SOU 2017:74

Brottsdatalag – kompletterande lagstiftning

Till statsrådet och chefen för Justitiedepartementet

Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:21).

Till särskild utredare förordnades från och med den 1 april 2016 numera f.d. överåklagaren Gunnel Lindberg.

Utredningen har antagit namnet Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06).

Till sakkunniga förordnades från och med den 1 april 2016 rättssakkunniga vid Justitiedepartementet Anna Westin och kanslirådet vid Finansdepartementet Leena Mildenberger. Till experter utsågs juristen vid Datainspektionen Cecilia Agnehall, verksjuristen vid Ekobrottsmyndigheten Eva Bergholm Guhnby, personuppgiftsombudet, tillika verksjuristen, vid Säkerhetspolisen Fredrik Berglund, verksjuristen vid Tullverket Pernilla Jäderberg, verksjuristen vid Polismyndigheten David Kummel, advokaten Conny Larsson, sektionschefen vid Kriminalvården Eric Leijonram, seniora föredraganden vid Säkerhets- och integritetsskyddsnämnden Lisa Lundin, it-utvecklingschefen vid Åklagarmyndigheten Stephan Uttersköld, dåvarande juristen vid Domstolsverket Jonna Wiborn, verksjuristen vid Kustbevakningen Peter Åkesson och rättsliga experten vid Skatteverket Maria Östgren.

Jonna Wiborn entledigades från sitt uppdrag den 31 augusti 2016 och bitr. enhetschefen Amanda Rörby utsågs i hennes ställe. Amanda Rörby entledigades från sitt uppdrag den 3 april 2017 och chefsjuristen Charlotte Driving utsågs i hennes ställe. Lisa Lundin

entledigades från sitt uppdrag den 22 oktober 2016 och seniore föredraganden Fabian Holgersson utsågs i hennes ställe. Maria Östgren entledigades från sitt uppdrag den 23 augusti 2017 och Cecilia Agnehall den 4 september 2017.

Ämnesrådet vid Justitiedepartementet Sofie Lindblom har varit huvudsekreterare i utredningen från och med den 1 april 2016. Sekreterare i utredningen har varit verksjuristen Malin Lundberg från och med den 1 april 2016, hovrättsassessorerna Karin Månsson och Anja Nordfeldt från och med den 1 maj 2016, hovrättsassessorn Karin Brandqvist Sundblad från och med den 16 maj 2016 och hovrättsassessorn Maria Arnell från och med den 1 september 2016.

Utredningen överlämnade den 5 april 2017 betänkandet Brottsdatalag, SOU 2017:29.

Utredningen överlämnar härmed betänkandet Brottsdatalag – kompletterande lagstiftning (2017:74). De sakkunniga och experterna har i huvudsak ställt sig bakom utredningens överväganden och förslag. Uppdraget är härmed slutfört.

Stockholm i oktober 2017

Gunnel Lindberg

/ Sofie Lindblom

Maria Arnell Karin Brandqvist Sundblad Malin Lundberg Karin Månsson Anja Nordfeldt

Sammanfattning

Uppdraget

Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels en allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konsekvens av reformen är att personuppgiftslagen kommer att upphävas och att all lagstiftning om personuppgiftsbehandling behöver ses över och anpassas.

Utredningens uppdrag är att föreslå hur det nya direktivet ska genomföras i svensk rätt genom en ny ramlagstiftning och att anpassa registerförfattningarna för myndigheterna i rättskedjan till de nya förutsättningarna. Utredningen ska också överväga om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat.

Brottsdatalagen förutsätter en ny struktur

I delbetänkandet Brottsdatalag (SOU 2017:29) föreslår utredningen en ny lag, brottsdatalagen, som kommer att fylla ungefär samma funktion som personuppgiftslagen gör i dag i verksamhet som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. I brottsdatalagen finns de grundläggande bestämmelserna om hur personuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och rättsmedel.

Registerförfattningarna för myndigheterna i rättskedjan utgår i dag från personuppgiftslagen, antingen genom att registerförfatt-

ningen gäller i stället för personuppgiftslagen men hänvisar till bestämmelser i den eller genom att registerförfattningen gäller utöver personuppgiftslagen. Utredningen föreslår att registerförfattningarna ska gälla utöver brottsdatalagen och innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i den lagen. Bestämmelser i registerförfattningarna om bl.a. syfte, automatiserad behandling, personuppgiftsombud, behandling av känsliga personuppgifter och tillgången till personuppgifter ska därför upphävas. Det föranleder omfattande redaktionella ändringar i registerförfattningarna.

De registerförfattningar som reglerar personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde renodlas så att de bara gäller vid personuppgiftsbehandling inom tilllämpningsområdet. Det gäller lagen om behandling av personuppgifter inom kriminalvården, kustbevakningsdatalagen och åklagardatalagen. För domstolarna skapas i stället en ny lag för den personuppgiftsbehandling som ligger inom tillämpningsområdet. För att det ska vara tydligt att registerförfattningarna gäller utöver brottsdatalagen ges de nya namn.

Anpassningar och andra ändringar i de brottsbekämpande myndigheternas registerförfattningar

Tillämpningsområdet

I dag utgår tillämpningsområdet i de brottsbekämpande myndigheternas registerförfattningar från i vilken verksamhet personuppgiftsbehandlingen utförs. Det som kommer att bli avgörande för tillämpningen är i stället dels om myndigheten agerar i egenskap av behörig myndighet enligt brottsdatalagen, dels i vilket syfte personuppgifterna behandlas. Tillämpningsområdet blir därmed smalare än i dag, eftersom inte all personuppgiftsbehandling som utförs inom ramen för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet omfattas, t.ex. utlämnande av allmänna handlingar enligt tryckfrihetsförordningen eller för ändamål utanför brottsdatalagens tillämpningsområde.

Tillåtna rättsliga grunder och behandling för nya ändamål

Regleringen av för vilka ändamål de brottsbekämpande myndigheterna får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen föreslås i stort sett vara oförändrad när det gäller de primära ändamålen men det tydliggörs att det är fråga om bestämmelser om rättslig grund.

Innan personuppgifter behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt brottsdatalagen alltid prövas om det finns en tillåten rättslig grund för den nya behandlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprungliga. När personuppgifter behandlas för ändamål utanför tillämpningsområdet ska dataskyddsförordningen tillämpas. Utredningen föreslår att en prövning av nödvändighet och proportionalitet ska göras även innan personuppgifter behandlas för ändamål utanför brottsdatalagens tillämpningsområde. Någon prövning behöver dock inte göras om skyldighet att lämna uppgifter följer av lag eller förordning. Uppräkningen i de sekundära ändamålsbestämmelserna av i vilka situationer personuppgifter får tillhandahållas ersätts alltså av en särskild prövning både vid behandling för ändamål inom och utanför brottsdatalagens tillämpningsområde.

Behandling av känsliga personuppgifter

Brottsdatalagen förbjuder sökningar i personuppgifter i syfte att få fram ett personurval grundat på känsliga personuppgifter. I registerförfattningarna ska det göras undantag från förbudet som är anpassade till respektive myndighets behov av att kunna behandla känsliga personuppgifter. Brottsbekämpande myndigheter ska få använda t.ex. uppgifter som beskriver en persons utseende eller brottsrubriceringar ska vara tillåtet vid sökning i alla slags personuppgifter. Vid sökning i uppgifter som inte är gemensamt tillgängliga, dvs. som bara ett fåtal personer har tillgång till, ska sökning i syfte att ta fram personurval grundade på vissa känsliga personuppgifter få göras.

Längsta tid för behandling

I registerförfattningarna finns det bestämmelser om bevarande och gallring. De syftar till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. De ska därför formuleras om så att det framgår att det är fråga om dataskyddsbestämmelser. Regleringen ska utgå från hur länge personuppgifter får behandlas. Någon ändring av hur länge olika typer av personuppgifter får behandlas görs i princip inte.

Utökade möjligheter till elektroniskt utlämnande

Regleringen av i vilken utsträckning personuppgifter får lämnas ut på medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. Det blir tillåtet att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Viss reglering flyttas till registerförfattningarna

Bestämmelserna om Polismyndighetens behandling av personuppgifter i registret över tillträdesförbud vid idrottsarrangemang flyttas till polisens brottsdatalag. Lagen om register över tillträdesförbud vid idrottsarrangemang renodlas så att den bara reglerar idrottsorganisationernas personuppgiftsbehandling.

Regleringen av Polismyndighetens, Säkerhetspolisens och Tullverkets behandling av personuppgifter som tillhandahålls av transportföretag flyttas till respektive myndighets registerförfattning.

En ny lag för domstolarna

Domstolsdatalagen reglerar i dag personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde i domstolarnas rättskipande och rättsvårdande verksamhet. Den del av domstolarnas personuppgiftsbehandling som ligger inom tillämpningsområdet ska regleras i en ny lag, domstolarnas brottsdatalag. Den nya lagen utformas med domstolsdatalagen som mönster men anpassas till den systematik och terminologi som finns i övriga regis-

terförfattningar inom brottsdatalagens tillämpningsområde. Vissa frågor som hittills reglerats i förordning lyfts upp i lagen.

Allmän domstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om verkställighet av häktning eller straffrättsliga påföljder. Till skillnad från i dag omfattar tillämpningsområdet inte personuppgiftsbehandling i den administrativa verksamheten som avser att på begäran lämna ut uppgifter ur mål eller ärenden.

Innan domstolar behandlar personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde ska de pröva om behandlingen är nödvändig och proportionerlig för det nya ändamålet. Vid behandling för nya ändamål utanför brottsdatalagens tilllämpningsområde gäller dataskyddsförordningen. Någon prövning av om behandlingen är nödvändig och proportionerlig behöver inte göras om domstolsdatalagen ska tillämpas. En sådan prövning krävs däremot i andra fall, om inte skyldighet att lämna uppgifter följer av lag eller förordning.

Domstolarna ska inte tillämpa sökförbudet i brottsdatalagen. I stället ska motsvarande sökförbud som i domstolsdatalagen, som förbjuder användningen av uppgifter som avslöjar känsliga personuppgifter och uppgifter om brott eller misstanke om brott och nationell anknytning som sökbegrepp, gälla. Samma undantag från förbudet som finns i domstolsdatalagen ska gälla.

Regleringen av Kriminalvårdens personuppgiftsbehandling

Kriminalvårdens reglering har en annan struktur än övriga registerförfattningar, eftersom större delen finns i förordning. Regleringen anpassas till brottsdatalagen och blir mer lik övriga registerförfattningar. Utredningens uppdrag har dock inte omfattat att göra en total översyn av regleringen och någon ny lag föreslås därför inte, trots att alla bestämmelser ändras och lagen får en helt ny struktur.

Lagen ska tillämpas när kriminalvården behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller

biträda andra behöriga myndigheter när de utför arbetsuppgifter som omfattas av brottsdatalagens tillämpningsområde eller för att fullgöra internationella åtaganden. På samma sätt som för de brottsbekämpande myndigheterna ska behandling för nya ändamål föregås av en prövning av om behandlingen är nödvändig och proportionerlig för det nya ändamålet, oavsett om ändamålet ligger inom eller utanför brottsdatalagens tillämpningsområde.

Regleringen av säkerhetsregistret flyttas till lagen, moderniseras och görs mer generell. Uppgifter om den som är häktad eller verkställer fängelsestraff ska få registreras om personen utgör en säkerhetsrisk. Även uppgifter om personer som en registrerad har viss anknytning till ska få behandlas om det är absolut nödvändigt. Om det finns risk för att någon som verkställer en påföljd inom kriminalvården utövar våld eller hot mot personer i kriminalvårdens lokaler ska uppgifter om honom eller henne också få behandlas i säkerhetsregistret. Det görs undantag från sökförbudet i brottsdatalagen för sökningar i säkerhetsregistret i syfte att få fram personurval grundat på vissa känsliga personuppgifter.

Bestämmelserna om Kriminalvårdens underrättelseskyldighet bryts ut ur registerförordningen och placeras i en ny förordning.

En ny lag för Säkerhetspolisen

Regleringen utgår från dagens reglering och brottsdatalagen

Utredningen föreslår att det ska införas en ny lag om Säkerhetspolisens behandling av personuppgifter, Säkerhetspolisens datalag, som ersätter regleringen i polisdatalagen. Den regleringen ska bilda mönster för den nya lagen, som ska vara heltäckande och därför blir betydligt mer omfattande än dagens reglering. Den nya lagen följer i princip brottsdatalagens systematik och innehåll. Det innebär att bestämmelserna om grundläggande krav på behandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skadestånd, rättsmedel och överföring av personuppgifter till tredjeland i stort sett överensstämmer med brottsdatalagens bestämmelser.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. När Säkerhetspolisen behandlar personuppgifter som inte rör nationell säkerhet i syfte att bekämpa och lagföra

brott ska myndigheten tillämpa brottsdatalagen och polisens brottsdatalag.

Rättslig grund för behandling av personuppgifter

Regleringen av för vilka ändamål Säkerhetspolisen får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen behålls i stort sett oförändrad men det tydliggörs att det är fråga om bestämmelser om rättslig grund – rättslig grund för behandling och rättslig grund för utlämnande.

Behandling av känsliga personuppgifter

Huvudregeln är att Säkerhetspolisen på samma sätt som i dag inte ska få behandla känsliga personuppgifter. Om uppgifter om en person redan behandlas ska de dock få kompletteras med känsliga personuppgifter om det är absolut nödvändigt.

Säkerhetspolisen får i dag använda uppgifter som avslöjar känsliga personuppgifter som sökbegrepp om det är absolut nödvändigt. Utredningen föreslår att samma sökförbud som i brottsdatalagen ska gälla för Säkerhetspolisen, dvs. att det ska vara förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Från förbudet görs det undantag. Det ska vara tillåtet att använda brottsrubriceringar, uppgifter om tillvägagångssätt vid brott och uppgifter som beskriver en persons utseende vid sökning. Även sökningar i syfte att få fram personurval grundat på flertalet känsliga personuppgifter ska tillåtas, om sökningen är absolut nödvändig.

Elektroniskt utlämnande

Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Säkerhetspolisen ska få medge Polismyndigheten, Försvarsmakten och Försvarets radioanstalt direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften. Även underrättelse- och säkerhetstjäns-

ter inom EU och EES ska få medges direktåtkomst till uppgifter som Säkerhetspolisen behandlar för vissa syften om det behövs för samarbetet mot terrorism. Sådan direktåtkomst ska dock endast få medges till personuppgifter i en avskild uppgiftssamling och regeringen ska underrättas innan direktåtkomst medges.

Längsta tid för behandling

Personuppgifter ska inte få behandlas under längre tid än vad som behövs för något eller några av de syften för vilka Säkerhetspolisen får behandla personuppgifter. Huvudregeln ska på samma sätt som i dag vara att personuppgifter som har gjorts gemensamt tillgängliga inte får behandlas längre än tio år efter det år då den senaste registreringen avseende personen gjordes. Uppgifter om personer som ännu inte fyllt 18 år ska dock inte få behandlas längre än fem år från den senaste registreringen. Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken ska inte få behandlas längre än 40 år efter det år då den senaste registreringen gjordes. På samma sätt som i dag ska Säkerhetspolisen kunna besluta att personuppgifter får behandlas under längre tid om det finns särskilda skäl.

Tillsyn över Säkerhetspolisens personuppgiftsbehandling

Både Datainspektionen och Säkerhets- och integritetsskyddsnämnden ska på i huvudsak samma sätt som i dag utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling.

Datainspektionen ska utöva allmän tillsyn över personuppgiftsbehandling enligt den nya lagen och ge råd och stöd till Säkerhetspolisen. Inspektionen ska i huvudsak ha samma befogenheter som enligt brottsdatalagen. Säkerhetspolisen ska dock inte kunna påföras administrativ sanktionsavgift.

Säkerhets- och integritetsskyddsnämnden ska utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling och på begäran av enskild kontrollera om behandlingen av personuppgifter är författningsenlig.

Ikraftträdande och övergångsbestämmelser

De nya registerförfattningarna och ändringarna i de befintliga registerförfattningarna föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser för det nya sanktionssystemet och för ersättning för skador som har vållats före ikraftträdandet. Till de nya lagarna krävs det övergångsbestämmelser dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före ikraftträdandet men inte hunnit slutföras, dels för mål som har överklagats men som inte har hunnit slutföras inom den tiden.

1. Författningsförslag

1.1. Förslag till Säkerhetspolisens datalag (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

Lagen gäller i tillämpliga delar vid Polismyndighetens behandling av personuppgifter när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad

samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till annan reglering

4 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

5 § Bestämmelserna i denna lag ska inte tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

6 § I brottsdatalagen (2018:000) och polisens brottsdatalag (2010:361) finns det bestämmelser om Säkerhetspolisens behandling av personuppgifter i frågor som inte rör nationell säkerhet.

Personuppgiftsansvar

7 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under respektive myndighets ledning eller på dess vägnar.

8 § Säkerhetspolisen får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Uttryck i lagen

9 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Behandling av personuppgifter En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken,

som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.

Dataskyddsombud En fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Genetiska uppgifter Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga.

Internationell organisation En organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. Mottagare Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning. Registrerad Den fysiska person som personuppgiften rör. Tillsynsmyndighet Den myndighet som regeringen utser att enligt denna lag utöva tillsyn över personuppgiftsbehandling. Tredjeland En stat som inte är medlem i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet och som inte heller på grund av avtal med Europeiska unionen har en motsvarande ställning. Tredje man Någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet,

personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.

Uppgift som rör hälsa Personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.

Lagens tillämpning på uppgifter om juridiska personer

10 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 7 § om personuppgiftsansvar,

2. 2 kap. 1–3 §§ om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,

4. 4 kap. 1–4 och 6–11 §§ om längsta tid som personuppgifter får behandlas, och

5. 5 kap. 5 § om tillgången till personuppgifter.

2 kap. Behandling av personuppgifter

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet,

b) terrorbrott, eller

c) tryckfrihetsbrott eller yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter

a) i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

b) enligt säkerhetsskyddslagen (1996:627), eller

c) enligt utlännings- och medborgarskapslagstiftningen,

4. fullgöra annan arbetsuppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller

5. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Personuppgifter som behandlas med stöd av 1 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1. för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2. i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3. i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrättelseverksamhet, om det finns särskilda skäl att tillhandahålla informationen,

4. i en myndighets verksamhet om Säkerhetspolisen enligt lag eller förordning ska bistå myndigheten med viss uppgift,

5. i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation, eller

6. i verksamhet hos utländsk underrättelse- eller säkerhetstjänst. Personuppgifter som behandlas med stöd av 1 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen och, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas med stöd av 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under

förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

3 § Personuppgifter får även behandlas om

1. det är nödvändigt för diarieföring, eller

2. uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande och behandlingen är nödvändig för handläggningen.

Ändamål för behandling av personuppgifter

4 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades.

5 § Säkerhetspolisen får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

Grundläggande krav på behandling av personuppgifter

Laglig och korrekt behandling

6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter

9 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket om det är absolut nödvändigt för ändamålet med behandlingen.

10 § Säkerhetspolisen får behandla biometriska uppgifter endast om det är absolut nödvändigt för ändamålet med behandlingen.

Genetiska uppgifter får inte behandlas.

11 § Personuppgifter som avses i 9 och 10 §§ betecknas som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 3 §.

12 § Det är förbjudet att utföra sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Första stycket hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

Första stycket hindrar inte heller sökning i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som anges i 1 §.

Åtgärder för att säkerställa personuppgifternas kvalitet

13 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

14 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1–6, 8–10 eller 12 § eller 4 kap. 1 § första stycket, 2–4 eller 7–11 § utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska Säkerhetspolisen i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

Uppgiftsskyldighet och utlämnande av personuppgifter

15 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

16 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller lagföra brott, eller

2. utländsk underrättelse- eller säkerhetstjänst. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

17 § Polismyndigheten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § första stycket 1–3 a, om myndigheten behöver uppgifterna för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2 polisens brottsdatalag (2010:361).

18 § Försvarets radioanstalt och Försvarsmakten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 §offentlighets- och sekretsslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § första stycket 1 eller 2, om den mottagande myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5–7 §§.

Personuppgifter från transportföretag

20 § Personuppgifter som tillhandahålls Säkerhetspolisen enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1–3 a.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål.

21 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får

Säkerhetspolisen inte ändra eller på annat sätt bearbeta personuppgifterna.

Föreskrifter

22 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 15–18 §§,

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 19 § första stycket,

3. underrättelseskyldighet, och

4. sökning i personuppgifter.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Personuppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 3 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de syften som anges i 2 kap. 1 §.

Särskilda upplysningar

3 § Om det inte framgår av sammanhanget eller på något annat sätt för vilket ändamål som gemensamt tillgängliga personuppgifter behandlas, ska det tydliggöras genom en särskild upplysning.

4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska det genom en särskild upplysning eller på något annat sätt framgå att personen

inte är misstänkt för brott eller brottslig verksamhet som avses i 2 kap. 1 § första stycket 1 eller 2.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 kap. 1 § första stycket 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Någon upplysning behöver dock inte lämnas om det på grund av omständigheterna är onödigt.

Någon upplysning enligt andra stycket behöver inte heller lämnas om

1. uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till och

2. bearbetningen av uppgifterna inte har genomförts.

Direktåtkomst

5 § Polismyndigheten får för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2 polisens brottsdatalag (2010:361) medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1–3 a. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

6 § Försvarets radioanstalt och Försvarsmakten får i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1 eller 2. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

7 § Om det behövs för samarbetet mot terrorism får en underrättelse- eller säkerhetstjänst i en medlemsstat i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet medges direktåtkomst till personuppgifter i en avskild uppgiftssamling som Säkerhetspolisen upprättat i syfte att dela information med sådana mottagare. Uppgiftssamlingen får endast innehålla personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1 b och har gjorts gemensamt tillgängliga.

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst enligt första stycket ska Säkerhetspolisen underrätta regeringen.

Föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om underrättelseskyldighet vid direktåtkomst.

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomst enligt 5–7 §§ och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Personuppgifter får inte behandlas under längre tid än vad som behövs för något eller några av de syften som anges i 2 kap. 1– 3 §§.

Det som sägs i första stycket hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Vid automatiserad behandling gäller också de begränsningar som följer av 2–11 §§.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 1 § andra stycket får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde.

Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 1 § andra stycket får andra personuppgifter än de som anges i 3 och 4 §§ och som har gjorts gemensamt tillgängliga som längst behandlas under den tid som anges i 7– 11 §§.

7 § Personuppgifter som behandlas för något av de syften som anges i 2 kap. 1 § första stycket 1 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brottslig verksamhet.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unges anknytning till brottslig verksamhet, om någon ny registrering inte gjorts efter det att han eller hon fyllt 18 år.

8 § Personuppgifter som behandlas för något av de syften som anges i 2 kap. 1 § första stycket 3–5 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unge, om någon ny registrering inte gjorts efter det att han eller hon fyllt 18 år.

9 § Personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket får inte behandlas längre än

1. tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brottslig verksamhet, om uppgifterna behandlas för något av de syften som anges i 2 kap. 1 § första stycket 1, och

2. tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen, om uppgifterna behandlas för något av de syften som anges i 2 kap. 1 § första stycket 3–5.

10 § Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken som utövas av främmande makt, får inte behandlas längre än 40 år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet. För personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket gäller 9 §.

11 § Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får behandlas under längre tid än vad som anges i 7–10 §§, om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas. Om personuppgifter behandlas med stöd av ett sådant beslut ska frågan om fortsatt behandling prövas på nytt senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i 9 §, senast vid utgången av det tredje kalenderåret efter beslutet. Tiden som personuppgifterna får behandlas får vid varje tillfälle förlängas med längst tio år eller, om det är fråga om uppgifter som avses i 9 §, med längst tre år.

Föreskrifter

12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3 och 4 §§.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter, med avvikelse från 2 § första stycket och 7–11 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Skyldigheter som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

1 § Säkerhetspolisen ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.

2 § Både vid beslut om hur behandlingen ska utföras och vid behandlingen ska Säkerhetspolisen, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).

3 § Säkerhetspolisen ska säkerställa att det i automatiserade behandlingssystem som regel endast är möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

4 § Säkerhetspolisen ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

5 § Säkerhetspolisen ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd

6 § Kan en typ av ny behandling, eller betydande förändringar avseende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga integritet, ska Säkerhetspolisen innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs.

Säkerheten för personuppgifter

7 § Säkerhetspolisen ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Samarbete med tillsynsmyndigheten

8 § Säkerhetspolisen ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till den.

Dataskyddsombud

9 § Säkerhetspolisen ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

10 § Dataskyddsombud ska

1. självständigt kontrollera att Säkerhetspolisen behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2. informera och ge råd till Säkerhetspolisen och de som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3. på begäran ge Säkerhetspolisen råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,

4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och

5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.

11 § Om Säkerhetspolisen bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.

Personuppgiftsbiträden

12 § Säkerhetspolisen får, om det är lämpligt, anlita personuppgiftsbiträden. När ett personuppgiftsbiträde anlitas, ska Säkerhetspolisen försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

13 § Det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för Säkerhetspolisens räkning.

Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av Säkerhetspolisen anlita ett annat personuppgiftsbiträde.

14 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från Säkerhetspolisen.

Om ett personuppgiftsbiträde i strid med Säkerhetspolisens instruktioner fastställer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.

15 § Det som sägs om Säkerhetspolisens skyldigheter i 4, 5, 7 och 8 §§ gäller även för personuppgiftsbiträden som Säkerhetspolisen anlitar.

Föreskrifter

16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. åtgärder som avses i 1–4, 6 och 7 §§,

2. tillgången till personuppgifter,

3. skyldigheten att föra register över kategorier av behandling av personuppgifter,

4. skyldigheten att införa interna rutiner för anmälan av överträdelser, och

5. innehållet i avtal och överenskommelser enligt 13 §.

6 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Säkerhetspolisen ska göra följande allmänna information tillgänglig för registrerade.

1. Myndighetens identitet och kontaktuppgifter.

2. Dataskyddsombudets kontaktuppgifter.

3. Ändamålen med behandlingen.

4. Rätten enligt 2 § att begära att få information om behandling av personuppgifter och att få del av dem.

5. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§.

Personrelaterad information

2 § Säkerhetspolisen ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1. Vilka personuppgifter om sökanden som behandlas.

2. Varifrån personuppgifterna kommer.

3. Den rättsliga grunden för behandlingen.

4. Ändamålen med behandlingen.

5. Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

6. Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§. Utlämnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

Begränsning av rätten till information

3 § Informationsskyldigheten i 2 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

Om förutsättningarna i första stycket är uppfyllda, är Säkerhetspolisen inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 6 eller 7 §.

4 § Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

5 § Om en begäran enligt 2 § är orimlig eller uppenbart ogrundad får Säkerhetspolisen avslå den.

Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall får ta ut avgift i stället för att avslå begäran.

Rätten till rättelse, radering och begränsning av behandlingen

6 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om Säkerhetspolisen inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

7 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1–6, 8–10 eller 12 § eller 4 kap.

1 § första stycket, 2–4 eller 7–11 §. Detsamma gäller om radering krävs för att Säkerhetspolisen ska utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska Säkerhetspolisen på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

8 § Säkerhetspolisen avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information

9 § Information enligt 1 § ska lämnas utan avgift. Information och uppgifter enligt 2 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 2 § oftare än en gång per år, får Säkerhetspolisen ta ut en rimlig avgift eller avslå begäran enligt 5 § första stycket.

Föreskrifter

10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. information enligt 1 och 2 §§,

2. avgift för information som avses i 2 §, och

3. kraven på en begäran enligt 2, 6 eller 7 §.

7 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Tillsynsmyndigheten ska

1. utöva allmän tillsyn över personuppgiftsbehandling, och

2. ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd eller när det i övrigt är påkallat.

2 § Bestämmelser om tillsyn över Säkerhetspolisens behandling av personuppgifter finns även i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Befogenheter

Undersökningsbefogenheter

3 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen eller ett personuppgiftsbiträde på begäran få

1. tillgång till alla personuppgifter som behandlas,

2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,

3. tillträde till lokaler som Säkerhetspolisen eller ett personuppgiftsbiträde disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4. det biträde och annan information som behövs för tillsynen.

Förebyggande befogenheter

4 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Säkerhetspolisen eller ett personuppgiftsbiträde annars inte fullgör sina skyldigheter, får tillsynsmyndigheten

1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgär-

der för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2. förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter, eller

3. förbjuda fortsatt behandling om bristen är allvarlig. Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Kommunikation

6 § Innan tillsynsmyndigheten fattar ett beslut enligt 5 § första stycket 2 eller 3, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den, har orsakat.

Överklagande

Överklagande av Säkerhetspolisens beslut

2 § Beslut i fråga om rättelse eller komplettering enligt 6 kap. 6 §

första stycket, radering enligt 6 kap. 7 § första stycket eller begränsning av behandlingen enligt 6 kap. 6 § andra stycket eller 6 kap. 7 § andra stycket, som har meddelats av Säkerhetspolisen i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 6 kap. 2 § eller att ta ut avgift enligt 6 kap. 9 § andra stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som inte får överklagas

4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.

9 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Grundläggande förutsättningar för överföring

1 § Säkerhetspolisen får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1. riktas till en brottsbekämpande myndighet eller en underrättelse- eller säkerhetstjänst i ett tredjeland eller en internationell organisation med brottsbekämpande uppdrag och

2. omfattas av

a) ett beslut om adekvat skyddsnivå enligt 3 §, eller

b) tillräckliga skyddsåtgärder enligt 4 §, eller

c) ett undantag för särskilda situationer enligt 5 §.

2 § Personuppgifter som Säkerhetspolisen har fått från en annan stat får överföras till ett tredjeland eller en internationell organisation endast om den stat som lämnat uppgifterna till Säkerhetspolisen har medgett att de överförs.

Tillåtna grunder för överföring

Beslut om adekvat skyddsnivå

3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Tillräckliga skyddsåtgärder

4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om

1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller

2. den myndighet eller organisation som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

1. skydda den registrerades eller en annan fysisk persons vitala intressen, eller andra berättigade intressen för den registrerade,

2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott,

3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre

än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Överföring till andra mottagare

6 § Säkerhetspolisen får i ett enskilt fall överföra personuppgifter till någon annan mottagare än som anges i 1 § i ett tredjeland. Personuppgifterna får överföras endast om

1. det är absolut nödvändigt för att Säkerhetspolisen ska kunna utföra en arbetsuppgift enligt 2 kap. 1 eller 2 § och

2. det skulle vara ineffektivt eller olämpligt att överföra dem till en mottagare som anges i 1 § i det tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.

Villkor om användningsbegränsning

7 § Om Säkerhetspolisen har fått personuppgifter från ett tredjeland eller en internationell organisation och det på grund av en överenskommelse med det tredjelandet eller den internationella organisationen gäller villkor som begränsar möjligheten att använda uppgifterna, ska Säkerhetspolisen följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

8 § Säkerhetspolisen får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs från allmän synpunkt eller med hänsyn till enskilds rätt.

Föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om dokumentation av överföringar.

1. Denna lag träder i kraft den 1 maj 2018.

2. Bestämmelsen i 5 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före ikraftträdandet förrän den 1 maj 2023.

3. Ärenden om tillsyn över Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet i myndighetens brottsbekämpande eller lagförande verksamhet och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

5. Bestämmelsen om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

1.2. Förslag till domstolarnas brottsdatalag (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personuppgifter.

1. Allmän domstol, om uppgifterna behandlas i syfte att handlägga mål eller ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

2. Allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder.

Personuppgiftsansvar

2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt och syftet är att handlägga mål eller ärenden om

1. utredning av eller lagföring för brott,

2. verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder, eller

3. upprätthållande av allmän ordning och säkerhet.

Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstol att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål inom denna lags tillämpningsområde regleras i 2 kap. 4 § brottsdatalagen (2018:000).

Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål utanför denna lags tilllämpningsområde regleras i 2 kap. 22 § brottsdatalagen. Någon prövning enligt 2 kap. 22 § andra stycket brottsdatalagen krävs inte när domstolsdatalagen (2015:728) ska tillämpas.

Behandling av personnummer

3 § Personnummer, samordningsnummer och liknande identitetsbeteckningar får endast behandlas när det är motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl.

Bestämmelser om användning av sådana personuppgifter som anges i första stycket vid sökning finns i 8 §.

Sökning

Undantag från brottsdatalagens sökförbud

4 § Bestämmelserna i 5–10 §§ denna lag och föreskrifter som meddelats i anslutning till den gäller i stället för sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000).

Känsliga personuppgifter och nationell anknytning

5 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar sådana personuppgifter som anges i 2 kap.11 och 12 §§brottsdatalagen (2018:000) eller nationell anknytning.

Brott eller misstanke om brott

6 § I allmän domstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter

1. i mål eller ärenden som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2. i tvistemål.

7 § I allmän förvaltningsdomstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter i mål som

1. har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2. handläggs av Migrationsöverdomstolen eller en migrationsdomstol.

Direkta personuppgifter

8 § Personnamn, personnummer, samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet får inte användas som sökbegrepp vid sökning i personuppgifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft.

Tillåtna sökningar

9 § Sökförbuden i 5–8 §§ hindrar inte sökning

1. i en viss handling eller i ett visst mål eller ärende, eller

2. med användande av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp.

10 § Sökförbudet i 5 § hindrar inte att allmän förvaltningsdomstol använder uppgifter som avslöjar hälsa som sökbegrepp. Sådana uppgifter får dock inte användas vid sökning i personuppgifter i mål som

1. har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2. handläggs av Migrationsöverdomstolen eller en migrationsdomstol.

Utlämnande av personuppgifter

11 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 12 § och föreskrifter som har meddelats i anslutning till denna lag.

12 § Direktåtkomst får endast medges

1. en allmän domstol,

2. en allmän förvaltningsdomstol, eller

3. en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende.

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsning av

1. möjligheten att använda de sökbegrepp som anges i 6, 7 och 10 §§,

2. direktåtkomst enligt 12 § första stycket och om behörighet och säkerhet vid sådan åtkomst,

3. möjligheten att lämna ut personuppgifter elektroniskt enligt 11 §, och

4. behandling av personuppgifter som hänför sig till mål eller ärenden som har avgjorts genom dom eller beslut som har fått laga kraft.

3 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, eller

2. 2 kap. 5–8 §§ om sökning. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

4 § En hovrätts, en tingsrätts eller en förvaltningsrätts beslut som överklagas enligt 7 kap. 2 § första stycket brottsdatalagen (2018:000) överklagas till kammarrätt. En kammarrätts beslut i sådana frågor överklagas till Högsta förvaltningsdomstolen.

Har Högsta domstolen eller Högsta förvaltningsdomstolen meddelat beslut som avses i 7 kap. 2 § första stycket brottsdatalagen får beslutet inte överklagas.

Kravet på prövningstillstånd i 7 kap. 2 § andra stycket brottsdatalagen gäller inte vid överklagande enligt första stycket.

1. Denna lag träder i kraft den 1 maj 2018.

2. Bestämmelserna i 2 kap. 6 § 1, 7 § 1, 8 § och 10 § 1 om begränsning av sökning i fråga om slutligt avgjorda mål och ärenden behöver inte tillämpas förrän den 1 januari 2019.

3. Ärenden om tillsyn över personuppgiftsbehandling, som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket, som Datainspektionen inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket.

5. Sanktionsavgift enligt 3 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

6. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket.

1.3. Förslag till lag om ändring i rättegångsbalken

Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

28 kap.

12 a §1

Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera DNA-profilen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (2010:361).

Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna-analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt polisens brottsdatalag (2010:361).

12 b §2

Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en

DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

1. syftet är att genom en dnaanalys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.

Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över

Analysresultatet får inte jämföras med de dna-profiler som finns registrerade i register över

1 Senaste lydelse 2010:363. 2 Senaste lydelse 2010:363.

DNA-profiler som förs enligt polisdatalagen(2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

dna-profiler som förs enligt polisens brottsdatalag (2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 maj 2018.

1.4. Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

26 §1

Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminalåtkomst.

Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.

Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller Säkerhetspolisen.

Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:588.

1.5. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §1

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:361).

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisens brottsdatalag (2010:361) eller Säkerhetspolisens datalag (2018:000).

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2010:365.

1.6. Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

16 §1

Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt.

Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, skall omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 1999:434.

1.7. Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att 1 b § lagen (1998:620)1 om belastningsregister ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 b § 2013:331.

1.8. Förslag till lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att 1 b § lagen (1998:621)1 om misstankeregister ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 b § 2013:332.

1.9. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §1

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (2010:361) eller annan svensk författning.

Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt brottsdatalagen (2018:000), polisens brottsdatalag (2010:361) eller annan svensk författning.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:595.

1.10. Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att 1 kap. 3 a § lagen (2001:184)1 om behandling av personuppgifter i Kronofogdemyndighetens verksamhet ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 kap. 3 a § 2013:336.

1.11. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskivs att 1 kap.1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §1

Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer.

Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrottsdatalagen (2017:447).

Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver.

4 §2

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2. övervakning, revision och annan analys- eller kontrollverksamhet,

1 Senaste lydelse 2017:449. 2 Senaste lydelse 2017:449.

3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4. tillsyn, kontroll, uppföljning och planering av verksamheten. Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tull-brottsdatalagen (2017:447).

Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § Tullverkets brottsdatalag (2017:447).

Denna lag träder i kraft den 1 maj 2018.

1.12. Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården

dels att 1–16 §§ ska upphöra att gälla,

dels att rubrikerna före 1–10 §§ och 12 § ska utgå,

dels att det ska införas fyra nya kapitel, 1–4 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Lag om behandling av personuppgifter inom kriminalvården

Kriminalvårdens brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen.

Personuppgiftsansvar

2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. verkställa häktning eller straffrättsliga påföljder,

2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,

3. biträda andra myndigheter när de fullgör arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller

4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Känsliga personuppgifter

3 § Kriminalvården får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

Utlämnande av personuppgifter

4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för

1. prövning och genomförande av överflyttning av straffverkställighet,

2. transitering och förvaring av en person som är frihetsberövad för brottsbekämpning, lagföring eller verkställighet av straff, eller

3. tillfällig överflyttning av en frihetsberövad person för brottsbekämpning, lagföring eller straffverkställighet.

Längsta tid som personuppgifter får behandlas

5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.

I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas.

Föreskrifter

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. vilka personuppgifter som får behandlas enligt 1 §,

2. utlämnande av personuppgifter i andra fall än som anges i 4 §,

3. frågor som rör elektroniskt utlämnande genom direktåtkomst,

4. längsta tid som personuppgifter får behandlas, och

5. att personuppgifter, med avvikelse från 5 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

3 kap. Säkerhetsregistret

Rätten att föra register

1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att

1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och

2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och annan verksamhet som Kriminalvården bedriver.

Innehåll

2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff och som är eller har varit placerad på säkerhetsavdelning.

I registret får även uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff, om det finns risk för att han eller hon

1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller deltar i brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver,

2. förbereder rymning eller försöker rymma,

3. blir föremål för fritagning,

4. medverkar i eller på annat sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller

5. utsätts för våld eller hot under verkställigheten.

3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler.

4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den förstnämnde inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.

Sökning

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Direktåtkomst

6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till personuppgifter i säkerhetsregistret för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.

Föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret.

4 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

2. 3 kap. 4 § om särskild upplysning, eller

3. 2 kap. 5 § eller 3 kap. 7 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Äldre bestämmelser ska gälla för överträdelser som har begåtts före ikraftträdandet.

4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.

5. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.13. Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 a §1

En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang.

En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt 5 kap. polisens brottsdatalag (2010:361).

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2015:55.

1.14. Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Lydelse enligt SOU 2016:65 Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över behandlingen av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361).

Nämnden ska även utöva tillsyn över Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet i brottsbekämpande och lagförande verksamhet. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 9 och 10 §§ Säkerhetspolisens datalag (2018:000).

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Nuvarande lydelse Föreslagen lydelse

3 §

Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för sådana tvångsmedel eller varit föremål för sådan person-

Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon

1. har utsatts för sådana tvångsmedel som avses i 1 § och

uppgiftsbehandling som avses i 1 § och om användningen av tvångsmedel och därmed sammanhängande verksamhet eller behandlingen av personuppgifter har skett i enlighet med lag eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts.

om användningen av dem och därmed sammanhängande verksamhet har varit i enlighet med lag eller annan författning, eller

2. varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om den har utförts i enlighet med lag eller annan författning.

Nämnden ska underrätta den enskilde om att kontrollen har utförts.

Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.

4 §

Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.

Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.

Denna lag träder i kraft den 1 maj 2018.

1.15. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 4 b §, 10 och 10 b §§ och 37 kap. 7 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 kap.

2 §1

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen(2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § första stycket 1 polisens brottsdatalag (2010:361) eller 2 kap. 1 § första stycket 1 Säkerhetspolisens datalag (2018:000), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i

1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:452),

1. 2 kap. 1 § första stycket 1

Kustbevakningens brottsdatalag (2012:145),

2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen(2017:447), eller

2. 2 kap. 1 § första stycket 1

Tullverkets brottsdatalag (2017:447), eller

3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevaknings-

3. 2 kap. 1 § första stycket 1

Skatteverkets brottsdatalag

1 Senaste lydelse 2017:456.

datalagen (2012:145). (2017:452).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

18 §2

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisens brottsdatalag (2010:361).

Lydelse enligt prop. 2016/17:208 Föreslagen lydelse

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5. register som förs av Polismyndigheten enligt 4 kap. polis-datalagen (2010:361) eller som

5. register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag (2010:361) eller

2 Senaste lydelse 2010:369.

annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,

som annars behandlas med stöd av de bestämmelserna, eller uppgifter som behandlas av Säkerhetspolisen med stöd av Säkerhetspolisens datalag (2018:000),

6. register som förs enligt lagen (1998:621) om misstankeregister,

7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag,

7. register som förs av Skatteverket enligt Skatteverkets brottsdatalag (2017:452) eller som annars behandlas där med stöd av samma lag,

8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller

9. register som förs av Tullverket enligt tullbrottsdatalagen(2017:447) eller som annars behandlas där med stöd av samma lag, eller

9. register som förs av Tullverket enligt Tullverkets brottsdatalag (2017:447) eller som annars behandlas där med stöd av samma lag.

10. register som förs enligt lagen ( 2010:362 ) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Nuvarande lydelse Föreslagen lydelse

4 a §3

Sekretess gäller i verksamhet som avser förande av register enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Sekretess gäller i verksamhet som avser förande av tillträdesförbudsregistret enligt 5 kap. polisens brottsdatalag (2010:361) för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Lydelse enligt SOU 2017:29 Föreslagen lydelse

4 b §

Sekretess gäller hos en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag.

Sekretess gäller hos

1. en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag, och

2. Säkerhetspolisen för uppgift i ett sådant personurval som avses i 2 kap. 12 § Säkerhetspolisens datalag ( 2018:000 ).

För uppgift i en allmän handling gäller sekretessen högst sjuttio år.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

3 Senaste lydelse 2015:53.

Nuvarande lydelse Föreslagen lydelse

10 §4

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627)samt i förordning som har meddelats med stöd i den lagen,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627)och i förordning som har meddelats med stöd i den lagen,

3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken ,

3. enligt vad som föreskrivs i 4. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen(2010:361), – polisens brottsdatalag

(2010:361),

skattebrottsdatalagen (2017:452),

Kustbevakningens brottsdatalag (2012:145),

tullbrottsdatalagen (2017:447),

åklagarväsendets brottsdatalag (2015:433),

kustbevakningsdatalagen(2012:145),

Tullverkets brottsdatalag (2017:447),

åklagardatalagen (2015:433) ,

Skattverkets brottsdatalag (2017:452),

– Säkerhetspolisens datalag ( 2018:000 ), eller

– förordningar som har stöd i dessa lagar, eller

– förordningar som har stöd i dessa lagar.

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken .

4 Senaste lydelse 2017:456.

10 b §5

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang.

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § polisens brottsdatalag (2010:361).

37 kap.

7 §6

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisens brottsdatalag (2010:361).

1. Denna lag träder i kraft den 1 maj 2018.

2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.

5 Senaste lydelse 2015:53. 6 Senaste lydelse 2010:369.

1.16. Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs i fråga om polisdatalagen (2010:361)

dels att 1, 2, 4 och 6 kap. ska upphöra att gälla,

dels att 3 kap. 5 och 9–15 §§ och 5 kap. 4–6 §§, ska upphöra att gälla,

dels att rubrikerna före 3 kap. 8, 9 och 14 §§ och 5 kap. 4 och 5 §§ ska utgå,

dels att nuvarande 4 kap. ska betecknas 5 kap. och nuvarande 5 kap. ska betecknas 6 kap.,

dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 5 kap. 7 § ska betecknas 6 kap. 6 § och att rubriken före nuvarande 5 kap. 6 § ska placeras före nya 6 kap. 6 §, att nuvarande 5 kap. 8 § ska betecknas 6 kap. 7 § och att rubriken före nuvarande 5 kap. 8 § ska placeras före nya 6 kap. 7 § och att nuvarande 5 kap. 9 § ska betecknas 6 kap. 9 §,

dels att 3 kap. 1–4 §§ och nya 3 kap. 5–7 §§ och 6 kap. 3 och 6– 8 §§ ska ha följande lydelse,

dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 6 kap. 4, 5, 8 och 10 §§, och nya rubriker före 3 kap. 1 § och före nya 3 kap. 8 §, 6 kap. 4 och 9 §§ av följande lydelse,

dels att det ska införas fem nya kapitel i lagen, 1, 2, 4, 5 och 7 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Polisdatalag Polisens brottsdatalag

1 kap. Allmänna bestämmelser Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter.

1. Polismyndigheten, om uppgifterna behandlas i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet.

3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att bekämpa och lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och 7 kap.

2 § Denna lag gäller inte vid behandling av personuppgifter enligt

1. lagen (1998:620) om belastningsregister,

2. lagen (1998:621) om misstankeregister,

3. lagen (2000:344) om Schengens informationssystem,

4. lagen (2006:444) om passagerarregister, eller

5. lagen (2014:400) om Polismyndighetens elimineringsdatabas.

3 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.

Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Uttryck i lagen

5 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material,

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och

fingeravtryck: avtryck av finger eller hand.

Lagens tillämpning på uppgifter om juridiska personer

6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 4 § om personuppgiftsansvar,

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 § om gemensamt tillgängliga uppgifter,

4. 4 kap. 1–4 och 6–10 §§ om längsta tid som personuppgifter får behandlas,

5. 5 kap. 18–20 §§ om behandling av personuppgifter i penningtvättsregister, och

6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,

2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,

3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5. 3 kap. 6 § om tillgången till personuppgifter.

Lagens uppbyggnad

7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter och i 4 kap. bestämmelser om längsta tid för behandling av personuppgifter. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter och rättsmedel.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap.

I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. upprätthålla allmän ordning och säkerhet, eller

4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används vid sökning.

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1. Interpol,

2. Europol, eller

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av

3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.

9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.

11 § Trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400) har en idrottsorganisation rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organsationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud.

12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§.

Personuppgifter från transportföretag

13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1 och 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).

14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller på annat sätt bearbetas.

15 § Vid sökning i personuppgifter som avses i 13 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som

1. är eller har varit misstänkt för brott,

2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Föreskrifter

16 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 7– 11 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt

tillgängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §1

Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

2. Uppgifter som behövs för övervakningen av en person som

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och

a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver och

b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.

1 Senaste lydelse 2014:597.

6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

DNA-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap.

Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

3 §

Vid behandling enligt 1 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska detta särskilt framgå.

Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.

4 §

Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå

att personen inte är misstänkt. att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

5 §

Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4. övervakas enligt 2 § första stycket 2,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. har gett in eller tillhandahållits en handling,

9. är anmäld såsom försvunnen, 10. är anmäld som försvunnen, 10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. är efterlyst. 12. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

6 §

Bestämmelserna i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,

2. för att utreda brott för vilket är föreskrivet fängelse i fyra

3. i syfte att utreda brott för vilket det är föreskrivet fängelse

år eller däröver. i fyra år eller däröver, eller

4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller däröver.

Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena.

Regeringen meddelar föreskrifter om ytterligare undantag från 6 §.

7 §2

Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

En myndighet som medgetts direktåtkomst ansvarar för att

2 Senaste lydelse 2014:597.

tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Föreskrifter

8 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §.

9 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. begränsning av tillgången till sådana personuppgifter som avses i 5 §,

2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och

3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas:

1. 5 kap. 7 § om uppgifter i register över dna-profiler,

2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister,

3. 5 kap. 20 § om uppgifter i penningtvättsregister,

4. 5 kap. 22 § om uppgifter i det internationella registret,

5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och

6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som varken har gjorts gemensamt tillgängliga eller behandlas med stöd av 5 kap. inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde.

Om en brottsanmälan i annat fall inte har lett till förundersökning

eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4–7 som längst behandlas under den tid som anges i 7–10 §§.

7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.

Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte

behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de personuppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tider som anges i andra stycket.

8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tid som anges i första stycket.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Föreskrifter

11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7–10 §§.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter, med avvikelse från 2 § första stycket och 7–10 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Register

Register över dna-profiler

Rätten att föra register

1 § Polismyndigheten får föra register över dna-profiler (dnaregistret, utredningsregistret och spårregistret) i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. fullgöra förpliktelser som följer av internationella åtaganden, och

4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen.

Dna-registret

2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1. genom dom som fått laga kraft har dömts till annan påföljd än böter, eller

2. har godkänt strafföreläggande som avser villkorlig dom.

3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod.

Utredningsregistret

4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse.

Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.

Spårregistret

5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod.

6 § Dna-profiler i spårregistret får jämföras med dna-profiler

1. som inte kan hänföras till en identifierbar person,

2. som finns i dna-registret, eller

3. som kan hänföras till en person som är skäligen misstänkt för brott.

Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt.

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i dna-registren som längst behandlas under den tid som anges i andra–fjärde styckena.

Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men på-

följden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.

Prover för dna-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för.

9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.

Direktåtkomst

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel.

Fingeravtrycks- och signalementsregister

Rätten att föra register

11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. fullgöra förpliktelser som följer av internationella åtaganden,

4. underlätta identifiering av okända personer, och

5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716).

Innehåll

12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som

1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller

2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott.

I fingeravtrycks- och signalementsregister får inte personuppgifter behandlas som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller däröver och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år.

14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om

1. fingeravtryck,

2. signalement,

3. fotografi,

4. videoupptagning,

5. identifieringsuppgifter,

6. ärendenummer, och

7. brottskod.

Längsta tid som personuppgifter får behandlas

15 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.

16 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande inte behandlas när de inte längre behövs för det ändamålet.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen.

Direktåtkomst

17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

Penningtvättsregister

Rätten att föra register

18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2. som innefattar finansiering av terrorism.

19 § I penningtvättsregister får personuppgifter behandlas som

1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller

3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §.

Längsta tid som personuppgifter får behandlas

20 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i penningtvättsregister inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes.

Det internationella registret

Rätten att föra register

21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete.

Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten.

Längsta tid som personuppgifter får behandlas

22 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i det internationella registret inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Tillträdesförbudsregistret

Rätten att föra register

23 § Polismyndigheten får föra ett register med uppgifter om per-

soner som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud.

Innehåll

24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud.

1. Namn.

2. Personnummer eller samordningsnummer.

3. Folkbokföringsadress och annan stadigvarande adress.

4. Alias.

5. Fotografi.

6. Anknytning till idrott och idrottsorganisation.

7. Omfattningen och giltighetstiden av beslut om tillträdesförbud.

8. Överträdelse av gällande tillträdesförbud.

25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud.

Längsta tid som personuppgifter får behandlas

26 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i tillträdesförbudsregistret endast behandlas så länge tillträdesförbudet gäller.

Föreskrifter

27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst,

2. tillgången till personuppgifter i penningtvättsregister och det internationella registret,

3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, med avvikelse från det som sägs i 15, 16, 20, 22 och 26 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

6 kap.

3 §3

Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket.

Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 eller 2 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000). Enbart personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får i ett enskilt fall behandlas för nya ändamål utanför den forensiska verksamheten.

I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges i första stycket, under förutsätt-

3 Senaste lydelse 2015:436.

ning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Känsliga personuppgifter

4 §

Biometriska och genetiska uppgifter får behandlas enligt 1 § under de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000) .

5 §

Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i register enligt 5 kap. i syfte att få fram ett personurval grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.

Bevarande Längsta tid som personuppgifter får behandlas

6 §4

Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 när det har förflutit fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades.

Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades.

4 Senaste lydelse 2015:436.

7 §5

Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 4 kap.

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.

8 §

Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Föreskrifter

9 §6

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 8 §.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400) .

5 Senaste lydelse 2015:436. 6 Senaste lydelse 2015:436.

10 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering.

7 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–4 eller 7–10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.17. Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)

Härigenom föreskrivs i fråga om kustbevakningsdatalagen (2012:145)

dels att 1–3 och 5 kap. ska upphöra att gälla,

dels att 4 kap. 2, 4 och 8–14 §§ ska upphöra att gälla,

dels att rubrikerna före 4 kap. 8 och 13 §§ ska utgå,

dels att nuvarande 4 kap. ska betecknas 3 kap.,

dels att nuvarande 4 kap. 1 § ska betecknas 3 kap. 2 § och att rubriken före nuvarande 4 kap. 1 § ska placeras före nya 3 kap. 2 §, att nuvarande 4 kap. 3 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 4 kap. 2 § ska placeras före nya 3 kap. 3 §, att nuvarande 4 kap. 5 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 4 kap. 4 § ska placeras före nya 3 kap. 4 §, att nuvarande 4 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 4 kap. 7 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 4 kap. 7 § ska placeras före nya 3 kap. 6 §,

dels att nya 3 kap. 2–6 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 3 kap. 1, 7 och 8 §§, och nya rubriker före nya 3 kap. 1 och 7 §§ av följande lydelse,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Kustbevakningsdatalag Kustbevakningens brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 3 § om personuppgiftsansvar,

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4. 4 kap. 1–4 och 6–9 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,

2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,

3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5. 3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. upprätthålla allmän ordning och säkerhet, eller

4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1. Interpol,

2. Europol,

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Föreskrifter

9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000) .

2 §

Följande personuppgifter får göras gemensamt tillgängliga i

Kustbevakningens brottsbekämpande verksamhet:

Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

3. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

4. Uppgifter som har rapporterats till Kustbevakningens ledningscentraler.

5. Uppgifter som behandlas i syfte att fullgöra internationella

åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

3 §

Om uppgifter som behandlas enligt 1 § direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

4 §

Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva så-

3. är misstänkt för att ha utövat eller komma att utöva så-

dan brottslig verksamhet som avses i 1 § första stycket 1,

dan brottslig verksamhet som avses i 2 § 1,

4. har anmält ett brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen, 8. är anmäld som försvunnen,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

5 §

Begränsningarna i 5 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket.

Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §.

6 §1

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Föreskrifter

7 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §.

8 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1 Senaste lydelse 2014:693.

1. begränsning av tillgången till sådana personuppgifter som avses i 4 §,

2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde.

Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3–5 som längst behandlas under den tid som anges i 7–9 §§.

7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes.

Om en ny registrering beträffande personens anknytning till

brottslig verksamhet görs före utgången av de tiderna, får de personuppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7–9 §§, och

2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter, med avvikelse från 2 § första stycket och 7–9 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

2. 3 kap. 3 § om särskild upplysning, eller

3. 4 kap. 2–4 eller 7–9 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före-

skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.18. Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas

Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndighetens elimineringsdatabas

dels att 6 och 7 §§ och rubriken före 7 § ska upphävas,1

dels att i 3, 8–10, 13 och 14 §§ ”DNA” ska bytas ut mot ”dna”,

dels att 1, 2, 4, 11 och 12 §§ och rubrikerna före 2, 11 och 12 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §2

Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med

DNA-analyser (elimineringsdatabasen) i enlighet med denna lag.

Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dnaanalyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid DNA-analyser och hanteringen av DNA-spår.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser och hanteringen av dna-spår.

Begreppen DNA-profil och

DNA-analys som används i lagen har samma betydelse som i polisdatalagen(2010:361).

Begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i polisens brottsdatalag (2010:361).

1 Senaste lydelse av 6 § 2014:600. 2 Senaste lydelse 2014:600.

Förhållandet till personuppgifts-

lagen

Förhållandet till annan person-

uppgiftsreglering

2 §

Denna lag gäller utöver per-sonuppgiftslagen (1998:204).

Denna lag gäller utöver brottsdatalagen (2018:000).

4 §

En DNA-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med DNAprofiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra DNAprofiler i de DNA-register som regleras i 4 kap. polisdatalagen (2010:361).

En dna-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med dnaprofiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra dnaprofiler i de dna-register som regleras i 5 kap. polisens brottsdatalag (2010:361).

En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNAprofiler i elimineringsdatabasen. Avser DNA-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det DNAregister som regleras i 4 kap. polisdatalagen.

En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dnaprofiler i elimineringsdatabasen. Avser dna-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dnaregister som regleras i 5 kap. polisens brottsdatalag.

En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med

DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNAprofiler i elimineringsdatabasen.

En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dna-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dnaprofiler i elimineringsdatabasen.

Gallring Längsta tid för behandling

11 §3

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som längst behandlas under den tid som anges i andra–femte styckena.

Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler.

Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.

Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som rör anställda vid Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades.

Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten upphörde.

3 Senaste lydelse 2014:600.

Rättelse och skadestånd Skadestånd

12 §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 §.

Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 § ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tilllämpas på motsvarande sätt.

1. Denna lag träder i kraft den 1 maj 2018.

2. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som före ikraftträdandet har orsakats vid behandling av personuppgifter enligt denna lag.

1.19. Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

dels att 2, 4, 6, 8–10, 12 och 15 §§ ska upphöra att gälla,

dels att rubrikerna före 2, 4, 8–10, 12 och 15 §§ ska utgå,

dels att nuvarande 3 § ska betecknas 2 § och att rubriken före nuvarande 3 § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 4 §, att nuvarande 7 § ska betecknas 5 § och att rubriken före nuvarande 6 § ska placeras före nya 5 §, att nuvarande 11 § ska betecknas 6 § och att rubriken före nuvarande 11 § ska placeras före nya 6 §, att nuvarande 13 § ska betecknas 7 §, att nuvarande 14 § ska betecknas 8 § och att rubriken före nuvarande 14 § ska placeras före nya 8 §,

dels att rubriken före nya 4 § ska lyda Rätten att behandla personuppgifter,

dels att 1 och nya 2, 4, 6 och 7 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 §, och före nya 3 och 7 §§ nya rubriker med följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Lag om register över tillträdesförbud vid idrottsarrange-

mang

Lag om idrottsorganisationers

behandling av uppgifter om till-

trädesförbud

1 §

Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gäl-

Syftet med denna lag är att göra det möjligt för idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut enligt lagen

lande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

(2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

2 §

Denna lag gäller behandling av personuppgifter för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller vid

1. Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret, och

2. idrottsorganisationers behandling av personuppgifter från tillträdesförbudsregistret.

Denna lag gäller vid idrottsorganisationers behandling av personuppgifter från det tillträdesförbudsregister som förs enligt polisens brottsdatalag (2010:361) för att upprätthålla gällande beslut om tillträdesförbud.

Lagen gäller behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §.

Lagen gäller för behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §.

Förhållandet till annan reglering om personuppgiftsbehandling

3 §

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter

och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) gäller vid behandling av personuppgifter enligt denna lag. Lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.

4 §

Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför.

6 §

Tillgången till personuppgifter ska begränsas till vad den som arbetar vid Polismyndigheten eller som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget.

Tillgången till personuppgifter ska begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter.

7 §

Längsta tid som personuppgifter får behandlas

En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska

Behandlingen av personuppgifter som en idrottsorganisation har fått tillgång till från tillträ-

tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs.

desförbudsregistret ska upphöra senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs.

1. Denna lag träder i kraft den 1 maj 2018.

2. Bestämmelserna i 4 och 15 §§ i deras nuvarande lydelse ska fortsätta att gälla för idrottsorganisationers personuppgiftsbehandling till den 25 maj 2018.

3. Bestämmelsen i 3 § ska inte tillämpas förrän den 25 maj 2018.

1.20. Förslag till lag om ändring i åklagardatalagen (2015:433)

Härigenom föreskrivs i fråga om åklagardatalagen (2015:433)

dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 3, 4 och 7 §§ ska upphöra att gälla,

dels att rubriken före 3 kap. 3 § ska utgå,

dels att nuvarande 3 kap. 5 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 3 kap. 4 § ska placeras före nya 3 kap. 3 §, att nuvarande 3 kap. 6 § ska betecknas 3 kap. 4 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 5 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 5 §,

dels att 3 kap. 1 och 2 §§ och nya 3–5 §§ ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 3 kap. 6 och 7 §§, och nya rubriker före 3 kap. 1 § och nya 3 kap. 6 § av följande lydelse,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Åklagardatalag Åklagarväsendets brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagarmyndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att bekämpa eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

Bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten finns också i polisens brottsdatalag (2010:361).

Personuppgiftsansvar

2 § Åklagarmyndigheten och Ekobrottsmyndigheten är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 2 § om personuppgiftsansvar,

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4. 4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,

2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,

3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5. 3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga eller förhindra brottslig verksamhet,

2. utreda eller lagföra brott,

3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,

4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller

5. fullgöra förpliktelser som följer av internationella åtaganden.

Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används vid sökning.

Utlämnande av personuppgifter

5 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1. Eurojust,

2. Interpol,

3. Europol, eller

4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §.

Föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i åklagarväsendets operativa verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med

Detta kapitel gäller inte när personuppgifter behandlas med

stöd av 2 kap. 7 §. stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Personuppgifter i åklagarväsendets operativa verksamhet får göras gemensamt tillgängliga.

Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sådana uppgifter.

3 §

Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

1. är eller har varit misstänkt för brott,

2. är eller har varit misstänkt för brott,

2. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet,

3. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet,

3. har anmält ett brott, 4. har anmält ett brott,

4. är målsägande i ett ärende som rör ansvar för brott,

5. är målsägande i ett ärende som rör ansvar för brott,

5. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende,

6. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende,

6. förekommer i ett ärende som vittne eller någon annan

7. förekommer i ett ärende som vittne eller annan som läm-

som lämnar eller har lämnat uppgifter eller yttrande,

nar eller har lämnat uppgifter eller yttrande,

7. är eller har varit åklagare i ett ärende, eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller

8. är eller har varit åklagare i ett ärende, eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller

8. har gett in eller tillhandahållits en handling.

9. har gett in eller tillhandahållits en handling.

4 §

Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §.

5 §

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i åklagarväsendets operativa verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.

Föreskrifter

6 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §.

7 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. gemensamt tillgängliga uppgifter, och

2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Personuppgifter i ärenden

2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren, eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft.

3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga personuppgifter

4 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte kan hänföras till ett ärende inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §,

2. att personuppgifter, med avvikelse från 4 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, eller

2. 4 kap. 2 eller 4 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före-

skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.21. Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

14 §

Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast

1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap.12 a §§utlänningslagen åberopas,

2. i ärenden om avvisning och utvisning,

3. i testverksamhet,

4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller

5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polis-datalagen(2010:361).

5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § polisens brottsdatalag (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och

2. föreskrifter om gallring.

Denna lag träder i kraft den 1 maj 2018.

1.22. Förslag till lag om ändring i tullagen (2016:253)

Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

8 §

Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Tullverket.

Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 maj 2018.

1.23. Förslag till lag om ändring i tullbrottsdatalagen (2017:447)

Härigenom föreskrivs i fråga om tullbrottsdatalagen (2017:447)

dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 5 § och 4 kap. 5 § ska upphöra att gälla,

dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 12 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap. 3 § ska placeras före nya 4 kap. 2 §, att nuvarande 4 kap. 4 § ska betecknas 4 kap. 3 §, att nuvarande 4 kap. 6 § ska betecknas 4 kap. 4 § och att rubriken före nuvarande 4 kap. 5 § ska placeras före nya 4 kap. 4 §, att nuvarande 4 kap. 7 § ska betecknas 4 kap. 5 §, att nuvarande 4 kap. 8 § ska betecknas 4 kap. 6 §, att nuvarande 4 kap. 9 § ska betecknas 4 kap. 8 § och att rubriken före nuvarande 4 kap. 9 § ska placeras före nya 4 kap. 7 §,

dels att 3 kap. 1–4 §§ och nya 3 kap. 5–7 §§, 4 kap. 1 § och nya 4 kap. 2–5, 8, 10 och 13 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § och nya 4 kap. 4 § ska ha följande lydelse,

dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 4 kap. 7, 9, 11 och 12 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 8 § och nya 4 kap. 12 §§ av följande lydelse,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Tullbrottsdatalag Tullverkets brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott.

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 3 § om personuppgiftsansvar,

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4. 4 kap. 1–5 och 8–11 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,

2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,

3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5. 3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Tullverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Tullverket får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1. Interpol,

2. Europol,

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4. en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §.

Personuppgifter från transportföretag

10 § Personuppgifter som tillhandahålls Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tulllagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för något av de syften som anges i 1 § första stycket 1 eller 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).

11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom

Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna.

12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som

1. är eller har varit misstänkt för brott,

2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Föreskrifter

13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

2. Uppgifter som behövs för övervakningen av en person som

a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad.

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4. Uppgifter som har rapporterats till Tullverkets ledningscentraler.

5. Uppgifter som har rapporterats till Tullverkets kommunikationscentral.

5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

3 §

För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har personuppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, ska detta särskilt framgå.

Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2.

4 §

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som Uppgifter om en person som

kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

5 §

Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4. övervakas enligt 2 § första stycket 2,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till

sådana uppgifter som avses i första stycket.

6 §

Bestämmelserna i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,

2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller

4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer

Bestämmelserna i 5 § gäller inte heller vid sökning som en

kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.

tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

7 §

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet.

Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga.

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Föreskrifter

8 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §.

9 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. begränsning av tillgången till sådana personuppgifter som avses i 5 §,

2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och

3. omfattningen av direktåtkomst enligt 7 § och behörighet och säkerhet vid sådan åtkomst.

4 kap. Bevarande och gallring av personuppgifter

4 kap. Längsta tid som personuppgifter får behandlas

Generella bestämmelser Allmän bestämmelse

1 §

Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling.

Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 3 och 4 §§ om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 5–7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3. 9 och 10 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

2 §

Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

3 §

I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Personuppgifter som med stöd av 15 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2.

Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personuppgifter.

Gemensamt tillgängliga uppgifter i ärenden om utredning eller beivrande av brott

Gemensamt tillgängliga uppgifter i ärenden om utredning

av eller lagföring för brott

4 §

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i

Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

5 §

Om en förundersökning har lett till åtal eller annan domstolsprövning, får personupp-

Om en förundersökning har lett till åtal eller annan domstolsprövning, får personupp-

gifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.

gifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

7 §

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8–11 §§.

8 §

Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra–fjärde styckena.

Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de uppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår

Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdoms-

sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

vård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tider som anges i andra stycket.

9 §

Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tid som anges i första stycket.

10 §

Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 4 eller 5 ska gallras enligt andra eller tredje stycket.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första

stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

11 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Föreskrifter

12 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 6, 7, 9 och 10 §§,

1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 och 8–11 §§,

2. att personuppgifter, med avvikelse från 3 § första stycket, 9 och 10 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och

2. att personuppgifter, med avvikelse från 2 § första stycket och 8–11 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål och

3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tilllämpningsområde vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–5 eller 8–11 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.24. Förslag till lag om ändring i skattebrottsdatalagen (2017:452)

Härigenom föreskrivs i fråga om skattebrottsdatalagen (2017:452)

dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 3 och 5 §§ och 4 kap. 4 § ska upphöra att gälla,

dels att nuvarande 3 kap. 4 § ska betecknas 3 kap. 3 §, att nuvarande 3 kap. 6 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 3 kap. 5 § ska placeras före nya 3 kap. 4 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 6 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 9 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap. 3 § ska placeras före nya 4 kap. 2 §, att nuvarande 4 kap. 5 § ska betecknas 4 kap. 3 § och att rubriken före nuvarande 4 kap. 4 ska placeras före nya 4 kap. 3 §, att nuvarande 4 kap. 6 § ska betecknas 4 kap. 4 §, att nuvarande 4 kap. 7 § ska betecknas 4 kap. 5 §, att nuvarande 4 kap. 8 § ska betecknas 4 kap. 7 § och att rubriken före nuvarande 4 kap. 8 § ska placeras före nya 4 kap. 6 §,

dels att 3 kap. 1 och 2 §§ och nya 3 kap. 3–6 §§, 4 kap. 1 § och nya 4 kap. 2–4, 7 och 9 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § ska ha följande lydelse,

dels att det ska införas fyra nya paragrafer, 3 kap. 7 och 8 §§ och 4 kap. 6 och 8 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 7 § och nya 4 kap. 9 § av följande lydelse,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Skattebrottsdatalag Skatteverkets brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa brott.

Personuppgiftsansvar

2 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 2 § om personuppgiftsansvar,

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4. 4 kap. 1–4 och 7 och 8 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,

2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,

3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5. 3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap.4 och 22 §§brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brotts-

datalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Sökning

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett personurval grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Beskattningsdatabasen

6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för något av de syften som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas.

Utlämnande av personuppgifter

7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning av brott.

3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

3. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

3 §

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att

Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat

ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

4 §

Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1,

4. har anmält ett brott,

5. är målsägande i ett ärende som rör ansvar för brott,

6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7. har gett in eller tillhandahållits en handling,

8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

5 §

Bestämmelserna i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller

2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller

2. för att utreda brott för vilket det är föreskrivet fängelse i

3. i syfte att utreda brott för vilket det är föreskrivet fängelse

fyra år eller däröver. i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.

6 §

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Föreskrifter

7 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §.

8 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. begränsning av tillgången till sådana personuppgifter som avses i 4 §,

2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Bevarande och gallring av personuppgifter

4 kap. Längsta tid som personuppgifter får behandlas

Generella bestämmelser Allmän bestämmelse

1 §

Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 3 § om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 4–6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och

3. 8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

2 §

Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades.

Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av brott.

3 §

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i

Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte

förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i

Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 §

Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.

Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

6 §

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3 som längst behandlas under den tid som anges i 7 och 8 §§.

7 §

Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de uppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska

gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

8 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Föreskrifter

9 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§,

1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§,

2. att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och

2. att personuppgifter, med avvikelse från 2 § första stycket, 7 och 8 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,

2. 3 kap. 3 § om särskild upplysning, eller

3. 4 kap. 2–4, 7 eller 8 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1. Denna lag träder i kraft den 1 maj 2018.

2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som meddelats i anslutning till den.

1.25. Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete

1

Härigenom föreskrivs att 6 kap. 1 §, 7 kap.1, 3, 4 och 7 §§, 8 kap. 3 §, 9 kap.4 och 5 §§ och 10 kap.13 §§ lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 kap.

1 §

Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller

Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete

brottsdatalagen (2018:000) , och

polisdatalagen (2010:361) för polisens behandling av personuppgifter vid internationellt polisiärt samarbete,

polisens brottsdatalag (2010:361),

kustbevakningsdatalagen(2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och

– Kustbevakningens brottsdatalag (2012:145),

tullbrottsdatalagen(2017:447) för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete.

Tullverkets brottsdatalag (2017:447), eller

1 Observera att hänsyn inte har tagits till de förslag som lämnas i SOU 2017:29 s. 76.

– Säkerhetspolisens datalag (2018:000).

7 kap.

1 §

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler.

Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler.

Första och andra styckena gäller endast de register över dna-profiler som regleras i polis-datalagen (2010:361).

Första och andra styckena gäller endast de register över dna-profiler som regleras i polisens brottsdatalag (2010:361).

3 §

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361).

4 §

I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycks-

I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycks-

register som förs med stöd av polisdatalagen (2010:361).

register som förs med stöd av polisens brottsdatalag (2010:361).

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

7 §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.

Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tilllämpas på motsvarande sätt.

8 kap.

3 §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.

Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tilllämpas på motsvarande sätt.

9 kap.

4 §

Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat.

Detta är dock tillåtet i brådskande fall om

1. de villkor för sökning som anges i 1 § andra stycket är uppfyllda,

2. det är förenligt med svenska intressen att uppgifterna lämnas ut,

3. den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna i 33 och

34 §§personuppgiftslagen (1998:204) är uppfyllda.

4. förutsättningarna i 8 kap. 1 § brottsdatalagen (2018:000) är uppfyllda.

5 §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.

Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

10 kap.

1 §

Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe trots 33 § person-uppgiftslagen (1998:204) medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361).

Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361).

2 §

På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar ett sådant brott.

Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdata-

Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisens

lagen (2010:361). brottsdatalag (2010:361).

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

3 §

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet.

Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

1. Denna lag träder i kraft den 1 maj 2018.

2. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

1.26. Förslag till lag om ändring i brottsdatalagen (2018:000)

Härigenom föreskrivs i fråga om brottsdatalagen (2018:000)

dels att nuvarande 2 kap. 21 § ska betecknas 2 kap. 22 § och att rubriken före nuvarande 2 kap. 21 § ska placeras före nya 2 kap. 22 §, nuvarande 2 kap. 22 § ska betecknas 2 kap. 23 § och att rubriken före nuvarande 2 kap. 22 § ska placeras före nya 2 kap. 23 §,

dels att 2 kap. 4, 13 och 18 §§, 6 kap. 1 § och nya 2 kap. 22 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 2 kap. 21 § och 3 kap. 16 §, och en ny rubrik före 2 kap. 21 § av följande lydelse.

Lydelse enligt SOU 2017:29 Föreslagen lydelse

2 kap.

4 §

Innan personuppgifter får behandlas för ett nytt ändamål inom denna lags tillämpningsområde ska det säkerställas att

1. det finns en tillåten rättslig grund enligt 1 § för den nya behandlingen, och

1. det finns en tillåten rättslig grund enligt 1 § för den nya behandlingen och

2. behandlingen är nödvändig och proportionerlig för det nya ändamålet.

I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning behöver någon prövning enligt första stycket inte göras. Det gäller dock inte uppgiftslämnande med stöd av 6 kap. 5 § offentlighets- och sekretesslagen .

13 §

Personuppgifter som avses i 11 och 12 §§ betecknas i denna lag som känsliga personupp-

Personuppgifter som avses i 11 och 12 §§ betecknas som känsliga personuppgifter. Käns-

gifter. Känsliga personuppgifter får behandlas med stöd av 2 §.

liga personuppgifter får behandlas med stöd av 2 §.

18 §

Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.

Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom denna lags tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.

Utlämnande av personuppgifter

21 §

Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

22 §

Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tilllämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags

Av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tilllämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags

tillämpningsområde. tillämpningsområde.

Innan personuppgifter som behandlas med stöd av denna lag behandlas för ett ändamål utanför lagens tillämpningsområde ska det säkerställas att behandlingen är nödvändig och proportionerlig för det ändamålet.

I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning behöver någon prövning enligt andra stycket inte göras. Det gäller dock inte uppgiftslämnande med stöd av 6 kap. 5 § offentlighets- och sekretesslagen .

3 kap.

16 §

Den som fullgör uppgift som dataskyddsombud får inte obehörigen röja eller utnyttja det som han eller hon då har fått veta om enskilds personliga eller ekonomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

6 kap.

1 §

Sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av bestämmelser i

1. 2 kap. 1–5, 7–12, 14–18 eller 19 § andra stycket,

1. 2 kap. 1–5, 7–12, 14–18 §, 19 § andra stycket eller 22 § andra stycket,

2. 3 kap. 2–8 §§, eller 2. 3 kap. 2–8 §, eller

3. 8 kap. 1–6 eller 8 §.

Sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar sådana incidenter eller underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller att följa tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Denna lag träder i kraft den 1 maj 2018.

1.27. Förslag till Säkerhetspolisens dataförordning (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter till

Säkerhetspolisens datalag (2018:000).

2 § Uttryck som används i denna förordning har samma innebörd som i Säkerhetspolisens datalag (2018:000).

2 kap. Behandling av personuppgifter

Underrättelseskyldighet

1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 13 § eller 14 § första stycket Säkerhetspolisens datalag (2018:000) har lämnats ut ska mottagaren omedelbart underrättas om det. Detsamma gäller så långt möjligt den som har tagit del av sådana personuppgifter som har gjorts tillgängliga.

2 § En underrättelse enligt 3 kap. 7 § andra stycket Säkerhetspolisens datalag (2018:000) ska göras innan Säkerhetspolisen första gången medger en utländsk underrättelse- eller säkerhetstjänst direktåtkomst. Av underrättelsen ska omfattningen av direktåtkomsten framgå.

Utlämnande av personuppgifter

3 § Säkerhetspolisen får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst för de myndigheter som anges i 3 kap. 5 och 6 §§ Säkerhetspolisen datalag (2018:000).

Direktåtkomst till uppgifterna får inte medges innan Säkerhetspolisen har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

3 kap. Längsta tid för behandling m.m.

Rutiner för att säkerställa tidsfristerna

1 § Säkerhetspolisen ska se till att det finns rutiner för att säkerställa att de som behandlar personuppgifter respekterar fristerna för när personuppgifter inte längre får behandlas.

Digital arkivering

2 § När Säkerhetspolisen arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap. 1 eller 2 § Säkerhetspolisens datalag (2018:000). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Säkerhetspolisen får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

Fortsatt behandling av vissa personuppgifter

3 § I 4–6 §§ föreskrivs att vissa kategorier av personuppgifter i brottsanmälningar och avslutade förundersökningar får behandlas för syften som anges i 2 kap. 1 § första stycket 2 Säkerhetspolisens datalag (2018:000), trots att den tid som anges i 4 kap. 3 eller 4 § samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

När personuppgifter får behandlas enligt 4–6 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer eller liknande referensuppgifter,

2. brottskoder, och

3. uppgifter om omständigheterna kring brottet.

4 § Uppgifter om den dömde i en förundersökning som lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket Säkerhetspolisens datalag (2018:000) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

5 § Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller har avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas trots att den tid som anges i 4 kap. 4 § andra stycket Säkerhetspolisens datalag (2018:000) har löpt ut, om behandlingen är nödvändig för att trots detta kunna lagföra personen.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast sjuttio år från den dag då brottet begicks.

6 § Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas trots att den tid som anges i 4 kap. 3 eller 4 § Säkerhetspolisens datalag (2018:000) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket fängelse i fyra år eller däröver är föreskrivet.

Behandlingen ska dock upphöra, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Behandling för arkivändamål av allmänt intresse m.m.

7 § Riksarkivet får, efter att ha gett Säkerhetspolisen tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som avses i 4 kap. 2 och 7–11 §§ Säkerhetspolisens datalag (2018:000) får be-

handlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska åtgärder

1 § De åtgärder som Säkerhetspolisen ska vidta enligt 5 kap. 1 och 2 §§ Säkerhetspolisens datalag (2018:000) ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När Säkerhetspolisen vidtar åtgärder enligt 5 kap. 2 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.

Behörigheter

2 § För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

Säkerhetspolisen ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Dokumentationsskyldighet

Interna strategier

3 § De åtgärder som avses i 5 kap. 1 § Säkerhetspolisens datalag (2018:000) ska, om det inte är obehövligt med hänsyn till verksamhetens begränsade omfattning, innefatta antagande och dokumentation av interna strategier för dataskydd.

Register över behandlingar

4 § Säkerhetspolisen ska förteckna kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Registret ska, förutom namnet på och kontaktuppgifter till myndigheten, gemen-

samt personuppgiftsansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.

1. Den rättsliga grunden för behandlingen.

2. Ändamålen med behandlingen.

3. Kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas.

4. Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.

5. Kategorier av registrerade som berörs av behandlingen.

6. Kategorier av personuppgifter som kan komma att behandlas.

7. Överföringar av personuppgifter till tredjeland eller internationella organisationer.

Loggning

5 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 5 kap. 4 § Säkerhetspolisens datalag (2018:000) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.

Konsekvensbedömning och samråd

6 § Konsekvensbedömningar som avses i 5 kap. 6 § första stycket

Säkerhetspolisens datalag (2018:000) ska dokumenteras och innehålla följande uppgifter.

1. En allmän beskrivning av den planerade behandlingen.

2. En bedömning av riskerna för intrång i registrerades personliga integritet.

3. Vilka åtgärder som planeras för att hantera riskerna.

4. Åtgärder och rutiner för att säkerställa skyddet av personuppgifterna.

5. Rutiner för att visa att tillämpliga dataskyddsregler följs.

7 § Vid förhandssamråd enligt 5 kap. 6 § andra stycket Säkerhetspolisens datalag (2018:000) ska Säkerhetspolisen ge in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan av överträdelser

8 § Säkerhetspolisen ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Säkerheten vid behandling av personuppgifter

9 § Skyddsåtgärder enligt 5 kap. 7 § Säkerhetspolisens datalag (2018:000) ska åstadkomma en skyddsnivå som är lämplig med beaktande av

1. de tekniska möjligheterna,

2. kostnaderna för åtgärderna,

3. behandlingens art, omfattning, sammanhang och ändamål,

4. de särskilda riskerna med behandlingen,

5. om känsliga personuppgifter behandlas, och

6. hur integritetskänsliga övriga personuppgifter som behandlas är.

Dataskyddsombud

10 § Säkerhetspolisen ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.

Säkerhetspolisen ska se till att dataskyddsombud kan utföra de uppgifter som anges i 5 kap. 10 och 11 §§ Säkerhetspolisens datalag (2018:000) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Säker-

hetspolisen ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

11 § Ett avtal eller en annan överenskommelse enligt 5 kap. 13 §

Säkerhetspolisens datalag (2018:000) ska åtminstone ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och Säkerhetspolisens skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska

1. behandla personuppgifter bara enligt instruktioner från Säkerhetspolisen,

2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3. hjälpa Säkerhetspolisen att säkerställa att bestämmelserna om registrerades rättigheter följs,

4. radera eller återlämna alla personuppgifter till Säkerhetspolisen när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,

5. ge Säkerhetspolisen tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 13 § och 5 kap. 12– 14 §§ Säkerhetspolisens datalag följs, och

6. respektera de villkor som framgår av denna paragraf, 12 § och 5 kap. 13 § Säkerhetspolisens datalag vid anlitande av ett annat personuppgiftsbiträde.

Underbiträden

12 § Har Säkerhetspolisen lämnat ett generellt tillstånd enligt 5 kap. 13 § andra stycket Säkerhetspolisens datalag (2018:000), ska personuppgiftsbiträdet informera Säkerhetspolisen innan nya personuppgiftsbiträden anlitas.

Register över behandlingar

13 § Varje personuppgiftsbiträde ska förteckna kategorier av behandlingar av personuppgifter som utförs för Säkerhetspolisens räkning. Registret ska innehålla namnet på och kontaktuppgifter till personuppgiftsbiträdet och Säkerhetspolisen och för varje kategori av behandling följande uppgifter.

1. Namnet på och kontaktuppgifter till eventuella underbiträden.

2. Om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, vilka uppgifter som har överförts och till vem.

3. Om möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

Övriga skyldigheter

14 § Det som sägs om Säkerhetspolisens skyldigheter i 5 och 9 §§ gäller även för personuppgiftsbiträden som Säkerhetspolisen anlitar.

Gemensamt personuppgiftsansvariga

15 § När Säkerhetspolisen är gemensamt personuppgiftsansvarig med annan ska Säkerhetspolisen säkerställa att myndigheterna i en skriftlig överenskommelse reglerar sina respektive förpliktelser i egenskap av personuppgiftsansvariga. Överenskommelsen får inte innebära att Säkerhetspolisens författningsenliga skyldigheter inte fullgörs.

Den registrerade får, trots en sådan överenskommelse som avses i första stycket, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.

Övriga bestämmelser

16 § Innan Säkerhetspolisen meddelar föreskrifter med stöd av denna förordning i frågor som berör särskilda risker för intrång i den personliga integriteten ska myndigheten samråda med tillsynsmyndigheten.

Föreskrifter

17 § Tillsynsmyndigheten får meddela närmare föreskrifter om

1. sådana åtgärder som avses i 5 kap. 1–3 och 7 §§ Säkerhetspolisens datalag (2018:000),

2. krav och rutiner för loggning enligt 5 kap. 4 § Säkerhetspolisens datalag, och

3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 5 kap. 6 § andra stycket Säkerhetspolisens datalag.

5 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 6 kap. 1 och 2 §§ Säkerhetspolisens datalag (2018:000) ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§ denna förordning.

Enskilds begäran

2 § Begäran enligt 6 kap. 2, 6 eller 7 § Säkerhetspolisens datalag (2018:000) ska göras skriftligen hos Säkerhetspolisen.

Säkerhetspolisen ska säkerställa att begäran görs av en behörig person.

Beslut

3 § Beslut enligt 6 kap. 3 § första stycket, 5 § första stycket, 6 och 7 §§ och 9 § andra stycket Säkerhetspolisens datalag (2018:000) ska vara skriftliga. Beslut som går den registrerade emot ska motiveras.

Av 6 kap. 3 § andra stycket Säkerhetspolisens datalag framgår att skälen för vissa beslut inte behöver lämnas ut.

Underrättelser

Underrättelser till enskilda

4 § Sökanden ska underrättas om beslut enligt 6 kap. 3 § första stycket Säkerhetspolisens datalag (2018:000). Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.

5 § Sökanden ska underrättas om beslut enligt 6 kap. 5 § första stycket eller 9 § andra stycket Säkerhetspolisens datalag (2018:000).

6 § Den registrerade ska underrättas om följande beslut enligt

Säkerhetspolisens datalag (2018:000).

1. Beslut enligt 6 kap. 6 eller 7 §.

2. Beslut om att en begränsning enligt 6 kap. 6 § andra stycket upphör.

Underrättelser till andra

7 § Den myndighet från vilken personuppgifter kommer ska underrättas om beslut enligt 6 kap. 6 § första stycket Säkerhetspolisens datalag (2018:000).

Den som har tagit emot personuppgifter ska underrättas om beslut enligt 6 kap. 6 eller 7 § Säkerhetspolisens datalag.

6 kap. Tillsyn

Anmälningsskyldighet

1 § Om tillsynsmyndigheten i sin tillsyn uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till

Åklagarmyndigheten.

Tillsynsmyndigheten ska samråda med Åklagarmyndigheten innan en sådan anmälan görs. Till anmälan ska inspektionen foga

det underlag som finns och även i övrigt lämna det bistånd som behövs i anledning av anmälan.

Förhandssamråd

2 § Om tillsynsmyndigheten anser att sådan planerad behandling som avses i 5 kap. 6 § andra stycket Säkerhetspolisens datalag (2018:000) kan komma att stå i strid med lag eller annan författning, ska myndigheten senast inom tre månader efter att en begäran om samråd mottogs skriftligen lämna råd enligt 7 kap. 4 § första stycket samma lag. Om det finns skäl för det får tiden förlängas.

3 § Tillsynsmyndigheten ska informera Säkerhets- och integritetsskyddsnämnden om att samråd enligt 5 kap. 6 § andra stycket

Säkerhetspolisens datalag (2018:000) har begärts. Om det är lämpligt ska nämnden ges tillfälle att yttra sig till tillsynsmyndigheten inom ramen för samrådet. Säkerhets- och integritetsskyddsnämnden har rätt att få tillgång till underlaget för samrådet och tillsynsmyndighetens yttrande.

7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

1 § Överföringar av personuppgifter enligt 9 kap. 4 § 2 och 5 §

Säkerhetspolisens datalag (2018:000) ska dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som överförts, datum och tidpunkt för överföringen, ändamålet med och grunden för överföringen och till vem personuppgifterna överfördes.

2 § Överföringar av personuppgifter enligt 9 kap. 6 § Säkerhetspolisens datalag (2018:000) ska dokumenteras.

1. Denna förordning träder i kraft den 1 maj 2018.

2. Bestämmelserna i 3 kap. 6 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före ikraftträdandet förrän den 1 maj 2023.

1.28. Förslag till domstolarnas brottsdataförordning (2018:000)

Härigenom föreskrivs följande.

Allmän bestämmelse

1 § I denna förordning finns kompletterande föreskrifter till domstolarnas brottsdatalag (2018:000).

Direktåtkomst

När direktåtkomst är tillåten

2 § Direktåtkomst enligt 2 kap. 12 § domstolarnas brottsdatalag (2018:000) får medges endast i de fall som anges i 3–7 §§ och med de ytterligare begränsningar som enligt 8 § gäller för direktåtkomst till personuppgifter i mål och ärenden som har avgjorts slutligt.

Direktåtkomst vid överklagande

3 § När ett mål eller ärende överklagas får den lägre domstolsinstans som har prövat målet eller ärendet medge högre domstolsinstanser direktåtkomst till personuppgifterna i målet eller ärendet och till personuppgifterna i andra mål och ärenden som har samband med det överklagade målet eller ärendet.

4 § När ett mål eller ärende överklagas får en högre domstolsinstans medge de lägre domstolsinstanser som har prövat målet eller ärendet direktåtkomst till personuppgifterna i målet eller ärendet och till personuppgifterna i andra mål och ärenden som har samband med det överklagade målet eller ärendet.

5 § Vid tillämpningen av 3 och 4 §§ ska en ansökan om resning eller om återställande av försutten tid eller en klagan över domvilla jämställas med ett överklagande.

Direktåtkomst till rättspraxis

6 § Högsta domstolen och hovrätterna får medge en allmän domstol direktåtkomst till domar och beslut. Högsta förvaltningsdomstolen och kammarrätterna får medge en allmän förvaltningsdomstol direktåtkomst till domar och beslut. Direktåtkomsten får även avse

1. uppgifter om parterna och deras ombud, biträden eller försvarare,

2. uppgifter om expediering, delgivning, överklagande och laga kraft,

3. uppgift om saken,

4. ärendemening,

5. uppgift om samband med andra mål,

6. en sammanfattning av domen eller beslutet,

7. uppgifter om domare, handläggare och andra tjänstemän vid domstolen, och

8. andra uppgifter med direkt anknytning till en dom eller ett beslut.

Direktåtkomst i samband med beredskapsverksamhet

7 § Domstolar som tillsammans deltar i beredskap får medge varandra direktåtkomst till personuppgifter som behövs för handläggningen av de mål och ärenden som omfattas av beredskapsverksamheten.

Direktåtkomst till slutligt avgjorda mål och ärenden

8 § När ett mål eller ärende har avgjorts slutligt genom en dom eller ett beslut som har fått laga kraft får direktåtkomst till personuppgifterna i målet eller ärendet medges endast under

1. sex månader efter det att domen eller beslutet fick laga kraft vid direktåtkomst enligt 3–5 §§, och

2. tjugo år efter det att domen eller beslutet fick laga kraft vid direktåtkomst enligt 6 §.

Bemyndigande

9 § Domstolsverket får meddela föreskrifter om tillgången till personuppgifter. För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

10 § Domstolsverket får meddela föreskrifter om begränsning av

1. möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst,

2. möjligheten att lämna ut personuppgifter genom direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, och

3. behandling av personuppgifter som hänför sig till mål eller ärenden som har avgjorts slutligt genom dom eller beslut som har fått laga kraft.

11 § Domstolsverket får meddela de ytterligare föreskrifter som behövs för verkställighet av domstolarnas brottsdatalag (2018:000) och denna förordning.

Innan Domstolsverket meddelar föreskrifter med stöd av denna förordning, ska myndigheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

1. Denna förordning träder i kraft den 1 maj 2018.

2. Bestämmelserna i 8 § om begränsning av direktåtkomst i fråga om slutligt avgjorda mål och ärenden behöver inte tillämpas förrän den 1 januari 2019.

1.29. Förslag till förordning (2018:000) om underrättelseskyldighet för Kriminalvården

Härigenom föreskrivs följande.

1 § Kriminalvården ska lämna underrättelse till nedan angivna myndigheter i följande fall.

Uppgift lämnas till Uppgift lämnas om

1. Totalförsvarets rekryteringsmyndighet

Intagning i eller avgång från kriminalvårdsanstalt av svenska medborgare som under kalenderåret fyller 18–47 år.

Beslut om förlängning av verkställighetstid med minst en månad för intagen om vilken underrättelse har lämnats tidigare.

Verkställighetens början vid verkställighet utanför anstalt i form av intensivövervakning med elektronisk kontroll och tidpunkt för verkställighetens slut för svenska medborgare som under kalenderåret fyller 18–47 år.

2. Försäkringskassan Tidpunkt för frihetsberövande på grund av häktning eller hävande av häktningsbeslut.

Tidpunkt för intagning i eller avgång från kriminalvårdsanstalt eller tidpunkt då verkställighet av fängelsestraff på

annat sätt påbörjades och beslutad tidpunkt för avgång från kriminalvårdsanstalt.

Tidpunkt för påbörjad eller avslutad vårdvistelse eller utökad frigång enligt fängelselagen (2010:610).

Tidpunkt för avvikelse från kriminalvårdsanstalt eller från vistelse utanför anstalt i form av vårdvistelse eller utökad frigång enligt fängelselagen och tidpunkt för återupptagande av sådan verkställighet efter avvikelse.

Tidpunkt för påbörjad eller avslutad vistelse på statens bekostnad i ett sådant familjehem eller hem för vård eller boende som avses i socialtjänstlagen (2001:453) till följd av dom på skyddstillsyn med särskild behandlingsplan.

3. Polismyndigheten Intagning i eller avgång från kriminalvårdsanstalt eller förflyttning till annan anstalt.

Verkställighetens början vid verkställighet utanför anstalt i form av intensivövervakning med elektronisk kontroll och tidpunkt för verkställighetens slut och vistelse utanför anstalt i form av vårdvistelse, vistelse i halvvägshus eller utökad frigång enligt fängelselagen.

Verkställighetens början i kriminalvårdsanstalt när den sammanlagda tiden att avtjäna är fängelse i minst ett år.

Permission eller avgång från kriminalvårdsanstalt, om underrättelsen kan antas vara av betydelse för myndighetens verksamhet.

4. Säkerhetspolisen Intagning i eller avgång från kriminalvårdsanstalt och permission eller förflyttning till annan anstalt, om underrättelsen kan antas vara av betydelse för Säkerhetspolisens verk-

samhet.

Vistelse utanför anstalt i form av vårdvistelse, vistelse i halvvägshus eller utökad frigång enligt fängelselagen, om underrättelsen kan antas vara av betydelse för Säkerhetspolisens verksamhet.

5. Pensionsmyndigheten Tidpunkt för frihetsberövande på grund av häktning eller hävande av häktningsbeslut.

Tidpunkt för intagning i eller avgång från kriminalvårdsanstalt eller tidpunkt då verkställighet av fängelsestraff på annat sätt påbörjades och beslutad tidpunkt för avgång från kriminalvårdsanstalt.

Tidpunkt för påbörjad eller avslutad vårdvistelse eller utökad frigång enligt fängelselagen.

Tidpunkt för avvikelse från kriminalvårdsanstalt eller från vistelse utanför anstalt i form av vårdvistelse eller utökad frigång enligt fängelselagen och tidpunkt för återupptagande av sådan verkställighet efter avvikelse.

Tidpunkt för påbörjad eller avslutad vistelse på statens bekostnad i ett sådant familjehem eller hem för vård eller boende som avses i socialtjänstlagen till följd av dom på skyddstillsyn med särskild behandlingsplan.

2 § Kriminalvården ska på Tullverkets begäran underrätta verket om var en person vistas som är häktad, intagen i kriminalvårdsanstalt eller vistas utanför kriminalvårdsanstalt i form av vårdvistelse.

3 § Bestämmelser om skyldighet för Kriminalvården att i andra fall lämna uppgifter till Polismyndigheten finns i 30 § förordningen (1999:1134) om belastningsregister.

Denna förordning träder i kraft den 1 maj 2018.

1.30. Förslag till förordning om ändring i förordningen (1970:517) om rättsväsendets informationssystem

Härigenom föreskrivs att 1 § förordningen (1970:517) om rättsväsendets informationssystem ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §1

För att samla in, lagra, bearbeta och lämna uppgifter som har samband med verksamhet inom polisen och domstolsväsendet ska personuppgifter behandlas automatiserat i rättsväsendets informationssystem. Informationssystemet ska bestå av delsystem.

Frågor om väsentlig förändring av informationssystemet och om standarder i systemet bereds av den personuppgiftsansvarige i samråd med berörda centrala myndigheter.

Bestämmelser om skyldighet för rättsväsendets myndigheter att på kriminalvårdens område lämna uppgifter finns i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.

I kriminalvårdens brottsdataförordning (2001:682) finns det bestämmelser om skyldighet för rättsväsendets myndigheter att lämna uppgifter.

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:1119.

1.31. Förslag till förordning om ändring i förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m.

Härigenom föreskrivs att 7 d § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 d §1

Beslut av Kriminalvården som överklagas till en förvaltningsrätt ska tas upp av Förvaltningsrätten i Linköping om beslutet gäller en person som inte är inskriven vid en kriminalvårdsanstalt, ett häkte eller ett frivårdskontor i landet och beslutet avser ärenden enligt

1. lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m., eller

2. lagen (2001:617) om behandling av personuppgifter inom kriminalvården.

2. kriminalvårdens brottsdatalag (2001:617).

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2009:872.

1.32. Förslag till förordning om ändring i folkbokföringsförordningen (1991:749)

Härigenom föreskrivs att 5 a § folkbokföringsförordningen (1991:749) ska ha följande lydelse.

5 a §1

Samordningsnummer får tilldelas en person om det inte råder osäkerhet om hans eller hennes identitet.

Även om det råder osäkerhet om en persons identitet, får samordningsnummer tilldelas för

1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2010:362) om polisens allmänna spaningsregister och polisdatalagen (2010:361),

1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och polisens brottsdatalag (2010:361),

2. annan behandling av uppgifter enligt polisdatalagen, eller i övrigt inom rättsväsendets informationssystem,

2. annan behandling av uppgifter enligt polisens brottsdatalag eller Säkerhetspolisens datalag (2018:000), eller i övrigt inom rättsväsendets informationssystem,

3. Migrationsverkets behandling av personuppgifter med stöd av utlänningsdatalagen (2016:27) när det gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller

4. registrering i beskattningsdatabasen.

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2016:31.

1.33. Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

Härigenom föreskrivs att 3 kap. 7 § förordningen (1995:238) om totalförsvarsplikt ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §1

Bestämmelser om skyldighet för Kriminalvården att till Totalförsvarets rekryteringsmyndighet lämna uppgifter finns i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.

I förordningen (2018:000) om Kriminalvårdens underrättelseskyldighet finns det bestämmelser om Kriminalvårdens skyldighet att lämna uppgifter till Totalförsvarets rekryteringsmyndighet.

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2010:1473.

1.34. Förslag till förordning om ändring i förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten

Härigenom föreskrivs att 3 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §1

Justitiekanslern handlägger anspråk på ersättning med stöd av – 36 kap. 17 § andra stycket brottsbalken, – 2 kap. 1 § eller 3 kap. 1 eller 2 § skadeståndslagen (1972:207), om anspråket grundas på ett påstående om felaktigt beslut eller underlåtenhet att meddela beslut,

23 § datalagen (1973:289), – 48 § personuppgiftslagen (1998:204), 2 kap. 6 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och2 kap. 5 § lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet,

48 § personuppgiftslagen (1998:204), 2 kap. 6 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, 2 kap. 5 § lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, 7 kap. 1 § brottsdatalagen (2018:000) och bestämmelser som hänvisar till den bestämmelsen och 8 kap. 1 § Säkerhetspolisens datalag (2018:000).

1 Senaste lydelse 2017:508.

– lagen (1998:714) om ersättning vid frihetsberövanden och andra tvångsåtgärder, dock inte anspråk som avses i 8 § i den lagen,

5 kap. 3 § lagen (2017:496) om internationellt polisiärt samarbete, om anspråket grundas på ett påstående om felaktigt beslut eller underlåtenhet att meddela beslut,

26 § lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser,

46 kap. 20 § skatteförfarandelagen (2011:1244), eller – 44 § kameraövervakningslagen (2013:460). Justitiekanslern handlägger också anspråk på ersättning som grundas på ett påstående om överträdelse av gemenskapsrätten.

Av 4 § följer att vissa anspråk på ersättning med stöd av 3 kap. 1 eller 2 § skadeståndslagen handläggs av Kammarkollegiet.

Denna förordning träder i kraft den 1 maj 2018.

1.35. Förslag till förordning om ändring i vapenförordningen (1996:70)

Härigenom föreskrivs att 1 kap. 4 § vapenförordningen (1996:70) ska ha följande lydelse.

1 kap.

4 §1

Följande kategorier av anställda vid Polismyndigheten får ges tillgång till uppgifter i vapenregister som regleras i 1 a kap. vapenlagen (1996:67):

1. anställda som handlägger vapenärenden,

2. anställda som arbetar vid myndighetens ledningscentraler, och

3. de särskilt angivna tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 7 § andra stycket polisdatalagen(2010:361).

3. de särskilt angivna tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 6 § andra stycket polisens brottsdatalag (2010:361).

Anställda vid Polismyndigheten som upprätthåller allmän ordning och säkerhet, bistår med handräckning eller utreder brott får ges tillgång till uppgift om huruvida någon har tillstånd att inneha vapen.

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:1149.

1.36. Förslag till förordning om ändring i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om förordningen (2001:682) om behandling av personuppgifter inom kriminalvården

dels att 2, 4, 7, 12, 14, 18, 20, 23, 25, 27, 29–33, 39, 43, 45–48 och 50 §§ ska upphöra att gälla,

dels att rubrikerna före 2, 4, 7, 12, 14, 18, 20, 23, 25, 27, 29–33, 45–48, 52, 54 och 55 §§ och rubrikerna efter 37, 45 och 48 §§ ska utgå,

dels att nuvarande 3 § ska betecknas 2 §, att rubriken efter nuvarande 2 § ska placeras efter 1 § och att rubriken före nuvarande 3 § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 3 §, att rubriken efter nuvarande 4 § ska placeras efter nya 2 § och att rubriken före nuvarande 5 § ska placeras före nya 3 §, att nuvarande 8 § ska betecknas 4 § och att rubriken före nuvarande 8 § ska placeras före nya 4 §, att nuvarande 9 § ska betecknas 4 §, att rubriken efter nuvarande 8 § ska placeras efter nya 4 § och att rubriken före nuvarande 9 § ska placeras före nya 5 §, att nuvarande 13 § ska betecknas 7 § och att rubriken före nuvarande 13 § ska placeras före nya 7 §, att nuvarande 15 § ska betecknas 8 §, att rubriken efter nuvarande 14 § ska placeras efter nya 7 § och att rubriken före nuvarande 15 § ska placeras före nya 8 §, att nuvarande 16 § ska betecknas 9 § och att rubriken före nuvarande 16 § ska placeras före nya 9 §, att nuvarande 19 § ska betecknas 10 § och att rubriken före nuvarande 19 § ska placeras före nya 10 §, att nuvarande 21 § ska betecknas 11 §, att rubriken efter nuvarande 20 § ska placeras efter nya 10 § och att rubriken före nuvarande 21 § ska placeras före nya 11 §, att nuvarande 22 § ska betecknas 12 § och att rubriken före nuvarande 22 § ska placeras före nya 12 §, att nuvarande 24 § ska betecknas 13 § och att rubriken före nuvarande 24 § ska placeras före nya 13 §, att nuvarande 26 § ska betecknas 14 §, att rubriken efter nuvarande 25 § ska placeras efter nya 13 § och att rubriken före nuvarande 26 § ska placeras före nya 14 §, att nuvarande 28 § ska betecknas 15 § och att rubriken före nuvarande 28 § ska

placeras före nya 15 §, att nuvarande 34 § ska betecknas 16 §, att rubriken efter nuvarande 33 § ska placeras efter nya 15 § och att rubriken före nuvarande 34 § ska placeras före nya 16 §, att nuvarande 35 § ska betecknas 17 §, att nuvarande 36 § ska betecknas 18 § och att rubriken före nuvarande 36 § ska placeras före nya 18 §, att nuvarande 37 § ska betecknas 19 § och att rubriken före nuvarande 37 § ska placeras före nya 19 §, att nuvarande 40 § ska betecknas 21 §, att rubriken efter nuvarande 37 § ska placeras efter nya 20 § och att rubriken före nuvarande 39 § ska placeras före nya 21 §, att nuvarande 41 § ska betecknas 22 §, att nuvarande 44 § ska betecknas 23 § och att rubriken före nuvarande 44 § ska placeras före nya 23 §, att nuvarande 49 § ska betecknas 25 § och att rubriken före nuvarande 49 § ska placeras före nya 25 §, att nuvarande 51 § ska betecknas 26 § och att rubriken före nuvarande 51 § ska placeras före nya 26 §, att nuvarande 52 § ska betecknas 27 §, att nuvarande 54 § ska betecknas 28 § och att nuvarande 55 § ska betecknas 29 §,

dels att 1 § och nya 2–17, 19, 21–23 och 25, 27–30 §§ och rubrikerna före 1 §, nya 4, 7, 10, 13, 15, 19, 21, 23 och 25 §, ska ha följande lydelse,

dels att rubriken efter nya 4 § ska lyda Behandling av uppgifter om häktade och rubriken före nya 26 § ska lyda Underrättelseskyldighet,

dels att det ska införas två nya paragrafer, 20 och 24 §§, och nya rubriker före 20 och 27 §§ av följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förordning om behandling av personuppgifter inom kriminalvården

Kriminalvårdens brottsdataförordning

Inledande bestämmelser Allmän bestämmelse

1 §

I denna förordning ges kompletterande föreskrifter om sådan behandling av personupp-

I denna förordning finns kompletterande föreskrifter till kriminalvårdens brottsdatalag

gifter som omfattas av lagen (2001:617) om behandling av personuppgifter inom kriminalvården.

(2001:617).

Av 34 och 39 §§ framgår att det inom kriminalvården skall föras ett centralt kriminalvårdsregister och ett säkerhetsregister. I 36 § finns bestämmelser om skyldighet för myndigheter att lämna uppgifter som behövs för det centrala kriminalvårdsregistret.

Av 16 § framgår att Kriminalvården ska föra ett centralt kriminalvårdsregister. I 18 § finns bestämmelser om skyldighet för myndigheter att lämna uppgifter som behövs för registret.

2 §1

I fråga om personer som avses i 1 § första stycket 1–9 lagen (2001:617) om behandling av personuppgifter inom kriminalvården får, i den utsträckning det är nödvändigt för det ändamål för vilket behandlingen utförs, följande personuppgifter behandlas:

Om det är nödvändigt för att utföra en arbetsuppgift för något av de syften som anges i 2 kap. 1 § kriminalvårdens brottsdatalag (2001:617) får uppgifter om följande behandlas:

1. namn, personnummer eller annan identifieringsuppgift, fotografi, adress, telefonnummer, yrke och utbildning, kön, medborgarskap och språk,

2. kommun där den registrerade är folkbokförd och socialdistrikt,

2. kommun där den registrerade är folkbokförd,

3. namn, adress, telefonnummer, telefaxnummer och e-postadress som rör

a) ombud eller ställföreträdare för den registrerade,

b) arbetsgivare, utbildningsanstalt eller liknande och kontaktperson,

c) statlig eller kommunal befattningshavare som i tjänsten tar befattning med den registrerade, och

d) tolk som anlitas av kriminalvården,

d) tolk,

1 Senaste lydelse 2006:1126.

4. närståendes namn, adress och telefonnummer samt relation till den registrerade,

4. närståendes namn, adress, telefonnummer och relation till den registrerade,

5. uppgifter om genomförd personutredning och rättspsykiatrisk undersökning, läkarintyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. samt utredning med ett utlåtande om risk för återfall i brottslighet enligt 10 § lagen (2006:45) om omvandling av fängelse på livstid,

5. genomförd personutredning och rättspsykiatrisk undersökning, läkarintyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. och utredning med utlåtande om risk för återfall i brottslighet enligt 10 § lagen (2006:45) om omvandling av fängelse på livstid,

6. uppgifter om domstols dom eller slutliga beslut som avser fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller förvandlingsstraff för böter eller vite, samt beslut i häktningsfråga,

6. domstols dom eller slutliga beslut som avser fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller förvandlingsstraff för böter eller vite och beslut i häktningsfrågor,

7. uppgifter om domstols avräkningsunderlag,

7. domstols avräkningsunderlag,

8. brott för vilket den registrerade är skäligen misstänkt,

9. uppgifter om ansökan om nåd samt regeringens beslut om nåd,

9. ansökan om nåd och regeringens beslut i sådana frågor,

10. annat beslut av regeringen som avser den registrerade och som har betydelse för verkställigheten av påföljd,

11. uppgifter om ansökan och beslut enligt lagen (2006:45) om omvandling av fängelse på livstid,

11. ansökan och beslut enligt lagen om omvandling av fängelse på livstid,

12. uppgifter om dom, beslut eller föreläggande av allmän förvaltningsdomstol eller av myndighet inom eller utom kriminalvården som avser den registrerade och som har betydelse för

12. dom, beslut eller föreläggande av allmän förvaltningsdomstol eller beslut av en myndighet som avser den registrerade och som har betydelse för verkställigheten av påföljd,

verkställigheten av påföljd,

13. uppgifter om överklagande av domstols dom eller beslut, regeringens beslut eller myndighets beslut,

13. överklagande av domstols dom eller beslut, regeringens beslut eller myndighets beslut,

14. tidpunkt för verkställighetens början, prövotid och övervakningstid,

15. tidpunkt för frigivning från kriminalvårdsanstalt samt återstående strafftid vid villkorlig frigivning,

15. tidpunkt för frigivning från kriminalvårdsanstalt och återstående strafftid vid villkorlig frigivning,

16. uppgifter om verkställighet av samhällstjänst och intensivövervakning med elektronisk kontroll,

16. verkställighet av samhällstjänst och intensivövervakning med elektronisk kontroll,

17. beslut av myndighet i

Sverige eller annan stat om verkställighet av påföljd som avser den registrerade,

17. beslut av myndighet i annan stat om verkställighet av påföljd som avser den registrerade,

18. uppgifter i övrigt angående verkställighet av påföljd,

18. andra uppgifter om verkställighet av påföljd, och

19. tidpunkten för bortfallande av fängelse enligt 35 kap.8 och 9 §§brottsbalken eller förvandlingsstraff för böter eller vite enligt 18 och 21 §§bötesverkställighetslagen (1979:189), och

19. tidpunkten för bortfallande av fängelse enligt 35 kap.8 och 9 §§brottsbalken eller förvandlingsstraff för böter eller vite enligt 18 och 21 §§bötesverkställighetslagen (1979:189).

20. grunden för intagning i häkte eller kriminalvårdsanstalt i fall som avses i 1 § första stycket 8 lagen om behandling av personuppgifter inom kriminalvården ( 2001:617 ) eller anledning till transport inom kriminalvårdens transporttjänst.

3 §2

I fråga om personer som är föremål för personutredning får utöver vad som anges i 3 och 4 §§ följande personuppgifter behandlas:

I fråga om personer som är föremål för personutredning får utöver vad som anges i 2 § uppgifter om följande behandlas:

1. uppgift om att den registrerade är intagen i häkte eller kriminalvårdsanstalt med angivande av häktet eller anstalten,

1. att den registrerade är intagen i häkte eller kriminalvårdsanstalt med angivande av häktet eller anstalten,

2. uppgifter om domstols begäran om personutredning samt uppgifter om begäran om hjälp med yttrande från annan enhet inom Kriminalvården,

2. begäran om personutredning och begäran om hjälp med yttrande från annan enhet inom Kriminalvården,

3. uppgifter om tidigare domar, brott den registrerade tidigare har begått, tidigare ådömd påföljd och uppgifter om verkställigheten av denna,

3. tidigare domar, brott den registrerade tidigare har begått, tidigare ådömd påföljd och uppgifter om verkställigheten,

4. datum då personutredning har lämnats till domstolen,

5. datum för huvudförhandling och domstols dom,

6. uppgift om den påföljd som den registrerade har dömts till eller uppgift om att åtalet har ogillats, och

6. den påföljd som den registrerade har dömts till eller uppgift om att åtalet har ogillats, och

7. uppgifter om den misstänktes personliga förhållanden som behövs för att utreda vilka åtgärder som kan antas förebygga framtida brottslighet.

7. den misstänktes personliga förhållanden om det behövs för att utreda vilka åtgärder som kan antas förebygga framtida brottslighet.

2 Senaste lydelse 2005:1025.

Gallring Längsta tid som personuppgifter får behandlas

4 §3

Uppgifter som avses i 5–7 §§ skall gallras senast två år efter det att det mål i vilket personutredningen har begärts slutligt har avgjorts. Om den som personutredningen avser har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, skall dock uppgifterna gallras senast tio år efter det att den senaste påföljden helt har verkställts.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter som avses i 3 § inte behandlas längre än 1. två år efter det att det mål i vilket personutredningen har begärts slutligt har avgjorts, eller

2. tio år efter det att den senaste påföljden helt har verkställts, om den som personutredningen avser har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst.

5 §4

I fråga om personer som är häktade får utöver vad som anges i 3 och 4 §§ följande personuppgifter behandlas:

I fråga om personer som är häktade får utöver vad som anges i 2 § uppgifter om följande behandlas:

1. uppgifter om den häktades ankomst till häktet och om tilldelat inskrivningsnummer,

2. datum och tidpunkt för anhållande och häktning,

3. restriktioner som avses i 24 kap. 5 a § rättegångsbalken,

4. anknytning till annan häktad eller anhållen med anledning av att denne är misstänkt för delaktighet i samma brott som den häktade,

5. medgivande från den häktade om granskning av försändelse enligt 3 kap. 8 § häkteslagen (2010:611),

6. uppgifter om tid, plats, bevakning och villkor vid besök,

3 Senaste lydelse 2005:10. 4 Senaste lydelse 2011:148.

7. tjänsteutövande besökares namn, adress, telefonnummer och titel,

8. namn, personnummer, adress, telefonnummer och uppgift om språk och relation till den häktade samt sådana uppgifter som avses i 3 kap. 11 § häkteslagen om annan besökare än som avses i 7 och om person som en häktad tillåts att ha elektronisk kommunikation med,

9. tilldelat rum och specialkost samt uppgifter om förvaring av den häktades tillhörigheter,

10. behov av hälso- och sjukvård, 11. behov av vård eller behandling relaterad till missbruk eller till den häktades brottslighet,

12. behov av utbildning och uppgifter om sysselsättning, 13. plats utanför förvaringslokalen där den häktade vistas under permission eller med anledning av sjukdom, undersökning, förhör, förhandling eller liknande,

14. uppgifter om omständigheter som Kriminalvården måste beakta vid frigivning,

15. uppgifter om att den häktade har svensk pension och om underrättelse till Försäkringskassan och Pensionsmyndigheten med anledning av frihetsberövandet,

16. uppgifter om transport, 17. uppgifter om tidigare inträffad fritagning eller avvikelse eller försök eller förberedelse till det samt risk för fritagning eller avvikelse,

18. uppgifter om att den häktade tidigare i häkte eller under verkställigheten av fängelsestraff har gjort sig skyldig till våld eller hot om våld mot personal inom kriminalvården eller mot andra intagna i häkte eller anstalt eller uppgift om framtida risk för sådant våld eller hot,

19. uppgifter om att den häktade tidigare i häkte eller under verkställigheten av fängelsestraff allvarligt stört ordningen inom häktet eller anstalten eller uppgift om framtida risk för sådant handlande,

20. uppgifter om att den häktade tidigare i häkte eller under verkställigheten av fängelsestraff befattat sig med sådana medel som avses i 4 kap. 8 § häkteslagen eller 8 kap. 8 § fängelselagen (2010:610) eller uppgift om framtida risk för befattning med sådana medel,

21. uppgifter om annan misskötsamhet, 22. uppgifter om sådan kontroll som avses i 4 kap. 5 § häkteslagen,

23. underrättelse till häktades beskickning,

23. tidpunkt då den häktade har delgetts domstols dom och uppgifter om nöjdförklaring,

24. tidpunkt då den häktade har delgetts domstols dom och uppgifter om nöjdförklaring,

24. uppgifter om utskrivning, 25. uppgifter om utskrivning, och 25. uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården.

26. uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården.

6 §5

Kriminalvården får i fråga om den som är häktad utöver vad som anges i 3, 4 och 9 §§ behandla personuppgifter i en sådan journal som avses i 5 § häktesförordningen (2010:2011) och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under vistelsen i häkte och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den häktade. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse under vistelsen i häkte.

Kriminalvården får i fråga om den som är häktad utöver vad som anges i 2 och 5 §§ behandla personuppgifter i en sådan journal som avses i 5 § häktesförordningen (2010:2011) och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under vistelsen i häkte och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den häktade. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse under vistelsen i häkte.

5 Senaste lydelse 2011:148.

Gallring Längsta tid som personuppgifter får behandlas

7 §

Uppgifter om en häktad skall gallras senast två år efter det att den häktade har frigivits från häktet.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter om en häktad inte behandlas längre än

1. två år efter det att den häktade frigavs från häktet eller

2. tio år efter det att påföljden helt har verkställts, om den häktade efter att ha frigetts från häkte har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst.

8 §6

I fråga om personer som är dömda till fängelse får utöver vad som anges i 3 och 4 §§ följande personuppgifter behandlas:

I fråga om personer som är dömda till fängelse, är ålagda fängelse som förvandlingsstraff för böter eller vite eller på grund av en utländsk dom ska verkställa fängelsepåföljd i Sverige får utöver det som anges i 2 § uppgifter om följande behandlas:

1. sådana uppgifter som avses i 5 § 7 samt 9 § 1, 6–12, 15–21 och 24 och som när det gäller den som är häktad respektive misstänkt i stället ska avse den som är intagen i kriminalvårdsanstalt,

1. sådana uppgifter som avses i 3 § 7 och 5 § 1, 6–12, 15–21 och 25 och som när det gäller den som är häktad respektive misstänkt i stället ska avse den som är intagen i kriminalvårdsanstalt,

2. anknytning till annan intagen som är dömd för delaktighet i samma brott som den dömde,

6 Senaste lydelse 2015:649.

3. uppgifter om placering i avskildhet och undersökning enligt 6 kap. fängelselagen (2010:610) och om användande av fängsel och undersökning enligt 8 kap. 10 § samma lag,

4. uppgifter om placering på säkerhetsavdelning,

5. uppgift om att målsägande i enlighet med 35 § fängelseförordningen (2010:2010) ska underrättas,

6. uppgifter om permissioner och vistelser utanför anstalt enligt 9 kap. 1 §, 10 kap.1, 2 och 4 §§ samt 11 kap. 1 §fängelselagen,

7. uppgifter om sådan kontroll som avses i 8 kap. 6 § fängelselagen,

8. beslut om att den dömde ska inställa sig i anstalt eller påbörja intensivövervakning med elektronisk kontroll, beslut om uppskov med verkställighet och begäran om förpassning genom Polismyndighetens försorg,

9. övervakarens namn, adress och telefonnummer, 10. uppgift om att den dömde har ålagts näringsförbud, kontaktförbud, förbud enligt 3 kap. 5 § lagen (2015:642) om europeisk skyddsorder eller tillträdesförbud,

11. uppgifter om beslut enligt 26 kap. 18 och 19 §§, 27 kap. 6 § 1 och 2 och 28 kap. 7 § brottsbalken, och

12. uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården.

I fråga om den som verkställer fängelsestraffet genom intensivövervakning med elektronisk kontroll tillämpas bestämmelserna i första stycket 1 när det gäller hänvisningen till 5 § 7 och första stycket 8–12.

I fråga om den som verkställer fängelsestraffet genom intensivövervakning med elektronisk kontroll tillämpas bestämmelserna i första stycket 1 när det gäller hänvisningen till 3 § 7 och första stycket 8–12.

9 §7

Kriminalvården får i fråga om den som är dömd till fängelse utöver vad som anges i 3, 4 och 15 §§ behandla personuppgifter i en sådan journal som avses

Kriminalvården får i fråga om den som avses i 8 § utöver vad som anges i 2 och 8 §§ behandla personuppgifter i en sådan journal som avses i 5 § fängelseför-

7 Senaste lydelse 2011:148.

i 5 § fängelseförordningen (2010:2010), 12 § förordningen (1994:1060) om intensivövervakning med elektronisk kontroll, 4 kap. 6 a § förordningen (1998:642) om verkställighet av frivårdspåföljder och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder om den intagne, den som står under övervakning efter villkorlig frigivning och den som transporteras av kriminalvårdens transporttjänst. Journalen får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

ordningen (2010:2010), 12 §

förordningen (1994:1060) om intensivövervakning med elektronisk kontroll, 4 kap. 6 a § förordningen (1998:642) om verkställighet av frivårdspåföljder och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder rörande den intagne, den som står under övervakning efter villkorlig frigivning och den som transporteras av Kriminalvårdens transporttjänst. Journalen får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

Gallring Längsta tid som personuppgifter får behandlas

10 §8

Uppgifter i en sådan journal som avses i 16 § skall gallras senast tio år efter det att det senaste straffet avseende den registrerade helt har verkställts. I övrigt skall uppgifter om en person som är dömd till fängelse gallras senast två år efter det att villkorlig frigivning har skett

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i en sådan journal som avses i 9 § inte behandlas längre än tio år efter det att det senaste straffet avseende den registrerade helt har verkställts. I övrigt får uppgifter om en person som avses i

8 Senaste lydelse 2005:10.

eller intensivövervakning med elektronisk kontroll har upphört.

8 § inte behandlas längre än två år efter det att villkorlig frigivning har skett eller intensivövervakning med elektronisk kontroll har upphört.

I fråga om uppgifter om personer som avses i 1 § första stycket 8 lagen ( 2001:617 ) om behandling av personuppgifter inom kriminalvården skall dock gallring ske senast två år efter det att den registrerade har lämnat anstalten.

11 §9

I fråga om personer som är dömda till skyddstillsyn får utöver vad som anges i 3 och 4 §§ följande personuppgifter behandlas:

I fråga om personer som är dömda till skyddstillsyn eller som på grund av en utländsk dom ska undergå skyddstillsyn eller motsvarande påföljd i Sverige får utöver vad som anges i 2 § uppgifter om följande behandlas:

1. sådana uppgifter som avses i 5 § 7 samt 15 § 10 och 11,

1. sådana uppgifter som avses i 3 § 7 och 8 § 9–12, och

2. uppgifter om sysselsättning, 2. sysselsättning.

3. övervakarens namn, adress och telefonnummer,

4. uppgifter som är nödvändiga för handläggningen av ett ärende som enligt lag eller förordning ska prövas av Kriminalvården.

9 Senaste lydelse 2011:148.

12 §10

Kriminalvården får i fråga om den som är dömd till skyddstillsyn utöver vad som anges i 3, 4 och 21 §§ behandla personuppgifter i en sådan journal som avses i 2 kap. 10 § och 3 kap. 5 § förordningen (1998:642) om verkställighet av frivårdspåföljder och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den dömde. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

Kriminalvården får i fråga om den som avses i 11 § utöver vad som anges i 2 och 11 §§ behandla personuppgifter i en sådan journal som avses i 2 kap. 10 § och 3 kap. 5 § förordningen (1998:642) om verkställighet av frivårdspåföljder och 6 § andra stycket förordningen (2007:1172) med instruktion för Kriminalvården. En sådan journal får innehålla uppgifter om alla beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den dömde. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

Gallring Längsta tid som personuppgifter får behandlas

13 §11

Uppgifter i en sådan journal som avses i 22 § skall gallras senast tio år efter det att den senaste påföljden avseende den registrerade helt har verkställts. I övrigt skall uppgifter om en person som är dömd till skyddstillsyn gallras senast två år efter det att övervakningen har upp-

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i en sådan journal som avses i 12 § inte behandlas längre än tio år efter det att den senaste påföljden avseende den registrerade helt har verkställts. I övrigt får uppgifter om en person som

10 Senaste lydelse 2011:148. 11 Senaste lydelse 2005:10.

hört. avses i 11 § inte behandlas längre än två år efter det att övervakningen har upphört.

14 §12

Kriminalvården får i fråga om den som är dömd till villkorlig dom med föreskrift om samhällstjänst utöver vad som anges i 3 och 4 §§ behandla personuppgifter i en sådan journal som avses i 3 kap. 5 § förordningen (1998:642) om verkställighet av frivårdspåföljder. En sådan journal får innehålla uppgifter om samtliga beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den dömde. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

Kriminalvården får i fråga om den som är dömd till villkorlig dom med föreskrift om samhällstjänst, eller som på grund av en utländsk dom ska undergå villkorlig dom med föreskrift om samhällstjänst eller motsvarande påföljd i Sverige, utöver vad som anges i 2 § behandla personuppgifter i en sådan journal som avses i 3 kap. 5 § förordningen (1998:642) om verkställighet av frivårdspåföljder. En sådan journal får innehålla uppgifter om samtliga beslut som har fattats, viktiga händelser under verkställigheten och väsentliga uppgifter om vidtagna eller planerade åtgärder som gäller den dömde. Den får även innehålla uppgifter om omständigheter i övrigt som är av betydelse för verkställigheten.

Gallring Längsta tid som personuppgifter får behandlas

15 §13

Uppgifter i en sådan journal som avses i 26 § skall gallras senast tio år efter det att den

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i en

12 Senaste lydelse 2005:1025. 13 Senaste lydelse 2005:10.

senaste påföljden avseende den registrerade helt har verkställts. I övrigt skall uppgifter om en person som är dömd till villkorlig dom med föreskrift om samhällstjänst gallras senast två år efter det att föreskriften om samhällstjänst helt har verkställts.

sådan journal som avses i 14 § inte behandlas längre än tio år efter det att den senaste påföljden avseende den registrerade helt har verkställts. I övrigt får uppgifter om en person som avses i 14 § inte behandlas längre än två år efter det att föreskriften om samhällstjänst helt har verkställts.

16 §14

För de ändamål som anges i 3 § första stycket 1 och 2 lagen (2001:617) om behandling av personuppgifter inom kriminalvården skall Kriminalvården föra ett register (centrala kriminalvårdsregistret) över personer som

Kriminalvården ska föra ett register (centrala kriminalvårdsregistret) över personer som

1. är häktade,

1. har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst,

2. har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst,

2. har ålagts förvandlingsstraff för böter eller vite,

3. har ålagts förvandlingsstraff för böter eller vite, eller

3. eller på grund av en utländsk brottmålsdom skall verkställa en sådan påföljd som avses i 1 och 2 i Sverige.

4. på grund av en utländsk brottmålsdom ska verkställa en sådan påföljd som avses i 2 eller 3 i Sverige.

17 §15

Det centrala kriminalvårdsregistret får innehålla sådana uppgifter som avses i 3 § 1, 5–7,

Det centrala kriminalvårdsregistret får innehålla sådana uppgifter som avses i 2 § 1, 5–7,

14 Senaste lydelse 2005:1025. 15 Senaste lydelse 2011:148.

9–11 och 13–19, i 15 § 1 när det gäller hänvisningen till 9 § 16, i 15 § 6 och 9 och i 21 § 2.

9–11 och 13–19, 5 § 16, 8 § 6 och 9 och i 11 § 2.

Utlämnande av uppgifter m.m. Utlämnande av uppgifter

19 §16

Uppgifter i det centrala kriminalvårdsregistret ska på begäran lämnas ut till Regeringskansliet, en domstol, Åklagarmyndigheten, Ekobrottsmyndigheten, Justitiekanslern, Riksdagens ombudsmän, Polismyndigheten, Säkerhetspolisen, Datainspektionen eller en myndighet som får besluta om frihetsberövande åtgärd enligt lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, utlänningslagen (2005:716) eller lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder.

Uppgifter i centrala kriminalvårdsregistret ska på begäran lämnas ut till Regeringskansliet, en domstol, Åklagarmyndigheten, Ekobrottsmyndigheten, Justitiekanslern, Riksdagens ombudsmän, Polismyndigheten, Säkerhetspolisen och Datainspektionen.

Dessutom får Regeringskansliet, Polismyndigheten och Säkerhetspolisen ha direktåtkomst till registret. För Regeringskansliet får dock endast sådana uppgifter göras tillgängliga som behövs i ärenden om nåd i brottmål.

16 Senaste lydelse 2014:1162.

Direktåtkomst

20 §

Regeringskansliet, Polismyndigheten och Säkerhetspolisen får medges direktåtkomst till registret. För Regeringskansliet får endast sådana uppgifter göras tillgängliga som behövs i ärenden om nåd.

Registrets

ändamål och

innehåll

Registrets innehåll

21 §17

Säkerhetsregistret får utöver vad som anges i 39 § omfatta häktade eller intagna om det finns särskild anledning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att

1. utöva allvarlig brottslig verksamhet,

2. göra sig skyldiga till hets mot folkgrupp enligt 16 kap. 8 § brottsbalken eller sådant brott mot allmän verksamhet som avses i 17 kap. 1, 2 och 10 §§ samma balk,

3. allvarligt störa ordningen inom häktet eller anstalten,

4. delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet, eller

5. förbereda rymning eller fritagning.

17 Senaste lydelse 2011:148.

Om regeringen med stöd av 7 kap. 11 § fängelselagen (2010:610) har beslutat om avvikelser från bestämmelserna i 7 kap. samma lag i fråga om en intagen, ska registret omfatta en sådan intagen, om det inte är uppenbart obehövligt.

Har regeringen med stöd av 7 kap. 11 § fängelselagen (2010:610) beslutat om avvikelser från bestämmelserna i 7 kap. samma lag i fråga om en intagen, ska uppgifter om honom eller henne föras in i säkerhetsregistret, om det inte är uppenbart obehövligt.

22 §

Säkerhetsregistret får föras för att samla, bearbeta och analysera information som ger underlag för åtgärder för att upprätthålla säkerheten eller förebygga brott och får innehålla de uppgifter som behövs för detta ändamål.

Registret skall innehålla

Av registret ska framgå

1. skälen för registrering, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och

1. skälen för registrering och de omständigheter som föranlett registeringen, och

2. upplysning om varifrån uppgifter i registret kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

2. upplysning om varifrån uppgifterna kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

Säkerhetsregistret får om det är oundgängligen nödvändigt innehålla känsliga uppgifter. För sökning i säkerhetsregistret får känsliga uppgifter användas som sökbegrepp.

Direktåtkomst och utlämnande

av uppgifter inom kriminal-

vården

Utlämnande av uppgifter

23 §18

Rikspolischefen, säkerhetspolischefen och de personer som respektive chef utser får ha direktåtkomst till uppgifter om huruvida en person är registrerad i säkerhetsregistret. Polismyndigheten och Säkerhetspolisen får lämna ut en sådan uppgift till Åklagarmyndigheten och Ekobrottsmyndigheten, om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Uppgifter i säkerhetsregistret får, efter prövning av chefen för Kriminalvården eller av de personer som han eller hon utser, lämnas ut till Polismyndigheten eller Säkerhetspolisen. Utlämnandet får endast avse uppgifter som kan antas ha särskild betydelse för

Uppgifter i säkerhetsregistret ska lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten, om uppgiften kan antas ha särskild betydelse för

1. en pågående undersökning i

Polismyndighetens eller Säkerhetspolisens brottsutredande verksamhet,

1. en förundersökning,

2. andra brottsbekämpande åtgärder, eller

3. att upprätthålla ordningen och säkerheten i Kriminalvårdens verksamhet.

18 Senaste lydelse 2014:1162.

Uppgifter i säkerhetsregistret får, efter prövning av chefen för Kriminalvården eller av de personer som han eller hon utser, även lämnas ut till Regeringskansliet om uppgiften kan antas ha betydelse i ärenden

Uppgifter i säkerhetsregistret ska lämnas ut till Regeringskansliet om uppgiften kan antas ha betydelse i ärenden

1. om nåd i brottmål,

2. enligt lagen (1991:572) om särskild utlänningskontroll, eller

3. enligt 7 kap. 11 § eller 13 kap. 6 §fängelselagen (2010:610). Uppgifter i säkerhetsregistret får, efter prövning av chefen för Kriminalvården eller av de personer som han eller hon utser, även lämnas ut till allmän domstol om uppgiften kan antas ha betydelse i ärenden som handläggs enligt lagen (2006:45) om omvandling av fängelse på livstid.

Uppgifter i säkerhetsregistret får lämnas ut till en allmän domstol om uppgiften kan antas ha betydelse i ärenden enligt lagen (2006:45) om omvandling av fängelse på livstid.

Direktåtkomst

24 §

Direktåtkomst till säkerhetsregistret ska begränsas till uppgifter om huruvida någon som har registrerats med stöd av 3 kap. 2 § andra stycket 1–4 kriminalvårdens brottsdatalag ( 2001:617 ) förekommer i registret.

Skyldighet att anmäla oriktighet i register, m.m.

Skyldighet att anmäla oriktighet i register

25 §19

Den som i tjänsten tar del av uppgifter ur det centrala kriminalvårdsregistret eller säkerhetsregistret och misstänker att registrets innehåll är oriktigt skall genast anmäla det till Kriminalvården.

Den som i tjänsten tar del av uppgifter i centrala kriminalvårdsregistret eller säkerhetsregistret och misstänker att registrets innehåll är oriktigt ska genast anmäla det till Kriminalvården.

Föreskrifter

26 §20

Riksarkivet får, efter samråd med Kriminalvården, meddela föreskrifter om att uppgifter som skall gallras enligt bestämmelser i denna förordning får bevaras för historiska, statistiska och vetenskapliga ändamål.

Riksarkivet får, efter att ha gett Kriminalvården tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt denna förordning får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

27 §21

Kriminalvården meddelar närmare föreskrifter om omfattningen av uppgiftsskyldigheten i 36 och 46 §§ samt om tiden och sättet för att fullgöra den efter samråd med berörd myndighet.

Kriminalvården får, efter att ha gett berörd myndighet tillfälle att yttra sig, meddela föreskrifter om omfattningen av uppgiftsskyldigheten i 18 och 26 §§ och om tiden och sättet för att fullgöra den.

19 Senaste lydelse 2005:1025. 20 Senaste lydelse 2005:1025. 21 Senaste lydelse 2014:1162.

28 §22

Kriminalvården får meddela föreskrifter om begränsningar av de uppgifter som behandlas för ett visst ändamål.

Kriminalvården får meddela föreskrifter om begränsning av de personuppgifter som behandlas enligt 2 kap. 1 § kriminalvårdens brottsdatalag (2001:617).

29 §23

Kriminalvården får efter samråd med Datainspektionen meddela de ytterligare föreskrifter som behövs för verkställighet av lagen (2001:617) om behandling av personuppgifter inom kriminalvården och denna förordning.

Kriminalvården får meddela de ytterligare föreskrifter som behövs för verkställighet av kriminalvårdens brottsdatalag (2001:617) och denna förordning.

Innan Kriminalvården meddelar föreskrifter med stöd av denna förordning, ska myndigheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

1. Denna förordning träder i kraft den 1 maj 2018.

2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som omhändertagits för arkivering före ikraftträdandet av denna förordning.

22 Senaste lydelse 2005:1025. 23 Senaste lydelse 2005:1025.

1.37. Förslag till förordning om ändring i förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang

Härigenom förskrivs att 2 § förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Om en domstol eller åklagare beslutar om tillträdesförbud eller häver eller ändrar ett sådant förbud, ska Polismyndigheten underrättas om beslutet. Åklagarmyndigheten ska, i fråga om den som är föremål för registrering enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang, till Polismyndigheten även lämna sådana uppgifter som anges i 8 § samma lag och som myndigheten har tillgång till i ett ärende som rör tillträdesförbud.

Om en domstol eller en åklagare beslutar om tillträdesförbud eller häver eller ändrar ett sådant förbud, ska Polismyndigheten underrättas om beslutet. Åklagarmyndigheten ska, i fråga om den som är föremål för registrering i tillträdesförbudsregistret, till Polismyndigheten även lämna sådana uppgifter som anges i 5 kap. 24 § polisens brottsdatalag (2010:361)och som myndigheten har tillgång till i ett ärende som rör tillträdesförbud.

Bestämmelser om registrering av beslut om tillträdesförbud finns i lagen (1998:620) om belastningsregister och förordningen (1999:1134) om belastningsregister samt i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang och förordningen (2015:54)

Bestämmelser om registrering av beslut om tillträdesförbud finns i

1. lagen (1998:620) om belastningsregister,

2. förordningen (1999:1134) om belastningsregister,

3. polisens brottsdatalag (2010:361), och

1 Senaste lydelse 2015:56.

om register över tillträdesförbud vid idrottsarrangemang.

4. förordningen (2015:54) om register över tillträdesförbud vid idrottsarrangemang.

Denna förordning träder i kraft den 1 maj 2018.

1.38. Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden

Härigenom föreskrivs att 2 och 20 §§ förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Myndigheten har till uppgift att i ärenden om registerkontroll enligt säkerhetsskyddslagen (1996:627) pröva frågor om utlämnande av uppgifter

1. från register som omfattas av lagen (1998:620) om belastningsregister,

2. från register som omfattas av lagen (1998:621) om misstankeregister,

2. från register som omfattas av lagen (1998:621) om misstankeregister, och

3. från register som omfattas av lagen ( 2010:362 ) om polisens allmänna spaningsregister, och

4. som behandlas med stöd av polisdatalagen (2010:361).

3. som Polismyndigheten eller Säkerhetspolisen behandlar med stöd av brottsdatalagen (2018:000), polisens brottsdatalag (2010:361) eller Säkerhetspolisens datalag (2018:000).

Myndigheten ska pröva frågor om utlämnande av uppgifter även i sådana fall som avses i 10 § förordningen (1989:149) om bevakningsföretag m.m. och 7 § skyddsförordningen (2010:523).

1 Senaste lydelse 2010:1158.

20 §2

Om nämnden i sin verksamhet uppmärksammar förhållanden som kan utgöra brott, ska nämnden anmäla det till Åklagarmyndigheten (Riksåklagarens kansli) eller annan behörig myndighet.

Om nämnden uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten gentemot en fysisk eller en juridisk person, ska nämnden anmäla det till Justitiekanslern.

Om nämnden när den utför kontroll enligt 3 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten gentemot en fysisk eller en juridisk person, ska nämnden anmäla det till Justitiekanslern.

Om nämnden finner omständigheter som Datainspektionen bör uppmärksammas på, ska nämnden anmäla det till inspektionen.

Om nämnden bedömer att

Säkerhetspolisen brister i sina skyldigheter vid behandling av personuppgifter på sådant sätt att Datainspektionens korrigerande befogenheter kan behöva användas, ska nämnden anmäla det till inspektionen.

Nämnden ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första–tredje styckena lämnas.

Till anmälan ska nämnden foga sin utredning. Efter det att anmälan har gjorts ska nämnden lämna myndigheten det biträde som behövs.

Nämnden ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första–tredje styckena ges in.

När anmälan har gjorts ska nämnden lämna myndigheten det biträde som behövs. Myndigheten har rätt att ta del av nämndens underlag i den utsträckning som behövs.

Denna förordning träder i kraft den 1 maj 2018.

2 Senaste lydelse 2009:1516.

1.39. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 2 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

2 §1

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).

Myndighet Handlingar som innehåller

sekretessreglerade uppgifter och som inte behöver registreras

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Pensionsmyndigheten – handlingar i försäkringsärenden, och

– statistiskt primärmaterial

Polismyndigheten – anteckningar om det

löpande polisarbetet,

– sådana protokoll enligt 27 och 28 §§polislagen (1984:387) eller enligt lagen (1976:511) om omhändertagande av berusade personer m.m. som avser avvisningar, avlägsnanden, omhändertaganden, gripanden eller fängselanvändning och som inte registreras i särskilda ärenden,

– underrättelser från Kriminalvården om permissioner,

– handlingar som utgör

1 Senaste lydelse 2016:864.

underlag för belastningsregistret, misstankeregistret, register enligt 4 kap. polisdatalagen (2010:361) eller för på motsvarande sätt strukturerade uppgiftssamlingar som avser brottslig verksamhet och som förs med stöd av polisdatalagen,

– framställningar om fingeravtrycksundersökning, och

– statistiskt primärmaterial

Riksbanken – statistiskt primärmaterial – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Statistiska centralbyrån – statistiskt primärmaterial Säkerhetspolisen – anteckningar om det

löpande polisarbetet,

– underrättelser från Kriminalvården om permissioner,

– handlingar som utgör underlag för strukturerade uppgiftssamlingar som avser brottslig verksamhet och som förs med stöd av polisdatalagen,

Totalförsvarets rekryteringsmyndighet

– patientjournaler som rör totalförsvarspliktiga

Tullverket – handlingar som rör klarering av varor och transportmedel,

– handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och

– handlingar som ingår i informationssystemet om transporter av sprit och cigaretter

åklagarmyndigheter – utdrag ur folkbokföringsdatabasen,

– utdrag ur belastningsregistret, misstankeregistret och register enligt polisdatalagen(2010:361),

– utdrag ur vägtrafikregistret, och

– rekvisitioner av sådana utdrag

Föreslagen lydelse

2 §

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).

Myndighet Handlingar som innehåller

sekretessreglerade uppgifter och som inte behöver registreras

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Pensionsmyndigheten – handlingar i försäkringsärenden, och

– statistiskt primärmaterial

Polismyndigheten – anteckningar om det löpande polisarbetet,

– sådana protokoll enligt 27 och 28 §§polislagen (1984:387) eller enligt lagen (1976:511) om omhändertagande av berusade personer m.m. som avser avvisningar, avlägsnanden, omhändertaganden, gripanden eller fängselanvändning och som inte registreras i särskilda ärenden,

– underrättelser från Kriminalvården om permissioner,

– handlingar som utgör underlag för belastningsregistret, misstankeregistret, register enligt 5 kap. polisens brottsdatalag (2010:361) eller för på motsvarande sätt strukturerade uppgiftssamlingar som avser

brottslig verksamhet och som förs med stöd av polisens brottsdatalag,

– framställningar om fingeravtrycksundersökning, och

– statistiskt primärmaterial

Riksbanken – statistiskt primärmaterial – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Statistiska centralbyrån – statistiskt primärmaterial Säkerhetspolisen – anteckningar om det löpande polisarbetet,

– underrättelser från Kriminalvården om permissioner,

– handlingar som utgör underlag för strukturerade uppgiftssamlingar som avser brottslig verksamhet och som förs med stöd av Säkerhetspolisens datalag (2018:000),

Totalförsvarets rekryteringsmyndighet

– patientjournaler som rör totalförsvarspliktiga

Tullverket – handlingar som rör klarering av varor och transportmedel,

– handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och

– handlingar som ingår i informationssystemet om transporter av sprit och cigaretter

åklagarmyndigheter – utdrag ur folkbokföringsdatabasen,

– utdrag ur belastningsregistret, misstankeregistret och register enligt polisens brottsdatalag (2010:361),

– utdrag ur vägtrafikregistret, och

– rekvisitioner av sådana utdrag

Denna förordning träder i kraft den 1 maj 2018.

1.40. Förslag till förordning om ändring i polisdataförordningen (2010:1155)

Härigenom föreskrivs i fråga om polisdataförordningen (2010:1155)

dels att 2–4, 6, 8, 10, 12, 17 och 18 §§ ska upphöra att gälla,

dels att rubrikerna före 2, 3 och 14 § ska utgå,

dels att nuvarande 4 a § ska betecknas 2 § och att rubriken efter nuvarande 2 a § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 3 § och att rubriken före nuvarande 5 § ska placeras före nya 3 §, att nuvarande 7 § ska betecknas 4 §, att nuvarande 11 § ska betecknas 5 § och att rubriken före nuvarande 10 § ska placeras före nya 5 §, att nuvarande 13 § ska betecknas 6 §, att nuvarande 14 § ska betecknas 7 §, att nuvarande 15 § ska betecknas 8 §, att nuvarande 16 § ska betecknas 9 §, att nuvarande 18 a § ska betecknas 10 §, att nuvarande 18 b § ska betecknas 11 §, att nuvarande 19 § ska betecknas 12 § och att rubriken före nuvarande 19 § ska placeras före nya 12 §, att nuvarande 20 § ska betecknas 13 § och att rubriken före nuvarande 20 § ska placeras före nya 13 §, att nuvarande 21 § ska betecknas 14 §, att nuvarande 22 § ska betecknas 15 §, att nuvarande 23 § ska betecknas 16 §, att nuvarande 24 § ska betecknas 17 §, att nuvarande 25 § ska betecknas 18 §, att nuvarande 26 § ska betecknas 19 §, att nuvarande 27 § ska betecknas 20 § och att rubriken före nuvarande 27 § ska placeras före nya 20 §, att nuvarande 28 § ska betecknas 21 § och att rubriken före nuvarande 28 § ska placeras före nya 21 § och att nuvarande 29 § ska betecknas 22 §,

dels att rubriken efter nuvarande 18 b § ska placeras efter nya 11 § och lyda Längsta tid för behandling m.m.,

dels att 1 §, nya 2–9 och 12–22 §§ och rubrikerna före nya 5, 13 och 20 §§, ska ha följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Polisdataförordning Polisens brottsdataförordning

1 §

I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen (2010:361). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

I denna förordning finns kompletterande föreskrifter till polisens brottsdatalag (2010:361).

2 §1

Endast tjänstemän vid den finansunderrättelseenhet vid Polismyndigheten som anges i 35 § förordningen (2014:1102) med instruktion för Polismyndigheten får ha tillgång till uppgifter i penningtvättsregister som förs med stöd av 4 kap. 18 § polisdatalagen (2010:361).

Endast tjänstemän vid den finansunderrättelseenhet vid Polismyndigheten som anges i 35 § förordningen (2014:1102) med instruktion för Polismyndigheten får ha tillgång till uppgifter i penningtvättsregister som förs med stöd av 5 kap.

18 § polisens brottsdatalag (2010:361).

Endast tjänstemän vid den nationella funktion för internationella uppgifter vid Polismyndigheten som anges i 35 § förordningen med instruktion för Polismyndigheten får ha tillgång till uppgifter i det internationella registret som förs med stöd av 4 kap. 21 § polisdatalagen.

Endast tjänstemän som fullgör arbetsuppgifter vid den nationella funktion för internationella uppgifter vid Polismyndigheten som anges i 35 § förordningen med instruktion för Polismyndigheten får ha tillgång till uppgifter i det internationella registret som förs med stöd av 5 kap. 21 § polisens brottsdatalag.

1 Senaste lydelse 2014:1181.

Vid Polismyndigheten ska det löpande föras en förteckning över de tjänstemän vid myndigheten som behandlar uppgifter enligt första och andra styckena.

3 §2

Vid sökning enligt 3 kap. 6 § polisdatalagen (2010:361) får uppgift som visar att den sökta personen tidigare varit misstänkt för ett visst brott inte tas fram om en domstol, genom avgörande som har vunnit laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ned.

Vid sökning enligt 3 kap. 5 § polisens brottsdatalag (2010:361) får uppgifter som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ner.

Polismyndigheten får meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 3 kap. 6 § första stycket polisdatalagen . Särskild hänsyn ska då tas till den enskildes rätt till skydd mot intrång i den personliga integriteten. Tillgången till personuppgifter om tidigare misstankar om brott ska särskilt begränsas.

4 §3

Vid Polismyndigheten ska det löpande föras en förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 7 § andra stycket polis-datalagen (2010:361).

Polismyndigheten och Ekobrottsmyndigheten ska löpande föra förteckning över de tjänstemän vid respektive myndighet som utför uppgifter enligt 3 kap. 6 § andra stycket polisens brottsdatalag (2010:361).

2 Senaste lydelse 2014:1181. 3 Senaste lydelse 2014:1181.

Ändamål för behandling och utlämnande av vissa uppgifter

Utlämnande av personuppgifter

5 §

Om en uppgift i en förundersökning kan antas ha betydelse för en konkursutredning, får uppgiften lämnas ut till konkursförvaltaren.

Om en uppgift i en förundersökning kan antas ha betydelse för en konkursutredning, har konkursförvaltaren rätt att ta del av uppgiften.

6 §

Uppgifter som behandlas enligt 2 kap. 7 § polisdatalagen(2010:361) får, om det är förenligt med svenska intressen, lämnas ut till en utländsk myndighet som ansvarar för bekämpning av penningtvätt eller finansiering av särskilt allvarlig brottslighet, om det behövs för att den utländska myndigheten ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Personuppgifter som behandlas enligt 2 kap. 1 § polisens brottsdatalag (2010:361) får, om det är förenligt med svenska intressen, lämnas ut till en utländsk myndighet som ansvarar för bekämpning av penningtvätt eller finansiering av särskilt allvarlig brottslighet, om det behövs för att den utländska myndigheten ska kunna förebygga, förhindra, upptäcka, utreda eller lagföra brott.

7 §4

Polismyndigheten får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 3 kap. 8 § polisdatalagen (2010:361).

Polismyndigheten får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst enligt 3 kap. 7 § polisens brottsdatalag (2010:361). Detsamma gäller Ekobrottsmyndigheten.

Direktåtkomst till uppgifterna får inte medges innan Polismyndigheten har försäkrat sig

Direktåtkomst får inte medges innan Polismyndigheten respektive Ekobrottsmyndigheten

4 Senaste lydelse 2014:1181.

om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

8 §5

Säkerhetspolisens, Ekobrottsmyndighetens, Åklagarmyndighetens, Tullverkets och Kustbevakningens direktåtkomst enligt 4 kap. 10 § polisdatalagen(2010:361) till register över

DNA-profiler ska begränsas till uppgifter om huruvida någon förekommer i sådana register.

Säkerhetspolisens, Ekobrottsmyndighetens, Åklagarmyndighetens, Tullverkets och Kustbevakningens direktåtkomst enligt 5 kap. 10 § polisens brottsdatalag (2010:361) till register över dna-profiler ska begränsas till uppgifter om huruvida någon förekommer i sådana register.

9 §6

Säkerhetspolisens, Ekobrottsmyndighetens, Tullverkets, Kustbevakningens och Skatteverkets direktåtkomst enligt 4 kap. 17 § polisdatalagen (2010:361) till personuppgifter om fingeravtryck ska begränsas till uppgifter om huruvida någon förekommer i fingeravtrycksregister.

Säkerhetspolisens, Ekobrottsmyndighetens, Tullverkets, Kustbevakningens och Skatteverkets direktåtkomst enligt 5 kap. 17 § polisens brottsdatalag (2010:361) till fingeravtrycks- och signalementsregister ska begränsas till uppgifter om huruvida någon förekommer i fingeravtrycksregister.

12 §7

När Polismyndigheten eller

Säkerhetspolisen arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från myndighetens brottsbekämpande

När uppgifter och handlingar arkiveras digitalt ska uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap.

1 § polisens brottsdatalag

5 Senaste lydelse 2014:1181. 6 Senaste lydelse 2014:1181. 7 Senaste lydelse 2014:1181.

verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

(2010:361). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Polismyndigheten respektive

Säkerhetspolisen får, efter samråd med Riksarkivet, meddela närmare föreskrifter om digital arkivering.

Polismyndigheten får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

Bevarande av uppgifter Fortsatt behandling av vissa personuppgifter

13 §

I 21–26 §§ föreskrivs att vissa kategorier av uppgifter i brottsanmälningar och avslutade förundersökningar får behandlas i polisens brottsbekämpande verksamhet efter utgången av den tid som anges i 3 kap. 10 och 11 §§polisdatalagen (2010:361). Detsamma gäller uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

I 14–19 §§ föreskrivs att vissa kategorier av personuppgifter i brottsanmälningar och avslutade förundersökningar får behandlas för ändamål som omfattas av tillämpningsområdet för polisens brottsdatalag (2010:361), trots att den tid som anges i 4 kap. 3 och 4 §§ samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

När uppgifter får behandlas enligt 21–26 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

När personuppgifter får behandlas enligt 14–19 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer eller liknande referensuppgift,

1. ärendenummer eller liknande referensuppgifter,

2. brottskod, och 2. brottskoder, och

3. uppgifter om omständigheterna kring brottet.

14 §

Uppgifter om den dömde i en förundersökning som lett till fällande dom får behandlas efter utgången av den tid som anges i 3 kap. 11 § första stycket polis-datalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifter om den dömde i en förundersökning som har lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket polisens brottsdatalag (2010:361) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifterna ska dock gallras senast i samband med att uppgifterna om den dömde gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

15 §

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ned eller har avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas efter utgången av den tid som anges i 3 kap. 11 § andra stycket polisdatalagen(2010:361), om behandlingen är nödvändig för att trots detta kunna lagföra personen.

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller har avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas om det är nödvändigt för att kunna lagföra personen trots att den tid som anges i 4 kap. 4 § andra stycket polisens brottsdatalag (2010:361) har löpt ut.

Uppgifterna ska dock gallras senast då åtal inte längre får väckas för brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast sjuttio år från den dag då brottet begicks.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast sjuttio år från den dag då brottet begicks.

16 §8

Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas efter utgången av den tid som anges i 3 kap. 10 och 11 §§ polisdatalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket fängelse i fyra år eller däröver är föreskrivet.

Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas trots att den tid som anges i 4 kap. 3 och 4 §§ polisens brottsdatalag (2010:361) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

Uppgifterna ska dock gallras, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Behandlingen ska dock upphöra, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Polismyndigheten får i samråd med Säkerhetspolisen meddela närmare föreskrifter om vid vilka typer av brott det får anses finnas en sådan risk för återfall som anges i första stycket.

17 §

Om uppgifter om egendom som har varit föremål för brott finns i en förundersökning eller i en brottsanmälan, får uppgif-

Om uppgifter om egendom som har varit föremål för brott finns i en förundersökning eller i en brottsanmälan, får uppgif-

8 Senaste lydelse 2014:1181.

terna behandlas efter utgången av den tid som anges i 3 kap. 10 och 11 §§polisdatalagen (2010:361), om behandlingen av särskilda skäl är nödvändig för att kunna återställa egendomen till rätt ägare eller för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet.

terna behandlas trots att den tid som anges i 4 kap. 3 och 4 §§ polisens brottsdatalag (2010:361) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att kunna återställa egendomen till rätt ägare eller för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet.

Personuppgifter knutna till sådan egendom ska dock gallras när behandlingen inte längre är nödvändig för något av de ändamål som anges i första stycket.

Behandlingen av personuppgifter som avser sådan egendom ska dock upphöra när den inte längre är nödvändig för något av de ändamål som anges i första stycket.

18 §

Uppgifter om en person som är eftersökt såsom försvunnen får behandlas så länge uppgiften behövs för ändamålet med behandlingen.

Uppgifter om att en person varit eftersökt som försvunnen får inte behandlas för ändamålet att återfinna personen längre än tre månader efter det att personen har anträffats.

Uppgifterna ska dock gallras senast tre månader efter det att personen har anträffats.

19 §

Skildringar av barn i det digitala referensbiblioteket över barnpornografiska framställningar får behandlas efter utgången av den tid som anges i 3 kap. 10 och 11 §§ polisdatalagen (2010:361), om behandlingen är nödvändig för att förebygga, förhindra eller upptäcka följande brott mot barn: brott

Skildringar av barn i det digitala referensbiblioteket över barnpornografiska framställningar får behandlas efter utgången av den tid som anges i 4 kap. 3 och 4 §§ polisens brottsdatalag (2010:361), om behandlingen är nödvändig för att förebygga, förhindra eller upptäcka följande brott mot barn: brott

mot 4 kap. 1 a §, 6 kap. eller 16 kap. 10 a §brottsbalken.

mot 4 kap. 1 a §, 6 kap. eller 16 kap. 10 a §brottsbalken.

Uppgifterna ska dock gallras senast fyrtio år efter det att de infördes i referensbiblioteket.

Behandlingen ska dock upphöra senast fyrtio år efter det att skildringarna infördes i referensbiblioteket.

Undantag från gallring Behandling för arkivändamål av allmänt intresse m.m.

20 §9

Riksarkivet får, efter samråd med Polismyndigheten respektive

Säkerhetspolisen, meddela föreskrifter om att uppgifter som ska gallras enligt 2 kap. 13 §, 3 kap. 14 §, 4 kap. 14, 15, 20 och 22 §§ eller 6 kap. 7 och 12 §§ polisdatalagen (2010:361) får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Riksarkivet får, efter att ha gett berörd myndighet tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som avses i 4 kap. 2 och 7–10 §§ och 5 kap. 15, 16, 20 och 22 §§ polisens brottsdatalag (2010:361) får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

21 §10

Polismyndigheten och Säkerhetspolisen får för sina respektive verksamhetsområden meddela de ytterligare föreskrifter som behövs för verkställighet av polis-datalagen (2010:361) och denna förordning.

Polismyndigheten får, efter att ha gett berörd myndighet tillfälle att yttra sig, meddela de ytterligare föreskrifter som behövs för verkställighet av polisens brottsdatalag (2010:361) och denna förordning.

22 §11

Innan Polismyndigheten eller

Säkerhetspolisen meddelar föreskrifter med stöd av denna för-

Innan Polismyndigheten meddelar föreskrifter med stöd av denna förordning, ska myn-

9 Senaste lydelse 2015:450. 10 Senaste lydelse 2014:1181. 11 Senaste lydelse 2014:1181.

ordning i frågor som berör särskilda risker för intrång i den personliga integriteten ska myndigheten samråda med Datainspektionen och Säkerhets- och integritetsskyddsnämnden.

digheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

Denna förordning träder i kraft den 1 maj 2018.

1.41. Förslag till förordning om ändring i kustbevakningsdataförordningen (2012:146)

Härigenom föreskrivs i fråga om kustbevakningsdataförordningen (2012:146)

dels att 2–5, 7–9, 11, 19 och 20 §§ ska upphöra att gälla,

dels att rubriken efter 2 § och rubrikerna före 3 och 19 §§ ska utgå,

dels att nuvarande 6 § ska betecknas 2 § och att rubriken före nuvarande 5 § ska placeras före nya 2 §, att nuvarande 10 § ska betecknas 4 § och att rubriken före nuvarande 8 § ska placeras före nya 4 §, att rubriken efter nuvarande 11 § ska placeras efter nya 4 §, att nuvarande 12 § ska betecknas 5 § och att rubriken före nuvarande 12 § ska placeras före nya 5 §, att nuvarande 13 § ska betecknas 11 §, att nuvarande 14 § ska betecknas 6 § och att rubriken före nuvarande 14 § ska placeras före nya 6 §, att nuvarande 15 § ska betecknas 7 §, att nuvarande 16 § ska betecknas 8 §, att nuvarande 17 § ska betecknas 9 § och att nuvarande 18 § ska betecknas 10 §,

dels att 1 §, nya 2–11 §§ och rubrikerna före 1 § och nya 4–6 §§ och efter nya 4 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 §, och en ny rubrik före nya 11 § av följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Kustbevakningsdataförordning Kustbevakningens brottsdataförordning

Inledande bestämmelser Allmän bestämmelse

1 §

I denna förordning finns kompletterande föreskrifter om sådan behandling av personupp-

I denna förordning finns kompletterande föreskrifter till

Kustbevakningens brottsdatalag

gifter som omfattas av kustbevakningsdatalagen (2012:145). De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

(2012:145).

2 §

Vid sökning enligt 4 kap. 5 § kustbevakningsdatalagen(2012:145) får uppgifter som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har vunnit laga kraft, har ogillat åtalet, meddelat frikännande dom eller skrivit av målet sedan åtalet lagts ned.

Vid sökning enligt 3 kap. 4 §

Kustbevakningens brottsdatalag (2012:145) får uppgift som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller skrivit av målet sedan åtalet lagts ner.

Kustbevakningen får meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 4 kap. 5 § första stycket kustbevakningsdatalagen . Särskild hänsyn ska då tas till den enskildes rätt till skydd mot intrång i den personliga integriteten. Tillgången till personuppgifter om tidigare misstankar om brott ska särskilt begränsas.

3 §

Kustbevakningen ska löpande föra förteckning över de tjänstemän som utför uppgifter enligt 3 kap. 5 § andra stycket kustbevakningens brottsdatalag ( 2012:145 ).

Elektroniskt utlämnande av personuppgifter

Direktåtkomst

4 §

Kustbevakningen får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till personuppgifter för de myndigheter som anges i 9 § denna förordning och i 4 kap. 7 § kustbevakningsdatalagen (2012:145).

Kustbevakningen får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst enligt 3 kap. 6 § Kustbevakningens brottsdatalag (2012:145).

Direktåtkomst till uppgifterna får inte medges innan Kustbevakningen har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

Direktåtkomst får inte medges innan Kustbevakningen har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

Bevarande och gallring Längsta tid för behandling m.m.

Allmänna bestämmelser om arkivering och gallring

Digital arkivering

5 §

När Kustbevakningen arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från myndighetens brottsbekämpande verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

När uppgifter och handlingar arkiveras digitalt ska uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap. 1 § Kustbevakningens brottsdatalag (2012:145). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Bevarande av personuppgifter som behandlas i den brottsbekämpande verksamheten

Fortsatt behandling av vissa personuppgifter

6 §

I 15–18 §§ föreskrivs att vissa kategorier av uppgifter i brottsanmälningar och avslutade förundersökningar får behandlas i Kustbevakningens brottsbekämpande verksamhet efter utgången av den tid som anges i 4 kap. 9 och 10 §§ kustbevakningsdatalagen (2012:145). Detsamma gäller uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

I 7–10 §§ föreskrivs att vissa kategorier av personuppgifter i brottsanmälningar och avslutade förundersökningar får behandlas för ändamål som omfattas av tillämpningsområdet för Kustbevakningens brottsdatalag (2012:145), trots att den tid som anges i 4 kap. 3 och 4 §§ samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

Vid behandlingen av uppgifter enligt 15–18 §§ får, utöver vad som sägs där, även följande uppgifter behandlas:

När personuppgifter får behandlas enligt 7–10 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer och liknande referensuppgifter,

1. ärendenummer eller liknande referensuppgifter,

2. brottskoder, och

3. uppgifter om omständigheterna kring brottet.

7 §

Uppgifter om en dömd person i en förundersökning som har lett till en fällande dom får behandlas efter utgången av den tid som anges i 4 kap. 10 § första stycket kustbevaknings-datalagen (2012:145), om behandlingen av särskilda skäl är nödvändig för att finna samband

Uppgifter om den dömde i en förundersökning som har lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket Kustbevakningens brottsdatalag (2012:145) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband

mellan olika brott eller mellan tänkbara gärningsmän.

mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifterna ska dock gallras senast när uppgifterna om den dömde gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

8 §

Uppgifter om en person som har varit misstänkt i en förundersökning som lagts ned eller avslutats på annat sätt än genom åtal får i ett enskilt fall behandlas efter utgången av den tid som anges i 4 kap. 10 § andra stycket kustbevakningsdatalagen (2012:145), om behandlingen är nödvändig för att kunna lagföra personen.

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller har avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas om det är nödvändigt för att kunna lagföra personen trots att den tid som anges i 4 kap. 4 § andra stycket Kustbevakningens brottsdatalag (2012:145) har löpt ut.

Uppgifterna ska dock gallras senast då åtal inte längre får väckas för brottet eller senast sjuttio år från den dag då brottet begicks i fall som avses i 35 kap. 2 § första stycket brottsbalken.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet.

9 §

Om uppgifter om egendom som har varit föremål för brott finns i en förundersökning eller i en brottsanmälan, får uppgifterna behandlas efter utgången av den tid som anges i 4 kap. 9 och 10 §§kustbevakningsdatalagen(2012:145). Detta gäller dock under förutsättning att behandlingen av särskilda skäl är nöd-

Om uppgifter om egendom som har varit föremål för brott finns i en förundersökning eller i en brottsanmälan, får uppgifterna behandlas trots att den tid som anges i 4 kap. 3 och 4 §§

Kustbevakningens brottsdatalag (2012:145) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att kunna åter-

vändig för att kunna återställa egendomen till rätt ägare eller spåra föremålets användning vid annat brott eller brottslig verksamhet.

ställa egendomen till rätt ägare eller för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet.

Personuppgifter som gäller sådan egendom ska dock gallras när behandlingen inte längre är nödvändig för något av de ändamål som anges i första stycket.

Behandlingen av personuppgifter som gäller sådan egendom ska dock upphöra när den inte längre är nödvändig för något av de ändamål som anges i första stycket.

10 §

Uppgifter om en person som är eftersökt som försvunnen får behandlas så länge uppgiften behövs för ändamålet med behandlingen.

Uppgifter om att en person varit eftersökt som försvunnen får inte behandlas längre än tre månader efter det att personen har anträffats.

Uppgifterna ska dock gallras senast tre månader efter det att personen har anträffats.

Behandling för arkivändamål av allmänt intresse m.m.

11 §

Riksarkivet får, efter samråd med Kustbevakningen, meddela föreskrifter om att uppgifter som ska gallras enligt 3 kap. 5 §, 4 kap. 13 § eller 5 kap. 7 § kustbevakningsdatalagen (2012:145) får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Riksarkivet får, efter att ha gett Kustbevakningen tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som avses i 4 kap. 2 § första stycket och 7– 9 §§ Kustbevakningens brottsdatalag (2012:145) får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

Denna förordning träder i kraft den 1 maj 2018.

1.42. Förslag till förordning om ändring i förordningen (2014:405) om Polismyndighetens elimineringsdatabas

Härigenom föreskrivs i fråga om förordningen (2014:405) om Polismyndighetens elimineringsdatabas

dels att i 2–7 §§ ”DNA” ska bytas ut mot ”dna”,

dels att 5 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §1

Sökning i elimineringsdatabasen får endast göras av särskilt angivna tjänstemän vid Nationellt forensiskt centrum som är behöriga att göra sökningar i de register över DNA-profiler som regleras i 4 kap. polisdatalagen(2010:361).

Sökning i elimineringsdatabasen får endast göras av särskilt angivna tjänstemän vid Nationellt forensiskt centrum som är behöriga att göra sökningar i de register över dna-profiler som regleras i 5 kap. polisens brottsdatalag (2010:361).

Denna förordning träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:1189.

1.43. Förslag till förordning om ändring i förordningen (2014:1103) med instruktion för Säkerhetspolisen

Härigenom föreskrivs att 10 § förordningen (2014:1103) med instruktion för Säkerhetspolisen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 §

I 6 § polislagen (1984:387) finns grundläggande bestämmelser om Säkerhetspolisens samarbete med andra myndigheter och organ.

Säkerhetspolisen ska lämna lämna tekniskt biträde till Ekobrottsmyndigheten, Åklagarmyndigheten och Tullverket i den utsträckning som myndigheterna kommer överens om.

Denna förordning träder i kraft den 1 maj 2018.

1.44. Förslag till förordning om ändring i förordningen (2015:54) om register över tillträdesförbud vid idrottsarrangemang

Härigenom förskrivs i fråga om förordningen (2015:54) om register över tillträdesförbud vid idrottsarrangemang

dels att 2–4 §§ ska upphävas,

dels att rubriken före 2 § ska utgå,

dels att 5–9 §§ ska betecknas 2–6 §§,

dels att rubriken före 3 § ska placeras före nya 2 §, rubriken före 7 § ska placeras före nya 4 § och rubriken före 8 § ska placeras före nya 5 §,

dels att nya 4 och 5 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §

Bestämmelser om skyldighet att lämna sådana uppgifter som anges i 8 § lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang finns i 2 § förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang.

Bestämmelser om skyldighet att lämna sådana uppgifter som anges i 5 kap. 24 § polisens brottsdatalag (2010:361) finns i 2 § förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang.

5 §

Polismyndigheten får meddela de ytterligare föreskrifter som behövs för verkställighet av lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang och denna förordning.

Polismyndigheten får meddela de ytterligare föreskrifter som behövs för verkställighet av lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud och denna förordning.

Denna förordning träder i kraft den 1 maj 2018.

1.45. Förslag till förordning om ändring i förordningen (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet

Härigenom föreskrivs att 1 § förordningen (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter vid undersökningar som Nationellt forensiskt centrum i Polismyndigheten utför på uppdrag av andra än de myndigheter eller organ som anges i 5 kap. 1 § polisdatalagen (2010:361).

Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter vid undersökningar som Nationellt forensiskt centrum i Polismyndigheten utför på uppdrag av andra än de myndigheter eller organ som anges i 6 kap. 1 § polisens brottsdatalag (2010:361).

Denna förordning träder i kraft den 1 maj 2018.

1.46. Förslag till förordning om ändring i åklagardataförordningen (2015:575)

Härigenom föreskrivs i fråga om åklagardataförordningen (2015:575)

dels att 2, 3, 7 och 8 §§ ska upphöra att gälla,

dels att rubrikerna före 2 och 6 §§ ska utgå,

dels att nuvarande 4 § ska betecknas 2 § och att rubriken före nuvarande 4 § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 3 §, att nuvarande 6 § ska betecknas 4 §, att rubriken efter nuvarande 8 § ska placeras efter nya 4 §, att nuvarande 9 § ska betecknas 5 § och att rubriken före nuvarande 9 § ska placeras före nya 5 §, att nuvarande 10 § ska betecknas 6 § och att rubriken före nuvarande 10 § ska placeras före nya 6 §, att nuvarande 11 § ska betecknas 7 § och att rubriken före nuvarande 11 § ska placeras före nya 7 § och att nuvarande 12 § ska betecknas 8 §,

dels att 1 § och nya 2–8 §§ och rubriken före nya 6 § ska ha följande lydelse,

dels att rubriken efter nya 4 § ska lyda Längsta tid för behandling m.m.,

dels att det ska införas en ny rubrik före 1 § av följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Åklagardataförordning Åklagarväsendets brottsdataförordning

Allmän bestämmelse

1 §

I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av åklagar-datalagen (2015:433). Begrepp och

I denna förordning finns kompletterande föreskrifter till åklagarväsendets brottsdatalag (2015:433).

uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

2 §

Åklagarmyndigheten och Ekobrottsmyndigheten får lämna uppgifter om juridiska personer till Skatteverket om uppgifterna behövs där för brottsbekämpande verksamhet.

Åklagarmyndigheten och Ekobrottsmyndigheten får lämna uppgifter om juridiska personer till Skatteverket om myndigheten behöver uppgifterna i syfte att bekämpa brott.

3 §

Åklagarmyndigheten och Ekobrottsmyndigheten får, om det är förenligt med svenska intressen, lämna personuppgifter som behandlas enligt 2 kap. 5 § åklagardatalagen (2015:433) till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om det behövs för att mottagaren av uppgifterna ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Åklagarmyndigheten och Ekobrottsmyndigheten får, om det är förenligt med svenska intressen, lämna personuppgifter som behandlas enligt 2 kap. 1 § åklagarväsendets brottsdatalag (2015:433) till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om det behövs för att den utländska myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller lagföra brott.

4 §

Åklagarmyndigheten får, efter att ha gett Ekobrottsmyndigheten tillfälle att yttra sig, meddela närmare föreskrifter om omfattningen av direktåtkomst och om vad som krävs i fråga om behörighet och säkerhet för att direktåtkomst till uppgifter ska kunna medges de myndigheter som anges i 3 kap. 8 § åklagar-

Åklagarmyndigheten respektive Ekobrottsmyndigheten får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst en ligt 3 kap. 5 § åklagarväsendets brottsdatalag (2015:433).

datalagen (2015:433).

Direktåtkomst till uppgifterna får inte medges innan den myndighet som beslutar om direktåtkomst har försäkrat sig om att den mottagande myndigheten uppfyller uppställda krav på behörighet och säkerhet.

Direktåtkomst får inte medges innan den myndighet som beslutar om direktåtkomst har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

5 §

När Åklagarmyndigheten eller

Ekobrottsmyndigheten arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från myndighetens operativa verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

När uppgifter och handlingar arkiveras digitalt ska uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap. 1 § åklagarväsendets brottsdatalag (2015:433). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Åklagarmyndigheten får, efter att ha gett Ekobrottsmyndigheten och Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

Undantag från gallring Behandling för arkivändamål av allmänt intresse m.m.

6 §

Riksarkivet får, efter att ha gett Åklagarmyndigheten och Ekobrottsmyndigheten tillfälle att yttra sig, meddela föreskrifter om att uppgifter som ska gallras enligt 2 kap. 10 § tredje stycket åklagardatalagen(2015:433) får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Riksarkivet får, efter att ha gett Åklagarmyndigheten och Ekobrottsmyndigheten tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som avses i 4 kap. 4 § åklagarväsendets brottsdatalag (2015:433) får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

7 §

Åklagarmyndigheten får, efter att ha gett Ekobrottsmyndigheten tillfälle att yttra sig, meddela de ytterligare föreskrifter som behövs för verkställighet av åklagardatalagen (2015:433) och denna förordning.

Åklagarmyndigheten får, efter att ha gett Ekobrottsmyndigheten tillfälle att yttra sig, meddela de ytterligare föreskrifter som behövs för verkställighet av åklagarväsendets brottsdatalag (2015:433) och denna förordning.

8 §

Innan Åklagarmyndigheten meddelar föreskrifter med stöd av denna förordning i frågor som berör särskilda risker för intrång i den personliga integriteten ska myndigheten ge Datainspektionen tillfälle att yttra sig.

Innan Åklagarmyndigheten meddelar föreskrifter med stöd av denna förordning, ska myndigheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

Denna förordning träder i kraft den 1 maj 2018.

1.47. Förslag till förordning om ändring i tullbrottsdataförordningen (2017:450)

Härigenom föreskrivs i fråga om tullbrottsdataförordningen (2017:450)

dels att 2–4, 7–9 och 18 §§ ska upphöra att gälla,

dels att rubriken efter 2 § och rubriken före 3 § ska utgå,

dels att nuvarande 5 § ska betecknas 2 § och att rubriken före nuvarande 5 § ska placeras före nya 2 §, att nuvarande 6 § ska betecknas 3 §, att nuvarande 10 § ska betecknas 4 § och att rubriken före nuvarande 8 § ska placeras före nya 4 §, att rubriken efter nuvarande 10 § ska placeras efter nya 4 §, att nuvarande 11 § ska betecknas 5 § och att rubriken före nuvarande 11 § ska placeras före nya 5 §, att nuvarande 12 § ska betecknas 6 § och att rubriken före nuvarande 12 § ska placeras före nya 6 §, att nuvarande 13 § ska betecknas 7 §, att nuvarande 14 § ska betecknas 8 §, att nuvarande 15 § ska betecknas 9 §, att nuvarande 16 § ska betecknas 10 §, att nuvarande 17 § ska betecknas 11 § och rubriken före nuvarande 17 § ska placeras före nya 11 §, att nuvarande 19 § ska betecknas 12 § och att rubriken före nuvarande 18 § ska placeras före nya 12 §,

dels att rubriken efter nya 4 § ska lyda Längsta tid för behandling m.m.,

dels att 1 §, nya 2–12 §§ och rubrikerna före 1 § och nya 4, 6 och 11 §§ ska ha följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Tullbrottsdataförordning Tullverkets brottsdataförordning

Inledande bestämmelser Allmän bestämmelse

1 §

I denna förordning finns kompletterande föreskrifter om sådan behandling av personupp-

I denna förordning finns kompletterande föreskrifter till

Tullverkets brottsdatalag

gifter som omfattas av tullbrottsdatalagen (2017:447). De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

(2017:447).

2 §

Vid sökning enligt 3 kap. 6 § tullbrottsdatalagen(2017:447) får uppgifter som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ned.

Vid sökning enligt 3 kap. 5 §

Tullverkets brottsdatalag (2017:447) får uppgift som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ner.

Tullverket får meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 3 kap. 6 § första stycket tullbrottsdatalagen . Särskild hänsyn ska då tas till den enskildes rätt till skydd mot intrång i den personliga integriteten. Tillgången till personuppgifter om tidigare misstankar om brott ska särskilt begränsas.

3 §

Tullverket ska löpande föra en förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 7 § andra stycket tullbrottsdatalagen(2017:447).

Tullverket ska löpande föra förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 6 § andra stycket Tullverkets brottsdatalag (2017:447).

Elektroniskt utlämnande av personuppgifter

Direktåtkomst

4 §

Tullverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 3 kap. 8 § tullbrotts-datalagen (2017:447).

Tullverket får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst enligt 3 kap. 7 § Tullverkets brottsdatalag (2017:447).

Direktåtkomst till uppgifterna får inte medges innan Tullverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

Direktåtkomst får inte medges innan Tullverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

5 §

När Tullverket arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från myndighetens brottsbekämpande verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

När Tullverket arkiverar uppgifter och handlingar digitalt ska uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap. 1 § Tullverkets brottsdatalag (2017:447). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Tullverket får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

Bevarande och gallring av uppgifter

Fortsatt behandling av vissa personuppgifter

6 §

I 13–15 §§ föreskrivs att vissa kategorier av uppgifter i brottsanmälningar och avslutade förundersökningar får behandlas i Tullverkets brottsbekämpande verksamhet efter utgången av den tid som anges i 4 kap. 6 och 7 §§ tullbrottsdatalagen (2017:447). Detsamma gäller uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

I 7–9 §§ föreskrivs att vissa kategorier av personuppgifter i brottsanmälningar och avslutade förundersökningar får behandlas för ändamål som omfattas av tilllämpningsområdet för Tullverkets brottsdatalag (2017:447), trots att den tid som anges i 4 kap. 4 och 5 §§ samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

När uppgifter behandlas enligt 13–15 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

När personuppgifter behandlas enligt 7–9 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer och liknande referensuppgifter,

1. ärendenummer eller liknande referensuppgifter,

2. brottskoder, och

3. uppgifter om omständigheterna kring brottet.

7 §

Uppgifter om en dömd person i en förundersökning som har lett till fällande dom får behandlas efter utgången av den tid som anges i 4 kap. 7 § första stycket tullbrottsdatalagen(2017:447), om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifter om den dömde i en förundersökning som har lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 5 § första stycket Tullverkets brottsdatalag (2017:447) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifterna ska dock gallras Behandlingen ska dock upp-

senast i samband med att uppgifterna om den dömde gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

höra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

8 §

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ned eller avslutats på annat sätt än genom åtal får i ett enskilt fall behandlas efter utgången av den tid som anges i 4 kap. 7 § andra stycket tullbrottsdatalagen(2017:447), om behandlingen är nödvändig för att personen ska kunna lagföras.

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller avslutats på annat sätt än genom åtal får i ett enskilt fall behandlas om det är nödvändigt för att personen ska kunna lagföras trots att den tid som anges i 4 kap. 5 § andra stycket Tullverkets brottsdatalag (2017:447) har löpt ut.

Uppgifterna ska dock gallras senast då åtal inte längre får väckas för brottet eller senast sjuttio år från den dag då brottet begicks i fall som avses i 35 kap. 2 § första stycket brottsbalken.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet.

9 §

Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas efter utgången av den tid som anges i 4 kap. 6 och 7 §§ tullbrottsdatalagen (2017:447), om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket det är föreskrivet fängelse

Uppgifter om personer som har dömts för, eller har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas trots att den tid som anges i 4 kap. 4 och 5 §§ Tullverkets brottsdatalag (2017:447) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket det är föreskrivet

i fyra år eller däröver. fängelse i fyra år eller däröver.

Uppgifterna ska dock gallras, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Behandlingen ska dock upphöra, i fråga om brott som har lett till fällande dom, senast i samband med att uppgifterna tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

10 §

Personuppgifter som behövs för handläggning av ärenden i det internationella samarbetet ska, om behandlingen av särskilda skäl är nödvändig efter utgången av den tid som anges i 4 kap. 10 § andra stycket tull-brottsdatalagen (2017:447) för att fullgöra internationella åtaganden, gallras senast tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Personuppgifter som behövs för handläggning av ärenden i det internationella samarbetet får behandlas trots att den tid som anges i 4 kap. 11 § Tullverkets brottsdatalag (2017:447) har löpt ut, om behandling av särskilda skäl är nödvändig för att fullgöra internationella åtaganden.

Behandlingen ska dock upphöra senast tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Undantag från gallring Behandling för arkivändamål av allmänt intresse m.m.

11 §

Riksarkivet får, efter att ha gett Tullverket tillfälle att yttra sig, meddela föreskrifter om att

Riksarkivet får, efter att ha gett Tullverket tillfälle att yttra sig, meddela föreskrifter om att

uppgifter som ska gallras enligt 4 kap. 3 § första stycket och 4 kap. 9 och 10 §§ tullbrottsdatalagen (2017:447) samt 16 § denna förordning får bevaras för historiska, statistiska eller vetenskapliga ändamål.

personuppgifter som avses i 4 kap. 2 § första stycket och 8– 11 §§ Tullverkets brottsdatalag (2017:447) och 10 § denna förordning får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

12 §

Innan Tullverket meddelar föreskrifter med stöd av denna förordning, ska myndigheten ge Datainspektionen tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.

Innan Tullverket meddelar föreskrifter med stöd av denna förordning, ska myndigheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

Denna förordning träder i kraft den 1 maj 2018.

1.48. Förslag till förordning om ändring i skattebrottsdataförordningen (2017:458)

Härigenom föreskrivs i fråga om skattebrottsdataförordningen (2017:458)

dels att 2–4, 7, 9, 10 och 17 §§ ska upphöra att gälla,

dels att rubriken efter 2 § och rubrikerna före 3 och 9 §§ ska utgå,

dels att nuvarande 5 § ska betecknas 2 § och att rubriken före nuvarande 5 § ska placeras före nya 2 §, att nuvarande 6 § ska betecknas 3 §, att nuvarande 8 § ska betecknas 4 § och rubriken före nuvarande 8 § ska placeras före nya 4 §, att nuvarande 11 § ska betecknas 5 § och att rubriken efter nuvarande 11 § ska placeras efter nya 5 §, att nuvarande 12 § ska betecknas 6 § och rubriken före nuvarande 12 § ska placeras före nya 6 §, att nuvarande 13 § ska betecknas 7 § och rubriken före nuvarande 13 § ska placeras före nya 7 §, att nuvarande 14 § ska betecknas 8 §, att nuvarande 15 § ska betecknas 9 §, att nuvarande 16 § ska betecknas 10 § och att rubriken före nuvarande 16 § ska placeras före nya 10 §, att nuvarande 18 § ska betecknas 11 § och rubriken före nuvarande 17 § ska placeras före nya 11 §,

dels att rubriken efter nya 5 § ska lyda Längsta tid för behandling m.m.,

dels att 1 § och nya 2–11 och rubrikerna före 1 § och nya 4, 7 och 10 §§ ska ha följande lydelse,

dels att rubriken till förordningen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Skattebrottsdataförordning Skatteverkets brottsdataförordning

Inledande bestämmelser Allmän bestämmelse

1 §

I denna förordning finns kompletterande bestämmelser om sådan behandling av person-

I denna förordning finns kompletterande bestämmelser till Skatteverkets brottsdatalag

uppgifter som omfattas av skattebrottsdatalagen (2017:452). De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

(2017:452 ).

2 §

Vid sökning enligt 3 kap. 6 § skattebrottsdatalagen (2017:452) får uppgifter som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ned.

Vid sökning enligt 3 kap. 4 §

Skatteverkets brottsdatalag (2017:452) får uppgifter som visar att den sökta personen tidigare har varit misstänkt för ett visst brott inte tas fram om en domstol, genom ett avgörande som har fått laga kraft, har ogillat åtalet, meddelat frikännande dom eller avskrivit målet sedan åtalet lagts ner.

Skatteverket får meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 3 kap. 6 § första stycket skattebrottsdatalagen . Särskild hänsyn ska då tas till den enskildes rätt till skydd mot intrång i den personliga integriteten. Tillgången till personuppgifter om tidigare misstankar om brott ska särskilt begränsas.

3 §

Skatteverket ska löpande föra en förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 7 § andra stycket skattebrottsdatalagen(2017:452).

Skatteverket ska löpande föra förteckning över de tjänstemän vid myndigheten som utför uppgifter enligt 3 kap. 5 § andra stycket Skatteverkets brottsdatalag (2017:452).

Utlämnande av uppgifter Utlämnande av personuppgifter

4 §

Om en uppgift i en förundersökning kan antas ha betydelse för en konkursutredning, får uppgiften lämnas till konkursförvaltaren.

Om en uppgift i en förundersökning kan antas ha betydelse för en konkursutredning, har konkursförvaltaren rätt att ta del av uppgiften.

5 §

Skatteverket får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till uppgifter för de myndigheter som anges i 3 kap. 8 § skatte-brottsdatalagen (2017:452).

Skatteverket får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst enligt 3 kap. 6 § Skatteverkets brottsdatalag (2017:452).

Direktåtkomst till uppgifterna får inte medges innan Skatteverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

Direktåtkomst får inte medges innan Skatteverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

6 §

När Skatteverket arkiverar uppgifter och handlingar digitalt ska de arkiverade uppgifterna och handlingarna avskiljas från myndighetens brottsbekämpande verksamhet. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

När Skatteverket arkiverar uppgifter och handlingar digitalt ska uppgifterna och handlingarna avskiljas så att de inte kan behandlas för något av de syften som anges i 2 kap. 1 § Skatteverkets brottsdatalag (2017:452). Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Skatteverket får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

Bevarande och gallring av uppgifter

Fortsatt behandling av vissa personuppgifter

7 §

I 14 och 15 §§ föreskrivs att vissa kategorier av uppgifter i avslutade förundersökningar får behandlas i Skatteverkets brottsbekämpande verksamhet efter utgången av den tid som anges i 4 kap. 6 § skattebrottsdatalagen (2017:452). Detsamma gäller uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

I 8 och 9 §§ föreskrivs att vissa kategorier av personuppgifter i avslutade förundersökningar får behandlas för ändamål som omfattas av tillämpningsområdet för Skatteverkets brottsdatalag (2017:452), trots att den tid som anges i 4 kap. 4 § samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

När uppgifter behandlas enligt 14 och 15 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

När personuppgifter behandlas enligt 8 och 9 §§ får, utöver vad som sägs i de bestämmelserna, följande uppgifter behandlas:

1. ärendenummer och liknande referensuppgifter,

1. ärendenummer eller liknande referensuppgifter,

2. brottskoder, och

3. uppgifter om omständigheterna kring brottet.

8 §

Uppgifter om en dömd person i en förundersökning som har lett till fällande dom får behandlas efter utgången av den tid som anges i 4 kap. 6 § första stycket skattebrottsdatalagen(2017:452), om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifter om den dömde i en förundersökning som har lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket Skatteverkets brottsdatalag (2017:452) har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Uppgifterna ska dock gallras senast i samband med att uppgifterna om den dömde gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

9 §

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ned eller avslutats på annat sätt än genom åtal får i ett enskilt fall behandlas efter utgången av den tid som anges i 4 kap. 6 § andra stycket skattebrottsdatalagen(2017:452), om behandlingen är nödvändig för att personen ska kunna lagföras.

Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller avslutats på annat sätt än genom åtal får i ett enskilt fall behandlas om det är nödvändigt för att kunna lagföra personen trots att den tid som anges i 4 kap. 4 § andra stycket Skatteverkets brottsdatalag (2017:452) har löpt ut.

Uppgifterna ska dock gallras senast då åtal inte längre får väckas för brottet eller senast sjuttio år från den dag då brottet begicks i fall som avses i 35 kap. 2 § första stycket brottsbalken.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet.

Undantag från gallring Behandling för arkivändamål av allmänt intresse m.m.

10 §

Riksarkivet får, efter att ha gett Skatteverket tillfälle att yttra sig, meddela föreskrifter om att uppgifter som ska gallras enligt 4 kap. 3 § första stycket eller 4 kap. 8 § skattebrottsdatalagen (2017:452), får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Riksarkivet får, efter att ha gett Skatteverket tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som anges i 4 kap. 2 § första stycket eller 4 kap. 6–8 §§

Skatteverkets

brottsdatalag (2017:452), får behandlas under längre tid för arkivändamål av allmänt intresse

och vetenskapliga, statistiska eller historiska ändamål.

11 §

Innan Skatteverket meddelar föreskrifter med stöd av denna förordning, ska myndigheten ge Datainspektionen tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.

Innan Skatteverket meddelar föreskrifter med stöd av denna förordning, ska myndigheten samråda med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

Denna förordning träder i kraft den 1 maj 2018.

1.49. Förslag till förordning om ändring i förordningen (2017:504) om internationellt polisiärt samarbete

Härigenom föreskrivs att 5 kap. 3, 11, 12 och 14 §§, 6 kap. 6, 7 och 9 §§, 7 kap. 10 och 11 §§ och 8 kap. 2, 4 och 8–10 §§ och rubrikerna före 5 kap. 11 §, 6 kap. 6 §, 7 kap. 10 § och 8 kap. 8 § förordningen (2017:504) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

3 §

Det svenska kontaktstället ska bistå den egna myndigheten och de myndigheter som anges i andra stycket med att söka uppgifter i utländska dna-register, fingeravtrycksregister och fordonsregister enligt de förutsättningar som anges i 7 kap. 2 § första stycket samt 7 kap. 4 eller 6 § lagen (2017:496) om internationellt polisiärt samarbete.

Myndigheter som får begära sökningar är

1. de som anges i bestämmelsen om direktåtkomst i 4 kap. 10 §polisdatalagen(2010:361) när det gäller dna-register,

1. de som anges i bestämmelsen om direktåtkomst i 5 kap.

10 § polisens brottsdatalag (2010:361) när det gäller dnaregister,

2. de som anges i bestämmelsen om direktåtkomst i 4 kap. 17 §polisdatalagen när det gäller fingeravtrycksregister, och

2. de som anges i bestämmelsen om direktåtkomst i 5 kap. 17 § polisens brottsdatalag när det gäller fingeravtrycksregister, och

3. Säkerhetspolisen, Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket när det gäller fordonsregister. Polismyndigheten är svenskt kontaktställe vid utbyte av dnaprofiler, fingeravtryck och fordonsuppgifter enligt Prümrådsbeslutet.

Gallring , spärrning och sär-

skild upplysning

Längsta tid för behandling ,

spärrning och särskild upplysning

11 §

Personuppgifter som har översänts från en annan stat enligt Prümrådsbeslutet ska gallras om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

Personuppgifter som har översänts från en annan stat enligt Prümrådsbeslutet ska raderas om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

Personuppgifter enligt första stycket som har översänts och tagits emot korrekt ska gallras när syftet med översändandet har uppnåtts eller inte längre kan uppnås. Uppgifter som har översänts från en annan stat i samband med ett större evenemang med gränsöverskridande verkningar ska gallras senast ett år från det att uppgifterna togs emot.

Behandlingen av personuppgifter enligt första stycket som har översänts och tagits emot korrekt ska upphöra när syftet med översändandet har uppnåtts eller inte längre kan uppnås. Behandlingen av uppgifter som har översänts från en annan stat i samband med ett större evenemang med gränsöverskridande verkningar ska upphöra senast ett år från det att uppgifterna togs emot.

12 §

I stället för att gallra personuppgifter enligt 11 § ska uppgifterna spärras, om det finns skäl att anta att gallring skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade gallring.

I stället för att radera eller upphöra med behandlingen av personuppgifter enligt 11 § ska, om det finns skäl att anta att en sådan åtgärd skulle innebära skada för den person som uppgifterna rör, uppgifterna spärras. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade att uppgifterna raderades eller att behandlingen av dem upphörde.

14 §

Uppgifter som har registrerats enligt 9 eller 10 § ska gallras två år efter registreringen.

Behandlingen av uppgifter som har registrerats enligt 9 eller 10 § ska upphöra två år efter registreringen.

6 kap.

Gallring , spärrning och sär-

skild upplysning

Längsta tid för behandling , spärr-

ning och särskild upplysning

6 §

Personuppgifter som har översänts från en annan stat enligt CBE-direktivet ska gallras om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

Personuppgifter som har översänts från en annan stat enligt CBE-direktivet ska raderas om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

Personuppgifter enligt första stycket som har översänts och tagits emot korrekt ska gallras när syftet med översändandet har uppnåtts eller inte längre kan uppnås.

Behandlingen av personuppgifter enligt första stycket som har översänts och tagits emot korrekt ska upphöra när syftet med översändandet har uppnåtts eller inte längre kan uppnås.

7 §

I stället för att gallra personuppgifter enligt 6 § ska uppgifterna spärras, om det finns skäl att anta att gallring skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade gallring.

I stället för att radera eller upphöra med behandlingen av personuppgifter enligt 6 § ska, om det finns skäl att anta att en sådan åtgärd skulle innebära skada för den person som uppgifterna rör, uppgifterna spärras. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade att uppgifterna raderades eller att behandlingen av dem upphörde.

9 §

Uppgifter som har registrerats enligt 5 § ska gallras två år efter registreringen.

Behandlingen av uppgifter som har registrerats enligt 5 § ska upphöra två år efter registreringen

7 kap.

Gallring Längsta tid för behandling

10 §

Uppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat ska gallras när uppgifterna inte längre behövs för något av de ändamål som anges i 9 kap. 3 § lagen (2017:496) om internationellt polisiärt samarbete.

Behandlingen av uppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat ska upphöra när uppgifterna inte längre behövs för något av de ändamål som anges i 9 kap. 3 § lagen (2017:496) om internationellt polisiärt samarbete.

11 §

Uppgifter som har registrerats enligt 5 eller 9 § ska gallras ett år efter registreringen.

Behandlingen av uppgifter som har registrerats enligt 5 eller 9 § ska upphöra ett år efter registreringen.

8 kap.

2 §

Om ett amerikanskt kontaktställe efter en sökning enligt 10 kap. 1 § lagen (2017:496) om internationellt polisiärt samarbete ansöker hos det svenska kontaktstället om att få ut övriga tillgängliga personuppgifter och ytterligare information med anknytning till fingeravtrycket, får det svenska kontaktstället lämna ut uppgifter till det

Om ett amerikanskt kontaktställe efter en sökning enligt 10 kap. 1 § lagen (2017:496) om internationellt polisiärt samarbete ansöker hos det svenska kontaktstället om att få ut övriga tillgängliga personuppgifter och ytterligare information med anknytning till fingeravtrycket, får det svenska kontaktstället lämna ut uppgifter till det

amerikanska kontaktstället endast om det finns förutsättningar enligt 2 kap. 15 § första stycketpolisdatalagen(2010:361) och 3335 §§personuppgiftslagen (1998:204).

amerikanska kontaktstället endast om det finns förutsättningar enligt 2 kap. 10 § första stycket och 8 kap. 1 § brottsdatalagen (2018:000).

4 §

Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten i den polisverksamhet som bedrivs vid myndigheten, Tullverket och Kustbevakningen får i enskilda fall, utan särskild begäran, lämna ut personuppgifter till ett amerikanskt kontaktställe enligt avtalet med USA, om särskilda omständigheter ger anledning att anta att den person som uppgifterna rör kommer att begå eller har begått brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Om det bedöms vara nödvändigt för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet eller utreda ett sådant brott, får även andra uppgifter än personuppgifter lämnas ut.

Uppgifter enligt första stycket får endast lämnas ut om det finns förutsättningar enligt 2 kap. 15 § första stycket polis-datalagen(2010:361) och 33–

35 §§personuppgiftslagen (1998:204).

Uppgifter enligt första stycket får endast lämnas ut om det finns förutsättningar enligt 2 kap. 10 § första stycket polisens brottsdatalag (2010:361) och 8 kap. 1 § brottsdatalagen (2018:000).

Det svenska kontaktstället ska översända uppgifterna till ett amerikanskt kontaktställe.

Gallring och spärrning Längsta tid för behandling och

spärrning

8 §

Personuppgifter som har översänts från ett amerikanskt kontaktställe enligt avtalet med USA ska gallras om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

Personuppgifter som har översänts från ett amerikanskt kontaktställe enligt avtalet med USA ska raderas om uppgifterna är felaktiga eller inte borde ha översänts eller tagits emot. Felaktiga uppgifter får i stället rättas.

I stället för att gallra personuppgifter enligt första stycket ska uppgifterna spärras, om det finns skäl att anta att gallring skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade gallring.

I stället för att radera personuppgifter enligt första stycket ska uppgifterna spärras, om det finns skäl att anta att radering skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade radering.

9 §

Personuppgifter som har översänts och tagits emot korrekt ska gallras när syftet med översändandet eller vidarebehandlingen har uppnåtts eller inte längre kan uppnås.

Behandlingen av personuppgifter som har översänts och tagits emot korrekt ska upphöra när syftet med översändandet eller vidarebehandlingen har uppnåtts eller inte längre kan uppnås.

10 §

Uppgifter som har registrerats enligt 7 § ska gallras två år efter registreringen.

Behandlingen av uppgifter som har registrerats enligt 7 § ska upphöra två år efter registreringen.

Denna förordning träder i kraft den 1 maj 2018.

1.50. Förslag till förordning om ändring i brottsdataförordningen (2018:000)

Härigenom föreskrivs att det i brottsdataförordningen (2018:000) ska införas tre nya paragrafer, 3 kap. 4 a, 4 b och 4 c §§, och en ny rubrik före 3 kap. 4 a § med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

Tillgången till personuppgifter

4 a §

För tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.

4 b §

I en behörig myndighet ska det finnas rutiner för tilldelning av, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

4 c §

Tillgången till uppgifter om tidigare brottsmisstankar ska särskilt begränsas.

Denna förordning träder i kraft den 1 maj 2018.

2. Utredningens uppdrag och arbete

2.1. Utredningsuppdraget

Utredningsuppdraget består i att föreslå hur man i svensk rätt ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktiven för utredningsarbetet finns i bilaga 1.

I utredningens uppdrag ingår bl.a. att – lämna förslag till en ny ramlagstiftning med bestämmelser om

skydd av personuppgifter inom direktivets tillämpningsområde, – analysera och bedöma behovet av författningsändringar i vissa

centrala författningar om rättsväsendets behandling av personuppgifter, – lämna de förslag till ändringar som krävs för att anpassa dessa

författningar till de nya förutsättningarna för regleringen, – bedöma om direktivet ger anledning till ny eller ändrad reglering

om tillsyn och vid behov lämna författningsförslag, och – bedöma om det finns anledning att reglera Säkerhetspolisens

personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag.

Utredningen har även åtagit sig att göra de anpassningar som kan krävas i lagen (2014:400) om Polismyndighetens elimineringsdatabas, lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang och lagen (2017:496) om internationellt polisiärt samarbete, alla med tillhörande förordningar.

2.2. Genomförandet av uppdraget

Förslag till ny ramlagstiftning och tillsyn inom direktivets tillämpningsområde redovisades den 5 april 2017 i delbetänkandet Brottsdatalag (SOU 2017:29).

Utredningens arbete påbörjades i slutet av april 2016 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av sakkunniga och experter. Utredningen har sammanträtt vid sammanlagt fem tillfällen för att ta fram detta betänkande.

Utredaren och sekretariatet har i denna del av utredningsuppdraget samrått med andra utredningar enligt följande.

Utredaren och huvudsekreteraren samrådde med Utredningen om stärkt integritet i Rättsmedicinalverkets verksamhet (Ju 2016:18) den 11 oktober 2016 och den 30 juni 2017.

Utredaren och huvudsekreteraren samrådde den 8 februari och den 19 maj 2017 med Eva Lönkvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa viss lagstiftning på området för allmän ordning och säkerhet till EU:s dataskyddsreform.

Utredaren och huvudsekreteraren samrådde med Socialdataskyddsutredningen (S 2016:05) den 7 november 2016.

Den 7 november och 21 december 2016 och den 23 augusti 2017 samrådde utredaren och delar av sekretariatet med Peder Liljeqvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa domstolsdatalagen, kriminalvårdens registerlagstiftning och utlänningsdatalagen till dataskyddsförordningen.

Utredaren och delar av sekretariatet har haft möte med företrädare för – Kriminalvården den 14 oktober 2016 och 25 april 2017, – Kustbevakningen den 8 februari 2017, – Säkerhetspolisen den 15 februari och 16 maj 2017, – Socialstyrelsen den 12 april 2017,

– Domstolsverket den 19 april 2017, – Ekobrottsmyndigheten den 15 november 2016 och 7 juni 2017,

och – Polismyndigheten den 25 april och 7 juni 2017.

3. Brottsdatalagens innehåll

3.1. Ny reglering av dataskyddet

3.1.1. Dataskyddsreformen

Europeiska unionens (EU) nya dataskyddsreglering består av två rättsliga instrument. Det ena är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1, i fortsättningen dataskyddsförordningen). Det andra är Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, i fortsättningen direktivet). Reformen innebär att reglerna om personuppgiftsbehandling i framtiden finns dels i dataskyddsförordningen, som är direkt tillämplig i svensk rätt, och den lagstiftning som kompletterar förordningen, dels i de författningar som genomför direktivet.

Dataskyddsförordningen gäller inte när direktivet är tillämpligt. Hur direktivet genomförs får därigenom avgörande betydelse för vilket regelverk som är tillämpligt.

Dataskyddsutredningen, som haft i uppdrag att utreda bl.a. behovet av kompletterande lagstiftning till dataskyddsförordningen och vissa generella frågor med anknytning till dataskyddsreformen, har avgett betänkandet Ny dataskyddslag (SOU 2017:39). I betänkandet föreslås bl.a. att personuppgiftslagen (1998:204) ska upphöra att gälla den 25 maj 2018, då förordningen börjar gälla.

3.1.2. Genomförandet av dataskyddsdirektivet

I delbetänkandet Brottsdatalag beskrivs dataskyddsreformen närmare (se SOU 2017:29 s. 119 f.). Utredningen lämnar där förslag till en ny ramlag, brottsdatalagen, och en ny förordning till den, brottsdataförordningen. Lagen och förordningen, som tillsammans genomför dataskyddsdirektivet, ska gälla generellt inom direktivets tillämpningsområde. Direktivet ska vara genomfört senast den 6 maj 2018.

Brottsdatalagen drar upp gränsen mellan å ena sidan den särskilda regleringen av behandling av personuppgifter vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Lagen är kapitelindelad. I 1 kap. finns allmänna bestämmelser om lagens tillämpningsområde och där definieras också de uttryck som används i lagen. I 2 kap. regleras behandlingen av personuppgifter och i 3 kap. de personuppgiftsansvarigas skyldigheter. Enskildas rättigheter regleras i 4 kap. Tillsynen över personuppgiftsbehandling behandlas i 5 kap. och administrativa sanktionsavgifter i 6 kap. I 7 kap. behandlas skadestånd och rättsmedel och i 8 kap. överföring av personuppgifter till tredjeland och internationella organisationer.

Brottsdatalagen anger ramen för vilken personuppgiftsbehandling som är tillåten för de syften som anges i lagen och vilka som ska tillämpa lagen, vilket är de som är behöriga myndigheter enligt lagen. Där regleras frågor som är gemensamma för alla behöriga myndigheter. Brottsdatalagen kommer därigenom att för sitt tilllämpningsområde fylla i stort sett samma funktion som personuppgiftslagen gör i dag. På samma sätt som nu kommer det dessutom att finnas särskilda registerförfattningar för flertalet av de myndigheter som kommer att tillämpa brottsdatalagen. De kommer dock inte att vara lika omfattande som i dag, eftersom de i vissa delar ersätts av den nya generella regleringen. I registerförfattningarna kommer bara de regler som är specifika för just den myndigheten att finnas. Det kommer vidare även fortsättningsvis att finnas särskilda författningar som reglerar enskilda register inom brottsdatalagens tillämpningsområde.

3.2. Innehållet i brottsdatalagen

3.2.1. Regler om behandlingen av personuppgifter

Lagens tillämpningsområde

Brottsdatalagen gäller för behandling av personuppgifter som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Med behörig myndighet avses en myndighet som har till arbetsuppgift att bedriva sådan verksamhet eller en annan aktör som utövar myndighet för något av dessa syften. Vilka myndigheter som är behöriga räknas inte upp, men lagen kommer framför allt att tillämpas av Polismyndigheten, Tullverket, Kustbevakningen, Skatteverket, Ekobrottsmyndigheten, Åklagarmyndigheten, domstolarna och Kriminalvården.

En behörig myndighet ska dock bara tillämpa brottsdatalagen vid behandling av personuppgifter för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Syftet med behandlingen av personuppgifter i det enskilda fallet blir därmed av avgörande betydelse för när lagen ska tillämpas, inte verksamheten som sådan. Om en behörig myndighet även har andra arbetsuppgifter, ska lagen inte tillämpas vid den personuppgiftsbehandling som utförs för de syftena.

Även andra än myndigheter som har fått till uppgift att utöva myndighet inom lagens tillämpningsområde är behöriga myndigheter i lagens mening.

Lagen gäller enbart för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Brottsdatalagen är subsidiär till annan lagstiftning. Det innebär att det kan finnas avvikande bestämmelser i registerförfattningarna

för de behöriga myndigheterna. En behörig myndighet som saknar registerförfattning ska tillämpa brottsdatalagen för sådan personuppgiftsbehandling som ligger inom lagens tillämpningsområde.

Rättslig grund för behandlingen av personuppgifter

All behandling av personuppgifter ska ha en rättslig grund. I brottsdatalagen finns det två bestämmelser om rättslig grund. Enligt 2 kap. 1 § får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut av regeringen. Enligt 2 kap. 2 § får personuppgifter även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Ändamål för behandlingen av personuppgifter

Personuppgifter får enligt 2 kap. 3 § bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Om det inte framgår av sammanhanget eller på annat sätt för vilket ändamål personuppgifterna behandlas, ska det tydliggöras genom en särskild upplysning. Det som åsyftas är ändamålet i det enskilda fallet, t.ex. att personuppgifterna behandlas i en viss förundersökning eller för handläggningen av ett visst brottmål.

Innan personuppgifter får behandlas för ett nytt ändamål som ligger inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § säkerställas att det finns en rättslig grund för den nya behandlingen och att behandlingen är nödvändig och proportionerlig för det nya ändamålet.

De behöriga myndigheterna får även enligt 2 kap. 5 § behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde.

Krav på behandlingen av personuppgifter

Personuppgifter ska enligt 2 kap. 6 § behandlas författningsenligt och på ett korrekt sätt och enligt 2 kap. 8 § vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifterna ska dessutom enligt 2 kap. 7 § vara korrekta och, om det är nödvändigt, uppdaterade. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Vidare ska det så långt möjligt görs åtskillnad mellan olika typer av personuppgifter. Kategorier av registrerade ska enligt 2 kap. 9 § kunna skiljas från varandra, t.ex. misstänkta och brottsoffer. Om det inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning. Likaså ska enligt 2 kap. 10 § personuppgifter som grundar sig på fakta skiljas från uppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.

Behandling av känsliga personuppgifter

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning benämns känsliga personuppgifter och får enligt huvudregeln i 2 kap. 11 § inte behandlas. I de fall där uppgifter om en person redan behandlas får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.

Även biometriska uppgifter som används för att identifiera en person och genetiska uppgifter är enligt 2 kap. 12 § känsliga personuppgifter. De får behandlas endast om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen.

Det är enligt 2 kap. 14 § förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Även sökningar som är tillåtna kan ibland resultera i ett sådant urval, men frågan om de uppgifter som tas fram får fortsätta att behandlas ska bedömas med utgångspunkt i de allmänna reglerna om behandling

av personuppgifter. För sådana sammanställningar av personuppgifter ska gälla absolut sekretess.

Rättelse, komplettering och radering av personuppgifter

Alla rimliga åtgärder ska enligt 2 kap. 15 § vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att hindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

Alla rimliga åtgärder ska också enligt 2 kap. 16 § vidtas för att personuppgifter som behandlas i strid med grundläggande bestämmelser om behandling utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Om personuppgifterna behöver finnas kvar som bevisning ska i stället behandlingen av uppgifterna utan onödigt dröjsmål begränsas.

Längsta tid som personuppgifter får behandlas

Personuppgifter får enligt huvudregeln i 2 kap. 17 § inte behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Om det inte finns en författningsbestämmelse om när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige enligt 2 kap. 18 § årligen se över behovet av att fortsätta att behandla personuppgifterna.

Automatiserade beslut

Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen enligt 2 kap. 19 § ha möjlighet att på begäran få beslutet omprövat

av någon person. Automatiserade beslut som grundas enbart på känsliga personuppgifter förbjuds.

Behandling för ändamål utanför brottsdatalagens tillämpningsområde

I 2 kap. 21 § erinras om att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde. Det innebär att förordningen ska tillämpas bl.a. när personuppgifter behandlas för att eventuellt lämnas ut till någon annan än en behörig myndighet för den myndighetens behov eller när en brottsbekämpande myndighet överväger att lämna ut personuppgifter för att användas i annan verksamhet som myndigheten bedriver.

3.2.2. Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

I 3 kap. 1 § slås fast att den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar. Vem som är personuppgiftsansvarig framgår som regel av myndigheternas registerförfattningar.

Åtgärder för att säkerställa författningsenlig behandling

I 3 kap. 2–5 §§ anges vilka tekniska och organisatoriska åtgärder en personuppgiftsansvarig är skyldig att vidta för att säkerställa och kunna visa att personuppgiftsbehandlingen är författningsenlig och att registrerades rättigheter skyddas. Det rör sig både om inbyggt dataskydd, dataskydd som standard och krav på loggning i automatiserade behandlingssystem.

Den personuppgiftsansvarige ska också enligt 3 kap. 6 § se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

I 3 kap. 7 § regleras den personuppgiftsansvariges skyldighet att både inför en ny typ av behandling och vid betydande förändringar av redan pågående behandling, som antas medföra särskild risk för intrång i registrerades personliga integritet, göra en s.k. konse-

kvensbedömning. Om den visar att det finns särskild risk för intrång i registrerades integritet, eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten innan behandlingen påbörjas eller förändringen genomförs, s.k. förhandssamråd.

Säkerheten för personuppgifter

Den personuppgiftsansvarige är enligt 3 kap. 8 § skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Om det inträffar en personuppgiftsincident ska den personuppgiftsansvarige enligt 3 kap. 9 § anmäla det till tillsynsmyndigheten inom 72 timmar från det att den personuppgiftsansvarige fick kännedom om incidenten. Anmälningsskyldigheten gäller dock inte om incidenten rör nationell säkerhet. Någon anmälan behöver inte heller göras bl.a. om det kan antas att incidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.

Den personuppgiftsansvarige ska enligt 3 kap. 10 § underrätta den registrerade om sådana personuppgiftsincidenter som ska anmälas till tillsynsmyndigheten. Någon underrättelse behöver dock inte lämnas om det gäller sekretess eller tystnadsplikt, vilket framgår av 3 kap. 11 §. Det finns även vissa andra undantag från anmälningskyldigheten.

Samarbete med tillsynsmyndigheten

Enligt 3 kap. 12 § ska den personuppgiftsansvarige samarbeta med tillsynsmyndigheten när den utför uppgifter enligt brottsdatalagen med tillhörande förordning. Skyldigheten, som är mer långtgående än kraven i förvaltningslagen, gäller generellt.

Dataskyddsombud

Den personuppgiftsansvarige ska enligt 3 kap. 13 § utse dataskyddsombud och anmäla till tillsynsmyndigheten när sådana utses och entledigas. Dataskyddsombudens uppgifter anges i 3 kap. 14 §. Ombuden ska bl.a. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter. Om den personuppgiftsansvarige bryter mot bestämmelser om behandling av personuppgifter och inte vidtar rättelse, ska dataskyddsombudet enligt 3 kap. 15 § anmäla det till tillsynsmyndigheten.

Personuppgiftsbiträden

Enligt 3 kap. 17 § får den personuppgiftsansvarige får anlita personuppgiftsbiträden om det är lämpligt. Den personuppgiftsansvarige ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter. Det ska enligt 3 kap. 18 § upprättas ett skriftligt avtal eller en annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde och de som arbetar under biträdets ledning får enligt 3 kap. 19 § bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige.

Gemensamt personuppgiftsansvar

Två eller flera myndigheter får enligt 3 kap. 21 § vara gemensamt personuppgiftsansvariga endast i den utsträckning det följer av lag eller förordning eller regeringen i ett enskilt fall beslutar om det.

3.2.3. Enskildas rättigheter

Rätten till information

Den personuppgiftsansvarige ska enligt 4 kap. 1 § göra viss allmän information tillgänglig för registrerade, exempelvis på myndighetens webbplats. Det gäller den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med behandlingen, rätten att få information och att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

I specifika fall ska den personuppgiftsansvarige enligt 4 kap. 2 § på eget initiativ lämna viss ytterligare information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter. Det rör sig om bl.a. information om den rättsliga grunden för behandlingen, kategorier av mottagare av uppgifterna, hur länge uppgifterna får behandlas och övrig nödvändig information.

Den personuppgiftsansvarige ska vidare enligt 4 kap. 3 § till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om så är fallet ska sökanden få del av dem och få viss information om behandlingen. Informationen avser bl.a. vilka personuppgifter om sökanden som behandlas, varifrån de kommer, den rättsliga grunden för behandlingen, ändamålen med behandlingen och hur länge personuppgifterna får behandlas.

Den som har varit föremål för ett automatiserat beslut får enligt 4 kap. 4 § begära närmare information om beslutet.

Information enligt 4 kap. 1, 2 och 4 §§ ska enligt 4 kap. 12 § lämnas utan avgift. Information enligt 4 kap. 3 § ska lämnas utan avgift en gång per år.

Begränsning av rätten till information

Rätten till information enligt 4 kap. 2 eller 3 § får enligt 4 kap. 5 § begränsas i den utsträckning det är författningsreglerat eller framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut. Begränsning får dock bara göras av hänsyn till vissa i paragrafen uppräknade intressen, bl.a. intresset av att

förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet och intresset av att nationell säkerhet skyddas.

Om det finns grund för att begränsa informationen är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslutet eller för beslut i fråga om rättelse, radering eller begränsning av behandlingen.

Motsvarande undantag från informationsskyldigheten gäller för en behörig myndighet som inte tillämpar offentlighets- och sekretesslagen.

Rätten till rättelse, radering och begränsning av behandlingen

På begäran av den registrerade ska den personuppgiftsansvarige enligt 4 kap. 9 § utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av dem i stället utan onödigt dröjsmål begränsas.

På begäran av den registrerade ska den personuppgiftsansvarige enligt 4 kap. 10 § utan onödigt dröjsmål radera personuppgifter om de behandlas på otillåtet sätt. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska fullgöra en rättslig förpliktelse. Om uppgifterna behöver sparas som bevisning ska behandlingen av dem i stället utan onödigt dröjsmål begränsas.

Den personuppgiftsansvarige avgör enligt 4 kap. 11 § vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

3.2.4. Tillsyn

Tillsynsmyndighetens uppdrag och arbetsuppgifter

I 5 kap. 1 § anges de dubbla perspektiv som tillsynsmyndigheten ska ha. Myndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behand-

ling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom brottsdatalagens tillämpningsområde.

I 5 kap. 2–4 §§ anges vilka arbetsuppgifter tillsynsmyndigheten ska ha. Tillsynsmyndigheten ska utöva allmän tillsyn över personuppgiftsbehandling, handlägga klagomål från registrerade, på begäran kontrollera om personuppgifter behandlas författningsenligt, ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden och på begäran bistå tillsynsmyndigheter i andra medlemsstater.

Tillsynsmyndighetens befogenheter

Tillsynsmyndighetens befogenheter regleras i 5 kap. 5–7 §§. Befogenheterna bildar en trappa, där successivt mer ingripande befogenheter kan användas.

Tillsynsmyndigheten har enligt 5 kap. 5 §, som reglerar myndighetens undersökande befogenheter, rätt att av personuppgiftsansvariga på begäran få bl.a. tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder, tillträde till lokaler som den personuppgiftsansvarige disponerar och det biträde som behövs för att utöva tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning ska myndigheten enligt 5 kap. 6 §, som reglerar de förebyggande befogenheterna, genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken. Myndigheten får utfärda en skriftlig varning för att planerad behandling riskerar att stå i strid med lag eller annan författning. Varning får även utfärdas om det finns risk för att pågående behandling kan komma att strida mot lag eller annan författning.

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att den personuppgiftsansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldigheter, får myndigheten använda sina korrigerande befogenheter. De regleras i 5 kap. 7 §. Tillsynsmyndigheten får förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att

vidta åtgärder för att behandlingen ska bli författningsenlig eller för att uppfylla andra skyldigheter. Om bristen är allvarlig får myndigheten förbjuda fortsatt behandling och myndigheten får även besluta om sanktionsavgift. Myndigheten får också använda sina förebyggande befogenheter, med undantag för varning.

Innan tillsynsmyndigheten fattar ett bindande beslut ska enligt 5 kap. 8 § den som beslutet gäller ges tillfälle att yttra sig.

Besked angående handläggningen av klagomål

Om tillsynsmyndigheten inte inom tre månader från det att ett klagomål kom in har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten enligt 5 kap. 9 § på skriftlig begäran av den registrerade antingen lämna besked i frågan eller i ett särskilt beslut avslå begäran. Besked eller beslut ska meddelas inom två veckor från det att begäran kom in till myndigheten. Om tillsynsmyndigheten har avslagit en sådan begäran om besked får den registrerade enligt 5 kap. 10 § återkomma med en ny begäran om besked först efter tre månader.

Samarbete med tillsynsmyndigheter i andra medlemsstater

På begäran av en tillsynsmyndighet i en annan medlemsstat ska den svenska tillsynsmyndigheten bistå den utländska myndigheten. Tillsynsmyndigheten får då enligt 5 kap. 12 § använda sina vanliga befogenheter. En begäran om bistånd får enligt 5 kap. 11 § bara vägras om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den.

Tillsynsmyndigheten får enligt 5 kap. 13 §, om det är förenligt med svenska intressen, lämna ut en sekretessbelagd uppgift till en behörig tillsynsmyndighet i en annan medlemsstat.

Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får enligt 5 kap. 14 § inte användas för något annat ändamål än det för vilket informationen begärdes.

Förfarandet när det finns anledning att ifrågasätta en unionsrättsakt

Om tillsynsmyndigheten vid handläggningen av ett ärende bedömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av brottsdatalagen, får myndigheten enligt 5 kap. 15 § hos allmän förvaltningsdomstol ansöka om att en korrigerande åtgärd ska vidtas. Genom att föra talan vid domstol öppnas möjlighet för domstolen att begära ett förhandsavgörande av EU-domstolen.

3.2.5. Sanktioner, skadestånd och rättsmedel

Sanktionsavgift

Ett nytt sanktionssystem med administrativa sanktionsavgifter införs. Regleringen innebär att den personuppgiftsansvarige ska betala sanktionsavgift om regelsystemet överträds. I vissa fall kan även personuppgiftsbiträden bli skyldiga att betala sanktionsavgift.

De överträdelser som kan föranleda att sanktionsavgift tas ut av den personuppgiftsansvarige räknas uttömmande upp i 6 kap. 1 §. Det gäller först och främst överträdelser som innebär att personuppgifter behandlas på otillåtet sätt. Sanktionsavgift kan också tas ut om den personuppgiftsansvarige har underlåtit att anmäla en personuppgiftsincident till tillsynsmyndigheten, inte har dokumenterat sådana incidenter, inte har bistått tillsynsmyndigheten på det sätt som krävs enligt lagen eller har underlåtit att följa bindande beslut som tillsynsmyndigheten har meddelat. I 6 kap. 2 § regleras i vilka fall sanktionsavgift får tas ut av personuppgiftsbiträden.

I 6 kap. 3 § anges hur stor sanktionsavgift som får tas ut. Sanktionsavgiften är lägst 25 000 kronor och högst 10 miljoner kronor vid mindre allvarliga överträdelser. Vilka överträdelser som räknas som mindre allvarliga anges i paragrafen. Vid andra överträdelser är sanktionsavgiften lägst 50 000 kronor och högst 20 miljoner kronor. Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling eller genom sammankopplade behandlingar ska sanktionsavgiften bestämmas med hänsyn till samtliga överträdelser. Avgiften får dock aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

I 6 kap. 4 § anges hur sanktionsavgiften ska bestämmas i det enskilda fallet. Både vid bedömningen av om sanktionsavgift ska tas ut och när storleken på avgiften bestäms ska särskild hänsyn tas till bl.a. om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet och vad den personuppgiftsansvarige gjort för att begränsa skadan.

Sanktionsavgift får enligt 6 kap. 5 § sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars skulle vara oskäligt att ta ut avgift.

Skadestånd

Den personuppgiftsansvarige ska enligt 7 kap. 1 § ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med lagen har orsakat. Någon möjlighet till jämkning av skadeståndet finns inte, t.ex. om någon annan har vidarebefordrat felaktiga personuppgifter som den personuppgiftsansvarige sedan har behandlat.

Överklagande av beslut som en myndighet fattat i egenskap av personuppgiftsansvarig

Beslut i fråga om bl.a. rättelse, komplettering, radering eller begränsning av behandlingen, som en myndighet har fattat i egenskap av personuppgiftsansvarig, får enligt 7 kap. 2 § överklagas till allmän förvaltningsdomstol. Uppräkningen av vilka beslut som får överklagas är uttömmande. Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

Om den som har lämnat in ett klagomål till tillsynsmyndigheten inte inom tre månader har fått besked av myndigheten om klagomålet kommer att leda till tillsyn, får klaganden begära ett skriftligt besked i frågan och kan därefter, om myndigheten avslår begäran, enligt 7 kap. 3 § föra s.k. dröjsmålstalan i allmän förvaltningsdom-

stol. En sådan talan innebär att domstolen bara tar ställning till om tillsynsmyndigheten borde ha lämnat klaganden besked, inte om tillsyn ska utövas eller inte. Domstolen kan förelägga tillsynsmyndigheten att inom viss tid ge klaganden besked i fråga om tillsyn kommer att utövas.

Andra beslut som tillsynsmyndigheten har meddelat får enligt 7 kap. 4 § överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd.

Några andra beslut än de som nu har angetts får enligt 7 kap. 5 § inte överklagas.

3.2.6. Överföring av personuppgifter till tredjeland och internationella organisationer

Förutsättningar för att överföring ska vara tillåten

I 8 kap. 1–5 §§ anges förutsättningarna för att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation. Personuppgifter får endast överföras om överföringen görs av en behörig myndighet och är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet och överföringen riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet. Dessutom ska det finnas en adekvat skyddsnivå för behandlingen av personuppgifter i det tredjelandet eller hos den internationella organsationen. Beslut om adekvat skyddsnivå meddelas av Europeiska kommissionen. Om det inte finns ett sådant beslut får personuppgifterna ändå överföras om tillräckliga skyddsåtgärder har fastställts i ett avtal eller garanteras på annat sätt. I sista hand får personuppgifter överföras om överföringen är nödvändig i någon av de i lagen angivna undantagssituationerna.

Enligt 8 kap. 2 § får personuppgifter som en svensk myndighet har fått från en annan medlemsstat inte överföras till ett tredjeland eller en internationell organisation utan förhandsmedgivande av den medlemsstaten. Om medgivande inte hinner inhämtas får dock uppgifterna ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Vidareöverföring

S.k. vidareöverföring regleras i 8 kap. 6 §. Med det avses överföring av personuppgifter som har lämnats av en medlemstat till en annan och som sedan har överförts till antingen ett tredjeland eller en internationell organisation som i sin tur vill överföra uppgifterna till antingen ett tredjeland eller en internationell organisation. En svensk myndighet får inte ge tillstånd till sådan vidareöverföring om personuppgifterna har kommit från en annan medlemsstat och den staten inte har medgett vidareöverföring. När en svensk behörig myndighet ska ta ställning till om personuppgifter ska få vidareöverföras ska enligt 8 kap. 7 § särskild vikt läggas vid bl.a. brottets allvar, allvaret i faran för allmän säkerhet och det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten.

Överföring till någon annan än en behörig myndighet

I vissa fall kan personuppgifter behöva överföras till någon som inte är en behörig myndighet i ett tredjeland, t.ex. direkt till en målsägande som är etablerad där. Det får enligt 8 kap. 8 § göras endast om det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en sådan arbetsuppgift som gör lagen tilllämplig och myndigheten underrättar mottagaren om för vilket eller vilka ändamål personuppgifterna får behandlas. Dessutom krävs att det skulle vara ineffektivt eller olämpligt att överföra personuppgifterna till en behörig myndighet i det tredjelandet.

Villkor om användningsbegränsning

Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och det på grund av en överenskommelse med det tredjelandet eller den internationella organisationen gäller villkor som begränsar möjligheten att använda uppgifterna, ska enligt 8 kap. 9 § svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

En svensk behörig myndighet får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, enligt

8 kap. 10 § i ett enskilt fall ställa upp villkor som begränsar mottagarens möjlighet att använda uppgifterna om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.

3.2.7. Ikraftträdande och övergångsbestämmelser

Utredningen föreslår i delbetänkandet att den nya lagstiftningen ska träda i kraft den 1 maj 2018. Det nya sanktionssystemet kräver särskilda övergångsbestämmelser. Det krävs också särskilda övergångsbestämmelser för hur pågående mål och ärenden om bl.a. tillsyn och skadestånd ska hanteras. Bestämmelserna om loggning i automatiserade behandlingssystem som inrättats före den 6 maj 2018 behöver inte tillämpas förrän den 1 maj 2023.

4. Framtida utformning av registerförfattningarna

4.1. Utgångspunkter

I utredningens uppdrag ingår att se över vissa författningar som reglerar personuppgiftsbehandling inom direktivets tillämpningsområde. Det gäller lagen (2001:617) om behandling av personuppgifter inom kriminalvården, polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145), åklagardatalagen (2015:433), domstolsdatalagen (2015:728), tullbrottsdatalagen (2017:447) och skattebrottsdatalagen (2017:452), alla med tillhörande förordningar. I det följande benämns de registerförfattningarna.

Uppdraget omfattar dels att analysera i vilken utsträckning författningarna står i överensstämmelse med bestämmelserna i direktivet, dels att anpassa dem till de krav som ställs där och till förslagen i delbetänkandet. Utredningen ska enligt direktiven så långt det är lämpligt och möjligt sträva efter lösningar som är förenliga med gällande författningar och systematik (dir. 2016:21 s. 6).

Som redovisas i kapitel 3 föreslår utredningen i delbetänkandet en ny lag, brottsdatalagen, som kommer att fylla ungefär samma funktion som personuppgiftslagen gör i dag i verksamhet som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. I delbetänkandet konstaterar utredningen att det, vid sidan av brottsdatalagen, alltjämt kommer att behövas bestämmelser som tar hänsyn till de särskilda behov en viss behörig myndighet har av att kunna behandla personuppgifter för att utföra sina arbetsuppgifter. Sådan särreglering bör finnas i myndigheternas registerförfattningar (se SOU 2017:29 s. 140 f.).

4.2. Det krävs anpassningar till den nya dataskyddsregleringen

Regleringen i registerförfattningarna utgår i dag från personuppgiftslagen, antingen genom att registerförfattningen gäller i stället för personuppgiftslagen men hänvisar till ett antal bestämmelser i den lagen eller genom att registerförfattningen gäller utöver personuppgiftslagen.

Personuppgiftslagen, som är tillämplig vid personuppgiftsbehandling i hela samhället, är allmänt hållen och tar i mycket begränsad utsträckning hänsyn till de särskilda behov som vissa samhällssektorer har. I och med att brottsdatalagen innehåller bestämmelser som är skräddarsydda för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet minskar behovet av att ha särregler i registerförfattningarna. Att den nya regleringen leder till större enhetlighet underlättar informationsflödet, vilket är ett övergripande syfte med direktivet.

Utredningens utgångspunkt är att de generella bestämmelserna i brottsdatalagen ska ersätta motsvarande bestämmelser i registerförfattningarna. Om det inte finns några sakliga skäl för särlösningar bör regleringarna så långt det är möjligt vara likadana för att underlätta informationsutbytet. Det innebär att registerförfattningarna enligt utredningens mening ibland bör anpassas till varandra, även om det inte krävs för genomförandet av direktivet.

I detta kapitel tar utredningen upp några övergripande frågor som rör den framtida utformningen av myndigheternas registerförfattningar, medan behovet av ändringar i var och en av dem behandlas i de följande kapitlen. Vissa ändringar är desamma för flertalet av författningarna, medan det i andra fall krävs särskilda lösningar. Utredningen behandlar behovet av generella ändringar i kapitel 5 och 6, medan ändringar som är specifika för en viss myndighets registerförfattning behandlas i kapitel 7–13. Säkerhetspolisens personuppgiftsbehandling, som i dag regleras i polisdatalagen men ligger utanför brottsdatalagens tillämpningsområde, behandlas i kapitel 14 och 15.

4.3. Merparten av bestämmelserna är förenliga med dataskyddsdirektivet

Utredningens bedömning: Merparten av bestämmelserna i

registerförfattningarna är förenliga med direktivet och behöver inte ändras av det skälet. Många bestämmelser behöver dock ändras av andra skäl, bl.a. för att få en enhetlig terminologi. Det krävs också omfattande redaktionella ändringar.

Skälen för utredningens bedömning: Med undantag för krimi-

nalvårdens lagstiftning har alla registerförfattningar som uppdraget omfattar tillkommit under de senaste åren. Det innebär att de uppfyller kraven som ställs i dataskyddsrambeslutet. Mot bakgrund av att direktivet i stor utsträckning bygger vidare på regleringen i dataskyddsrambeslutet är registerförfattningarna redan till stor del anpassade till de krav som ställs i direktivet. Det utesluter inte att det även i de nya registerförfattningarna kan finnas enskilda bestämmelser som behöver ändras för att stå i överensstämmelse med hur brottsdatalagen genomför direktivet, eftersom det tillkommit vissa krav. Utredningen har vid en genomgång av de enskilda bestämmelserna funnit att flertalet av dem inte behöver ändras för att uppfylla kraven i direktivet.

När det gäller Kriminalvårdens lagstiftning avviker den i många avseenden från den modernare lagstiftning som gäller för flertalet behöriga myndigheter. I motsats till de flesta andra registerförfattningarna gäller Kriminalvårdens dessutom utöver personuppgiftslagen och skiljer sig på så sätt från de övriga även strukturmässigt. Den regleringen kräver därför särskilda överväganden.

Skillnaderna i fråga om registerförfattningarnas tillämpningsområden får betydelse för hur de bör anpassas till brottsdatalagen. Eftersom vissa författningar gäller för personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde går det inte att använda samma mall för hur alla registerförfattningar bör anpassas till brottsdatalagen.

Eftersom det finns fler bestämmelser av generell karaktär i brottsdatalagen än i personuppgiftslagen behövs, som nyss nämnts, inte motsvarande bestämmelser i registerförfattningarna. När många bestämmelser i registerförfattningarna blir överflödiga be-

höver de omarbetas. Det krävs redaktionella ändringar även av andra skäl, exempelvis på grund av att vissa bestämmelser samlas eller på grund av ändrade hänvisningar. Vissa bestämmelser bör ändras för att få till stånd en mer enhetlig utformning eller terminologi, anpassad till brottsdatalagen.

De bestämmelser i registerförfattningarna som utredningen anser inte kräver någon saklig ändring kommer inte att kommenteras när respektive författning behandlas. Utredningen kommer inte heller att särskilt kommentera sådana bestämmelser som enbart blir föremål för mindre ändringar av språklig eller redaktionell karaktär.

4.4. Lagarnas tillämpningsområden

4.4.1. Tillämpningsområdet ska regleras

Utredningens bedömning: Registerlagarna bör även i fortsätt-

ningen innehålla bestämmelser om tillämpningsområdet. Regleringen bör i likhet med tillämpningsområdet för brottsdatalagen utgå från syftet med personuppgiftsbehandlingen i stället för i vilken verksamhet den utförs.

Skälen för utredningens bedömning

Bestämmelser om tillämpningsområdet bör finnas kvar men anpassas

I dag anges det vilket tillämpningsområde respektive registerförfattning har t.ex. genom att det föreskrivs att lagen gäller i en viss myndighets brottsbekämpande eller operativa verksamhet. I vissa registerförfattningar fyller bestämmelsen om tillämpningsområdet den funktionen att den anger att författningen gäller för flera myndigheter (se t.ex. 1 kap. 2 § polisdatalagen). I andra fall har bestämmelserna till syfte att avgränsa tillämpningsområdet till någon eller några delar av en myndighets verksamhet (se t.ex. 1 kap. 2 § tullbrottsdatalagen och 1 kap. 2 § skattebrottsdatalagen).

Uppdelningen mellan brottsdatalagen och dataskyddsförordningen innebär att alla registerförfattningar behöver en tydlig avgränsning. Det är därför nödvändigt att även i fortsättningen ha bestämmelser om tillämpningsområdet i registerförfattningarna.

Utredningen återkommer i kapitel 7–14 till hur tillämpningsområdet bör utformas för de olika myndigheterna.

Från verksamhet till syfte

Syftet med personuppgiftsbehandlingen är avgörande för om brottsdatalagen är tillämplig, medan regleringen i registerlagarna i dag bygger på i vilken verksamhet behandlingen utförs, t.ex. brottsbekämpande verksamhet. Regleringen i brottsdatalagen har sin grund i att direktivet utgår från syftet med behandlingen, inte i vilken verksamhet den utförs. Det är därför inte möjligt att behålla bestämmelser som författningstekniskt knyts till den verksamhet där behandlingen utförs. Utredningen redovisar i delbetänkandet ingående vad det innebär för tillämpningen att fokus flyttas från verksamheten som sådan till syftet med den enskilda behandlingen (se SOU 2017:29 s. 181 f.).

Utredningen har, i enlighet med direktiven för arbetet, strävat efter att behålla inarbetade begrepp. Mot bakgrund av regleringen i direktivet är det dock inte alltid möjligt. Ett sådant exempel är uttrycket brottsbekämpande verksamhet, som i dag används i ett flertal av registerförfattningarna. Eftersom regleringen ska utgå från syftet med behandlingen av personuppgifter bör uttrycket brottsbekämpande verksamhet utmönstras ur registerförfattningarna. I stället bör tillämpningsområdet utgå från utformningen av 1 kap. 2 § brottsdatalagen. Det innebär att tillämpningsområdet i varierande utsträckning bör knytas till att personuppgifter behandlas i något av de syften som anges i brottsdatalagen, dvs. att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet (se SOU 2017:29 s. 159 f.).

Myndigheten ska agera i egenskap av behörig myndighet

Det är inte enbart syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Det krävs också att myndigheten agerar i egenskap av behörig myndighet enligt den lagen. I 1 kap. 6 § brottsdatalagen definieras behörig myndighet som en myndighet som har till uppgift att förebygga, förhindra eller upp-

täcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det bör av tillämpningsområdet i respektive registerförfattning framgå att författningen endast är tillämplig när myndigheten agerar i egenskap av behörig myndighet.

Hur förhåller sig regleringarna till varandra?

En särskild fråga är hur man ska se på det förhållandet att tillämpningsområdet i en myndighets registerförfattning inte är lika brett som brottsdatalagens tillämpningsområde. Som exempel kan nämnas att tillämpningsområdet för flertalet registerförfattningar inte omfattar straffverkställighet och inte heller upprätthållande av allmän ordning och säkerhet. Utredningens utgångspunkt är att brottsdatalagen, som ska tillämpas i hela rättskedjan, bildar den yttre ramen och att tillämpningsområdena i registerförfattningarna inskränker rätten att behandla personuppgifter till vad som gäller för en viss myndighet eller till behandling av personuppgifter för vissa syften i en del av dess verksamhet.

En annan viktig fråga är hur brottsdatalagens tillämpningsområde och registerförfattningarnas tillämpningsområden förhåller sig till varandra. En utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. I dag regleras dock framför allt Polismyndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i flera olika författningar. Det framgår av 1 kap. 3 § polisdatalagen. Det är mot den bakgrunden inte möjligt att reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i registerförfattningen. Det bör enligt utredningens mening i så stor utsträckning som möjligt framgå av respektive registerförfattning om det finns annan reglering inom brottsdatalagens tillämpningsområde som helt ersätter regleringen i registerförfattningen. Om det i någon författning finns avvikande bestämmelser som till viss del ersätter regleringen i registerförfattningen bör det också framgå på samma sätt som i dag. Det är fallet med särregleringen i lagen (2017:496) om internationellt polisiärt samarbete och föreskrifter som har meddelats i anslutning till den lagen.

4.4.2. Vad innebär det ändrade tillämpningsområdet?

Som framgått kommer de justeringar som görs beträffande tilllämpningsområdet att träffa alla myndigheter i rättskedjan. Det som framför allt får betydelse är att endast den personuppgiftsbehandling som utförs i vissa angivna syften kommer att omfattas av registerförfattningarnas tillämpningsområde. I dag reglerar registerförfattningarna personuppgiftsbehandling såväl i myndigheternas kärnverksamhet som för att lämna uppgifter till andra – oavsett för vilket ändamål det görs. Efter anpassningen kommer registerförfattningarna att i fråga om uppgiftslämnande enbart reglera den personuppgiftsbehandling som ligger inom brottsdatalagens tilllämpningsområde. Det är en direkt effekt av att olika regelverk gäller för personuppgiftsbehandling inom brottsdatalagens respektive dataskyddsförordningens tillämpningsområden. Exempel på något som i många fall kommer att ligga utanför tillämpningsområdet kan vara när Tullverkets brottsbekämpande verksamhet lämnar uppgifter till verksamheten under Effektiv handel. Utlämnande av allmänna handlingar enligt tryckfrihetsförordningen ligger alltid utanför tillämpningsområdet.

Tillämpningsområdet för alla registerförfattningar blir därmed smalare än i dag, eftersom inte all personuppgiftsbehandling som utförs när en myndighet ägnar sig åt brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet har ett sådant syfte att registerförfattningen är tillämplig.

Det förhållandet att tillämpningsområdet enbart omfattar den som agerar som behörig myndighet har däremot mindre betydelse, eftersom syftet med behandlingen och begreppet behörig myndighet är så intimt förbundna med varandra och båda förutsättningarna ska vara uppfyllda för att personuppgiftsbehandlingen ska ligga inom tillämpningsområdet.

4.5. Ska registerförfattningarna reglera frågor som inte rör dataskydd?

Utredningens bedömning: Registerförfattningarna bör även i

fortsättningen innehålla sekretessbrytande bestämmelser. De bör också reglera på vilket sätt personuppgifter får tillhandahållas och viss föreskriftsrätt som inte direkt rör tillämpningsområdet.

Skälen för utredningens bedömning

Registerförfattningarna ska även i fortsättningen innehålla annat än bara dataskyddsbestämmelser

Registerförfattningarna innehåller i dag inte bara dataskyddsbestämmelser utan också vissa andra bestämmelser som har direkt anknytning till dataskyddsregleringen. En kategori är de sekretessbrytande bestämmelser som finns i flertalet registerförfattningar. Det finns två typer av sådana bestämmelser. Den ena är de som gör det möjligt att medge direktåtkomst till vissa personuppgifter. Den andra är de som har till syfte att bryta sekretessen för visst informationsutbyte som till stor del sker elektroniskt, t.ex. de brottsbekämpande myndigheternas informationsutbyte med Interpol och Europol. Enligt utredningens mening har de sekretessbrytande bestämmelserna så nära samband med personuppgiftsbehandlingen att de hör hemma i registerförfattningarna. Det är också svårt att se att de har en naturlig plats i någon annan befintlig författning. De bör därför finnas kvar i registerförfattningarna.

En annan kategori är de bestämmelser som reglerar på vilket sätt personuppgifter får tillhandahållas. Hit hör naturligtvis reglerna om direktåtkomst. I flertalet registerförfattningar finns det också en bestämmelse som föreskriver att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Även dessa bestämmelser har enligt utredningens mening sin naturliga plats i registerförfattningarna. De medverkar dessutom indirekt till dataskyddet, eftersom de begränsar möjligheten att tillhandahålla personuppgifter elektroniskt.

Den tredje kategorin är sådana bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas för historiska, statistiska och vetenskapliga ändamål och om digital arkivering. Som utredningen utvecklar i avsnitt 5.5.2 och 5.5.3 bör även sådana bestämmelser finnas kvar i registerförfattningarna.

Ställningstagandet att registerförfattningarna även i fortsättningen bör reglera dessa frågor ligger i linje med att det i direktiven för utredningen framhålls att den nuvarande strukturen så långt möjligt bör behållas.

Ingen uttömmande reglering av uppgiftslämnande och sekretessgenombrott

Det kan anmärkas att sekretessbrytande bestämmelser finns både i offentlighets- och sekretesslagen (2009:400) och i andra författningar som också ska tillämpas av de myndigheter vilkas registerförfattningar ligger inom brottsdatalagens tillämpningsområde. Bestämmelserna i registerförfattningarna reglerar därmed inte uttömmande när sekretessen bryts.

Vissa bestämmelser som är sekretessbrytande syftar också till att ange till vem uppgifter får lämnas. Bestämmelser av det slaget finns även i andra författningar, både sådana som reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde och sådana som helt eller delvis ligger utanför tillämpningsområdet. I exempelvis förordningen (1999:1134) om belastningsregister finns det bestämmelser om uppgiftslämnande både för ändamål inom brottsdatalagens tillämpningsområde och utanför. Registerförfattningarna reglerar alltså inte uttömmande vilket uppgiftslämnande som är tillåtet.

5. Generella ändringar

5.1. Registerförfattningarna har likartat innehåll

De brottsbekämpande myndigheternas registerförfattningar är uppbyggda på samma sätt och har framför allt i de inledande kapitlen till stor del ett likartat innehåll. Det beror på att polisdatalagen har använts som mönster när nyare registerförfattningar har utformats. Eftersom registerförfattningarna har betydande likheter är behovet av ändringar i dem i stor utsträckning detsamma. Det finns därför anledning att i detta kapitel behandla de ändringar som är desamma för alla eller ett flertal av registerförfattningarna.

Kriminalvårdens registerlagstiftning skiljer sig visserligen till stora delar från övriga registerförfattningar, men även den innehåller vissa bestämmelser som liknar dem som finns i de övriga registerförfattningarna. När så är fallet behandlas även kriminalvårdens bestämmelser i detta kapitel.

Däremot behandlas domstolarnas registerlagstiftning inte här utan i kapitel 12. Utredningen föreslår där att en ny lag införs för domstolarnas personuppgiftsbehandling inom brottsdatalagens tilllämpningsområde.

Säkerhetspolisens registerlagstiftning diskuteras inte heller i detta avsnitt. Utredningen återkommer till den i avsnitt 14 och 15.

En närmare beskrivning av registerförfattningarna finns i kapitel 3 i delbetänkandet (se SOU 2017:29 s. 91 f.).

5.2. En ny lagteknisk struktur

Utredningens förslag: Registerförfattningarna ska gälla utöver

brottsdatalagen.

Skälen för utredningens förslag:Polisdatalagen, kustbevaknings-

datalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen gäller i stället för personuppgiftslagen (se exempelvis 2 kap. 1 § polisdatalagen). Lagen om behandling av personuppgifter inom kriminalvården har en annan struktur. I 2 § föreskrivs att om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av den tillämpas personuppgiftslagen.

Enligt delbetänkandet bör registerförfattningarna gälla utöver brottsdatalagen (se SOU 2017:29 s. 141 f.). De registerförfattningar som i dag gäller i stället för personuppgiftslagen bör därför anpassas så att de gäller utöver brottsdatalagen. En bestämmelse som anger det bör tas in i respektive registerförfattning. Även Kriminalvårdens registerlagstiftning bör anpassas så att den gäller utöver brottsdatalagen i stället för utöver personuppgiftslagen.

I brottsdatalagen finns alla grundläggande bestämmelser om hur personuppgifter får behandlas. Där regleras också den personuppgiftsansvariges skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och rättsmedel. Där anges också vad som gäller för överföring av personuppgifter till tredjeland. Att registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de framför allt bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Det innebär vidare att de bestämmelser som finns i registerförfattningarna ska läsas tillsammans med regleringen i brottsdatalagen. Det kan vara fråga om bestämmelser som t.ex. preciserar vilka särskilda krav som gäller vid behandling av en viss typ av personuppgifter eller hur länge en viss typ av personuppgifter får behandlas. Det kan även finnas bestämmelser som inskränker möjligheten att behandla vissa personuppgifter.

En konsekvens av att en registerförfattning gäller utöver brottsdatalagen är att tillämparen inte kan nöja sig med att ta del av registerförfattningens reglering utan också måste tolka bestämmelserna

i registerförfattningen i ljuset av regleringen i brottsdatalagen. Om formuleringen av en bestämmelse i en registerförfattning t.ex. medger två olika tolkningar, men bara den ena av dem är förenlig med regleringen i brottsdatalagen, är det den tolkningen som gäller.

I en författning som gäller utöver en annan upprepas inte bestämmelserna i den överordnade författningen, utom i de fall där det är nödvändigt för förståelsen av en bestämmelse i den förstnämnda författningen. Inte heller görs det hänvisningar till bestämmelserna i den överordnade författningen om det inte är absolut nödvändigt för sammanhanget. En författning som gäller utöver en annan ställer därför särskilda krav på tillämparen.

5.3. Bestämmelser som inte längre behövs

5.3.1. Hänvisningar till personuppgiftslagen

Utredningens förslag: Alla hänvisningar till personuppgifts-

lagen i registerförfattningarna ska upphävas.

Skälen för utredningens förslag

Några hänvisningar till personuppgiftslagen ska inte finnas

Dataskyddsutredningen föreslår att personuppgiftslagen ska upphöra att gälla den 25 maj 2018, då dataskyddsförordningen ska börja tillämpas (se SOU 2017:39 s. 78 f.). I 2 kap. 2 § polisdatalagen, 2 kap. 2 § kustbevakningsdatalagen, 2 kap. 2 § åklagardatalagen, 2 kap. 2 § tullbrottsdatalagen och 2 kap. 2 § skattebrottsdatalagen räknas det upp vilka paragrafer i personuppgiftslagen som ska tillämpas när personuppgifter behandlas enligt respektive lag. I lagen om behandling av personuppgifter inom kriminalvården finns det inte någon motsvarande uppräkning. Däremot föreskrivs i 8 § att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt kriminalvårdens registerförfattning. Det finns även andra bestämmelser i den lagen som hänvisar till personuppgiftslagen.

Brottsdatalagen innehåller en för de behöriga myndigheterna gemensam reglering av all personuppgiftsbehandling som utförs i

syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. När brottsdatalagen införs och personuppgiftslagen upphör att gälla bör det inte längre finnas några hänvisningar till personuppgiftslagen i registerförfattningarna. Sådana bestämmelser bör därför upphävas.

Vissa hänvisningar ska inte ersättas

Alla de hänvisningar till personuppgiftslagen som räknas upp i nyss nämnda bestämmelser har inte någon motsvarighet i brottsdatalagen. Hit hör bestämmelsen i 8 § första stycket personuppgiftslagen om förhållandet till offentlighetsprincipen. Som framgår av delbetänkandet regleras den frågan fortsättningsvis i dataskyddsförordningen, varför det inte bör finnas några bestämmelser om förhållandet till offentlighetsprincipen vare sig i brottsdatalagen eller i registerförfattningarna (se SOU 2017:29 s. 179 f.).

Det gäller också kravet i 42 § personuppgiftslagen på upplysningar till allmänheten om sådana behandlingar som inte ska anmälas till tillsynsmyndigheten. Det finns inte längre något behov av en sådan bestämmelse, eftersom varken direktivet eller brottsdatalagen föreskriver någon motsvarande anmälningsskyldighet.

Användningen av personnummer

I 22 § personuppgiftslagen, som registerförfattningarna hänvisar till, föreskrivs det att personnummer och samordningsnummer bara får behandlas utan samtycke när det är klart motiverat bl.a. med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering. Bestämmelsen om behandling av personnummer och liknande identifieringsuppgifter har ingen motsvarighet i direktivet. Myndigheter som behöver behandla personnummer och liknande identifieringsuppgifter som ett led i sin verksamhet kan göra det i dag i syfte att fastställa en säker identitet. Utredningen ser inte något behov av att införa en generell bestämmelse som motsvarar 22 § personuppgiftslagen, eftersom kraven på en säker identifiering väger särskilt tungt i verksamhet inom brottsdatalagens tillämpningsområde och användningen av personnummer och

liknande identitetsuppgifter därmed nära nog alltid är motiverad. En sådan bestämmelse skulle därför inte fylla någon praktisk funktion för att skydda enskildas integritet. I viss verksamhet kan dock en sådan reglering vara motiverad (se avsnitt 12.4.4).

Undantaget från informationsskyldighet vid ljud och bild

Enligt 23 § personuppgiftslagen ska den personuppgiftsansvarige självmant informera den registrerade om behandling av personuppgifter som samlas in från den registrerade själv. I 2 kap. 2 § tredje stycket polisdatalagen, 2 kap. 2 § tredje stycket kustbevakningsdatalagen och 2 kap. 2 § tredje stycket tullbrottsdatalagen görs undantag från den informationsskyldigheten vid behandling av personuppgifter genom bilder eller ljud och i samband med larm, om det med hänsyn till omständigheterna inte finns tid att informera. Motsvarande undantag för behandling genom bilder eller ljud görs i 2 kap. 2 § tredje stycket skattebrottsdatalagen.

I brottsdatalagen finns det ingen motsvarighet till informationsskyldigheten i 23 § personuppgiftslagen. I 4 kap. 2 § brottsdatalagen föreskrivs däremot att den registrerade ska informeras i specifika fall om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter (se SOU 2017:29 s. 378 f.).

Enligt utredningens uppfattning fråntas den registrerade inte möjligheten att ta tillvara sina rättigheter om han eller hon inte informeras om att han eller hon förekommer i en bild- eller ljudupptagning som har tillkommit i annat syfte än att samla in personuppgifter om den registrerade (jfr Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 86 och 314). Det kan t.ex. vara fråga om bilder från en brottsplats eller från en demonstration med våldsinslag eller en filmsekvens från ett oljeutsläpp. Värdet av att informera den enskilde i sådana situationer kan ifrågasättas (jfr Kustbevakningsdatalag, prop. 2011/12:45, s. 81). Detsamma gäller information i samband med larm. De som larmar får anses känna till att deras personuppgifter registreras. Det innebär att det inte behövs någon information för att den registrerade ska kunna ta tillvara sina rättigheter.

Utredningen anser att det i dessa båda fall inte rör sig om sådana specifika fall som avses i 4 kap. 2 § brottsdatalagen. Myndigheten är

då enligt direktivet inte skyldig att informera den registrerade. Det innebär att det nuvarande undantaget från informationsskyldigheten inte längre fyller någon funktion och därför bör tas bort.

5.3.2. Hänvisningar till 2013 års lag

Utredningens förslag: Bestämmelser som hänvisar till 2013 års

lag ska upphävas.

Skälen för utredningens förslag: Utredningen föreslår i delbetän-

kandet att lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) ska upphävas när brottsdatalagen träder i kraft (se SOU 2017:29 s. 145 f.). I 2 a § lagen om behandling av personuppgifter inom kriminalvården, 1 kap. 5 § polisdatalagen, 1 kap. 2 a § kustbevakningsdatalagen, 1 kap. 3 § åklagardatalagen, 1 kap. 3 § andra stycket tullbrottsdatalagen och 1 kap. 3 § skattebrottsdatalagen hänvisas till att bestämmelserna i 2013 års lag, och i föreskrifter som har meddelats i anslutning till den lagen, ska tillämpas i stället för bestämmelserna i respektive författning. Som en konsekvens av att 2013 års lag upphävs bör alla hänvisningar till den lagen upphävas. Utredningen återkommer till frågan i avsnitt 17.5, eftersom det finns hänvisningar till 2013 års lag i ytterligare några författningar.

5.3.3. Syftet med lagarna

Utredningens förslag: Bestämmelser som beskriver syftet med

respektive registerförfattning ska upphävas.

Skälen för utredningens förslag: Enligt 1 kap. 1 § första stycket

brottsdatalagen är syftet med lagen dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt (se SOU 2017:29 s. 144).

I 1 kap. 1 § polisdatalagen, 1 kap. 1 § kustbevakningsdatalagen, 1 kap. 1 § åklagardatalagen, 1 kap. 1 § tullbrottsdatalagen och 1 kap. 1 § skattebrottsdatalagen anges det övergripande syftet med respektive lag. Exempelvis anges i 1 kap. 1 § polisdatalagen att syftet med lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och skydda människor mot att deras personliga integritet kränks vid sådan behandling. Brottsdatalagen kommer att tillämpas av alla myndigheter som behandlar personuppgifter inom lagens tillämpningsområde. Den dubbla målsättningen med lagen – att stärka integritetsskyddet och att samtidigt värna om att behöriga myndigheter kan behandla personuppgifter på ett ändamålsenligt sätt – gäller således oavsett om det är t.ex. Polismyndigheten eller Kustbevakningen som behandlar personuppgifter. Det finns då inte skäl att i registerförfattningarna behålla bestämmelser som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen. De bör därför upphävas. Som framgår av avsnitt 5.2 ska registerförfattningarna läsas tillsammans med brottsdatalagen. Att syftet inte framgår direkt av var och en av registerförfattningarna innebär därför inte att integritetsskyddet försvagas.

5.3.4. Automatiserad behandling

Utredningens förslag: Bestämmelser om att registerförfatt-

ningarna endast gäller vid behandling av personuppgifter som är automatiserad eller på annat sätt strukturerad ska upphävas.

Skälen för utredningens förslag: Enligt 1 kap. 3 § brottsdatalagen

gäller lagen för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se SOU 2017:29 s. 173 f.).

I 1 § andra stycket lagen om behandling av personuppgifter inom kriminalvården, 1 kap. 2 § andra stycket polisdatalagen, 1 kap. 2 § andra stycket kustbevakningsdatalagen, 1 kap. 2 § första stycket åklagardatalagen, 1 kap. 2 § tullbrottsdatalagen och 1 kap. 2 § skat-

tebrottsdatalagen finns det bestämmelser med motsvarande innehåll. Det finns inte något behov av att i registerförfattningarna upprepa att de i huvudsak gäller för automatiserad behandling. Sådana bestämmelser bör därför upphävas.

5.3.5. Bestämmelser om lagarnas uppbyggnad

Utredningens förslag: Bestämmelser om hur registerförfatt-

ningarna är uppbyggda eller var en viss typ av bestämmelser finns ska som huvudregel upphävas.

Skälen för utredningens förslag: I 1 kap. 7 § polisdatalagen, 1 kap.

5 § kustbevakningsdatalagen, 1 kap. 5 § tullbrottsdatalagen och 1 kap. 5 § skattebrottsdatalagen anges hur respektive lag är uppbyggd. När polisdatalagen infördes såg lagstiftaren ett behov av att tydliggöra hur lagens olika kapitel förhöll sig till varandra, hur de skulle tillämpas och av vem. Den regleringen har senare använts som mönster för de övriga registerförfattningarna. Genom att brottsdatalagen innehåller den generella regleringen för de behöriga myndigheterna kommer åtskilliga bestämmelser i registerförfattningarna inte längre att behövas. Tillämpningsområdet för flera av lagarna ändras också på det sättet att bestämmelser om behandling av personuppgifter för andra syften än de som anges i brottsdatalagen rensas bort. Behovet av bestämmelser om lagarnas uppbyggnad minskar till följd av dessa ändringar. Det bör därför inte finnas bestämmelser om hur lagarna är uppbyggda, om det inte finns särskilda skäl för det (se avsnitt 7.2.3).

I polisdatalagen och kustbevakningsdatalagen finns det bestämmelser om bevarande och gallring i olika kapitel. Lagarna innehåller därför – för att skapa en överblick – bestämmelser som anger var i lagen bevarande och gallring regleras (se 2 kap. 12 § och 3 kap. 9 §polisdatalagen och 3 kap. 4 § kustbevakningsdatalagen). En annan lagstiftningsteknik används i tullbrottsdatalagen och skattebrottsdatalagen, där alla bestämmelser om bevarande och gallring är samlade i ett särskilt kapitel. Där inleds i stället kapitlet med en bestämmelse som presenterar innehållet.

Utredningen anser som utvecklas i avsnitt 5.5.1 att bestämmelser om bevarande och gallring som huvudregel bör hållas samman.

Därmed finns det inte längre behov av bestämmelser som tydliggör var i lagen sådana frågor regleras, varför de bör upphävas.

5.3.6. Personuppgiftsombud

Utredningens förslag: Bestämmelser i registerförfattningarna

om att de personuppgiftsansvariga ska utse personuppgiftsombud ska upphävas.

Skälen för utredningens förslag: Enligt 3 kap. 13 § brottsdata-

lagen ska personuppgiftsansvariga utse ett eller flera dataskyddsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten både när ett dataskyddsombud utses och när ombudet entledigas (se SOU 2017:29 s. 340 f.).

I 2 kap. 5 § polisdatalagen, 2 kap. 5 § kustbevakningsdatalagen, 2 kap. 4 § åklagardatalagen, 2 kap. 4 § tullbrottsdatalagen och 2 kap. 4 § skattebrottsdatalagen föreskrivs skyldighet att utse ett eller flera personuppgiftsombud och att anmäla till tillsynsmyndigheten när ett sådant ombud utses eller entledigas. I och med att det i brottsdatalagen finns en generell bestämmelse om skyldighet att utse dataskyddsombud (som är den benämning som används i stället för personuppgiftsombud) behövs inga sådana bestämmelser i registerförfattningarna. Bestämmelserna om att personuppgiftsombud ska utses bör därför upphävas.

5.3.7. Behandling för diarieföring

Utredningens förslag: Bestämmelser i registerförfattningarna

om att personuppgifter får behandlas om det är nödvändigt för diarieföring eller för att utföra andra nödvändiga handläggningsåtgärder ska upphävas.

Skälen för utredningens förslag: Enligt 2 kap. 2 § brottsdatalagen

får personuppgifter alltid behandlas om det är nödvändigt för diarieföring. Personuppgifter får också behandlas om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller lik-

nande och behandlingen är nödvändig för myndighetens handläggning (se SOU 2017:29 s. 239 f.).

I 2 kap. 9 § polisdatalagen, 2 kap. 6 § kustbevakningsdatalagen, 2 kap. 7 § åklagardatalagen, 2 kap. 7 § tullbrottsdatalagen och 2 kap. 7 § skattebrottsdatalagen föreskrivs att personuppgifter får behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till myndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Eftersom brottsdatalagen innehåller en motsvarande bestämmelse finns det inte något skäl att behålla bestämmelserna i registerförfattningarna. De bör därför upphävas.

5.3.8. Behandling av känsliga personuppgifter

Utredningens förslag: Bestämmelser i registerförfattningarna

om behandling av känsliga personuppgifter och användning av känsliga personuppgifter som sökbegrepp ska upphävas. Det gäller även bestämmelser om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Skälen för utredningens förslag

Känsliga personuppgifter

I 2 kap.11 och 12 §§brottsdatalagen finns det bestämmelser om känsliga personuppgifter. I 2 kap. 11 § föreskrivs att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Om uppgifter om en person behandlas får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att biometriska uppgifter som används för att identifiera en person och genetiska uppgifter ingår i uppräkningen av känsliga person-

uppgifter har sin grund i direktivet. Detsamma gäller uppgifter om sexuell läggning, även om de redan tidigare som regel har betraktats som känsliga personuppgifter (se SOU 2017:29 s. 264 f.).

I 5 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 10 § polisdatalagen, 2 kap. 8 § åklagardatalagen, 2 kap. 7 § kustbevakningsdatalagen, 2 kap. 10 § tullbrottsdatalagen och 2 kap. 8 § skattebrottsdatalagen finns det bestämmelser om behandling av känsliga personuppgifter. Eftersom behandling av känsliga personuppgifter regleras i brottsdatalagen, finns det inte skäl att behålla motsvarande generella regler i registerförfattningarna. De bör därför upphävas.

I avsnitt 5.3.7 föreslår utredningen att de allmänna bestämmelserna i registerförfattningarna om behandling för diarieföring ska upphävas. Enligt 2 kap. 13 § brottsdatalagen, som hänvisar till 2 kap. 2 §, får även känsliga personuppgifter behandlas om det är nödvändigt för diarieföring. Detsamma gäller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (se SOU 2017:29 s. 271 f.).

I 2 kap. 10 § andra stycket polisdatalagen, 2 kap. 7 § andra stycket kustbevakningsdatalagen, 2 kap. 8 § andra stycket åklagardatalagen, 2 kap. 10 § andra stycket tullbrottsdatalagen och 2 kap. 8 § andra stycket skattebrottsdatalagen finns det motsvarande bestämmelser om att känsliga personuppgifter får behandlas för diarieföring eller andra nödvändiga handläggningsuppgifter. Det finns inte anledning att behålla dessa bestämmelser, eftersom det finns en motsvarande reglering i brottsdatalagen. Bestämmelserna i registerförfattningarna bör därför upphävas.

Uppgifter som beskriver en persons utseende

I 2 kap. 7 § andra stycket brottsdatalagen föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet (se SOU 2017:29 s. 259). Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet i stället för i anslutning till bestämmelserna om behandling av känsliga personuppgifter, eftersom den gäller obero-

ende av om uppgifterna om utseende är känsliga personuppgifter eller inte.

I 2 kap. 10 § tredje stycket polisdatalagen, 2 kap. 7 § tredje stycket kustbevakningsdatalagen, 2 kap. 8 § tredje stycket åklagardatalagen, 2 kap. 10 § tredje stycket tullbrottsdatalagen och 2 kap. 8 § tredje stycket skattebrottsdatalagen finns det bestämmelser med motsvarande innehåll. Eftersom det i brottsdatalagen finns en bestämmelse om hur uppgifter om personers utseende ska utformas behöver det inte regleras i registerförfattningarna. Bestämmelser om det bör således upphävas.

Registerförfattningarna ska inte längre innehålla sökförbud

I 2 kap. 14 § brottsdatalagen föreskrivs ett generellt förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Enligt 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen, 3 kap. 4 § åklagardatalagen, 3 kap. 5 § tullbrottsdatalagen och 3 kap. 5 § skattebrottsdatalagen får känsliga personuppgifter inte användas som sökbegrepp vid sökning i personuppgifter som gjorts gemensamt tillgängliga. Något motsvarande sökförbud finns inte för uppgifter som endast ett fåtal har tillgång till. Enligt 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter inte användas som sökbegrepp om inte regeringen har föreskrivit det.

Mot bakgrund av att brottsdatalagen innehåller ett generellt sökförbud behövs inte längre bestämmelserna i registerförfattningarna om användning av känsliga personuppgifter som sökbegrepp. De bör därför upphävas. Detsamma bör gälla 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården och de bestämmelser om användning av känsliga personuppgifter som sökbegrepp som finns i tillhörande förordning.

Utredningen återkommer i kapitlen om de olika registerförfattningarna till frågan om det behövs undantag från sökförbudet i brottsdatalagen.

5.3.9. Tillgången till personuppgifter

Utredningens förslag: Bestämmelser i registerförfattningarna

om tillgången till personuppgifter ska upphävas. Det gäller även bestämmelser om att regeringen eller den myndighet som regeringen bestämmer har rätt att meddela föreskrifter om det.

Generella bestämmelser om vad den personuppgiftsansvarige ska beakta när tillgång ges till personuppgifter och om att det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörighet för åtkomst till personuppgifter ska tas in i brottsdataförordningen. De ska ersätta motsvarande bestämmelser i registerförordningarna.

Skälen för utredningens förslag

Tillgången till personuppgifter bör enbart regleras i brottsdatalagen

Enligt 3 kap. 6 § brottsdatalagen ska den personuppgiftsansvarige se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se SOU 2017:29 s. 311 f.). Enligt 3 kap. 23 § 2 brottsdatalagen kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om tillgången till personuppgifter.

I 2 kap. 11 § polisdatalagen, 2 kap. 3 § kustbevakningsdatalagen, 2 kap. 9 § åklagardatalagen, 2 kap. 11 § tullbrottsdatalagen och 2 kap. 10 § skattebrottsdatalagen föreskrivs att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelserna kompletteras av en möjlighet för regeringen, eller den myndighet som regeringen bestämmer, att meddela närmare föreskrifter om tillgången till personuppgifter. I bestämmelser om direktåtkomst i nämnda lagar föreskrivs det att den mottagande myndigheten ansvarar för att tillgången till personuppgifter begränsas på motsvarande sätt (se t.ex. 3 kap. 8 § andra stycket polisdatalagen). Likartade bestämmelser finns i 6 och 10 §§ lagen om behandling av personuppgifter inom kriminalvården.

Eftersom det finns en generellt tillämplig bestämmelse i brottsdatalagen som föreskriver att tillgången till personuppgifter ska begränsas, finns det inte något behov av att behålla motsvarande be-

stämmelser i registerförfattningarna. Det gäller även bestämmelser om begränsning av tillgången till personuppgifter vid direktåtkomst. I registerförfattningarna bör det inte heller finnas några bestämmelser om föreskriftsrätt om tillgången till personuppgifter, eftersom det är fråga om interna förhållanden i myndigheterna (se avsnitt 5.7).

Nya generella bestämmelser i brottsdataförordningen

I 3 § polisdataförordningen (2010:1155) föreskrivs att Polismyndigheten och Säkerhetspolisen får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive verksamhetsområden. För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. I 3 § kustbevakningsdataförordningen (2012:146), 2 § åklagardataförordningen (2015:575), 3 § tullbrottsdataförordningen (2017:450) och 3 § skattebrottsdataförordningen (2017:458) finns motsvarande bestämmelser.

Enligt 4 § polisdataförordningen ansvarar Polismyndigheten och Säkerhetspolisen för att det inom respektive myndighet finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Motsvarande bestämmelser finns i 4 § kustbevakningsdataförordningen, 3 § åklagardataförordningen, 4 § tullbrottsdataförordningen och 4 § skattebrottsdataförordningen.

De nu aktuella bestämmelserna är av den arten att de enligt utredningens mening bör gälla generellt inom brottsdatalagens tilllämpningsområde. Bestämmelser med den innebörden bör därför tas in i brottsdataförordningen och bestämmelserna i registerförordningarna bör upphävas. Myndigheterna bör dock inte ha någon föreskriftsrätt på området, eftersom det enbart rör sig om interna förhållanden som kan regleras på annat sätt än i föreskrifter (se avsnitt 5.7).

5.3.10. Särskilda upplysningar

Utredningens förslag: Registerförfattningarna ska inte inne-

hålla bestämmelser som motsvarar brottsdatalagens bestämmelser om särskilda upplysningar. Bestämmelser om att vissa personuppgifter ska förses med särskilda upplysningar ska dock finnas kvar för uppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Bestämmelserna om särskilda upplysningar ska liksom i dag enbart gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.

Skälen för utredningens förslag

Bestämmelser om särskilda upplysningar

Enligt 2 kap. 3 § andra stycket brottsdatalagen ska det ändamål som personuppgifter behandlas för tydliggöras genom en särskild upplysning, om det inte framgår av sammanhanget eller på annat sätt. I 2 kap. 9 § brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning. Enligt 2 kap. 10 § brottsdatalagen ska vidare personuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på något annat sätt ska den tydliggöras genom en särskild upplysning (se SOU 2017:29 s. 260 f.).

I flera av registerförfattningarna föreskrivs att det i vissa fall ska lämnas särskilda upplysningar. Bestämmelser om särskilda upplysningar, med något olika innehåll, finns i 3 kap.3 och 4 §§polisdatalagen, 4 kap.2 och 3 §§kustbevakningsdatalagen, 3 kap. 3 § åklagardatalagen, 3 kap.3 och 4 §§tullbrottsdatalagen och 3 kap.3 och 4 §§skattebrottsdatalagen. De särskilda upplysningarna ska avse att personen i fråga inte är misstänkt vare sig för brott eller för att utöva brottslig verksamhet. I fråga om den som är misstänkt för att utöva eller att komma att utöva brottslig verksamhet ska de sär-

skilda upplysningarna belysa uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det ska också finnas en särskild upplysning om ändamålet med behandlingen, om det inte framgår på annat sätt. Bestämmelserna om särskilda upplysningar gäller endast för personuppgifter som har gjorts gemensamt tillgängliga.

Upplysningar om ändamålet med behandlingen

Registerförfattningarna bör inte innehålla bestämmelser som motsvarar brottsdatalagens krav på att ändamålet med behandlingen ska framgå. Bestämmelser som ställer upp sådana krav bör därför upphävas.

Särskilda upplysningar bara om uppgifterna är gemensamt tillgängliga

I delbetänkandet konstaterar utredningen att det kan finnas skäl att i registerförfattningarna fortsatt göra undantag från bestämmelserna om särskilda upplysningar för personuppgifter som inte har gjorts gemensamt tillgängliga (se SOU 2017:29 s. 262).

Behovet av särskilda upplysningar gör sig framför allt gällande om personuppgifter behandlas utanför sitt ursprungliga sammanhang. I förarbetena till polisdatalagen diskuteras ingående skälen för att ha sådana bestämmelser och när särskilda upplysningar inte behövs (se prop. 2009/10:85 s. 145 f.). Utredningen anser att det inte finns behov av särskilda upplysningar när det integritetsskydd som de särskilda upplysningarna syftar till att skapa tillgodoses på annat sätt, t.ex. genom att det fåtal personer som behandlar uppgifterna är införstådda med varför det görs. Det finns också anledning att erinra om att direktivets krav på särskilda upplysningar beträffande vilken kategori en person tillhör och beträffande att fakta ska skiljas från personliga bedömningar bara gäller så långt det är möjligt att lämna sådan information. Det innebär att man varit väl införstådd med att sådana upplysningar inte alltid kommer att finnas. Det finns därför möjlighet att göra undantag från de kraven.

Kravet i 2 kap. 3 § andra stycket brottsdatalagen att ändamålet med behandlingen ska framgå följer inte av direktivet utan skapar ett sådant extra skydd för enskildas integritet som direktivet med-

ger att nationell rätt får innehålla. Det finns därför även möjlighet att göra undantag från det kravet.

Bestämmelserna om särskilda upplysningar bör mot den bakgrunden på samma sätt som i dag enbart gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.

För de behöriga myndigheter som inte har en reglering som gör skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter kommer bestämmelserna i brottsdatalagen om särskilda upplysningar att gälla utan undantag. Det kan förefalla som om det därmed ställs högre krav på de myndigheter som i dag överhuvudtaget inte behöver förse personuppgifter med särskilda upplysningar, medan de myndigheter som har en sådan reglering får undantag från kraven i brottsdatalagen. Enligt brottsdatalagen ska personuppgifter förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sammanhanget eller på något annat sätt. Som utredningen konstaterar i delbetänkandet är det framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas (se SOU 2017:29 s. 261). När det gäller andra myndigheter än de brottsbekämpande kommer det därför normalt inte att krävas några särskilda upplysningar och då finns det inte heller skäl att ha något undantag.

Upplysningar om vilken kategori en person tillhör

I brottsdatalagen ställs det delvis andra krav på särskilda upplysningar än i registerförfattningarna. Sådana bestämmelser i registerförfattningarna som innebär att det genom en särskild upplysning ska framgå att en viss person inte är misstänkt täcks, såvitt gäller brottsutredande och lagförande verksamhet, av regleringen i 2 kap. 9 § brottsdatalagen. Det finns därför inte skäl att i registerförfattningarna behålla bestämmelser som föreskriver att det ska framgå att en person inte är misstänkt för brott.

Det väcker frågan hur man ska se på det förhållandet att begreppet misstänkt används i registerförfattningarna även om personer vilkas uppgifter behandlas i underrättelseverksamhet, trots att regelverket i övrigt förutsätter att ett konkret brott har begåtts för

att någon ska kunna betecknas som misstänkt. Misstänkt används i detta sammanhang för att skilja ut personer som kan ha direkt samband med den brottsliga verksamheten från andra (se t.ex. 3 kap. 4 § polisdatalagen och 3 kap. 4 § tullbrottsdatalagen). Författningsregleringen av underrättelseverksamhet är mycket begränsad och har inte en sådan tydlig uppdelning mellan olika kategorier av personer som regleringen i rättegångsbalken. Utredningen anser att det är minst lika viktigt ur integritetssynpunkt att det i underrättelseverksamheten görs tydlig skillnad mellan personer som har ett direkt samband med den brottsliga verksamheten och andra personer som i annan verksamhet. Mot den bakgrunden bör det nuvarande kravet i registerförfattningarna på särskilda upplysningar i fråga om nu aktuella kategorier behållas.

Användningen av begreppet misstänkt i det sammanhanget kritiserades av Lagrådet när polisdatalagen infördes. Regeringen valde ändå att behålla det under hänvisning till tidigare lagstiftning på området (se prop. 2009/10:85 s. 150 och 522). Även om det kan diskuteras om det är lämpligt att använda uttrycket misstänkt avseende brottslighet som inte är så konkret att brotten kan individualiseras anser utredningen att det är så inarbetat att det inte bör ändras.

Särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

När det gäller bestämmelsen i 2 kap. 10 § brottsdatalagen, som föreskriver att fakta ska skiljas från personliga bedömningar och att det ska anges genom en särskild upplysning om det inte framgår på annat sätt, kan det ifrågasättas om det går att dra en parallell med de bestämmelser som i dag finns i registerförfattningarna. Det är framför allt beträffande uppgifter som behandlas i underrättelseverksamhet som det enligt 3 kap. 4 § polisdatalagen, 4 kap. 3 § kustbevakningsdatalagen, 3 kap. 4 § tullbrottsdatalagen och 3 kap. 4 § skattebrottsdatalagen krävs särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Sådana bestämmelser preciserar enligt utredningens mening vilka upplysningar som krävs i fråga om personuppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Utredningen anser därför att de bestämmelser i registerförfattning-

arna som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet bör behållas.

Det bör understrykas att upplysningar om en uppgiftslämnares trovärdighet och uppgifternas riktighet i sak inte bara är en fråga om dataskydd utan i minst lika stor utsträckning har betydelse för brottsbekämpningen. Utan sådana upplysningar ökar risken att felaktiga slutsatser dras om personers anknytning till brottslighet, vilket i sin tur kan leda till beslut och ingripanden riktade mot fel personer. Det ligger därför i myndigheternas eget intresse att det av uppgifter som görs gemensamt tillgängliga i underrättelseverksamhet framgår vilket värde som kan tillmätas dem. Det har emellertid framkommit att bestämmelserna i fråga anses vara svårtolkade och därför kan kräva förtydliganden.

En första fråga är om kravet på särskild upplysning bara gäller den person som har direkt samband med den misstänkta brottsliga verksamheten eller om det även gäller uppgifter om andra personer. Förarbetena är inte tydliga på den punkten och det finns omständigheter som kan anföras för båda tolkningarna. Enligt utredningens mening bör kravet på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak endast avse uppgifter om den som antas utöva eller komma att utöva den brottsliga verksamheten. Eftersom det krav som gäller för anknytningen till den brottsliga verksamheten är mycket lågt ställt kan regleringen träffa betydligt fler personer än vad misstanke om ett konkret brott kan göra. Så snart det finns något som stöder ett antagande om att en person har direkt samband med brottslig verksamhet och det är fråga om uppgifter som görs gemensamt tillgängliga bör således enligt utredningens mening uppgifterna om personen förses med en särskild upplysning.

En andra fråga är vilka uppgifter om sådana personer som behöver förses med en särskild upplysning, eftersom det inte bör gälla alla upplysningar om personen i fråga. Enligt utredningens mening är det endast sådana uppgifter som belyser på vilket sätt personen är knuten till brottsligheten som bör förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det kan, förutom till anknytningen till den brottsliga verksamheten, t.ex. röra sig om uppgifter om brottslighetens art och omfatt-

ning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas.

På samma sätt som i dag bör det göras undantag från kravet på särskild upplysning om det inte finns något behov av en sådan, därför att det framgår av sammanhanget vem som är uppgiftslämnare och hur trovärdig uppgiften är eller det av annat skäl är onödigt med en sådan upplysning. Om det t.ex. är fråga om uppgifter som hämtas från förundersökningar eller domar är en särskild upplysning som regel onödig om källan framgår. Enligt förarbetena till polisdatalagen anses det vara onödigt att bedöma trovärdigheten om uppgiftslämnaren är en polisman. Detsamma bör gälla andra tjänstemän med brottsbekämpande uppgifter. Däremot kan det även i ett sådant fall behövas en upplysning om uppgiftens riktighet i sak, eftersom förutsättningarna för att göra en viss iakttagelse kan behöva belysas (se prop. 2009/10:85 s. 341).

Den nuvarande formuleringen av bestämmelserna innebär att det krävs särskild upplysning om det inte på grund av särskilda omständigheter är onödigt. Regleringen tolkas i dag, på grund av uttalanden i förarbetena, så att det nästan undantagslöst krävs särskilda upplysningar, eftersom det är oklart vilka särskilda omständigheter som kan föranleda avsteg från huvudregeln. Det kan ifrågasättas om en så restriktiv tillämpning har varit avsedd. Det kan därför finnas anledning att ändra regleringen något.

Enligt utredningens mening bör det ställas krav på särskilda upplysningar om det inte på grund av omständigheterna är onödigt. Med en sådan formulering undviker man den osäkerhet som kan finnas om vilken typ av omständigheter som kan göra behovet av särskilda upplysningar överflödigt. Om de samlade omständigheterna gör att trovärdigheten och riktigheten kan bedömas bör det vara tillräckligt.

5.3.11. Längsta tid för behandling

Utredningens förslag: Bestämmelser i registerförfattningarna

om att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i respektive författning ska upphävas.

Skälen för utredningens förslag: Enligt 2 kap. 17 § första stycket

brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (se SOU 2017:29 s. 284 f.).

I 7 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 12 § polisdatalagen, 3 kap. 4 § kustbevakningsdatalagen, 2 kap. 10 § åklagardatalagen, 4 kap. 1 § tullbrottsdatalagen och 4 kap. 1 § skattebrottsdatalagen föreskrivs att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i respektive lag.

Generella bestämmelser om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen bör upphävas, eftersom det finns en motsvarande reglering i brottsdatalagen. Utredningen återkommer till bestämmelserna om längsta tid för behandling i avsnitt 5.5.

5.3.12. Upplysning om regleringen i offentlighets- och sekretesslagen

Utredningens förslag: Hänvisningar i registerförfattningarna

till att det finns bestämmelser om utlämnande i offentlighets- och sekretesslagen ska upphävas.

Skälen för utredningens förslag: I 2 kap. 19 § andra stycket och

5 kap. 9 § andra stycket polisdatalagen, 3 kap. 8 § andra stycket kustbevakningsdatalagen, 2 kap. 15 § andra stycket åklagardatalagen, 2 kap. 14 § andra stycket tullbrottsdatalagen och 2 kap. 13 § andra stycket skattebrottsdatalagen, som alla reglerar viss föreskriftsrätt, finns det hänvisningar till regleringen om utlämnande i offentlighets- och sekretesslagen. Bestämmelserna erinrar om att det även i offentlighets- och sekretesslagen finns bestämmelser om utlämnande. Syftet med bestämmelserna är enbart att klargöra att det i den lagen finns bestämmelser om utlämnande. Eftersom det finns bestämmelser om utlämnande också i andra författningar, exempelvis i tryckfrihetsförordningen, och hänvisningen är så generellt utformad fyller bestämmelserna i registerförfattningarna inte någon funktion. Bestämmelserna innehåller inte heller någon materiell reglering. De bör därför upphävas.

5.4. Behov av nya bestämmelser och anpassningar

5.4.1. Uppgifter om juridiska personer

Utredningens bedömning: Det är möjligt att i registerförfatt-

ningarna behålla bestämmelser som rör behandling av uppgifter om juridiska personer.

Utredningens förslag: Hänvisningar ska också göras till de be-

stämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.

Skälen för utredningens bedömning och förslag: I 1 kap. 6 §

polisdatalagen, 1 kap. 3 § kustbevakningsdatalagen, 1 kap. 4 § åklagardatalagen, 1 kap. 4 § tullbrottsdatalagen och 1 kap. 4 § skattebrottsdatalagen föreskrivs att vissa bestämmelser i författningarna även ska tillämpas på uppgifter om juridiska personer. Som anges i delbetänkandet gäller direktivet enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund (se SOU 2017:29 s. 665).

En första fråga är om dataskyddsreformen bör leda till att bestämmelserna i registerförfattningarna om att de i vissa delar ska tillämpas på uppgifter om juridiska personer bör tas bort. Utredningen anser att det inte är nödvändigt. Det är visserligen allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer. Eftersom uppgifter om juridiska personer i många fall samtidigt är indirekta personuppgifter kan behovet av särskilda skyddsregler för uppgifter om juridiska personer diskuteras. I de fall där lagstiftaren har ansett att det finns goda skäl att ge visst skydd även för uppgifter om juridiska personer finns det enligt utredningens mening inte skäl att ta bort det skyddet. Bestämmelser om skydd för uppgifter om juridiska personer bör därför behållas.

Frågan är då om bestämmelserna enbart bör ta sikte på frågor som regleras i respektive registerförfattning, trots att vissa frågor som i dag regleras i registerförfattningarna och som ska tillämpas även på uppgifter om juridiska personer regleras i brottsdatalagen. Eftersom utredningen anser att dagens reglering bör behållas bör

en hänvisning göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.

5.4.2. Administrativa sanktionsavgifter

Utredningens förslag: Sanktionsavgift ska få tas ut av den per-

sonuppgiftsansvarige vid överträdelse av vissa bestämmelser i registerförfattningarna. Det gäller överträdelse av bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter, särskilda upplysningar och längsta tid för behandling av personuppgifter.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skälen för utredningens förslag

Vilka överträdelser ska kunna föranleda sanktionsavgift?

Utredningen gör i delbetänkandet bedömningen att överträdelser av regler om personuppgiftsbehandling inte bör vara straffsanktionerade, utöver vad som redan följer av brottsbalkens regler (se SOU 2017:29 s. 492 f.). I stället föreslår utredningen att det införs möjlighet att ta ut administrativa sanktionsavgifter. Bestämmelser om det har tagits in i 6 kap. brottsdatalagen.

Sanktionsavgift kan enligt brottsdatalagen tas ut vid överträdelse av bestämmelser i den lagen. Om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör även överträdelse av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift.

Av de skäl som redovisas i delbetänkandet bör emellertid inte alla överträdelser kunna leda till sanktionsavgift (se SOU 2017:29 s. 509 f.). De principer som utredningen anger där bör tillämpas även när det gäller överträdelser av bestämmelser i registerförfattningarna. Utredningen anser således att sanktionsavgift inte bör kunna tas ut vid överträdelse av bestämmelser som inte är dataskyddsbestämmelser, t.ex. sekretessbrytande bestämmelser.

Med dessa utgångspunkter bedömer utredningen att överträdelse av bestämmelser i de brottsbekämpande myndigheternas och kriminalvårdens registerförfattningar om tillåtna rättsliga grunder för behandling av personuppgifter och om längsta tid för behandling av personuppgifter bör kunna föranleda sanktionsavgift. Detsamma bör gälla bestämmelser om särskilda upplysningar. Bestämmelser om när personuppgifter får göras gemensamt tillgängliga är visserligen mycket viktiga ur integritetssynpunkt, men enligt utredningens mening bör överträdelse av sådana bestämmelser inte kunna föranleda sanktionsavgift. Det beror på att det är fråga om tillämpning av bestämmelser som kräver bedömningar.

Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift.

Vad ska gälla för behandling av uppgifter om juridiska personer?

Utredningen gör i avsnitt 5.4.1 bedömningen att det är möjligt att i registerförfattningarna behålla bestämmelser om behandling av uppgifter om juridiska personer. Utredningen föreslår också att vissa bestämmelser i brottsdatalagen ska gälla vid sådan behandling. Överträdelse av vissa av de bestämmelser som föreslås vara tillämpliga på uppgifter om juridiska personer kan föranleda sanktionsavgift. Frågan är om det bör leda till att sanktionsavgift bör kunna tas ut även vid behandling av uppgifter om juridiska personer.

Bestämmelser som utvidgar tillämpningen av vissa bestämmelser till att gälla vid behandling av uppgifter om juridiska personer förstärker indirekt skyddet för fysiska personer, eftersom det kan vara svårt att skilja uppgifter om fysiska personer som är ägare av eller ställföreträdare för en juridisk person från uppgifter som enbart rör den juridiska personen. Det kan tala för att även överträdelser vid behandling av uppgifter om juridiska personer bör kunna föranleda sanktionsavgift. Å andra sidan är det inte är lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer (jfr Domstolsdatalag, Ds 2013:10, s. 49 f.).

Sanktionsavgift är främst tänkt att utgöra en reaktion på sådan otillåten behandling av personuppgifter som riskerar att kränka den personliga integriteten, vilket talar för att inskränka tillämpningen till uppgifter om fysiska personer. Eftersom direktivet enbart skyd-