvara den samlade kompetensen som finns inom de behöriga myndigheterna och underlättar för enheten att bedriva sin verksamhet på ett sätt som är till så stor nytta som möjligt för de behöriga myndigheternas bekämpning av terroristbrottslighet och grov brottslighet. Såvitt vi förstått det parallella projektarbetet med att praktiskt och tekniskt organisera enheten för passagerarinformation är tanken att tjänstemännen i sitt arbete vid enheten för passagerarinformation ska representera enheten och inte sina respektive myndigheter. Det är en tanke som är i linje med vad vi angett tidigare om att enheten ska ingå i Polismyndigheten, dvs. inte vara ett samverkansorgan för flera myndigheter.

En följd av detta är att tjänstemän vid enheten som har avdelats från t.ex. Säkerhetspolisen eller Tullverket anses delta i arbetet vid enheten för passagerarinformation och därmed vid Polismyndigheten.

De kommer därmed att i enlighet med 2 kap. 1 § OSL bli bundna av sekretess som gäller för Polismyndighetens arbete vid denna enhet. Det gäller även i förhållande till deras ”hemmamyndigheter”. När personal från Tullverket eller Säkerhetspolisen arbetar inom enheten uppkommer alltså en sekretessgräns mellan dem och dessa myndigheter. Inom enheten kommer det, å andra sidan, inte att finnas sekretessgränser mellan anställda från Polismyndigheten, Säkerhetspolisen eller Tullverket.

En jämförelse kan i detta sammanhang göras med det arbete som sker vid Nationellt centrum för terrorhotbedömning (NCT), som är en permanent myndighetsgemensam arbetsgrupp med personal från Säkerhetspolisen, Försvarets radioanstalt (FRA) och Militära underrättelse- och säkerhetstjänsten vid Försvarsmakten (Must) och som nyligen setts över och analyserats från rättslig synvinkel, se Ds 2016:31. Vid NCT arbetar analytiker från de tre NCTmyndigheterna, i gemensamma lokaler hos Säkerhetspolisen. Under sin tid på NCT behåller personalen sin anställning hos den ordinarie myndigheten. Analytikerna vid NCT är, vid sin placering där, alltså fortfarande anställda vid respektive myndighet och företräder också den myndigheten i arbetet vid NCT. Den behandling av personuppgifter som respektive analytiker utför inom ramen för NCTsamarbetet, utför denne som företrädare för den egna myndigheten. I samarbetet finns myndighetsspecifika mappar med information och handläggares personliga mappar, men det finns också en gemensam mapp. Utbytet inom samarbetet av personuppgifter sker med stöd av respektive myndighets registerförfattning. Den information som ligger till grund för NCT:s analyser och bedömningar hämtas in av tjänstemännen främst från deras respektive hemmamyndigheter. Informationen hämtas från bl.a. olika register och databaser. Analytikerna använder sina egna myndigheters IT-system och har inte tillgång till varandras system. Vid sin placering på NCT har analytikernas tillgång till information begränsats genom olika behörigheter och analytikerna kommer endast åt sådan information från hemmamyndigheterna som anses vara relevant för det uppdrag de har vid NCT. I den nyss nämnda utredningen föreslås att det i respektive myndighets registerförfattning införs bestämmelser om att direktåtkomst får medges till de andra samarbetande myndigheterna med anknytande sekretessbrytande bestämmelser. Förslaget bereds för närvarande i Regeringskansliet.

Av redogörelsen för NCT framgår motsatsvis att förutsättningarna kommer att vara helt andra vid enheten för passagerarinformation i och med att avdelade tjänstemän från t.ex. Tullverket kommer att delta i Polismyndighetens arbete när de tjänstgör vid enheten. Den information som hanteras inom enheten, inte bara personuppgifter, kommer vidare att ingå i Polismyndighetens informationsmassa.

Det innebär att en anställd från Tullverket inte kommer att kunna göra slagningar i Tullverkets informationssamlingar med stöd av sin behörighet för tillgång enligt 2 kap. 11 § TBL med anknytande föreskrifter. I stället kommer det att få ske med stöd av den direktåtkomst för Polismyndigheten som kan medges enligt 3 kap. 8 § TBL. När tjänstemannen i fråga t.ex. gör en sökning i informationssamlingar som hör till Polismyndigheten sker det följaktligen inte heller med stöd av direktåtkomst för Tullverket (2 kap. 16–18 §§ PDL) utan på grund av den eventuella behörighet för tillgång som Polismyndigheten kan ha gett i enlighet med de bestämmelser vi ovan redogjort för i 4 § PDF m.m. och de vi föreslagit i den nya lagen med anknytande föreskrifter.

Som vi tidigare påpekat kommer det av allt att döma att förekomma information av olika slag som är mycket känslig, t.ex. om underrättelseoperationer eller som rör rikets säkerhet och liknande, som bara ett fåtal bör känna till och arbeta med. Av den anledningen, samt även ur effektivitetssynpunkt, torde det t.ex. vara lämpligt att bara den som avdelats från Säkerhetspolisen ges rätt att arbeta med att besvara Säkerhetspolisens framställningar om att få ut PNR-information från enheten eller dito framställningar från enheter i andra medlemsstater som uppenbarligen syftar till att vidarebefordras till det landets behöriga säkerhetstjänst. Likaså kan det vara rimligt att den som avdelats från Tullverket ges behörighet att för enhetens, dvs. Polismyndighetens räkning, använda den direktåtkomst till Tullverkets informationssamlingar som Polismyndigheten medgetts. Dessa slags frågeställningar med anknytning till att personal från olika myndigheter arbetar vid enheten bör dock inte regleras i den lagstiftning vi föreslår, utan lämnas bäst över till Polismyndigheten att i samråd med inblandade myndigheter reglera genom föreskrifter, arbetsordning för enheten eller liknande. Vi ser alltså framför oss att det finns behov av en tämligen strikt behörighetstilldelning av

hänsyn till såväl dataskydd och integritet som helt andra skyddshänsyn.

Redan i detta sammanhang vill vi påpeka att det i vårt arbete inte funnits förutsättningar att klarlägga vilka informationssamlingar utöver PNR-uppgifterna som man kommer behöva använda sig av i arbetet vid enheten för passagerarinformation. Det sagda gäller register och andra gemensamt tillgängliga uppgifter hos både Polismyndigheten och hos andra myndigheter. Vi utgår därför från att enheten, när den startar det operativa arbetet, kommer att utnyttja system som den nuvarande registerförfattningsregleringen m.m. ger förutsättningar för genom ramar för ändamålbestämning, direktåtkomst m.m.

11. Lufttrafikföretagens överföring av PNR-uppgifter

11.1. Om lufttrafikföretag

PNR-direktivet ålägger lufttrafikföretag att överföra uppgifter om sina passagerare. Ett lufttrafikföretag definieras i direktivet som ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik (artikel 3.1).

Gemensamma bestämmelser för tillhandahållande av lufttrafik i gemenskapen finns i EU:s lufttrafikförordning1. Med lufttrafik avses enligt förordningen en flygning eller serie flygningar för befordran av passagerare, gods, och/eller post som utförs mot ersättning och/eller hyra. Ett företag definieras i förordningen som en fysisk eller juridisk person, oavsett om verksamheten bedrivs i vinstsyfte eller inte. Med företag kan enligt förordningen även avses ett officiellt organ, oavsett om det har självständig status som juridisk person eller inte.

11.1.1. Olika former av kommersiell luftfart för befordran av passagerare

Den kommersiella luftfarten för transport av passagerare brukar delas in i reguljärflyg och charterflyg. Med reguljärflygning avses luftfart som regelbundet trafikerar vissa flyglinjer. Vid en reguljärflygning köper passagerarna en plats, flygstol, på ett flygplan i linjetrafik. Med charterflygning avses i stället oregelbunden luftfart. Charterflygningarna går således endast under en viss säsong, beroende på res-

1 Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, vanligen benämnd EU:s lufttrafikförordning.

målets karaktär. En charterflygning innebär dessutom vanligtvis att ett helt flygplan hyrs och används som en del av en paketresa, i vilken resa, boende och eventuellt mat m.m. säljs i ett paket. Ett flygplan kan dock chartras även för att utföra en enstaka flygresa.

Traditionellt har researrangörer hyrt flygplan och besättning från ett flygbolag för att utföra en eller flera charterflygningar. Numera äger ofta de stora researrangörerna även flygbolagen som utför charterflygningar. Skillnaden mellan charterflyg och reguljärflyg har också blivit mindre, då researrangörerna sedan ett antal år ofta säljer flygstolar i charterflygningarna. Skillnaden är dock att charterflygningar inte ingår i systemet för flygbokningar direkt hos lufttrafikföretagen utan att biljetter säljs via arrangörer och resebyråer.

Det finns även så kallad taxiflygning, som innebär att hela flygplan eller helikoptrar hyrs ut tillfälligtvis för transport av passagerare eller gods på uppdrag av företagsledningar, artister osv. Med taxiflygning avses i detta sammanhang icke regelbunden luftfart med ett mindre luftfartyg, som är typgodkänt för befordran av högst tio passagerare. Vid taxiflygning med passagerare väljs destinationsorten av den som har beställt transporten.

11.1.2. Tillstånd att bedriva passagerarflygtrafik

För att få utföra lufttransporter mot betalning åt allmänheten krävs som huvudregel ett drifttillstånd (AOC – air operator certificate). Detta regleras i svensk rätt i 7 kap. 1 § luftfartslagen (2010:500). Grundkravet på drifttillstånd finns även reglerat i den s.k. Easaförordningen2 samt i den tillhörande tillämpningsförordningen, vanligen benämnd Easa-ops3. Drifttillståndet är ett flygsäkerhetsmässigt godkännande som intygar att tillståndsinnehavaren har de yrkesmässiga kunskaper och den organisation som krävs för att på ett betryggande sätt sköta den verksamhet som anges i tillståndet. Ett drifttillstånd gäller för viss typ av luftfart och för vissa luftfartyg.

2 Europaparlamentets och rådets förordning (EG) nr 216/2008 av den 20 februari 2008 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av en europeisk byrå för luftfartssäkerhet, och om upphävande av rådets direktiv 91/670/EEG, förordning (EG) nr 1592/2002 och direktiv 2004/36/EG. 3 Kommissionens förordning (EU) nr 965/2012 av den 5 oktober 2012 om tekniska krav och administrativa förfaranden i samband med flygdrift enligt Europaparlamentets och rådets förordning (EG) nr 216/2008.

Kravet på drifttillstånd gäller även för utländska rättssubjekt vid luftfart inom svenskt område och för svenska rättssubjekt vid luftfart utanför Sverige. Drifttillstånd utfärdas i Sverige av Transportstyrelsen och kan erhållas av staten, kommuner och landsting, privatpersoner samt olika former av bolag, föreningar, stiftelser och samfund. I fråga om ett utländskt rättssubjekt som är hemmahörande i ett annat land som är medlem i Internationella civila luftfartsorganisationen (Icao) eller i ett land som Sverige träffat avtal med om rätt till luftfart inom svenskt område, godtas ett drifttillstånd eller en likvärdig handling som har utfärdats av det landet i enlighet med Icao:s normer.

Drifttillstånd krävs således för att få utföra lufttransporter mot betalning åt allmänheten oavsett om det handlar om reguljärflyg, charterflyg eller taxiflyg. Begreppet allmänheten ska tolkas vitt, vilket innebär att i stort sett alla som inte ingår i utövarens närmaste bekantskapskrets innefattas. Vidare är det tillräckligt att det har avtalats om att någon form av betalning ska utgå för att en lufttransport ska vara tillståndspliktig. Det föreligger således inget krav på vinst eller vinstsyfte. Det finns inte heller något krav på att en verksamhet ska ha en viss omfattning för att den ska vara tillståndspliktig, utan en enda flygning kan medföra tillståndsplikt. (Se prop. 2009/10:95 s. 342.)

Beträffande luftfart inom EU krävs det utöver drifttillstånd även en operativ licens enligt EU:s lufttrafikförordning. I förordningen anges vilka krav som ska uppfyllas av lufttrafikföretag som bedriver vissa slag av kommersiell flygtrafik inom gemenskapen. Bl.a. krävs att företaget har ett drifttillstånd. Det görs även en prövning av om företaget uppfyller vissa finansiella villkor och försäkringskrav. Ett företag som uppfyller förordningens krav har rätt att få en operativ licens, vilket är ett tillstånd för företaget att mot betalning utföra lufttransport av passagerare, post eller gods som anges i licensen. Inget företag som är etablerat i gemenskapen, dvs. har sitt säte i ett land inom EU, får mot ersättning eller hyra utföra lufttransporter av bl.a. passagerare om de inte har beviljats den nödvändiga operativa licensen. Från kravet på innehav av giltig operativ licens undantas lufttrafik som utförs med icke-motordrivna luftfartyg och/eller ultralätta motordrivna luftfartyg samt lokala flygningar. Licensen har karaktären av ett näringspolitiskt tillstånd. En operativ licens ger inte i sig tillgång till särskilda flyglinjer eller marknader.

En operativ licens enligt EU:s lufttrafikförordning utfärdas av nationella tillståndsmyndigheter för företag som är etablerade i gemenskapen. I Sverige är Transportstyrelsen tillståndsmyndighet. För närvarande har totalt 31 operativa licenser utfärdats i Sverige för både svenska och utländska företag. Vissa av dessa är tämligen stora aktörer som flyger i internationell trafik från de stora flygplatserna, t.ex. SAS Sverige AB, genom konsortiet SAS, eller TUIfly Nordic AB. Andra innehavare av svenska operativa licenser är avsevärt mindre. Roslagens Helikopterflyg AB är ett exempel på en mindre aktör och kommunalförbundet Svensk luftambulans ett annat.

När det gäller flygföretag som är etablerade i EU och som enbart flyger på destinationer utanför EU framgår inte uttryckligen av förordningen om dessa behöver ha en operativ licens. Eftersom den operativa licensen inte ger tillträde till marknaden utan är ett grundläggande villkor för verksamheten som flygbolag, synes dock alla medlemsstater acceptera att en operativ licens även är ett krav för att bedriva transporter mellan EU och tredjeland. (Se prop. 2009/10:95 s. 232.) Operativa licenser, eller motsvarande, utfärdas dock även av länder utanför EU.

Frågan om tillträde till flyglinjer inom unionen, för såväl regelbunden som icke regelbunden lufttrafik, regleras i kap. II i lufttrafikförordningen. Enligt förordningen ska berörda medlemsstater tillåta lufttrafikföretag med giltig operativ licens utfärdad av en behörig tillståndsmyndighet inom unionen att utöva trafikrättigheter, däribland befordran av passagerare, på flyglinjer inom EU. Således krävs inte något särskilt trafiktillstånd för tillträde till flyglinjer inom unionen för de lufttrafikföretag som har en giltig operativ licens utfärdad inom EU. När det gäller luftfart som inte omfattas av EU:s lufttrafikförordning, eftersom den avser inrikestrafik, trafik till tredjeländer eller utförs av sådana lufttrafikföretag som inte har en giltig operativ licens utfärdad i ett land inom EU, kan det dock utöver ett drifttillstånd även krävas ett trafiktillstånd enligt 7 kap. 10 § luftfartslagen för att mot betalning få utföra lufttransporter åt allmänheten. Ett trafiktillstånd är trafikpolitiskt motiverat och ger tillträde till linjer eller marknader. Trafiktillståndet kan ges till såväl svenska som utländska operatörer och kan avse såväl regelbunden som icke regelbunden trafik. Trafiktillstånd lämnas av regeringen eller Transportstyrelsen. I TSFS 2010:168 finns Transportstyrel-

sens föreskrifter om bl.a. trafiktillstånd. När det gäller charter- och taxiflygning finns särskilda föreskrifter i TSFS 2011:104.

11.1.3. Lufttrafikföretagens resor till och från Sverige

År 2016 utförde sammanlagt 240 lufttrafikföretag flygningar för befordran av passagerare till eller från Sverige antingen i linjefart eller som charterflyg. Av dessa flygbolag utförde 100 stycken fem eller färre sådana resor. Därtill utfördes sådana utlandsresor av upp till 87 olika taxiflygbolag.4 Den senare uppgiften är osäker eftersom det inte finns något system som registrerar persontransporter med taxiflyg.5

Resorna gick till någon av landets många flygplatser. Det finns i dag 38 flygplatser i landet med reguljär trafik i form av linjefart eller charterflyg. Vid sidan av dessa finns ett betydande antal flygplatser av varierande standard. Taxiflygen behöver inte nödvändigtvis använda sig av flygplatser som är öppna och bemannade.6

11.2. Lufttrafikföretagens insamlande av PNR-uppgifter

Det finns i dag inte någon uttrycklig författningsreglering om att lufttrafikföretag ska inhämta PNR-uppgifter om sina passagerare. Gällande bestämmelser på området ålägger dock lufttrafikföretagen att på luftfartygen medföra en passagerarlista med namn på sina passagerare. Alla luftfartyg som utför internationella passagerarflygningar ska således ha med sig en passagerarlista som inkluderar passagerarnas avrese- och destinationsorter. Detta följer av artikel 29 i Chicagokonventionen. Även av Easa-ops följer en skyldighet att medföra passagerarlistor vid kommersiella lufttransporter. Enligt förordningen ska flygoperatören också se till att information som är relevant för flygningen och arten av verksamhet bevaras på marken. Det finns dock inte något uttalat krav på att just passagerarlistorna ska bevaras

4 Enligt Transportstyrelsens statistikuppgifter. 5 Se t.ex. SOU 2016:83 s.143. 6 Se a.a. s. 65 f. och 143.

på marken. I förordning (EU) nr 996/20107 behandlas frågor om utredning och förebyggande av flygolyckor. I förordningens artikel 20 anges att unionens flygbolag som ankommer till eller avgår från, och flygbolag från tredjeländer som avgår från, en flygplats belägen på territorierna i de medlemsstater som omfattas av fördragen, ska införa rutiner som gör det möjligt att så snart som möjligt och senast inom två timmar från underrättelsen om att ett luftfartyg har råkat ut för en olycka, ta fram en validerad förteckning, baserad på bästa tillgängliga uppgifter, över alla personer ombord. För att kunna göra en sådan förteckning torde fordras att uppgifter om resenärerna på något sätt finns sparade på marken.

Enligt 15 § TSFS 2011:104 ska vid charterflygningar en förteckning över passagerare förvaras av det företag som utför flygningen och lämnas till Transportstyrelsen på begäran. För taxiflygningarna finns inte någon motsvarande bestämmelse i föreskrifterna om att det ska finnas en förteckning över passagerare.

De lufttrafikföretag som utför reguljärflygningar samlar i dag in PNR-uppgifter om sina passagerare. Uppgifterna vidarebefordras ofta från resebyråer eller researrangörer via olika bokningssystem. Uppgifterna kan även lämnas av passagerarna själva när de bokar eller köper flygresor direkt av lufttrafikföretaget, exempelvis via en hemsida. Lufttrafikföretagen samlar in PNR-uppgifterna för sina egna operativa och kommersiella syften. Därför kan omfattningen av de insamlade uppgifterna samt de insamlade uppgifternas karaktär variera stort mellan lufttrafikföretagen och mellan olika passagerare. I vissa fall kan PNR-uppgifterna bestå endast av namn, resväg, viss allmän information och ett biljettnummer. I andra fall kan PNR-uppgifterna även innehålla exempelvis kontakt- och kreditkortsuppgifter samt uppgifter om att någon särskild service kommer att behövas under resan. Bokningssystemen kan tillhandahållas av olika systemleverantörer, som är de som normalt överför uppgifterna till de nationella myndigheter som kräver tillgång till uppgifterna.

De lufttrafikföretag som är specialiserade på charterflygningar samlar oftast inte in egna PNR-uppgifter. De uppgifter som behövs för att utföra en flygning, såsom namn och flygnummer, överförs i

7 Europaparlamentets och rådets förordning (EU) nr 996/2010 av den 20 oktober 2010 om utredning och förebyggande av olyckor och tillbud inom civil luftfart och om upphävande av direktiv 94/56/EG.

sådant fall till dem från researrangören inför flygresan. Övriga PNRuppgifter, som passagerarna lämnat i samband med resebokningen, finns kvar hos researrangören. Vid flygningar till tredjeland skickas dock ett API-meddelande till flygbolaget, som i sin tur vidarebefordrar meddelandet till myndigheten i ankomstlandet. Meddelandet innehåller namn, födelsetid, nationalitet på pass och passnummer samt ett bokningsnummer.

De mindre lufttrafikföretag som utför taxiflygningar samlar i de flesta fall inte in uppgifter om sina passagerare på ett systematiserat sätt. De insamlande uppgifterna kan i vissa fall bestå av endast en namnuppgift som noteras för hand eller i ett excelformulär.

11.3. Vilka lufttrafikföretag ska åläggas en skyldighet att överföra PNR-uppgifter?

Våra förslag: PNR-uppgifter ska enligt lagen överföras från luft-

trafikföretag som har en giltig operativ licens eller motsvarande som ger rätt att mot vederlag utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar och hanterar PNRuppgifter i reservationssystem.

Reservationssystem ska i lagen definieras som system där PNR-uppgifter samlas för hantering av reservationer.

Direktivets definition av ett lufttrafikföretag, innebärandes ett sådant företag med operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik, innefattar alla företag som utför lufttransport av passagerare mot betalning eller hyra så länge de har den angivna licensen. I begreppet företag innefattas enligt vår bedömning, på samma sätt som enligt lufttrafikförordningen, både fysiska och juridiska personer samt officiella organ. Enligt lufttrafikförordningen undantas från kravet på operativ licens endast lufttrafik som utförs med icke-motordrivna luftfartyg och/eller ultralätta motordrivna luftfartyg samt lokala flygningar. Alla övriga företag som utför lufttransporter mot betalning eller hyra inom unionen ska således ha en operativ licens och träffas därmed av PNR-direktivet. Således omfattas charterflygningarna av direktivets definition, även i de fall charterbolagen äger sina egna flygplan. Även taxiflygen omfattas av direktivets definition. Således träffas också taxiflygföretagen rent

definitionsmässigt av direktivets överföringsskyldighet när de mot ersättning eller hyra utför lufttransporter med hjälp av mindre flyg eller helikopter över ett lands gränser. Med tillägget ”eller motsvarande” innefattas i definitionen även de lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom EU men som har en motsvarande licens från ett tredjeland.

Begreppet lufttrafikföretag har definierats på olika sätt i olika svenska författningar. Exempelvis definieras begreppet i TSFS 2010:68 som ett flygföretag med ett giltigt drifttillstånd (AOC). I TSFS 2011:104 definieras däremot ett lufttrafikföretag som ett flygföretag med giltigt drifttillstånd och i förekommande fall operativ licens eller motsvarande. Även i de EU-rättsliga förordningarna på området finns det olika definitioner av begreppet. I exempelvis förordning (EG) nr 261/20048 definieras ett lufttrafikföretag endast som ett lufttrafikföretag med en giltig licens. I lufttrafikförordningen är dock definitionen av ett lufttrafikföretag ungefärligen densamma som i PNR-direktivet, dvs. ett företag med giltig operativ licens eller motsvarande.

Det saknas således enhetlighet i definitionerna av begreppet lufttrafikföretag. Med hänsyn härtill bör, enligt vår mening, PNRdirektivets definition av begreppet införas i den nya lag som vi föreslår. En sådan lösning synes även lämplig eftersom direktivets definition innehåller en upplysning om kravet på en operativ licens. I detta ligger även ett krav på att lufttrafikföretaget har ett giltigt drifttillstånd. Definitionen omfattar således såväl ett giltigt operativt tillstånd som ett drifttillstånd. Genom tillägget ”eller motsvarande” innefattas även sådana utländska lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom EU men som har en motsvarande licens från ett tredjeland. Av lagens definition bör också framgå att licensen ska ge rätt att bedriva passagerarflygtrafik, dvs. ge rätt att mot betalning eller hyra, dvs. vederlag, utföra lufttransporter av passagerare.

För att direktivets bestämmelser om överföring av PNR-uppgifter ska bli tillämpliga för lufttrafikföretagen förutsätts, förutom att företagen träffas av direktivets definition av ett lufttrafikföretag, att de

8 Europaparlamentets och rådets förordning (EG) nr 261/2004 av den 11 februari 2004 om fastställande av gemensamma regler om kompensation och assistans till passagerare vid nekad ombordstigning och inställda eller kraftigt försenade flygningar och om upphävande av förordning (EEG) nr 295/91.

samlar in PNR-uppgifter som en del av sin normala verksamhet. Denna avgränsning framgår av artikel 8.1. Att uppgifterna ska samlas in som en del av företagets normala verksamhet (på eng. normal

course of their business) får tolkas som att insamlingen ska ingå som

en naturlig del i företagets verksamhet. Insamlingen ska således vara något som företaget redan gör. För det fall företaget inte samlar in PNR-uppgifter i dag, kan överföringsskyldigheten dock inträda i samband med att företaget påbörjar en sådan insamling. Som har angetts ovan ålägger direktivet inte lufttrafikföretagen att inhämta ytterligare uppgifter eller några uppgifter alls om sina passagerare. Vad direktivet handlar om är i stället att redan insamlade uppgifter ska lämnas ut för ny användning i brottsbekämpande syfte. Den grundläggande skyldigheten att överföra PNR-uppgifter enligt direktivet bör därmed inte utsträckas till att avse sådana lufttrafikföretag som inte normalt befattar sig med PNR-uppgifter på det sätt som avses i direktivet.

Definitionen av PNR-uppgifter i artikel 3.5 synes syfta till en systematisk behandling av uppgifter om passagerare via ett reservationssystem, ett avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med liknande uppgifter. Med ett reservationssystem avses enligt artikel 3.6 lufttrafikföretagets interna system, där PNR-uppgifter samlas för hantering av reservationer. Sammanställningen av för resan nödvändiga uppgifter om varje enskild passagerare ska, enligt artikel 3.5, göra det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa. Av artikel 8.3 b framgår vidare att lufttrafikföretagen ska ha tillgång till en gate som passagerarna ska passera på vägen till flygplanet, varefter den andra omgången PNR-uppgifter ska överföras. Tanken bakom PNR-direktivet synes således vara att PNR-uppgifterna ska överföras från större aktörer, som normalt samlar in PNRuppgifter från sina passagerare för operativa och kommersiella ändamål, systematiskt behandlar dem i reservationssystem, avgångskontrollsystem eller likvärdiga system samt själva eller genom en mellanman sköter ombordstigningen på flygplanen genom en gate.

De lufttrafikföretag som utför charterflygningar innehar i många fall endast en mindre mängd PNR-uppgifter. De uppgifter som de innehar behandlas dock oftast systematiskt i företagens datorsystem. Behandlingen av PNR-uppgifter får därmed anses ingå som en normal

del i dessa företags verksamhet. Ombordstigningen på flygplanen sker, i de flesta fall, genom en gate och hanteras elektroniskt på samma sätt som för reguljärflygningarna. Några problem med hänsyn till direktivets överföringstidpunkter föreligger därför i normalfallet inte. Enligt vår bedömning omfattas således, som utgångspunkt, de lufttrafikföretag som utför charterflygningar av direktivets överföringsskyldighet.

De lufttrafikföretag som utför taxiflygningar saknar emellertid i många fall strukturmässigt system för behandling av PNR-uppgifter i den mening som avses i direktivet. De namnuppgifter som samlas in för att uppfylla kravet på innehav av passagerarlistor antecknas i vissa fall endast manuellt eller med hjälp av excelblad. Någon sådan datoriserad behandling och kontroll av reservationer som avses i direktivet förekommer generellt inte. På mindre flygstationer saknas dessutom gater och incheckningen sker därför manuellt. Den i direktivet angivna skyldigheten att överföra PNR-uppgifter omedelbart efter det att gatens dörrar har stängts synes därmed svår att uppfylla.

Enligt vår bedömning behandlar inte dessa mindre taxiflygföretag PNR-uppgifter på det sätt som avses i direktivet. De bör således inte träffas av överföringsskyldigheten enligt vårt lagförslag. För dessa aktörer får efterfrågade passageraruppgifter i stället begäras in med stöd av de gällande bestämmelserna för transportföretag i polislagen och i tullagstiftningen, som vi därför ser anledning att behålla för sådan lufttrafik som utförs av företag som inte kommer att omfattas av skyldigheter enligt den nya lagen för PNR-uppgifter.

För att närmare ringa in de lufttrafikföretag som ska åläggas en grundläggande skyldighet att överföra PNR-uppgifter enligt vårt lagförslag bör således ett tillägg göras till definitionen av ett lufttrafikföretag. Detta tillägg bör innebära att lufttrafikföretaget i sin normala verksamhet ska samla och hantera PNR-uppgifter i reservationssystem. Genom en sådan skrivning faller de lufttrafikföretag som strukturmässigt saknar sådana system för behandling av PNRuppgifter utanför överföringsskyldigheten. En definition av ett reservationssystem bör också föras in i lagen. Definitionen bör utformas på ungefär samma sätt som direktivets definition. För att inte utesluta de lufttrafikföretag som låter en tredjepart hantera PNR-uppgifterna bör det dock vara tillräckligt att i definitionen ange att med reservationssystem avses sådana system där PNR-uppgifter samlas för hantering av reservationer.

11.4. Överföring av PNR-uppgifter till enheten för passagerarinformation

11.4.1. Omfattningen av vårt uppdrag

Vårt förslag: Den nationella regleringen ska innehålla bestämmel-

ser om lufttrafikföretagens överföring av PNR-uppgifter bara till den svenska enheten för passagerarinformation.

Av PNR-direktivets artikel 8.1 följer att medlemsstaterna ska anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför vissa i direktivet angivna PNR-uppgifter till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma till eller varifrån flygningen kommer att avgå. Det anges inte uttryckligen vilka delar av direktivet som det åligger varje medlemsstat att lagstifta om. Tanken bakom direktivet är dock att det i samtliga rättsordningar i de EU-länder som är bundna av direktivet ska finnas en harmoniserad skyldighet för lufttrafikföretagen att överföra PNR-uppgifter till såväl avgångslandets som ankomstlandets nationella enhet för passagerarinformation. Med tanke på att varje medlemsstat ska genomföra direktivet i sin rättsordning ser vi det som den enda rimliga lösningen att det svenska genomförandet ska begränsas till passagerartrafik som berör Sverige och svenska flygplatser. Det medför att den av oss föreslagna lagen inte reglerar skyldigheten för ett lufttrafikföretag som flyger mellan Italien och Egypten att överföra PNR-uppgifter till den italienska enheten. Något annat skulle vara orimligt och leda till dubbelreglering många gånger om inom EU.

Vad gäller flygtrafiken inom EU, som också ska omfattas av den nya lagen (se avsnitt 11.4.2), kan man också fråga sig vad den svenska regleringen bör ta sikte på. Enligt direktivet ska ett lufttrafikföretag som ska företa en flygresa från Sverige till exempelvis Frankrike överföra sina PNR-uppgifter dels till den svenska enheten för passagerarinformation, dels till den franska enheten. Likaså ska lufttrafikföretaget inför en resa från Frankrike till Sverige överföra PNRuppgifterna till både den franska och den svenska enheten för passagerarinformation. Vi ser det som vår uppgift att reglera lufttrafikföretagets skyldighet att överföra PNR-uppgifter till den svenska enheten för passagerarinformation. Lufttrafikföretagets skyl-

dighet att överföra uppgifterna till den franska enheten för passagerarinformation får regleras genom Frankrikes genomförande av direktivet. Även här ser vi detta som en nödvändig begränsning för att undvika framtida tillämpningssvårigheter för lufttrafikföretagen. Våra förslag till lag och förordning kommer således att innehålla bestämmelser om lufttrafikföretagens överföring till den svenska enheten för passagerarinformation.

11.4.2. Överföring av uppgifter avseende flygresor både inom och utom EU

Våra förslag: Lufttrafikföretag ska inför varje flygning ankom-

mande till eller avgående från Sverige överföra PNR-uppgifter till enheten för passagerarinformation.

Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.

Överföring inför flygningar till och från EU

Enligt artikel 8.1 ska medlemsstaterna anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför vissa i direktivet angivna PNR-uppgifter i samband med flygningar utanför EU. Med flygning utanför EU avses i direktivet flygningar mellan ett land inom EU och ett land utanför EU (jfr artikel 3.2). Inför sådana flygningar ska enligt bestämmelsen PNR-uppgifter överföras till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag ska, enligt bestämmelsen, det företag som utför flygningen ha skyldighet att överföra PNR-uppgifter om samtliga passagerare ombord.

Gemensam linjebeteckning, s.k. code sharing, är en form av samarbete mellan flygbolag. Det innebär att ett flygbolag sätter sin egen bolagskod på en flygning som genomförs av ett annat flygbolag. Detta är ett sätt för flygbolagen att genom samarbete med andra flygbolag utvidga sitt linjenät och marknadsföra sig på linjer de inte själva

flyger. Enligt direktivet vilar i sådant fall ansvaret för att PNRuppgifterna överförs på det lufttrafikföretag som utför flygningen.

I artikel 8.1 anges vidare att för det fall en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen överföra PNR-uppgifter för alla passagerare till enheterna för passagerarinformation i alla berörda medlemsstater. Detta gäller även om en flygning inom EU innebär en eller flera mellanlandningar på olika medlemsstaters flygplatser, men endast i fråga om medlemsstater som samlar in PNR-uppgifter från flygningar inom EU. Som angetts i avsnitt 3.3 kommer Danmark inte att tillämpa direktivet, varför detta inte medför någon skyldighet för lufttrafikföretagen att överföra PNR-uppgifter dit. I övrigt ska alltså PNR-uppgifter överföras till samtliga medlemsstater där en flygning startar, landar eller eventuellt mellanlandar.

Överföring även inför flygningar inom EU

Direktivet ålägger således lufttrafikföretagen att överföra PNRuppgifter om passagerare på flygningar som anländer från eller avgår till ett land utanför EU. Av artikel 2.1 framgår att medlemsstaterna därutöver på frivillig grund kan tillämpa direktivet även på flygningar inom EU. Sverige och övriga medlemsstater som är bundna av direktivet har förklarat att de har för avsikt att tillämpa direktivet även för flygresor inom EU. Sverige kommer att skriftligen meddela kommissionen detta. Kommissionen ska därefter offentliggöra detta meddelande i Europeiska unionens officiella tidning (EUT). När ett sådant meddelande har lämnats, ska, enligt artikel 2.2, alla bestämmelser i direktivet gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU. Det som ovan angetts om överföring av PNR-uppgifter från lufttrafikföretagen kommer således även gälla flygningar inom EU.

Direktivet ska genomföras i medlemsstaterna senast den 25 maj 2018. Kommissionen har angett att den endast kommer att offentliggöra meddelanden om att en medlemsstat ska tillämpa direktivet även för flygresor inom EU, om staten även har underrättat kommissionen om att den har genomfört direktivets övriga bestämmelser i enlighet med artikel 18.1. Enligt kommissionen kommer således ett

meddelande från en medlemsstat om att den ska tillämpa direktivet även för flygresor inom EU att få rättslig verkan först när hela direktivet är genomfört i medlemsstaten. Vidare har kommissionen angett att det är tillräckligt att direktivet är genomfört i den medlemsstat som PNR-uppgifterna ska överföras till för att ett lufttrafikföretag ska vara skyldigt att överföra PNR-uppgifter dit. Huruvida den medlemsstat där lufttrafikföretaget har sitt säte ännu har genomfört direktivet eller lämnat meddelanden om detta till kommissionen saknar således betydelse för överföringsskyldigheten.9

För Sveriges del innebär det ovanstående att lufttrafikföretagen, när direktivet är genomfört här och kommissionen är informerad om detta och om att Sverige ska tillämpa direktivet även på flygningar inom EU, ska överföra PNR-uppgifter till den svenska enheten för passagerarinformation inför alla utrikesresor ankommande till eller avgående från Sverige.

Våra överväganden

En utgångspunkt för vårt uppdrag är att direktivet ska tillämpas även för flygningar inom EU och att detta ska genomföras vid samma tidpunkt som direktivet i övrigt ska vara införlivat i svensk rätt. Det bör därför av vår reglering framgå att överföringar av PNRuppgifter till enheten för passagerarinformation ska ske såväl inför resor till och från länder utanför EU som inför resor inom EU. Detta kan uttryckas som att överföringar ska ske inför varje flygning ankommande till eller avgående från Sverige. Vidare bör det av regleringen framgå att om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare. Bestämmelserna, som innebär skyldigheter för enskilda lufttrafikföretag, bör föras in i lag.

9 Se Ref. Ares (2017) 68233 – 06/01/2017.

11.4.3. PNR-uppgifter och passagerare

Våra förslag: PNR-uppgifter, eller flygpassageraruppgifter, ska i

lagen definieras som en sammanställning av uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen.

Passagerare ska definieras som alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.

Med PNR-uppgifter, eller passageraruppgiftssamling, avses enligt artikel 3.5 en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, i avgångskontrollsystemet som används för att checka in passagerare på flygningar eller i likvärdiga system med motsvarande uppgifter (på eng. functionalities). Med passagerare avses enligt artikel 3.4 alla personer, inbegripet personer i transfer eller transit, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande. Detta godkännande ska framgå av att personen står med i passagerarförteckningen. Från begreppet passagerare exkluderas besättningsmedlemmar.

Definitioner av begreppen PNR-uppgifter och passagerare bör föras in i lagen. Definitionerna bör utformas i nära anslutning till direktivets ordalydelse. För att inte i onödan tynga texten bör dock något kortare definitioner användas. Således bör passagerare definieras som alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen. PNR-uppgifter bör i lagen definieras som en sammanställning av uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen. Med PNR-uppgifter avses detsamma som flygpassageraruppgifter.

11.4.4. PNR-uppgifter som ska överföras

Våra förslag: Samtliga de PNR-uppgifter som ska överföras ska

framgå av en bilaga till lagen. PNR-uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

API-uppgifter ingår bland de uppgifter som ska överföras. I den anslutande förordningen regleras att dessa ska överföras även om de inte lagras eller annars behandlas med hjälp av samma tekniska metoder som andra PNR-uppgifter.

PNR-uppgifter som omfattas av direktivet

En förteckning över de PNR-uppgifter som ska överföras till enheterna för passagerarinformation återfinns i bilaga I till direktivet. Lufttrafikföretagen ska dock enligt artikel 8.1 endast överföra dessa uppgifter för det fall de redan har samlat in dem som en del av sin normala affärsverksamhet. Direktivet ålägger alltså inte lufttrafikföretagen att inhämta ytterligare uppgifter eller några uppgifter alls om sina passagerare och medför inte någon skyldighet för passagerare att tillhandahålla några uppgifter utöver dem som redan tillhandahålls lufttrafikföretagen. Vad direktivet handlar om är således att redan insamlade uppgifter ska lämnas ut för ny användning i brottsbekämpande syfte.

Förteckningen i bilaga I har enligt skäl 15 till syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten i EU, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till privatlivet och rätten till skydd av personuppgifter. Vid framtagandet av förteckningen har EU-stadgan, dataskyddskonventionen10 samt Europakonventionen11 beaktats. Det anges vidare att förteckningen inte är avsedd att grundas på en persons ras eller etniska ursprung, religion eller övertygelse, politiska eller annan åskådning, medlemskap i fack-

10 Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter. 11 Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

förening, hälsotillstånd, sexualliv eller sexuella läggning. De i förteckningen angivna PNR-uppgifterna ska endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.

Förteckningen över PNR-uppgifter i bilagan omfattar 19 punkter. Uppräkningen innefattar exempelvis datum för bokning/utfärdande av biljett, namn, adress och kontaktuppgifter. PNR-uppgifternas

lokaliseringskod enligt punkten 1 avser en kod innehållande siffror

och bokstäver som är specifik för en särskild resenärs resa. Koden är detsamma som ett boknings- eller reservationsnummer. Med delade

PNR-uppgifter enligt punkten 11 avses en uppgift om att det tidi-

gare har funnits ytterligare resenärer med samma lokaliseringskod. När delade PNR-uppgifter finns har alltså inledningsvis två passagerare eller fler haft en gemensam bokning, men en eller flera har gjort ombokningar. Vid en ombokning får de utvalda passagerarna en ny lokaliseringskod.

I punkten 12 i bilagan anges ”Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten)”. Uppgifterna om barn som reser utan vuxet sällskap är här särskilt angivna eftersom de kan ha betydelse vid utredningar om människosmuggling. All-

männa anmärkningar utgör ett fritextsfält för kommunikation mellan

t.ex. resebokare och flygbolagspersonal. Bland de allmänna anmärkningarna kan finnas uppgifter om exempelvis cykel med ombord, specialkost, funktionshinder m.m. Användningen av fritextfältet för allmänna anmärkningar kan innebära att känsliga personuppgifter behandlas. Denna fråga kommer vi att återkomma till i avsnitt 18.5.

Även API-uppgifter omfattas

I punkten 18 i bilagan anges eventuell förhandsinformation (API), som samlats in. Som exempel på API-uppgifter anges typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid. Nationalitet ingår numera även i den svenska exemplifieringen, sedan direktivet rättats på den punkten.

Vissa lufttrafikföretag lagrar insamlade API-uppgifter som en del av PNR-uppgifterna, andra gör det inte. Att använda PNR-uppgifter tillsammans med API-uppgifter anges i skäl 10 tillföra ett mervärde, genom att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbekämpningen och minimerar risken för att man kontrollerar och utreder oskyldiga personer. I artikel 8.2 anges därför att om lufttrafikföretagen har samlat in sådana API-uppgifter om passagerare som förtecknas i punkten 18 i bilagan, men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen överför även dessa uppgifter till enheten för passagerarinformation i de medlemsstater som avses i artikel 8.1. Direktivets samtliga bestämmelser ska vara tillämpliga även vid överföring av de uppgifterna.

Våra överväganden

Det bör av lagen framgå vilka PNR-uppgifter som omfattas av lufttrafikföretagens överföringsskyldighet. Vidare bör det av lagen framgå att PNR-uppgifterna endast ska överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

En förteckning över de PNR-uppgifter som omfattas kan föras in i en bilaga till lagen. En hänvisning endast till den bilaga till direktivet där PNR-uppgifterna framgår har inte bedömts lämplig med hänsyn till att den svenska versionen av bilagan har rättats och i övrigt innehåller vissa oklarheter i översättningen. Vi föreslår således att det till lagen fogas en bilaga som listar de PNR-uppgifter som anges i bilaga I till direktivet, med följande justeringar.

I punkten 7 har vi valt att byta ut uttrycket hela resrutten för

aktuell passageraruppgiftssamling som används i direktivets bilaga

mot det kortare uttrycket fullständig resplan.

Enligt punkten 9 i direktivets bilaga ska uppgifter om resebyrå eller resebyråtjänsteman ingå bland de uppgifter som ska överföras från lufttrafikföretagen. Resebyråtjänsteman synes dock vara en felöversättning av det engelska ordet travelagent, som bättre bör översättas med reseagent eller researrangör. Med hänsyn härtill föreslår vi att ordet reseagent används i stället.

I punkten 12 i direktivets bilaga anges att så kallade allmänna anmärkningar ska ingå bland de uppgifter som ska överföras från lufttrafikföretagen. De allmänna anmärkningarna exemplifieras med tillgängliga uppgifter om ensamkommande barn. En bättre översättning är ensamresande barn, vilket är den gängse terminologin inom luftfartssektorn. Enligt utredningens mening är också flygplatsper-

sonal en bättre översättning än flygplatsanställd enligt samma punkt,

eftersom det inte torde krävas att en person är anställd av flygplatsen för att omfattas av bestämmelsen. Vi har därför valt att använda dessa uttryck.

Vidare får med eventuella API-uppgifter i punkten 18 i bilagan förstås samtliga API-uppgifter som finns tillgängliga. Således ska lufttrafikföretagen överföra alla API-uppgifter som de har samlat in (på eng. any advance passenger information data collected), oavsett om de upptas i exemplifieringen eller inte. Detta framgår därför i bilagan till vårt lagförslag. Vidare är enligt vår mening avrese- och

ankomstflygplats bättre översättningar än avrese- och ankomsthamn.

Dessa begrepp används därför i vårt förslag.

I förteckningen över vilka PNR-uppgifter som ska överföras ingår, som framkommit ovan, API-uppgifter. Någon särskild bestämmelse om att även API-uppgifter ska överföras är därför inte nödvändig i den föreslagna lagen. Däremot bör det föras in en bestämmelse om att API-uppgifter ska överföras även om dessa inte lagras eller annars behandlas av företagen med hjälp av samma tekniska metoder som för andra PNR-uppgifter. Detta kan regleras i förordning.

11.4.5. Överföringar ska ske vid två tillfällen

Våra förslag: PNR-uppgifterna ska överföras vid två tillfällen.

Det första 24–48 timmar före flygningens avgång, och det andra omedelbart efter det att gatens dörrar har stängts.

Den andra överföringen får begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.

Av artikel 8.3 framgår att lufttrafikföretagen ska överföra sina PNR-uppgifter vid två tillfällen. Det första tillfället då en överföring ska ske är 24–48 timmar före flygningens planerade avgång. Det andra tillfället är omedelbart efter det att gatens dörrar har stängts, det vill säga när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller stiga av. Den sista överföringen av uppgifter anses vara av avgörande betydelse för brottsbekämpningen eftersom t.ex. narkotikakurirer ofta bokar sina resor sent alternativt bokar om dem. Enligt artikel 8.4 ska medlemsstaterna tillåta lufttrafikföretagen att begränsa den sista överföringen till uppdateringar av de överföringar som har gjorts dessförinnan.

Direktivets bestämmelser om överföringstidpunkter bör föras in i vår lag. Bestämmelsen om att den första överföringen ska ske 24–48 timmar före flygningens planerade avgång kan tolkas som att lufttrafikföretagen får välja när, inom denna tidsram, uppgifterna ska överföras. Skrivningen kan dock även tolkas som att det är upp till varje medlemsstat att bestämma när, inom denna tidsram, uppgifterna ska överföras. Som har angetts i avsnitt 4.2.1 framgår av annex 9 till Chicagokonventionen att de fördragsslutande stater som kräver tillgång till PNR-uppgifter bör anpassa sin behandling av uppgifterna och sina tekniska krav till de riktlinjer som anges i Icao:s dokument 9944 och i instruktionerna för implementering av standardformatet PNRGOV. Av artikel 2.8.2 i dokument 9944 framgår att staterna ska förses med PNR-uppgifter vid på förhand fastställda tidpunkter. Även i instruktionerna angående implementering av PNRGOV anges att överföringarna ska ske vid de tidpunkter som bestäms av staterna. Där anges vidare att det är lufttrafikföretagen som ansvarar för att överföringarna sker i rätt tid. Staterna bör dock vara medvetna om att tiden det tar för lufttrafikföretagen att ta

fram PNR-uppgifterna och överföra dem och för staterna att motta uppgifterna, kan variera. Om denna variation är ett bekymmer för en stat kan ett avtal mellan staten och lufttrafikföretaget behöva ingås för att förtydliga inom vilken tidsperiod som uppgifterna ska mottas.12

Enligt vår bedömning bör den tidsram om 24–48 timmar som anges i direktivet bibehållas i den svenska lagstiftningen. Överföringstidpunkten kan regleras närmare i avtal mellan enheten för passagerarinformation och berörda lufttrafikföretag. Har lufttrafikföretagen överfört sina uppgifter inom den i lagen angivna tidsramen har de dock uppfyllt sina lagstadgade skyldigheter och kan inte på denna grund bli föremål för någon sanktionsavgift.

Den andra överföringstidspunkten kan i lagen avgränsas till när gatens dörrar har stängts. Tidpunkten för överföringen torde härigenom vara tillräckligt definierad. Att gatens dörrar har stängts innebär att passagerare inte längre tillåts stiga ombord eller stiga av planet. Vidare bör det av lagen framgå att den andra överföringen får begränsas till såväl uppdateringar som kompletteringar av de uppgifter som överfördes vid det första tillfället. Således ska en andra överföring alltid omfatta även nytillkomna PNR-uppgifter, t.ex. avseende passagerare som bokat flygresan mindre än ett dygn före avgång.

11.4.6. Överföringar vid andra tidpunkter

Vårt förslag: När det i ett enskilt fall är nödvändigt med tillgång

till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska lufttrafikföretag på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter.

I vissa situationer kan lufttrafikföretagen behöva överföra PNRuppgifter även vid andra tidpunkter än de som angetts ovan. I artikel 8.5 anges nämligen att i situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot

12 Air Transport & Travel Industry, Functional and Business Principles, PNRGOV, Version 16.1, s. 6, punkterna 8 och 11.

med anknytning till terroristbrott eller grov brottslighet, ska lufttrafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation överföra PNR-uppgifter vid andra tidpunkter än de som anges i punkt 3. En sådan begäran kan exempelvis bli aktuell då omständigheterna medför att tillgång till PNR-uppgifter avseende en viss person eller en viss flygresa är nödvändig för att reagera på en särskild risk för sådan brottslighet som direktivet avser i tiden mellan den första och andra överföringstidpunkten.

Enligt direktivet ska en sådan ”extra” överföring ske efter en bedömning i det enskilda fallet. En bedömning huruvida det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter bör, enligt vår mening, göras av enheten för passagerarinformation, eventuellt efter framställan av en behörig myndighet. Det är ju enheten för passagerarinformation och de behöriga myndigheterna som har bäst kunskap i en sådan fråga och som har tillgång till det, troligen sekretessbelagda, material som bedömningen vilar på. Denna tolkning får stöd i artikel 2.8.3 i dokument 9944 och av dokumentet angående implementering av PNRGOV. Det är således inte upp till lufttrafikföretagen huruvida en överföring av PNR-uppgifter ska ske i dessa fall, utan överföringen ska ske när en sådan begäran kommer in från enheten för passagerarinformation. Detta bör framgå av regleringen.

Bestämmelsen bör i övrigt genomföras i lag i enlighet med dess ordalydelse. I svensk lagstiftning brukar dock ordet fara användas i stället för hot. Ordet används bland annat i brottsdatalagen. Med hänsyn härtill föreslår vi att ordet fara används i stället för hot även i genomförandet av vår lag. Av samma anledning bör ordet avvärja användas i vår lag i stället för begreppet reagera på, som används i PNR-direktivet. Således föreslår vi att det i lagtexten anges att ytterligare överföringar ska ske när det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet.

11.4.7. Hur överföringarna ska gå till

Våra förslag: Enheten för passagerarinformation får inte med-

ges direktåtkomst till lufttrafikföretagens uppgiftssamlingar med PNR-uppgifter.

Lufttrafikföretagen ska överföra PNR-uppgifterna i elektronisk form. Närmare bestämmelser om formen för överföringarna bör framgå av förordning.

Direktåtkomst är inte tillåten

Det finns enligt PNR-direktivet två möjliga metoder för överföring av PNR-uppgifter (skäl 16 i ingressen). Den ena är direktåtkomstmetoden (även kallad pull-metoden) som innebär att de behöriga myndigheterna i den medlemsstat som begär tillgång till PNR-uppgifter kan få direktåtkomst till lufttrafikföretagets bokningssystem för att hämta en kopia av de PNR-uppgifter som behövs. Den andra metoden är sändmetoden (även kallad push-metoden), som innebär att lufttrafikföretagen överför de begärda PNR-uppgifterna till den myndighet som har begärt dem. Båda metoderna används av Tullverket vid deras insamlande av PNR-uppgifter i dag. Sändmetoden gör det möjligt för lufttrafikföretagen att behålla kontroll över vilka uppgifter som tillhandahålls. Den metoden anses därför ge en bättre skyddsnivå för uppgifterna (jfr skäl 16). Direktivet föreskriver således att all överföring av PNR-uppgifter från lufttrafikföretagen ska ske enligt sändmetoden (artikel 3.7 och 8.1).

Det bör av lagen framgå vilken metod som ska användas för överföringarna. Enligt vår mening görs detta lämpligast genom en bestämmelse som anger att enheten för passagerarinformation inte får medges direktåtkomst till lufttrafikföretagens uppgiftssamlingar för PNR-uppgifter, så som dessa avgränsas i bilagan till lagen. Av en sådan bestämmelse framgår motsatsvis att sändmetoden ska användas för överföringarna samtidigt som det anges att direktåtkomst inte är tillåten. Med uppgiftssamlingar avses i sammanhanget lufttrafikföretagens reservationssystem eller liknande datoriserade bokningssystem.

Former för överföringarna

All överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för PNR-direktivet ska enligt artikel 8.3 ske på elektronisk väg. Av bestämmelsen framgår också att överföringarna ska ske med användning av de gemensamma protokoll och understödda dataformat som kommer att antas av kommissionen. Vid eventuella tekniska problem får överföringarna ske på något annat sätt som säkerställer ett lämpligt dataskydd.

I artikel 16.2 finns närmare bestämmelser om formen för överföringarna. Här framgår att kommissionen ska anta en förteckning över godkända gemensamma protokoll och understödda dataformat som ska användas vid överföring av PNR-uppgifter. De gemensamma protokollen ska användas för alla överföringar, så att PNRuppgifternas säkerhet under överföringen tryggas. Uppgifterna ska vidare överföras i ett understött format, för att säkerställa att det kan läsas av alla berörda parter. Alla lufttrafikföretag ska bestämma vilket gemensamt protokoll och vilket dataformat i förteckningen som de avser att använda för sina överföringar och underrätta enheterna för passagerarinformation om detta.

Kommissionen har i ett genomförandebeslut13 antagit en sådan förteckning över gemensamma protokoll och understödda format. Förteckningen kan senare komma att ändras (artikel 16.3). I genomförandebeslutet anges att mindre lufttrafikföretag, som inte tillhandahåller flygförbindelser i enlighet med en särskild och offentlig tidtabell och som inte har den nödvändiga infrastrukturen för att använda de gemensamma protokollen och understödda formaten, ska undantas från skyldigheten att använda dessa format och protokoll. Ett sådant lufttrafikföretag ska i stället överföra sina uppgifter på något annat elektroniskt sätt som tillhandahåller tillräckliga garantier med avseende på de tekniska säkerhetsåtgärderna, och som ska överenskommas mellan lufttrafikföretaget och den berörda medlemsstaten.

Ett år från den dag då kommissionen för första gången har antagit gemensamma protokoll och understödda dataformat ska all överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för direktivet ske enligt de gemen-

13 Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation.

samma protokollen och understödda dataformaten (artikel 16.2). Inom samma tid ska medlemsstaterna vidta de tekniska åtgärder som krävs för att dessa gemensamma protokoll och dataformat ska kunna börja användas (artikel 16.5).

Till dess gemensamma protokoll och understödda dataformat finns tillgängliga ska överföringarna göras med elektroniska medel som tillhandahåller tillräckliga garantier med avseende på de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som styr den behandling som ska utföras. I händelse av tekniska problem får PNRuppgifterna överföras på annat lämpligt sätt under förutsättning att samma säkerhetsnivå upprätthålls och att unionsrätten om dataskydd respekteras fullt ut. (Artikel 16.1 och 16.4.)

Reglering av överföringsformerna

Kommissionen har således antagit en lista över gemensamma protokoll och understödda dataformat. Dessa ska användas såväl av lufttrafikföretagen som av medlemsstaterna redan när direktivet ska vara genomfört i nationell rätt. Det saknas därför anledning att reglera vad som skulle ha gällt för det fall sådana gemensamma protokoll och format inte hade antagits.

Gemensamt för alla överföringar till enheten för passagerarinformation kommer att vara att de ska ske i elektronisk form. Detta bör framgå av vår lag. De närmare formerna för överföringarna kommer dock att skifta mellan lufttrafikföretagen och bero på vilket format och protokoll de kommer att välja för överföringarna och huruvida företagen är sådana att de enligt kommissionens beslut kan använda sig av någon annan form för överföringen.

Enligt direktivets artikel 14 ska sanktioner träffa de lufttrafikföretag som inte överför PNR-uppgifter i det fastställda formatet. Det behöver därför i regleringen finnas närmare bestämmelser om formaten för överföringarna. Eftersom formaten kan komma att ändras bör denna fråga lämpligen regleras i förordning. Enligt vår mening kan frågan lämpligen lösas genom att det i den till lagen anslutande förordningen förs in en hänvisning till artikel 1 i kommissionens genomförandebeslut.

Vid eventuella tekniska problem ska överföringarna enligt artikel 8.3 ske på något annat sätt som säkerställer ett lämpligt dataskydd, se även artikel 16.1. Även denna fråga kan regleras i förordning.

11.4.8. Anlitande av personuppgiftsbiträde

Vårt förslag: Den som är skyldig att överföra PNR-uppgifter

får anlita ett personuppgiftsbiträde för att utföra överföringen.

Den grundläggande skyldigheten att överföra PNR-uppgifter åläggs vissa lufttrafikföretag. Som vi kommer att återkomma till i avsnitt 19.1 är lufttrafikföretagen personuppgiftsansvariga för PNR-uppgifterna och ansvarar därmed för att överföringarna till enheten för passagerarinformation sker på ett säkert sätt. Det finns dock inget i direktivet som hindrar att lufttrafikföretagen använder sig av mellanmän, s.k. personuppgiftsbiträden, för att utföra själva överföringen. Det är således möjligt att överföringarna kommer att ske via systemleverantörer och datoriserade bokningssystem.14 Detta bör av tydlighetsskäl framgå av lagen.

14 Se t.ex. Europarlamentets och rådets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphävande av rådets förordning (EEG) nr 2299/89.

12. Resebyråer och researrangörer

12.1. Medlemsstaternas överenskommelse och vårt uppdrag

PNR-direktivet påverkar inte medlemsstaternas möjligheter att samla in och behandla PNR-uppgifter från andra transportföretag än lufttrafikföretag. Direktivet påverkar inte heller medlemsstaternas möjlighet att begära in och behandla PNR-uppgifter från andra ekonomiska aktörer som tillhandahåller reserelaterade tjänster, såsom resebyråer och researrangörer. I båda fallen förutsätts dock att nationella bestämmelser rörande detta är förenliga med EU-rätten (se skäl 33).

I samband med att PNR-direktivet antogs har dock medlemsstaterna även antagit en deklaration som anger att de, i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, åtar sig att i enlighet med parlamentets önskemål utvidga insamlingen av PNR-uppgifter till att omfatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka sådana uppgifter samlas in och behandlas. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning anges inte i deklarationen.

I våra kommittédirektiv anges att deklarationen innebär att medlemsstaterna ska eftersträva att införa nationella bestämmelser som innebär skyldigheter att överföra flygpassageraruppgifter även för ekonomiska aktörer som inte är transportörer, t.ex. de resebyråer och researrangörer som erbjuder bokningsförmedling vid vilken sådana uppgifter samlas in och behandlas. En utgångspunkt för vårt uppdrag är därför att skyldigheten att föra över flygpassageraruppgifter till de nationella enheterna i medlemsstaterna även ska omfatta resebyråer och researrangörer.

12.2. Resebyråer och researrangörer

Det är vanligt att dela in de aktörer som förmedlar resetjänster i resebyråer och researrangörer, där en resebyrå vanligen är att betrakta som en återförsäljare av andras resor och turisttjänster, medan en researrangör är ett företag som producerar och säljer egna resor. Denna uppdelning är emellertid inte helt skarp. En aktör kan vara resebyrå i ett sammanhang och researrangör i ett annat.

Någon definition av begreppet resebyrå finns inte i lagstiftningen. En resebyrå utmärks dock typiskt sett av att den förmedlar ett avtal för annan. Avtalet ingås mellan, å ena sidan, en resenär och, å andra sidan, en transportör, en researrangör eller ett hotell etc. Det finns emellertid situationer då en resebyrå kan få ställning som part i reseavtalet. Om resebyrån agerar självständigt i förhållande till transportörens avtalsvillkor, t.ex. genom att ge en egen rabatt eller göra egna utfästelser, talar det för att den agerar för egen räkning som part i reseavtalet. Frågan om resebyrån i övrigt intar partsställning får bedömas utifrån allmänna avtalsrättsliga grundsatser (se NJA 2014 s. 978). Det är inte helt ovanligt att en resebyrå även arrangerar egna paketresor, företrädesvis grupp- och konferensresor för affärsresekunder.

Antalet svenska företag som kan betraktas som resebyråer uppgick vid utgången av år 2015 till drygt 2901. Beräkningen inkluderar dock inte resebyråer som endast säljer resor via internet. Av resebyråerna är något mer än hälften huvudsakligen inriktade på privatreseförsäljning, ett sextiotal är renodlade affärsresebyråer och resterande säljer både privat- och affärsresor. Ca 60 procent av alla bokningar av flygbiljetter, inom EU och internationellt, utförs av resebyråer2.

En researrangör säljer resepaket, dvs. erbjuder en paketlösning med t.ex. flyg och boende. De som säljer och arrangerar paketresor kan vara allt från mindre familjeföretag till större företag och organisationer. Bland researrangörer finns traditionella charteroperatörer som t.ex. Tui, Ving och Apollo med dotterbolag. Dessa tre researrangörer ägs alla av olika internationella resekoncerner och har egna flygbolag. Andra researrangörer använder sig av reguljärflyg eller andra transportmedel.

1 Enligt Svenska Resebyråföreningens marknadsuppgifter för år 2015. 2 Enligt uppgift från Svenska Resebyråföreningen.

I lagen (1992:1672) om paketresor (paketreselagen) regleras bl.a. arrangörers ansvar för sådana paketresor som de säljer eller marknadsför. Paketreselagen genomför det s.k. paketresedirektivet3. I lagens 3 § definieras en arrangör som den som annat än tillfälligtvis organiserar paketresor och säljer eller marknadsför dem direkt eller genom en återförsäljare. I lagens förarbeten anges att vid bedömningen av vad som är ”annat än tillfälligtvis” torde man få beakta dels hur ofta vederbörande ordnar paketresor men dels också hur regelbundet eller sporadiskt resorna återkommer. Den som varje år ordnar resor till en viss återkommande kongress eller något annat evenemang torde sålunda få anses vara arrangör i lagens mening. Men den som ordnar två eller tre paketresor tätt efter varandra till ett visst evenemang omfattas knappast av lagen, om han eller hon i övrigt inte alls organiserar resor. Detsamma torde gälla den som oregelbundet och relativt sällan ordnar resor (se prop. 1992/93:95 s. 67). En återförsäljare är enligt lagen den som säljer eller marknadsför arrangörens resor.

Ett nytt EU-direktiv om bl.a. paketresor antogs i november 2015.4 Genom direktivet upphävs det tidigare direktivet om paketresor. Medlemsstaterna ska senast den 1 januari 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att genomföra direktivet. Dessa bestämmelser ska tillämpas från och med den 1 juli 2018. I direktivet finns en annorlunda, och längre, definition av arrangörsbegreppet. En arrangör definieras här som en näringsidkare som kombinerar och säljer eller erbjuder paketresor, antingen direkt eller genom en annan näringsidkare eller tillsammans med en annan näringsidkare, eller den näringsidkare som överför resenärens uppgifter till en annan näringsidkare i enlighet med en särskild bestämmelse i direktivet. Direktivet innehåller även en längre definition av begreppet näringsidkare. Återförsäljare definieras i direktivet som en annan näringsidkare än arrangören som säljer eller erbjuder paketresor som kombinerats av en arrangör.

3 Rådets direktiv (90/314/EEG) av den 13 juni 1990 om paketresor, semesterpaket och andra paketarrangemang. 4 Europaparlamentets och rådets direktiv (EU) 2015/2302 av den 25 november 2015 om paketresor och sammanlänkade researrangemang, om ändring av förordning (EG) nr 2006/2004 och Europaparlamentets och rådets direktiv 2011/83/EU samt om upphävande av rådets direktiv 90/314/EEG.

Paketreseutredningen överlämnade den 30 augusti 2016 sina förslag på hur det nya direktivet ska genomföras i svensk rätt. I betänkandet föreslås att den nu gällande paketreselagen byts ut mot en ny lag med samma namn. Direktivets definitioner av begreppen arrangör och återförsäljare föreslås oförändrade föras in i den nya lagen (se SOU 2016:56 s. 124 ff.). Förslaget bereds nu inom regeringskansliet.

Det finns närmare 600 researrangörsföretag i Sverige, bussreseföretagen inte inräknade.5 De flesta arrangerar och säljer paketresor för konsumenter. Ett fåtal är helt inriktade på arrangemang för andra företag. Härutöver finns ett antal företag i form av enskilda firmor och ideella föreningar som organiserar någon eller några enstaka resor om året.

Cirka hälften av de svenska researrangörernas och resebyråernas totala försäljning sker i dag över internet. Vissa resor säljs av s.k. OTA:er. OTA är en förkortning för ”online travel agency” och begreppet används för att beskriva aktörer som är helt inriktade på att sälja resor via internet. Det är vanligt att företag som säljer resor via internet gör det under flera olika varumärken. Det företag som har de flesta varumärkena är E-traveli/Svenska resegruppen. Merparten av de företag som säljer på internet gör det under sitt eget varumärke, t.ex. Resia.se och Ticket.se. Vid sidan om onlineförsäljningen finns det digitala tjänster i form av rena söktjänster. Dessa tjänster erbjuder en möjlighet att hitta och jämföra resor från flera leverantörer. Företagen bakom söktjänsterna säljer inte själva resor, utan tjänar pengar på provisioner från reseföretagen och eventuell merförsäljning via tjänsterna. Ett exempel på en sådan s.k. metasökmotor är Flygresor.se. Flera av söktjänsterna ägs dock av koncerner som också består av företag som säljer resor.

Antalet resebyråer och researrangörer inom Europa uppgick år 2014 till omkring 50 000.6 Den internationella konkurrensen på marknaden har ökat i takt med att konsumenterna i högre utsträckning vant sig vid att köpa resor via internet. Det gäller både svenska företag som vänder sig till utländska resenärer och utländska företag som vänder sig till svenska resenärer. Exempel på det senare är företagen Expedia och Booking.com.

5 Enligt Svenska resebyråföreningens marknadsuppgifter för år 2015. 6 The european travel agents and tour operator association (ACTAA), Table of Statistics.

12.2.1. Resebyråers och researrangörers insamling och överföring av PNR-uppgifter till lufttrafikföretag

När en resenär väljer att boka en resa via en resebyrå eller researrangör skapas PNR-uppgifter i samband med att bokningen genomförs. PNR-uppgifterna överförs därefter till lufttrafikföretagen antingen direkt via flygbolagens hemsidor, eller, vilket är vanligast, via särskilda reservationssystem.

De reservationssystem som vanligtvis används brukar kallas Global Distribution System (GDS) eller Computer Reservation System (CRS). Reservationssystemen möjliggör direktkommunikation mellan å ena sidan den som utför bokningen och å andra sidan lufttrafikföretaget. Systemen innehåller information om bland annat flygbolagens tidtabeller, platstillgång, biljettpriser och tjänster i samband med flygbefordran. Genom reservationssystemen får en ansluten resebyrå eller researrangör tillgång till anslutna flygbolags ”lager” av t.ex. flygstolar. Resebyrån eller researrangören kan därmed gå rakt in i ”lagret” och sälja en flygstol till en kund för flygbolagets räkning.

Reservationssystemen byggdes ursprungligen upp och ägdes av flygbolagen. På grund av ändrade regler är det numera inte lika fördelaktigt för flygbolagen att själva äga systemen och flera flygbolag har därför helt eller delvis sålt sina ägarandelar. Det finns i dagsläget tre dominerande reservationssystem; Amadeus, Sabre och Travelport. Företaget bakom Amadeus är det enda som är lokaliserat i Europa och systemet är det som främst används i Skandinavien. Det har inom EU antagits en förordning som innehåller en uppförandekod för reservationssystemen.7

När en resebyrå eller researrangör tar emot en bokningsförfrågan från en resenär skapar företaget normalt en bokningsfil i det datoriserade reservationssystemet. Den bokningsfil som skapas innehåller således uppgifter om resenären och dennes bokning, dvs. PNRuppgifter. De PNR-uppgifter som härigenom skapas överförs därefter från reservationssystemet till det flygbolag som ansvarar för flygningen. Hur många uppgifter som förs över beror på hur många uppgifter som förts in i systemet. En researrangör ansvarar gentemot kunden för avtalets fullgörande medan en resebyrå normalt

7 Europaparlamentets och rådets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphävande av rådets förordning (EEG) nr 2299/89.

endast förmedlar en flygbiljett. Därför har resebyrån och researrangören olika behov av personuppgifter från kunden och de uppgifter som hämtas in och överförs kan variera. Hur många uppgifter som förs över kan också variera beroende på vilka krav som ställs av flygbolagen. Resebyråerna överför dock normalt på detta sätt samtliga insamlade PNR-uppgifter till lufttrafikföretagen.

De PNR-uppgifter som har överförts från resebyråerna eller researrangörerna kan senare ändras på begäran av resenären, i synnerhet vid ändring i eller avbokning av flygbiljetten. En resebyrå ställer dock vanligtvis ut resenärens biljett kort tid efter bokningen och har sedan utfört sin del av avtalet.

I vissa fall görs ändringar i PNR-uppgifterna en kort tid före avresa. Sådana ändringar kan vara avbokningar i sista minuten eller s.k. ”no-shows”, som innebär att resenären inte infinner sig till incheckning och avresa. I de flesta fall får inte resebyrån kännedom om sena ändringar, avbokningar eller no-show över huvud taget.

Det finns resebyråer och researrangörer som inte själva har tillgång till reservationssystem och som i stället köper in den tjänsten från andra resebyråer eller researrangörer.

För de researrangörer som arrangerar charterresor råder något andra förutsättningar. Resenärernas PNR-uppgifter samlas i dessa fall i charterarrangörernas interna bokningssystem. De PNR-uppgifter som efterfrågas av lufttrafikföretagen överförs i ett förutbestämt filformat en viss bestämd tid före varje flygning. I vissa fall sker överföringen via en mellanhand som har till uppgift att segmentera ut de uppgifter som respektive flygbolag kräver för aktuell transport och att formatera om de filer som överförs från researrangören till det filformat som krävs av lufttrafikföretaget. Ett exempel på mellanhand är företaget Paxport med säte i Sverige. De uppgifter som överförs består i huvudsak endast av en passagerarlista (Passenger Name List – PNL). Passagerarlistan innehåller färre uppgifter än vad som normalt brukar ingå bland PNR-uppgifterna. Dock brukar uppgifter om namn, kön, ålder på barn, förbokad måltid, specialmat, handikapp eller behov av assistans samt anmälda allergier framgå.

12.2.2. Behöriga myndigheter vill kunna få tillgång till samtliga insamlade PNR-uppgifter

För att PNR-systemet ska vara effektivt ur ett brottsbekämpningsperspektiv bör samtliga PNR-uppgifter som har samlats in om passagerare inför en flygning överföras till de nationella enheterna för passagerarinformation. De i utredningen representerade behöriga myndigheterna har uttryckt ett önskemål om att samtliga PNRuppgifter som passagerarna har lämnat, antingen direkt till ett lufttrafikföretag eller via en resebyrå eller researrangör, och som omfattas av bilaga I i PNR-direktivet, överförs till den svenska enheten för passagerarinformation.

Flygtrafiken till vissa länder, exempelvis USA, utgörs främst av reguljärflygningar. Om en reguljär flygresa har bokats via en resebyrå, överför resebyrån normalt de PNR-uppgifter som den har samlat in om kunden till det lufttrafikföretag som ska utföra resan. Till andra länder, såsom exempelvis Turkiet, utgörs flygtrafiken främst av charterflyg. Som framgått ovan överförs vid charterresor oftast ett mindre antal PNR-uppgifter till det lufttrafikföretag som ska utföra flygningen. Således är det endast dessa uppgifter som lufttrafikföretaget i sin tur kommer att överföra till enheten för passagerarinformation. Resten av PNR-uppgifterna finns kvar hos arrangören. Många av just charterflygningarna går till länder som är känsliga utifrån perspektivet bekämpning av grov brottslighet och terroristbrottslighet. Det har därför framförts önskemål om att tillgång ska finnas även till sådana PNR-uppgifter som finns kvar hos charterarrangörerna.

12.2.3. Insamling av PNR-uppgifter från resebyråer och researrangörer i dagsläget

Insamling av PNR-uppgifter från resebyråer eller researrangörer sker i dag, såvitt vi känner till, främst via lufttrafikföretagen. Det finns dock i Frankrike en lagbestämmelse som innebär att resebyråer och researrangörer på begäran kan bli skyldiga att överföra vissa PNRuppgifter för användning i den brottsbekämpande verksamheten.8Hur denna reglering närmare är utformad eller fungerar har vi dock

8 Article L232-7 Code de la sécurité intérieure.

inte haft möjlighet att närmare granska. Under alla förhållanden baseras lagbestämmelsen dock inte på en implementering av PNRdirektivet eller den därtill hörande överenskommelsen.

Det är i skrivande stund inte klart hur medlemsstaterna kommer att hantera den aktuella överenskommelsen. Det har i ett sent skede i vår utredning kommit till vår kännedom att det i Tyskland finns ett förslag som innebär att andra aktörer involverade i reservation eller bokning av flygbiljetter i god tid ska överföra PNR-uppgifter till lufttrafikföretagen för vidare befordran till enheten för passagerarinformation. Huruvida förslaget innebär att resebyråer och researrangörer ska överföra fler uppgifter till lufttrafikföretagen än vad de gör i dag har vi dock inte haft möjlighet att analysera. I Storbritannien har man än så länge koncentrerat sig på att genomföra direktivet i förhållande till lufttrafikföretagen och kommer först i ett senare skede att analysera hur systemet kan utvecklas till att även omfatta resebyråer och researrangörer. Ytterligare uppgifter om hur de andra medlemsstaterna kommer att genomföra den aktuella överenskommelsen har vi inte haft möjlighet att få tillgång till.

12.3. Våra överväganden

Vår bedömning: Resebyråer och researrangörer omfattas redan

av systemet med insamling av PNR-uppgifter. Ytterligare utvidgningar av detta system bör tills vidare anstå.

Innebörden av medlemsstaternas överenskommelse och vårt uppdrag

Medlemsstaterna inklusive Sverige har alltså i ett gemensamt uttalande från rådet, en deklaration, åtagit sig att utvidga insamlingen av PNR-uppgifter till att omfatta aktörer som inte är lufttrafikföretag, exempelvis sådana resebyråer och researrangörer som utför resebokningar. Några närmare uppgifter om hur detta ska gå till anges inte i deklarationen. Inte heller våra kommittédirektiv preciserar vad det är för insamling som det ingår i vårt uppdrag att överväga.

På motsvarande sätt som vi tolkat vårt uppdrag när det gäller lufttrafikföretagens skyldigheter kan vi inte förstå denna del av vårt

uppdrag på annat sätt än att det handlar om att överväga en utvidgning som innebär att den svenska enheten för passagerarinformations insamling av PNR-uppgifter också ska omfatta PNR-uppgifter från resebyråer och researrangörer. Härmed avses sådana uppgifter om kunder som svenska, utländska eller multinationella resebyråer och researrangörer samlar in i sin verksamhet med att arrangera och förmedla resor som innefattar flygresor till eller från Sverige. Vi kommer därför att här bara diskutera en eventuell skyldighet för resebyråer och researrangörer att överföra uppgifter till den svenska enheten för passagerarinformation. Frågan om någon eventuell skyldighet för dessa aktörer att förse övriga medlemsstaters enheter med PNR-uppgifter kommer inte att beröras i det följande.

Möjliga alternativa modeller

Det kan konstateras att resebyråerna och researrangörerna utgör en stor och brokig skara, som innehåller såväl stora internationella bolag som små enmansbolag, enskilda firmor och ideella föreningar. Vissa aktörer säljer endast resor via internet och andra såväl på traditionellt vis som via sina hemsidor. Många aktörer använder sig av de stora internationella reservationssystemen, medan andra köper in sådana tjänster från större bolag. Vidare har användandet av internet medfört att resebranschen blivit alltmer internationell. Det är således inte alls är säkert att en svensk resenär köper sin resa via en svensk resebyrå eller arrangör. Vad gäller utländska resenärer till Sverige torde bilden bli ännu mera brokig.

Det framgår inte av överenskommelsen om insamlingen ska begränsas till sådana resebyråer och researrangörer som har sitt säte inom en medlemsstat eller inom unionen. För det fall insamlingen är tänkt att omfatta samtliga resebyråer och researrangörer som bokar de flygresor som direktivet träffar, skulle det innebära att alla resebyråer och researrangörer i hela världen som ordnar eller förmedlar flygresor till eller från EU träffas av överföringsskyldigheten. Således skulle alla resebyråer och researrangörer världen över som bokar en flygresa till eller från Sverige åläggas en skyldighet att överföra PNRuppgifter till den svenska enheten för passagerarinformation. Antalet resebyråer och researrangörer i hela världen uppgår till ett okänt och otaligt antal. Bara i Europa fanns det år 2014 ca 50 000 sådana

företag. Redan här kan sägas att ett upplägg som innebär att överföringar ska ske från företag som inte har någon annan koppling till Sverige än att de förmedlar flygresor hit, får antas vara mycket svårt att anordna. De tekniska och administrativa hindren för att genomföra ett sådant system synes oändliga. Möjligheten att använda sanktioner mot de utländska företag som inte uppfyller en sådan överföringsskyldighet får också antas möta stora praktiska bekymmer.

Alldeles bortsett från dessa generella svårigheter ser vi i huvudsak tre tänkbara modeller för hur en utvidgning av insamlingen av PNR-uppgifter skulle kunna konstrueras. Vi har identifierat vissa problem med alla tre modellerna, vilka vi beskriver och diskuterar i det följande.

Modell 1) – En direkt utvidgning av direktivet

Ett sätt att genomföra medlemsstaternas överenskommelse vore att direkt utvidga tillämpningen av PNR-direktivet och den svenska lagstiftning som genomför direktivet till att även omfatta resebyråer och researrangörer. Det system för överföring av PNR-uppgifter till enheterna för passagerarinformation som direktivet reglerar är dock utformat och anpassat för att det är just lufttrafikföretag, eller deras uppdragstagare, och inte andra aktörer som ska överföra PNRuppgifterna. Enligt direktivet ska uppgifterna överföras vid två tillfällen, det första 24–48 timmar före flygningens planerade avgång och det andra omedelbart efter det att gatens dörrar har stängts.

Flygbiljetter bokas många gånger långt i förväg. Efter det att en resebyrå har ställt ut önskade flygbiljetter har resebyrån normalt fullgjort sin del av avtalet. Det finns i dag inget givet system som ger resebyråer eller researrangörer möjlighet att söka fram de passagerare som ska resa ett antal dagar och timmar senare. Rent tekniskt skulle i vart fall de stora researrangörerna kunna bygga om sina system för att kunna uppfylla denna skyldighet. Det skulle dock få ske till relativt omfattande kostnader. För mindre resebyråer och researrangörer skulle det vara mycket svårt att bära en sådan kostnad.

En resebyrå eller researrangör kommer dock aldrig att kunna veta om alla passagerare som är bokade på en flygning också infinner sig till denna. Det är flygbolagens personal som har hand om incheckningen på flygplatsen, som står uppe vid flyget och som assisterar

så att flyget kan avgå. Ibland kan charterpersonal finnas på flygplatserna, men i sådana fall är den personalen inhyrd av flygbolagen. Det är således normalt endast det lufttrafikföretag som utför flygningen som har kontroll över inchecknings- och ombordstigningsprocessen. Komplett och uppdaterad information om vilka resenärer som faktiskt går ombord på flygplanet har därmed endast lufttrafikföretaget.

En flygning kan bli försenad av många anledningar. En flygresa kan ställas in och ersättningsflyg kan behöva användas. Resebyråerna och researrangörerna har ingen del i denna process. Dessa aktörer kan därför omöjligen veta när gatens dörrar har stängts. För att kunna uppfylla överföringsskyldigheten enligt direktivet skulle samtliga resebyråer och researrangörer behöva ha personal på plats på samtliga flygplatser vid gaterna, vilket förefaller vara en omöjlighet. Vi kan således inte se att resebyråer och researrangörer har möjlighet att överföra PNR-uppgifter vid de tidpunkter som anges i PNRdirektivet. En direkt utvidgning av direktivets bestämmelser till att omfatta även resebyråer och researrangörer ter sig därför inte praktiskt möjlig.

Modell 2) – Ytterligare överföring via lufttrafikföretagen

En utvidgning av insamlandet av PNR-uppgifter till att även omfatta resebyråer och researrangörer synes ha till syfte att tillse att alla de PNR-uppgifter som har samlats in av någon aktör i flygresebranschen också överförs till de nationella myndigheterna. Det främsta skälet till att ålägga resebyråer och researrangörer en egen överföringsskyldighet får antas vara att endast en mindre del av de insamlade PNRuppgifterna i dagsläget överförs från charterarrangörerna till de lufttrafikföretag som utför charterflygningar. Vi har full förståelse för de behöriga myndigheternas önskemål om att få tillgång även till de uppgifter som i dessa fall finns kvar hos charterarrangörerna. En lösning på denna problematik vore att charterarrangörerna ålades att överföra fler PNR-uppgifter till lufttrafikföretagen än i dag, för vidare överföring av dessa uppgifter till enheten för passagerarinformation. Så skulle i princip kunna göras även beträffande resebyråer och andra researrangörer än charterbolag.

Det är emellertid en grundläggande tanke bakom PNR-direktivet att lufttrafikföretagen inte ska åläggas att samla in eller lagra ytterligare uppgifter om sina passagerare (se skäl 8 i direktivets ingress). Det är alltså endast de PNR-uppgifter som lufttrafikföretagen redan samlar in som en del av sin normala kommersiella verksamhet som enligt direktivet ska överföras till de nationella enheterna för passagerarinformation. Således vore det enligt vår mening oförenligt med PNR-direktivet att i lag eller förordning ålägga lufttrafikföretagen att samla in fler uppgifter än de som de redan samlar in för den egna verksamheten. Vi kan inte heller se att en ordning som innebär en skyldighet för resebyråer och researrangörer att leverera fler PNRuppgifter till lufttrafikföretagen än vad de sistnämnda i dag behöver skulle vara förenlig med den nyss nämnda grundläggande tanken bakom direktivet. Detta gäller i synnerhet om sådana uppgifter som emanerat från resebyråernas och researrangörernas leveransskyldighet skulle behandlas av enheten för passagerarinformation och överföras mellan medlemsstaterna i enlighet med det system som PNRdirektivet ålägger medlemsstaterna att genomföra. Vi har nämligen svårt att se att direktivet ger rättsligt stöd för ett uppgiftsutbyte avseende andra slags PNR-uppgifter än de som samlas in från lufttrafikföretagen eftersom uppgifterna behandlas i deras kommersiella verksamhet. Att hålla isär de PNR-uppgifter som emanerar från charterarrangörernas uppgiftsskyldighet från sådana som överförs enligt PNR-direktivets bestämmelser, och därför också skulle omfattas av direktivets bestämmelser om uppgiftsutbyte mellan medlemsstaterna m.m., torde emellertid vara en svår utmaning praktiskt sett. Redan det sagda innebär enligt vår mening att det vi kallar modell 2 inte kan föreslås inom ramen för vårt arbete. Det kan i sammanhanget dessutom erinras om att skäl 8 i ingressen anger att direktivet inte bör medföra någon skyldighet för passagerare att tillhandahålla några uppgifter utöver de som redan tillhandahålls luft-

trafikföretagen (vår kursivering).

Vi vill framhålla att en lösning enligt modell 2 torde kunna åstadkommas på frivillig väg. Beroende på hur en sådan lösning riggas skulle den dock av allt att döma innebära utvecklingskostnader för charterarrangörerna och eventuellt ytterligare kostnader för mottagandet hos lufttrafikföretagen. Dessutom skulle ett antal frågor rörande integritet och dataskydd behöva analyseras närmare, såsom om överföringarna till lufttrafikföretagen skulle kräva samtycke

från resenärerna eller om någon annan rättslig grund i dataskyddsförordningen kan tillämpas, vem som skulle ha personuppgiftsansvaret för uppgifterna och därmed ansvara för säkerhetsfrågor osv.

Modell 3) – Överföring från resebyråer och researrangörer direkt till enheten för passagerarinformation

Den tredje modellen tar sin utgångspunkt i skäl 33 i PNR-direktivet enligt vilket direktivet inte påverkar medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av PNR-uppgifter från ekonomiska aktörer som inte är transportörer, t.ex. resebyråer och researrangörer som samlar in PNR-uppgifter i sin verksamhet. Detta förutsätter givetvis att den nationella rätten är förenlig med unionsrätten. PNR-direktivet som sådant hindrar alltså inte att det införs en lagstiftning i Sverige om att resebyråer och researrangörer ska överföra PNRuppgifter direkt till enheten för passagerarinformation.

Ett system med direktöverföring från resebyråer och researrangörer till enheten för passagerarinformation reser ett flertal frågor.

En första fråga är givetvis hur systemet lämpligen skulle utformas i fråga om när och hur resebyråer och researrangörer skulle överföra PNR-uppgifter till enheten för passagerarinformation. När vore det möjligt i förhållande till flygplans planerade avgångar? När vore det lämpligt utifrån enhetens behov av uppgifterna? Är ett jämfört med lufttrafikföretagens sändningar tidigarelagt översändande till enheten, t.ex. vid biljettering, alls acceptabelt från integritetssynpunkt? Hur skulle uppgifterna överföras? Hur kan man undvika att enheten får samma PNR-uppgifter i dubbel upplaga, dvs. både direkt från resebyråerna eller researrangörerna och via lufttrafikföretagen? Kan man utgå från att det finns standardiserade format och språk för alla de olika aktörernas samtliga PNR-uppgifter på motsvarande sätt som det finns för lufttrafikföretagens? Om inte, vem ska utveckla sådana? Hade det varit tillräckligt att överföringar skedde på särskild begäran?

En ytterligare fråga är vilka möjligheter enheten för passagerarinformation har att inom en nära överskådlig tid ta emot PNRuppgifter direkt från små och stora resebyråer och researrangörer i Sverige och i andra länder vid sidan av dem som kommer från lufttrafikföretagen. Enligt vad vi inhämtat är de tekniska och perso-

nella förberedelserna för att kunna ta emot PNR-uppgifter bara från lufttrafikföretagen ingen okomplicerad process. Vi befarar att en utvidgning med ett nytt system med direktöverföringar från resebyråer och researrangörer kan, i vart fall på kort sikt, bli en övermäktig uppgift som i värsta fall riskerar att försvåra det faktiska genomförandet av PNR-direktivets system.

Det måste också beaktas att ett åläggande för resebyråer och researrangörer att själva överföra PNR-uppgifter till enheten för passagerarinformation skulle få betydande tekniska, driftsmässiga och ekonomiska konsekvenser för företagen. Den infrastruktur som krävs för en sådan lösning finns inte i dag varför ett sådant åläggande torde medföra stora utvecklings- och investeringskostnader. Lönsamheten i branschen är generellt sett svag och företagen har normalt små marginaler. De minsta bolagen med bara ett fåtal anställda skulle drabbas hårdast då de skulle ha svårt att klara av att bevaka och säkerställa överföringen av uppgifterna.

Som tidigare konstaterats består branschen av ett stort antal aktörer av skiftande slag och storlek. Att finna ett överföringssystem som kan tillgodose alla aktörers möjligheter och tekniska lösningar är en grannlaga uppgift. Att på egen hand finna ett system som reglerar överföring från all världens eller unionens resebyråer och researrangörer får ses som en näst intill omöjlig uppgift inom ramen för detta uppdrag. En begränsning av överföringsskyldigheten till att endast omfatta svenska företag kan inte heller anses lämpligt. Resebyråerna och researrangörerna agerar på en internationell och kommersiell marknad. För det fall Sverige skulle införa en lösning som endast eller till största del träffade svenska företag, skulle företag från andra länder få konkurrensfördelar. Vi kan inte förorda en lösning som innebär att svenska resebyråer och researrangörer drabbas hårdare än andra. Sammantaget är det vår uppfattning att överväganden angående införandet av ett system med direktöverföring av PNR-uppgifter från resebyråer och researrangörer till enheten för passagerarinformation måste föregås av ett mer grundligt analys- och kartläggningsarbete än vad som är möjligt att utföra inom ramarna för vårt uppdrag.

Vår sammanfattande bedömning

Resebyråerna och researrangörerna kommer att bli en del av PNRsystemet, eftersom de redan i dag överför PNR-uppgifter till lufttrafikföretagen för vidare befordran till enheterna för passagerarinformation i Sverige och i andra medlemsstater och kommer att fortsätta göra det. Som angetts ovan är det inte möjligt att därutöver göra PNR-direktivets bestämmelser om överföring från lufttrafikföretagen till de nationella enheterna för passagerarinformation direkt tillämpliga för resebyråerna och researrangörerna. Inte heller är det enligt direktivet möjligt att ålägga lufttrafikföretagen att hämta in fler uppgifter från dessa aktörer. Enligt vår mening kan det knappast ses som ett tillåtet kringgående att – i stället för att ålägga lufttrafikföretagen en ökad insamling – ålägga resebyråer och researrangörer att föra över ytterligare PNR-uppgifter till lufttrafikföretagen; uppgifter som de sistnämnda inte behöver för sin kommersiella verksamhet. För att införa bestämmelser om överföring direkt från resebyråerna eller researrangörerna till den nationella enheten för passagerarinformation skulle det därför vara nödvändigt att åstadkomma en egen nationell lösning. Som vi anfört ovan förefaller ett sådant nationellt system inte vara lämpligt att införa i nuläget.

Vi är medvetna om att det möjligen har gjorts andra tolkningar av direktivet i Tyskland än de som vi har kommit fram till ovan. Det förändrar inte våra bedömningar i detta läge. Vi ser det dock som troligt att en utvidgning av systemet med insamling av PNR-uppgifter till att omfatta ytterligare uppgifter från resebyråer och researrangörer kommer att ske genom en användning av det vi kallar modell 2. En sådan utvidgning kräver dock, som vi ser det, en justering av PNRdirektivet alternativt att en frivillig överenskommelse i frågan ingås mellan lufttrafikföretagen och resebranschen.

Kommissionen ska senast den 25 maj 2020 utföra en översyn av PNR-direktivet. Vid denna översyn ska det beaktas huruvida det är nödvändigt att låta resebyråer och researrangörer omfattas av direktivets tillämpningsområde (artikel 19.3). Mot bakgrund av översynen ska kommissionen, om det är lämpligt, lägga fram ett lagstiftningsförslag i syfte att ändra direktivet (artikel 19.4).

Som tidigare har angetts finns det inte någon tidsangivelse för när medlemsstaternas överenskommelse ska vara genomförd i natio-

nell rätt. Enligt vår mening finns det därför all anledning att avvakta den översyn som kommer att ske av kommissionen, innan överenskommelsen genomförs i svensk rätt genom en utvidgad insamling av PNR-uppgifter från resebyråer och researrangörer utöver den överföring av PNR-uppgifter som redan i dag sker via lufttrafikföretagen.

En skyldighet för resebyråer och researrangörer att överföra PNR-uppgifter till de nationella enheterna för passagerarinformation bör, precis som frågan om överföring av dessa uppgifter från lufttrafikföretagen, behandlas på samma sätt inom samtliga medlemsstater. Det är således angeläget att följa utvecklingen i denna fråga inom EU. Med hänsyn härtill och av de skäl som tidigare anförts, finns inte förutsättningar att i nuläget föreslå en ytterligare utvidgning av PNR-systemet. Frågan bör dock bevakas och eventuellt utredas vidare.

13. Behandling av PNR-uppgifter vid enheten för passagerarinformation

13.1. En databas för PNR-uppgifter

Vårt förslag: En bestämmelse förs in i lagen som anger att de

PNR-uppgifter som överförts från lufttrafikföretagen ska lagras i en databas vid enheten för passagerarinformation.

De PNR-uppgifter som enligt direktivets artikel 8 ska överföras från lufttrafikföretagen (av dem själva eller deras personuppgiftsbiträden) ska samlas in av varje medlemsstats enhet för passagerarinformation. Av artikel 6.1 framgår inledningsvis att för det fall de överförda PNR-uppgifterna avser andra uppgifter än de som anges i direktivets bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet. Denna fråga kommer vi att återkomma till i avsnitt 18.3. De PNR-uppgifter som inte gallras bort redan i samband med mottagandet ska föras in i en databas vid enheten för passagerarinformation (artikel 12.1). Samtliga överförda PNR-uppgifter, som inte har raderats vid den inledande gallringen, kommer således att lagras i denna databas.

Det bör av lagen framgå att det vid enheten för passagerarinformation ska finnas en datoriserad uppgiftssamling där de PNR-uppgifter som har överförts från lufttrafikföretagen ska lagras. Med hänsyn till det stora antalet passagerare som reser till och från Sverige varje år kommer uppgiftssamlingen att innehålla miljontals PNR-uppgifter. Uppgiftssamlingen kommer att bestå av ett urval av uppgifter som ska hanteras på ett strukturerat sätt. Uppgifterna ska behandlas för särskilda och begränsade ändamål och vara avgränsade från andra

uppgiftssamlingar. Visserligen kommer uppgiftssamlingen att innehålla vissa fritextfält. Den kommer dock troligen inte att innehålla löpande texter eller elektroniska dokument av olika slag. Detta talar för att det snarare är fråga om ett register i begreppets traditionella bemärkelse än en databas. Dock är de tekniska lösningarna ännu inte uppbyggda och det är därför inte helt klart hur dessa närmare kommer att vara utformade. Vi har därför valt att i implementeringen hålla oss så nära direktivets ordalydelse som möjligt. I lagförslaget används därför ordet databas för att beskriva den datoriserade uppgiftssamlingen.

13.2. Ändamål för behandling av PNR-uppgifter

Vårt förslag: Enheten för passagerarinformation får endast be-

handla PNR-uppgifter som har överförts från lufttrafikföretagen för uttryckliga ändamål som anges i lagen.

Direktivets bestämmelser

De PNR-uppgifter som har överförts från lufttrafikföretagen i enlighet med direktivets bestämmelser får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Denna utgångspunkt och grundförutsättning framgår av direktivets artikel 1.2 och har behandlats i avsnitt 9.5. I artikel 6.2 finns de närmare bestämmelserna om vad enheten för passagerarinformation får göra med de insamlade PNR-uppgifterna. Här anges att enheten endast får behandla PNR-uppgifterna för följande tre ändamål:

a) Göra en bedömning av passagerare före deras beräknade ankomst

till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna och i förekommande fall Europol behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.

b) I enskilda fall, besvara en vederbörligen motiverad förfrågan som

bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i

syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.

c) Analysera PNR-uppgifter för att uppdatera och skapa nya kri-

terier som ska användas vid de bedömningar som genomförs enligt artikel 6.3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.

Våra överväganden

Artikel 6.2 utgör en verksamhetsreglering som anger hur de insamlade PNR-uppgifterna ska behandlas för att uppgifterna ska komma till användning vid bekämpande av terroristbrottslighet eller grov brottslighet. Bestämmelsen utgör dock även en dataskyddsbestämmelse som anger för vilka ändamål de insamlade PNR-uppgifterna över huvud taget får behandlas. Genom ändamålen sätts ramen för vilken behandling som är tillåten och på så sätt kan användning och spridning av personuppgifter begränsas. Av andra bestämmelser i direktivet framgår emellertid att artikel 6.2 inte är helt exklusiv. Av artikel 9 och 11 framgår nämligen att PNR-uppgifter får behandlas även för att lämnas ut till andra medlemsstater och tredjeländer.

Ändamålsbestämning är central i dataskyddsreglering. I 2 kap. 3 § BDL anges att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 2 kap. 4 § framgår under vilka förutsättningar personuppgifter får behandlas för ett nytt ändamål. Normalt är det den personuppgiftsansvarige själv som bestämmer ändamålen med en behandling. I registerförfattningar kan det emellertid finnas bestämmelser om ändamålsbestämmelser som kan vara mer eller mindre preciserade. I polisdatalagen finns sådana allmänt formulerade ändamålsbestämmelser för Polismyndighetens del främst i 2 kap. 7–9 §§.

Genom PNR-direktivet sjösätts ett nytt system för inhämtande, användande och utbyte inom EU av uppgifter om flygpassagerare och deras resande. Det är nödvändigt, menar vi, för ett korrekt genomförande av direktivet att i lag reglera för vilka ändamål PNRuppgifter som mottagits från lufttrafikföretagen får användas. Enligt vår mening bör artikel 6 genomföras genom en paragraf som på ett

enklare sätt beskriver enhetens olika uppgifter och som dessutom inkluderar behandling för sådana ändamål som anges i artiklarna 9 och 11, dvs. behandling för översändande till andra medlemsstater och till tredjeländer.

Bestämmelsen om ändamål kommer att ersätta de ändamålsbestämmelser som anges i 2 kap. 7 och 8 §§ PDL. Den exkluderar även en tillämpning av bestämmelsen om nya ändamål i 2 kap. 4 § BDL. Uppräkningen i bestämmelsen är uttömmande och innebär att endast sådan personuppgiftsbehandling som inryms i något av de i paragrafen angivna ändamålen får äga rum. Dock är behandling alltid tillåten för att uppfylla de syften som anges i 2 kap. TF. Vidare får PNR-uppgifterna alltid behandlas för att besvara en förfrågan från en enskild om huruvida dennes personuppgifter behandlas vid enheten eller för att ge tillsynsmyndigheten tillgång till behandlade uppgifter.

Hur de närmare ändamålen ska regleras i lagen diskuteras nedan.

13.2.1. PNR-uppgifterna får behandlas för att utföra förhandsbedömningar

Våra förslag: Från lufttrafikföretag insamlade PNR-uppgifter

får behandlas för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller grov brottslighet. Denna behandling bör i lagen kallas för förhandsbedömning.

Användning av PNR-information i realtid

PNR-uppgifter kan användas för att göra en bedömning av passagerare redan innan de har anlänt till eller avrest från en medlemsstat. Syftet med en sådan användning är att övervaka eller gripa personer innan ett brott har begåtts. Uppgifterna kan även användas för att ingripa mot personer på grund av att ett brott har begåtts eller håller på att begås. PNR-uppgifterna kan således vara ett användbart verktyg för behöriga myndigheter i realtid.

Vidare kan kontroll av PNR-uppgifter före passagerarnas ankomst ge de behöriga myndigheterna möjlighet att göra en mer ingående bedömning av personer som, baserat på objektiva bedömningskriterier och tidigare erfarenheter, kan utgöra ett säkerhetshot. Detta underlättar resandet för andra passagerare och minskar risken för att människor olovligen kontrolleras på grundval av kriterier som nationalitet eller hudfärg.1

PNR-uppgifterna ger således de behöriga myndigheterna möjlighet att identifiera, dvs. välja ut, personer som kanske inte tidigare varit misstänkta för inblandning i grov brottslighet eller terrorism, men som enligt en analys av uppgifterna kan vara involverade i sådan brottslighet och därför bör bli föremål för ytterligare utredning. Identifieringen av sådana personer ger de behöriga myndigheterna möjlighet att förebygga och avslöja grov brottslighet, inklusive terrorhandlingar.

Genom artikel 6.2 a ges enheten för passagerarinformation en möjlighet att använda de insamlade PNR-uppgifterna för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten.

Våra överväganden och förslag

Bestämmelsen i artikel 6.2 a bör föras in i lagen i stort sett i enlighet med sin ordalydelse. Således bör det av bestämmelsen framgå att PNR-uppgifterna får behandlas i syfte att identifiera sådana personer som behöver utredas ytterligare. Med att en person har identifierats torde i vanligt språkbruk menas att man har erhållit säkra identitetsuppgifter, såsom namn, födelsedata osv. om personen. För att en sådan identifikation ska kunna ske krävs att det är möjligt att erhålla säkra identitetsuppgifter om den resande. PNR-uppgifterna består dock av sådana uppgifter som har lämnats av passagerarna själva i samband med beställning och bokning av flygresor och anses inte innehålla verifierade identitetsuppgifter. Det vid bokningen uppgivna namnet behöver nämligen inte korrespondera med det namn som anges i en persons pass, eftersom en sådan korrelation inte alltid är nödvändig för att genomföra en resebokning. Säkra identitets-

1 KOM (2011) 32 slutlig av den 2 februari 2011, s. 6.

uppgifter kan endast erhållas för det fall enheten för passagerarinformation också får tillgång till API-uppgifter, som främst innehåller uppgifter hämtade från den resandes pass. API-uppgifter samlas dock inte in inför resor inom EU. Säkra identitetsuppgifter kan således inte erhållas avseende de personer som endast företar resor inom unionen. Med hänsyn härtill bör med ordet identifiering i sammanhanget förstås att en resenär har valts ut såsom intressant för vidare kontroller. För att undvika missförstånd föreslår vi att orden ”välja ut” användas i lagen i stället för direktivets uttryck.

Syftet med behandlingen är att PNR-informationen ska utredas vidare av nationella behöriga myndigheter eller av Europol. Behandlingen ska således inte ske för att finna personer som bör behandlas vidare vid andra medlemsstaters enheter för passagerarinformation. För det fall enheten skulle finna att den framtagna informationen kan vara av intresse även för en annan medlemstat ska dock informationen sändas även till den medlemsstatens enhet för passagerarinformation. Se vidare i avsnitt 15.3.2.

Bestämmelsen som genomför artikel 6.2 a kommer att behandlas återkommande i betänkandet och i lagförslaget. Av denna anledning och för att förenkla lagtexten föreslår vi att den bedömning som ska göras enligt bestämmelsen benämns som förhandsbedömning. Benämningen bör föras in i lagtexten.

13.2.2. Förfarandet vid förhandsbedömningar

Vårt förslag: Vid förhandsbedömningar får PNR-uppgifter

1. jämföras med register eller andra uppgiftssamlingar som är

relevanta för ett eller flera av syftena att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, eller

2. behandlas enligt på förhand utformade och fastställda krite-

rier som är riktade, proportionella och avgränsade och som inte grundas på känsliga personuppgifter.

Som tidigare framgått kommer enheten för passagerarinformation att få del av PNR-uppgifter från miljontals flygresor. För att enheten utifrån dessa uppgifter ska kunna välja ut de personer som kan vara

intressanta för vidare utredning bör den ha tillgång till vissa hjälpmedel. Således anges i artikel 6.3 att enheten vid förhandsbedömningarna får jämföra PNR-uppgifter dels med uppgifter i relevanta databaser, dels med på förhand fastställda kriterier.

Jämförelser med relevanta databaser

Direktivet anger inte vilka databaser eller register som får användas vid förhandsbedömningarna. I artikel 6.3 a anges i stället att databaserna ska vara relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och att det inkluderar databaser över personer eller föremål som är eftersökta eller finns uppförda på en spärrlista. Vidare anges att jämförelserna ska göras i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser.

Direktivet innehåller således en generell begränsning av vilka typer av uppgiftssamlingar PNR-uppgifterna kan jämföras med. Medlemsstaterna får dock själva bestämma vilka uppgiftssamlingar som ska användas. Artikeln är inte heller tvingande utan ger endast medlemsstaterna en möjlighet att söka mot relevanta databaser.

Våra överväganden

Artikel 6.3 a är av sådan vikt för PNR-uppgifternas användning att den bör genomföras i lagen. Av bestämmelsen bör framgå att PNRuppgifter vid förhandsbedömningar – utöver jämförelser med tidigare uppgifter i PNR-databasen – får jämföras med sådana register eller andra uppgiftssamlingar som är relevanta för direktivets syften, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. De aktuella uppgiftssamlingarna utgör normalt i traditionell mening register och inte databaser. Vi föreslår därför att begreppen register eller andra uppgiftssamlingar används i lagtexten.

Det är i nuläget inte klart vilka register eller uppgiftssamlingar som PNR-uppgifterna kommer att jämföras med vid enheten för passagerarinformation. De man kan tänka sig är i fråga om EU-register t.ex. Sis-registret, där personer efterlysta för brott registreras. I fråga om internationella register finns t.ex. Interpols databas där kända

internationella brottslingar kan registreras. Ett nationellt register man kan tänka sig är misstankeregistret. Som angetts i avsnitt 10.5 är det vår utgångspunkt att enheten, när den startar det operativa arbetet, kommer att använda sig av de system som den nuvarande registerförfattningsregleringen ger förutsättningar för och som regleras i annan författning. Bestämmelser härom behöver därför inte föras in i denna reglering. Dock krävs, som angetts ovan, att registren eller uppgiftssamlingarna är relevanta för PNR-direktivets syften.

Det bör i sammanhanget noteras att vissa uppgiftssamlingar som kan bli aktuella för jämförelser kan innehålla uppgifter om personer som inte faller inom direktivets tillämpningsområde eftersom de t.ex. är misstänkta för annat slags eller lindrigare brottslighet. En automatisk sökning i dessa uppgiftssamlingar skulle kunna innebära att PNR-uppgifterna leder till träffar avseende sådan brottslighet som inte omfattas av direktivet. Dock kan en träff avseende exempelvis ett lindrigare brott, en person som är försvunnen eller ett dokument som är stulet, leda till andra antaganden och annan information, som i sin tur leder till misstanke om inblandning i grov brottslighet eller terroristbrottslighet. Sökningarna i de olika databaserna bör därför, enligt vår mening, inte begränsas till att endast omfatta sådana brott som avses i direktivet.

Jämförelser med på förhand fastställda kriterier

Vid förhandsbedömningarna får enheten för passagerarinformation enligt artikel 6.3 b även behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Med behandling i enlighet med på förhand fastställda kriterier avses vad som i polisiära sammanhang kallas för profilering. Med en profil menas en icke personanknuten företeelse och kan avse uppgifter om exempelvis avreseort, resrutt, betalningssätt, bokningsrutin, bagage m.m. Vissa mönster och beteende i resandeflödet utgör riskprofiler som kan ge anledning att kontrollera en viss person. En profil används således för att leta efter mönster som kan indikera att en person är av intresse för vidare kontroller.

En analys av PNR-uppgifter kan exempelvis ge indikationer på de vanligaste rutterna för människohandel och narkotikahandel, information som sedan kan användas som bedömningskriterier. I ett konkret fall från en medlemsstat avslöjade PNR-analysen en grupp

människohandlare som alltid reste samma väg. De använde falska handlingar för att checka in till en flygning inom EU samtidigt som de använde äkta handlingar för att checka in till en annan flygning med destination i ett tredjeland. Så snart de befann sig i flygplatsens lounge-område gick de ombord på det plan som skulle avgå till en destination inom EU. Utan hjälp av PNR-uppgifter skulle det ha varit omöjligt att nysta upp detta nätverk för människohandel.2

I artikel 6.4 anges att förhandsbedömningen av passagerare i enlighet med på förhand fastställda kriterier ska utföras på ett ickediskriminerande sätt. De på förhand fastställda kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. Dessa på förhand fastställda kriterier får dessutom under inga omständigheter vara baserade på känsliga personuppgifter.

Inte heller direktivets bestämmelse om de på förhand fastställda kriterierna i artikel 6.3 b är tvingande. Det utgör således en frivillig möjlighet för medlemsstaterna att använda sig av profilering. Om en profilering sker ska dock bestämmelserna i artikel 6.4 vara uppfyllda.

Våra överväganden

Även artikel 6.3 b och 6.4 bör genomföras i lagen. Det bör här framgå att PNR-uppgifter får behandlas i enlighet med på förhand utformade och fastställda kriterier i samband med förhandsbedömningar av passagerare. Vidare bör det anges att dessa kriterier ska vara riktade och proportionella. Enligt vår mening utgör avgränsade ett bättre ord i sammanhanget än specifika, varför vi väljer att också använda det i lagen.

Förbudet mot behandling av känsliga personuppgifter bör föras in i lagen genom en hänvisning till den bestämmelse i brottsdatalagen där dessa uppgifter behandlas. Dock följer det redan av 1 kap. 9 § RF att en myndighet inte ska utföra sitt arbete på ett diskriminerande sätt. Enlig vår mening saknas det därför anledning att i lagen särskilt ange detta kriterium.

2 A.a. s. 5.

Det kan i förordning regleras att kriterierna ska fastställas och regelbundet ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter.

Konsekvenser av förhandsbedömningarna

I artikel 6.9 anges att konsekvenserna av förhandsbedömningarna inte får äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG3. När bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka kodexen om Schengengränserna4 är tillämplig, ska vidare konsekvenserna av sådana bedömningar vara förenliga med den förordningen.

I rådets direktiv 2004/38/EG slås unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorium fast. Direktivet har genomförts i Sverige främst genom ändrade bestämmelser i utlänningslagen.

Kodexen om Schengengränserna syftar till att precisera unionens bestämmelser om gränskontroller vid personers passage av EU:s yttre gränser och tillfälliga inre gränser. Kodexen gäller som lag i Sverige. Enligt gränskodexen får alla personer, oavsett nationalitet, passera de inre gränserna vid vilket övergångsställe som helst, utan att någon in- eller utresekontroll genomförs. Detta utesluter inte möjligheten att den nationella polismyndigheten utövar sina befogenheter, på villkor att det inte har samma verkan som gränskontroller. Därutöver finns det i gränskodexen bestämmelser om att de EU-länder som tillhör Schengenområdet under vissa förutsättningar får återinföra gränskontroller.

3 Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG. 4 Direktivet hänvisar till Europarlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna). Den har emellertid ersatts av Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna).

PNR-direktivet syftar inte till att förbättra gränskontrollerna eller reglera invandringen, utan syftar till att bekämpa terroristbrottslighet och grov brottslighet. Direktivet innehåller vidare inga bestämmelser om avvisning eller utvisning av personer. Med hänsyn härtill är det vår uppfattning att den grundbestämmelse om att PNR-uppgifter endast får användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet som föreslås införas i lagen, är tillräcklig för att säkerställa att kraven i artikel 6.9 efterlevs.

13.2.3. PNR-uppgifterna får behandlas för att överföra PNR-information till behöriga mottagare och tredjeland

Våra förslag: Från lufttrafikföretag insamlade PNR-uppgifter

får behandlas för att enheten ska kunna fullgöra sina uppgifter enligt direktivet att på eget initiativ överföra PNR-information eller för att besvara en begäran från en behörig mottagare. Vidare ska i ändamålsbestämmelsen framgå att PNR-uppgifter får överföras till tredjeland enligt bestämmelserna om detta i lagen.

Reaktiv behandling av PNR-uppgifter

PNR-uppgifter behöver inte endast användas i realtid för att förhindra brottslighet. Uppgifterna kan även användas reaktivt efter det att ett brott har begåtts för att ta fram bevisning och, i förekommande fall, hitta medbrottslingar och nysta upp kriminella nätverk. I brottsutredningar kan äldre PNR-uppgifter användas exempelvis för att kartlägga var en misstänkt har befunnit sig vid vissa tidpunkter, vem personen har rest med och vem som har betalat för resan. Exempelvis kan kreditkortsinformation som ingår bland PNR-uppgifterna göra det möjligt för de behöriga myndigheterna att identifiera och styrka kopplingar mellan en person och en känd brottsling eller ett kriminellt nätverk. Ett exempel från en medlemsstat rörde storskalig människo- och narkotikahandel med anknytning till en medlemsstat och flera tredjeländer. Karteller importerade narkotika till flera olika destinationer i Europa. Människor som själva var offer för människohandel tvingades svälja narkotika och transportera

den till EU. Personerna identifierades genom att det på grundval av PNR-uppgifter kunde konstateras att de hade köpt flygbiljetten med stulna kreditkort. Detta ledde till gripanden i den berörda medlemsstaten. På denna grund skapades ett bedömningskriterium som i sig ledde till flera ytterligare gripanden i andra medlemsstater och tredjeländer.5

Lagrade PNR-uppgifter kan även vara av intresse i underrättelseverksamhet eller annan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Behöriga myndigheter som tror sig kunna ha nytta av äldre PNRuppgifter kan vända sig till enheten för passagerarinformation och begära att få ut äldre PNR-uppgifter som kan vara av värde för dem i deras arbete. Således anges i artikel 6.2 b att PNR-uppgifterna får användas i enskilda fall för att besvara en vederbörligen motiverad förfrågan (request i den engelska versionen av direktivet) från en behörig myndighet om att tillhandahålla och behandla PNR-uppgifter i ett specifikt fall. Förfrågan ska bygga på tillräckliga skäl och vara ställd i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet. Resultatet av en sådan behandling av PNR-uppgifter ska enligt bestämmelsen lämnas till de behöriga myndigheterna eller, när så är lämpligt, till Europol.

Av andra bestämmelser i direktivet framgår att enheten för passagerarinformation under vissa förutsättningar även ska besvara förfrågningar från andra än behöriga myndigheter om att få ta del av sådana PNR-uppgifter som lagras vid enheten. Sådana förfrågningar kan komma från andra medlemsstaters enheter för passagerarinformation (artikel 9.2), myndigheter som har utsetts till behöriga i andra medlemsstater (artikel 9.4), Europol (artikel 10.2) och tredjeländer (artikel 11.2).

Våra överväganden

Bestämmelsen i artikel 6.2 b bör genomföras på så sätt att det av bestämmelsen framgår att PNR-uppgifter som överförts från lufttrafikföretagen får behandlas för att besvara en begäran från samtliga mottagare som enligt direktivet är behöriga att motta PNR-

5 KOM (2011) 32 slutlig av den 2 februari 2011, s. 5 f.

uppgifter från enheten för passagerarinformation och för att tillhandahålla dessa mottagare resultatet av sådan behandling. Detta kan lösas genom att det i lagen hänvisas till behöriga mottagare i stället för endast behöriga myndigheter och Europol. Vidare bör framgå att PNR-uppgifter får behandlas av enheten för att den på eget initiativ ska överföra uppgifter till andra medlemsstater enligt artikel 9.1. De närmare förutsättningarna som anges i artikel 6.2 b och i artikel 9 bör dock inte framgå av ändamålsbestämmelsen utan genomföras i andra bestämmelser i lagen och som vi behandlar i avsnitt 15.

Enligt artikel 11 i direktivet får i vissa fall PNR-uppgifter behandlas genom att överföras till tredjeland. Även detta bör framgå i lagens ändamålsbestämmelse. Förutsättningarna för överföring till tredjeland behandlar vi i avsnitt 17.

13.2.4. PNR-uppgifterna får behandlas för att utforma kriterier

Vårt förslag: Från lufttrafikföretag insamlade PNR-uppgifter får

analyseras för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningarna.

Som tidigare har angetts ska de på förhand fastställda kriterierna regelbundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. De PNR-uppgifter som har samlats in från lufttrafikföretagen och finns lagrade i databasen vid enheten för passagerarinformation får således även användas för att uppdatera riskprofilerna eller skapa nya sådana. Det är därmed möjligt för personalen inom enheten att gå igenom de PNR-uppgifter som finns samlade i databasen för att leta efter mönster som kan indikera att personer kan vara av intresse för vidare kontroller. PNR-uppgifterna kan på detta sätt användas för att förbättra urvalet av de passagerare som kan komma att vara intressanta för vidare granskning. Detta framgår av artikel 6.2 c.

Enligt vår mening bör även denna ändamålsbestämmelse föras in i lagen. Det bör här framgå att PNR-uppgifter får analyseras för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningarna.

13.2.5. PNR-information som tas emot från andra medlemsstaters enheter för passagerarinformation

Vårt förslag: PNR-information som enheten för passagerar-

information mottar från motsvarande enheter i andra medlemsstater får endast behandlas i syfte att vidarebefordra uppgifterna till behöriga myndigheter för fortsatt användning för ett eller flera av syftena att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

En enhet för passagerarinformation som vid sin förhandsbedömning av passagerare har identifierat en person kan i vissa fall överföra PNR-informationen om denna person inte bara till en myndighet som har utsetts till behörig i det egna landet utan även till en motsvarande enhet i en annan medlemsstat. Detta framgår av artikel 9.1 och behandlas närmare i avsnitt 15.3.2. Vår enhet för passagerarinformation kommer således inte bara att behandla PNR-uppgifter som har kommit in från lufttrafikföretagen till den egna databasen, utan kommer därutöver också att motta och behandla PNR-information från andra medlemsstaters motsvarande enheter. Enligt artikel 9.1 ska den mottagande enheten överföra de på detta sätt mottagna uppgifterna till sina behöriga myndigheter. De uppgifter som överförs från andra länders enheter för passagerarinformation ska således lämnas vidare från enheten till de nationella behöriga myndigheterna, och inte bevaras vid enheten för passagerarinformation.

Vidare kommer enheten för passagerarinformation att motta PNR-information från andra medlemsstaters enheter för passagerarinformation som svar på sådana förfrågningar som enheten ställt till den andra enheten (artikel 9.2). Det framgår dock inte av direktivet vad enheten ska göra med denna information. Enligt vår bedömning bör enheten för passagerarinformation uppfattas som en förmedlare av PNR-information och inte som en slutlig destinationsinstans när det gäller det internationella utbytet av PNR-information. Således ska PNR-information som finns sparad i databaser vid andra medlemsstaters enheter för passagerarinformation endast hämtas in när det är tillåtet enligt direktivet och därefter föras vidare till behöriga myndigheter. PNR-information kan därmed, enligt vår bedömning, inte hämtas in från andra medlemsstater för att enheten för passagerarinformation ska kunna verifiera sin egen databas eller finslipa

sina kriterier etc. Den PNR-information som hämtas in med stöd av bestämmelserna ska således, enligt vår bedömning, inte bevaras hos enheten, i vart fall inte någon längre tid. Den frågan återkommer vi till i avsnitt 18 om gallring.

Den behandling som ska ske av PNR-information som mottagits från andra medlemsstater ska således syfta till att uppgifterna ska föras vidare till behöriga myndigheter för användning för något av de syften som framgår av artikel 1.2 i direktivet. Detta bör enligt vår mening komma till klart uttryck i lagen. Vi föreslår således en bestämmelse som anger att den PNR-information som enheten för passagerarinformation mottar från motsvarande enheter i andra medlemsstater endast får behandlas i syfte att överföra informationen till behöriga myndigheter för att där komma till användning i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Det finns dock inget som hindrar enheten från att inte överföra all denna information, för det fall enheten skulle bedöma den totalt onödig för de behöriga myndigheterna. Hur enheten i övrigt ska gå till väga vid överlämnandet av PNR-information till behöriga myndigheter behandlas i avsnitt 15.2.2.

13.3. Maskering av PNR-uppgifter

Våra förslag: En bestämmelse förs in i lagen som anger att vissa

PNR-uppgifter ska maskeras sex månader efter mottagandet från lufttrafikföretagen. Dessa uppgifter räknas upp i lagen och motsvarar artikel 12.2 i direktivet.

Vidare ska det föras in definitioner i lagen som anger att – med maskering ska förstås en åtgärd som innebär att tillgäng-

liga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som saknar särskild behörighet för åtkomst till uppgifterna,

– med maskerade PNR-uppgifter avses personuppgifter som

genomgått en maskering, och – med avmaskerade PNR-uppgifter avses fullständiga flygpassa-

geraruppgifter där personuppgifter tidigare genomgått en maskering.

13.3.1. Direktivets bestämmelser

Enligt direktivets artikel 12.2 ska PNR-uppgifterna i PNR-databasen avidentifieras genom maskering efter en inledande sexmånadersperiod. Med avidentifiering genom maskering av uppgifter menas, enligt direktivets definition i artikel 3.10, att göra de uppgifter som kan användas för att omedelbart identifiera den registrerade osynliga för en användare.

Av artikel 12.2 framgår således att vid utgången av en period på sex månader efter överföringen från lufttrafikföretagen ska PNRuppgifterna avidentifieras genom maskering av vissa särskilt uppräknade uppgifter som kan användas för att omedelbart identifiera de passagerare som PNR uppgifterna avser.

I artikelns uppräkning ingår

a) namn, inklusive namn på andra passagerare i PNR samt antal

passagerare i PNR som reser tillsammans,

b) adress och kontaktuppgifter,

c) alla former av betalningsinformation, inbegripet faktureringsadress

om denna innehåller uppgift som kan användas för att omedelbart identifiera den passagerare som personuppgiftssamlingar avser eller andra personer,

d) uppgifter om bonusprogram,

e) allmänna anmärkningar, om dessa innehåller uppgifter som kan

användas för att omedelbart identifiera den passagerare som personuppgiftssamlingar avser, samt

f) alla API-uppgifter som samlats in.

13.3.2. Våra överväganden och förslag

Av direktivets skäl 25 framgår att syftet med maskering av PNRuppgifter som direkt identifierar en person är att en oproportionerlig användning av uppgifterna ska undvikas. Tanken torde vara att efter hand som tiden går efter det att det inte längre är aktuellt att göra en förhandsbedömning av passagerare, minskar behovet av tillgång till direkt utpekande personuppgifter om passagerare. Efter så lång tid som sex månader torde det i huvudsak endast vara vid undersökningar på särskild förfrågan som tillgång till sådana uppgifter om passagerare kan vara av intresse.

Artikel 12.2 är en bestämmelse som enligt vår uppfattning måste genomföras genom författningsreglering. Den har en central ställning och bör därför genomföras i den nya lagen.

I den svenska översättningen av direktivet används begreppet avidentifiering genom maskering för att beskriva denna ordning. Med avidentifierade data avses dock i andra lagstiftningar och i andra sammanhang att kopplingen mellan uppgifterna och en fysisk person har eliminerats. I PNR-direktivet är inte tanken att kopplingen mellan PNR-uppgifterna och den fysiska personen ska brytas. Under vissa förutsättningar ska nämligen de fullständiga uppgifterna kunna plockas fram. Regleringen i direktivet avser i stället att direkt utpekande personuppgifter ska göras osynliga för en användare. Ordet avidentifiering bör därför undvikas i lagförslaget.

Ordet maskering är ett tämligen ovanligt begrepp i lagstiftningssammanhang. I artikel 4 i dataskyddsförordningen definieras det till synes näraliggande begreppet pseudonymisering. Vi har övervägt om det vore ett ord som lämpligen borde användas i stället för maskering. Begreppet pseudonymisering definieras emellertid i förordningen med att det avser ”behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person”. Enligt vår mening kommer det beträffande det som kallas maskerade PNR-uppgifter i direktivet att brista i den förutsättning i dataskyddsförordningen som kräver separat förvaring. Det som avses ske med PNR-uppgifterna är i stället, i praktiken,

att behörigheten för åtkomst eller tillgång till de direkt identifierande uppgifterna ska snävas in så att en vanlig befattningshavare vid enheten för passagerarinformation som dittills haft tillgång till fullständiga uppgifter, inte längre kommer att ha det. Begreppet pseudonymiserade PNR-uppgifter bör således inte användas i den nya lagen.

Vi bedömer det i stället som lämpligast att använda samma begrepp som i direktivet, dvs. maskering. Ordet förekommer redan i författningstext, nämligen i lagen (2005:900) om förbud mot maskering i vissa fall. Den lagen innehåller förbud att i vissa sammanhang, t.ex. en demonstration, helt eller delvis täcka för ansiktet på ett sätt som försvårar identifikation. Att ordet förekommer i ett annat slags sammanhang med en annorlunda innebörd utgör enligt vår mening inget hinder mot att vi använder ordet i den nya lagen för att genomföra direktivets bestämmelse om den åtgärd som avses där. Detta gäller särskilt eftersom användningsområdena i den nyssnämnda lagen och den av oss föreslagna nya lagen är så pass åtskilda att risken för missuppfattningar om innebörden av ordet i den ena eller andra lagen inte torde kunna uppstå. Vi föreslår således en bestämmelse om att PNR-uppgifter ska maskeras sex månader efter mottagandet från lufttrafikföretagen.

Med maskering ska förstås en åtgärd som innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som saknar särskild behörighet för åtkomst till uppgifterna. Detta föreslår vi ska definieras i lagen.

Vi föreslår också att det i lagen definieras att med maskerade PNR-uppgifter avses personuppgifter som genomgått en maskering samt att med avmaskerade PNR-uppgifter avses fullständiga flygpassageraruppgifter där personuppgifter tidigare genomgått en maskering.

Direktivets uppräkning av de uppgifter som ska maskeras är uttömmande. Bestämmelsen i artikel 12.2 bör genomföras i den nya lagen genom en motsvarande uppräkning, men med några språkliga justeringar enligt följande.

I direktivet anges under punkten a namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans. Med PNR torde i sammanhanget avses passageraruppgiftssamlingen. Det är, enligt vår bedömning, tillräckligt om det i lagen

anges att maskering ska ske av alla namnuppgifter samt av uppgifter om antalet passagerare som reser tillsammans.

Under punkten c anges alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingen avser eller andra personer. All betalningsinformation som kan användas för att direkt identifiera en person ska alltså maskeras, oavsett om denna person är en passagerare eller inte. Detta bör framgå av vår bestämmelse.

När det gäller de allmänna anmärkningarna enligt punkten e ska dessa maskeras om de innehåller uppgifter som kan användas för att direkt identifiera en passagerare. Även detta bör framgå av bestämmelsen.

13.4. Begränsad tillgång till maskerade uppgifter

Våra förslag: Det ska införas ett författningsreglerat krav på att

tillgången till maskerade uppgifter ska vara strikt begränsad. Det kan ske genom att det i förordningen förs in en bestämmelse om att endast dataskyddsombudet samt den som har ett särskilt behov av fullständiga uppgifter för att kunna utföra sina arbetsuppgifter vid enheten för passagerarinformation ska kunna ges behörighet för tillgång till maskerade PNR-uppgifter. Behörigheten ska bara få utnyttjas när det i ett enskilt fall är absolut nödvändigt med tillgång till fullständiga uppgifter.

Enligt direktivets skäl 25 bör åtkomst till maskerade uppgifter endast beviljas under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Som ett komplement till bestämmelserna om maskering bör det därför föras in bestämmelser som ställer krav på att behörigheten för åtkomst till fullständiga PNR-uppgifter som har maskerats ska vara särskilt begränsad. Sådana bestämmelser bör kunna tas in i den till den nya lagen anslutande förordningen. Vi föreslår där en bestämmelse som anger att endast dataskyddsombudet samt den som har ett särskilt behov av fullständiga uppgifter för att kunna utföra sina arbetsuppgifter vid enheten ska kunna ges behörighet för tillgång till uppgifterna. Vi föreslår även att behörigheten bara får utnyttjas när det i ett enskilt fall är

absolut nödvändigt med tillgång till fullständiga uppgifter. Som framgår av artikel 6.7 ska enhetens dataskyddsombud ha åtkomst till alla uppgifter som enheten behandlar. Dataskyddsombudet måste därför ha tillgång även till de fullständiga uppgifterna bakom maskerade PNR-uppgifter. Givetvis måste även befattningshavare på enheten för passagerarinformation som hanterar frågor om utlämnande av avmaskerade uppgifter ha tillgång till uppgifterna. Vidare måste någon befattningshavare finnas som kan möta andra slags behov av att kunna ta fram fullständiga uppgifter, exempelvis på tillsynsmyndighetens begäran i samband med tillsyn eller i samband med att en enskild registrerad passagerare begär information om behandlingen. Det följer dock av den föreslagna bestämmelsen att behörighetstilldelningen till maskerade personuppgifter ska vara mycket strikt. Vilka befattningshavare på enheten som kan komma i fråga bör dock överlämnas åt Polismyndigheten att bestämma. Det finns som vi ser det inget hinder i och för sig mot att befattningshavare som har sin grundanställning utanför Polismyndigheten, t.ex. hos Tullverket eller Säkerhetspolisen, ges sådan behörighet, förutsatt att detta skett efter en vederbörligen noggrann behovsanalys.

14. PNR-direktivets förhållande till API-direktivet och dess genomförande i svensk rätt

14.1. PNR- och API-uppgifter

Som har framgått av tidigare avsnitt kan de uppgifter som överförs från lufttrafikföretagen avse såväl PNR- som API-uppgifter. Den förhandsinformation om passagerare (API-uppgifterna) som samlas in utgörs främst av sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. API-uppgifterna innehåller även viss information om resrutten, såsom avgångs- och ankomstort, beräknad avgångs- och ankomsttid samt flygnummer. Uppgifterna anses utgöra verifierbar information. PNR-uppgifterna däremot består, som tidigare angetts, av sådan information om passagerare som samlas in vid beställning och bokning av flygresor. PNR-uppgifterna kan beskriva vart och när en passagerare har tänkt flyga, hur bokningen är gjord och om någon ytterligare service kommer att behövas under resan. Sådan information anses inte vara verifierad. Det uppgivna namnet behöver inte korrespondera med det namn som anges i en persons pass, eftersom en sådan korrelation inte alltid är nödvändig för att genomföra en resebokning.

En viss överlappning mellan vad som är en PNR-uppgift och vad som är en API-uppgift kan förekomma. Vissa lufttrafikföretag lagrar insamlade API-uppgifter som en del av PNR-uppgifterna, andra gör det inte. Sådana API-uppgifter som finns på passets maskinläsbara del samlas endast in av lufttrafikföretagen inför resor till och från länder utanför Schengensamarbetet. Inom Schengenområdet råder passfrihet och de uppgifter som endast finns på passets maskinläsbara del samlas därmed inte in. PNR-uppgifter samlas dock in inför samtliga flygresor.

De API-uppgifter som är kopplade till en viss person blir tillgängliga för de lufttrafikföretag som utför reguljärflygningar i samband med incheckningen. En incheckning kan vanligtvis ske via internet upp till 48 timmar före flygets avgång. Incheckning kan även ske vid disk på flygplatsen och passet läses då av maskinellt. De APIuppgifter som är knutna till en person läggs då samman med uppgifterna om den avgående flighten. Vid incheckning via internet kan passageraren själv fylla i sina pass- och personuppgifter. Uppgifterna blir då verifierade först när passet läses av maskinellt på flygplatsen i samband med ombordstigningen. PNR-uppgifterna blir tillgängliga för de lufttrafikföretag som utför reguljärflygningar i samband med att uppgifterna läggs in i bokningssystemen.

För de lufttrafikföretag som utför charterflygningar blir endast en mindre del av PNR-uppgifterna tillgängliga. Detta sker i samband med att uppgifterna överförs från researrangörerna inför flygningen. Tidpunkten för överföringen kan variera. Vid flygningar till tredjeländer får de lufttrafikföretag som utför charterflygningar även del av API-uppgifter genom ett särskilt meddelande, som ska vidarebefordras till ankomstlandet.

Överförda API-uppgifter utgör huvudsakligen ett verktyg för identifiering. Uppgifterna kan således användas för att underlätta och påskynda identitetskontrollen av passagerare vid gränsen. Tillgång till API-uppgifter kan också göra det möjligt att förhindra att personer som till exempel har belagts med uppehållsförbud reser in i landet. Uppgifterna kan även göra det möjligt att utföra en utökad gränskontroll av vissa i förväg identifierade personer. Uppgifterna kan således användas som ett led i gränskontrollerna. API-uppgifter kan dock även användas av myndigheterna för att de även i andra fall ska kunna identifiera misstänkta och eftersökta personer. Uppgifterna kan således komma till användning i underrättelsearbetet med att exempelvis kartlägga var vissa personer har befunnit sig vid olika tidpunkter. Eftersom API-uppgifterna avser verifierbara uppgifter om en persons identitet är de värdefulla för att jämförelser mot olika databaser ska kunna genomföras.

PNR-uppgifter används snarare som ett verktyg för underrättelsearbetet än som ett verktyg för identitetskontroll. Uppgifterna används främst för att göra riskbedömningar av passagerare och för att välja ut personer som skulle kunna vara av intresse för vidare kontroller, men som inte är misstänkta sedan tidigare. Uppgifterna

kan även användas för att analysera och fastställa misstänkta rese- och beteendemönster. PNR-uppgifterna kan vidare användas i samband med brottsutredningar och för lagföringsåtgärder.

Det kan innebära ett mervärde att behandla API-uppgifter tillsammans med PNR-uppgifter. Med hjälp av API-uppgifterna kan en individs identitet säkerställas. De misstänkta rese- och beteendemönster som kan upptäckas med hjälp av PNR-uppgifterna kan därmed matchas med en identitetsuppgift. Sådana korsjämförelser kan minimera risken för att oskyldiga personer kontrolleras och utreds.

API-direktivet1 reglerar, som har beskrivits i avsnitt 4.5, transportörers ansvar för att förse nationella myndigheter med API-uppgifter vid ankommande resor från tredjeländer som står utanför Schengensamarbetet. Direktivet syftar, enligt artikel 1, till att förbättra gränskontrollerna och bekämpa olaglig invandring. API-direktivet har i svensk rätt genomförts främst genom vissa bestämmelser i utlänningslagen (2005:716) samt genom lagen (2006:444) om passagerarregister. Enligt uppgift från kommissionen kommer en översyn av direktivet att ske under år 2017.

14.2. Vårt uppdrag i denna del

I kommittédirektiven framhålls att regeringen i skrivelsen Förebygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) angett att systemet för hantering av flygpassageraruppgifter bör samordnas med systemet för API-uppgifter, eftersom de tillsammans kan vara ett användbart verktyg i terrorismbekämpningen. Mot denna bakgrund ska utredningen

  • analysera om och i så fall hur PNR-direktivet påverkar regleringen i 9 kap. 3 a § utlänningslagen och lagen om passagerarregister, dvs. det svenska genomförandet av API-direktivet,
  • föreslå hur systemet med flygpassageraruppgifter ska möjliggöra hantering av både PNR-uppgifter och API-uppgifter, och
  • föreslå de författningsändringar som bedöms nödvändiga.

1 Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare.

14.3. Direktivens olika mål och syften

API-direktivet är en rättsakt som bygger vidare på Schengenregelverket. Direktivet har tillkommit för att den olagliga invandringen ska kunna bekämpas effektivt och gränskontrollerna förbättras (se skäl 1). I direktivets artikel 1 anges således att direktivet syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. Att detta är direktivets syften uttrycks också i skäl 3, 7, 9, 11 och 12. Av skäl 2 framgår att rådet antagit en förklaring om terrorism, i vilken det betonats behovet av att påskynda behandlingen av åtgärder på det området och påskynda arbetet med ett föreslaget rådsdirektiv om skyldighet för transportörer att lämna uppgifter om passagerare. Detta har i det svenska genomförandet uttryckts som att direktivet också utgör ett led i kampen mot terrorismen (se prop. 2005/06:129 s. 18 och 20).

API-direktivet har i svensk rätt, som tidigare angetts, införts bl.a. genom lagen om passagerarregister. Av lagens 4 § framgår att passagerarregistret ska föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör EU och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. I motiven klargörs att uppgifter enligt lagen bör kunna begäras från en transportör när uppgifterna kan antas ha betydelse för personkontrollverksamheten. Med detta begrepp avses verksamheten för att kontrollera invandringen men även för att förebygga och bekämpa därmed förknippad brottslighet (se prop. 2005/06:129 s. 38).

PNR-direktivets mål är, förutom att inrätta en rättslig ram till skydd för användningen av PNR-uppgifter, att trygga säkerheten och skydda personers liv och säkerhet (skäl 5). En effektiv behandling av PNR-uppgifter har ansetts nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten. En sådan behandling av PNR-uppgifter har även ansetts nödvändig för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk (skäl 6). PNR-direktivet kan således sägas ha ett brottsbekämpande syfte där målsättningen är att trygga den allmänna säkerheten. PNR-uppgifter får dock endast användas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet (se t.ex. artikel 1).

14.3.1. Innebörden av den personkontroll som görs inom ramen för gränskontrollen

Sverige deltar sedan år 2001, i likhet med ett flertal andra EU-stater, i Schengensamarbetet. Schengensamarbetet kan sägas innefatta två grundtankar, som är starkt sammanlänkade med varandra. Den första är den fria rörligheten för personer, i den betydelsen att personkontrollerna vid nationsgränserna mellan Schengenstater – inre gräns – ska upphöra. Den andra grundtanken är att kampen ska stärkas mot internationell kriminalitet och mot sådan invandring som är illegal.

Vid Schengenterritoriets yttre gränser utförs gränskontroll i enlighet med EU:s kodex om Schengengränserna2, som gäller som lag i Sverige. Enligt Schengenregelverket får inre gräns passeras överallt utan att någon in- och utresekontroll genomförs. Medlemsstaterna har dock möjlighet att tillfälligt återinföra gränskontroll vid de inre gränserna, om det uppkommer ett allvarligt hot mot allmän ordning eller inre säkerhet. Regeringen beslutade den 12 november 2015 att tillfälligt återinföra gränskontroll vid inre gräns. De tillfälliga gränskontrollerna gäller alltjämt.

I Sverige ansvarar Polismyndigheten för kontroll av personer vid de yttre gränserna (9 kap. 1 § utlänningslagen). Tullverket och Kustbevakningen är efter en begäran av Polismyndigheten skyldiga att bistå vid en sådan kontroll. Även Migrationsverket får efter överenskommelse med Polismyndigheten hjälpa till vid kontrollen. Kustbevakningen ska medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.

Den personkontroll som görs inom ramen för gränskontrollerna syftar i första hand till att fastställa behörigheten för icke-svenska medborgare att resa in och vistas här i landet. I huvudsak inriktas kontrollen på att identitet, pass, visering och andra handlingar är i ordning. Denna del av personkontrollen är ett led i Sveriges reglerade invandring. Personkontrollen syftar dock också till att förhindra gränsöverskridande brottslighet. Någon klar och entydig definition av denna brottslighet finns inte, men den innefattar i vart fall en brottslighet som på olika sätt har koppling till fler länder än Sverige,

2 Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna).

bl.a. genom resande- och invandrarströmmar. I begränsat avseende hör till den gränsöverskridande brottsligheten de utlänningar som i strid med utlänningslagens bestämmelser reser in eller vistas i Sverige. Brott mot utlänningslagen kan exempelvis avse utlänningar som vistas i Sverige utan erforderliga tillstånd eller bryter mot återreseförbud. Olika former av smugglingsbrott – av varor, narkotika och människor – är därtill naturligtvis att betrakta som gränsöverskridande brottslighet. Även andra brott kan dock vara gränsöverskridande, om de har koppling till flera länder genom att planering eller genomförande inte enbart sker i Sverige. (Jfr SOU 2004:110 s. 291 och 331 ff.)

Personkontrollens syfte att förhindra gränsöverskridande brottslighet har efter Sveriges inträde i Schengensamarbetet fått en än mer framträdande roll. En av grundtankarna bakom Schengensamarbetet är att genom olika kompensatoriska åtgärder i form av bl.a. ökat polissamarbete och annat rättsligt samarbete förhindra att den fria rörligheten inom Schengen får till följd att kriminella personer och organisationer fritt kan verka inom Schengenområdet. (Se SOU 2004:110 s. 344.)

Kontrollen vid de yttre gränserna har tre huvudinriktningar. Den första är den traditionella gränskontrollen, dvs. kontroll av att den inresande har erforderliga handlingar och uppfyller övriga villkor för inresa i Schengenområdet. Den andra är kontrollen av om den inresande har begått brott eller är efterlyst för brott. Slutligen har den yttre gränskontrollen till syfte att vara ett verktyg för att avvärja hot mot allmän ordning och säkerhet. Personkontrollen vid de yttre gränserna kan således sägas innehålla ett i vid mening brottsförebyggande moment. (Jfr SOU 2004:110 s. 59 och 61, se även prop. 2015/16:65 s. 61 f.)

I förarbetena till lagen om passagerarregister angavs att förbättrade gränskontroller ökar möjligheten att motverka organiserade smugglingsaktioner och att människor utan skyddsbehov luras att till smugglare betala stora summor för att sedan bli avvisade. Förbättrade gränskontroller ansågs även innebära att möjligheterna ökar att tidigt kunna identifiera eventuella terrorister och avvärja nya terrordåd (se prop. 2005/06:129 s. 35).

14.4. Överföring av API-uppgifter ska ske även enligt PNR-direktivet

För att uppnå PNR-direktivets mål om att trygga säkerheten och skydda personer från terroristbrottslighet eller grov brottslighet har det ansetts vara av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag att överföra såväl sina PNR-uppgifter som sina API-uppgifter. Således framgår av punkten 18 i direktivets bilaga I att eventuellt insamlade API-uppgifter ingår bland de uppgifter som ska överföras från lufttrafikföretagen till den nationella enheten för passagerarinformation enligt artikel 8.1. I artikel 8.2 anges vidare att direktivets samtliga bestämmelser ska vara tillämpliga även vid överföring av de uppgifterna. Av direktivets skäl 10 framgår att bestämmelserna inte bör påverka tillämpningen av API-direktivet.

Förpliktelser att överföra API-uppgifter finns därmed inte bara i API-direktivet utan även i PNR-direktivet. De API-uppgifter som samlas in enligt PNR-direktivet ska behandlas enligt det direktivet. Samtidigt kan API-uppgifter även samlas in i enlighet med genomförandet av API-direktivet och detta ska inte påverkas av PNRdirektivets bestämmelser. API-direktivet har inte heller upphävts eller ändrats i och med PNR-direktivets antagande.

Vår utmaning är att försöka få genomförandena av de båda direktiven att fungera sida vid sida. Kan något föras ihop? Eller talar övervägande skäl för att genomförandena och tillämpningen av dessa behöver hållas isär?

14.5. Skillnader mellan PNR- och API-direktiven

Det kan inledningsvis konstateras att de båda direktiven har delvis olika, delvis överlappande mål och syften. PNR-direktivet syftar till att skydda den allmänna säkerheten genom att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, dvs. avser bekämpning av viss brottslighet. API-direktivet däremot syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. Förbättrade gränskontroller kan visserligen medföra att hot mot den allmänna säkerheten avvärjs. De personkontroller som ingår i gränskontrollerna har också som delmål att förhindra

gränsöverskridande brottslighet. API-direktivets syfte att förbättra gränskontrollerna kan därför i en vid mening anses förenligt med PNR-direktivets syfte. Det kan dock konstateras att API-direktivet också har syften som faller utanför brottsbekämpning, nämligen migrationskontroll, se avsnitt 14.3.1.

En ytterligare väsentlig skillnad är att PNR-direktivet inte, såsom API-direktivet, enbart är knutet till resor från tredjeland och den gränskontroll som därmed blir aktuell. PNR-direktivet ska ju tillämpas även vid flygresor från Sverige och, på grund av medlemsstaternas åtagande, för resor mellan EU-länder. Terrorism och grov brottslighet utgör visserligen sådan brottslighet som ofta innehåller gränsöverskridande moment. Dock behöver så inte alltid vara fallet. I PNR-direktivets katalog över grov brottslighet ingår brott som naturligen kan ses som gränsöverskridande, såsom t.ex. olaglig handel med narkotika. Brottskatalogen har dock inte något uttalat gränsöverskridande syfte. PNR-direktivet kan således sägas omfatta en rad olika slags brott utan direkt koppling till sådan gränsöverskridande brottslighet som är av intresse vid en gränskontroll. API-direktivets syfte att bekämpa den olagliga invandringen sammanfaller, som angetts ovan, inte uttryckligen med PNR-direktivets syften. Dock ingår vissa brott med koppling till olaglig invandring i PNR-direktivets brottskatalog, t.ex. människohandel och hjälp till olovlig inresa eller olovlig vistelse.

API-direktivet innehåller inte några brottskataloger eller hänvisningar till särskilda brott, såsom PNR-direktivet. De inhämtade API-uppgifterna enligt API-direktivet synes i stället kunna användas för att bekämpa all sorts gränsöverskridande brottslighet. APIdirektivet innehåller inte heller någon straffvärdesbegränsning, vilket innebär att det direktivet även kan tillämpas vid mindre grov brottslighet än PNR-direktivet.

API-direktivet ålägger transportörer skyldigheten att överföra API-uppgifterna medan det enligt PNR-direktivet är lufttrafikföretag som åläggs ett ansvar att överföra uppgifter. Med transportör enligt API-direktivet avses varje fysisk eller juridisk person som bedriver yrkesmässig persontrafik luftvägen. Som framgått i avsnitt 11.3 kan också lufttrafikföretagen utgöras av såväl fysiska som juridiska personer. I praktiken torde därmed överföringsskyldigheten träffa samma slags aktörer.

I API-direktivet specificeras ett antal uppgifter som ska överföras av transportörerna. Kön ingår exempelvis inte i uppräkningen. Enligt PNR-direktivet ska i stället lufttrafikföretagen överföra alla de eventuella API-uppgifter som de har samlat in (se vidare om detta i avsnitt 11.4.4).

Direktiven innehåller vidare olika bestämmelser om överföringstider. Enligt API-direktivet ska API-uppgifterna överföras senast vid slutet av incheckningen. Denna tidpunkt har i 9 kap. 3 a § utlänningslagen förtydligats till så snart incheckningen har avslutats. Enligt PNR-direktivet ska överföringen av uppgifter ske vid två tillfällen, det första 24–48 timmar före flygningens avgång, och det andra omedelbart efter det att gatens dörrar har stängts. Därtill anges i APIdirektivet att uppgifterna ska överföras på begäran. Enligt PNRdirektivet ska dock överföringarna ske inför varje flygning och inte endast när en begäran härom har framställts. Det finns dock inte, som vi ser det, något som hindrar en stående begäran om överföring av uppgifter enligt API-direktivet.

Enligt PNR-direktivet ska de överförda uppgifterna sparas i en databas vid enheten för passagerarinformation. PNR-direktivet innehåller strikta bestämmelser om hur uppgifterna får behandlas där och hur de behöriga myndigheterna ska få tillgång till uppgifterna. I API-direktivet anges endast att de överförda uppgifterna ska sparas i ett tillfälligt register. Genom det svenska genomförandet gäller en uppgiftsskyldighet i förhållande till Säkerhetspolisen och Tullverket då uppgifter begärs ut för personkontroll vid inresa från tredjeland. Regeringen får också meddela föreskrifter om att uppgifter i registret ska lämnas ut även till andra myndigheter. Säkerhetspolisen har också direktåtkomst till uppgifterna i passagerarregistret. Tullverket har nyligen i en framställan till regeringen begärt att få direktåtkomst till passagerarregistret. Några sådana lösningar är dock inte aktuella för genomförandet av PNR-direktivet (se avsnitt 10.4.1).

En stor skillnad mellan de båda direktiven är vidare direktivens olika lagringstider för de överförda uppgifterna. Enligt API-direktivet ska de överförda uppgifterna raderas från det tillfälliga registret inom 24 timmar efter översändandet såvida inte uppgifterna behövs för att de myndigheter som ansvarar för genomförandet av personkontrollerna vid de yttre gränserna ska kunna utföra sina lagstadgade uppgifter. I lagen om passagerarregister anges således att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen

till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. I PNR-direktivet ska uppgifterna lagras i en databas vid enheten för passagerarinformation under en period om fem år. Det gäller även för de uppgifter som kan användas för att omedelbart identifiera de personer som PNRuppgifterna avser och som ska maskeras, se avsnitt 13.3.

14.6. Våra överväganden

14.6.1. Hur PNR-direktivet påverkar det svenska genomförandet av API-direktivet

Vår bedömning: PNR-direktivet varken ersätter eller påverkar

API-direktivet eller dess genomförande i Sverige. Direktiven och deras respektive genomföranden kommer därför att vara parallellt tillämpliga.

Genomförandet av PNR-direktivet innebär att en ny möjlighet för behöriga myndigheter att ta del av API-uppgifter införs i svensk rätt. Överföringen av API-uppgifter enligt PNR-direktivet kommer att avse lufttrafikföretags resor till och från Sverige. Således kommer API-uppgifter efter PNR-direktivets genomförande att överföras inför långt fler resor än vad som tidigare varit möjligt, även om det åtminstone för närvarande torde vara resor till och från tredjeland som det i praktiken kommer att handla om eftersom det är vid sådana resor som API-uppgifter samlas in av lufttrafikföretagen. Överföringen av uppgifterna kommer också, om de finns tillgängliga, att ske vid ytterligare två tillfällen inför varje resa (dels 24–48 timmar före avgång, dels omedelbart efter det att gatens dörrar har stängts) jämfört med vad som följer av API-direktivet (senast vid slutet av incheckningen). Vidare ska överföringen av uppgifterna enligt PNRdirektivet ske inför varje flygresa och inte endast på begäran. Således kan införandet av PNR-direktivet sägas ha en stor betydelse för användningen av API-uppgifter i den brottsbekämpande verksamheten.

För de API-uppgifter som har inhämtas med stöd av PNRdirektivet ska enligt artikel 8.2 det direktivets bestämmelser i övrigt

vara tillämpliga. De API-uppgifter som överförs från lufttrafikföretagen med stöd av de bestämmelser som genomför PNR-direktivet ska således behandlas enligt det direktivets bestämmelser och påverkas inte av hur API-direktivet är genomfört i svensk rätt.

Vår bedömning är mot denna bakgrund att PNR-direktivets bestämmelser om att API-uppgifter ska överföras inte kan förstås på det sättet att de ska gälla i stället för API-direktivets bestämmelser i något avseende. PNR-direktivets genomförande i svensk rätt innebär således inte något helt eller delvis ersättande av API-direktivet eller dess genomförande i Sverige. Direktiven och deras respektive genomföranden kommer därför framöver att få tillämpas parallellt.

I rättslig mening påverkar PNR-direktivet därmed inte i sig genomförandet av API-direktivet i svensk rätt. Detta medför, enligt vår mening, att transportörernas skyldigheter att på begäran lämna API-uppgifter bör vara kvar i utlänningslagen. Vidare bör regleringen av Polismyndighetens behandling av API-uppgifterna enligt APIdirektivet inte inordnas i den reglering av PNR- och API-uppgifter som genomför PNR-direktivet, dvs. den nya lag som vi föreslår. Däremot kommer PNR-direktivets genomförande att få betydelse för hur API-uppgifterna framöver kan komma att hanteras i praktiken.

Som tidigare har angetts kommer en översyn av API-direktivet att genomföras under år 2017. Det är i nuläget inte känt vad denna översyn kan komma att innebära. Detta förhållande utgör ännu ett skäl till att inte i detta läge genomföra några förändringar gällande API-direktivets genomförande i svensk rätt.

14.6.2. Är en samordnad hantering av PNR- och API-uppgifter möjlig?

Vår bedömning: En samordnad hantering av PNR- och API-

uppgifter vid enheten för passagerarinformation är möjlig även avseende API-uppgifter som behandlas enligt lagen om passagerarregister. Det kräver dock att API-uppgifter som behandlas enligt lagen om passagerarregister hålls isär från de API-uppgifter som överförs från lufttrafikföretagen enligt den nya lagen, att det alltid står klart för vilket syfte och enligt vilket regelverk APIuppgifter behandlas samt att det säkerställs att regelverkens olikheter i fråga om t.ex. tillgång till uppgifterna följs.

En gemensam hantering av de PNR- och API-uppgifter som överförs med stöd av bestämmelserna i PNR-direktivet är självklart möjlig och dessutom nödvändig för att det direktivets bestämmelser ska kunna efterlevas. Frågan vi ställer oss är hur behandlingen av dessa uppgifter ska förhålla sig till behandlingen av de API-uppgifter som hämtas in med stöd av de bestämmelser som genomför API-direktivet. Vi har förstått att det i projektet med att inrätta den i PNRdirektivet avsedda enheten för passagerarinformation planeras att enheten ska behandla samtliga inkomna API-uppgifter, dvs. även sådana som samlas in enligt de bestämmelser som genomför APIdirektivet. En sådan samordnad hantering har naturligen stora fördelar, bl.a. då tillgängliga kunskaps- och materiella resurser kan samlas på samma ställe. En samordnad hantering av de olika passageraruppgifterna skulle därmed utgöra den mest effektiva lösningen, inte bara ur kostnadssynpunkt. Som vi har förstått saken behandlas också API- och PNR-uppgifter gemensamt i flera andra länder. Som tidigare angetts framgår det även av regeringens skrivelse Förebygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) att det svenska systemet för hantering av PNR-uppgifter bör samordnas med systemet för API-uppgifter, eftersom de tillsammans kan vara ett användbart verktyg i terrorismbekämpningen.

Enligt vad som framgått ovan finns det dock stora skillnader mellan API- och PNR-direktivet. API-uppgifter överförs enligt de båda direktiven inför olika sorts resor och vid olika antal tillfällen per resa. API-uppgifterna får enligt de båda direktiven också lagras och användas på olika sätt. PNR-direktivet innehåller klart fler bestämmelser och begränsningar kring hur de överförda PNR- och API-uppgifterna får bearbetas. Det direktivet innehåller också helt andra krav på egenkontroll, tillsyn och dataskydd.

PNR-direktivet syftar, som tidigare har angetts, till att skydda den allmänna säkerheten genom att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, dvs. viss slags brottslighet. API-direktivet däremot syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. I detta ligger, som framgått ovan, dels brottsbekämpning avseende gränsöverskridande brottslighet, dels migrationskontroll som inte utgör brottsbekämpning. Detta medför en rad komplikationer för en samordnad behandling av uppgifter som samlas in med stöd av de båda direktiven. I de fall syftet med en behandling av API-uppgifter är kopplat

till att bekämpa olaglig invandring, och inte avser brottsbekämpning av något slag eller avser bekämpning av annan brottslighet än sådan som omfattas av PNR-direktivets definitioner av grov brottslighet eller terrorism, faller den behandlingen således utanför ändamålet med PNR-direktivet. Uppgifterna i den databas som avses i PNRdirektivet får inte användas i detta syfte. I de fall API-uppgifter ska användas i syfte att bekämpa olaglig invandring utan anknytning till sådan brottslighet som anges i PNR-direktivet, kan alltså de bestämmelser som genomför det direktivet inte tillämpas. I stället får APIuppgifterna i sådant fall begäras in med stöd av de bestämmelser som genomför API-direktivet och behandlas i passagerarregistret för API-uppgifter. Är syftet med behandlingen däremot att utföra en gränskontroll i brottsförebyggande syfte, torde bestämmelserna i PNR-direktivet vara tillämpliga, men endast för det fall behandlingen avser att förebygga, förhindra, upptäcka, utreda eller lagföra sådan terroristbrottslighet eller sådan grov brottslighet som avses i PNRdirektivet. Är det fråga om annan eller lindrigare brottslighet får även här API-uppgifter i stället begäras in och behandlas med stöd av de bestämmelser som genomför API-direktivet.

Det kan te sig svårt att inom samma enhet hantera passageraruppgifter som inhämtas enligt bestämmelserna i två direktiv med så pass olika bestämmelser och delvis olika syften och tillämpningsområden.

PNR-direktivet innebär inrättandet av databaser i medlemsstaterna för brottsbekämpande ändamål med uppgifter om EU-medborgares och andra personers flygresor till och från samt, på grund av medlemsstaternas särskilda åtagande, även deras flygresor inom EU. Direktivet antogs efter en mångårig process där integritetsriskerna med dessa databaser och utbytet av PNR-uppgifter mellan medlemsstaterna ledde till omfattande politiska diskussioner. De detaljerade bestämmelserna i PNR-direktivet om hur och för vad PNR-uppgifterna får lagras, användas och överföras till andra m.m. måste ses mot denna bakgrund. Det är därför av största vikt att genomförandet av PNR-direktivet sker på ett sätt som inger förtroende för att PNR-uppgifterna inte används på ett sätt som står i strid med de ovillkorliga begränsningar som direktivet föreskriver. Detta gäller även de API-uppgifter som ska samlas in med stöd av direktivet.

Med hänsyn till det ovanstående kan det alltså synas svårt att hantera API-uppgifter inhämtade enligt de bestämmelser som genomför API-direktivet samordnat med de PNR- och API-uppgifter som överförs enligt PNR-direktivets genomförande. Det skulle i och för sig kunna anses tala emot att det sker en sådan samordning inom enheten för passagerarinformation som nu planeras i Polismyndighetens tekniska och organisatoriska genomförande av PNR-direktivet. Samtidigt finns det dock uppenbara rättsliga och praktiska beröringspunkter mellan de båda direktiven. Till det kommer att effektivitetsvinsterna med en samordning torde vara mycket stora. Vi bedömer därför, i likhet med Polismyndigheten, att en sådan samordning som nu planeras – och som innebär att även passagerarregistret med API-uppgifter enligt API-direktivet hanteras inom enheten för passagerarinformation – kan vara möjlig både rättsligt och förtroendemässigt. För att en samordnad hantering inom enheten ska kunna vara genomförbar fordras dock att enheten och dess hantering av uppgifterna lever upp till vissa krav.

För det första behöver det säkerställas att de API-uppgifter som

hämtas in med stöd av de bestämmelser som genomför API-direktivet i rättslig och användningsmässig mening hålls isär från de uppgifter som överförs enligt de bestämmelser som genomför PNRdirektivet. De uppgifter som hämtas in med stöd av PNR-direktivet ska enligt det direktivet föras över av lufttrafikföretagen till en databas vid enheten för passagerarinformation, inte till flera. För de inkomna uppgifterna gäller också, som framkommit ovan, olika bestämmelser om bl.a. gallring. Det är alltså inte möjligt att behandla alla API-uppgifter inkomna enligt bestämmelserna i de båda direktiven på samma sätt. De tekniska lösningarna måste därför klara av att behandla mottagna API-uppgifter på dessa olika sätt och utifrån förutsättningarna i respektive direktiv.

För det andra är det av största vikt att det i alla lägen står klart

enligt vilket syfte API-uppgifter behandlas. Behandlingens ändamål är av stor betydelse för enhetens fortsatta behandling av uppgifterna och har relevans för frågor om gallring, sekretess m.m. Det är även av stor betydelse för utflödet till den brottsbekämpande verksamheten att det står klart vilket regelverk som är styrande för uppgifterna. För det fall syftet med behandlingen är kopplat till att bekämpa olaglig invandring som ett led i Sveriges migrationskontroll, kan uppgifterna i PNR-databasen vid enheten för passagerarinfor-

mation inte användas. Inte heller kan uppgifterna i den databasen användas när syftet med behandlingen är att utföra en gränskontroll avseende annan eller lindrigare brottslighet än den som avses i PNRdirektivet. I sådana fall får i stället passagerarregistret innehållandes endast API-uppgifter användas.

För det tredje krävs ett säkerställande av att extern tillgång, dvs.

åtkomst från operativa delar av Polismyndigheten eller direktåtkomst för Säkerhetspolisen och eventuellt även Tullverket, endast är möjlig till det passagerarregister som genomför API-direktivet. Som har angetts tidigare är det vår bedömning att direktåtkomst inte bör få förekomma till de uppgifter som har överförts med stöd av PNR-direktivet. Även av denna anledning är det således av stor vikt att de API-uppgifter som samlas in enligt de bestämmelser som genomför API-direktivet inte sammanblandas med de API-uppgifter som samlas in med stöd av PNR-direktivet.

För att säkerställa att användandet av uppgifterna från respektive inhämtning endast används på de sätt som direktiven medger krävs alltså en bra riggad organisation, god kunskap i dessa frågor hos befattningshavarna vid enheten för passagerarinformation och en närvarande rättslig kompetens. Vidare kommer en tät intern kontroll och extern tillsyn att vara nödvändig.

I övrigt vill vi understryka att det ovan sagda handlar om rättsliga gränser och begränsningar för behandlingen och användningen av de olika uppgiftsslagen inom enheten för passagerarinformation samt för vidareanvändningen av uppgifterna. De informationstekniska systemen måste tekniskt och logiskt klara av att hantera de krav som ställs upp, särskilt i de bestämmelser som genomför PNRdirektivet. Så länge detta sker, är frågor om hur de informationstekniska systemen anordnas eller fungerar inte något som bör bli föremål för författningsreglering.

15. Enhetens överföring och utbyte av PNR-information

15.1. Inledning

Det är ett centralt syfte med PNR-direktivet att varje nationell enhet för passagerarinformation ska fungera som en nod vid vilken massan av PNR-uppgifter som lufttrafikföretagen överför tas emot, lagras och analyseras översiktligt. Endast sådan PNR-information som bedömts vara av intresse för att bekämpa terroristbrottslighet eller grov brottslighet ska därefter nå ut till behöriga myndigheter i det egna landet för vidare analys och åtgärder. Vidare är systemet uppbyggt så att de nationella enheterna ansvarar för det internationella utbytet av PNR-uppgifter. Direktivets reglering av under vilka förutsättningar PNR-uppgifter ska eller får överföras – självmant eller på begäran – är omfattande och detaljerad. Reglerna gäller visavi samtliga behöriga mottagare av PNR-uppgifter från den nationella enheten, dvs. det egna landets behöriga myndigheter (artikel 7), andra medlemsstaters nationella enheter för passagerarinformation och myndigheter som har utsetts som behöriga i dessa stater (artikel 9) samt Europol (artikel 10). I detta avsnitt behandlas genomförandet av direktivet vad gäller den svenska enhetens överföring av PNRuppgifter till dessa mottagare. I avsnitt 17 behandlas enhetens överföring av PNR-information till tredjeländer.

Direktivets bestämmelser om utbyte mellan medlemsstaterna innebär även att den svenska enheten för passagerarinformation kommer att kunna begära och få ta emot PNR-information från andra medlemsstater. I detta avsnitt behandlas även vidarebefordringen av sådan PNR-information och den reglering som vi bedömer behövs för att genomföra direktivet i dessa avseenden.

Slutligen finns en bestämmelse som innebär att behöriga svenska myndigheter i undantagsfall kan vända sig direkt till andra medlems-

stater med en begäran om överföring av PNR-uppgifter. Den bestämmelsen kommer att behandlas i avsnitt 16.1.

15.2. Överföring av PNR-information till behöriga nationella myndigheter

15.2.1. Behörig myndighet

Vårt förslag: En behörig myndighet definieras i lagen som en

sådan av regeringen utsedd myndighet som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Av direktivets artikel 7.1 framgår att varje medlemsstat ska utse de myndigheter som ska vara behöriga att begära eller ta emot PNRinformation från enheten för passagerarinformation. Dessa myndigheter ska ansvara för den vidare granskningen av informationen samt för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. De myndigheter som utses ska därmed, som får anses framgå av artikel 7.2, vara sådana myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Varje medlemsstat ska enligt artikel 7.3 senast den 25 maj 2017 meddela kommissionen vilka myndigheter som har utsetts.

Det ingår inte i vårt uppdrag att föreslå vilka myndigheter som ska anses behöriga enligt PNR-direktivet. Regeringen har den 4 maj 2017 utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten som behöriga myndigheter. Utpekandet av de behöriga myndigheterna får enligt artikel 7.3 när som helst ändras. Ytterligare behöriga myndigheter kan således komma att utses i framtiden.

Våra överväganden

Det är en lämplig ordning att regeringen avgör vilka brottsbekämpande myndigheter som ska vara behöriga enligt direktivet. Av vårt lagförslag bör emellertid framgå vilka myndigheter som regeringen

över huvud taget kan ge behörighet att begära eller ta emot PNRuppgifter och som därmed är skyldiga att behandla dessa uppgifter på det sätt som anges i direktivet. Detta kan åstadkommas genom att det i lagen förs in en definition av begreppet behörig myndighet som inte räknar upp olika myndigheter men som avgränsar vad för slags myndighet som kan komma i fråga och hur den utses som behörig enligt direktivet. En definition av detta slag har den fördelen att den inte behöver ändras om nya myndigheter skulle utses som behöriga. Genom att definiera begreppet undviks också att en uppräkning av de behöriga myndigheterna behöver införas i lagens olika bestämmelser.

Enligt vårt förslag ska med en behörig myndighet avses en sådan av regeringen utsedd myndighet som har behörighet att behandla PNR-information i sin verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra sådan terroristbrottslighet eller sådan grov brottslighet som omfattas av lagens definition av dessa begrepp. Endast en sådan av regering utsedd myndighet ska ha befogenhet att motta PNR-information från en enhet för passagerarinformation. Att det ska vara fråga om en svensk myndighet behöver inte särskilt anges.

15.2.2. Överföring av PNR-information till behöriga myndigheter

Vårt förslag: Enheten för passagerarinformation ska i enskilda

fall lämna PNR-information till en eller flera behöriga myndigheter för att

1. en vidare granskning ska ske av PNR-information rörande

passagerare som valts ut vid enhetens förhandsbedömning,

2. besvara en motiverad begäran från en behörig myndighet om

att tillhandahålla och behandla PNR-uppgifter för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och tillhandahålla resultaten av sådan behandling, eller

3. vidarebefordra PNR-information som har mottagits från en

motsvarande enhet i en annan medlemsstat.

En befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen innan den lämnas från enheten.

I vilka situationer ska PNR-information överföras till behöriga myndigheter?

Enheten för passagerarinformation ska enligt direktivet föra vidare PNR-information till behöriga nationella myndigheter i tre olika situationer. För det första ska en överföring ske av resultatet av en sådan förhandsbedömning som görs av passagerare före deras beräknade ankomst till eller avresa från Sverige (artikel 6.2 a och 6.6).

För det andra ska PNR-information överföras för att besvara en för-

frågan från en behörig myndighet (artikel 6.2 b). För det tredje ska enheten för passagerarinformation vidarebefordra sådan PNR-information som den har mottagit från andra medlemsstaters motsvarande enheter eftersom en sådan enhet vid en förhandsbedömning har ansett att informationen är intressant för vidare granskning i Sverige (artikel 9.1).

Enheten kan dock även motta PNR-information från andra länders motsvarande enheter såsom svar på sådana frågor som vår enhet har ställt på uppdrag av en behörig myndighet (artikel 9.2). Det anges inte uttryckligen i direktivet vad enheten ska göra med denna information. Det får dock förutsättas att denna PNR-information ska överföras till den behöriga myndighet som ursprungligen har ställt frågan via den svenska enheten.

Enligt vår mening bör det i författning klargöras i vilka situationer enheten för passagerarinformation får överföra PNR-information till behöriga myndigheter. Med hänsyn till den grundläggande betydelsen som en sådan bestämmelse har för integritetsskyddet bör bestämmelsen införas på lagnivå. Vilka närmare förutsättningar som ska vara uppfyllda och vilka närmare överväganden enheten ska göra inför en överföring av PNR-information till behöriga myndigheter behandlas nedan.

Närmare förutsättningar för att en överföring ska få ske

Direktivets bestämmelser

I artikel 6.5 och 6.6 finns närmare bestämmelser om hur enheten för passagerarinformation ska gå till väga när en träff har uppkommit i samband med en förhandsbedömning av passagerare. Av artikel 6.5 framgår att sådana träffar alltid ska granskas individuellt med icke-automatiska metoder för att det ska gå att verifiera huruvida en behörig myndighet behöver vidta åtgärder i anledning av informationen. Alla träffar som uppkommer vid jämförelser med uppgifter i register eller andra uppgiftssamlingar eller vid behandling i enlighet med på förhand fastställda kriterier måste alltså alltid genomgå en granskning innan uppgifterna får användas vidare. Vid denna granskning ska avgöras huruvida det finns anledning att agera vidare på uppgifterna. Om så är fallet ska enheten, enligt artikel 6.6, översända PNR-uppgifterna beträffande personer som har identifierats eller resultaten av behandlingen av dessa uppgifter, till behöriga myndigheter i samma stat för vidare granskning. Överföring till en behörig myndighet får enligt bestämmelsen dock endast ske i enskilda fall och vid automatisk behandling av PNR-uppgifter, som angetts ovan, efter en individuell och icke-automatisk granskning.

När enheten för passagerarinformation mottar uppgifter från en annan medlemsstats motsvarande enhet efter en förhandsbedömning vid den enheten ska, enligt artikel 9.1, bestämmelsen i artikel 6.6 tillämpas. Således får även i dessa fall en överföring av PNR-information till en behörig myndighet endast ske i enskilda fall och efter en individuell och icke-automatisk granskning av uppgifterna.

Hur enheten ska gå till väga när den ska besvara en särskild förfrågan framgår indirekt av artikel 6.2 b. Enligt bestämmelsen ska en sådan förfrågan endast besvaras i enskilda fall. För att enheten ska behandla en begäran krävs vidare att den är vederbörligen motiverad. Vidare ska förfrågan enligt artikel 6.2 b bygga på tillräckliga skäl om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet. Härmed bör, enligt vår bedömning, avses att förfrågan ska vara tillräckligt motiverad för att det ska framgå att syftet med begäran om att enheten ska tillhandahålla och behandla PNR-uppgifter är att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. För det fall

de PNR-uppgifter som ska överföras är äldre än sex månader och därmed är maskerade, krävs därutöver, för att fullständiga, avmaskerade, PNR-uppgifter ska kunna lämnas ut, att förutsättningarna i artikel 12.3 är uppfyllda. Detta behandlas nedan i avsnitt 15.5.

Våra överväganden

Förutsättningarna för att en överföring alls ska få ske till de behöriga myndigheterna bör framgå av lagen. Således bör det av lagen framgå att överföringar från enheten för passagerarinformation till behöriga myndigheter endast får ske i enskilda fall. Det krävs således alltid att en individuell bedömning utförs innan PNR-information sänds vidare till behöriga myndigheter. PNR-information kan alltså inte per automatik föras vidare från enheten till en behörig myndighet.

Enligt direktivet ska träffar i samband med automatisk behandling av PNR-uppgifter granskas individuellt med icke-automatiska metoder innan de får vidarebefordras till de behöriga myndigheterna. Med icke-automatiska metoder torde, enligt vår mening, inte menas att granskningen måste ske utan inblandning av informationstekniska hjälpmedel. Det kan t.ex. knappast menas att granskningen behöver göras endast med användning av papper och penna. Det som avses torde vara att ett översändande inte får grundas enbart på en automatiserad behandling av PNR-uppgifter. Varje beslut om överföring måste i stället föregås av en bedömning utförd av en person som tjänstgör vid enheten för passagerarinformation. Detta bör framgå av lagen.

En rent automatisk behandling av PNR-uppgifter torde endast bli aktuell vid en sådan förhandsbedömning av passagerare som sker vid jämförelser mot relevanta register eller andra uppgiftssamlingar eller mot på förhand fastställda kriterier. En rent automatisk behandling torde alltså inte blir aktuell vid sådan behandling av PNRinformation som sker för att besvara en förfrågan eller för att vidarebefordra PNR-information från en annan medlemsstat som svar på en förfrågan. Dock ska även överföringar som sker som svar på förfrågningar behandlas i enskilda fall. Enligt vår bedömning bör därmed även dessa överföringar föregås av en bedömning utförd av en person som tjänstgör vid enheten. Vi föreslår att detta anges i

lagen. Vidare bör det av lagen framgå att en förfrågan från en behörig myndighet ska vara motiverad och avse behandling av PNRinformation för ett eller flera av de syften som anges i lagens portalbestämmelse.

Närmare om den bedömning som ska göras vid enheten

Utöver vad som angetts ovan innehåller direktivet inte några närmare bestämmelser om vilka överväganden som bör göras vid enheten för passagerarinformation vid bedömningen av om en träff i samband med en förhandsbedömning av passagerare ska överföras till behöriga myndigheter. Det uppställs således inte något krav på att en person ska finnas med i något eller några relevanta register eller andra uppgiftssamlingar för att informationen ska anses vara tillräckligt intressant för att föras vidare. Det anges inte heller i vilket skede som sökningar i olika register eller andra uppgiftssamlingar får göras. Enligt vår mening bör det, utöver vad som anges i direktivet, inte närmare i lag eller förordning anges hur enheten för passagerarinformation ska göra sitt urval. Det bör således vara upp till personalen vid enheten för passagerarinformation att bedöma huruvida viss information är så pass intressant att den bör sändas vidare för närmare granskning. Det kan i sammanhanget tilläggas att de behöriga myndigheterna kan ha annan information om de resande som inte finns tillgänglig för enheten för passagerarinformation, vilket medför att även vissa inledningsvis mindre intressanta träffar visar sig vara högintressanta för de behöriga myndigheterna.

Den granskning som ska utföras vid enheten för passagerarinformation innan PNR-information får sändas vidare till de behöriga myndigheterna bör dock syfta till att den aktuella PNR-informationen avser personer som kan vara inblandade i sådan brottslighet som omfattas av direktivet. Det kan vara svårt, för att inte säga omöjligt, för personalen vid enheten för passagerarinformation att bedöma i fall den PNR-information som har tagits fram vid en förhandsbedömning är relevant för att bekämpa den aktuella brottsligheten. Dock kan man inför en överföring av den framtagna informationen se till att det inte av misstag följer med PNR-information som avser sådana personer som inte alls kan bedömas vara intressanta för vidare granskning på grund av att de kan vara inblandade i

terroristbrottslighet eller grov brottslighet. Så kan vara fallet exempelvis om en sökning mot på förhand fastställda kriterier ger ett orimligt stort utfall. Vidare anser vi att det av artikel 6.5 och 6.6 rimligen följer att granskningen också ska omfatta att överföring bara sker till en behörig myndighet som kan antas behöva PNRinformationen för att göra en närmare granskning av informationen och eventuellt göra insatser för att bekämpa aktuell brottslighet. T.ex. bör ett översändande till Ekobrottsmyndigheten endast ske när det kan vara fråga om sådan brottslighet som den myndigheten arbetar mot.

I artikel 6.2 b anges att svaret på en viss förfrågan från en behörig myndighet ska tillhandahållas de behöriga myndigheterna. Skrivningen kan tolkas som att svaret på en förfrågan ska överföras till samtliga behöriga myndigheter. De behöriga myndigheterna har dock olika uppdrag och därmed olika intressen av att få ta del av PNR-information. Enligt vår mening bör därför direktivet tolkas som att ett svar på en viss förfrågan ska översändas endast till den myndighet som har ställt frågan.

För det fall PNR-information har tagits fram för att besvara en begäran från en behörig myndighet bör den kontroll som ska utföras vid enheten omfatta att uppgifterna kommer att överföras till just den behöriga myndigheten som har framställt frågan. I direktivet anges att en sådan förfrågan från behöriga myndigheter ska vara vederbörligen motiverad och bygga på tillräckliga skäl. Med skrivningen bör, enligt vår bedömning, avses att förfrågan ska vara tillräckligt motiverad för att det ska framgå att syftet med begäran om att enheten ska tillhandahålla och behandla PNR-uppgifter är att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. En granskning av att dessa villkor är uppfyllda ska göras innan enheten ens väljer att behandla förfrågan. En granskning av de framtagna uppgifterna inför att de ska överföras till den behöriga myndigheten bör, enligt vår mening, ändå genomföras för att säkerställa att syftet med behandlingen har varit just någon av de brottsbekämpande åtgärderna och sådan brottslighet som PNRinformationen får användas för.

Vidare bör det alltid kontrolleras att PNR-informationen inte innehåller några uppgifter som dessförinnan borde ha raderats av enheten, antingen eftersom de avser andra uppgifter än de som framgår av bilaga I till direktivet, eller eftersom de innehåller känsliga person-

uppgifter. Som tidigare har angetts kan sådana känsliga personuppgifter t.ex. dölja sig bland de allmänna anmärkningarna (se vidare i avsnitt 18.5).

Vad som bör ingå i den granskning som ska utföras av enheten för passagerarinformation innan en överföring görs framgår implicit av andra bestämmelser i lagen eller förordningen och behöver, enligt vår mening, inte anges särskilt i regleringen.

15.3. Utbyte av PNR-information med andra medlemsstater

15.3.1. Medlemsstat

Vårt förslag: En medlemsstat definieras i lagen som en stat som

är medlem i EU, med undantag för Danmark.

Artikel 9 gäller vid utbyte av PNR-uppgifter mellan medlemsstaterna. I vanligt språkbruk benämns en stat som är medlem i EU medlemsstat. Direktivet utgår också från att det gäller för alla EU:s medlemsstater. Av skäl 40 framgår dock att det inte är bindande för eller tillämpligt på Danmark.

Ordet medlemsstat används på flera håll i direktivet, främst i fråga om överföring av PNR-uppgifter. Det är svårt att undvika att använda ordet medlemsstat i lagförslaget. Eftersom inte alla EU:s medlemsstater omfattas går det inte att använda ordet medlemsstat i lagen utan att definiera det. Ett alternativ skulle vara att räkna upp alla berörda stater, men det skulle bli onödigt omfattande och komplicerat att göra det i alla tillämpliga bestämmelser. Genom att definiera medlemsstat blir det tydligt för vilka stater bestämmelserna gäller utan att lagen tyngs av långa uppräkningar. Medlemsstat bör därför definieras i lagen. En medlemsstat bör definieras som en stat som är medlem i EU, med undantag för Danmark.

Om Danmark skulle besluta att ansluta sig till direktivet kommer Danmark att ingå bland de medlemsstater som omfattas av direktivet. I sådant fall skulle en definition av begreppet inte behövas.

15.3.2. Utbyte mellan medlemsstaternas enheter för passagerarinformation

Vår bedömning: Regleringen ska innehålla bestämmelser om den

svenska enheten för passagerarinformations skyldigheter att överföra PNR-information till övriga medlemsstaters enheter för passagerarinformation och i dessa stater utsedda behöriga myndigheter. Regleringen ska också innehålla bestämmelser om hur vår nationella enhet för passagerarinformation samt våra behöriga myndigheter ska gå till väga för att hämta in uppgifter från motsvarande enheter i de andra medlemsstaterna.

Av direktivets skäl 23 framgår att medlemsstaterna bör utbyta PNR-uppgifter med varandra om det bedöms nödvändigt för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Där framgår även att enheterna för passagerarinformation bör, om det är lämpligt, utan dröjsmål översända resultatet av behandlingen av PNR-uppgifterna till motsvarande enheter i andra medlemsstater för ytterligare utredning. De PNR-uppgifter som lufttrafikföretagen överför till enheterna för passagerarinformation och resultatet av behandlingen av sådana uppgifter som tas fram av enheterna enligt bestämmelserna i artikel 6 kommer således inte endast att komma de nationella behöriga myndigheterna till del. Den PNR-information som väljs ut av en enhet för passagerarinformation vid en förhandsbedömning kan således i vissa fall överföras till andra medlemsstaters motsvarande enheter. Vidare kan en enhet för passagerarinformation begära att få ta del av uppgifter i PNRdatabasen vid en annan medlemsstats enhet för passagerarinformation. I undantagsfall kan en sådan nationell enhet också begära att en annan enhet för passagerarinformation införskaffar PNR-uppgifter från lufttrafikföretag på andra tider än normalt och vidarebefordrar dessa till den begärande enheten.

Bestämmelserna i artiklarna 9.1–9.4 innehåller såväl skyldigheter för respektive medlemsstat att överföra uppgifter till andra medlemsstater, som möjligheter för medlemsstaterna att få ta del av dessa uppgifter. Vi ser det som vårt uppdrag att reglera den svenska enhetens skyldigheter att under vissa förhållanden överföra PNR-uppgifter till de andra medlemsstaterna. Skyldigheterna för de andra medlemsstaternas enheter för passagerarinformation att överföra uppgifter

till vår nationella enhet får självfallet regleras i respektive medlemsstats rättsordning. Våra förslag till reglering kommer således att innehålla bestämmelser om den nationella enhetens skyldigheter att under de förutsättningar som anges i direktivet överföra uppgifter till övriga medlemsstaters motsvarande enheter och behöriga myndigheter. Våra förslag kommer också att innehålla vissa bestämmelser om hur enheten för passagerarinformation samt våra behöriga myndigheter ska gå till väga för att inhämta uppgifter från motsvarande enheter i de andra medlemsstaterna. Våra behöriga myndigheters möjlighet i denna del kommer att behandlas i avsnitt 16.1.

Överföring av PNR-information vid förhandsbedömningar

Vårt förslag: Enheten för passagerarinformation ska till en mot-

svarande enhet i en annan medlemsstat överföra sådan PNRinformation som behandlats för ändamålet förhandsbedömning och som bedömts vara relevant och nödvändig för vidare granskning i den andra medlemsstaten.

Direktivets bestämmelse

När personer har identifierats av en enhet för passagerarinformation i enlighet med artikel 6.2, ska enheten enligt artikel 9.1 även översända alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska därefter översända den mottagna informationen till sina behöriga myndigheter enligt artikel 6.6. på samma sätt som om uppgifterna hade tagits fram vid det egna landets enhet.

Våra överväganden

Artikel 9.1 innebär att enheten för passagerarinformation självmant ska överföra PNR-information till motsvarande enheter i de övriga medlemsstaterna. Artikeln hänvisar till artikel 6.2, som omfattar både förhandsbedömningar av PNR-uppgifter (6.2 a) och överföring

av sådana uppgifter på begäran (6.2 b). Dock anges i bestämmelsen också att ett översändande ska ske när någon har identifierats, vilket enligt bestämmelsen i artikel 6.2 endast sker vid förhandsbedömningar. Dessutom anges att de översända uppgifterna ska behandlas enligt artikel 6.6 i den mottagande staten. Artikel 6.6 behandlar också endast förhandsbedömningar av passagerare. Med hänsyn härtill är det vår uppfattning att artikel 9.1 ska läsas som att den endast avser överföring av sådan PNR-information som väljs ut vid en förhandsbedömning av passagerare. Den tolkningen är också rimlig med tanke på att nästföljande artikel, 9.2, innehåller bestämmelser om överföring av PNR-information till en annan medlemsstat på begäran.

Således ska enheten för passagerarinformation enligt bestämmelsen i artikel 9.1 överföra sådan PNR-information som väljs ut vid en förhandsbedömning av passagerare även till en motsvarande enhet i en annan medlemsstat. Överföring ska dock endast ske om PNR-informationen anses vara relevant och nödvändig. All PNRinformation som bedöms intressant för en eller flera av den egna medlemsstatens behöriga myndigheter skulle i och för sig kunna anses vara i någon mån relevant och nödvändig även för andra medlemsstater. Utbyte mellan samtliga medlemsstater av all sådan information som tas fram av varje enhet för passagerarinformation skulle dock leda till att alltför stora mängder PNR-information utbyttes mellan medlemsstaterna. Det skulle knappast vara förenligt med proportionalitetsprincipen och passagerarnas rätt till respekt för privatlivet och skydd av sina personuppgifter. Systemet skulle vidare tyngas av all denna information och ett långt större antal personer än beräknat skulle behöva anställas vid varje enhet för passagerarinformation för att ta hand om mottagna uppgifter. Bestämmelsen får enligt vår mening därför tolkas som att det bara är sådan PNRinformation som anses vara relevant och nödvändig för just en specifik medlemsstat som ska överföras. Det får alltså i varje fall göras en bedömning av vilka som kan tänkas beröras av informationen. En typisk situation skulle kunna vara när vår enhet för passagerarinformation har valt ut en viss person inför dennes resa till en annan medlemsstat. Information kan då lämpligen överföras till enheten för passagerarinformation i det land som den aktuella flighten ankommer till, och inte till samtliga medlemsstaters motsvarande enheter. Det måste således alltid från fall till fall göras en bedömning

och ett urval både av vilken eller vilka mottagare som kan komma i fråga och vilken PNR-information som ska föras över.

Artikel 9 gäller vid utbyte av PNR-uppgifter eller resultatet av en eventuell behandling av dessa uppgifter, dvs. PNR-information. Som angetts ovan bör med resultatet av en eventuell behandling av PNR-uppgifter avses de träffar som har uppkommit genom de automatiska sökningarna mot de på förhand fastställda kriterierna samt eventuella uppgifter om att personen även förekommer i en viss databas. Det är dock, enligt vår mening, inte tänkt att direkta uppgifter ur dessa databaser ska överföras från enheten för passagerarinformation till motsvarande enheter i andra medlemsstater. Utbyte av sådan information får ske mellan medlemsstaterna med hjälp av redan upparbetade informationsvägar och enligt bestämmelserna i annan lagstiftning samt efter vederbörlig sekretessprövning.

En bestämmelse om under vilka förutsättningar den svenska enheten för passagerarinformation på eget initiativ ska överföra PNRuppgifter till utlandet är av så grundläggande betydelse att den bör genomföras i lag.

Överföring av PNR-information på förfrågan

Vårt förslag: Enheten för passagerarinformation ska så snart som

möjligt besvara en motiverad begäran från en motsvarande enhet i en annan medlemsstat och överföra lagrade PNR-uppgifter och resultatet av en eventuell behandling av dessa uppgifter dit.

Direktivets bestämmelse

Enligt artikel 9.2 ska enheten för passagerarinformation i en medlemsstat ha rätt att vid behov begära att en motsvarande enhet i en annan medlemsstat tillhandahåller PNR-uppgifter som lagras i den senares databas och som ännu inte har genomgått en maskering. Vid behov ska även resultaten av en eventuell behandling av dessa uppgifter, om en sådan redan har utförts i enlighet med artikel 6.2 a (dvs. i samband med en förhandsbedömning), tillhandahållas. En begäran om att få ta del av uppgifter ska vederbörligen motiveras. Begäran får avse en viss uppgift eller en kombination av sådana upp-

gifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla den begärda informationen så snart som möjligt.

Om de begärda uppgifterna är äldre än sex månader och därmed har maskerats får enheten för passagerarinformation tillhandahålla fullständiga, avmaskerade, PNR-uppgifter endast om det rimligen kan antas vara nödvändigt för de ändamål som anges i artikel 6.2 b, och endast efter tillstånd från en sådan myndighet som avses i artikel 12.3.

Våra överväganden

En bestämmelse som genomför enheten för passagerarinformations skyldigheter att överföra PNR-information enligt artikel 9.2 bör föras in på lagnivå. Av bestämmelsen bör framgå att enheten för passagerarinformation är skyldig att så snart som möjligt besvara en förfrågan från en enhet för passagerarinformation i en annan medlemsstat och föra över PNR-uppgifter dit. För det fall enheten har tillgång till ett resultat av behandling av de aktuella PNR-uppgifterna som har tagits fram i samband med en förhandsbedömning av uppgifterna, och detta resultat ännu inte har gallrats, ska även det resultatet överföras. Detta bör framgå av bestämmelsen. Härmed framgår att enheten för passagerarinformation inte är skyldig att på begäran av en annan enhet exempelvis jämföra PNR-uppgifterna med uppgifterna i något register eller någon annan uppgiftssamling. Endast för det fall en sådan bedömning redan är genomförd och alltjämt finns sparad vid enheten, ska resultatet av den också översändas. Som kommer att framgå i avsnitt 18.6 torde det dock höra till rena undantagsfall att sådana resultat finns sparade vid enheten.

Av bestämmelsen bör vidare framgå att förfrågan från den andra medlemsstaten ska vara motiverad. Skälen till detta är att enheten för passagerarinformation ska kunna bedöma huruvida den begärda informationen behövs för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och begäran därmed över huvud taget får behandlas.

Vi kommer att återkomma till frågan om överföring av avmaskerade PNR-uppgifter i avsnitt 15.5.

Inför ett överlämnande av PNR-information på begäran från en annan medlemsstat bör enheten göra samma överväganden som inför en överföring till en behörig myndighet, se ovan i avsnitt 15.2.2.

Överföring efter begäran om att inhämta PNR-uppgifter från lufttrafikföretag

Vårt förslag: När det i ett enskilt fall är nödvändigt med tillgång

till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter från lufttrafikföretagen vid andra tidpunkter än som i övrigt följer av direktivet och överföra dessa till den begärande enheten.

Om åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terrorism eller grov brottslighet, ges enligt artikel 9.4 enheten för passagerarinformation i en medlemsstat i undantagsfall rätt att begära att en motsvarande enhet i en annan medlemsstat införskaffar PNR-uppgifter i enlighet med artikel 8.5 och vidarebefordrar dessa till den begärande enheten för passagerarinformation. Enligt artikel 8.5, som behandlats i avsnitt 11.4.6, ska lufttrafikföretagen under vissa särskilda omständigheter, överföra PNR-uppgifter vid andra tidpunkter än vad som i övrigt följer av direktivet.

Även en bestämmelse som genomför enheten för passagerarinformations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av bestämmelsen bör framgå att enheten för passagerarinformation på begäran av en motsvarande enhet i annan medlemsstat ska inhämta uppgifter från lufttrafikföretagen på andra tider än normalt och överföra dessa till den begärande enheten. Uppgifterna ska enligt direktivet hämtas in endast i undantagsfall, vilket torde innebära att det endast är tillåtet i vissa särskilda situationer. Vi föreslår därför att det i lagen anges att uppgifterna endast ska hämtas in på detta sätt i ett enskilt fall. Vidare ska enligt direktivet uppgifter endast hämtas in på andra tider än normalt för det fall de är nödvändiga för att

reagera på ett specifikt och faktiskt hot med anknytning till terroristbrottslighet eller grov brottslighet. I svensk lagstiftning brukar ordet fara användas i stället för hot. Ordet används bland annat i brottsdatalagen. Med hänsyn härtill föreslår vi att ordet fara används i stället för hot även i genomförandet av denna lag. Av samma anledning bör ordet avvärja användas i vår lag i stället för begreppet reagera på, som används i PNR-direktivet. Vidare finner vi att ordet tillgång bättre än ordet åtkomst beskriver det sätt på vilket uppgifterna kommer att komma en annan enhet till del.

15.3.3. Överföring på direkt begäran från en behörig myndighet i en annan medlemsstat

Vårt förslag: Endast när det i ett enskilt brådskande fall är absolut

nödvändigt ska enheten för passagerarinformation besvara en motiverad förfrågan från en myndighet som utsetts som behörig i en annan medlemsstat och överföra PNR-uppgifter och resultatet av en eventuell behandling av dessa uppgifter direkt till den myndigheten.

PNR-uppgifter ska som huvudregel utbytas mellan medlemsstaterna bara via medlemsstaternas enheter för passagerarinformation. I artikel 9.3 ges dock möjlighet för en medlemsstats behöriga myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den enhetens databas. En sådan begäran får endast framställas i nödfall och i övrigt på samma villkor som anges i artikel 9.2. Även en sådan begäran ska vara vederbörligen motiverad. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. Som angetts ska denna möjlighet endast användas i undantagsfall. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten.

Enheten för passagerarinformations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av en sådan lagbestämmelse bör framgå att enheten endast i speciella undantagsfall ska besvara en begäran från en behörig myndighet i en annan medlemsstat om att få ta del av

PNR-information. I direktivets svenska översättning används ordet nödfall (jfr hastende i den danska översättningen). Med nödfall torde menas detsamma som om det är absolut nödvändigt i ett brådskande fall. Enligt vår mening passar detta uttryckssätt bättre in i svensk lagstiftning. Vi föreslår därför att detta används i lagtexten. Överföring ska i övrigt ske endast under samma förutsättningar som överföring till en annan enhet för passagerarinformation. Det innebär bl.a. att endast motiverade förfrågningar ska besvaras. För det fall en förfrågan avser avmaskerade PNR-uppgifter ska förutsättningarna för överföring av sådana vara uppfyllda, se vidare i avsnitt 15.5.

15.3.4. Enhetens inhämtande av PNR-uppgifter från andra medlemsstaters motsvarande enheter

Våra förslag: En begäran om att få ta del av PNR-information

som lagras hos en enhet för passagerarinformation i en annan medlemsstat ska bara få göras om syftet därmed faller inom ramen för när PNR-uppgifter alls får behandlas, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Endast när det i ett enskilt fall är nödvändigt för att reagera på en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, får enheten för passagerarinformation hos en motsvarande enhet i en annan medlemsstat begära att PNR-uppgifter ska hämtas in från lufttrafikföretag i enlighet med artikel 8.5 i PNR-direktivet för vidarebefordran till enheten.

Bestämmelser om detta kan tas in i förordning.

Som framgått ovan innehåller artikel 9.2 och 9.4 också vissa uppgifter om hur en nationell enhet för passagerarinformation ska gå till väga när den vill ha tillgång till PNR-information som lagras hos en motsvarande enhet i en annan medlemsstat. Av artikel 9.2 framgår att en enhet för passagerarinformation har rätt att vid behov begära att få del av sådan information. Således ska en begäran framställas. Vidare ska begäran vara vederbörligen motiverad. Härmed torde i huvudsak avses att informationen kan antas behövas av enheten eller de svenska behöriga myndigheterna för att förebygga,

förhindra, upptäcka, utreda eller lagföra sådan brottslighet som omfattas av direktivet. Begäran får vidare enligt artikel 9.2 avse en viss uppgift eller en kombination av uppgifter. Något krav på formen för begäran anges inte och därmed inte heller något uttryckligt skriftlighetskrav. Av artikel 9.5 framgår att informationsutbytet får ske via alla befintliga kanaler för samarbete mellan staterna. En begäran om att få ta del av PNR-information som finns lagrad vid en annan medlemsstats enhet för passagerarinformation kommer troligen normalt sett att överföras elektroniskt och därmed skriftligt. Det finns dock alltså inget som hindrar att en begäran framställs muntligen. Av artikel 13.5 b framgår dock att den mottagande enheten ska dokumentera varje begäran. Den frågan återkommer vi till i avsnitt 19.3.

Enligt vår mening kan frågan om enheten för passagerarinformations skyldigheter i samband med en begäran om att få ta del av PNR-information från en motsvarande enhet i ett annat land enligt artikel 9.2 regleras i förordning. En sådan bestämmelse kan dock inskränkas till att ange att en förfrågan bara ska få göras om syftet därmed faller inom ramen för när PNR-uppgifter alls får behandlas enligt direktivet, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

I artikel 9.4 behandlas vår nationella enhets möjlighet att begära att en annan medlemsstats motsvarande enhet hämtar in uppgifter från lufttrafikföretag på andra tider än som i övrigt följer av direktivet. En bestämmelse som genomför artikeln i fråga om enhetens begäran bör utformas på samma sätt som angetts ovan för den situation där vår enhet mottar en sådan begäran. Även denna fråga kan regleras i förordning.

15.3.5. Former för informationsutbytet

Informationsutbytet mellan medlemsstaterna får enligt artikel 9.5 ske via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det språk som används i samband med begäran och informationsutbytet ska vara det som gäller för den kanal som används. Medlemsstaterna ska i samband med att de lämnar meddelanden i enlighet med artikel 4.5 även meddela kommissionen uppgifter om de kontaktpunkter till vilka framställningar kan sändas

i nödfall. Kommissionen ska underrätta medlemsstaterna om dessa uppgifter.

Bestämmelserna i artikel 9.5 behöver enligt vår bedömning inte författningsregleras.

15.4. Europols tillgång till PNR-information

15.4.1. Europol och dess verksamhet

Europol är EU:s gemensamma polisbyrå och utgör en del av det brottsbekämpande samarbetet i unionen. Europol har till uppgift att stödja och stärka medlemsstaternas polismyndigheter och andra brottsbekämpande organs insatser och deras samarbete för att förebygga och bekämpa viss brottslighet.

Europol är en egen juridisk person och har ställning av en EUenhet, finansierad genom unionens allmänna budget. Europols behörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlemsstaternas sida på grund av brottslighetens omfattning, betydelse eller följder.

Europol arbetar till stor del med insamling, behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen och fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Medlemsstaterna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs och bearbetas samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som härigenom får ett bättre underlag för sin operativa verksamhet. Härutöver stödjer Europol medlemsstaterna med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsländerna m.m.

Europol har egna datasystem och upprättar särskilda analysfiler för de ärenden där Europol tar på sig att utföra analysarbetet. Regelverket innehåller detaljerade bestämmelser om dataskyddet hos Europol och om tillgång till uppgifter som behandlas av Europol.

Inom ramen för samarbetet finns också ett gemensamt informationssystem (Siena) för säkert informationsutbyte.

I varje medlemsstat finns det en nationell enhet som är kontaktpunkt och förbindelselänk mellan Europol och medlemsstaternas myndigheter. Chefen för den nationella enheten har också en formell roll i Europols interna verksamhet. I Sverige är Polismyndigheten nationell enhet. Det operativa ansvaret har lagts vid Polismyndighetens nationella operativa avdelning. Den nationella enheten har till huvudsaklig uppgift att förse Europol med den information från de nationella polisregistren eller motsvarande som ska överlämnas till Europol, samt att ta emot information som kommer från Europol och vidarebefordra denna till sådana nationella myndigheter och organ som är ansvariga för att förebygga och bekämpa brott.

Europols ledning utgörs dels av en styrelse bestående av representanter från alla medlemsstater och kommissionen, dels en verkställande direktör som assisteras av tre biträdande verkställande direktörer. Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkontoret finns personal som är direkt anställd av Europol, t.ex. experter och analytiker inom olika områden. Där arbetar också särskilda sambandsmän som är utsända av medlemsstaterna. Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols anställda i bl.a. analysarbetet.

Europol inrättades genom Europolkonventionen år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömningen att tillträdet till konventionen endast i mycket begränsad omfattning krävde lagändringar (prop. 1996/97:164). Europols verksamhet inleddes år 1999. Europolkonventionen ersattes sedermera av rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europolrådsbeslutet). PNR-direktivet hänvisar till detta rådsbeslut.

15.4.2. Europolförordningen

Den 11 maj 2016 antog Europaparlamentet och rådet förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF,

2009/936/RIF och 2009/968/RIF (Europolförordningen). Förordningen ska i sin helhet tillämpas från och med den 1 maj 2017 då Europolrådsbeslutet upphörde att gälla. Eftersom Europolförordningen är bindande och direkt tillämplig i medlemsstaterna har bestämmelserna i förordningen inte genomförts i svensk lagstiftning. Europolförordningen har inte heller bedömts medföra behov av några kompletterande bestämmelser i svensk rätt (se prop. 2016/17:139 s. 81).

Europolförordningen innehåller det styrande regelverket för Europol. Europol kommer även fortsättningsvis ha som huvudsaklig uppgift att stödja och stärka insatser som utförs av de brottsbekämpande myndigheterna i medlemsstaterna samt deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som rör två eller fler medlemsstater, terrorism och sådana former av brottslighet som påverkar ett gemensamt intresse som omfattas av unionens politik. Vilken form av brottslighet som avses anges i bilaga I till Europolförordningen. Genom Europolförordningen har Europols uppgifter och mandat utökats något. Europol har bl.a. fått i uppgift att samordna, organisera och initiera insatser tillsammans med medlemsstaterna.

Medlemsstaternas skyldighet att förse Europol med den information som byrån behöver för att genomföra sitt uppdrag förtydligas i Europolförordningen. Enligt artikel 7.6 ska varje medlemsstat tillhandahålla Europol den information som är nödvändig för att den ska kunna uppfylla sina mål. Varje medlemsstat ska också säkerställa att nationell rätt efterlevs vid tillhandahållande av information till Europol. Enligt förordningen föreligger således en uppgiftsskyldighet för de nationella myndigheterna gentemot Europol. Ansvaret för att översändandet av uppgifterna är lagenlig ligger enligt förordningen hos den medlemsstat som lämnade uppgifterna.

En annan skillnad i förhållande till rådsbeslutet är att den procedur enligt vilken Europol kan ingå avtal med tredjeland och villkoren för överförande av personuppgifter till tredjeland regleras. Europolförordningen innehåller även ett uppdaterat avsnitt med dataskyddsregler. Europolförordningen innehåller därmed en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som är mer detaljerade än det nya dataskyddsdirektivet (se SOU 2017:29 s. 577).

Av artikel 41 framgår att Europols styrelse ska utse ett dataskyddsombud, som ska vara anställd vid Europol. Vid fullgörandet av sina arbetsuppgifter ska dataskyddsombudet agera oberoende.

15.4.3. Direktivets bestämmelser

Europol har enligt PNR-direktivet rätt att både motta och begära tillgång till PNR-information. Europols rätt att motta PNR-uppgifter framgår på flera ställen i direktivet. I artikel 4.2 anges att enheten för passagerarinformation ska ansvara för att bl.a. utbyta PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med Europol. Även av artikel 6.2 a och b framgår att enheten för passagerarinformation får behandla PNR-uppgifter för ändamålen att tillhandahålla Europol resultatet av en behandling av dessa uppgifter. I artikel 6.2 a, som behandlar enhetens förhandsbedömningar, anges bl.a. att sådana ska göras för att identifiera personer som i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare.

De närmare bestämmelserna om Europols tillgång till PNRuppgifter finns i artikel 10. Av artikel 10.1 framgår att Europol, inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter, ska ha rätt att begära specifika PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Detta ska, enligt artikel 10.2, gå till på så sätt att Europol från fall till fall via sin nationella enhet lämnar in en elektronisk, vederbörligen motiverad begäran om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter till enheten för passagerarinformation i en medlemsstat. Europol får lämna in en sådan begäran när detta är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt Europolrådsbeslutet. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifterna väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds.

Enligt artikel 10.3 ska Europol informera det dataskyddsombud som har utsetts i enlighet med artikel 28 i Europolrådsbeslutet om

varje informationsutbyte enligt den här artikeln. Som angetts finns en liknande bestämmelse i artikel 41 i Europolförordningen.

I artikel 10.4 anges att informationsutbyte enligt artikeln ska äga rum via Siena och i enlighet med Europolrådsbeslutet. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena.

Av direktivets skäl 23 framgår att medlemsstaterna bör utbyta PNR-uppgifter som de har mottagit med Europol om det bedöms vara nödvändigt för att förebygga, förhindra, upptäcka utreda och lagföra terroristbrott och grov brottslighet. Vidare anges att bestämmelserna i direktivet inte bör påverka andra unionsinstrument om informationsutbyte mellan polismyndigheter och andra brottsbekämpande och rättsliga myndigheter. Som exempel på ett sådant unionsinstrument anges Europolrådsbeslutet.

15.4.4. Våra överväganden och förslag

Vårt förslag: Enheten för passagerarinformation ska besvara en

motiverad begäran från Europol och överföra PNR-information dit.

PNR-direktivets förhållande till Europolförordningen

PNR-direktivet innehåller hänvisningar till Europolrådsbeslutet som upphörde att gälla den 1 maj 2017. Direktivets hänvisningar till rådsbeslutet får därför tolkas som hänvisningar till den ersättande Europolförordningen.

Regleringen i Europolförordningen innebär bl.a. att Sverige, liksom övriga medlemsstater, har en skyldighet att lämna sådan information till Europol som är nödvändig för att den ska kunna uppfylla sina mål. PNR-uppgifterna utgör sådana uppgifter som kan vara nödvändiga för att Europol ska kunna uppfylla sina mål och utföra sina arbetsuppgifter. Uppgiftsskyldigheten omfattar således även PNR-uppgifter.

En tanke bakom PNR-direktivet är att det inte ska påverka andra unionsinstrument om informationsutbyte på det brottsbekämpande området. Uppgiftsskyldigheten i Europolförordningen kan därför sägas gälla framför PNR-direktivet (jfr SOU 2017:29 s. 577.). Dock

ansvarar enligt förordningen medlemsstaterna för att nationell rätt efterlevs vid tillhandahållande av information till Europol. För det fall det i svensk rätt genomförs närmare bestämmelser om hur PNRuppgifterna får överföras till Europol, kommer dessa bestämmelser att behöva tillämpas av enheten för passagerarinformation vid överföringar till Europol.

Enligt vår bedömning är det inte tillräckligt att luta sig mot de bestämmelser om tillhandahållande av uppgifter som anges i Europolförordningen. För att genomföra PNR-direktivet på ett korrekt sätt bör vår lag även innehålla en bestämmelse som reglerar överföring av PNR-uppgifter till Europol. Hur uppgifterna därefter får behandlas av Europol och hur en eventuell vidarebefordran av uppgifter därifrån får gå till regleras av Europolförordningen. Därtill hörande dataskyddsfrågor regleras också i Europolförordningen.

Genomförandet av direktivets bestämmelser

Artikel 10 innehåller såväl skyldigheter för medlemsstaternas enheter för passagerarinformation att på begäran vidarebefordra PNRinformation till Europol, som en rättighet för Europol att begära och motta sådana uppgifter. På samma sätt som vid överföring till andra medlemsstater ser vi det som vår uppgift att författningsreglera vår enhet för passagerarinformations skyldighet att i vissa fall översända uppgifter till Europol. I den mån bestämmelserna innehåller stadganden om i vilka fall och hur Europol ska gå till väga för att begära in PNR uppgifter från de nationella enheterna för passagerarinformation, bör dessa tas om hand av Europol. Det kan i vart fall inte ankomma på Sverige att genomföra dessa bestämmelser.

De grundläggande förutsättningarna för den svenska enheten för passagerarinformations överföring av PNR-information till Europol bör regleras i lag. En nationell bestämmelse om överföring av PNRuppgifter till Europol bör innehålla den grundläggande anvisningen att PNR-information på begäran ska överföras till Europol. En sådan överföringsskyldighet kan enligt vår tolkning av direktivet inte begränsas till information om resenärer som har flugit, utan ska omfatta även uppgifter om resenärer som ännu inte har flugit. Således ska Europol på begäran kunna få tillgång till såväl förhandsbedömningar av passagerare (artikel 6.2 a) som information om tidigare

resor (artikel 6.2 b). Med hänsyn härtill och till skyldigheterna enligt Europolförordningen att tillhandahålla Europol med information, bör lagen inte innehålla närmare reglering om i vilka fall PNRinformation får överföras till Europol. Innehållet i artikel 10 och direktivets skäl 23 medför dock enligt vår mening att det i bestämmelsen bör anges att en begäran från Europol ska vara motiverad. Härigenom säkerställs att överföringar endast sker för användning i verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

I artikel 10 anges inte närmare i vilken form de efterfrågade uppgifterna ska tillhandahållas. För det fall de begärda PNR-uppgifterna är äldre än sex månader kommer de uppgifter som kan användas för att omedelbart identifiera passagerare att vara maskerade (se avsnitt 13.4). För att utlämnande av fullständiga uppgifter i sådant fall ska få ske krävs att de förutsättningar som anges i artikel 12.3 är uppfyllda. Det finns inte något undantag i den bestämmelsen för det fall uppgifterna ska tillhandahållas Europol. Bestämmelsen är därför tillämplig även på sådana uppgifter som ska överföras dit. Denna fråga behandlas närmare nedan i avsnitt 15.5.

Enligt artikel 10.3 ska Europol informera sitt dataskyddsombud om varje informationsutbyte som sker enligt artikeln. Det bör ankomma på Europol, och således inte på den nationella lagstiftaren, att genomföra denna bestämmelse.

Bestämmelsen i artikel 10.4 innebär enligt vår tolkning att informationsutbytet med Europol ska ske via Siena och i enlighet med Europolförordningen. Dessa frågor behöver enligt vår mening inte författningsregleras.

15.5. Överföring av avmaskerade PNR-uppgifter

15.5.1. Direktivets bestämmelser

När de PNR-uppgifter som har överförts från lufttrafikföretagen har lagrats i databasen vid enheten för passagerarinformation under sex månader kommer de att vara maskerade på ett sådant sätt att uppgifter som identifierar den eller de personer som uppgifterna avser döljs och bara blir tillgängliga efter en avmaskering. Om någon utanför enheten för passagerarinformation som enligt direktivet har rätt att få ta del av PNR-uppgifter begär tillgång till uppgifter, kom-

mer därmed endast de maskerade uppgifterna att lämnas ut. Fullständiga PNR-uppgifter kan dock lämnas ut även efter den inledande sexmånadersperioden i vissa fall.

I artikel 12.3 anges således att vid utgången av sexmånadersperioden ska utlämnande av fullständiga PNR-uppgifter tillåtas endast om två förutsättningar är uppfyllda.

För det första ska ett utlämnande rimligen kunna antas vara nöd-

vändigt för de ändamål som anges i artikel 6.2 b. Av den bestämmelsen följer att enheten får behandla personuppgifter för ändamålet att i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av en sådan behandling.

För det andra krävs tillstånd från

a) en rättslig myndighet, eller

b) en annan nationell myndighet som i enlighet med nationell rätt är

behörig att kontrollera om villkoren för tillgång (på eng. disclosure) är uppfyllda. Detta gäller under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.

Enligt artikel 9.2 sista meningen och 9.3 gäller likalydande villkor vid utlämnande från enheten till en enhet eller behörig myndighet i en annan medlemsstat. I artikel 9.2 anges således att enheten för passagerarinformation ska tillhandahålla avmaskerade uppgifter endast om det rimligen kan antas vara nödvändigt för de ändamål som anges i artikel 6.2. b och detta endast efter tillstånd från en behörig myndighet som avses i artikel 12.3 b. I artikel 9.3 hänvisas till denna bestämmelse.

I artikel 11.1 d görs också en hänvisning varav framgår att samma villkor också gäller vid överföring till tredjeland, utöver de ytterligare begränsningar som finns föreskrivna i artikel 11, se avsnitt 17.3.2.

15.5.2. Vilka överföringar kräver att särskilda förutsättningar är uppfyllda?

Vårt förslag: Överföring av avmaskerade PNR-uppgifter ska bara

få ske för ändamålet att besvara en begäran av behöriga mottagare eller tredjeland om tillgång till uppgifterna för användning i mottagarens verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Artikel 12.3 anger alltså förutsättningarna för överföring av fullständiga, dvs. avmaskerade PNR-uppgifter, efter den inledande sexmånadersperioden. Av artikeln framgår bl.a. att utlämnande av avmaskerade uppgifter bara får ske för ändamålet att besvara en begäran enligt artikel 6.2 b. Artikeln har en central funktion för integritetsskyddet i PNR-direktivet och måste genomföras av medlemsstaterna. Enligt vår uppfattning bör den genomföras genom reglering i den nya lagen. I bestämmelsen anges inte att de begränsande förutsättningarna enligt artikeln skulle vara tillämpliga endast vid överföring till någon särskild mottagare. Att bestämmelsen är tillämplig vid överföring på begäran från andra medlemsstaters enheter för passagerarinformation och behöriga myndigheter i de staterna framgår av artiklarna 9.2 och 9.3. En hänvisning i artikel 11.1 d innebär att bestämmelsen är tillämplig även vid överföringar på begäran till tredjeländer.

Det förhållandet att det i vissa artiklar särskilt anges att artikel 12.3 ska vara tillämplig vid en överföring kan, enligt vår mening, inte tas till intäkt för att bestämmelsen inte är tillämplig vid andra överföringar enligt lagen. Bestämmelsen i artikel 12.3 är generellt formulerad och träffar därmed överföringar från enheten för passagerarinformation till i och för sig behöriga mottagare. Artikel 12.3 ska därför tillämpas även vid överföringar till svenska behöriga myndigheter och till Europol. Att bestämmelsen är generellt tillämplig vid sådana överföringar som omfattas av direktivet bör framgå genom reglering i den nya lagen.

15.5.3. Vilken prövning ska enheten göra?

Vårt förslag: Enheten för passagerarinformation ska göra en

egen bedömning av om en överföring av fullständiga uppgifter rimligen kan antas vara nödvändig för att besvara mottagarens begäran.

För att avmaskerade PNR-uppgifter, dvs. fullständiga uppgifter, ska få lämnas ut från enheten krävs alltså enligt artikel 12.3 a att det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b (jfr artiklarna 9.2 sista meningen, 9.3 och 11.1 d).

Enligt vår tolkning av bestämmelserna innebär detta att en förutsättning för överföring av avmaskerade uppgifter är att en särskild förfrågan ställts till enheten av en behörig mottagare eller ett tredjeland. En ytterligare förutsättning är att enheten har gjort en egen prövning av motiven till förfrågan och funnit att det rimligen kan antas vara nödvändigt för att besvara förfrågan korrekt att mottagaren i sin bekämpning av terroristbrottslighet eller grov brottslighet får tillgång inte bara till maskerade PNR-uppgifter utan även till fullständiga uppgifter, dvs. avmaskerade uppgifter. Man kan givetvis fråga sig om det verkligen är ändamålsenligt att införa en sådan prövning eller kontroll när exempelvis en åklagare under pågående förundersökning fattat ett beslut om inhämtande av avmaskerade uppgifter, se nedan. Som vi ser det ställer direktivet dock krav på något slags egen prövning av enheten. Det är en annan sak att denna, i det nämnda fallet, kan göras tämligen summariskt och i praktiken inskränka sig till en kontroll av att det av begäran framgår att framställningen även omfattar utfående av avmaskerade, fullständiga uppgifter om en person (förutom den förutsättning som alltid ska prövas nämligen att mottagarens begäran sker i syfte att använda mottagna uppgifter för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottlighet).

Direktivets bestämmelser om överföring av avmaskerade uppgifter ger inte medlemsstaterna utrymme att införa snävare förutsättningar för överföring än de som direktivet föreskriver. Således vore det som vi ser det inte förenligt med direktivet att t.ex. föreskriva att överföring av avmaskerade PNR-uppgifter bara skulle få förekomma om mottagaren avser använda uppgifterna i en förundersökning, dvs. inte i underrättelseverksamhet. Samtliga förutsättningar

för enhetens prövning av om en överföring av avmaskerade PNRuppgifter är motiverad bör framgå genom bestämmelser i lagen som med vissa tillägg hänvisar till de bestämmelser som genomför artiklarna 6.2 b och 9.2.

I detta sammanhang förtjänar att påpekas att utlämnanden med stöd av tryckfrihetsförordningen inte kan begränsas på grund av de bestämmelser vi föreslår för att genomföra direktivet.

15.5.4. Vem ska lämna tillstånd till överföring av fullständiga uppgifter?

En ytterligare förutsättning för överföring av avmaskerade uppgifter, dvs. fullständiga PNR-uppgifter, är som redan nämnts att det finns tillstånd till överföringen från

a) en rättslig myndighet, eller

b) en annan nationell myndighet som i enlighet med nationell rätt

är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne gör en efterhandsutvärdering.

I EU:s rättsakter för samarbete i rättsliga frågor används ofta begreppet rättslig myndighet. Med en sådan myndighet avses enligt en vedertagen uppfattning i första hand domstol eller, för svenska förhållanden, åklagare. PNR-direktivet öppnar dock även upp för att en annan nationell myndighet kan lämna behövligt tillstånd. Frågan är hur detta krav ska tillgodoses i Sverige. Vi kommer nedan att analysera frågan om vilken myndighet det bör vara som ger tillstånd eller godkänner utlämnande från enheten för passagerarinformation av avmaskerade uppgifter. Som en bakgrund redogör vi dock först för ett delvis näraliggande exempel med brottsbekämpande myndigheters tillgång till teleoperatörers datalagrade uppgifter där frågan om hur tillgången ska prövas har diskuterats ingående. Vidare redovisar vi i korthet den parallellt med vår utredning pågående processen i EU-domstolen angående PNR-avtalet mellan Kanada och EU.

Datalagring

Brottsbekämpande myndigheters tillgång till trafikuppgifter om elektronisk kommunikation via data- eller telenät företer vissa likheter med systemet för lagring och utbyte av PNR-uppgifter. I båda fallen handlar det om att enskilda aktörer åläggs skyldigheter att tillhandahålla sin för kommersiella syften insamlade information för brottsbekämpande ändamål. I båda fallen finns bakomliggande EUdirektiv och i båda fallen handlar det om generell lagring av oselekterade uppgifter för sådant ändamål. Det sista syftar på att uppgifter om alla användare av elektronisk kommunikation och alla passagerare blir behandlade, trots att det beträffande nästan alla helt saknas anledning att anta att de kan vara inblandade i brottslighet av något slag.

Det finns dock stora skillnader. Systemet med datalagring av trafikuppgifter innebär en skyldighet för teleoperatörer m.fl. att lagra sin kommersiella information om kunders teletrafik m.m. under viss tid och således inte att leverera den till en nationell enhet för att där samlas i en databas såsom enligt PNR-systemet. Inom lagringstiden för trafikuppgifter, sex månader, ska det vara möjligt för brottsbekämpande myndigheter att under vissa förutsättningar få ut informationen från teleoperatörerna. Beskrivningen i det följande tar sikte på sådan lagring av trafikuppgifter som avser vem som kommunicerade med vem, när och hur länge det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes. Uppgifterna om innehållet i kommunikationen omfattas alltså inte.

Datalagringsdirektivet och det svenska genomförandet

Datalagringsdirektivet1, som antogs den 15 mars 2006, syftade till att harmonisera medlemsstaternas bestämmelser om skyldighet att lagra vissa uppgifter om elektronisk kommunikation för att på så sätt säkerställa att uppgifterna är tillgängliga för avslöjande, utredning och åtal av allvarliga brott. Direktivet genomfördes i svensk rätt bl.a. genom införandet av nya bestämmelser i 6 kap. 16 a–f §§ lagen (2003:389) om elektronisk kommunikation (LEK).

1 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.

Tillgång till datalagrade uppgifter var inget nytt verktyg inom den svenska brottsbekämpningen när datalagringsdirektivet antogs. Redan vid genomförandet av datalagringsdirektivet var tillgången reglerad såsom ett hemligt tvångsmedel i 27 kap. 19 § RB genom bestämmelser om hemlig teleövervakning (numera hemlig övervakning av elektronisk kommunikation). Den regleringen var och är tillämplig när trafikuppgifter ska inhämtas i en förundersökning. Tillstånd meddelas av allmän domstol. I lagen om elektronisk kommunikation fanns vidare bestämmelser om tillgång till trafikuppgifter i bl.a. underrättelseverksamhet. Dessa bestämmelser upphävdes dock vid genomförandet av datalagringsdirektivet och ersattes dels av bestämmelser i rättegångsbalken som under vissa förutsättningar möjliggör hemlig övervakning av elektronisk kommunikation i en förundersökning även om det inte finns någon som är skäligen misstänkt för brott, dels av bestämmelser i en ny lag om inhämtning av sådana uppgifter i underrättelseverksamhet.

Frågan om beslutsordningen i underrättelseverksamhet blev i förarbetena till inhämtningslagen föremål för regeringens allmänna överväganden (prop. 2011/12:55 s.88 f.). Regeringen bedömde att rätten att hämta uppgifter om elektronisk kommunikation i förundersökningar alltid ska prövas av domstol. Att allmän domstol fattar beslut om hemliga tvångsmedel under en förundersökning ansågs lämpligt och väl förenligt med det tvåpartsförfarande och de möjligheter till rättslig prövning som gäller där. Vidare ställde sig regeringen frågan om allmän domstol borde fatta beslut om inhämtning i underrättelseverksamhet. I ett utförligt resonemang betonades det bl.a. att det vore principiellt tveksamt att de allmänna domstolarna på förhand rättsligt prövar olika åtgärder som vidtas inom ramen för underrättelseverksamhet. Därmed kunde det finnas risk för att domstolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts, i varje fall när åtgärderna senare leder fram till förundersökning och åtal. En sådan roll skulle för domstolen också vara delvis främmande i det svenska rättssystemet. Domstolarna kunde inte heller tillgodose behovet av snabba beslut utanför kontorstid. Mot den bakgrunden ansåg regeringen att allmänna domstolar inte borde ges beslutanderätten för inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet. Att tilldela åklagare en roll i polisens allmänna underrättelsearbete ansågs också olämpligt. Beslutanderätten borde

därför inte heller läggas hos åklagare. Inte heller ansågs det lämpligt att inrätta särskilda beslutsnämnder för beslut om inhämtning av övervakningsuppgifter i underrättelseverksamhet. I stället landade regeringen i bedömningen att beslutanderätten borde tillkomma de inhämtande myndigheterna själva med myndighetschefen som beslutande, dock med möjlighet till delegation.

Lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (inhämtningslagen) reglerar alltså Polismyndighetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Beslut om inhämtning enligt inhämtningslagen fattas av myndigheten själv och är inte föremål för någon utomstående förhandskontroll (4 §). Det är myndighetschefen som fattar beslut om inhämtning av trafikuppgifter. Myndighetschefen får delegera rätten att fatta beslut om inhämtning till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den som rätten att fatta beslut har delegerats till, får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i. Enligt 5 § gäller vissa krav på innehållet i beslutet. I 6 § föreskrivs vidare att Säkerhets- och integritetsskyddsnämnden (SIN) ska underrättas om beslut om inhämtning av trafikuppgifter enligt inhämtningslagen. Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet har nämnden tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel.

Sammanfattningsvis fungerar systemet således på det sättet att när trafikuppgifter hämtas in i en pågående förundersökning, gäller rättegångsbalkens bestämmelser om hemlig övervakning av elektronisk kommunikation med krav på tillstånd från allmän domstol efter ansökan av åklagare, dvs. förundersökningsledaren. I brådskande fall har åklagaren dock möjlighet att fatta interimistiska beslut i väntan på rättens prövning. Inhämtande i underrättelseverksamhet beslutas av varje myndighet själv. Tullverkets myndighetschef, eller efter delegation någon annan inom Tullverket, prövar inhämtande i Tullverkets underrättelseverksamhet osv. Enskilda som har utsatts för tvångsmedlet ska normalt underrättas om åtgärden i efterhand om det handlar om inhämtning i förundersökning men inte om det gäller underrättelseverksamhet. I underrättelseverksamhet ska i stället SIN underrättas om myndighetsbeslut att inhämta trafikuppgifter.

EU-domstolens domar och frågans fortsatta behandling

Den 8 april 2014 meddelade EU-domstolen dom i de förenade målen C-293/12 och C-594/12, Digital Rights Ireland m.fl., angående giltigheten av datalagringsdirektivet med anledning av begäran om förhandsavgöranden från nationella domstolar i Irland respektive Österrike. EU-domstolen förklarade i domen datalagringsdirektivet ogiltigt. Domstolen angav att direktivet innebar ett långtgående och synnerligen allvarligt ingrepp i rätten till privatliv och skyddet av personuppgifter. Enligt domstolen hade EU:s lagstiftande församlingar överskridit sina befogenheter då direktivet antogs eftersom regleringen inte ansågs leva upp till den unionsrättsliga proportionalitetsprincipen. Bl.a. framhöll domstolen som en brist i datalagringsdirektivet att tillgången till lagrade uppgifter inte var underkastad någon förhandskontroll av en domstol eller oberoende myndighet som har till uppgift att se till att tillgången begränsas till vad som kan anses vara strikt nödvändigt (punkterna 61 och 62).

De svenska reglerna om datalagring, tillgång till och behandling av datalagrade uppgifter samt bestämmelsernas förhållande till unionsrätten, blev därefter föremål för ingående analys (se Ds 2014:23 och SOU 2015:31). Bland annat analyserades inhämtningslagens förenlighet med unionsrätten, däribland bestämmelsen i 4 § som innebär att uppgifter inhämtas av en myndighet utan föregående prövning av en oberoende instans. Denna förnyade prövning av beslutsordningen ledde dock inte till något förslag till lagändring. Bedömningen gjordes alltså att beslut även i fortsättningen borde fattas av Polismyndigheten, Säkerhetspolisen eller Tullverket. Resonemangen bakom detta kan sägas i stora drag överensstämma med överväganden från förarbetena till inhämtningslagen som redovisats ovan.

Den 21 december 2016 meddelade EU-domstolen förhandsavgörande i de förenade målen C-203/15 och C-698/15, Tele2 Sverige och Watson m.fl., med anledning av begäran från bl.a. Kammarrätten i Stockholm respektive en domstol i Storbritannien. Den svenska begäran om förhandsavgörande framställdes i ett mål mellan Tele2 Sverige AB (Tele2) och Post- och telestyrelsen (PTS) om ett föreläggande från PTS för Tele2 att lagra trafikuppgifter och lokaliseringsuppgifter avseende bolagets abonnenter och registrerade användare. De frågor som ställts av Kammarrätten avsåg om de svenska bestämmelserna om lagring av och tillgång till uppgifter om elektro-

nisk kommunikation är förenliga med unionsrätten. EU-domstolens slutsats i förhandsavgörandet var bl.a. att en generell och odifferentierad lagring av uppgifter om elektronisk kommunikation inte är förenlig med EU-rätten. Vidare påtalade domstolen att unionsrätten utgör hinder för en nationell lagstiftning som reglerar behöriga nationella myndigheters tillgång till lagrade trafik- och lokaliseringsuppgifter och som inte, inom ramen för brottsbekämpning, föreskriver att tillgången ska vara underkastad förhandskontroll av en domstol eller en oberoende förvaltningsmyndighet.

I dom den 7 mars 2017 upphävde Kammarrätten beslutet att förelägga Tele2 att lagra trafikuppgifter m.m. för brottsbekämpande ändamål. I domen anges att det, med hänsyn till EU-domstolens uttalanden, är klarlagt att de svenska bestämmelserna om lagring av trafikuppgifter m.m. för brottsbekämpande ändamål står i strid med unionsrätten och därför inte kan tillämpas. Domen har vunnit laga kraft.

Regeringen har gett en särskild utredare i uppdrag att bl.a. se över bestämmelserna om skyldigheten för leverantörer av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster att lagra uppgifter om elektronisk kommunikation samt om de brottsbekämpande myndigheternas tillgång till sådana uppgifter, Utredningen om datalagring och EU-rätten (Ju 2017:04). Översynen ska ske i syfte att anpassa det svenska regelverket till EUrätten såsom den uttolkats av EU-domstolen. Häri ingår bl.a. att se över beslutsordningen för att hämta in lagrade uppgifter. Uppdraget i denna del ska redovisas senast den 9 oktober 2017.

EU:s PNR-avtal med Kanada

Europaparlamentet har begärt EU-domstolens yttrande angående ett planerat nytt avtal mellan Kanada och EU om överföring och behandling av passageraruppgifter. Enligt avtalet ska lufttrafikföretag vid resor mellan Kanada och EU överföra PNR-uppgifter till kanadensiska myndigheter för användning i syfte att förebygga och upptäcka terroristbrottslighet eller andra allvarliga gränsöverskridande brott.

Den 8 september 2016 meddelade generaladvokaten ett förslag till yttrande.2 Yttrandet ska inte redovisas närmare här. Av intresse är dock att generaladvokaten fann det utgöra en brist att den i Kanada insamlande myndigheten, CBSA, själv fattar beslut om utlämnande till en annan myndighet i Kanada eller annat tredjeland utan att dess bedömning av skyddsnivån för uppgifterna hos mottagaren är underställd någon förhandskontroll av en oberoende myndighet eller en domstol.

EU-domstolen har ännu inte meddelat sitt avgörande i målet.

Våra överväganden och förslag

Våra förslag: En förutsättning för att en överföring av avmaske-

rade PNR-uppgifter ska vara tillåten är att en åklagare har beslutat att fullständiga uppgifter ska hämtas in i en pågående förundersökning som handläggs hos någon behörig svensk myndighet eller, i alla andra fall, att Polismyndighetens myndighetschef har godkänt överföringen. Rikspolischefen ska med vissa begränsningar kunna delegera beslutanderätten.

Bortsett från fall då en svensk åklagare beslutat om inhämtande av fullständiga uppgifter, ska dataskyddsombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvärdering av varje överföring av avmaskerade uppgifter.

Några utgångspunkter

Bestämmelsen om att utlämnande av avmaskerade PNR-uppgifter kräver tillstånd från en rättslig myndighet eller annan nationell myndighet fanns inte med i kommissionens förslag till PNR-direktiv från år 2011 utan tillkom i de senare förhandlingarna. Enligt kommissionens förslag skulle tillgång till avmaskerade PNR-uppgifter endast kunna beviljas av chefen för enheten för passagerarinformation. Denna justering i direktivet kan, menar vi, inte tolkas på annat sätt än att det byggts in ett krav på något slag av tilläggskontroll av enhetens egen prövning av att förutsättningarna för överföring av av-

2 Förslag till yttrande av generadvokat Paolo Mengozzi, föredraget den 8 september 2016.

maskerade PNR-uppgifter är uppfyllda. Ett genomförande som innebär att chefen för enheten för passagerarinformation beslutar om överföringen uppfyller alltså inte kravet på sådant tillstånd (eller godkännande) som föreskrivs i artikel 12.3 b.

Det kan konstateras att det inte finns någon myndighet som är självskriven för tillståndsgivningen. Något system med lagring och tillgång till PNR-uppgifter i viss brottsbekämpning på det sätt som avses ske enligt PNR-direktivet förekommer inte i Sverige. Det finns därför inte någon nuvarande ordning att ta avstamp i vid bedömningen av hur direktivets krav på tillstånd till utlämnande – eller som det uttrycks i den engelska versionen av artikel 12.3 b approved by (jfr godkendt af i den danska versionen) – ska genomföras. Inte heller finns det någon erfarenhet att falla tillbaka på för att kunna göra antaganden om hur ofta eller i vilka slags situationer man kan förmoda att förfrågningar kommer att göras avseende PNR-uppgifter som avser flygresor längre tillbaka i tiden än sex månader. Någon klar bild av huruvida förfrågningar om överföring av avmaskerade personuppgifter kan komma att bli aktuellt bara under pågående brottsutredningar där det finns eller inte finns någon skälig misstänkt, dvs. i förundersökningsförfarandet, eller om också underrättelseverksamhet kan komma i fråga finns ännu inte. Över huvud taget framstår det alltså som relativt osäkert exakt hur behöriga myndigheter kommer att nyttja systemet och vilka kvantiteter avmaskerade uppgifter som kan komma att efterfrågas. Vi måste därför ta höjd för att detta kan komma att begäras ut i såväl förundersökningsverksamhet som underrättelseverksamhet så som direktivets bestämmelser förpliktar medlemsstaterna att möjliggöra. Det är dock vår uppfattning att när det handlar om så pass gamla identitetsuppgifter på flygpassagerare, sex månader eller äldre, torde dessa väl så ofta vara av intresse i brottsutredningar som i underrättelseverksamhet. Ett tänkbart exempel är att en kurir, som gripits på Arlanda för grovt narkotikabrott, berättar om tidigare liknande flygresor. För att i förundersökningen kunna nysta i detta och få fram information om den bakomliggande organisationen skulle det då kunna vara av intresse att få fram uppgifter om mellan vilka destinationer dessa resor gått, vem som bokat och betalat, och i så fall vilka ytterligare flygresor som betalats med samma kontouppgifter osv. Men det kan också vara så att ett inkommet tips om brottslig verksamhet ger

anledning att göra förfrågningar till enheten för att skaffa sig mer substans inför ett eventuellt beslut om att inleda förundersökning.

I linje med hur man resonerat i tidigare lagstiftningsärenden om beslutsordning för brottsbekämpande åtgärder som är ingripande för enskilda berörda anser vi att det finns skäl att göra skillnad mellan om behöriga myndigheter begär ut avmaskerade PNR-uppgifter under en pågående förundersökning eller om det handlar om underrättelseverksamhet.

Behörig myndighets begäran sker i en förundersökning

Förundersökning är ett reglerat förfarande, se 23 kap. RB och förundersökningskungörelsen (1947:948). Beslut att inleda förundersökning kan fattas av Polismyndigheten, Säkerhetspolisen eller åklagare. Även Tullverket kan fatta beslut om inledande av förundersökning enligt 19 § lagen (2000:1225) om straff för smuggling (smugglingslagen). De befogenheter och skyldigheter som undersökningsledaren har enligt rättegångsbalken gäller i sådant fall Tullverket.

Har förundersökningen inletts av Polismyndigheten eller Säkerhetspolisen och är saken inte av enkel beskaffenhet, ska ledningen av förundersökningen om brottet övertas av åklagaren så snart någon skäligen kan misstänkas för brottet. Åklagaren ska också i annat fall överta ledningen när det är motiverat av särskilda skäl (23 kap. 3 § RB). Liknande bestämmelser finns i smugglingslagen. En förundersökning kan alltså ledas av en åklagare, en polisiär undersökningsledare eller en tulltjänsteman. När förundersökningen leds av åklagaren, får han eller hon anlita biträde av Polismyndigheten, Säkerhetspolisen eller Tullverket för att genomföra den. Åklagaren får också uppdra åt en polisman eller tjänsteman vid Tullverket att vidta en viss åtgärd som hör till förundersökningen, om det är lämpligt med hänsyn till åtgärdens beskaffenhet.

Enligt 23 kap. 4 § RB ska en förundersökning bedrivas objektivt. Vid förundersökningen ska förundersökningsledaren söka efter, ta till vara och beakta omständigheter och bevis som talar såväl till den misstänktes fördel som till hans eller hennes nackdel. Förundersökningen ska bedrivas så att inte någon onödigt utsätts för misstanke eller orsakas kostnad eller olägenhet.

En mängd olika mer eller mindre ingripande åtgärder kan vidtas under en förundersökning. Vissa för enskilda berörda särskilt ingripande åtgärder under pågående förundersökning regleras som straffprocessuella tvångsmedel i 24–28 kap. RB, exempelvis frågor om frihetsberövande, vissa andra begränsningar i rörelsefriheten, kvarstad, beslag, husrannsakan och kroppsbesiktning. I 27 kap. regleras en specialform av tvångsmedel, nämligen hemliga tvångsmedel, bl.a. hemlig övervakning av elektronisk kommunikation som tidigare omfattades av datalagringsdirektivet, se ovan.

Gemensamt för all tvångsmedelsanvändning enligt rättegångsbalken är att beslutsförfarandet är reglerat. Vid de mera ingripande tvångsmedlen är allmän domstol ensam behörig att fatta beslut (t.ex. häktning, kvarstad, hemlig rumsavlyssning, hemlig avlyssning eller övervakning av elektronisk kommunikation), dock med rätt i vissa fall för åklagare att fatta interimistiskt beslut i brådskande fall.

Beträffande många andra i och för sig ingripande åtgärder under pågående förundersökning finns inte någon motsvarande reglering som den i rättegångsbalken för tvångsmedel. Exempel härpå är användning i förundersökning av vissa spanings- eller utredningsmetoder såsom infiltration eller provokation. Vad gäller just dessa metoder har i stället utfärdats riktlinjer av Åklagarmyndigheten, RåR 2016:1. Av dessa framgår bl.a. att beslut om användande av sådana metoder alltid ska fattas av den allmänna åklagare som är förundersökningsledare.

Trots den osäkerhet som finns angående hur behöriga myndigheter kommer att använda sig av möjligheten att begära ut PNRuppgifter är det vår uppfattning att en sådan åtgärd inte är att jämställa med ett sådant hemligt tvångsmedel som bör regleras som ett sådant i rättegångsbalken. Visserligen finns paralleller med utfående av datalagrad elektronisk kommunikation från teleoperatörer, vilket utgör ett hemligt tvångsmedel benämnt hemlig övervakning av elektronisk kommunikation. Beträffande PNR-systemet handlar det emellertid om utfående av uppgifter som redan har samlats in och använts i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra vissa brott genom lagring i databasen och förhandsbedömning av passagerare vid enheten för passagerarinformation. Vi ser därför ingen anledning att införa någon reglering i rättegångsbalken om behöriga myndigheters tillgång till PNR-uppgifter under pågående förundersökning och hur det ska beslutas. Det vore vidare syste-

matiskt inkonsekvent att införa förändringar i det straffprocessuella regelverket som vore kopplade enbart till sådana PNR-uppgifter hos enheten för passagerarinformation som lagrats en viss tid och därför maskerats, medan andra PNR-uppgifter som lagrats under kortare tid inte skulle omfattas av regleringen.

Vid bedömningen av hur tillståndsgivningen enligt PNR-direktivet ska genomföras kan diskuteras om denna har en i övrigt straffrättslig karaktär eller om den innebär en prövning av annat slag. Av direktivets skäl 25 framgår att den maskering av PNR-uppgifter som ska ske efter sex månader syftar till att undvika oproportionell användning av uppgifterna. Åtkomst till de fullständiga PNR-uppgifterna ska därefter endast få ske under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Syftet med kravet på tillstånd är således att säkerställa att personuppgifter inte används i onödan och att skydda den personliga integriteten. Det är som nyss sagts inte fråga om användande av något tvångsmedel, utan om tillstånd till överföring av fullständiga personuppgifter, i motsats till maskerade sådana. Samtidigt är förutsättningen för en överföring till behöriga myndigheter knuten till vad som kan antas vara nödvändigt för den brottsbekämpande verksamheten i fråga. Den bedömningen har en i allt väsentligt straffrättslig karaktär. Det ter sig därför lämpligast, menar vi, att prövningen görs av någon som har relevant erfarenhet och kunskap för att bedöma behoven i en förundersökning. I linje med vad vi tidigare anfört om att behöriga myndigheters utfående av avmaskerade PNR-uppgifter inte är något tvångsmedel finner vi det dock inte motiverat att i den nya lagen införa bestämmelser om att allmän domstol ska godkänna överföring av avmaskerade PNR-uppgifter.

Enligt vår mening tillgodoses direktivets krav och enskilda registrerade passagerares berättigade anspråk på ett tillfredsställande integritetsskydd om det införs en bestämmelse i den nya lagen som föreskriver att en begäran från en behörig myndighet om utfående av avmaskerade PNR-uppgifter ska ha beslutats av en åklagare, om förundersökning har inletts. Detta menar vi ska gälla oavsett om förundersökningen är i ett så pass inledande skede att den leds av en undersökningsledare som inte är åklagare.

Lydelsen av artikel 12.3 b i direktivet ger vid handen att det är enheten för passagerarinformation som ska inhämta ett tillstånd eller godkännande till utlämnande av avmaskerade PNR-uppgifter. I

praktiken uppnås dock samma resultat om det är den begärande behöriga myndigheten som inhämtar tillståndet eller godkännandet. Vi ser därför inget hinder mot att genomföra direktivets bestämmelse genom ett på så sätt ”omvänt” förfarande där den behöriga myndigheten införskaffar ett åklagarbeslut.

En svensk åklagare uppfyller rekvisiten på att vara en sådan rättslig myndighet som avses i artikel 12.3 b i direktivet. Direktivet ställer i och för sig inga krav på att den rättsliga myndigheten ska vara oberoende. Vi har dock övervägt om det är olämpligt att en förundersökningsledande åklagare själv fattar beslutet och därmed står för den särskilda kontrollmekanism som ska stoppa obefogad användning av äldre PNR-uppgifter. Förundersökningsförfarandet bygger emellertid på att det är förundersökningsledaren som har det övergripande ansvaret för utredningens bedrivande. Han eller hon ska åtnjuta en självständig ställning visavi utomstående. Några författningsreglerade bestämmelser om att annan åklagare än förundersökningsledaren ska besluta eller godkänna åtgärder finns inte. De möjligheter till överordnad åklagares övertagande av uppgifter som följer av 7 kap. 5 § RB skulle inte passa in för att hantera frågor om utfående av PNR-uppgifter. Någon befintlig ordning att lämna över visst beslutsfattande till en utomstående åklagare som PNR-frågorna skulle kunna inordnas i finns alltså inte. Vi ser det inte heller som nödvändigt eller lämpligt att införa någon nyordning för åklagarväsendet i syfte att genomföra artikel 12.3 b i PNR-direktivet. Det ingår i åklagares ordinarie arbete som förundersökningsledare att fatta beslut om ingripande åtgärder på ett rättssäkert sätt och med beaktande av proportionalitetsprincipen avseende alla motstående intressen, inte minst att väga effektiviteten i brottsbekämpningen mot intresset av att värna den personliga integriteten. Det torde vidare vara förundersökningsledaren som bättre än någon annan kan bedöma om förutsättningarna för utfående av avmaskerade PNR-uppgifter är uppfyllda, dvs. om de kan antas vara nödvändiga för brottsutredningen och därmed utgöra en proportionerlig användning. Beslut och åtgärder av detta slag ska dokumenteras i förundersökningsmaterialet vilket som huvudregel blir tillgängligt för den misstänktes insyn och granskning när utredningen är klar. Med tanke på att en begäran till enheten för passagerarinformation ska vara kopplad till ett behov avseende utredning eller lagföring av terroristbrottslighet eller grov brottslighet såsom den definieras i den nya lagen, kom-

mer det att i allmänhet vara erfarna åklagare som är förundersökningsledare. Mot denna bakgrund finner vi att övervägande skäl talar för inte införa något krav på att beslutsfattande åklagare ska vara någon annan än förundersökningsledaren.

Behörig myndighets begäran sker i underrättelseverksamhet

Av beskrivningen ovan om genomförandet av datalagringsdirektivet har framgått att det inte finns någon reglering om att vissa åtgärder i underrättelseverksamhet ska beslutas eller underställas någon rättslig myndighet eller någon oberoende myndighet av annat slag. Frågan har varit mycket omdiskuterad och bl.a. har Polismetodutredningen föreslagit inrättande av en nämnd för prövning av vissa särskilda spaningsmetoder under underrättelsestadiet (SOU 2010:103), vilket dock inte lett till vidare lagstiftningsåtgärder. Vi har inom ramen för vårt utredningsuppdrag inte haft möjligheten att göra sådana mera ingående analyser som skulle krävas för att föra frågan vidare och eventuellt finna någon ny lämplig övergripande ordning för hur frågor av detta slag skulle tas om hand. Med tanke på att det tillsatts en utredning som ska analysera EU-domstolens förhandsavgörande rörande det svenska införandet av datalagringsdirektivet ser vi det vidare som olämpligt att vi överväger någon nyordning av mer generell karaktär såsom t.ex. att föreslå tillskapandet av en ny instans för prövning av frågor av det aktuella slaget.

Våra överväganden och förslag får således anpassas till den befintliga strukturen. Det kan därvid konstateras att det inte finns någon befintlig myndighet som vore självskriven för att ge tillstånd till att behöriga myndigheter får tillgång till avmaskerade PNRuppgifter i sitt underrättelsearbete.

Fyra olika existerande myndighetsorganisationer, utanför de behöriga myndigheterna själva, framstår som tänkbara för uppgiften. Dessa är domstolsväsendet, åklagarväsendet och de två tillsynsmyndigheter som för närvarande har tillsyn över polisens behandling av personuppgifter. Ingen av dessa har, som tidigare angetts, någon erfarenhet av tillståndsgivning i liknande fall. När det gäller domstolar och åklagarväsendet instämmer vi dock i de argument mot att lägga beslutsfunktioner hos dem som redovisats ovan i förarbetena till inhämtningslagen. Varken allmän domstol eller åklagare bör alltså

ges i uppgift att ta ställning till överföring av avmaskerade personuppgifter för användning i underrättelseverksamhet.

En annan lösning vore att lägga tillståndsgivningen hos någon av de myndigheter som har till uppgift att utöva tillsyn över den brottsbekämpande verksamheten. Datainspektionen och SIN har i dag överlappande tillsynsansvar när det gäller Polismyndighetens behandling av personuppgifter. Utredningen om tillsynen över den personliga integriteten har nyligen föreslagit att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt både dataskyddsförordningen och det nya dataskyddsdirektivet (se SOU 2016:65). Vidare har utredningen föreslagit att tillsynen över den öppna polisens personuppgiftsbehandling i brottsbekämpande verksamhet inte längre ska ingå i SIN:s uppdrag utan i fortsättningen utföras endast av Datainspektionen. Enligt förslaget kommer Datainspektionen att bli nationell tillsynsmyndighet för Polismyndighetens behandling av personuppgifter i den brottsbekämpande verksamheten och därmed även för arbetet vid enheten för passagerarinformation.

Det vore olämpligt att använda sig av samma myndighet för tillståndsgivningen som för tillsynen över arbetet inom enheten som för passagerarinformation. Med hänsyn härtill skulle Datainspektionen vara utesluten medan SIN däremot skulle kunna användas som tillståndsmyndighet enligt PNR-direktivet. Vid SIN finns en upparbetad organisation för att hantera sekretesskyddat material härrörande från förundersökningar och underrättelsearbete. Det som talar mot en sådan lösning är att SIN inte är uppbyggd för att hantera frågor som uppkommer utanför ordinarie arbetstid och att det skulle innebära ett nytt slags aktiv inblandning i myndigheters pågående verksamhet än vad nämnden har i dag. Det är vår bedömning att det skulle medföra alltför stora förändringar i SIN:s organisation och arbetssätt för att det skulle vara lämpligt att göra nämnden till tillståndsgivare för överföring av PNR-uppgifter.

Det alternativ som återstår att överväga är därmed om frågan om tillstånd eller godkännande av en överföring kan beslutas av någon av de behöriga myndigheterna själva förutsatt att det ges av någon utanför enheten. PNR-direktivet föreskriver nämligen inte att det måste vara en oberoende myndighet som ska ge tillstånd som alternativ till en rättslig myndighet när det handlar om överföring av avmaskerade PNR-uppgifter.

Som framgått av ovan nämnda avgöranden från EU-domstolen har avsaknaden av kontroll av en oberoende myndighet i förhållande till brottsbekämpande myndigheters tillgång till uppgifter varit en av flera brister som domstolen riktat mot datalagringsdirektivet. Även när det gäller PNR-avtalet med Kanada har frågan dryftats, se ovan nämnda yttrande av generaladvokaten. Vårt uppdrag är emellertid att föreslå den författningsreglering som krävs för att genomföra PNR-direktivet i svensk rätt. Det ligger alltså inte i uppdraget att särskilt analysera om direktivet som sådant är förenligt med EU-stadgan. Vi kan dock inte se att det skulle vara oförenligt med vare sig PNR-direktivet eller med EU-stadgan att använda motsvarande beslutsordning för överföring av avmaskerade PNR-uppgifter som den som föreskrivs i inhämtningslagen. Utan att vi har kunnat göra någon mera ingående analys av EU-domstolens avgöranden finner vi nämligen att det finns ganska väsentliga skillnader mellan användning i brottsbekämpning av datalagrad elektronisk kommunikation respektive av PNR-uppgifter.

Det som enligt EU-domstolen gör datalagringen särskilt känslig ur integritetssynpunkt är att den innebär en kartläggning som möjliggör mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Dessutom sker den senare användningen av uppgifterna utan att den registrerade användaren är underrättad om detta, vilket kan ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning (se punkt 99 och 100 i EU-domstolens dom i de förenade målen C-203/15 och C-698/15).

Behandling, lagring och användning av PNR-uppgifter måste enligt vår bedömning anses som ett jämförelsevis väsentligt mindre allvarligt intrång i enskildas privatliv. Internationella flygresor är inget som flertalet människor normalt gör dagligdags, i vart fall inte för privata syften. Likaså torde flygpassagerare inte ha samma förväntningar på att flyga obemärkt och oregistrerat som den normala användaren av telefoner och datorer har när de samtalar eller använder dessa för att skicka och ta emot sms eller andra meddelanden. Även om den beslutade långtidslagringen av PNR-uppgifter är känslig ur ett integritetsperspektiv innebär den alltså typiskt sett inte ett

lika stort intrång i privatlivet som datalagringen. Av den anledningen anser vi att det finns goda skäl för att inte dra så långtgående slutsatser av EU-domstolens avgörande i datalagringsfrågorna att någon oberoende kontrollinstans måste ges i uppgift att godkänna överföring av avmaskerade PNR-uppgifter trots att detta inte är ett krav enligt PNR-direktivet. Inte heller anser vi att den parallella processen om PNR-avtalet med Kanada och generaladvokatens yttrande påverkar hur PNR-direktivet ska läsas. Vad som kritiseras i det avtalet är nämligen att det inte finns något oberoende kontrollorgan i det tredjelandet som prövar mottagarens skyddsnivå vid vidareöverföring inom det tredjelandet, dvs. en något annorlunda frågeställning än den som gäller överföring av PNR-uppgifter till behöriga mottagare enligt PNR-direktivet.

Mot bakgrund av det sagda är det vår bedömning att övervägande skäl talar för att PNR-direktivets krav på tillstånd till överföring av avmaskerade PNR-uppgifter till behöriga myndigheter för användning i underrättelsearbetet i nuläget bör konstrueras på i huvudsak samma sätt som i inhämtningslagen, nämligen att enheten för passagerarinformation ska inhämta tillstånd från myndighetschefen för Polismyndigheten, dvs. rikspolischefen. Vi föreslår därför detta. Motsvarande möjlighet för delegation som i inhämtningslagen bör därvid finnas. Liksom i inhämtningslagen bör delegation inte kunna ske till någon som själv deltar i den verksamhet som har begärt ut informationen, en situation som dock bara kan uppkomma när det är Polismyndigheten som är den begärande behöriga myndigheten. Inte heller ska delegation kunna ges till någon som arbetar vid enheten för passagerarinformation.

Vid valet av en annan tillståndsmyndighet än en rättslig sådan ska enligt direktivets bestämmelser dataskyddsombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvärdering varje gång avmaskerade PNR-uppgifter förs över till en behörig myndighet. Bestämmelser med denna innebörd kan föras in i förordningen. Hur efterhandsutvärderingen ska utföras bör inte närmare regleras. Det är dock givet att den ska gå ut på att kontrollera att de lagliga förutsättningarna för överföring har varit uppfyllda samt att det funnits behörigt tillstånd till överföringen. Vi kommer att i avsnitt 19.5 närmare behandla hur dataskyddsombudet ska utses och vilka uppgifter han eller hon ska ha. Då kommer vi också att närmare beröra vilka åtgärder som dataskyddsombudet bör vidta

om han eller hon vid sin efterhandsutvärdering konstaterar någon brist i hanteringen av överföringen eller liknande.

Bland annat på grund av att dataskyddsombudet alltid ska göra en egen utredning, med möjlighet att anmäla eventuella missförhållanden till tillsynsmyndigheten, har vi inte funnit skäl att överväga att underrättelse om överföring av avmaskerade PNR-uppgifter ska sändas till någon tillsynsmyndighet.

Avslutningsvis vill vi påtala att vi inte är omedvetna om att tillämpningen av beslutsordningen enligt inhämtningslagen i vissa fall föranlett en del kritik från tillsynsmyndigheten SIN. Det inger viss oro och talar för att, i händelse av att en ny ordning för beslutsfattande avseende inhämtning av datalagrade uppgifter eller andra åtgärder i underrättelseförfarande införs som en följd av den översyn av inhämtningslagen som nu genomförs, det kan finnas skäl att i framtiden överväga om också överföring av avmaskerade PNRuppgifter ska inordnas i ett sådant nytt beslutsförfarande. Det vore dock av värde att kunna göra sådana överväganden först då PNRsystemet kommit igång och funnits en tid för att med erfarenheter från den faktiska hanteringen kunna göra närmare överväganden om vilken beslutsnivå osv. som bör gälla för överföringar enligt den nya lag som genomfört PNR-direktivet.

Begäran från andra länder och Europol

Om det framstår som oklart när, hur och för vilken närmare användning avmaskerade PNR-uppgifter kommer att begäras ut av svenska behöriga myndigheter framstår det som än mer ovisst vad som kommer att bli ett vanligt utbyte mellan medlemsstaterna och med Europol. Vi antar emellertid att det, när det gäller så pass ”gamla” uppgifter att de blivit maskerade, kommer att kunna handla om att uppgifterna i den svenska databasen kan vara intressanta i en brottsutredning i en annan medlemsstat. Det hade i och för sig kunnat vara tänkbart att den svenska enheten för passagerarinformation skulle ha kunnat godta ett beslut från en utländsk domstol eller annan utländsk rättslig myndighet som tillåtit inhämtningen i en brottsutredning om terroristbrottslighet eller grov brottslighet i det landet. Vi vet emellertid inte hur andra medlemsstater kommer att genomföra PNR-direktivet och ett sådant omedelbart accepterande

av beslut från andra länders rättsliga myndigheter torde kräva en harmoniserad reglering av något slag.

Enligt direktivet kommer det vidare som huvudregel att vara en enhet för passagerarinformation som begär ut uppgifterna från den svenska enheten. Vilken bakomliggande information som då kommer att göras tillgänglig för den svenska enheten vet vi inte i nuläget, t.ex. om det kommer att bifogas beslut från en åklagare eller undersökningsdomare om att uppgifterna ska inhämtas i en viss brottsutredning eller underrättelseverksamhet. Gissningsvis kommer formulär eller något slags standardiserade ordningar införas för detta uppgiftsutbyte men än så länge finns inga sådana utarbetade. Redan av denna anledning anser vi att övervägande skäl talar för att begäran från andra medlemsstaters enheter och Europol alltid ska behandlas på samma sätt som begäran från svenska myndigheter utanför förundersökningsförfarandet. Det innebär att oavsett om uppgifterna begärs ut från en annan medlemsstat för att användas i en förundersökning eller i underrättelseverksamhet, ska Polismyndighetens myndighetschef fatta beslut om utlämnande och dataskyddsombudet göra en efterhandsutvärdering. Detsamma föreslår vi ska gälla i de absoluta undantagsfall när det kan bli aktuellt att lämna ut avmaskerade PNR-uppgifter till tredjeland enligt artikel 11.

16. Behöriga myndigheters behandling av PNR-information

16.1. Behöriga myndigheters rätt att motta och begära tillgång till PNR-information

PNR-systemet är uppbyggt så att endast sådan PNR-information som har behandlats vid en nationell enhet för passagerarinformation och som där har bedömts vara av intresse för bekämpning av sådan brottslighet som avses i direktivet, ska sändas vidare till utvalda myndigheter i det egna landet för vidare analys och åtgärder. Endast vissa nationella myndigheter kommer att på detta sätt få ta del av PNR-informationen. Dessa myndigheter har även rätt att under vissa förutsättningar ställa egna frågor till enheter för passagerarinformation och kan på så sätt begära att få ta del av sådan PNR-information som är av intresse just för den myndighetens bekämpande av terroristbrottslighet eller grov brottslighet.

PNR-information kommer således att vidarebefordras från enheten för passagerarinformation till de behöriga myndigheterna. Någon möjlighet för de behöriga myndigheterna att få tillgång till enhetens PNR-information genom direktåtkomst är inte tillåten (se avsnitt 10.4.1).

Som tidigare har angetts ska varje medlemsstat utse de myndigheter som ska vara behöriga att ta emot eller begära PNR-information. Dessa myndigheter ska ansvara för den vidare bearbetningen av informationen samt för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Regeringen har den 4 maj 2017 utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten som behöriga myndigheter. Ytterligare myndigheter kan komma att utses i framtiden.

16.1.1. Behöriga myndigheters rätt att motta PNR-information

De behöriga myndigheterna kommer främst att få tillgång till PNRinformation avseende sådana passagerare som den nationella enheten för passagerarinformation har valt ut vid de förhandsbedömningar som görs av passagerare före deras beräknade ankomst till eller avresa från Sverige (artikel 6.2 a och 6.6). Aktuella myndigheter kommer även att få tillgång till motsvarande uppgifter som har tagits fram av andra medlemsstaters enheter för passagerarinformation vid deras förhandsbedömningar och som i vissa fall därefter har överförts till den svenska enheten för vidare befordran till svenska behöriga myndigheter (se artikel 9.1 och 6.6).

Vidare kommer de behöriga myndigheterna att få tillgång till PNR-information som svar på sådana särskilda förfrågningar som myndigheterna har ställt till enheten för passagerarinformation (artikel 6.2 b). Även i dessa fall kan informationen komma från en motsvarande enhet i en annan medlemsstat och vidarebefordras till den behöriga myndigheten av den nationella enheten.

I undantagsfall kan PNR-information även överföras direkt till en behörig myndighet från en enhet för passagerarinformation i en annan medlemsstat som svar på en särskild begäran, se nedan i avsnitt 16.1.2.

16.1.2. Behöriga myndigheters möjlighet att begära tillgång till PNR-information

De behöriga myndigheterna har, som framgått ovan, en möjlighet att ställa egna frågor till enheten för passagerarinformation och på så sätt få tillgång till sådan PNR-information som myndigheten bedömer är nödvändig i dess verksamhet. För att en sådan begäran ska besvaras krävs, enligt artikel 6.2 b, att den är vederbörligen motiverad och bygger på tillräckliga skäl. Förfrågan ska vidare avse ett specifikt fall och syfta till att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

Det finns enligt direktivet även en möjlighet för de behöriga myndigheterna att vända sig direkt till en enhet för passagerarinformation i en annan medlemsstat för att få ta del av sådan PNRinformation som finns lagrad hos den enheten. Denna möjlighet, som regleras i artikel 9.3, ska dock endast användas i nödfall och

i övrigt enligt de villkor som fastställts i artikel 9.2 (se avsnitt 15.3.3). Även i dessa fall ska begäran vara motiverad. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. Möjligheten för en behörig myndighet att vända sig direkt till en enhet för passagerarinformation i en annan medlemsstat ska endast användas i undantagsfall. I alla andra fall ska, enligt artikel 9.3, de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten.

16.1.3. Våra överväganden och förslag

Våra förslag: En behörig myndighet som önskar ta del av PNR-

information som lagras hos en enhet för passagerarinformation i en annan medlemsstat ska framställa begäran till enheten för passagerarinformation vid Polismyndigheten för vidare förmedling till den andra medlemsstaten.

Endast om det i ett enskilt brådskande fall är absolut nödvändigt får en behörig myndighet vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om att ta del av PNR-information som lagras hos den enheten. En behörig myndighet som har framställt en sådan begäran ska skicka en kopia av begäran till enheten för passagerarinformation vid Polismyndigheten.

Frågorna kan regleras i förordning.

Införandet av en bestämmelse som innebär att PNR-information ska överföras från enheten för passagerarinformation till de behöriga myndigheterna har föreslagits i avsnitt 15.2.2. Det saknas anledning att därutöver även reglera i vilka situationer de behöriga myndigheterna har rätt att motta den överförda PNR-informationen. Detsamma gäller för det fall PNR-information skulle komma myndigheten till del från en enhet för passagerarinformation i en annan medlemsstat. Det får nämligen förutsättas att den översändande medlemsstaten tillser att överföringen sker i enlighet med direktivets bestämmelser.

Vidare saknas det enligt vår bedömning anledning att författningsreglera de närmare förutsättningarna för att en behörig myn-

dighet ska få tillgång till PNR-information från enheten för passagerarinformation. Enligt vår mening bör det i stället vara upp till enheten att bedöma vilka förfrågningar som får och ska besvaras. Således är det upp till enheten för passagerarinformation att bedöma t.ex. huruvida en begäran är tillräckligt motiverad för att den efterfrågade PNR-informationen ska föras över till den efterfrågande myndigheten. När det gäller en begäran om att få ta del av PNR-information som lagras hos en enhet för passagerarinformation i en annan medlemsstat har vi i avsnitt 15.3.4 redan föreslagit en bestämmelse i förordningen som innebär att en sådan begäran får göras endast om syftet därmed faller inom ramen för när PNRinformation alls får behandlas enligt lagens portalparagraf som bl.a. genomför artikel 1.2 i direktivet, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Den bestämmelsen bör vara tillämplig även när en behörig myndighet begär tillgång till PNR-information.

Vidare bör det av författning framgå att en begäran från en behörig myndighet om att få ta del av PNR-information som lagras hos en enhet för passagerarinformation i en annan medlemsstat som huvudregel ska framställas till enheten för passagerarinformation vid Polismyndigheten för vidare förmedling till den andra medlemsstaten (jfr artikel 9.3). Denna fråga kan regleras i förordning. Det bör också i förordning regleras att en behörig myndighet endast i undantagsfall har rätt att vända sig direkt till en enhet för passagerarinformation i en annan medlemsstat med en begäran om att få ta del av sådan information som finns bevarad vid den enheten. Enligt artikel 9.3 får en sådan begäran endast framställas i nödfall. Med nödfall torde menas detsamma som om det absolut krävs eller är absolut nödvändigt. Enligt vår mening passar uttrycket absolut nödvändigt bättre in i svensk lagstiftning. Vi föreslår därför att detta uttryck används i författningstexten.

En situation där det skulle kunna anses absolut nödvändigt för en behörig myndighet att vända sig direkt till en enhet för passagerarinformation i en annan medlemsstat skulle kunna uppstå om myndigheten finner att det finns risk för ett nära förestående terroristattentat och det är nödvändigt att så snabbt som möjligt få information om en misstänkts resväg. Enligt vår bedömning kommer dock bestämmelsen troligen inte att användas i praktiken. För de behöriga myndigheterna kommer det sannolikt att gå snabbare att begära in

den önskade informationen via den nationella enheten för passagerarinformation, som har upparbetade vägar för utbyte med motsvarande enheter, i stället för att myndigheterna själva ska ta dessa kontakter.

För det fall en behörig myndighet har begärt PNR-information direkt från en enhet för passagerarinformation i en annan medlemsstat, ska en kopia av begäran skickas till den nationella enheten för passagerarinformation. Även denna fråga kan regleras i förordning.

16.2. Behandling av PNR-information vid de behöriga myndigheterna

PNR-direktivet innehåller endast ett fåtal bestämmelser som rör behandlingen av den PNR-information som har vidarebefordrats från enheten för passagerarinformation till de behöriga myndigheterna. Bestämmelserna, som finns i direktivets artikel 7, kommer att beröras i det följande. Först följer dock en kort beskrivning av gällande dataskyddsbestämmelser på området och våra allmänna överväganden gällande de behöriga myndigheterna.

16.2.1. Tillämpliga dataskyddsbestämmelser hos de behöriga myndigheterna

Polisdatalagen är för närvarande tillämplig vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen. Lagen gäller även för den polisiära verksamheten vid Ekobrottsmyndigheten. Enligt vad vi erfarit är det endast till Ekobrottsmyndighetens polisiära del som det kommer att bli aktuellt att överföra PNR-information. Polisdatalagen beskrivs kortfattat i avsnitt 6.4.1.

För Tullverkets del kommer från den 1 juli 2017 en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, tullbrottsdatalagen, att bli tillämplig för Tullverkets personuppgiftsbehandling i den brottsbekämpande verksamheten. Den ersätter den nu gällande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. För en kortfattad beskrivning av den nya lagen, se avsnitt 6.4.2.

Som tidigare har framgått har Utredningen om 2016 års dataskyddsdirektiv lämnat förslag till en brottsdatalag med bestämmelser om skydd av personuppgifter på det brottsbekämpande området. Förslaget innehåller bestämmelser som i princip genomför samtliga bestämmelser i det nya dataskyddsdirektivet. Utredningen kommer senast den 30 september 2017 att lämna förslag till de författningsändringar som krävs för att anpassa bl.a. polisdatalagen och tullbrottsdatalagen till de nya förutsättningarna.

För Försvarsmakten gäller bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst med anslutande förordning (SFS 2007:260). Lagen gäller för verksamheten vid den del av Försvarsmakten som kallas Must och i vilken PNR-information med personuppgifter kan komma att mottas från enheten för passagerarinformation för fortsatt behandling i verksamhet med att förebygga, upptäcka eller förhindra terroristbrottslighet eller grov brottslighet. Regleringen är en s.k. heltäckande registerlagstiftning som varken gäller utöver eller hänvisar till personuppgiftslagen. Den innehåller dock likadana eller liknande bestämmelser som personuppgiftslagen, t.ex. om förhållandet till offentlighetsprincipen och definitioner men även bestämmelser rörande information, rättelse, skadestånd, säkerhet och personuppgiftsombud. Tillsyn över personuppgiftsbehandlingen enligt lagen utövas av Datainspektionen (10 § förordningen). En utredning har nyligen getts i uppdrag att se över regleringen av behandlingen av personuppgifter inom bl.a. Försvarsmakten (dir. 2017:42). Det uppdraget ska redovisas senast den 31 maj 2018.

16.2.2. Våra generella överväganden i denna del

Som vi anfört redan i avsnitt 8.5 hade de fåtaliga bestämmelserna om hur PNR-information får behandlas hos de behöriga myndigheterna lämpligen kunnat placeras i respektive behörig myndighets registerförfattning. Det föreligger dock för närvarande en stor osäkerhet kring hur den aktuella dataskyddsregleringen kommer att se ut efter genomförandet av dataskyddsreformen. Vad gäller de brottsbekämpande myndigheternas personuppgiftsbehandling kommer den till stor del att regleras av brottsdatalagen och det är i nuläget oklart hur de myndighetsspecifika registerförfattningarna kommer

att se ut. Förslaget till brottsdatalag tyder på att dess bestämmelser inte kommer att vara direkt tillämpliga för Säkerhetspolisens verksamhet. Utredningen om 2016 års dataskyddsdirektiv har dock angett att vissa bestämmelser i brottsdatalagen kommer att vara tillämpliga på motsvarande sätt som vissa bestämmelser i personuppgiftslagen i dag (SOU 2017:29 s. 176). Vilka bestämmelser i brottsdatalagen och hur Säkerhetspolisens personuppgiftsbehandling ska regleras kommer utredningen att återkomma till i sitt slutbetänkande. Vidare omfattas inte Försvarsmaktens personuppgiftsbehandling av den dataskyddsreglering som föreslagits eller kommer att föreslås för brottsbekämpande myndigheter. Med hänsyn till dessa förhållanden föreslår vi, som framgått av avsnitt 8.5, att PNR-direktivets bestämmelser om PNR-uppgifternas behandling hos de behöriga myndigheterna, i vart fall tills vidare, förs in i den av oss föreslagna nya lagen. En fördel med denna samlade lösning är att det inte krävs ändringar i olika registerförfattningar om nya behöriga myndigheter utses eller någon faller ifrån.

Vidare föreslår vi att det i de aktuella registerförfattningarna förs in bestämmelser om att det i den av oss föreslagna lagen och i föreskrifter som har meddelats med stöd av den lagen finns bestämmelser om personuppgiftsbehandling som ska tillämpas i stället för bestämmelserna i aktuell registerförfattning (se avsnitt 8.5).

Utöver de bestämmelser som kommer att föreslås i detta avsnitt föreslår vi även att det i den nya lagen tas in bestämmelser om gallring vid de behöriga myndigheterna av sådan PNR-information som visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet (se avsnitt 18.8) eller som avslöjar känsliga personuppgifter (se avsnitt 18.5). Det kan här också erinras om att vi i avsnitt 9.5 föreslagit en inledande allmän portalbestämmelse som genomför bl.a. artikel 1.2 i direktivet och som innebär en yttre ram för vilken behandling som alls är tillåten vad gäller PNR-information. Enligt den bestämmelsen, som även behöriga myndigheter är skyldiga att följa, får PNR-information inte behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

I övriga frågor kommer behandlingen av den PNR-information som har överförts till de behöriga myndigheterna från en enhet för passagerarinformation att styras av de dataskyddsbestämmelser som

är tillämpliga för de behöriga myndigheterna. I praktiken innebär detta brottsdatalagen, avvikande eller kompletterande bestämmelser i polisdatalagen, tullbrottsdatalagen, lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst eller de nya författningar som kan komma att genomföras på grundval av förslag från Utredningen om 2016 års dataskyddsdirektiv eller den nyss nämnda utredning som ser över behandlingen av personuppgifter inom Försvarsmakten.

För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar PNR-information är medvetna om uppgifternas ursprung och att det på grund av ursprunget kan göras särskilda begränsningar för behandlingen. Det kan därför vara lämpligt att PNR-informationen förses med någon form av märkning redan i samband med att den erhålls från en enhet för passagerarinformation. En sådan märkning skulle göra det enklare för de behöriga myndigheterna att leva upp till lagens krav på hantering av informationen. Det har i tidigare lagstiftningssammanhang diskuterats huruvida det i lag eller förordning bör regleras om en märkning ska göras av varifrån vissa uppgifter härstammar. Regeringen har då funnit att frågan om hur en eventuell märkning ska utformas inte bör regleras på lag- eller förordningsnivå, eftersom en sådan reglering skulle kunna innebära en onödig begränsning i myndigheternas arbete med moderna tekniklösningar (se prop. 2012/13:73 s. 113). Vi delar den bedömningen. Frågan om märkning av den PNR-information som har överförts till de behöriga myndigheterna från en enhet för passagerarinformation bör därför lösas på myndighetsnivå, eventuellt i samarbete mellan myndigheterna.

16.2.3. Myndigheternas behandling av den överförda PNR-informationen

Vårt förslag: Om det har kommit fram uppgifter om annat brott

än terroristbrottslighet eller grov brottslighet i samband med en behörig myndighets insats som görs till följd av behandling av PNR-information, får – utöver vad som anges i lagens portalbestämmelse – informationen användas för att förhindra, utreda eller lagföra brottet.

Behandling endast för direktivets syften

Av artikel 7.4 framgår att de behöriga myndigheterna endast får vidarebehandla sådan PNR-information som de har mottagit av enheten för passagerarinformation om det specifika syftet är att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet.

Artikel 7.4 utgör såvitt avser PNR-uppgifter en upprepning av den för direktivet grundläggande bestämmelsen i artikel 1.2 om att PNR-uppgifter endast får behandlas för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enligt vårt förslag kommer en portalbestämmelse med denna innebörd att föras in i lagens inledande kapitel. Vi föreslår att den också ska omfatta resultaten av en enhet för passagerarinformations behandling av PNR-uppgifter, dvs. PNR-information. Det saknas enligt vår bedömning skäl att därutöver införa en särskild bestämmelse med detta innehåll för de behöriga myndigheterna. För det fall bestämmelserna om hur PNR-information får behandlas hos de behöriga myndigheterna skulle föras in i varje behörig myndighets registerförfattning hade dock en särskild bestämmelse som genomför artikel 7.4 varit nödvändig i respektive lag.

Behandling för att förhindra, utreda eller lagföra annan upptäckt brottslighet

Enligt artikel 7.5 ska punkten 4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter. Om PNR-informationen leder till att en behörig myndighet genomför en brottsbekämpande insats avseende terroristbrottslighet eller grov brottslighet och det vid denna insats framkommer misstankar om sådan brottslighet som faller utanför direktivet, har myndigheterna således rätt att agera även på dessa misstankar. Bestämmelsen innebär en möjlighet att förhindra, utreda och lagföra mindre allvarlig brottslighet som upptäcks i samband med en brottsbekämpande insats gällande allvarlig brottslighet, inklusive terrorism. Vad som menas med en brottsbekämpande insats anges inte i direktivet. Enligt vår mening bör med en sådan insats avses

olika möjliga åtgärder som kan ske till följd av sådan misstänkt brottslighet som omfattas av direktivet. Man kan t.ex. tänka sig ett förhör, en husrannsakan, en brottsplatsundersökning eller ett beslag. Man kan också tänka sig en spaningsoperation. Huruvida en förundersökning har inletts bör inte vara avgörande.

En bestämmelse som genomför artikel 7.5 bör föras in i lag. Av bestämmelsen bör framgå att den utgör ett undantag från huvudregeln om att PNR-information endast får användas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

16.2.4. Automatiserade beslut

Vårt förslag: Ett beslut som har rättsliga följder för en fysisk

person eller annars i betydande grad påverkar honom eller henne, får inte enbart grundas på en automatiserad behandling av PNRuppgifter eller på känsliga personuppgifter.

Med automatiserade beslut avses beslut som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid (SOU 2017:29 s. 288). En bestämmelse med liknande innehåll finns i artikel 11 i det nya dataskyddsdirektivet. I brottsdatalagen har den aktuella artikeln genomförts i 2 kap. 19 §. Av den bestämmelsen framgår att om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person. I bestämmelsen anges också att automatiserade beslut inte får enbart grundas på känsliga personuppgifter.

I artikel 7.6 i PNR-direktivet anges att de behöriga myndigheterna inte får fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNRuppgifter. Besluten (such decisions i den engelska respektive sådanne

afgørelser i den danska versionen) får inte heller grunda sig på känsliga

personuppgifter.

Bestämmelsen innebär alltså att en behörig myndighet inte får fatta några beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne enbart till följd av en automatiserad behandling av PNR-uppgifter. Ett beslut baserat på PNR-uppgifter måste således alltid föregås av en bedömning gjord av en tjänsteman vid myndigheten. Vidare får ett sådant beslut inte grundas på känsliga personuppgifter. Direktivets bestämmelse uppvisar alltså vissa likheter med förbudet mot automatiserade beslut i brottsdatalagen.

Vi föreslår att det tas in en bestämmelse i den nya lagen om automatiserade beslut som genomför artikel 7.6 i PNR-direktivet. Liksom på övriga ställen i vår lag där känsliga personuppgifter är aktuella bör det i vår bestämmelse föras in en hänvisning till den bestämmelse i brottsdatalagen där de känsliga personuppgifterna i här aktuellt hänseende definieras.

För de brottsbekämpande myndigheter som i sin verksamhet tillämpar brottsdatalagen, kommer 2 kap. 19 § BDL att gälla utöver den av oss föreslagna bestämmelsen om automatiserade beslut. En viss dubbelreglering kommer därmed att uppstå avseende automatiserade beslut baserade på känsliga personuppgifter. Det sagda gäller dock bara för sådana behöriga myndigheter som annars har att tillämpa 2 kap. 19 § BDL, inte t.ex. Försvarsmakten.

Enligt vår bedömning torde bestämmelsen inte komma att få någon praktisk betydelse för de behöriga myndigheternas behandling av PNR-information. Denna information kommer alltid att granskas individuellt av någon tjänsteman innan den används på ett sådant sätt att den leder till ett beslut som påverkar den person som PNR-uppgifterna avser. Vidare får PNR-uppgifter som avslöjar känsliga personuppgifter över huvud taget inte behandlas av enheten för passagerarinformation eller de behöriga myndigheterna. Sådana uppgifter kommer därför inte att ligga till grund för några beslut.

17. Överföring till tredjeland

17.1. Direktivets bestämmelser

Överföringar från enheten för passagerarinformation till tredjeland behandlas i artikel 11 i PNR-direktivet. Av bestämmelsen framgår att det är tillåtet för en medlemsstat att överföra sådan PNR-information som lagras av enheten för passagerarinformation till ett tredjeland (artikel 11.1). En överföring får dock endast ske efter en bedömning i det enskilda fallet och under förutsättning att

1. de villkor som fastställs i artikel 13 i dataskyddsrambeslutet är upp-

fyllda,

2. överföringen är nödvändig för direktivets syften enligt artikel 1.2,

dvs. för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet,

3. det berörda tredjelandet godtar att överföra uppgifterna till ett

annat tredjeland endast om det är strikt nödvändigt för direktivets ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och

4. samma villkor för överföring till en annan medlemsstat som an-

ges i artikel 9.2 är uppfyllda.

I artikel 11.2 behandlas överföringar av sådan PNR-information som enheten för passagerarinformation har mottagit från en annan medlemsstats motsvarande enhet. Överföring av personuppgifter som en svensk myndighet har fått från en annan medlemsstat kräver normalt samtycke från den medlemsstat från vilken uppgifterna har hämtats. I artikel 13.2 i dataskyddsrambeslutet finns det intaget ett undantag från denna huvudregel. Även i PNR-direktivet finns ett sådant undantag, som enligt bestämmelsen ska gälla i stället för motsvarande bestämmelse i dataskyddsrambeslutet. Således anges i arti-

kel 11.2 att överföring av PNR-uppgifter utan förhandssamtycke från den medlemsstat från vilken uppgifterna hämtades får ske i undantagsfall och endast om överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet samt förhandssamtycke inte kan erhållas i tid. Den myndighet som ansvarar för att ge samtycke i den ursprungliga medlemsstaten ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll.

Enligt artikel 11.3 ska medlemsstaterna överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med direktivet endast efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder. Dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört PNR-uppgifterna ska enligt artikel 11.4 informeras om varje överföring.

17.2. Bakgrund

17.2.1. Dataskyddsrambeslutet och 2013 års lag

I dataskyddsrambeslutet anges gemensamma regler för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU-medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s informationssystem. Dataskyddsrambeslutet innehåller även bestämmelser om dataskydd vid överföringar till tredjeland. I rambeslutets artikel 13 finns således regler om överföring av personuppgifter från en medlemsstat till ett tredjeland i de fall där uppgifterna har överförts från eller gjorts tillgängliga för medlemsstaten av en behörig myndighet i en annan medlemsstat.

I artikel 13.1 anges vissa förutsättningar för att personuppgifter ska få överföras. En sådan överföring får göras bara om den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, överföringen är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd och om mottagaren har ansvar för sådan verksamhet, samt det finns en adekvat skyddsnivå för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det

ska vara tillåtet att föra över uppgifter eller göra dessa tillgängliga måste samtliga dessa villkor som huvudregel vara uppfyllda.

Enligt artikel 13.2 finns dock möjlighet att överföra personuppgifter i förväg. Enligt artikeln krävs då att överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats väsentliga intressen samt att ett förhandsmedgivande inte hinner utverkas i tid. Om överföringen sker utan medgivande ska enligt artikel 13.2 sista meningen den myndighet, vars medgivande till överföring krävs, underrättas utan dröjsmål.

Artikel 13.3 innehåller en möjlighet att överföra personuppgifter trots att kravet på adekvat skyddsnivå inte är uppfyllt. I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mottagaren har en adekvat skyddsnivå.

Artikel 13 i dataskyddsrambeslutet har i svensk rätt genomförts i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) och i en tillhörande förordning (2013:343) med i övrigt samma namn. 2013 års lag gör det således möjligt för en svensk myndighet att föra över personuppgifter till ett tredjeland. Den tillämpas dock bara på personuppgifter som en svensk myndighet har fått från en annan stat som är medlem i EU, Island, Liechtenstein, Norge eller Schweiz, ett EU-organ eller ett EU-informationssystem. I lagens 7 § anges att personuppgifter får överföras till ett tredjeland om den som har överfört eller gjort uppgifterna tillgängliga för den svenska myndigheten har medgett att de överförs, överföringen är nödvändig för något av de ändamål som omfattas av lagens tillämpningsområde och mottagaren har ansvar för ett sådant ändamål. Därtill ska staten där den mottagande myndigheten eller organet finns ha en adekvat skyddsnivå för den avsedda behandlingen. Undantag från kravet på adekvat skyddsnivå görs i vissa enskilda fall som framgår av paragrafen. På samma sätt föreskrivs undantag från kravet på medgivande i förväg.

Artikel 13 i dataskyddsrambeslutet och 2013 års lag är som angetts enbart tillämplig vid överföring av personuppgifter som härrör från andra medlemsstater eller från vissa andra stater, organ och informationssystem. Personuppgiftslagen blir därför tillämplig för andra överföringar, bl.a. genom hänvisningar dit i myndigheters

registerförfattningar. Vad gäller bestämmelserna i personuppgiftslagen hänvisas till redogörelsen i avsnitt 6.3.2.

17.2.2. Brottsdatalagen

Dataskyddsrambeslutet upphör att gälla den 6 maj 2018, då det kommer att ersättas av det nya dataskyddsdirektivet. Av PNR-direktivets skäl 27 framgår att hänvisningar till dataskyddsrambeslutet bör ses som hänvisningar till såväl nuvarande lagstiftning som de framtida bestämmelser som kommer att ersätta denna. Eftersom det nya dataskyddsdirektivet ska genomföras i nationell rätt ungefärligen samtidigt som PNR-direktivet, får hänvisningarna till dataskyddsrambeslutet läsas som hänvisningar till det nya dataskyddsdirektivet. Som tidigare framgått föreslås det nya dataskyddsdirektivet genomföras i svensk rätt genom brottsdatalagen.

Bestämmelserna om överföring till tredjeland har tagits in i 8 kap. brottsdatalagen. I 8 kap. 1 och 2 §§ anges de grundläggande förutsättningarna för en sådan överföring. Enligt 1 § får en behörig myndighet överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig

verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2. riktas till en behörig myndighet i ett tredjeland eller till en inter-

nationell organisation som är en behörig myndighet, och

3. omfattas av

a) ett beslut om adekvat skyddsnivå enligt 3 §, eller

b) tillräckliga skyddsåtgärder enligt 4 §, eller

c) ett undantag för särskilda situationer enligt 5 §.

Enligt andra stycket ska en behörig myndighet som avser att överföra personuppgifter till ett tredjeland särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.

Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får, enligt 8 kap. 2 §, överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs. Om medgivande på grund av tidsbrist inte kan inhämtas i förväg, får, enligt andra stycket, personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat.

I 8 kap. 3 § anges att om kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit.

Om det inte finns ett beslut om adekvat skyddsnivå får, enligt 8 kap.4 §, personuppgifter ändå överföras om

1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som

ger tillräckliga garantier till skydd för registrerades rättigheter, eller

2. den behöriga myndighet som uppgifterna ska överföras till på

annat sätt garanterar tillräckligt skydd för dem.

Enligt 8 kap. 5 § kan överföring vara tillåten i vissa särskilda situationer även om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §. I sådant fall får en överföring, eller en samling av överföringar, göras endast om överföringen är nödvändig för att

1. skydda den registrerades eller en annan fysisk persons vitala in-

tressen, eller andra berättigade intressen för den registrerade,

2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig

verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett

rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4. avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Personuppgifter får, enligt andra stycket, inte överföras om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

I 8 kap. 6 och 7 §§ finns bestämmelser om vidareöverföring till ett annat tredjeland eller internationell organisation. Enligt 6 § får en svensk myndighet inte tillåta att sådana personuppgifter som en myndighet har fått från en annan medlemsstat, och som överförts till ett tredjeland, vidareöverförs till ett annat tredjeland eller en internationell organisation, om inte den behöriga myndigheten i den medlemsstat som ursprungligen lämnade uppgiften, har medgett att uppgifterna får vidareöverföras. I 7 § anges vad en behörig myndighet ska beakta när den ska ta ställning till om personuppgifter som behandlats i Sverige får vidareöverföras.

I 8 kap. 8 § finns en möjlighet att i vissa fall överföra personuppgifter till andra än behöriga myndigheter. Enligt 9 § ska svenska myndigheter följa uppställda villkor för att använda personuppgifter som har överförts från ett tredjeland. I 10 § anges att en svensk behörig myndighet får, vid överföring av personuppgifter till tredjeland, ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.

Enligt 7 kap. 1 § BDF ska den som har överfört personuppgifter till ett tredjeland utan förhandsmedgivande enligt 8 kap. 2 § andra stycket BDL, utan dröjsmål informera den medlemsstat som lämnat uppgifterna till en svensk myndighet om överföringen.

17.3. Våra överväganden och förslag

17.3.1. Grundläggande begrepp

Vårt förslag: Tredjeland ska i lagen definieras som en stat som

inte är en medlemsstat.

PNR-direktivet innehåller inte någon definition av tredjeland. Med tredjeland avses i EU-sammanhang vanligtvis ett land som inte är medlem i unionen och som därmed står utanför medlemsstaternas samarbete. Alla EU-medlemsstater är dock inte bundna av PNR-

direktivet. Som tidigare har angetts ska direktivet inte tillämpas av Danmark. Överföringar av PNR-uppgifter till Danmark får därmed uppfattas som överföringar till ett tredjeland. Med hänsyn härtill blir en definition av begreppet tredjeland nödvändig i vår lag. Utgångspunkten för en sådan definition bör enligt utredningen vara hur medlemsstat definieras. Som framgått av avsnitt 15.3.1 avses med medlemsstat i lagförslaget en stat som är medlem i EU, med undantag för Danmark. Stater som inte är medlemsstater enligt direktivet ska betraktas som tredjeländer. Definitionen av tredjeland bör därför vara en stat som inte är en medlemsstat enligt lagens definition av en sådan.

17.3.2. Förutsättningar för överföring till tredjeland

Vårt förslag: Enheten för passagerarinformation får överföra

PNR-information till en myndighet i ett tredjeland som där är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som motsvarar terroristbrottslighet eller grov brottslighet. Uppgifterna får dock endast överföras om

1. de grundläggande förutsättningarna för överföring av person-

uppgifter enligt 8 kap. 1 § första stycket 3 och 2 § första stycket BDL är uppfyllda och under i övrigt samma förutsättningar som överföringar får ske mellan medlemsstaterna,

2. överföringen är nödvändig för att förebygga, förhindra, upp-

täcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, och

3. det tredjelandet godtar att vidareöverföra uppgifterna till ett

annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och enheten för passagerarinformation har lämnat ett uttryckligt medgivande till överföringen.

PNR-information får överföras till vissa myndigheter i tredjeland

PNR-direktivets bestämmelser om överföring till tredjeland bör i huvudsak genomföras i den av oss föreslagna lagen. Vissa detaljbestämmelser kan dock tas in i den anslutande förordningen.

Det bör av lagen framgå att enheten för passagerarinformation får överföra PNR-information till ett tredjeland. Det är således enligt direktivet inte möjligt att, såsom får ske enligt brottsdatalagen, överföra PNR-information även till internationella organisationer.

Enligt PNR-direktivet får överföringar endast ske till en behörig myndighet i tredjeland (artikel 11.3). Även i brottsdatalagen anges att överföringar får ske till en behörig myndighet i tredjeland. En behörig myndighet definieras i brottsdatalagen som en myndighet eller en annan aktör som har i uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet (1 kap. 6 §). Enligt vår mening bör med behörig myndighet i PNR-direktivet dock avses en myndighet som i det tredjelandet är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott motsvarande terroristbrottslighet eller grov brottslighet. Det bör av lagen framgå att överföringar endast får ske till en sådan myndighet i tredjeland. Så kan ske genom en hänvisning till lagens portalbestämmelse där dessa syften anges.

Det bör vidare av lagen framgå att en överföring endast får ske om vissa särskilt uppräknade villkor är uppfyllda. En bestämmelse om överföring bör utformas så att det framgår att samtliga villkor ska vara uppfyllda för att enheten ska få överföra PNR-information till ett tredjeland. Vilka dessa villkor bör vara diskuteras i det följande.

Grundläggande bestämmelser om överföring av personuppgifter till tredjeland ska vara uppfyllda

PNR-direktivet innehåller inte några grundläggande bestämmelser med allmänna principer för överföring av personuppgifter till tredjeland. T.ex. saknas i direktivet bestämmelser om krav på adekvat skyddsnivå för personuppgifterna i det tredjelandet. I stället anges att villkoren i artikel 13 i dataskyddsrambeslutet ska vara uppfyllda vid överföringar av PNR-information till tredjeland. Som tidigare

har angetts upphävs dataskyddsrambeslutet i samband med genomförandet av det nya dataskyddsdirektivet. PNR-direktivets hänvisningar till dataskyddsrambeslutet får därför läsas som hänvisningar till det nya dataskyddsdirektivet.

Artikel 13 i dataskyddsrambeslutet innehåller rambeslutets samtliga bestämmelser om överföring till tredjeland. Den allmänna hänvisningen till rambeslutets samtliga bestämmelser i frågan får därför tolkas som en hänvisning även till samtliga bestämmelser om överföring till tredjeland i det nya dataskyddsdirektivet. I något fall innehåller det direktivet dock bestämmelser som inte kan tillämpas vid överföringar till tredjeländer från enheten för passagerarinformation, eftersom PNR-direktivet innehåller andra regler. Dessa bestämmelser kommer vi att återkomma till nedan.

Som tidigare har angetts föreslås det nya dataskyddsdirektivets samtliga bestämmelser om överföring till tredjeland genomföras i brottsdatalagen med tillhörande förordning. Brottsdatalagen innehåller således de grundläggande bestämmelserna med allmänna principer för överföring av personuppgifter till tredjeland inom det brottsbekämpande området. Enligt vår mening är det viktigt att dessa grundläggande bestämmelser tillämpas även vid överföring av PNRinformation för att den skyddsnivå som säkerställs genom det direktivet inte ska undergrävas. Dessa bestämmelser i brottsdatalagen bör därmed vara tillämpliga även vid överföring av PNR-information.

De grundläggande förutsättningarna för att överföringar alls ska få ske till tredjeländer framgår för det första av 8 kap. 1 § första stycket 3 BDL. Bestämmelsen hänvisar till 3, 4 och 5 §§, som anger förutsättningarna för att en överföring ska omfattas av beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller vara föremål för ett undantag för särskilda situationer. Dessa bestämmelser bör således tillämpas även vid överföringar av PNR-information från enheten för passagerarinformation. Det kan dock sägas att 8 kap. 5 § inte torde kunna ha något tillämpningsutrymme i praktiken med tanke på det snäva användningsområdet och detaljregleringen av hur PNR-uppgifter får användas enligt vårt förslag till lagstiftning.

Vidare finns i 8 kap. 2 § första stycket intaget den huvudregel som anger att personuppgifter som har erhållits från en annan medlemsstat endast får överföras om den medlemsstat som har lämnat uppgifterna har medgett att de överförs. Även denna huvudregel bör gälla vid överföring av PNR-uppgifter.

Förutsättningarna för överföring till en annan medlemsstat ska vara uppfyllda

Enligt artikel 11.1 d ska de villkor som fastställs i artikel 9.2 vara uppfyllda även vid en överföring av PNR-information till tredjeland. Av artikel 9.2, som har behandlats i avsnitt 15.3.2, framgår vad som ska iakttas vid överföring av PNR-information till en annan medlemsstat på särskild förfrågan. Således ska samma villkor som gäller vid överföring av PNR-information till en annan medlemsstat på särskild begäran vara uppfyllda även när sådan information överförs till ett tredjeland.

Bestämmelsen i artikel 11.1 d bör genomföras i lagen genom en hänvisning till de paragrafer som genomför artikel 9.2. Det innebär att för det fall överföringen avser PNR-uppgifter som är äldre än sex månader och därmed maskerade, får fullständiga, avmaskerade, PNR-uppgifter endast överföras om även de bestämmelser som genomför artikel 12.3 är uppfyllda, se vidare i avsnitt 15.5.

Överföringen ska vara nödvändig för direktivets syften

Av artikel 11.1 b framgår att en överföring av PNR-information till tredjeland endast får ske om den är nödvändig för direktivets syften enligt artikel 1.2. Således krävs enligt PNR-direktivet att en överföring till tredjeland är nödvändig för just de syften som anges i direktivet, dvs. för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. I brottsdatalagen anges i stället att överföringar endast får ske om de ändamål som anges i dataskyddsdirektivet, och som är mer allmängiltiga, är uppfyllda (8 kap. 1 § 1). PNR-direktivets syften innefattas i de syften som anges i brottsdatalagen. Det behöver därför inte i den lag som vi föreslår införas någon bestämmelse som anger att 8 kap. 1 § 1 inte ska vara tillämplig. Dock krävs det i lagen en bestämmelse som anger att en överföring till tredjeland endast får ske om syftena i PNR-direktivet är uppfyllda. Den bestämmelsen är en sådan avvikande bestämmelse i annan författning som enligt 1 kap. 5 § BDL gäller före brottsdatalagen.

Bestämmelsen bör föras in i lagen genom en hänvisning till ett eller flera av de syften som anges i den portalbestämmelsen i lagen som genomför artikel 1.2 i direktivet och som innebär att uppgift-

erna endast får behandlas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Visserligen hade bestämmelsen blivit tydligare om dessa syften skrevs ut i bestämmelsen. Dessa syften återkommer emellertid så pass frekvent i lagen, sedd som helhet, att hänvisningar i allmänhet bör väljas för att lagtexten inte i ska bli onödigt ordrik. Med terroristbrottslighet och grov brottslighet bör i sammanhanget avses motsvarande brottslighet i det tredjelandet.

Direktivets krav på att överföringen ska vara nödvändig bör också föras in i lagen. Enligt vår mening bör nödvändigheten tolkas på samma sätt som i allmänt språkbruk, dvs. att det är fråga om något som behövs. De PNR-uppgifter som överförs ska således behövas av ett tredjeland i dess bekämpning av aktuell brottslighet.

Villkor för vidareöverföring från det tredjelandet

Artikel 11.1 c behandlar frågan om vidareöverföring från ett tredjeland till ett annat tredjeland av sådan PNR-information som härstammar från den svenska enheten för passagerarinformation. Enligt bestämmelsen ska det tredjeland som vill motta PNR-information godta att de överförda uppgifterna endast får föras vidare till ett annat tredjeland om det är strikt nödvändigt för detta direktivs ändamål och efter uttryckligt samtycke av medlemsstaten.

I brottsdatalagen anges endast att en svensk behörig myndighet får ställa upp villkor som begränsar möjligheten att använda de överförda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (8 kap. 10 §). Bestämmelsen i direktivet bör därför genomföras i vår lag. På samma sätt som angetts ovan föreslår vi att det i bestämmelsen ska framgå de syften för vilka en överföring ska vara nödvändig. Så bör, på samma sätt som angetts ovan, ske genom en hänvisning till ett eller flera av de syften som anges i lagens portalbestämmelse.

Enligt direktivet får en vidareöverföring endast ske om det är strikt nödvändigt (i den engelska versionen strictly necessary, i den danska

strengt nødvendigt). I svensk lag brukar begreppet absolut nödvän-

digt användas för att markera ett undantagsfall som ska tillämpas restriktivt. Vi föreslår därför att det i lagen anges att det tredjelandet

ska godta att överföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för direktivets ändamål.

Vidare får en vidareöverföring enligt direktivet endast ske efter uttryckligt samtycke av medlemsstaten. I 2013 års lag och i brottsdatalagen används ordet medgivande i stället för samtycke. För att bättre korrespondera med denna lagstiftning föreslår vi att ordet medgivande används även i vår lag. Medgivandet bör lämpligen lämnas av enheten för passagerarinformation.

Medgivandet ska enligt direktivet vara uttryckligt. Det framgår dock inte närmare hur ett sådant medgivande ska manifesteras. Man skulle kunna tänka sig att ett uttryckligt medgivande sker såväl muntligt som skriftligt och vi ser inga principiella eller praktiska problem med en sådan ordning. Vi föreslår därför att endast ett krav på uttrycklighet införs i lagen. Det säger sig dock självt att oavsett på vilket sätt ett samtycke getts, måste det dokumenteras på något sätt.

17.3.3. Överföring utan medgivande

Våra förslag: Om medgivande till överföring av PNR-informa-

tion på grund av tidsbrist inte kan inhämtas i förväg från den medlemsstat som har lämnat informationen till enheten för passagerarinformation får, i stället för vad som anges i 8 kap. 2 § andra stycket BDL, informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet.

I förordning ska regleras att om PNR-information, som kommer från en annan medlemsstat, har överförts till ett tredjeland utan förhandsmedgivande, ska enheten för passagerarinformation utan dröjsmål informera den andra medlemsstaten om överföringen. Det ska i förordning också regleras att överföringar utan förhandsmedgivande ska genomgå efterhandskontroll av dataskyddsombudet vid enheten för passagerarinformation.

Som tidigare har angetts får, enligt 8 kap. 2 § första stycket BDL, personuppgifter som en svensk myndighet har fått från en annan medlemsstat överföras till ett tredjeland endast om den medlemsstat som lämnat personuppgifterna i förväg har medgett att de överförs till tredjelandet. Bestämmelsen ska enligt vårt förslag

tillämpas även vid överföring av PNR-uppgifter. I bestämmelsens andra stycke finns intaget ett undantag från denna huvudregel. Även i artikel 11.2 i PNR-direktivet finns ett undantag från kravet på förhandsmedgivande, som är snävare än det undantag som föreslås i brottsdatalagen. För att en överföring av PNR-information ska få ske krävs enligt bestämmelsen att överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller tredjeland och att ett förhandssamtycke inte kan erhållas i tid. En bestämmelse bör därför föras in i vår lag som ska gälla i stället för undantaget i 8 kap. 2 § andra stycket BDL.

För förutsebarhetens skull bör bestämmelsen i vår lag genomföras på liknande sätt som den angivna bestämmelsen i brottsdatalagen. Ordet medgivande bör därför, som angetts ovan, användas i stället för samtycke. I brottsdatalagen och i 2013 års lag används också ordet fara i stället för hot. Med hänsyn härtill och eftersom svensk lagstiftning brukar utformas på det sättet, föreslår vi att ordet fara används i stället för hot även vid genomförandet av PNRdirektivet. Av samma anledning bör det i de andra lagarna använda ordet avvärja användas också i vår lag i stället för begreppet reagera på, som används i direktivet. Således bör det i lagen anges att en överföring utan förhandsmedgivande får ske om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet. Med uttrycket absolut nödvändigt markeras att undantaget ska tillämpas restriktivt och att det kan bli fråga om överföring utan förhandssamtycke endast i undantagsfall. Tillägget att det ska gälla brott i en medlemsstat eller tredjeland innebär att tillämpningsområdet omfattar alla stater och saknar därför egentligt innehåll. Tillägget bör således inte föras in i vår lag.

Bestämmelsen skulle exempelvis kunna användas om överföringen är nödvändig för att avvärja ett terroristattentat i en medlemsstat eller tredjeland. Eftersom det typiskt sett är fråga om en överhängande fara för att något ska hända får prövningen i dessa fall göras utifrån att åtgärden kan antas vara nödvändig för att avvärja faran. Att faran inte förverkligas behöver inte innebära att överföringen har varit otillåten. Bedömningen måste göras med hänsyn till vad som är känt när prövningen görs.

Enligt andra stycket i artikel 11.2 ska den myndighet som ansvarar för att ge samtycke informeras om överföringen utan dröjsmål. En liknande bestämmelse finns i dag i 1 § i 2013 års förordning och föreslås införas i 7 kap. 1 § BDF. Vi föreslår att en liknande bestämmelse förs in i den till vår lag hörande förordningen. I bestämmelsen bör anges att om PNR-information, som kommer från en annan medlemsstat, har överförts till ett tredjeland utan förhandsmedgivande, ska enheten för passagerarinformation utan dröjsmål informera den andra medlemsstaten om överföringen.

Vidare ska enligt artikel 11.2 överföringar utan samtycke registreras och genomgå efterhandskontroll. Att överföringar till tredjeländer ska registreras anges även i artikel 13.5 c. Vi kommer därför att behandla frågan i samband med våra förslag till genomförande av den artikeln (se avsnitt 19.3). Hur en efterhandskontroll ska gå till eller av vem anges inte i direktivet. Enligt vår bedömning bör denna kontroll utföras av dataskyddsombudet vid enheten för passagerarinformation(se vidare om dataskyddsombudets uppgifter i avsnitt 19.5). Även denna fråga kan regleras i förordning.

17.3.4. Säkerställande av direktivets bestämmelser

Våra förslag: Det ska vara obligatoriskt för enheten för passage-

rarinformation att uppställa villkor om användningsbegränsning för den som ska ta emot PNR-information. Begränsningarna ska syfta till att skydda PNR-informationen från användning i strid med PNR-direktivet. Frågan kan regleras i förordning. Där kan även regleras att dataskyddsombudet vid enheten för passagerarinformation ska informeras om varje överföring av PNR-uppgifter till tredjeland.

När enheten för passagerarinformation överför PNR-information till ett tredjeland ska vad som anges i 8 kap. 8 § BDL inte gälla.

Enligt artikel 11.3 ska medlemsstaterna överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med direktivet endast efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder. Bestämmelsen innebär i huvudsak att medlemsstaterna ska säkerställa att direktivets bestämmelser om överföring

till tredjeländer sker i enlighet med direktivets bestämmelser och att den överförda informationen är planerad att användas i överensstämmelse med direktivets syften och begränsningar. Vid en överföring till ett tredjeland fordras således att enheten för passagerarinformation försäkrar sig om att den planerade användningen av informationen inte kommer att strida mot lagens grundläggande bestämmelser, framför allt att informationen bara används för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.

I brottsdatalagen föreslås en bestämmelse, 8 kap. 10 §, som anger att en svensk behörig myndighet får ställa upp villkor som begränsar mottagarens möjlighet att använda överförda uppgifter. Det är dock inte obligatoriskt för en myndighet att ställa villkor. I 9 § 2013 års lag, som bl.a. genomför artikel 12 i dataskyddsrambeslutet, föreskrivs att om en svensk myndighet överför personuppgifter, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Det finns även i andra lagar bestämmelser som anger att svenska myndigheter under vissa förutsättningar får ställa upp villkor som begränsar möjligheten att använda uppgifter som lämnas till en annan stat, se t.ex. 3 a § lagen (2000:343) om internationellt polisiärt samarbete eller 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål.

Enligt vår mening bör det, för ett korrekt genomförande av artikel 11.3 i PNR-direktivet, vara obligatoriskt för enheten att ställa upp villkor om användningsbegränsningar. Vi föreslår därför en bestämmelse som anger att enheten för passagerarinformation, i samband med en överföring av PNR-information till ett tredjeland, ska ställa upp sådana villkor om användningsbegränsningar som avses i 8 kap. 10 § BDL. Det ska vidare anges att sådana villkor ska syfta till att skydda informationen från användning i strid med PNRdirektivet. Sådana villkor kan exempelvis avse för vilket eller vilka specifika syften den överförda informationen får behandlas av den som tar emot den, att spridningen inom den mottagande myndigheten eller mottagarlandet ska begränsas eller om, och i så fall under vilka förutsättningar, den får vidareöverföras. Bestämmelsen bör kunna regleras i förordning. Det ligger i sakens natur att det inte går att i övrigt i svensk rätt föreskriva hur uppgifterna ska behandlas i det tredjelandet. Det får beaktas av enheten vid bedömningen av om PNR-information alls ska överföras till det tredjelandet.

I 8 kap. 8 § BDL anges en möjlighet att i enskilda fall överföra personuppgifter till andra organ än behöriga myndigheter eller internationella organisationer. Som tidigare har angetts får PNR-information enligt direktivet endast överföras till tredjeland och inte till någon internationell organisation. Inte heller ger direktivet någon möjlighet att överföra personuppgifter till andra organ. Bestämmelsen i 8 kap. 8 § BDL, som inte motsvaras av någon bestämmelse i dataskyddsrambeslutet, kan därför inte vara tillämplig vid överföring av PNR-information. Detta bör framgå av vår lag.

Övriga, inte här särskilt angivna bestämmelser om överföring till tredjeland i brottsdatalagen kommer att bli generellt tillämpliga vid enheten för pasagerarinformations överföring av PNR-uppgifter. Detta behöver inte särskilt anges i vår lag.

Enligt artikel 11.4 i PNR-direktivet ska dataskyddsombudet vid enheten för passagerarinformation informeras om varje överföring enligt artikeln. Frågan kan regleras i förordning.

18. Lagringstid och gallring

18.1. Inledning

I detta avsnitt behandlar vi PNR-direktivets bestämmelser som har betydelse för bevarande och gallring av PNR-information. I artikel 6.1 finns en inledande bestämmelse som ska säkerställa att endast sådana PNR-uppgifter som omfattas av direktivet får behandlas vid enheten för passagerarinformation. För det fall enheten tar emot andra PNR-uppgifter ska de omedelbart raderas. Enligt artikel 13.4 ska enheten för passagerarinformation även radera sådana PNR-uppgifter som avslöjar känsliga personuppgifter. I artikel 12 finns vidare bestämmelser om hur länge PNR-uppgifterna ska och får lagras i databasen hos enheten för passagerarinformation. Avsnittet inleds dock med en beskrivning av relevant reglering på området såsom en rättslig bakgrund till våra överväganden.

18.2. Rättslig bakgrund

När stora mängder personuppgifter samlas hos myndigheter uppstår onekligen integritetsrisker, i synnerhet då informationsteknikens utveckling inneburit ständigt förbättrade möjligheter att söka och sammanställa uppgifter. Frågor om hur länge personuppgifter ska få behandlas i datoriserade myndighetsregister har därför, alltsedan datoriseringen inleddes, varit en central fråga i all dataskyddsreglering. Efter hand som myndigheter övergått till att behandla i princip all verksamhetsinformation med hjälp av elektronisk informationsteknik har frågeställningarna blivit alltmer komplexa. Mot den dataskyddsrättsliga principen står nämligen de intressen som bär upp offentlighetsprincipen i form av handlingsoffentligheten, dvs. var och ens rätt att ta del av allmänna handlingar, se 2 kap. 1 § TF. Av bestämmelsen framgår att syftet härmed är att främja ett fritt menings-

utbyte och en allsidig upplysning. Myndigheter kan också från verksamhetssynpunkt ha legitima intressen av att lagra information en längre tid. Även för den enskilde registrerade kan ett långsiktigt bevarande av information om honom eller henne vara mycket viktigt i vissa fall.

För att handlingsoffentligheten och andra bevarandeintressen ska kunna få genomslag i praktiken förutsätts att allmänna handlingar bevaras och hålls ordnade. I den svenska dataskyddsregleringen på myndighetsområdet har därför genomgående gjorts avvägningar mellan dessa ofta motstående intressen.

18.2.1. Gällande rätt

Begreppet allmän handling

Med begreppet allmänna handlingar förstås inte bara traditionella handlingar. Även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, t.ex. datorlagrad information, är enligt 2 kap. 3 § TF att se som handlingar. Det är informationsinnehållet, dvs. de lagrade uppgifterna, som konstituerar handlingen (se SOU 2012:90 s. 60 f.). En sådan upptagning är en allmän handling om den förvaras hos myndigheten samt är inkommen eller upprättad där.

I fråga om upptagningar anses en sådan som en förvarad handling hos myndigheten om den är tillgänglig för den med sådana tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket TF). En hos myndigheten förvarad handling blir alltså allmän om den är att betrakta som inkommen till myndigheten. I fråga om upptagningar gäller att en sådan anses som inkommen till en myndighet i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 2 kap. 3 § andra stycket TF. Detta gäller under förutsättning att det är någon utanför myndigheten, dvs. en annan myndighet eller en enskild som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndigheten (2 kap. 6 § första stycket andra meningen TF). Vad gäller en förvarad upptagning som myndigheten själv framställt i sin verksamhet blir den att betrakta som allmän handling när den enligt en relativt komplicerad reglering i 2 kap. 7 § TF är att anse som upp-

rättad hos myndigheten. Huvudregeln är att en handling anses upprättad och därmed allmän när den har expedierats, dvs. lämnats till annan myndighet eller enskild, eller annars föreligger i slutligt skick.

Arkivlagstiftningen

Handlingsoffentligheten förutsätter som ovan nämnts att allmänna handlingar hålls ordnade och bevaras. Myndigheterna har därför grundläggande skyldigheter att bevara och vårda sina allmänna handlingar i arkiv. Bestämmelser om bevarande och gallring av allmänna handlingar hos bl.a. de statliga myndigheterna finns i arkivlagen (1990:782). Lagen är en ramlag som innehåller allmänna och övergripande bestämmelser om myndigheternas arkiv. Lagen fylls ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna utfärdar. Riksarkivet är statlig arkivmyndighet.

Huvudprincipen enligt arkivlagen är att allmänna handlingar – konventionella handlingar likväl som upptagningar – ska bevaras i myndigheternas arkiv. Gallring av allmänna handlingar får dock ske, vilket anges i lagens 10 §. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Arkivlagens bestämmelser om gallring syftar således primärt inte till att tillgodose integritetsskyddsintressen.

I 10 § tredje stycket arkivlagen anges att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning har företräde framför arkivlagens gallringsregler. Avvikande bestämmelser om bevarande och gallring finns i de flesta registerförfattningar. Bestämmelserna kan syfta till att skydda den personliga integriteten hos de som uppgifterna rör. Det kan dock finnas bestämmelser om gallring, eller som i vart fall i praktiken får till följd att gallring sker, som tillkommit av andra skäl än integritetsskäl. Även sådana bestämmelser går före arkivlagens regler enligt detta stycke.

Med gallring av elektronisk information avses normalt att viss information raderas från databäraren. Gallring kan dock även innebära en partiell gallring där information tas bort från ett register eller ett ärendehanteringssystem men kommer att bevaras i annan form,

t.ex. på pappersutskrifter eller i elektronisk form men med försämrade sök- eller sammanställningsmöjligheter (se SOU 2015:39 s. 526 f.).

Personuppgiftslagen

I 9 § första stycket PUL framgår att det är ett grundläggande krav att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är alltså ändamålen för en personuppgiftsbehandling som avgör hur länge uppgifterna får bevaras. Ospecificerad lagring av personuppgifter som kan vara ”bra att ha” är inte tillåten. Behövs uppgifterna inte längre för ändamålen ska de förstöras eller avidentifieras (se SOU 1997:39 s. 356). Dock får uppgifterna bevaras även därefter så länge det behövs för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket).

För myndigheter gäller enligt 8 § andra stycket PUL särskilda regler om förhållandet till arkivbildning. Enligt 8 § andra stycket första meningen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Bestämmelsen i 10 § arkivlagen om att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning ska ha företräde framför arkivlagens gallringsregler syftar inte på personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras. Arkivlagstiftningen har alltså i fråga om allmänna handlingar företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid. I detta avseende kan alltså sägas att intresset av att bevara allmänna handlingar har prioriterats framför integritetsskyddsintresset.

Bevarande och gallring i särreglering för brottsbekämpande verksamhet

I så gott som all särreglering för de behöriga myndigheterna finns regler om bevarande och gallring av uppgifter. Endast ett mycket begränsat urval nämns i det följande.

I polisdatalagen, som gäller generellt för brottsbekämpande verksamhet vid Polismyndigheten, Säkerhetspolisen och Ekobrottsmyndighetens polisiära verksamhet, finns ett omfattande regelverk om bevarande och gallring. Detta tar sikte på dels uppgifter i särskilda register som regleras i lagen, t.ex. penningtvättsregistret eller DNAregistret, dels uppgifter som mer allmänt behandlas i den brottsbekämpande verksamheten, se 2 kap. 12 § PDL med där angivna hänvisningar. Huvudprincipen kan sägas vara att personuppgifter inte får bevaras under längre tid än vad som behövs för det aktuella ändamålet. Därutöver finns bestämmelser om hur länge uppgifter får bevaras som längst. Regeringen eller den myndighet som regeringen bestämmer kan också meddela avvikande föreskrifter om längre tids bevarande för historiska, statistiska eller vetenskapliga ändamål. I 20–26 §§ PDF finns sådana närmare föreskrifter med längre bevarandetider avseende vissa slags uppgifter hänförliga till verksamhet med utredande och beivrande av brott. I 27 § finns vidare ett bemyndigande för Riksarkivet att meddela föreskrifter i övrigt om längre tids bevarande för historiska, statistiska eller vetenskapliga syften. Hur gallring ska ske regleras inte närmare i de nämnda författningarna.

I den nya tullbrottsdatalagen som träder i kraft den 1 juli 2017 finns bestämmelser om bevarande och gallring samlade i lagens 4 kap. De påminner i stora drag om regleringen i polisdatalagen med gallring som huvudregel och bevarande som undantag genom möjlighet att meddela särskilda föreskrifter.

I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag. Där framgår att uppgifter från transportföretag som Tullverket tar del av genom terminalåtkomst inte får ändras eller på annat sätt bearbetas eller lagras. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska förstöras omedelbart om de visar sig sakna betydelse för utredning och lagföring av brott. Motsvarande bestämmelser finns i 26 § polislagen (1984:387). Huvudregeln är alltså att uppgifterna inte alls ska bevaras utan gallras så fort de visar sig inte behövas för det primära ändamål för vilka de togs fram. I 2 kap. 8–9 §§ TBL finns ytterligare bestämmelser om behandling av personuppgifter från transportföretag. Bestämmelserna innebär bl.a. att

bokningsuppgifterna i vissa fall får göras gemensamt tillgängliga och därmed omfattas av lagens gallringsbestämmelser.

Enligt 9 § lagen (2006:444) om passagerarregister ska en uppgift i passagerarregistret gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 § samma lag, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Vidare får regeringen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Även här är huvudregeln således att i princip omedelbar gallring ska ske så fort uppgifterna inte längre behövs för sitt primära syfte.

Slutligen ska nämnas att det även i lagstiftningen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst finns regler om bevarande och gallring i lagen (2007:258) och den anslutande förordningen (2007:260).

18.2.2. Brottsdatalagen

I 2 kap. 17 § BDL anges att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Detta gäller dock inte om det finns avvikande bestämmelser i lag eller förordning. Inte heller finns hinder mot att en myndighet bevarar allmänna handlingar för arkivändamål.

Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande uttalat att begreppen bevarande och gallring enbart bör användas i den betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter. Brottsdatalagen och myndigheternas registerförfattningar bör därför i stället utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål (SOU 2017:29 s. 284). Detta kommer att behandlas närmare för registerförfattningarnas del i utredningen slutbetänkande.

18.3. Inledande radering hos enheten för passagerarinformation

Vårt förslag: I den nya förordning som ansluter till lagen ska före-

skrivas att om lufttrafikföretagen skickat in andra PNR-uppgifter än de som anges i bilagan till lagen, ska dessa omedelbart gallras genom att raderas redan då de kommer in till enheten för passagerarinformation.

18.3.1. Direktivets bestämmelser

PNR-direktivet ålägger lufttrafikföretagen att överföra sådana PNRuppgifter som räknas upp i bilaga I till direktivet, förutsatt att de redan samlar in sådana i sin verksamhet som en del av sin normala verksamhet. Några andra uppgifter är lufttrafikföretagen inte skyldiga att skicka till enheterna för passagerarinformation. Det finns å andra sidan inte något förbud mot att skicka fler uppgifter (så länge de inte utgör känsliga personuppgifter, se avsnitt 18.5) eller något åliggande för lufttrafikföretagen att skilja ut de PNR-uppgifter som enheterna för passagerarinformation ska motta från eventuella andra PNR-uppgifter som måhända behandlas gemensamt i passageraruppgiftssamlingen. I direktivet har därför förutsetts att lufttrafikföretagen kan komma att överföra även sådana PNR-uppgifter som enheterna inte ska ha rätt att behandla. I artikel 6.1 föreskrivs därför att för det fall de överförda PNR-uppgifterna avser andra uppgifter än de som framgår av direktivets bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet.

18.3.2. Våra överväganden och förslag

De PNR-uppgifter som överförs till enheten för passagerarinformation blir inkomna allmänna handlingar hos Polismyndigheten när de har översänts elektroniskt från lufttrafikföretagen och enheten kan ta fram dem i läsbart skick.

Vi uppfattar direktivets artikel 6.1 som utgörande en i arkivrättsligt hänseende omedelbar gallringsskyldighet, där de uppgifter

som inte omfattas av bilaga I till direktivet inte alls ska få föras in i databasen vid enheten för passagerarinformation.

Bestämmelsen bör genomföras i stort sett i enlighet med dess ordalydelse. Av vår bestämmelse bör således framgå att de aktuella uppgifterna ska raderas omedelbart vid mottagandet. Enligt vår mening bör dock det i svensk lagstiftning vedertagna begreppet gallring användas. För att klargöra att det är fråga om en definitiv och inte endast en partiell gallring av dessa PNR-uppgifter bör det i bestämmelsen också anges att uppgifterna ska gallras genom att raderas. Ordet utplåning eller förstöras vore ett alternativt sätt att uttrycka samma sak. Med tanke på den osäkerhet om kommande begreppsapparat som för närvarande finns på grund av den pågående dataskyddsreformen, anser vi dock att begreppet radering, som förekommer i såväl dataskyddsförordningen som i det nya dataskyddsdirektivet, är att föredra. Det kan anmärkas att vi inte utesluter att den kommande utvecklingen kan medföra såväl en utmönstring av det arkivrättsliga begreppet gallring ur registerförfattningar som att annan vokabulär kommer att bli vanlig när det närmare ska beskrivas hur personuppgiftsbehandlingen ska avslutas. Det är viktigt att detta uppmärksammas i den fortsatta beredningen då en enhetlig begreppsapparat bör eftersträvas. Vi vill dock understryka att vi här och i de fortsatta delavsnitten använder begreppet gallring i dess arkivrättsliga hänseende, oaktat att motiven till gallringen syftar till att skydda enskildas personliga integritet. Den omedelbara gallringen i detta delavsnitt har integritetsskyddande syfte, men innebär samtidigt att regleringsmetoden för det är att ”överskottsinformation” från lufttrafikföretagen aldrig ska bli en del av myndighetens arkiv.

Enligt vår mening kan och bör bestämmelsen om gallring genom radering tas in i den till den nya lagen anslutande förordningen.

När det gäller tillämpningen av denna omedelbara gallringsskyldighet är vi givetvis medvetna om att det dagligen kommer att komma in mycket stora mängder PNR-uppgifter till enheten, så stora mängder att det vore en orimlig tanke att personal vid enheten skulle kunna granska de inkomna uppgifterna och manuellt separera ”överskottsinformation” från sådan som enheten ska ta emot. Det får dock förutsättas att enhetens tekniska lösningar programmeras och utformas på så sätt att de genom automatiserade processer kan känna av och sortera bort sådana PNR-uppgifter som omedelbart ska gallras.

18.4. Lagringstiden hos enheten för passagerarinformation för PNR-uppgifter som mottagits från lufttrafikföretag

Vårt förslag: I lagen föreskrivs att PNR-uppgifter som mottagits

från lufttrafikföretagen ska lagras i databasen vid enheten för passagerarinformation i fem år. Därefter ska de gallras genom att uppgifterna raderas.

18.4.1. Direktivets bestämmelser

Lagringstiden för PNR-uppgifterna har bestämts till fem år i direktivet. Av skäl 25 framgår att denna tidsrymd ansetts dels stå i rimlig proportion till ändamålen att bekämpa terroristbrott och grov brottslighet, dels vara tillräckligt lång för att möjliggöra att PNRuppgifterna kan användas i samband med analyser och utredningar.

I artikel 12.1 anges således att medlemsstaterna ska se till att PNR-uppgifter som lämnas till enheten för passagerarinformation från lufttrafikföretag lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick. Vid utgången av femårsperioden ska medlemsstaterna, enligt artikel 12.4 första meningen, se till att PNR-uppgifterna slutgiltigt raderas. PNR-uppgifterna ska således bevaras i databasen vid enheten för passagerarinformation i fem år, varken längre eller kortare tid.

18.4.2. Våra överväganden och förslag

PNR-direktivet är dels en verksamhetsreglering som sätter upp ett system för informationsförsörjning och -utbyte i brottsbekämpning av visst slag, dels en dataskyddsreglering som sätter upp ramar och vissa absoluta krav som ska uppfyllas i syfte att kringgärda verksamheten med tillfredsställande skydd för registrerades integritet. Regleringen är i dessa avseenden mycket sammanflätad. Bestämmelserna i artikel 12.1 och 12.4 om lagring och slutgiltig radering av de PNR-uppgifter som har överförts till enheten för passagerarinformation från lufttrafikföretagen är ett exempel på detta. Lagrings-

tiden på fem år är ett åliggande som medlemsstaterna ska genomföra i linje med sin skyldighet att bedriva sitt lands del i PNR-systemet. Även den slutliga raderingen efter fem år är ett åliggande för medlemsstaterna men är motiverad utifrån ett dataskyddsrättsligt intresse.

Vi föreslår att det i den nya lagen tas in en bestämmelse som anger att sådana PNR-uppgifter som har tagits emot, dvs. kommit in från lufttrafikföretagen, ska lagras i enhetens PNR-databas och bevaras där i fem år.

I skäl 30 till direktivet anges att direktivet inte påverkar tillämpningen av nationell rätt om principen om allmänhetens tillgång till officiella handlingar, varmed för svenskt vidkommande avses allmänna handlingar. Vi anser emellertid att det inte bör komma i fråga att utifrån de intressen som bär upp handlingsoffentligheten och med åberopande av vår grundlag och skäl 30 föreslå en längre tids lagring än den i direktivet stipulerade absoluta tidsgränsen. Något bärande insynsintresse i den stora massan PNR-uppgifter som kommer att lagras i PNR-databasen kan vi inte identifiera. I den mån PNR-uppgifter verkligen kommer att användas i den brottsbekämpande verksamheten hos behöriga myndigheter – i vilken allmänheten i och för sig har ett tungt vägande insynsintresse – rör det sig om ett proportionellt sett ytterst litet antal uppgifter för vilka andra regler för bevarande och gallring än den nu aktuella artikeln kommer att aktiveras. Vi bedömer därför att det framstår som oproblematiskt att PNR-uppgifter i PNR-databasen efter denna föreskrivna femårsperiod ska gallras definitivt.

Vi föreslår alltså en bestämmelse i den nya lagen som anger att PNR-uppgifter ska gallras fem år efter att uppgifterna kommit in till enheten från lufttrafikföretagen. Hur gallring ska ske bör också anges i lagen genom att det föreskrivs att gallringen i detta avseende ska ske genom radering. Härmed avses i praktiken att uppgifterna utplånas. Bestämmelsen, som måste införas enligt direktivet, medför att successiv gallring måste ske kontinuerligt. Det får förutsättas att de tekniska lösningarna utformas så att detta kan skötas genom förprogrammerade processer.

18.5. Radering av PNR-uppgifter som utgör känsliga personuppgifter

Våra förslag: Bland lagens inledande bestämmelser tas in en be-

stämmelse som förbjuder behandling av PNR-uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, eller som rör hälsa, sexualliv eller sexuell läggning. I bestämmelsen ska detta framgå genom att det hänvisas till relevant bestämmelse i brottsdatalagen som närmare räknar upp dessa slags uppgifter såsom känsliga personuppgifter. I den nya lagen kommer alltså dessa uppgifter inte att närmare definieras.

Det förs i lagen in en bestämmelse som anger att enheten för passagerarinformation omedelbart ska gallra PNR-uppgifter som utgör känsliga personuppgifter genom att radera dem om enheten mottar sådana uppgifter från lufttrafikföretag eller från en enhet för passagerarinformation i en annan medlemsstat. Vidare förs det in en bestämmelse som anger att även behöriga myndigheter omedelbart ska gallra sådana uppgifter genom att radera dem för det fall de skulle motta sådana.

18.5.1. Direktivets bestämmelser

Enligt artikel 13.4 ska medlemsstaterna förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar PNR-uppgifter som avslöjar sådana uppgifter, ska dessa uppgifter omedelbart raderas.

18.5.2. Allmänt om känsliga personuppgifter

De i artikel 13.4 uppräknade uppgifterna utgör vad som i dataskyddssammanhang brukar betecknas som känsliga personuppgifter, se t.ex. 13 § PUL. Också det nya dataskyddsdirektivet innehåller en bestämmelse om känsliga personuppgifter (artikel 10). Enligt den bestämmelsen får sådana personuppgifter behandlas endast om det är absolut

nödvändigt och om vissa närmare angivna förutsättningar i övrigt är uppfyllda. Bestämmelsen är genomförd i 2 kap. 11–14 §§ BDL. Även i artikel 9 i dataskyddsförordningen – som framöver kommer att vara tillämplig exempelvis hos lufttrafikföretagen – finns ett principiellt förbud mot behandling av känsliga personuppgifter samt vissa undantagsgrunder.

Uppräkningen av vilka personuppgifter som är att se som känsliga har tidigare varit densamma i olika instrument på dataskyddsområdet. Det nya dataskyddsdirektivet och dataskyddsförordningen innehåller emellertid ytterligare två kategorier av känsliga personuppgifter; genetiska och biometriska uppgifter, som inte anges i PNR-direktivet. I 2 kap. 11 § BDL behandlas samtliga känsliga personuppgifter som avses i PNR-direktivet. Biometriska och genetiska uppgifter behandlas i 2 kap. 12 §.

18.5.3. PNR-uppgifter som kan utgöra känsliga personuppgifter

PNR-direktivet ger inte något stöd för att lufttrafikföretagen ska överföra känsliga personuppgifter till enheten för passagerarinformation. Tvärtom anges i direktivet att behandling av känsliga personuppgifter ska förbjudas. Enligt direktivet ska således inte lufttrafikföretagen skicka in känsliga personuppgifter till enheten för passagerarinformation. Dock kan sådana uppgifter komma att överföras av misstag. Känsliga personuppgifter kan t.ex. komma att ingå bland de allmänna anmärkningarna (punkten 12 i bilaga I till direktivet). Som tidigare har angetts utgör de allmänna anmärkningarna ett fritextfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Här kan finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får därmed inte behandlas enligt direktivet.

Även andra PNR-uppgifter kan innehålla personuppgifter som avslöjar känsliga personuppgifter. Man kan t.ex. tänka sig att en e-postadress innehåller ett partinamn eller fackföreningsnamn i en medlemsstat och adressen kan därmed avslöja en persons politiska tillhörighet eller fackföreningstillhörighet.

Uppgifter om en persons nationalitet har i lagstiftning som rör behandling av personuppgifter inte ansetts vara uppgifter som normalt avslöjar ras eller etniskt ursprung (se t.ex. SOU 2015:39 s. 328 f.). En uppgift om att en resenär är medborgare i ett visst land omfattas alltså inte av förbudet. Skulle emellertid en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den dock in under förbudet. Uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga personuppgifter (se prop. 2009/10:85 s. 325). Dock kan uppgifter om namn och språkkunskaper tillsammans utgöra indirekta upplysningar om en persons etniska ursprung (se t.ex. SOU 2003:40 s. 180).

18.5.4. Våra överväganden och förslag

Direktivet anger att varje medlemsstat ska förbjuda behandling av PNR-uppgifter som avslöjar känsliga personuppgifter. En bestämmelse med denna innebörd bör därmed föras in i vårt lagförslag. Med tanke på dess centrala betydelse och att den bör gälla för samtliga aktörer som omfattas av lagen bör den tas in bland lagens inledande bestämmelser. Vidare bör det i bestämmelsen hänvisas till den paragraf i brottsdatalagen vari just dessa slags känsliga personuppgifter definieras som sådana. Vårt förbud mot behandling av känsliga personuppgifter gäller i övrigt i stället för bestämmelsen i 2 kap. 11 § BDL.

Det bör vidare av lagen framgå att för det fall enheten för passagerarinformation mottar PNR-uppgifter som utgör sådana uppgifter som räknas upp i artikel 13.4, ska de omedelbart gallras genom att raderas.

Direktivet ger inte några närmare anvisningar kring hur gallringen av de PNR-uppgifter som avslöjar känsliga personuppgifter ska gå till. Det är således upp till varje medlemsstat att finna lämpliga tekniska lösningar för att uppfylla denna skyldighet. Eftersom en hel del av de känsliga personuppgifterna kan tänkas förekomma i det s.k. fritextfältet, hade en lösning varit att helt radera detta fält av PNR-uppgifter. Dock skulle en sådan lösning medföra att även sådana PNR-uppgifter som inte innehåller känsliga personuppgifter gallrades. Sådana uppgifter som enligt direktivet ska överföras av

lufttrafikföretagen och behandlas av enheterna för passagerarinformation skulle därmed helt tas bort. En sådan generell gallring av hela fritextfältet kan inte anses vara förenlig med direktivet. Vi kan därför inte förorda en sådan lösning.

Det ska vidare poängteras att förbudet mot behandling av PNRuppgifter som utgör känsliga personuppgifter och gallringsskyldigheten inte enbart omfattar sådana PNR-uppgifter som kommer in direkt från lufttrafikföretagen. Förbudet och gallringsskyldigheten gäller även för det fall sådana PNR-uppgifter skulle komma in till enheten från motsvarande enheter i andra medlemsstater, t.ex. därför att en enhet i det andra landet inte insett att uppgiften i fråga röjer ett medlemskap i en svensk fackförening eller liknande.

De tekniska lösningar som tas fram för att genomföra PNRsystemet får utformas så att de kan tillgodose kravet på radering av PNR-uppgifter som utgör känsliga personuppgifter.

Eftersom enheten för passagerarinformation inte får behandla PNR-uppgifter som utgör känsliga personuppgifter ska sådana uppgifter inte heller föras över från enheten till de behöriga myndigheterna. Dock kan det i något fall ändå förekomma att sådana uppgifter förs vidare av misstag. T.ex. kan det först sedan PNRuppgifter har överförts från enheten uppmärksammas att dessa innehåller en persons yrkestitel i vilken framgår att denne är t.ex. präst, rabbin eller imam i ett trossamfund. För det fall ett sådant misstag skulle inträffa och PNR-uppgifter som utgör känsliga personuppgifter skulle överföras till en behörig myndighet, bör den behöriga myndigheten omedelbart radera dessa. Vi föreslår att en bestämmelse med denna innebörd förs in i lagen. Bestämmelsen bör utformas på samma sätt som motsvarande bestämmelse för enheten för passagerarinformation. För det fall en behörig myndighet mottar PNR-uppgifter som utgör känsliga personuppgifter ska således dessa genast gallras genom att raderas.

18.6. Enhetens bevarande och gallring av resultatet av en förhandsbedömning

Våra förslag: Det förs i förordning in bestämmelser som genom-

för artikel 12.5 om hur resultatet av en förhandsbedömning – dvs. träffar – ska få sparas. En positiv träff ska gallras så snart resultatet inte längre behövs för att kunna informera behöriga mottagare om resultatet. En ”falsk” träff får bevaras längst till dess att de bakomliggande PNR-uppgifterna i databasen gallrats vid utgången av den femåriga lagringstiden.

Vidare införs en bestämmelse om att träffar med PNR-information som har kommit in till enheten från en motsvarande enhet i en annan medlemsstat ska gallras när den vidarebefordrats till en behörig myndighet och inte längre behövs för att en återrapportering ska kunna göras till avsändaren i den andra medlemsstaten.

18.6.1. Direktivets bestämmelser

Resultatet av en förhandsbedömning av passagerare, dvs. den träff som kan uppkomma vid de bedömningar av passagerare som ska göras före deras beräknade ankomst till eller avresa från Sverige, får endast bevaras av enheten för passagerarinformation så länge som det krävs för att informera de behöriga myndigheterna och eventuellt enheterna för passagerarinformation i andra medlemsstater om träffen. Detta framgår av första meningen i artikel 12.5.

Om resultatet av en automatisk behandling av PNR-uppgifter efter en individuell granskning enligt artikel 6.5 inte ger någon träff, dvs. inte visar sig vara intressant för vidare granskning, får resultatet dock bevaras för att undvika framtida ”falska” träffar. De falska träffarna får sparas så länge de bakomliggande PNR-uppgifterna inte har raderats. Detta anges i andra meningen i artikel 12.5.

18.6.2. Våra överväganden och förslag

Positiva träffar ska inte sparas

Bestämmelsen i artikel 12.5 första meningen skulle kunna tolkas som att en s.k. positiv match eller träff bara får sparas tills den sänts vidare till en eller flera behöriga myndigheter. Vi menar emellertid att direktivet rimligen måste förstås så att enheten ska få behålla resultatet en viss tid även efter att ha skickat en träff till en av de behöriga myndigheterna för vidare granskning. Det finns nämligen behov av viss tid för återrapportering från den behöriga myndigheten. Den behöriga myndigheten kan exempelvis återrapportera att någon ytterligare behörig myndighet eller något annat lands enhet för passagerarinformation också bör informeras om träffen.

Direktivets bestämmelse angående sparande av träffar bör genomföras så att dessa förutsättningar för hur länge resultaten av en förhandsbedömning av PNR-uppgifter får bevaras tillgodoses. Det bör således i en bestämmelse anges att ett resultat ska gallras så snart det inte längre behövs för att informera behöriga myndigheter och eventuellt andra medlemsstaters enheter för passagerarinformation om resultatet. Frågan kan regleras i förordning. Den föreslagna bestämmelsen ska utgöra en huvudregel för hur länge resultat, dvs. träffar, får bevaras. Vi ser inget behov av att fastställa en tidsgräns för hur lång tid som kan gå innan gallring ska ske. Det kan dock inte röra sig om någon längre tid, högst någon vecka enligt vår bedömning.

”Falska” träffar får sparas

En falsk träff, dvs. resultatet av en förhandsbedömning som efter den individuella granskning som skett på enheten enligt artikel 6.5 inte bedöms behöva granskas närmare och därför inte har översänts till en behörig myndighet, får alltså sparas i upp till fem år enligt artikel 12.5 andra meningen. Syftet är att undvika upprepning av samma felaktiga träff mot urvalskriterierna. Sparade uppgifter om falska träffar kan nämligen medföra att oskyldiga personer inte blir kontrollerade på nytt vid en ny resa. De falska träffarna kan även användas för att förbättra urvalskriterierna. Enligt vår tolkning av bestämmelsen måste en falsk träff kunna konstateras även efter ett översändande av träffen till en behörig myndighet, nämligen om

den myndigheten återrapporterar att den vidare granskningen visat att träffen var falsk, dvs