Regeringens proposition 2009/10:85

Integritet och effektivitet i polisens brottsbekämpande Prop.

verksamhet

2009/10:85

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 21 december 2009

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en ny lag om behandling av per-

 

sonuppgifter i polisens brottsbekämpande verksamhet. Lagen ska ersätta

 

den nuvarande polisdatalagen (1998:622). Lagen ska gälla i stället för

 

personuppgiftslagen (1998:204) och innehålla hänvisningar till de be-

 

stämmelser i personuppgiftslagen som ska vara tillämpliga i polisens

 

brottsbekämpande verksamhet.

 

Syftet med den nya lagen är att ge polisen möjlighet att behandla per-

 

sonuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksam-

 

het och att skydda människor mot att deras personliga integritet kränks

 

vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och

 

flexibel reglering som ger ramarna för polisens personuppgiftsbehandling

 

utan att i detalj reglera formerna för behandlingen.

 

Genom den nya lagen kommer man till rätta med olika problem som

 

den nuvarande regleringen har visat sig ge upphov till, bl.a. när det gäller

 

möjligheterna att behandla personuppgifter för att förebygga, förhindra

 

och upptäcka brottslig verksamhet. Den nya lagen skapar också förut-

 

sättningar för ett bättre samarbete mellan de brottsbekämpande myndig-

 

heterna genom utökade möjligheter till informationsutbyte.

 

Lagen reglerar, med några få undantag, all behandling av personupp-

 

gifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen,

 

polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehand-

 

ling i sådan verksamhet som inte är brottsbekämpande, exempelvis han-

 

teringen av förvaltningsärenden, omfattas inte av lagförslaget utan regle-

 

ras liksom nu av personuppgiftslagen.

 

Polisen ska få behandla personuppgifter om det behövs för att före-

 

bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra

1

 

brott eller fullgöra förpliktelser som följer av internationella åtaganden. Särskilda bestämmelser föreslås för sådan behandling som sker hos Säkerhetspolisen. För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till (gemensamt tillgängliga uppgifter) föreslås olika begränsande bestämmelser för att värna den personliga integriteten. Ett fåtal register föreslås regleras särskilt i den nya lagen, bl.a. register över DNA-profiler och penningtvättsregister. Vidare föreslås en särskild lag som reglerar polisens allmänna spaningsregister.

Den externa tillsynen över polisens behandling av personuppgifter för- stärks. Både Datainspektionen och Säkerhets- och integritetsskydds- nämnden ska utöva sådan tillsyn.

Lagförslagen föreslås träda i kraft den 1 mars 2012.

Prop. 2009/10:85

2

Innehållsförteckning

1

Förslag till riksdagsbeslut ................................................................

8

2

Lagtext

.............................................................................................

9

 

2.1 .....................................................

Förslag till polisdatalag

9

2.2Förslag till lag om polisens allmänna

 

spaningsregister...............................................................

27

2.3

Förslag till lag om ändring i rättegångsbalken ................

32

2.4

Förslag till lag om ändring i vapenlagen (1996:67).........

33

2.5Förslag till lag om ändring i säkerhetsskyddslagen

(1996:627) .......................................................................

34

2.6Förslag till lag om ändring i lagen (2000:344) om

Schengens informationssystem .......................................

36

2.7Förslag till lag om ändring i lagen (2007:980) om

tillsyn över viss brottsbekämpande verksamhet ..............

37

2.8Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400) ...............................................

38

2.9Förslag till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400) ...............................................

40

3

Ärendet och dess beredning ...........................................................

43

4

Gällande rätt och internationella överenskommelser .....................

45

 

4.1

Inledning..........................................................................

45

4.2Internationella överenskommelser och

 

personuppgiftslagen.........................................................

46

 

4.2.1

Europakonventionen och FN-

 

 

 

konventionen om medborgerliga och

 

 

 

politiska rättigheter.........................................

46

 

4.2.2

Dataskyddskonventionen m.m........................

46

 

4.2.3

Europarådets rekommendation för

 

 

 

polissektorn ....................................................

48

 

4.2.4

Europeiska unionens stadga om de

 

 

 

grundläggande rättigheterna ...........................

48

 

4.2.5

Dataskyddsdirektivet och

 

 

 

personuppgiftslagen........................................

49

4.3

Den nuvarande polisregisterlagstiftningen ......................

50

 

4.3.1

Polisregisterlagstiftningen ..............................

50

 

4.3.2

Polisdatalagen.................................................

51

4.4

Vissa EU-beslut och lagstiftningsförslag.........................

52

 

4.4.1

Dataskyddsrambeslutet...................................

52

 

4.4.2

Rådsbeslutet om tillgång till

 

 

 

informationssystemet för viseringar ...............

53

 

4.4.3

Prümrådsbeslutet ............................................

54

 

4.4.4

Rambeslutet om utbyte av uppgifter ur

 

 

 

kriminalregister...............................................

54

 

4.4.5

Rådsbeslutet om inrättande av Europol ..........

55

 

4.4.6

Rambeslutet om förenklat informations-

 

 

 

och underrättelseutbyte...................................

56

 

4.4.7

Preskription vid allvarliga brott......................

56

Prop. 2009/10:85

3

5

Polisens register..............................................................................

56

6

En ny lag om behandling av personuppgifter i polisens

 

 

brottsbekämpande verksamhet........................................................

57

 

6.1

Behovet av en ny lagstiftning...........................................

57

6.2Lagens syfte och skyddet för den personliga

 

 

integriteten .......................................................................

66

 

6.3

Lagens tillämpningsområde .............................................

70

 

6.4

Den nya lagen och personuppgiftslagen...........................

79

 

 

6.4.1

Förhållandet till personuppgiftslagen..............

79

 

 

6.4.2

Tillämpliga bestämmelser i

 

 

 

 

personuppgiftslagen ........................................

81

 

6.5

Personuppgiftsansvar .......................................................

92

 

6.6

Tillgången till personuppgifter.........................................

93

7

Tillåtna ändamål för behandlingen .................................................

95

 

7.1

Lagens ändamålsreglering................................................

95

7.2Förebygga, förhindra eller upptäcka brottslig

 

verksamhet .....................................................................

100

7.3

Utreda och beivra brott ..................................................

107

7.4

Internationellt samarbete................................................

108

7.5

Behandling av uppgifter för diarieföring m.m. ..............

111

7.6Behandling av uppgifter för att tillhandahålla

 

 

information till andra .....................................................

114

8

Behandling av känsliga personuppgifter.......................................

122

9

Gemensamt tillgängliga uppgifter ................................................

124

 

9.1

Särskilda regler för behandling av gemensamt

 

 

 

tillgängliga uppgifter......................................................

124

9.2Förebygga, förhindra eller upptäcka brottslig

 

verksamhet .....................................................................

131

9.3

Utreda och beivra brott ..................................................

138

9.4Uppgifter som rapporteras till polisens

 

 

kommunikationscentraler...............................................

140

 

9.5

Uppgifter i det internationella samarbetet......................

141

 

9.6

Behandlingen av DNA-profiler......................................

143

10

Särskilda upplysningar för gemensamt tillgängliga uppgifter ......

145

11

Sökbegränsningar för gemensamt tillgängliga uppgifter ..............

152

 

11.1

Allmänt om sökbegränsningar .......................................

152

 

11.2

Känsliga personuppgifter som sökbegrepp ....................

155

11.3Sökning på namn, personnummer eller

samordningsnummer......................................................

157

12 Informationsutbyte........................................................................

166

12.1Behovet av ett effektivt informationsutbyte mellan

brottsbekämpande myndigheter .....................................

166

12.2Utgångspunkterna för informationsutbyte i det

 

internationella samarbetet ..............................................

170

12.3

Direktåtkomst.................................................................

171

 

12.3.1

Regleringen av möjligheten till

 

 

 

direktåtkomst.................................................

171

Prop. 2009/10:85

4

12.3.2

De brottsbekämpande myndigheternas

Prop. 2009/10:85

 

behov av direktåtkomst.................................

172

12.3.3

Direktåtkomst för svenska

 

 

brottsbekämpande myndigheter....................

175

12.3.4Direktåtkomst för andra svenska

 

myndigheter..................................................

181

12.3.5

Direktåtkomst för utländska myndigheter ....

183

12.4Elektroniskt utlämnande på annat sätt än genom

 

 

direktåtkomst.................................................................

184

13

Sekretess och uppgiftsskyldighet .................................................

186

 

13.1

Allmänna utgångspunkter..............................................

186

 

13.2

Sekretessgenombrott......................................................

191

 

13.3

Uppgiftslämnande till utlandet ......................................

198

14

Bevarande och gallring ................................................................

203

 

14.1

Allmänt om bevarande och gallring ..............................

203

14.2Gallring av uppgifter som inte har gjorts gemensamt

 

tillgängliga.....................................................................

212

14.3

Gallring av gemensamt tillgängliga uppgifter ...............

214

14.4

Ärenden om utredning eller beivrande av brott.............

221

15 Särskilda bestämmelser om vissa register....................................

228

15.1

Allmänna utgångspunkter..............................................

228

15.2

Register över DNA-profiler...........................................

230

15.3

Fingeravtrycks- eller signalementsregister....................

233

15.4

Penningtvättsregister .....................................................

240

15.5

Det internationella registret ...........................................

243

16 Behandling av personuppgifter i Säkerhetspolisens

 

brottsbekämpande verksamhet .....................................................

247

16.1

Bakgrund

.......................................................................

247

 

16.1.1 ......................

Säkerhetspolisens verksamhet

247

 

16.1.2

Säkerhetspolisens nuvarande behandling

 

 

........................................

av personuppgifter

248

 

16.1.3

Extern kontroll av

 

 

.........................

personuppgiftsbehandlingen

249

16.2

Utgångspunkterna .................................för regleringen

250

 

16.2.1 ..............

Huvuddragen i den nya regleringen

250

 

16.2.2

Bestämmelser som ska gälla även för

 

 

...........................................

Säkerhetspolisen

252

16.3

Ändamålen ......................................med behandlingen

254

 

16.3.1 .............................................

Utgångspunkter

254

 

16.3.2 ...........................................

Primära ändamål

255

 

16.3.3

Behandling av uppgifter för att

 

 

.............

tillhandahålla information till andra

260

16.4

Gemensamt .................................tillgängliga uppgifter

263

 

16.4.1 ................................

Allmänt om regleringen

263

 

16.4.2 .................................

Särskilda upplysningar

264

 

16.4.3 .........................................

Sökbegränsningar

265

 

16.4.4 .................................

Bevarande och gallring

268

17 Informationssäkerhet ..........................................och tillsyn m.m

270

5

17.1

Säkerheten vid behandling av uppgifter.........................

270

17.2

Tillsyn

............................................................................

272

17.3

Utvärdering ....................................................................

276

18 Ikraftträdande och ..................................övergångsbestämmelser

277

19 En ny lag om polisens ........................allmänna spaningsregister

281

19.1

Registret ........................regleras i en tidsbegränsad lag

281

19.2

Förhållandet .............................till personuppgiftslagen

282

19.3

Registrets .........................................................ändamål

283

19.4

Innehållet .......................................................i registret

287

 

19.4.1 ............................

Vad ska kunna registreras?

287

19.4.2Uppgifter om grunden för registreringen

m.m. ...........................................................290

 

19.5

Behandling av känsliga personuppgifter ........................

292

 

19.6

Särskilda upplysningar och sökbegränsningar ...............

292

 

19.7

Utlämnande av uppgifter................................................

294

 

19.8

Gallring

..........................................................................

297

 

19.9

Övriga frågor..................................................................

299

 

 

19.9.1 . .......................

Rättelse och skadestånd m.m

299

 

 

19.9.2 ........................................

Ikraftträdande m.m

300

20

Följdändringar m.m. .....................................................................

301

21

Konsekvenserna av .......................................................förslagen

303

22

Författningskommentar.................................................................

306

 

22.1

Förslaget ...............................................till polisdatalag

306

22.2Förslaget till lag om polisens allmänna

 

spaningsregister..............................................................

373

22.3

Förslaget till lag om ändring i rättegångsbalken ............

388

22.4

Förslaget till lag om ändring i vapenlagen (1996:67) ....

389

22.5Förslaget till lag om ändring i säkerhetsskyddslagen

(1996:627)......................................................................

389

22.6Förslaget till lag om ändring i lagen (2000:344) om

Schengens informationssystem ......................................

390

22.7Förslaget till lag om ändring i lagen (2007:980) om

tillsyn över viss brottsbekämpande verksamhet.............

390

22.8Förslaget till lag om ändring i offentlighets- och

sekretesslagen (2009:400)..............................................

391

22.9Förslaget till lag om ändring i offentlighets- och

 

sekretesslagen (2009:400)..............................................

392

Bilaga 1

Polisdatautredningens sammanfattning ..............................

395

Bilaga 2

Polisdatautredningens lagförslag........................................

403

Bilaga 3 Förteckning över remissinstanserna ...................................

424

Bilaga 4

Departementspromemorians lagförslag ..............................

425

Bilaga 5 Förteckning över remissinstanserna ...................................

461

Bilaga 6

Polisens register..................................................................

462

Bilaga 7

Lagrådsremissens lagförslag...............................................

484

Bilaga 8

Lagrådets yttrande ..............................................................

518

Prop. 2009/10:85

6

Utdrag ur protokoll vid regeringssammanträde den 21 december

Prop. 2009/10:85

2009 ....................................................................................

524

7

1

Förslag till riksdagsbeslut

Prop. 2009/10:85

Regeringen föreslår att riksdagen antar regeringens förslag till

1.polisdatalag,

2.lag om polisens allmänna spaningsregister,

3.lag om ändring i rättegångsbalken,

4.lag om ändring i vapenlagen (1996:67),

5.lag om ändring i säkerhetsskyddslagen (1996:627),

6.lag om ändring i lagen (2000:344) om Schengens informationssys-

tem,

7.lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekäm- pande verksamhet,

8.lag om ändring i offentlighets- och sekretesslagen (2009:400),

9.lag om ändring i offentlighets- och sekretesslagen (2009:400).

8

2

Lagtext

Prop. 2009/10:85

Regeringen har följande förslag till lagtext.

2.1Förslag till polisdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att ge polisen möjlighet att behandla person- uppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten, om behandlingen är helt eller delvis automatise- rad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen gäller inte vid behandling av personuppgifter enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankere- gister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2010:000) om polisens allmänna spaningsregister.

Lagen gäller inte heller när personuppgifter behandlas i vapenregister med stöd av vapenlagen (1996:67), om inte detta särskilt anges i den lagen.

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 kap. 7–9 §§ om ändamålen för behandlingen,

2.2 kap. 11 § om tillgången till personuppgifter,

3.2 kap. 12 och 13 §§ om bevarande och gallring,

4.3 kap. 1–3, 9–12, 14 och 15 §§ om gemensamt tillgängliga uppgif-

ter,

5.4 kap. 18–20 §§ om behandling av personuppgifter i penningtvätts- register,

6.4 kap. 21 och 22 §§ om behandling av personuppgifter i det interna- tionella registret,

7.5 kap. 1–3 §§ om ändamålen för behandlingen hos Säkerhetspolisen,

8.5 kap. 4 § 5 om tillgången till personuppgifter hos Säkerhetspolisen,

9.5 kap. 6 och 7 §§ om bevarande och gallring hos Säkerhetspolisen,

och

9

10. 5 kap. 8, 9 och 12–14 §§ om gemensamt tillgängliga uppgifter hos Prop. 2009/10:85 Säkerhetspolisen.

4 § I 2 kap. finns allmänna bestämmelser om behandling av personupp- gifter.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

För personuppgifter som behandlas i register över DNA-profiler, fing- eravtrycks- eller signalementsregister, penningtvättsregister eller i det internationella registret, gäller 4 kap. i stället för 3 kap.

I 5 kap. finns bestämmelser om behandlingen av personuppgifter i Säkerhetspolisens verksamhet.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personupp- giftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag, eller enligt före- skrifter som har meddelats i anslutning till lagen, gäller följande bestäm- melser i personuppgiftslagen (1998:204):

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 §, med undantag för första stycket i och tredje stycket, om grund- läggande krav på behandlingen av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behandlingar,

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12.48 § om skadestånd, och

13.51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrif-

ter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

10

Definition av DNA-analys, DNA-profil och fingeravtryck

Prop. 2009/10:85

3 § I denna lag avses med

 

 

DNA-analys:

varje förfarande som kan användas för

 

 

analys av deoxyribonukleinsyra i humant

 

DNA-profil:

material,

 

resultatet av en DNA-analys som presenteras

 

fingeravtryck:

i form av siffror eller bokstäver, och

 

fingeravtryck eller handavtryck.

 

Personuppgiftsansvar

4 § Rikspolisstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Varje polismyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myn- digheten utför.

5 § Rikspolisstyrelsen och varje polismyndighet ska utse ett eller flera personuppgiftsombud.

Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten en- ligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Tillsyn

6 § Ytterligare bestämmelser om tillsyn finns i lagen (2007:980) om till- syn över viss brottsbekämpande verksamhet.

Ändamål

7 § Personuppgifter får behandlas om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden.

8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndig- heter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbe- vakningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellan- folklig organisation,

3.sådan verksamhet hos polisen som avser handräckningsuppdrag,

4.annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.verksamhet hos Kriminalvården för att förebygga brott och upprätt- hålla säkerheten, eller

6.en myndighets verksamhet

11

a)om det enligt lag eller förordning åligger polisen att bistå myndig- heten med viss uppgift, eller

b)om informationen tillhandahålls inom ramen för myndighetsöver- skridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och rege- ringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behand- las enligt 7 § och som avser efterlysta personer och avlägsnanden ur lan- det får behandlas för att tillhandahålla information till vissa särskilt an- givna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även be- handlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

9 § Personuppgifter får behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

10 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de komplet- teras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

11 § Tillgången till personuppgifter ska begränsas till vad varje tjänste- man behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.

Bevarande och gallring

12 § Personuppgifter får inte bevaras under längre tid än vad som be- hövs för något eller några av de i lagen angivna ändamålen.

I följande bestämmelser anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 13 § om uppgifter som inte har gjorts gemensamt tillgängliga,

Prop. 2009/10:85

12

2. 3 kap. 9–13 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga,

3.3 kap. 14 och 15 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2,

4.4 kap. 7 § om uppgifter i register över DNA-profiler,

5.4 kap. 14–16 §§ om uppgifter i fingeravtrycks- eller signalementsre- gister,

6.4 kap. 20 § om uppgifter i penningtvättsregister, och

7.4 kap. 22 § om uppgifter i det internationella registret.

Regeringen meddelar föreskrifter om digital arkivering.

13 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga eller behandlas i särskilda register enligt 4 kap. ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgif- terna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av personuppgifter och uppgiftsskyldighet

14 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan stati- stik.

15 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1.Interpol eller Europol, eller till en polismyndighet eller åklagarmyn- dighet i en stat som är ansluten till Interpol, om det behövs för att myn- digheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller

2.utländsk underrättelse- eller säkerhetstjänst.

Uppgifter får vidare lämnas till en utländsk myndighet eller mellan- folklig organisation, om utlämnandet följer av en internationell över- enskommelse som Sverige efter riksdagens godkännande har tillträtt.

16 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 4 kap.

Prop. 2009/10:85

13

17 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Prop. 2009/10:85 Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 §

första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i register över DNA-profiler, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Uppgifter ur sådana register ska lämnas till Statens kriminaltekniska laboratorium, om myndigheten behöver uppgifterna i sin verksamhet.

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- eller signa- lementsregister enligt 4 kap. 11–17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Detsamma gäller Statens kriminaltekniska laboratorium, om myndigheten behöver uppgifterna i sin verksamhet.

19 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 14–18 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

Elektroniskt utlämnande av personuppgifter

20 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

21 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Regeringen meddelar föreskrifter om att en utländsk myndighet, Euro- pol eller en mellanfolklig organisation får medges direktåtkomst till per- sonuppgifter i polisens brottsbekämpande verksamhet, om detta är nöd- vändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU- rättsakt.

Ytterligare bestämmelser om direktåtkomst finns i 3 kap. 8 § samt 4 kap. 10 och 17 §§.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i poli- sens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal perso- ner har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §.

14

Personuppgifter som får göras gemensamt tillgängliga

Prop. 2009/10:85

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person, om han eller

hon

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3.Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4.Uppgifter som behövs för att fullgöra vad som följer av internatio- nella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

5.Uppgifter som har rapporterats till polisens kommunikationscentra-

ler.

DNA-profiler får inte göras gemensamt tillgängliga. Att sådana upp- gifter får behandlas i särskilda register följer av 4 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Särskilda upplysningar

3 § Vid behandling enligt 1 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska detta särskilt framgå.

4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om per- soner som avses i 2 § första stycket 2.

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga

får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös

15

eller filosofisk övertygelse, medlemskap i fackförening eller som rör Prop. 2009/10:85 hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemen- samt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.är anmäld såsom försvunnen,

10.har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11.är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

7 § Bestämmelserna i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av sär- skilt angivna tjänstemän och som görs

1.för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2.för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena.

Regeringen meddelar föreskrifter om ytterligare undantag från 6 §.

Direktåtkomst

8 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket, Kustbevakningen och Skatteverket får med- ges direktåtkomst till personuppgifter i polisens brottsbekämpande verk-

16

samhet. Direktåtkomsten får endast avse personuppgifter som har gjorts Prop. 2009/10:85 gemensamt tillgängliga.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången

 

till personuppgifter begränsas till vad varje tjänsteman behöver för att

 

kunna fullgöra sina arbetsuppgifter.

 

Regeringen eller den myndighet som regeringen bestämmer meddelar

 

närmare föreskrifter om omfattningen av direktåtkomsten samt om behö-

 

righet och säkerhet.

 

Bevarande av personuppgifter i ärenden om utredning eller beivrande av

 

brott

 

9 § I 10–12 §§ anges hur länge personuppgifter i vissa ärenden om ut-

 

redning eller beivrande av brott som har gjorts gemensamt tillgängliga

 

längst får bevaras i polisens brottsbekämpande verksamhet.

 

10 § Om en brottsanmälan avskrivs på grund av att den påstådda gär-

 

ningen inte utgör brott, får personuppgifterna i anmälan inte längre be-

 

handlas i polisens brottsbekämpande verksamhet. Om en brottsanmälan i

 

annat fall inte har lett till förundersökning eller annan motsvarande ut-

 

redning, får personuppgifterna inte behandlas i polisens brottsbekäm-

 

pande verksamhet när åtal inte längre får väckas för brottet.

 

11 § Om en förundersökning har lett till åtal eller annan domstolspröv-

 

ning, får personuppgifterna i förundersökningen inte behandlas i polisens

 

brottsbekämpande verksamhet när det har förflutit fem år efter utgången

 

av det kalenderår då domen, eller det beslut som meddelades med anled-

 

ning av talan, vann laga kraft.

 

Om en förundersökning har lagts ned eller avslutats på annat sätt än

 

genom åtal, får personuppgifterna i förundersökningen inte behandlas i

 

polisens brottsbekämpande verksamhet när det har förflutit fem år efter

 

utgången av det kalenderår då åklagarens eller förundersökningsledarens

 

beslut meddelades.

 

Första och andra styckena gäller även personuppgifter i andra utred-

 

ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

 

12 § Regeringen meddelar föreskrifter om att vissa kategorier av per-

 

sonuppgifter får bevaras i polisens brottsbekämpande verksamhet under

 

längre tid än vad som anges i 10 och 11 §§.

 

13 § Om en förundersökning mot en person har lagts ned, om åtal har

 

lagts ned eller om frikännande dom, som har vunnit laga kraft, har med-

 

delats, får personen inte vara sökbar som misstänkt.

 

Bevarande och gallring av övriga personuppgifter

 

14 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 2 §

 

första stycket 1, 2, 4 eller 5 ska gallras enligt andra–sjätte styckena.

 

Uppgifter som kan antas ha samband med sådan brottslig verksamhet

 

som anges i 2 § första stycket 1 ska gallras senast tre år efter utgången av

17

 

det kalenderår då registreringen avseende personen gjordes. Uppgifter Prop. 2009/10:85 som kan antas ha samband med brottslig verksamhet som innefattar brott

för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gall- ringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Uppgifter som har behandlats med stöd av 2 § första stycket 4 ska gall- ras senast ett år efter utgången av det kalenderår då ärendet som upp- gifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 2 § första stycket 5 ska gall- ras senast ett år efter utgången av det kalenderår då de behandlades auto- matiserat första gången.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelse- straff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

15 § Regeringen meddelar föreskrifter om att vissa kategorier av person- uppgifter får bevaras under längre tid än vad som anges i 14 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 14 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

4 kap. Register

Register över DNA-profiler

Ändamål

1 § Rikspolisstyrelsen får föra register över DNA-profiler (DNA-regist- ret, utredningsregistret och spårregistret) i enlighet med 2–10 §§. Dessa register får även föras för att underlätta identifiering av avlidna personer.

DNA-registret

2 § DNA-registret får innehålla DNA-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1.genom lagakraftvunnen dom har dömts till annan påföljd än böter,

eller

2.har godkänt ett strafföreläggande som avser villkorlig dom.

3 § En DNA-profil som registreras får endast ge information om identi- tet och inte om personliga egenskaper.

Utöver DNA-profiler får DNA-registret innehålla uppgifter om vem analysen avser och i vilket ärende profilen har tagits fram samt brottskod.

18

Utredningsregistret

Prop. 2009/10:85

4 § Utredningsregistret får innehålla DNA-profiler från prov som har

 

tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

 

är skäligen misstänkta för brott på vilket fängelse kan följa.

 

Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.

 

Spårregistret

 

5 § Spårregistret får innehålla DNA-profiler som har tagits fram under

 

utredning av brott och som inte kan hänföras till en identifierbar person.

 

Utöver DNA-profiler får spårregistret innehålla upplysningar som visar i

 

vilket ärende profilen har tagits fram och brottskod.

 

6 § DNA-profiler i spårregistret får jämföras med DNA-profiler

1.som inte kan hänföras till en identifierbar person,

2.som finns i DNA-registret, eller

3.som kan hänföras till en person som är skäligen misstänkt för brott. DNA-profiler i spårregistret får också jämföras i andra fall om det är

nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt.

Gallring

7 § Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i utredningsregistret ska gallras senast när uppgifterna om den registrerade får föras in i DNA-registret eller när förundersökning eller åtal läggs ned, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter i spårregistret ska gallras senast trettio år efter registreringen. Sådana uppgifter ska dock gallras senast sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om

1.mord eller dråp enligt 3 kap. 1 eller 2 § brottsbalken,

2.folkrättsbrott enligt 22 kap. 6 § andra stycket brottsbalken,

3.folkmord enligt 1 § lagen (1964:169) om straff för folkmord,

4.terroristbrott enligt 3 § 1 eller 2 jämförd med 2 § lagen (2003:148) om straff för terroristbrott, eller

5.försök till brott som avses i 1, 3 eller 4.

Prover för DNA-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys, får provet inte användas för något annat ändamål än det som provet togs för.

19

9 § Ett prov för DNA-analys som har tagits med stöd av 28 kap. rätte- Prop. 2009/10:85 gångsbalken, eller på begäran av en annan stat, ska förstöras senast sex

månader efter det att provet togs.

Direktåtkomst

10 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till register över DNA-profiler.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Fingeravtrycks- eller signalementsregister

Ändamål

11 § Rikspolisstyrelsen får föra fingeravtrycks- eller signalementsregis- ter i enlighet med 12–17 §§. Dessa register får även föras för att under- lätta identifiering av okända personer.

Innehåll

12 § I fingeravtrycks- eller signalementsregister får uppgifter behandlas om en person som

1.är misstänkt eller dömd för brott och som har varit föremål för åt- gärd enligt 28 kap. 14 § rättegångsbalken, eller

2.har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott.

Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden.

I fingeravtrycks- eller signalementsregister får inte uppgifter behandlas som har lämnats av en person under femton år enligt 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

13 § Fingeravtrycks- eller signalementsregister får innehålla uppgifter om

1.fingeravtryck,

2.signalement,

3.fotografi,

4.videoupptagning,

5.identifieringsuppgifter,

6.ärendenummer, och

7.brottskod.

20

Gallring

Prop. 2009/10:85

14 § Uppgifter i fingeravtrycks- eller signalementsregister om en miss- tänkt person ska gallras senast tre månader efter det att uppgifter om personen gallrats ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

Uppgifter som inte kan hänföras till en identifierbar person ska gallras senast trettio år efter registreringen. Sådana uppgifter ska dock gallras senast sjuttio år efter registreringen om uppgifterna hänför sig till utred- ningar om

1.mord eller dråp enligt 3 kap. 1 eller 2 § brottsbalken,

2.folkrättsbrott enligt 22 kap. 6 § andra stycket brottsbalken,

3.folkmord enligt 1 § lagen (1964:169) om straff för folkmord,

4.terroristbrott enligt 3 § 1 eller 2 jämförd med 2 § lagen (2003:148) om straff för terroristbrott, eller

5.försök till brott som avses i 1, 3 eller 4.

15 § Uppgifter i fingeravtrycks- eller signalementsregister som behand- las för att fullgöra ett internationellt åtagande ska gallras när uppgifterna inte längre behövs för ändamålet med behandlingen.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll ska gallras senast tio år efter registreringen.

16 § Regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att personuppgifter, med avvikelse från 14 och 15 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Direktåtkomst

17 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen, Skatteverket och Statens kriminaltekniska laboratorium får med- ges direktåtkomst till personuppgifter i fingeravtrycks- eller signale- mentsregister.

En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Penningtvättsregister

Ändamål

18 § Rikspolisstyrelsen får behandla personuppgifter i penningtvättsre- gister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

21

1.där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2.som innefattar finansiering av terrorism.

19 § I ett penningtvättsregister får personuppgifter behandlas som

1.kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2.har rapporterats till Rikspolisstyrelsen med stöd av lag eller annan författning, eller

3.har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verk- samhet som avses i 18 §.

Gallring

20 § Personuppgifter i ett penningtvättsregister ska gallras senast fem år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Det internationella registret

Ändamål

21 § Rikspolisstyrelsen får behandla personuppgifter i det internationella registret om det behövs för handläggningen av ärenden som rör interna- tionellt polisiärt samarbete eller internationellt straffrättsligt samarbete.

Uppgifter angående dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av polisen.

Gallring

22 § Personuppgifter i det internationella registret ska gallras senast tre år efter utgången av det kalenderår då ärendet som uppgifterna behandla- des i avslutades.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

5 kap. Behandling av personuppgifter i Säkerhetspolisens brotts- bekämpande verksamhet

Ändamål

1 § Personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att

Prop. 2009/10:85

22

1. förebygga, förhindra eller upptäcka brottslig verksamhet som inne- Prop. 2009/10:85 fattar

a)brott mot rikets säkerhet,

b)terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c)brott enligt 3 § lagen (2002:444) om straff för finansiering av sär- skilt allvarlig brottslighet i vissa fall, eller

d)tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främ- lingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt be- slut, annat brott,

3. fullgöra uppgifter i samband med personskydd,

4. fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5. fullgöra förpliktelser som följer av internationella åtaganden, eller

6. lämna tekniskt biträde till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndig- heter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbe- vakningen och Skatteverket,

2.en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3.Försvarsmaktens försvarsunderrättelseverksamhet och militära säk- erhetstjänst, om det finns särskilda skäl att tillhandahålla informationen, eller

4.brottsbekämpande verksamhet hos utländsk myndighet eller mellan- folklig organisation.

Personuppgifter som behandlas enligt 1 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regering- en samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behand- las enligt 1 § och som avser efterlysta personer och avlägsnanden ur lan- det får behandlas för att tillhandahålla information till vissa särskilt an- givna myndigheter.

I ett enskilt fall får personuppgifter som behandlas enligt 1 § även be- handlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

3 § Personuppgifter får behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till Säkerhetspolisen i en anmälan eller lik- nande och behandlingen är nödvändig för handläggningen.

Tillämpliga bestämmelser i 2 kap.

4 § Följande bestämmelser i 2 kap. ska tillämpas vid behandling av per-

sonuppgifter hos Säkerhetspolisen:

23

1. 1 och 2 §§ om förhållandet till personuppgiftslagen (1998:204),

2.3 § om definition av DNA-analys, DNA-profil och fingeravtryck,

3.6 § om tillsyn,

4.10 § om behandling av känsliga personuppgifter,

5.11 § om tillgången till personuppgifter,

6.14, 15 och 19 §§ om utlämnande av personuppgifter och uppgifts- skyldighet, och

7.20 och 21 §§ om elektroniskt utlämnande av personuppgifter.

Personuppgiftsansvar

5 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som Säkerhetspolisen utför.

Säkerhetspolisen ska utse ett eller flera personuppgiftsombud. Den per- sonuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt person- uppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entle- digas.

Bevarande och gallring

6 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av ändamålen i 1–3 §§.

I 7 och 12–14 §§ anges hur länge uppgifter som behandlas automatise- rat längst får bevaras.

Regeringen meddelar föreskrifter om digital arkivering.

7 § Personuppgifter som behandlas automatiserat hos Säkerhetspolisen och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Behandling av gemensamt tillgängliga uppgifter

Gemensamt tillgängliga uppgifter

8 § Om det behövs för de ändamål som anges i 1 §, får personuppgifter göras gemensamt tillgängliga i Säkerhetspolisens verksamhet. Detta gäller dock inte DNA-profiler. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Bestämmelserna i 9–13 §§ gäller för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Bestämmelserna gäller dock inte när personuppgifter behandlas med stöd av 3 §.

Prop. 2009/10:85

24

Särskilda upplysningar

Prop. 2009/10:85

9 § Vid behandling enligt 8 § ska det genom en särskild upplysning eller

 

på något annat sätt framgå för vilket närmare ändamål personuppgifterna

 

behandlas.

 

10 § Om uppgifter, som behandlas enligt 8 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Sådan upplysning behöver dock inte lämnas, om det på grund av särskilda omständigheter är onö- digt. Någon upplysning behöver inte heller lämnas om

1.uppgifterna ingår i en uppgiftssamling som har skapats för att bear- beta och analysera information och som enbart särskilt angivna tjänste- män har åtkomst till, och

2.bearbetningen och analysen befinner sig i ett inledande skede.

Sökning

11 § Vid sökning i personuppgifter som har gjorts gemensamt tillgäng- liga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för de ändamål som anges i 1 §.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om sökning i gemensamt tillgängliga uppgifter.

Bevarande och gallring

12 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den senaste registre- ringen avseende personen gjordes.

Personuppgifter som behandlas i en sådan uppgiftssamling som avses i 10 § andra stycket 1 ska dock gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Om det finns särskilda skäl får Säkerhetspolisen besluta att personupp- gifter får bevaras längre tid än vad som anges i första och andra styckena, om uppgifterna fortfarande behövs för det ändamål för vilket de behand- las. Om uppgifter bevaras med stöd av ett sådant beslut, ska de gallras, eller frågan om bevarande prövas på nytt, senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i andra stycket, senast vid utgången av det tredje kalenderåret efter beslutet.

25

13 § Bestämmelserna i 12 § gäller inte personuppgifter i ärenden om Prop. 2009/10:85 utredning eller beivrande av brott. I fråga om behandling av sådana per-

sonuppgifter ska i stället 3 kap. 9–13 §§ tillämpas.

14 § Regeringen eller den myndighet som regeringen bestämmer med- delar föreskrifter om att personuppgifter, med avvikelse från 12 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

1.Denna lag träder i kraft den 1 mars 2012, då polisdatalagen (1998:622) upphör att gälla.

2.För signalements- och känneteckensregistret och det centrala brotts- spaningsregistret som förs med stöd av punkt 2 i övergångsbestämmel- serna till polisdatalagen (1998:622) gäller datalagen (1973:289) i stället för denna lag till utgången av år 2014. Bestämmelserna i 2 kap. 14, 15 och 19 §§ i denna lag ska dock tillämpas på uppgifterna i registren från lagens ikraftträdande.

3.Datainspektionens tillstånd att föra de register som anges i punkt 2 upphör att gälla vid utgången av år 2014 eller vid den tidigare tidpunkt då den personuppgiftsansvarige avanmäler registret hos inspektionen. Vid ikraftträdandet av denna lag upphör Datainspektionens tillstånd för övriga register som förs med stöd av punkt 2 i övergångsbestämmelserna till polisdatalagen (1998:622) att gälla.

4.I fråga om behandling av personuppgifter i en särskild undersökning enligt 14 § första stycket 1 polisdatalagen (1998:622), som har beslutats före ikraftträdandet av denna lag, gäller 1998 års polisdatalag i stället för denna lag till utgången av år 2014.

5.Följande bestämmelser i denna lag behöver inte tillämpas förrän den 1 januari 2015

a)3 kap. 4 § första stycket om särskilda upplysningar, när det gäller annan verksamhet än sådan som bedrivs för ändamål som anges i 2 kap. 7 § 1,

b)3 kap. 6 och 7 §§ om sökning, och

c)3 kap. 10, 11 och 13 §§ om behandling av personuppgifter i brotts- anmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

6. Bestämmelsen i 3 kap. 4 § andra stycket i denna lag om särskilda upplysningar behöver inte tillämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.

26

2.2 Förslag till lag om polisens allmänna spaningsregister Prop. 2009/10:85

Härigenom föreskrivs följande.

Allmänt spaningsregister

1 § Rikspolisstyrelsen får med hjälp av automatiserad behandling föra ett allmänt spaningsregister.

Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av per- sonuppgifter i registret.

Förhållandet till personuppgiftslagen

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personupp- gifter i det allmänna spaningsregistret, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag.

Ändamål

3 § Personuppgifter som framkommit i polisens brottsbekämpande verk- samhet får behandlas i det allmänna spaningsregistret för att underlätta tillgången till sådan information som behövs i polisens spaningsverk- samhet.

4 § Personuppgifter i registret får behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndig- heter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbe- vakningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellan- folklig organisation,

3.sådan verksamhet hos polisen som avser handräckningsuppdrag,

eller

4.annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen.

Personuppgifter får även behandlas om det är nödvändigt för att till- handahålla information till riksdagen och regeringen samt, i den ut- sträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I övrigt gäller 9 § första stycket d och andra stycket person- uppgiftslagen (1998:204).

Innehåll

5 § I registret får uppgifter om en person behandlas, om

1.den som uppgiften avser kan misstänkas för ett brott som inte har enbart böter i straffskalan, och

2.behandlingen är av särskild betydelse för polisens spaningsverksam-

het.

27

6 § I registret får uppgifter om en person som inte kan misstänkas för Prop. 2009/10:85 brott behandlas, om

1.uppgiften har samband med en person som har registrerats enligt 5 §, och

2.behandlingen är av särskild betydelse för polisens spaningsverksam-

het.

7 § Utöver de uppgifter som får behandlas enligt 5 och 6 §§, får uppgif- ter behandlas om en juridisk person eller ett transportmedel eller annat föremål som kan hänföras till en fysisk person, om

1.uppgiften kan antas ha samband med ett brott som inte har enbart böter i straffskalan, och

2.behandlingen är av särskild betydelse för polisens spaningsverksam-

het.

8 § Registret ska innehålla uppgifter om

1.grunden för att en person registreras som misstänkt enligt 5 § eller att uppgifter om en juridisk person, ett transportmedel eller föremål en- ligt 7 § förs in i registret och omständigheterna som ger anledning till registreringen,

2.de omständigheter och händelser som ger upphov till att andra upp- gifter än sådana som avses i 1 tillförs registret, och

3.uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

En upplysning enligt första stycket 3 behöver inte lämnas om det på grund av särskilda omständigheter är onödigt.

9 § Registret får, utöver vad som anges i 8 §, innehålla följande uppgif- ter om en person som har registrerats enligt 5 §:

1.uppgift som är ägnad att identifiera personen, dock inte DNA-profil eller fingeravtryck,

2.uppgift om vistelseadress,

3.uppgift om verkställighet av påföljd för brott,

4.uppgift om att personen är eftersökt i samband med brott,

5.uppgift om att personen tidigare har varit beväpnad, våldsam eller flyktbenägen,

6.uppgift om att personen är föremål för sådan övervakning som avses

i3 kap. 2 § första stycket 2 polisdatalagen (2010:000),

7.uppgift om anknytning till juridisk person,

8.uppgift om anknytning till andra personer som har registrerats enligt 5 § och som kan antas tillhöra samma gruppering som den registrerade,

9.uppgift om att personen har använt något speciellt tillvägagångssätt,

och

10.ärendenummer.

10 § Regeringen eller den myndighet som regeringen bestämmer med- delar närmare föreskrifter om de uppgifter som får behandlas i registret och om förfarandet vid registreringen.

28

Särskilda upplysningar

11 § Vid behandling av uppgifter som direkt kan hänföras till en person som inte är misstänkt för brott ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Behandling av känsliga personuppgifter

12 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kom- pletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

13 § Tillgången till personuppgifter i registret ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Sökning

14 § Vid sökning i registret får uppgifter som avslöjar ras, etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse, medlem- skap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

15 § Uppgifter i registret som direkt kan hänföras till en person som inte är misstänkt för brott får inte vara sökbara.

Utlämnande av personuppgifter och uppgiftsskyldighet

16 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan sta- tistik.

17 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1.Interpol eller Europol, eller till en polismyndighet eller åklagarmyn- dighet i en stat som är ansluten till Interpol, om det behövs för att myn- digheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller

2.en utländsk myndighet eller mellanfolklig organisation, om utläm- nandet följer av en internationell överenskommelse som Sverige efter

riksdagens godkännande har tillträtt.

Prop. 2009/10:85

29

Prop. 2009/10:85

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter i registret, om myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

Regeringen meddelar föreskrifter om att uppgifter får lämnas ut i andra fall än som anges i första stycket.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen.

Elektroniskt utlämnande av personuppgifter

19 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

20 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket får medges direktåtkomst till registret.

En myndighet som har medgetts direktåtkomst ansvarar för att till- gången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Gallring

21 § Uppgifter om en person som har registrerats enligt 5 § ska gallras senast tre år efter det att uppgiften om misstanke om brott registrerades. Om uppgiften avser misstanke om brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver uppgifterna inte gallras för- rän fem år efter registreringen.

Om en ytterligare uppgift om personen förs in i registret, förlängs gall- ringsfristen med

1.fem år från det att den nya uppgiften fördes in i registret, om upp- giften avser misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år,

2.tre år från det att den nya uppgiften fördes in i registret, om uppgif- ten avser misstanke om annat brott än som anges i 1, eller

3.ett år från det att den nya uppgiften fördes in i registret, om uppgif- ten inte avser misstanke om brott.

Den tid då en person som har registrerats enligt 5 § avtjänar ett fängel- sestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i första och andra styckena.

22 § Uppgifter om en person som avses i 6 § ska gallras senast när upp-

 

gifterna om den person som har registrerats enligt 5 § och som uppgif-

 

terna har samband med gallras.

30

 

Prop. 2009/10:85

23 § Uppgifter om en juridisk person, ett transportmedel eller annat före- mål som har registrerats enligt 7 § ska gallras senast tre år efter den senaste registreringen. Om den senast införda uppgiften avser ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver uppgifterna inte gallras förrän fem år efter det att den senaste uppgiften infördes.

24 § Om det finns synnerliga skäl, får regeringen, eller den myndighet som regeringen bestämmer, i ett enskilt fall besluta att en uppgift får bevaras under längre tid än vad som anges i 21–23 §§. Ett sådant beslut ska omprövas varje år.

25 § Regeringen eller den myndighet som regeringen bestämmer med- delar närmare föreskrifter om gallring.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från 21–23 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Rättelse och skadestånd

26 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 1 mars 2012 och gäller till och med den 28 februari 2017.

2.Bestämmelserna i 8 § första stycket 3 i denna lag behöver inte till- lämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.

31

2.3

Förslag till lag om ändring i rättegångsbalken

Prop. 2009/10:85

Härigenom föreskrivs att 28 kap. 12 a och 12 b §§ rättegångsbalken

 

ska ha följande lydelse.

 

 

Nuvarande lydelse

Föreslagen lydelse

 

 

28 kap.

 

 

12 a §1

 

Kroppsbesiktning genom tagan-

Kroppsbesiktning genom tagan-

 

de av salivprov får ske på den som

de av salivprov får göras på den

 

skäligen kan misstänkas för ett

som skäligen kan misstänkas för

 

brott på vilket fängelse kan följa,

ett brott på vilket fängelse kan

 

om syftet är att göra en DNA-

följa, om syftet är att göra en

 

analys av provet och registrera

DNA-analys av provet och regist-

 

uppgifter om resultatet av analy-

rera DNA-profilen i det DNA-

 

sen i det DNA-register eller det

register eller det utredningsregister

 

utredningsregister som förs enligt

som förs enligt polisdatalagen

 

polisdatalagen (1998:622).

(2010:000).

 

 

12 b §2

 

Kroppsbesiktning genom tagan-

Kroppsbesiktning genom tagan-

 

de av salivprov får ske på annan än

de av salivprov får göras på annan

 

den som skäligen kan misstänkas

än den som skäligen kan misstän-

 

för ett brott, om

kas för ett brott, om

 

1.syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och

2.det finns synnerlig anledning att anta att det är av betydelse för ut- redningen av brottet.

Analysresultatet får inte jämfö-

Analysresultatet får inte jämfö-

ras med de uppgifter som finns

ras med de DNA-profiler som

registrerade i register som förs

finns registrerade i register över

enligt polisdatalagen (1998:622)

DNA-profiler som förs enligt po-

eller i övrigt användas för annat

lisdatalagen (2010:000) eller i öv-

ändamål än det för vilket provet

rigt användas för annat ändamål än

har tagits.

det för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 mars 2012.

1Senaste lydelse 2005:878.

2Senaste lydelse 2005:878.

32

2.4

Förslag till lag om ändring i vapenlagen (1996:67)

Prop. 2009/10:85

Härigenom föreskrivs att det i vapenlagen (1996:67) ska införas en ny paragraf, 2 kap. 22 §, samt närmast före 2 kap. 22 § en ny rubrik av föl- jande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

Utlämnande av personuppgifter och uppgiftsskyldighet

22 §

Bestämmelserna om utlämnande av personuppgifter och uppgifts- skyldighet i 2 kap. 14 och 15 §§ polisdatalagen (2010:000) gäller även när personuppgifter behand- las i vapenregister enligt denna lag.

Regeringen meddelar föreskrif- ter om att personuppgifter får läm- nas ut även i andra fall.

Denna lag träder i kraft den 1 mars 2012.

33

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belast- ningsregistret och misstankeregist- ret samt uppgifter som behandlas hos Säkerhetspolisen.

2.5Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§ säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

12 §1

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller polisdatalagen (1998:622).

Med registerkontroll avses också att sådana personuppgifter hämtas som Rikspolisstyrelsen eller Sä- kerhetspolisen behandlar utan att det ingår i ett sådant register som avses i första stycket. Med regis- terkontroll avses dock inte att uppgifter hämtas från en förunder- sökning eller särskild undersök- ning i kriminalunderrättelseverk- samhet.

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:000) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:000).

21 §2

Utlämnande av uppgifter vid registerkontroll får omfatta

1. för säkerhetsklass 1 eller 2: varje uppgift som finns tillgänglig om den kontrollerade och, om det är oundgängligen nödvändigt, om make eller sambo, och

2. för säkerhetsklass 3: uppgifter om den kontrollerade i belast- ningsregistret, misstankeregistret,

SÄPO-registret och uppgifter som annars behandlas hos Säkerhets- polisen.

22 §3

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla upp- gifter om den kontrollerade som finns i belastningsregistret, miss- tankeregistret, SÄPO-registret och

1Senaste lydelse 1998:625.

2Senaste lydelse 1998:625.

3Senaste lydelse 2006:347.

Vid registerkontroll enligt 14 § får utlämnandet omfatta alla upp- gifter om den kontrollerade som finns i belastningsregistret och misstankeregistret samt uppgifter

Prop. 2009/10:85

34

uppgifter som annars behandlas

som behandlas hos Säkerhetspoli- Prop. 2009/10:85

hos Säkerhetspolisen.

sen.

 

 

 

Denna lag träder i kraft den 1 mars 2012.

35

2.6Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informa- tionssystem ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 §

Registret skall endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengen- staterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får registrera uppgifter i SIS endast om behand- ling av motsvarande slag av upp- gifter är tillåten enligt person- uppgiftslagen (1998:204), polis- datalagen (1998:622) eller annan svensk författning.

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengen- staterna, i enlighet med respektive stats nationella lagstiftning.

Rikspolisstyrelsen får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt person- uppgiftslagen (1998:204), polis- datalagen (2010:000) eller annan svensk författning.

Denna lag träder i kraft den 1 mars 2012.

Prop. 2009/10:85

36

2.7Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §

Säkerhets- och integritets- skyddsnämnden (nämnden) skall utöva tillsyn över brottsbekämpan- de myndigheters användning av hemliga tvångsmedel och kvali- ficerade skyddsidentiteter och där- med sammanhängande verksam- het.

Nämnden skall även utöva till- syn över Säkerhetspolisens be- handling av uppgifter enligt polis- datalagen (1998:622), särskilt med avseende på 5 § den lagen.

Tillsynen skall särskilt syfta till att säkerställa att verksamhet en- ligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Säkerhets- och integritets- skyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpan- de myndigheters användning av hemliga tvångsmedel och kvalifi- cerade skyddsidentiteter och där- med sammanhängande verksam- het.

Nämnden ska även utöva tillsyn över polisens behandling av per- sonuppgifter enligt polisdatalagen (2010:000) och lagen (2010:000) om polisens allmänna spaningsre- gister. Tillsynen ska särskilt avse

sådan

behandling som avses i

2 kap.

10 § polisdatalagen och

12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet en- ligt första och andra styckena bedrivs i enlighet med lag eller annan författning.

Denna lag träder i kraft den 1 mars 2012.

Prop. 2009/10:85

37

2.8

Förslag till lag om ändring i offentlighets- och

Prop. 2009/10:85

 

sekretesslagen (2009:400)

 

Härigenom föreskrivs att 18 kap. 18 § och 35 kap. 1 § offentlighets-

 

och sekretesslagen (2009:400) ska ha följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

 

 

 

18 kap.

 

 

 

18 §

 

Sekretessen enligt 17 § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i polisdatala- gen (1998:622) och lagen (2000:344) om Schengens infor- mationssystem.

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som före- skrivs i polisdatalagen (1998:622) och lagen (2000:344) om Scheng- ens informationssystem.

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men och upp- giften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild personutred- ning enligt säkerhetsskyddslagen (1996:627),

4.annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket eller Kustbevakningen,

5.Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller en polismyndighet i brottmål,

6.register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

7.register som förs enligt lagen (1998:621) om misstankeregister,

8.register som förs av Skatteverket enligt lagen (1999:90) om behand- ling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyn- dighet, om uppgiften inte hänför sig till registrering som avses i 4 kap. 1 §, eller

9. särskilt ärenderegister över brottmål som förs av åklagarmyn- dighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller

38

10. register som förs av Tullverket enligt lagen (2005:787) om behand- Prop. 2009/10:85 ling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som

annars behandlas där med stöd av samma lag.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipan- de eller rättsvårdande verksamhet endast om det kan antas att den en- skilde eller någon närstående till denne lider skada eller men om uppgif- ten röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till denne ut- sätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 juli 2010.

39

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polisdatalagen (2010:000), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förut- sedda åtgärder motverkas eller den framtida verksamheten skadas.

2.9Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1 och 10 §§ samt 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

18 kap.

2 §

Sekretess gäller för uppgift som hänför sig till sådan underrättelse- verksamhet som avses i 3 § polis- datalagen (1998:622) eller som i annat fall hänför sig till Säker- hetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terroristbrott enligt 2 § lagen (2003:148) om straff för terrorist- brott, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

1.sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsut- redningar, eller

2.sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän hand- ling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Lydelse enligt lagförslag i avsnitt Föreslagen lydelse 2.8

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som före- skrivs i polisdatalagen (1998:622) och lagen (2000:344) om Scheng- ens informationssystem.

18 §

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som före- skrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:000).

Prop. 2009/10:85

40

9. särskilt ärenderegister över brottmål som förs av åklagarmyn- dighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
10. register som förs av Tullver- ket enligt lagen (2005:787) om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag.

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men och upp- giften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild personutred- ning enligt säkerhetsskyddslagen (1996:627),

4.annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, en polismyndighet, Skatteverket, Statens kriminaltekniska laboratorium, Tullverket eller Kustbevakningen,

5.Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller en polismyndighet i brottmål,

6. register som förs av Rikspo-

6. register som förs av Rikspo-

lisstyrelsen enligt polisdatalagen

lisstyrelsen enligt polisdatalagen

(1998:622) eller som annars be-

(2010:000) eller som annars be-

handlas där med stöd av samma

handlas där med stöd av samma

lag,

lag,

7.register som förs enligt lagen (1998:621) om misstankeregister,

8.register som förs av Skatteverket enligt lagen (1999:90) om behand- ling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyn- dighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

10. register som förs av Tullver- ket enligt lagen (2005:787) om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller

11. register som förs enligt la- gen (2010:000) om polisens all- männa spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipan- de eller rättsvårdande verksamhet endast om det kan antas att den en- skilde eller någon närstående till denne lider skada eller men om uppgif- ten röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till denne ut- sätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Prop. 2009/10:85

41

Nuvarande lydelse

Föreslagen lydelse

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med sär- skilda bestämmelser om unga lagöverträdare,

2.till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i

3. enligt vad som föreskrivs i

– lagen (1998:621) om misstan-

– lagen (1998:621) om misstan-

keregister,

keregister,

polisdatalagen (1998:622),

– polisdatalagen (2010:000),

– lagen (1999:90) om behand-

– lagen (1999:90) om behand-

ling av personuppgifter vid Skatte-

ling av personuppgifter vid Skatte-

verkets medverkan i brottsutred-

verkets medverkan i brottsutred-

ningar,

ningar,

– lagen (2005:787) om behand-

– lagen (2005:787) om behand-

ling av uppgifter i Tullverkets

ling av uppgifter i Tullverkets

brottsbekämpande verksamhet,

brottsbekämpande verksamhet,

– förordningar som har stöd i

– förordningar som har stöd i

dessa lagar, eller

dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbal- ken.

37 kap.

7 §

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i polisdatala- gen (1998:622) och lagen (2000:344) om Schengens infor- mationssystem.

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens infor- mationssystem och polisdatalagen (2010:000).

1.Denna lag träder i kraft den 1 mars 2012.

2.Äldre bestämmelser gäller fortfarande för uppgifter i sådana ärenden där handlingar omhändertagits för arkivering före ikraftträdandet av denna lag.

Prop. 2009/10:85

42

3

Ärendet och dess beredning

Prop. 2009/10:85

Polisdatalagen (1998:622), som trädde i kraft den 1 april 1999, innehåller bestämmelser om behandling av personuppgifter hos polisen. Den inne- håller de särskilda regler som, utöver bestämmelserna i personuppgifts- lagen (1998:204), har ansetts nödvändiga i polisens verksamhet. För frågor som inte regleras i polisdatalagen gäller således personuppgifts- lagen. Polisdatalagen utgör emellertid bara en del av den lagstiftning som reglerar behandlingen av personuppgifter i polisens verksamhet. Andra lagar som reglerar sådan behandling är bl.a. lagen (1998:620) om be- lastningsregister och lagen (1998:621) om misstankeregister. En stor del av den behandling av personuppgifter som sker hos polisen är dock inte författningsreglerad. Enligt övergångsbestämmelserna till polisdatalagen gäller den upphävda datalagen (1973:289) och Datainspektionens till- stånd fortfarande för de register som den 24 oktober 1998 fördes med Datainspektionens tillstånd. Detta gäller flera av de stora polisregistren, t.ex. det allmänna spaningsregistret. Övergångsbestämmelserna har för- längts flera gånger, senast till utgången av juni 2012 (prop. 2009/10:23, bet. 2009/10:JuU9, rskr. 2009/10:67).

Den 9 december 1999 tillkallade den dåvarande regeringen en särskild utredare med uppdrag att följa genomförandet av den nya polisregister- lagstiftningen och påtala eventuella brister i regelverket. Utredaren skulle överväga om det behövde vidtas några åtgärder för att lagstiftningen skulle uppnå sitt syfte att skapa en effektiv brottsbekämpning och samti- digt värna om den enskildes personliga integritet. Utredningen antog namnet Polisdatautredningen.

I november 2001 överlämnade utredningen betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). En sammanfatt- ning av betänkandet finns i bilaga 1. Utredningens lagförslag har tagits in i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En remissammanställning finns till- gänglig i Justitiedepartementet (dnr Ju2001/8624/PO).

Remissinstanserna godtog i allmänhet Polisdatautredningens förslag att polisdatalagen skulle ersättas med en helt ny reglering. I fråga om en- skildheter i förslaget var dock remissynpunkterna mera blandade. Flera remissinstanser efterlyste en närmare analys av olika delar av förslaget. Under den fortsatta beredningen av ärendet framkom att förslaget behöv- de ändras och kompletteras i flera olika avseenden. Inom Justitiedepar- tementet utarbetades därför departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). Promemorians lagförslag har tagits in i bilaga 4. Promemorian har re- mitterats. En förteckning över remissinstanserna finns i bilaga 5. En sammanställning av remissyttrandena finns tillgänglig i Justitiedeparte- mentet (dnr Ju2007/9805/PO).

Den del av promemorian som rör en framställan från Kustbevakningen om att myndigheten i sin brottsbekämpande verksamhet ska få tillgång till uppgifter i belastningsregistret och misstankeregistret genom direktåt- komst (dnr Ju2005/319/PO) har behandlats i propositionen Några frågor om sekretess och tillgång till register (prop. 2008/09:152).

43

Inom Regeringskansliet (Försvarsdepartementet) pågår ett arbete med Prop. 2009/10:85 att ta fram ett förslag till en lag om Kustbevakningens behandling av

personuppgifter. Avsnittet i promemorian om Kustbevakningens person- uppgiftsbehandling bereds inom ramen för det lagstiftningsarbetet. Frå- gan kommer således inte att behandlas i detta lagstiftningsärende.

Regeringen gav den 29 januari 2009 Rikspolisstyrelsen i uppdrag att bl.a. inventera de digitala register, ärendehanteringssystem och uppgifts- samlingar som helt eller delvis förs med stöd av polisdatalagen eller dess övergångsbestämmelser och som omfattas av förslagen i departements- promemorian med förslag till ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Inventeringen skulle även om- fatta nya datasystem som planeras att tas i bruk under de närmaste två åren (dnr Ju2009/889/PO). I uppdraget ingick att redovisa vilka av data- systemen som inte utan förändringar skulle kunna föras med stöd av förslagen i departementspromemorian. Rikspolisstyrelsen redovisade uppdraget i denna del den 14 april 2009 (dnr Ju2009/3375/PO).

Inom ramen för Rådet för rättsväsendets informationsförsörjning (RIF-rådet), som består av elva myndigheter i den s.k. rättskedjan, be- drivs ett arbete för att skapa ett elektroniskt informationsflöde som möj- liggör att viss information kan återanvändas av andra myndigheter i rättskedjan. En sådan ordning innebär stora effektivitetsvinster. Arbetet syftar till att införa en helt elektronisk ärendehantering. Härigenom blir det möjligt att lättare följa ett ärende från polisanmälan till verkställd dom. Det skapar bl.a. möjlighet att få en elektronisk återkoppling till polisen om en brottsutredning har lett till dom eller inte. Regeringen har beslutat att RIF-rådet från den 15 mars 2009 ska ledas från Regerings- kansliet genom expeditionschefen vid Justitiedepartementet. Arbetet, som har intensifierats särskilt vad gäller informationsflödet och samar- betet mellan polisen, åklagarväsendet, Domstolsverket, Kriminalvården och Brottsförebyggande rådet, har praktisk betydelse för hur polisen ska bygga sitt nya IT-stöd.

Lagrådet

Regeringen beslutade den 5 november 2009 att inhämta Lagrådets ytt- rande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådet har i allt väsentligt godtagit förslaget men också före- slagit vissa ändringar. Regeringens lagförslag har i huvudsak utformats i enlighet med vad Lagrådet har förordat. Lagrådets synpunkter behandlas i avsnitten 6.1, 6.2, 7.1, 10, 11.3, 14.4, 15.1, 17.3 och 19.3 samt i författ- ningskommentaren.

Med anledning av Lagrådets synpunkter har det uppmärksammats att det behövs en hänvisning till 9 § andra stycket personuppgiftslagen i 4 § andra stycket förslaget till lag om polisens allmänna spaningsregister. En sådan hänvisning finns i liknande bestämmelser i andra registerlagar, se t.ex. 5 § andra stycket lagen (2009:619) om djurskyddskontrollregister.

Vidare har vissa språkliga och redaktionella ändringar gjorts.

44

4

Gällande rätt och internationella

Prop. 2009/10:85

 

överenskommelser

 

4.1Inledning

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda männi- skans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket sägs att varje medborgare, i den utsträckning som anges i lag, ska skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

I den av regeringen nyligen framlagda propositionen En reformerad grundlag (prop. 2009/10:80) föreslås bl.a. att grundlagsskyddet för den personliga integriteten ska stärkas. Enligt en ny bestämmelse, som tas in i 2 kap. 6 § regeringsformen, ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskil- des personliga förhållanden. Skyddet mot intrång ska kunna begränsas i lag bara i den ordning som föreskrivs i 2 kap. regeringsformen. Det före- slås även att 2 kap. 3 § andra stycket regeringsformen ska upphävas. Lagändringarna föreslås träda i kraft den 1 januari 2011.

Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personupp- gifter. Lagen trädde i kraft den 24 oktober 1998. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) i svensk rätt. Personuppgiftslagen är tillämplig, om det inte i någon annan lag eller förordning har meddelats avvikande bestämmelser. Då gäller dessa. Direktivet omfattar däremot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet och statens verksamhet på straffrättens område omfattas t.ex. inte.

Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbe- tats en stor mängd specialförfattningar med bestämmelser om behandling av personuppgifter, däribland polisdatalagen (1998:622). Syftet har varit att anpassa lagstiftningen till de särskilda behov som finns inom olika verksamhetsområden och samtidigt göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för enskildas in- tegritet.

Utöver en beskrivning av gällande rätt innehåller detta avsnitt en redo- görelse för aktuella internationella överenskommelser och rekommenda- tioner på dataskyddsområdet. Dessa instrument utgör en utgångspunkt för en ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Vidare redovisas några nyligen antagna beslut inom Europeiska unionen (EU) som rör informationsutbyte mellan medlemsstaterna.

45

4.2

Internationella överenskommelser och

Prop. 2009/10:85

 

personuppgiftslagen

 

4.2.1Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa- konventionen) från år 1950 och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte in- skränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I rekvisitet ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. De syf- ten för vilka intrång tillåts har tolkats ganska extensivt av Europadom- stolen, men domstolen avgör också vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Hela konventionen genomsyras av att åtgärder som innefattar intrång i en skyddad rättighet kan godtas endast om de är proportionerliga. Det innebär att intrånget måste svara mot ett angeläget samhällsbehov och stå i rimlig proportion till det syfte som ska uppnås.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i kon- ventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd för godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

4.2.2Dataskyddskonventionen m.m.

Bestämmelser av betydelse för automatisk databehandling av personupp- gifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskydds-

46

konventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Dataskyddskonventionens innehåll kan ses som en precisering av skyddet enligt artikel 8 i Europakonventionen för enskilda vid automatisk databehandling. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av per- sonuppgifter och att förbättra förutsättningarna för ett fritt informations- flöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska häm- tas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen och får inte sena- re användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa typer av personuppgifter får, enligt konventionen, behandlas en- dast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörig- het, religiös tro eller övertygelse i övrigt, hälsa, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten för- störelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade ska ha möjlighet till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från be- stämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lag- stiftningen och att inskränkningen är nödvändig i ett demokratiskt sam- hälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som grundläggande dokument för auto- matiserad behandling av personuppgifter inom EU har i princip överta- gits av dataskyddsdirektivet (avsnitt 4.2.5). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, för- svar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse. Såvitt gäller polissamarbete och straff- rättsligt samarbete finns numera också dataskyddsrambeslutet (avsnitt 4.4.1).

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyn- digheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Sverige undertecknade och ratificerade tilläggsproto- kollet den 8 november 2001. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat internationella riktlinjer om integritetsskydd och persondataflöde över gränserna. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

Prop. 2009/10:85

47

4.2.3

Europarådets rekommendation för polissektorn

Prop. 2009/10:85

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn. Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av auto- matiserad behandling i syfte att förhindra och bekämpa brott eller upp- rätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgifts- samlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från upp- gifter som grundar sig på omdömen eller personliga värderingar.

4.2.4Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grund- läggande rättigheterna, tillkännagiven av parlamentet, rådet och kommis- sionen den 7 december 2000 och anpassad den 12 december 2007, blir rättsligt bindande. Detta sker genom att en referens till stadgan införs i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stad- gan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grund- läggande fri- och rättigheter som EU redan erkänner.

I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska be- handlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU- rätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

När det gäller de garanterade rättigheternas räckvidd anförs i artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättighe- terna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyd- das av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskrän-

48

ker eller inkräktar på rättigheter enligt andra konventioner eller överens- Prop. 2009/10:85 kommelser om fri- och rättigheter.

4.2.5Dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Med- lemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behand- ling av personuppgifter i brottsbekämpande verksamhet. Denna fråga kommer att behandlas närmare i avsnitt 6.4.1.

Personuppgiftslagen, genom vilken dataskyddsdirektivet genomförts i svensk rätt, har emellertid gjorts generellt tillämplig och omfattar således även sådan verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18). Lagen, som trädde i kraft den 24 oktober 1998, innehåller de generella regler som krävs för genomfö- randet av direktivet. Lagen anger den grundläggande ramen för behand- ling av personuppgifter. Särreglering i lag eller förordning gäller emel- lertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som person- uppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Tidigare fanns det grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling i datalagen (1973:289), som upphävdes när personuppgiftslagen trädde i kraft. I datalagen avsågs med personregister ett register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga person- uppgifter krävdes, utöver licens, ett särskilt tillstånd från Datainspektio- nen. Ett sådant tillstånd behövdes t.ex. som regel för att inrätta och föra register med uppgifter om att någon misstänktes eller var dömd för brott, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister hade beslutats av riksdagen eller regeringen, krävdes dock inget tillstånd.

Genom personuppgiftslagen avskaffades det tidigare licens- och till- ståndsförfarandet. Utgångspunkten i personuppgiftslagen är att behand- ling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla

in, söka, bevara och sprida uppgifter. Lagen omfattar i princip endast be-

49

handling av personuppgifter som är helt eller delvis automatiserad. Även Prop. 2009/10:85 manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i

eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsan- svarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för sär- skilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktu- ella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när behandling av uppgifter är tillåten. Detta är i princip fallet när den registrerade har läm- nat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige, eller tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbets- uppgift i samband med myndighetsutövning.

Personuppgiftslagen innehåller ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrif- ter; DIFS 1998:3, jfr 9 § personuppgiftsförordningen (1998:1191).

Den 1 januari 2007 trädde vissa ändringar av personuppgiftslagen i kraft, som innebär att lagen i viss utsträckning har utformats enligt en s.k. missbruksmodell (prop. 2005/06:173). Regleringen tar därmed inte sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons personliga integritet. Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka bild- och ljudupptagningar, undantas från de flesta av personuppgiftsla- gens detaljerade hanteringsregler. Sådan behandling tillåts utan andra re- striktioner än att den registrerades personliga integritet inte får kränkas.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 6.4.2.

4.3Den nuvarande polisregisterlagstiftningen

4.3.1Polisregisterlagstiftningen

Polisdatalagen trädde i kraft den 1 april 1999. Lagen, som gäller utöver

personuppgiftslagen, utgör en del av lagstiftningen om polisens register.

50

Vid sidan av polisdatalagen finns det andra författningar som reglerar be- Prop. 2009/10:85 handling av personuppgifter inom polisen. Några av dessa är s.k. regis-

terförfattningar och innehåller uteslutande bestämmelser om person- uppgiftsbehandling medan andra endast innehåller ett fåtal sådana be- stämmelser, t.ex. om visst register. Bestämmelser om personuppgifts- behandling finns i vapenlagen (1996:67), lagen (1998:620) om belast- ningsregister, lagen (1998:621) om misstankeregister, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, efterlys- ningskungörelsen (1969:293), passförordningen (1979:664), förord- ningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. De aktuella författningarna behandlas i anslutning till beskrivningarna av registren i bilaga 6.

4.3.2Polisdatalagen

Polisens möjligheter att föra kriminal- och polisregister reglerades tidi- gare i lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Utgångspunkten i dessa lagar var att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes med stöd av Datainspektionens tillstånd enligt datalagen.

Polisdatalagen innehåller endast de särbestämmelser som har ansetts nödvändiga för polisens verksamhet. I övrigt gäller personuppgiftslagen eller särskilda lagar, t.ex. lagen om belastningsregister.

Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet och i polisverksamhet vid Ekobrottsmyndigheten för att

1.förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2.övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat, eller

3.bedriva spaning och utredning i fråga om brott som hör under all- mänt åtal.

Lagen omfattar således inte all behandling av personuppgifter inom polisen. Uppgiftsbehandling inom den hjälpande och stödjande verksam- heten, tillståndsverksamheten och den administrativa verksamheten faller utanför lagens tillämpningsområde. För personuppgiftsbehandling i sådan verksamhet gäller personuppgiftslagen och eventuell särreglering i annan författning. Som exempel kan nämnas att passregistret regleras av personuppgiftslagen och passförordningen (1979:664).

Inom polisen förs även ett flertal register som i och för sig faller inom polisdatalagens tillämpningsområde men som med tillämpning av lagens övergångsbestämmelser fortfarande förs med stöd av den upphävda data- lagen och Datainspektionens tillstånd.

Behandling av personuppgifter som sker med stöd av lagen om belast- ningsregister, lagen om misstankeregister, lagen om Schengens informa-

51

tionssystem eller lagen om passagerarregister har uttryckligen undanta- Prop. 2009/10:85 gits från polisdatalagens tillämpningsområde.

Polisdatalagen innehåller allmänna bestämmelser om behandling av personuppgifter i polisiärt arbete och särskilda bestämmelser om behand- ling i kriminalunderrättelseverksamhet och om vissa register. Det finns två kategorier av allmänna bestämmelser i lagen, dels sådana som gäller för all behandling av personuppgifter (dvs. även sådan behandling som inte är automatiserad), dels sådana som endast gäller automatiserad be- handling. Till den förstnämnda kategorin hör bestämmelser som reglerar behandling av känsliga personuppgifter (5 §), utlämnande av uppgifter, bl.a. till statistikmyndighet och utländsk myndighet (6–8 §§) och be- stämmelser om rättelse och skadestånd (9 §). Därutöver gäller för auto- matiserad behandling även allmänna bestämmelser om behandling av uppgifter om kvarstående misstankar (10–12 §§) och om gallring (13 §).

Enligt de särskilda bestämmelserna om kriminalunderrättelseverksam- het får uppgifter i sådan verksamhet endast behandlas inom ramen för en s.k. särskild undersökning eller i kriminalunderrättelseregister (14– 21 §§). De register som regleras särskilt i lagen är – utöver kriminal- underrättelseregister – register med uppgifter om DNA-analyser, finger- avtrycks- och signalementsregister samt SÄPO-registret. Registren be- handlas närmare i bilaga 6.

4.4Vissa EU-beslut och lagstiftningsförslag

Inom ramen för EU-samarbetet har under de senaste åren förhandlats och antagits flera rambeslut och rådsbeslut som berör behandling av person- uppgifter inom polisen. Flertalet av dessa ger ökade möjligheter för brottsbekämpande myndigheter att utbyta uppgifter inom sitt område. Vidare finns det s.k. dataskyddsrambeslutet, som innehåller bestämmel- ser om skydd för personuppgifter som behandlas inom ramen för polis- samarbete och straffrättsligt samarbete.

I propositionen Avskaffande av preskription för vissa allvarliga brott (prop. 2009/10:50) föreslås en ändring i polisdatalagen.

4.4.1

Dataskyddsrambeslutet

 

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av

 

personuppgifter som behandlas inom ramen för polissamarbete och

 

straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet

 

inom angivna områden. Rambeslutet är föranlett av ett antal nya EU-

 

instrument rörande utvidgat polisiärt och rättsligt samarbete avseende

 

gränsöverskridande informationsutbyte.

 

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgif-

 

ter som utbyts mellan staterna inom ramen för det angivna samarbetet på

 

ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller

 

bestämmelser som avser att förstärka skyddet vid behandling av person-

 

uppgifter som överförs. Rambeslutet utgör ett komplement till andra

 

instrument om informationsutbyte inom ramen för polisiärt och straff-

 

rättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna ut-

52

gångspunkter för behandlingen av personuppgifter och känsliga person- Prop. 2009/10:85 uppgifter, rättelse, radering och gallring av personuppgifter, information

till den registrerade samt skadestånd och sanktioner. Till stora delar mot- svarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen. Vidare finns bl.a. särskilda bestämmelser som be- gränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat.

Regeringen har i propositionen Godkännande av dataskyddsrambeslu- tet (prop. 2008/09:16) på ett övergripande plan övervägt vilka lagänd- ringar som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU7, rskr. 2008/09:41), som därefter har antagits av rådet. Rambeslutet har ännu inte genomförts i svensk rätt.

4.4.2Rådsbeslutet om tillgång till informationssystemet för viseringar

Rådets beslut 2004/512/EG om inrättande av Informationssystemet för viseringar (VIS) ledde till att VIS inrättades år 2004 som ett system för utbyte av viseringsuppgifter mellan medlemsstaterna. Samma år presen- terade kommissionen ett förslag till förordning om VIS och utbytet av uppgifter mellan medlemsstaterna om viseringar för kortare vistelser (VIS-förordningen). Ett reviderat förslag till VIS-förordning, Europa- parlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan med- lemsstaterna av uppgifter om viseringar för kortare vistelse, har senare antagits. VIS-förordningen kompletteras inom tredje pelaren av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssy- stemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Enligt rådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terrorist- brott och andra grova brott. Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekäm- pande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upp- täcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att in- hämtandet av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

Regeringen har i propositionen Godkännande av rådets beslut om åt- komst till informationssystemet för viseringar i syfte att förhindra, upp- täcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132) på ett övergripande plan övervägt vilka lagändringar som kan bli nödvän- diga med anledning av rådsbeslutet. Riksdagen godkände utkastet till

53

rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250), som därefter har Prop. 2009/10:85 antagits av rådet. Rådsbeslutet har ännu inte genomförts i svensk rätt.

4.4.3Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gräns- överskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, (Prümrådsbeslutet), bygger på en kon- vention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som syf- tar till att fördjupa det gränsöverskridande samarbetet mellan de myn- digheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNA- profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd. Dessa bestämmelser måste genomföras innan uppgiftsutbytet får inledas. Utöver bestämmelserna om informa- tionsutbyte innehåller rådsbeslutet bestämmelser om frivilligt operativt samarbete.

Regeringen har i propositionen Godkännande av Prümrådsbeslutet (prop. 2007/08:83) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU20, rskr. 2007/08:197). Beslutet har därefter antagits av rådet.

En särskild utredare har i departementspromemorian Genomförandet av delar av Prümrådsbeslutet (Ds 2009:8) bl.a. föreslagit ändringar i polisdatalagen och lagen (2000:343) om internationellt polisiärt samar- bete. Förslagen omfattar bara de delar av rådsbeslutet som är tvingande. Promemorian har remissbehandlats. Rådsbeslutet har ännu inte genom- förts i svensk rätt.

4.4.4Rambeslutet om utbyte av uppgifter ur kriminalregister

Rambeslutet 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgif- ternas innehåll har främst intresse för domstolar och åklagare men berör även polisens verksamhet. Rambeslutets syfte är att förbättra och under- lätta utbytet av uppgifter ur kriminalregister mellan EU:s medlemsstater.

Uppgifter om brottmålsdomar utbyts för närvarande med stöd av 1959 års europeiska konvention om ömsesidig rättslig hjälp i brottmål. Syste- met har visat sig ha betydande brister och domstolar meddelar ofta dom enbart med beaktande av tidigare domar som finns i deras nationella

register, men utan kunskap om eventuella domar i andra medlemsstaters

54

register. Enligt rambeslutet ska varje medlemsstat som meddelar en dom Prop. 2009/10:85 mot en medborgare i en annan medlemsstat informera medborgarstaten

om domen. Medborgarstaten ska därefter lagra informationen. Rambe- slutet lägger också grunden för nästa steg i arbetet med att effektivisera informationsutbytet och möjliggöra elektronisk uppgiftsöverföring, som återspeglas i rådets beslut 2009/316/RIF av den 6 april 2009 om inrättan- de av det europeiska informationssystemet för utbyte av uppgifter ur kri- minalregister (Ecris) i enlighet med artikel 11 i rambeslut 2009/315/RIF. I propositionen Sveriges antagande av rambeslut om utbyte av uppgifter i kriminalregister (prop. 2008/09:18) har regeringen översiktligt redovisat vilka lagstiftningsåtgärder som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU11, rskr. 2008/09:33). Rambeslutet har därefter antagits av rådet, men ännu inte genomförts i svensk rätt.

4.4.5Rådsbeslutet om inrättande av Europol

Det fördjupade gränsöverskridande polisiära samarbetet och utbytet av information påverkas av utvecklingen av det polisiära samarbetet inom ramen för EU:s gemensamma polisbyrå, Europol. En av Europols vik- tigaste uppgifter är att samla in och bearbeta information om allvarlig gränsöverskridande brottslighet av visst slag och att förmedla denna in- formation vidare till medlemsstaterna. Europols verksamhet bygger på möjligheten att från medlemsstaterna hämta in och analysera underrättel- seinformation om viss grov gränsöverskridande brottslighet och sedan återföra resultatet av analyserna till medlemsstaterna. Den svenska poli- sens utlämnande av uppgifter sker med stöd av 7 § första stycket polis- datalagen.

Europols verksamhet har hittills byggt på Europolkonventionen (prop. 1996/97:164). Rådets beslut 2009/371/RIF av den 6 april 2009 om inrät- tande av europeiska polisbyrån (Europol) ersätter Europolkonventionen och dess ändringsprotokoll. Genom beslutet förändras den rättsliga grun- den för Europols verksamhet från ett mellanstatligt samarbete till att Europol blir ett EU-organ. Europol ges bl.a. möjlighet att upprätta och driva nya system för informationsbehandling, t.ex. när det gäller terro- ristbekämpning. Rådsbeslutet innehåller också vissa nya bestämmelser om dataskydd, t.ex. inrättande av ett oberoende uppgiftsskyddsombud. Regeringen har i propositionen Godkännande av rådets beslut om inrät- tande av Europeiska polisbyrån (Europol) på ett övergripande plan över- vägt vilka lagändringar som kan krävas (prop. 2008/09:14). Riksdagen godkände utkastet till rådsbeslut (bet. 2008/09:JuU6, rskr. 2008/09:63). Beslutet har därefter antagits av rådet.

Regeringen har i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) lämnat förslag till den lagändring som måste träda i kraft den dag rådsbeslutet ska börja tillämpas, dvs. den 1 januari 2010. Förslaget består i en ändrad hänvisning i bilagan till lagen (1976:661) om immunitet och privilegier i vissa fall. Enligt propositionen avser rege- ringen att i annat sammanhang överväga behovet av ytterligare lagänd- ringar med anledning av Europolsamarbetet.

55

4.4.6

Rambeslutet om förenklat informations- och

Prop. 2009/10:85

 

underrättelseutbyte

 

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla informationsutbytet är en av hörnstenarna i rambeslutet om förenklat informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelse- utbyte mellan de brottsbekämpande myndigheterna i Europeiska unio- nens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet inne- bär att brottsbekämpande myndigheter i medlemsstaterna redan på under- rättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information och befintliga underrättelser. Genom rambeslutet åtar sig medlemsstaterna bl.a. dels att på begäran av en annan stat lämna viss information, dels att spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myn- digheter i Europeiska unionen, som trädde i kraft den 1 februari 2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i sam- band med uppgiftsutbytet.

4.4.7Preskription vid allvarliga brott

I propositionen Avskaffande av preskription för vissa allvarliga brott (prop. 2009/10:50) har regeringen föreslagit att åtalspreskription, på- följdspreskription och absolut preskription ska avskaffas för vissa brott, om dessa har begåtts av vuxna lagöverträdare. De brott som avses är mord, dråp, grovt folkrättsbrott, folkmord samt terroristbrott som begåtts genom mord eller dråp. Även försök till sådana brott, med undantag för grovt folkrättsbrott, ska enligt förslaget undantas från preskription. Vi- dare har föreslagits att sådana uppgifter i det spårregister som innehåller DNA-profiler som hänför sig till nyssnämnda brottstyper ska gallras senast sjuttio år efter registreringen, i stället för trettio år. Förslaget inne- bär en ändring i 27 § polisdatalagen. Ändringarna föreslås träda i kraft den 1 juli 2010.

5 Polisens register

Vissa av polisens samlingar av personuppgifter i elektronisk form är register i ordets traditionella bemärkelse, dvs. avgränsade system där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sök- bara endast med särskilda sökord. Detta gäller i första hand vissa äldre system. Nya system som också kan betraktas som register är bl.a. miss- tankeregistret och belastningsregistret. Utvecklingen inom polisen går mot att registerformen överges för mer flexibla datasystem.

Den nuvarande registerstrukturen har sin bakgrund i tiden före polis- datalagen, när Datainspektionen gav polisen tillstånd att föra olika en-

56

skilda register. Registerstrukturen är således inte ett resultat av en över- Prop. 2009/10:85 gripande och konsekvent planering.

Polisens register kan delas in i tre grupper beroende på vilka bestäm- melser som styr behandlingen av uppgifter, nämligen

register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan lagstiftning,

register som förs med stöd av allmänna bestämmelser i polisdatala- gen och personuppgiftslagen, och

register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den upphävda datalagen och tillstånd från Datainspektionen.

En uppdelning kan också göras mellan centrala och lokala register. De centrala registren förs av Rikspolisstyrelsen och innehåller uppgifter från hela landet. De lokala registren förs av en polismyndighet och innehåller därmed i princip bara uppgifter från ett polisdistrikt.

De register som regleras särskilt i polisdatalagen är kriminalunderrät- telseregister, register med uppgifter om DNA-analyser i brottmål, finger- avtrycks- och signalementsregister samt SÄPO-registret. Kriminalunder- rättelseregister kan föras både på lokal och central nivå, medan övriga register som regleras i polisdatalagen är centrala. Det finns även särskilda bestämmelser om register i lagstiftning som gäller vid sidan av polis- datalagen, t.ex. i lagen om belastningsregister och lagen om misstankere- gister. Därutöver finns centrala och lokala register som saknar särskild författningsreglering. Registren förs då med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen eller med stöd av data- lagen och Datainspektionens tillstånd enligt övergångsbestämmelserna till polisdatalagen. Exempel på centrala register som saknar särskild för- fattningsreglering är det allmänna spaningsregistret, det centrala brotts- spaningsregistret samt beslags- och analysregistren. Rationell anmäl- ningsrutin (RAR) och Datoriserad utredningsrutin (DurTvå) är exempel på sådana register på lokal nivå.

Polisen utvecklar fortlöpande nya system för att stödja sin verksamhet. En redovisning av polisens register kan därför aldrig bli fullständig. I bilaga 6 redovisas vissa befintliga datasystem som har betydelse i detta sammanhang.

6En ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

6.1Behovet av en ny lagstiftning

Regeringens bedömning: En reform av bestämmelserna om polisens behandling av personuppgifter är nödvändig.

Regeringens förslag: En ny lag införs som ersätter polisdatalagen.

Utredningens bedömning och förslag överensstämmer med prome- morians.

57

Remissinstanserna har tillstyrkt eller inte haft några invändningar mot att bestämmelserna om polisens behandling av personuppgifter reforme- ras genom införandet av en ny lag som ersätter polisdatalagen.

Promemorians bedömning och förslag överensstämmer med rege- ringens.

Remissinstanserna: Samtliga remissinstanser delar promemorians be- dömning eller har inget att invända mot den. Flertalet remissinstanser tillstyrker eller har inget att invända mot promemorians förslag. Invänd- ningar framförs dock mot enskildheter i förslaget. Även mer generella synpunkter framförs.

Rikspolisstyrelsen uppskattar ambitionen att utöka polisens möjligheter att behandla personuppgifter i bl.a. underrättelseverksamhet. Den före- slagna lagen kommer enligt styrelsen att underlätta informationsutbytet såväl inom polisen som mellan polisen och andra myndigheter. Styrelsen anser dock att det vore olyckligt om en ny lagstiftning i syfte att skydda den personliga integriteten utformas som en hanteringslagstiftning som i detalj reglerar polisens arbetsmetoder. Rikspolisstyrelsen anser att vissa av bestämmelserna, bl.a. de föreslagna sökbegränsningarna, utgör just en sådan detaljreglering som styrelsen är emot. Säkerhetspolisen framhåller att det är nödvändigt att arbetet inriktas mot en gemensam lagstiftnings- teknik för behandlingen av personuppgifter inom den brottsbekämpande verksamheten och anser att de förslag som läggs fram i promemorian för att komma till rätta med problemen med den alltmer föråldrade polis- datalagen är lovvärda.

Kammarrätten i Stockholm instämmer i att lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel samtidigt som hänsyn till enskildas integritet tas. Kammarrätten anser att de avvägningar som görs mellan effektiviteten i brottsbekämpningen och skyddet för den personliga integriteten är väl redovisade och motiverade men framhåller, liksom några andra remissinstanser, att det är svårt att förutse förslagets sammantagna konsekvenser. Kammarrätten betonar därför, liksom flera andra remissinstanser, bl.a. Domstolsverket, vikten av att lagstiftningen noga utvärderas. Åklagarmyndigheten anser att det är uppenbart och glädjande att förslagen och övervägandena i promemorian bygger på ambitionen att reglerna om polisens personuppgiftsbehandling ska stödja modern brottsbekämpning. Åklagarmyndigheten är dock be- kymrad över att såväl den gällande som den föreslagna regleringen är mycket svårtillgänglig. Ekobrottsmyndigheten anser att det är tveksamt om den föreslagna lagen innebär ett så tydligt klargörande av polisens möjligheter att behandla personuppgifter som behövs för en effektiv men också rättssäker brottsbekämpning. Kriminalvården anser att den före- slagna lagen är omfattande och detaljerad. Enligt Kriminalvården bör det övervägas om det inte är tillräckligt att endast ramarna för när behandling av personuppgifter är tillåten och de från integritetsskyddssynpunkt vik- tigaste bestämmelserna framgår av lagen. Kriminalvården menar att lagen kan kompletteras av mer detaljerade bestämmelser i författningar på lägre nivå med närmare avvägningar av integritetsskyddet.

Datainspektionen avstyrker att promemorians förslag läggs till grund för lagstiftning och föreslår att en kommitté tillsätts med uppdrag att utifrån polisens verksamhet och behov utarbeta ett lagförslag som förmår tillgodose skyddet för den personliga integriteten. Inspektionen anser att

Prop. 2009/10:85

58

den analys som ligger till grund för lagförslaget är bristfällig. Sveriges Prop. 2009/10:85 advokatsamfund anser att den föreslagna regleringen har utformats så att

verkningarna från integritetsskyddssynpunkt blir synnerligen svåra att överblicka och att dessa behöver genomlysas ytterligare innan en ny reglering införs. Advokatsamfundet förordar ett mer samlat grepp för att komma till rätta med både det alltför stora antalet skilda lagar om myn- digheters personuppgifts- och registerhantering och den bristande över- ensstämmelsen mellan grundläggande begrepp i dessa lagar. Justitie- kanslern anser att det är svårt att bedöma förslaget på grund av brister i redovisningen av avvägningen mellan verksamhetsbehov och integri- tetsintressen. Justitiekanslern anser sig därför inte med tillräcklig grad av säkerhet kunna ställa sig bakom de enskilda förslagen i promemorian. Samtidigt anser sig Justitiekanslern inte ha tillräcklig grund för att rikta konkreta invändningar mot förslagen annat än vad gäller vissa gallrings- frister och personuppgiftsbehandling vid vissa yttrandefrihets- och tryck- frihetsbrott.

Skälen för regeringens bedömning och förslag

Allmänt om reformbehovet

Information är en av polisens viktigaste resurser för att uppnå statsmak- ternas mål i det brottsbekämpande arbetet. Sedan många år är modern informationsteknik en naturlig del i polisens arbete och numera utförs praktiskt taget allt polisarbete mer eller mindre med hjälp av sådan tek- nik. En väl utnyttjad informationsteknik är därför av stor betydelse för polisens möjligheter att bedriva sin verksamhet på ett effektivt och rätts- säkert sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas integritet.

Som både Polisdatautredningen och promemorian framhåller uppfyller dagens lagstiftning om behandling av personuppgifter i polisens brotts- bekämpande verksamhet inte de krav som polisens verksamhet ställer på automatiserad behandling av uppgifter. Det finns även brister vad gäller skyddet för den personliga integriteten. En reform är därför nödvändig. Även remissinstanserna instämmer i behovet av reformering av gällande lagstiftning.

Polisdatalagen reglerar bara delar av personuppgiftsbehandlingen

En svaghet i den nuvarande regleringen är bl.a. att den bara täcker delar av personuppgiftsbehandlingen i den brottsbekämpande verksamheten. När polisdatalagen trädde i kraft den 1 april 1999 fördes ett stort antal av polisens register med stöd av Datainspektionens tillstånd enligt den nu- mera upphävda datalagen. För att få möjlighet att anpassa dessa register till den nya lagstiftningen tilläts polisen under en begränsad tid att fort- sätta att föra dem med stöd av de äldre bestämmelserna. Flera av regist- ren har dock inte anpassats till polisdatalagen och bedömningen har gjorts att de inte kan föras med stöd av den lagen utan anpassning. Över- gångsbestämmelserna till polisdatalagen har därför successivt förlängts

59

för att möjliggöra fortsatt behandling i registren, senast till utgången av år 2012 (prop. 2009/10:23).

Ett flertal av polisens register förs således fortfarande med stöd av den upphävda datalagen och Datainspektionens tillstånd. Som Datainspek- tionen framhåller innebär detta att polisens personuppgiftsbehandling styrs av två parallella regleringar, vilket skapar såväl tillämpningspro- blem som en svåröverskådlig registerstruktur hos polisen. Det behövs därför en ny reglering som ersätter de nuvarande parallella systemen.

Behovet av en teknikneutral lagstiftning

Polisen lagrar personuppgifter i ett stort antal olika databaser. Samma personuppgift kan lagras på flera olika ställen, i olika register och ären- dehanteringssystem. Rikspolisstyrelsen gör bedömningen att detta sätt att hantera uppgifter kan leda till kvalitetsbrister, vilket påtalas av styrelsen i en skrivelse till Justitiedepartementet (dnr Ju2007/478/PO). Rikspolis- styrelsen framhåller där att den nuvarande lagstiftningen bl.a. resulterat i en dubbel eller flerdubbel lagring av identiska personuppgifter. Samma eller i det närmaste samma uppgifter lagras i flera system eller register där syftet med behandlingen till vissa delar kan skilja sig åt. Detta för med sig att det uppstår en inkonsistens i informationen. Enligt Rikspolis- styrelsen är det i princip omöjligt för en informationsägare eller enskild handläggare att känna till alla de system där information om en person finns lagrad för att bl.a. genomföra rättningar och gallringar. I huvudsak samma uppgifter i olika register görs tillgängliga för den användare som getts behörighet till registren. Rikspolisstyrelsen påtalar att detta förhål- lande sammantaget med dubbellagring i ett stort antal register innebär att många enskilda handläggare har eller kan få tillgång till ett stort antal register och därmed också tillgång till mer information än vad som ur- sprungligen varit avsett. Detta försvårar också möjligheterna att kunna utreda vilken information en tjänsteman har eller har haft tillgång till. Rikspolisstyrelsen konstaterar att lagstiftarens ambition att med de meto- der som valts skapa begränsningar för att skydda den enskildes integritet kan te sig fullgott men fungerar i praktiken mindre bra såväl för använda- ren som till skydd för integriteten. Styrelsen planerar en modernisering av polisens datasystem. Tanken är att de uppgifter som behandlas i poli- sens verksamhet ska lagras gemensamt på en plats i stället för i separata register. Uppgifterna ska alltså i princip inte registreras och lagras mer än en gång. Tillgången till uppgifterna ska i de allra flesta fall inte – såsom i polisens nuvarande system – vara beroende av att en uppgift finns i ett särskilt register utan vara avhängigt andra kriterier, hänförliga till upp- gifterna som sådana och till användarens behörighet. Enligt Rikspolissty- relsen kommer det planerade datasystemet att möjliggöra ett bättre integ- ritetsskydd. Det blir bl.a. lättare att bygga upp behörighetssystem som gör det möjligt att enklare avgränsa en enskild tjänstemans tillgång till de uppgifter som han eller hon behöver för att kunna utföra sina arbetsupp- gifter. Tjänstemannens behov av information kan därigenom tillgodoses på ett rättssäkert sätt. En annan fördel är att det blir enklare att hålla lag- rad information uppdaterad och tillförlitlig, eftersom utgångspunkten är att varje uppgift ska lagras endast en eller ett fåtal gånger. Risken att upp-

Prop. 2009/10:85

60

gifter bevaras i systemet längre än nödvändigt minskar också. Enligt Rikspolisstyrelsen kommer det över huvud taget att bli lättare att med det nya systemet avgränsa, kontrollera och övervaka all elektronisk tillgång till uppgifter.

Rikspolisstyrelsens arbete med att förändra polisens datasystem har redan inletts. För att styrelsen ska kunna fullfölja det arbetet krävs det en mera teknikneutral lagstiftning som är mindre knuten till registerbegrep- pet än vad som är fallet med gällande rätt. Med en mera teknikneutral lagstiftning överlåts i större utsträckning till polisen att avgöra hur in- samlade uppgifter ska struktureras och göras åtkomliga i verksamheten.

Utvecklingen går generellt mot att behandling av personuppgifter i tra- ditionella register överges. Både registerbegreppet och begreppet databas har kritiserats i tidigare lagstiftningsärenden. Som exempel kan nämnas propositionen om Tullverkets brottsbekämpning – Effektivare uppgifts- behandling (prop. 2004/05:164 s. 60 f.). Skälen för detta är bl.a. att be- greppen leder tanken till ett visst, i tekniskt avseende avgränsat, infor- mationssystem där informationen har strukturerats på ett visst sätt. Be- handling av personuppgifter kommer i framtiden i större utsträckning att ske i avancerade ärendehanteringssystem som länkas samman med var- andra, ibland med digital dokumenthantering. I sådana system kan in- formation struktureras på ett sådant sätt att systemet utöver att tjäna som ett verksamhetsstöd för ärendehanteringen även i praktiken tillgodoser samma behov som traditionella personregister genom att olika sökin- gångar skapas. Det huvudsakliga syftet med insamlingen av personupp- gifter är i dessa fall utförandet av en viss arbetsuppgift, inte att registrera uppgifterna i ett personregister.

Det finns uppenbara nackdelar med att som nu behandla personupp- gifter inom polisen i ett stort antal separata register. I en sådan struktur är det svårt att hålla alla uppgifter korrekta och uppdaterade. Det är vidare otidsenligt och resurskrävande att registrera samma uppgift flera gånger och att förvalta och administrera ett flertal olika system. Som Rikspolis- styrelsen framhåller är det mera ändamålsenligt att skapa ett system där utgångspunkten är att varje uppgift lagras endast på ett ställe och därifrån görs tillgänglig för olika berättigade ändamål. Uppgifter lagras då i större utsträckning i det sammanhang som de lagligen samlades in. Därmed blir det lättare att hålla en uppgift korrekt och uppdaterad samtidigt som det blir tydligare för den som får åtkomst till uppgiften varför uppgiften har samlats in och behandlas inom polisen.

Utgångspunkten bör således vara att skapa en så teknikneutral och flexibel lagstiftning som möjligt för polisens behandling av personupp- gifter i den brottsbekämpande verksamheten. Ingen remissinstans har ifrågasatt denna utgångspunkt. Med en sådan lagstiftning skapas också möjligheter att komma till rätta med de av Rikspolisstyrelsen påtalade problemen beträffande bl.a. dubbellagring, tillgång till information, rät- telse och gallring som dagens regelverk för med sig.

Den nya lagen bör således ge ramarna för polisens personuppgiftsbe- handling utan att närmare reglera formerna för behandlingen. Detta inne- bär dock inte att polisen själv ska få avgöra vilken personuppgiftsbe- handling som ska vara tillåten. En mer teknikneutral lagstiftning förut- sätter att det – i syfte att värna den personliga integriteten – införs be- stämmelser som reglerar polisens möjlighet att behandla personuppgifter.

Prop. 2009/10:85

61

Vidare måste det ställas höga krav på kontroll och tillsyn av verksamhe- Prop. 2009/10:85 ten, både internt och externt.

Bättre förutsättningar för brottsförebyggande arbete och informationsut- byte

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekämpande myndigheterna har goda möjligheter att samla in och bearbeta informa- tion av olika slag. De uppgifter som behöver kunna samlas in och bear- betas är såväl uppgifter med anknytning till konkreta brott (dvs. uppgifter i brottsutredningar) som uppgifter som avser förväntad eller pågående brottslig verksamhet (dvs. uppgifter i kriminalunderrättelseverksamhet). Förutsättningarna för ett effektivt brottsbekämpande arbete har inte i alla avseenden beaktats vid utformningen av polisdatalagen, vilket lett till vissa tillämpningsproblem.

Ett exempel är oklarheterna kring begreppet kriminalunderrättelseverk- samhet. Enligt den nuvarande lagstiftningen får uppgifter i sådan verk- samhet behandlas endast under vissa förutsättningar. Behandling får ske

om en särskild undersökning har inletts under ledning av Rikspolis- styrelsen eller en polismyndighet och det finns anledning att anta att all- varlig brottslighet har utövats eller kan komma att utövas, eller

inom ramen för registrering i kriminalunderrättelseregister.

Det har ifrågasatts om inte behandlingen av personuppgifter i vissa faktiskt existerande polisregister till viss del utgör kriminalunderrättelse- verksamhet i polisdatalagens mening. Behandlingen skulle därmed vara tillåten bara inom ramen för en särskild undersökning eller i kriminalun- derrättelseregister. Det är vidare osäkert i vilken utsträckning behandling av underrättelseuppgifter får ske lokalt, dvs. av en enskild tjänsteman genom användning av ordbehandling och e-post m.m. samt genom digital bild- och ljudupptagning. Det finns alltså behov av en reglering som undanröjer dessa och andra oklarheter.

Utvecklingen av polisverksamheten förutsätter, vilket Rikspolisstyrel- sen poängterar, att polisen i större utsträckning tillåts att behandla per- sonuppgifter för brottsförebyggande ändamål. Sådan behandling sker främst inom ramen för kriminalunderrättelseverksamhet. Enligt äldre synsätt skulle polisens brottsbekämpande verksamhet väsentligen vara reaktivt inriktad. Utgångspunkten var att polisen skulle ägna sig åt att utreda misstankar om konkreta brott och att personer som inte var miss- tänkta för konkreta brott skulle lämnas i fred. Denna utgångspunkt har övergetts och polisen arbetar sedan länge även proaktivt. Detta arbetssätt förutsätter behandling av uppgifter om misstankar mot enskilda personer redan vid en låg grad av misstanke och även om misstanken inte kunnat preciseras till att avse en viss specifik händelse eller gärning. Polisen har utvecklat en modell för ledning och styrning av verksamheten där poli- sens kriminalunderrättelseverksamhet spelar en avgörande roll, polisens underrättelsemodell (PUM). Modellen innebär att de polisiära under- rättelser och de analyser som kriminalunderrättelseverksamheten tar fram ska ligga till grund för ledningens prioriteringar och inriktning av den operativa verksamheten. Kunskapen används för att polisen på alla nivåer

ska kunna göra riktiga prioriteringar och använda adekvata operativa

62

metoder och resurser för olika typer av problem. Som Polisdatautred- Prop. 2009/10:85 ningen konstaterar ligger det i sakens natur att en brottsförebyggande

arbetsmetod innebär en ökad risk för intrång i den enskildes personliga integritet jämfört med ett reaktivt arbetssätt, men att detta måste vägas mot effektiviteten i brottsbekämpningen (SOU 2001:92 s. 113). Rege- ringen delar denna uppfattning och anser vid en samlad bedömning att polisen bör ges ökat utrymme att behandla information i sitt brottsföre- byggande arbete.

Polisen bör generellt ges bättre möjligheter att utnyttja den information och kunskap som finns inom den samlade organisationen. Flera av poli- sens nuvarande register förs lokalt vid respektive polismyndighet och åt- komsten till registren begränsas i regel till tjänstemän vid den egna myn- digheten. Som exempel kan nämnas att polisen i princip endast har till- gång till de brottsanmälningar som gjorts i det egna polisdistriktet, efter- som varje polismyndighet har sitt eget register över brottsanmälningar (Rationell anmälningsrutin; RAR). På samma sätt förekommer det att olika organisatoriska enheter inom en myndighet inte har tillgång till insamlad information på ett effektivt och ändamålsenligt sätt. Samman- taget bör enligt regeringens mening polisen ges bättre möjligheter att ta till vara och tillgängliggöra den samlade informationen inom polisen. Utgångspunkten bör vara att behovet av information ska styra tillgången till uppgifterna. Tillgången ska inte vara beroende av var informationen har samlats in eller lagrats.

Bättre förutsättningar för att samverka i brottsbekämpningen

Från brottsbekämpningssynpunkt är det angeläget att samhällets samlade resurser används rationellt och effektivt. En väl utvecklad samverkan mellan de brottsbekämpande myndigheterna ger bättre förutsättningar att förhindra och klara upp brott, inte minst grova brott. Detta framhålls bl.a. i departementspromemorian Nationell mobilisering mot den grova orga- niserade brottsligheten – överväganden och förslag (Ds 2008:38), i vil- ken lämnas förslag på åtgärder som syftar till att lägga grunden till en effektivare och mer uthållig bekämpning av den grova organiserade brottsligheten.

En utgångspunkt för den nya lagstiftningen måste vara att, med beak- tande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheterna kan få tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna behövs i verk- samheten.

Ett stort antal av remissinstanserna har välkomnat promemorians tyd- liga målsättning att möjliggöra ett utökat och mer effektivt informations- utbyte mellan de brottsbekämpande myndigheterna.

Den grova brottsligheten är också ofta gränsöverskridande. Det inter- nationella polisiära samarbetet är därför av stor betydelse för möjligheten att bekämpa sådan brottslighet. Sverige har i olika internationella över- enskommelser förbundit sig att bistå andra länder med brottsbekämpande åtgärder av skilda slag. En ny reglering av polisens behandling av per- sonuppgifter i den brottsbekämpande verksamheten bör därför ge polisen

63

goda möjligheter att utbyta information inom ramen för det internatio- Prop. 2009/10:85 nella samarbetet.

En utvecklad samverkan är också utgångspunkten för det arbete som sedan mitten av 1990-talet bedrivs av Rådet för rättsväsendets informa- tionsförsörjning (RIF). Arbetet syftar bl.a. till en gemensam säkerhets- och kommunikationslösning mellan myndigheterna i rådet.

Bör promemorians förslag ligga till grund för lagstiftning eller krävs det ytterligare överväganden?

Några remissinstanser kritiserar promemorians förslag. Datainspektio- nen, Sveriges advokatsamfund och Justitiekanslern anser bl.a. att pro- memorian brister i redovisningen av avvägningen mellan verksamhetsin- tressen och integritetsskyddsintressen. Både Datainspektionen och Sveri- ges advokatsamfund förordar att frågorna utreds ytterligare. Några re- missinstanser som i och för sig ställer sig bakom förslaget i stort, bl.a.

Kammarrätten i Stockholm och Säkerhetspolisen, pekar på att det är svårt att överblicka de sammantagna konsekvenserna av förslaget. Andra remissinstanser, bl.a. Rikspolisstyrelsen och Åklagarmyndigheten, anser att promemorians lagförslag är för detaljerat och svårtillgängligt och att det i alltför stor utsträckning begränsar polisens möjlighet att behandla personuppgifter.

Det finns flera skäl till att det är komplicerat att utforma lagstiftning som reglerar behandlingen av personuppgifter i polisens brottsbekäm- pande verksamhet. Polisens verksamhet består av en mängd disparata uppgifter. Polisen hanterar också i stor utsträckning integritetskänslig information. Det är svårt att hitta en optimal balans mellan verksam- hetsintressen och integritetsskyddsintressen. Det är därför inte förvå- nande att de brottsbekämpande myndigheterna å ena sidan och de myn- digheter som har till huvuduppgift att värna den personliga integriteten å den andra har framfört diametralt olika kritiska synpunkter mot förslaget.

I och med att i stort sett all informationshantering inom polisen sker med stöd av datorer och att informationen i stor utsträckning innehåller personuppgifter är det ofrånkomligt att en personuppgiftslag påverkar polisens arbetssätt. En alltför detaljerad och begränsande reglering skulle enligt regeringens mening kunna försämra polisens förutsättningar att be- kämpa brott. Från integritetsskyddssynpunkt är det dock uteslutet att helt överlåta åt polisen att utifrån verksamhetsintressen själv avgöra vilken behandling av personuppgifter som bör få ske.

En annan omständighet som gör lagstiftningsarbetet på området kom- plicerat är den ständigt pågående tekniska utvecklingen. Nya möjligheter att hantera information skapas fortlöpande vilket medför att bl.a. be- greppsbildning snabbt blir inaktuell. Äldre lagstiftning och i viss mån även dataskyddsprinciper utgår t.ex. i stor utsträckning från att person- uppgifter lagras och struktureras i särskilda register för särskilt angivna ändamål. Moderna system skapas inte på detta sätt. Utvecklingen går t.ex. mot att hela aktmaterial behandlas digitalt. En ny lagstiftning på området måste förhålla sig till att det numera finns tekniska möjligheter att lagra mycket stora mängder uppgifter under i stort sett obegränsad tid,

att uppgifterna kan göras tillgängliga genom avancerade sökmotorer och

64

att olika uppgiftssamlingar kan länkas samman på ett otal olika sätt, att uppgifterna kan göras tillgängliga via olika former av mobil utrustning, att insamling och överföring av ljud och bild kan ske digitalt och att uppgifter kan bearbetas i avancerade analyssystem. Det ligger i sakens natur att det inte i detalj går att lagreglera hur polisen och andra myndig- heter ska få hantera information digitalt. Utgångspunkten måste i stället vara att skapa generella bestämmelser till skydd för den personliga integ- riteten.

Frågan är då om det behövs ytterligare beredningsunderlag i detta lag- stiftningsärende, vilket bl.a. Datainspektionen anser. Som underlag för arbetet finns dels Polisdatautredningens betänkande, dels en departe- mentspromemoria som tagits fram inom Justitiedepartementet. Såväl betänkandet som promemorian har remissbehandlats. Vid utarbetandet av departementspromemorian har man övervägt det som framkommit i remissvaren på Polisdatautredningens betänkande. Likaså har betänkan- den och lagstiftning på angränsande områden studerats, t.ex. beträffande Tullverket, Försvarsmakten och Kustbevakningen. Ett flertal bestämmel- ser i promemorians lagförslag svarar mot bestämmelser i motsvarande reglering för dessa myndigheter och förslagets struktur liknar i flera avse- enden bl.a. Tullverkets lagstiftning om behandling av uppgifter i dess brottsbekämpande verksamhet. Det beredningsunderlag som nu finns motsvarar väl det krav som bör ställas på underlaget i ett lagstiftnings- projekt av detta slag. Det saknas därför skäl att inhämta ytterligare be- redningsunderlag. Det kan dock finnas skäl att i annat sammanhang för- söka uppnå större enhetlighet i begreppsbildningen på registerlagstift- ningens område, vilket Sveriges advokatsamfund förordar.

Flera remissinstanser framför uppfattningen att det är svårt att fullt ut överblicka de sammantagna konsekvenserna av en ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Att ställa ett sådant krav på en lagstiftning av detta slag låter sig dock svårligen göras. Komplex lagstiftning måste enligt regeringens mening kunna beslutas och genomföras utan att varje enskildhet kan förutses. Lagrådet har instämt i denna bedömning. Det är emellertid viktigt att lagstiftningen utvärderas, vilket diskuteras i avsnitt 17.3.

Den kritik som framställs av remissinstanserna, både den mer över- gripande och den som rör enskildheter i förslaget, kommer att beröras i de följande avsnitten.

En ny lag om behandling av personuppgifter inom polisen

Personuppgiftslagen gäller generellt för all behandling av personuppgif- ter, såvida det inte finns en särskild registerförfattning för viss behand- ling. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodo- ses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författ- ningsreglering, genom s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag. Register- författningar finns för ett flertal olika myndigheters verksamheter, bl.a.

Prop. 2009/10:85

65

för övriga myndigheter med brottsbekämpande uppgifter. För polisens Prop. 2009/10:85 del utgör bl.a. polisdatalagen en sådan lag.

Det finns inget skäl att nu göra någon annan bedömning när det gäller behovet av en särlagstiftning för polisens behandling av personuppgifter i den brottsbekämpande verksamheten. Det bör alltså även i fortsättningen finnas en särskild lag för sådan behandling. För att bättre tillgodose kra- vet på en effektiv brottsbekämpande verksamhet som också väl tillgodo- ser skyddet för den personliga integriteten bör den nuvarande polisdata- lagen ersättas med en ny lag.

Polisdatautredningen föreslår att den nya lagen i likhet med den nuva- rande ska benämnas polisdatalag, medan promemorian föreslår ett namn som knyter an till benämningarna på de författningar som gäller bl.a. för personuppgiftsbehandling i Tullverkets och Skatteverkets brottsbekäm- pande verksamhet, nämligen behandling av personuppgifter i polisens brottsbekämpande verksamhet. I lagrådsremissen benämns den nya lagen på det sätt som promemorian föreslår. Enligt Lagrådet är den föreslagna rubriken för lång och intetsägande och klargör inte att lagen handlar om registerfrågor. Ett alternativ som Lagrådet förordar är att lagen i likhet med den nuvarande lagen benämns polisdatalag. Regeringen har ingen invändning mot detta, eftersom det är praktiskt med ett kort namn som ändå ger rimlig vägledning om vad lagen handlar om. Då det också finns anledning att utgå från att den nya lagen i vardagligt språkbruk kommer att kallas polisdatalagen framstår den benämningen som lämpligast.

6.2

Lagens syfte och skyddet för den personliga

 

 

 

integriteten

 

 

 

 

 

 

Regeringens förslag: Syftet med denna lag ska vara att ge polisen

 

 

 

möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin

 

 

 

brottsbekämpande verksamhet och att skydda människor mot att

 

 

 

deras personliga integritet kränks vid sådan behandling.

 

 

 

 

 

 

 

Utredningens förslag överensstämmer med promemorians.

 

 

Remissinstanserna har inte yttrat sig särskilt i frågan.

 

 

Promemorians förslag överensstämmer i huvudsak med regeringens.

 

Promemorian föreslår dock en annan utformning av bestämmelsen om

 

lagens syfte.

 

 

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller

 

har inget att invända mot promemorians förslag och bedömning. Några

 

remissinstanser, däribland Kammarrätten i Stockholm, Ekobrottsmyndig-

 

heten och Rikspolisstyrelsen, anser dock att det i författningstexten ut-

 

tryckligen bör anges att lagen, utöver att skydda den personliga integri-

 

teten, också syftar till att främja en effektiv brottsbekämpning.

 

 

Skälen för regeringens förslag: En effektiv och rättssäker brottsbe-

 

kämpning förutsätter att polisen har ett bra verksamhetsstöd i form av en

 

väl fungerande informationsteknik. Polisen måste i olika typer av utred-

 

ningar och undersökningar ha möjlighet att samla in, registrera, behandla

 

och lagra uppgifter av vitt skilda slag, bl.a. om misstänkta, målsägande,

 

vittnen och andra personer. Uppgifter måste också vid behov kunna till-

66

handahållas elektroniskt till ett större antal personer vid en eller flera polismyndigheter eller andra brottsbekämpande myndigheter. Åklagare som leder förundersökningar kan t.ex. ha behov av att elektroniskt få tillgång till uppgifter från polisen. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas elektroniskt med brottsbekämpande myndigheter i andra länder.

Hantering av personuppgifter på det nu beskrivna sättet kan innebära en risk för intrång i den personliga integriteten. Det är viktigt att hitta en väl avvägd balans mellan å ena sidan skyddet för den personliga integri- teten och å andra sidan samhällets rättmätiga krav på att brott förebyggs och förhindras samt att brott utreds och personer som begår brott lagförs. Att brott utreds och att misstänkta lagförs är ett uttryck för att statsmak- terna menar allvar med straffbuden och beaktar brottsoffrens intresse. Intrång i den personliga integriteten måste dock alltid stå i rimlig propor- tion till det intresse som ska tillgodoses med behandlingen av person- uppgifterna.

De grundläggande bestämmelserna till skydd för den personliga integ- riteten finns i regeringsformen och det är i första hand personuppgifts- lagen (1998:204) som ska tillgodose regeringsformens krav i fråga om integritetsskydd i automatiserad personuppgiftsbehandling, se avsnitt 4.1. Personuppgiftslagen kompletteras, såvitt nu är av intresse, av polisdata- lagen (1998:622). Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i övriga registerlagar som reglerar polisens register, liksom i offentlighets- och sekretesslagen.

Uttrycket personlig integritet är inte definierat vare sig i lag eller annan författning. Ett sätt att beskriva innebörden av detta är dock att skilja mellan olika former av handlanden som kan anses kränka den personliga integriteten. Man kan då sortera in handlanden som utgör intrång i integ- riteten i tre huvudkategorier: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan mening; 2) insamlande av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan använd- ning av uppgifter om en persons privata förhållanden (se Stig Ström- holm, SvJT 1971 s. 695 och Individens skyddade personlighetssfär i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980, samt Integritets- skyddskommitténs delbetänkande Skyddet för den personliga integrite- ten. Kartläggning och analys. Del 1 [SOU 2007:22] s. 52 f.). Ett annat sätt att beskriva begreppet är att skilja mellan olika former av integritet med utgångspunkt från bl.a. de grundläggande fri- och rättigheterna i 2 kap. regeringsformen (se t.ex. SOU 1984:54 s. 42). Med denna ut- gångspunkt utgör regler om dataskydd bestämmelser som tar sikte på den personliga integriteten när det gäller respekten för privatlivet. Bestäm- melser om skydd för privatlivet kan också sägas vara inriktade på att tillvarata integriteten i ideell mening (se SOU 1992:84 s. 187). Gemen- samt för beskrivningarna synes vara att de alla utgår från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den en- skilde bör vara tillförsäkrad (prop. 2005/06:173 s. 15).

Även om det alltså inte är möjligt att entydigt definiera vad som avses med begreppet personlig integritet torde det stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Sådana faktorer är arten av de personuppgifter som ska få behandlas,

Prop. 2009/10:85

67

vilka som ska ha tillgång till uppgifterna – genom direktåtkomst eller på annat sätt –, hur sökning ska få ske, hur lång tid personuppgifterna ska få sparas samt vilken kontroll av verksamheten som finns. Ju fler uppgifter som får behandlas, ju större möjligheter till sammanställningar och sök- ningar som ges och ju längre tid som uppgifterna får sparas, desto större är, typiskt sett, risken för integritetsintrång. Ju större risken för intrång är, desto mer angeläget måste ändamålet med personuppgiftsbehandlingen vara.

I 2 kap. 12 § andra stycket regeringsformen föreskrivs en proportiona- litetsprincip som innebär att viss rättighetsinskränkande lagstiftning ald- rig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Även om bestämmelsen inte gäller för 2 kap. 3 § andra stycket regeringsformen, som reglerar integritetsskyddet vid automatisk behandling av personuppgifter, anses det att en proportionalitetsprincip i vid mening gäller för all lagstiftning som inskränker de grundläggande fri- och rättigheterna. En proportionalitetsprincip finns också i Europa- konventionens artikel 8, som reglerar rätten till skydd för privat- och familjeliv.

Mot bakgrund av det ovan sagda måste den närmare utformningen av de nya bestämmelserna om behandling av personuppgifter i polisens brottsbekämpande verksamhet föregås av en avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intres- set av skydd för den personliga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella att behandla ofta är särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. Blotta det förhållandet att omfattande uppgifter om en enskilds privata förhållanden kan komma att sammanställas och göras tillgängliga inom polisens verksamhet kan uppfattas som ett integ- ritetsintrång.

I de följande avsnitten diskuteras ingående hur polisens behov av att kunna behandla vissa uppgifter lämpligen bör vägas mot behovet av skydd för den personliga integriteten. I dessa avsnitt behandlas också den kritik som bl.a. Datainspektionen framför mot promemorians förslag när det gäller skyddet för den personliga integriteten. Det finns dock skäl att redan här redovisa några allmänna utgångspunkter för övervägandena.

Det är till att börja med viktigt att den nya lagen tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Vidare bör det, på samma sätt som nu, finnas särskilda bestämmelser som begränsar möj- ligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter om någons ras eller etniska ursprung, politiska åsikter, religiösa eller filoso- fiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Risken för otillbörliga intrång i den personliga integriteten är självfallet större när uppgifter registreras och lagras på ett sådant sätt att flera per- soner vid en eller flera myndigheter har möjlighet att ta del av dem, än när en enskild tjänsteman behandlar uppgifter vid sin egen dator utan att någon annan har åtkomst till uppgifterna. Det bör därför i lagen införas mera inskränkande bestämmelser för sådan behandling av personuppgif- ter som innebär att uppgifterna görs åtkomliga för en större krets – görs gemensamt tillgängliga – i den brottsbekämpande verksamheten än för

Prop. 2009/10:85

68

behandling av personuppgifter som inte har gjorts gemensamt tillgäng- liga.

En förutsättning för att polisen ska kunna bedriva ett effektivt brottsfö- rebyggande arbete är att polisen får behandla uppgifter om personer som inte är misstänkta för något konkret brott, men ändå misstänks ägna sig åt brottslig verksamhet. Att ge polisen möjlighet att bygga upp samlingar av uppgifter om enskilda, utan att det finns någon anknytning till ett visst brott, kan emellertid inge betänkligheter från integritetssynpunkt. En ut- gångspunkt bör därför vara att det bör gälla större restriktivitet för be- handlingen av uppgifter som inte har samband med ett konkret brott än för behandlingen av uppgifter som behövs för att utreda och beivra ett visst brott.

I ett integritetsskyddsperspektiv är det också viktigt att särskilja olika typer av uppgifter. Det är särskilt viktigt att det inte uppstår oklarheter om huruvida den person som en behandlad uppgift rör är misstänkt eller inte. Detta kommer bl.a. till uttryck i Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn (se avsnitt 4.2.3). En utgångspunkt för den nya lagstiftningen bör vara att det ska framgå huruvida behandlingen sker för att personen är misstänkt eller inte. Likaså bör tillförlitligheten av behandlade uppgifter kunna utläsas, exempelvis om informationen består av kontrollerade fakta eller av en- dast antaganden eller obekräftade påståenden.

När det bedöms vilket intrång i den personliga integriteten som olika former av behandling av personuppgifter innefattar, finns det anledning att särskilt beakta i vilken utsträckning uppgifterna kan användas för sökning och sammanställning. Ju större möjligheter det finns att söka och sammanställa insamlade och lagrade uppgifter, desto större är risken för att behandlingen av personuppgifter leder till intrång i de registrerades personliga integritet. Mot denna bakgrund bör utgångspunkten vara att reglerna utformas så att endast en viss, begränsad, information erhålls initialt när namn eller personnummer eller andra liknande identitetsbe- teckningar, som kan hänföras till en bestämd individ, används som sök- begrepp i polisens brottsbekämpande verksamhet.

Som redan nämnts måste de brottsbekämpande myndigheterna kunna utbyta information sinsemellan och, i viss utsträckning, lämna informa- tion till andra myndigheter. För att kunna utbyta uppgifter på ett effektivt och rättssäkert sätt behöver myndigheterna kunna utnyttja tillgängliga tekniska hjälpmedel. Av särskild betydelse är möjligheten att vid behov snabbt kunna få tillgång till uppgifter hos andra myndigheter på automa- tiserad väg, exempelvis genom direktåtkomst. En sådan möjlighet kan dock innebära ökade risker för integritetsintrång. Det beror framför allt på att system för direktåtkomst normalt medför att antalet personer som har tillgång till uppgifterna blir större. För att förhindra att uppgifter blir tillgängliga i andra myndigheters verksamhet även i situationer när detta inte är nödvändigt av verksamhetsskäl i det enskilda fallet bör tillgången till automatiserad information begränsas så att endast den som behöver en viss uppgift för att kunna fullgöra sina arbetsuppgifter kan få tillgång till den genom direktåtkomst.

Från brottsbekämpningssynpunkt kan det ibland vara av värde att upp- gifter bevaras under en längre tid. För den enskilde kan emellertid ett sådant bevarande innebära att integritetsintrånget består. Att uppgifterna

Prop. 2009/10:85

69

bevaras under lång tid medför också att den totala mängden information Prop. 2009/10:85 om en person kan komma att öka, vilket kan vara negativt från integ- ritetsskyddssynpunkt. Det är därför nödvändigt att utforma den nya

lagens bestämmelser om gallring så att personuppgifter inte bevaras under längre tid än vad som behövs.

I promemorian föreslås att bestämmelsen som anger lagens syfte ut- formas på samma sätt som motsvarande bestämmelse i personuppgiftsla- gen. Några remissinstanser, bl.a. Kammarrätten i Stockholm, Ekobrotts- myndigheten och Rikspolisstyrelsen, anser att det bör förtydligas att la- gens syfte inte endast är att skydda den personliga integriteten vid per- sonuppgiftsbehandling inom polisen utan även att främja en effektiv brottsbekämpning. Som nämnts förutsätter samhällets rättmätiga krav på ett rättssäkert och effektivt brottsbekämpande arbete bl.a. att polisen ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt med hjälp av väl fungerande informationsteknik. Samtidigt måste skyddet av den enskildes personliga integritet värnas. Båda dessa utgångspunkter är enligt regeringens mening väsentliga för den nya lagen. Mot denna bak- grund bör det i lagen komma till uttryck att dess övergripande syfte inte bara är att skydda den enskildes personliga integritet utan även att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i den brottsbekämpande verksamheten. I lagrådsremissen föreslås en bestämmelse där båda dessa syften anges. Lagrådet har invänt att den föreslagna formuleringen av bestämmelsen ger intryck av att lagen i första hand är avsedd att förstärka integritetsskyddet och endast i andra hand att ge polisen möjligheter att på ett effektivt sätt utnyttja person- uppgifter i sin brottsbekämpande verksamhet. Som framgått ovan anser regeringen att båda perspektiven är väsentliga, utan att ange någon in- bördes ordning mellan dessa. Regeringen godtar emellertid Lagrådets invändning, varför bestämmelsen bör formuleras om med beaktande av Lagrådets synpunkter.

6.3

Lagens tillämpningsområde

 

 

 

 

 

 

Regeringens förslag: Den nya lagen ska gälla vid behandling av per-

 

 

 

sonuppgifter i polisens brottsbekämpande verksamhet vid Rikspolis-

 

 

 

styrelsen, polismyndigheterna och Ekobrottsmyndigheten. Den per-

 

 

 

sonuppgiftsbehandling som sker med stöd av de särskilda lagarna om

 

 

 

belastningsregister, misstankeregister, Schengens informationssystem

 

 

 

samt passagerarregister ska dock inte omfattas av den nya lagen.

 

 

 

Lagen ska inte heller gälla för personuppgiftsbehandling i polisens

 

 

 

vapenregister eller i det allmänna spaningsregistret.

 

 

 

 

Lagen ska innehålla vissa bestämmelser om behandling av uppgif-

 

 

 

ter om juridiska personer.

 

 

 

 

 

 

 

Utredningens förslag överensstämmer delvis med promemorians. Ut-

 

redningen föreslår dock inte att lagen ska omfatta polisverksamhet vid

 

Ekobrottsmyndigheten eller behandling av uppgifter om juridiska perso-

 

ner. Utredningen föreslår att lagen, liksom polisdatalagen, ska omfatta all

 

den

personuppgiftsbehandling som faller in under 2 § 1–3 polislagen

70

 

 

 

 

(1984:387). Utredningen föreslår dock ett generellt undantag för insam- ling genom bild och ljud.

Remissinstanserna har i huvudsak inte haft någon invändning mot ut- redningens förslag i denna del. Rikspolisstyrelsen har dock ansett att den nya lagen ska omfatta all polisverksamhet enligt 2 § polislagen, dvs. även punkterna 4 och 5.

Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorian undantar dock insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning från lagens tillämpningsområde. Promemorian behandlar inte frågan om lagens tillämpning på vapenre- gistren.

Remissinstanserna: Majoriteten av remissinstanserna har inga invänd- ningar mot promemorians förslag. Några remissinstanser, däribland

Kammarrätten i Stockholm och Tullverket, efterlyser dock en närmare motivering till varför insamling av uppgifter genom bl.a. hemliga tvångs- medel har undantagits från lagens tillämpningsområde. Rikspolisstyrelsen anser att lagen inte bör gälla vid något slag av insamling av personupp- gifter i form av bild och ljud förrän åtgärder vidtagits för att göra upp- gifterna tillgängliga i presentabelt skick. Styrelsen anser vidare att be- skrivningen i promemorian av polisens brottsbekämpande verksamhet inte är helt korrekt, bl.a. med hänsyn till att polisen inte längre bedriver någon allmän övervakningsverksamhet. Kustbevakningen påpekar att det är svårt att dra en gräns mellan ordningshållande uppgifter och brottsbe- kämpande verksamhet. Åklagarmyndigheten och Rikspolisstyrelsen ifrå- gasätter om behandling av uppgifter om juridiska personer ska omfattas av lagen.

Statens kriminaltekniska laboratorium anser att den nya lagen även bör gälla för laboratoriet eftersom myndigheten ingår i polisen. Säkerhets- polisen anser att det bör klargöras när myndigheten omfattas av lagens bestämmelser och avstyrker att myndigheten i vissa fall inte direkt anges i bestämmelserna utan i stället har ställning som polismyndighet alterna- tivt Rikspolisstyrelsen.

Skälen för regeringens förslag

Myndigheter som ska omfattas av lagen

Polisdatalagen gäller vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Motsvarande bör gälla för den nya lagen. Statens kriminaltekniska laboratorium anser att även laboratoriet bör omfattas av den nya lagen eftersom det ingår i polisen.

Statens kriminaltekniska laboratorium är en del av polisväsendet och är en självständig myndighet med Rikspolisstyrelsen som chefsmyndighet. Laboratoriets huvudsakliga uppdrag är att utföra kriminaltekniska under- sökningar som föranleds av misstanke om brott. Myndigheten ansvarar även för forskning, utveckling, information, utbildning samt stöd och service inom hela det kriminaltekniska området. Vid bedömningen av om myndigheten ska omfattas av lagen bör det beaktas dels att verksamheten inte är brottsbekämpande i vedertagen mening, dels att myndighetens

Prop. 2009/10:85

71

personal inte är polismän utan specialister inom sina respektive verksam- hetsområden och inte har traditionella polisiära uppgifter eller befogen- heter utan arbetar som en sorts sakkunnigt biträde och expertorgan åt polismyndigheterna. Detta talar emot att laboratoriet ska omfattas av en reglering som motiveras av de särskilda krav som ställs på personupp- giftsbehandling i polisens brottsbekämpande verksamhet. Det är vidare viktigt att betona att när laboratoriet hanterar DNA-registren i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen är laboratoriet skyldigt att följa aktuella bestämmelser i den nya lagen. Utöver hanteringen av DNA-registren är den personuppgiftsbehandling som sker vid labora- toriet relativt begränsad och åtkomsten till behandlade uppgifter i huvud- sak förbehållen dess egen personal. Mot denna bakgrund delar regeringen den bedömning som både Polisdatautredningen och promemorian gör att lagen inte bör omfatta Statens kriminaltekniska laboratorium. Med hän- syn till bl.a. den snabba utvecklingen på området för kriminalteknik kan det emellertid finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid laboratoriet.

Säkerhetspolisen anser att det bör tydliggöras vilka av lagens bestäm- melser som är tillämpliga på dess verksamhet. Inledningsvis kan konsta- teras att Säkerhetspolisen utgör en del av Rikspolisstyrelsen. Det saknas därför skäl att särskilt omnämna Säkerhetspolisen i författningstexten annat än när bestämmelserna tar sikte på just den verksamhet som be- drivs där. Behandlingen av personuppgifter vid Säkerhetspolisen bör regleras i ett särskilt kapitel i den nya lagen, vilket utvecklas i avsnitt 16. I bestämmelserna i det kapitlet bör Säkerhetspolisen naturligtvis nämnas särskilt eftersom bestämmelserna endast tar sikte på behandlingen av personuppgifter vid Säkerhetspolisen. I kapitlet bör det hänvisas till öv- riga bestämmelser i den nya lagen som ska vara tillämpliga på Säker- hetspolisens behandling av personuppgifter.

De kapitel i lagen som reglerar personuppgiftsbehandling vid polisen i övrigt föreslås bl.a. innehålla bestämmelser som reglerar möjligheten att behandla uppgifter för att tillhandahålla information till andra. Det rör sig om bestämmelser om sekundära ändamål, sekretessbrytande bestämmel- ser och bestämmelser om direktåtkomst. I sådana bestämmelser om- nämns mottagande myndigheter, t.ex. de myndigheter som får beviljas direktåtkomst. Eftersom exempelvis en polismyndighet bör kunna lämna ut uppgifter till Rikspolisstyrelsen och bevilja myndigheten direktåt- komst måste Rikspolisstyrelsen anges som mottagare i vissa bestämmel- ser.

I sådana bestämmelser som reglerar t.ex. vilka myndigheter som kan vara mottagare av personuppgifter saknas det skäl att nämna Säkerhets- polisen särskilt, eftersom den utgör en del av Rikspolisstyrelsen. Av 7 § polislagen följer att när Rikspolisstyrelsen leder polisverksamhet ska vad som i lag eller annan författning föreskrivs om polismyndighet i tillämp- liga delar gälla även Rikspolisstyrelsen. Detta innebär att Säkerhetspoli- sen när den som en del av Rikspolisstyrelsen leder polisverksamhet för att förebygga och avslöja brott omfattas av begreppet polismyndighet i bestämmelser som anger polismyndighet som mottagande myndighet. I författningskommentaren till de aktuella bestämmelserna utvecklas detta ytterligare. I sammanhanget bör understrykas att det är polisen i övrigt,

Prop. 2009/10:85

72

och inte Säkerhetspolisen, som ska tillämpa de aktuella bestämmelserna Prop. 2009/10:85 och som har att bedöma bl.a. i vilken utsträckning som Säkerhetspolisen

ska medges direktåtkomst.

Polisverksamhet som ska omfattas av lagen

I 1 § första stycket polisdatalagen sägs att lagen gäller vid behandling av personuppgifter i polisens verksamhet för att (1) förebygga brott och andra störningar av den allmänna ordningen och säkerheten, (2) övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat, eller (3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Lagens tillämpningsområde motsvarar polisens uppgifter som de beskrivs i 2 § 1–3 polislagen. Polis- datalagen omfattar således inte personuppgiftsbehandling inom sådan polisverksamhet som faller under 2 § 4 och 5 polislagen, dvs. verksamhet som består i att lämna allmänheten skydd, upplysningar och annan hjälp samt annan verksamhet som ankommer på polisen enligt särskilda be- stämmelser. Sådan personuppgiftsbehandling regleras av bestämmelserna i personuppgiftslagen.

Polisdatautredningen föreslår att den nya lagen ska ha samma tillämp- ningsområde som polisdatalagen, dvs. omfatta polisens uppgifter som de beskrivs i 2 § 1–3 polislagen. Promemorian väljer en annan lösning och föreslår att lagen ska vara tillämplig i polisens brottsbekämpande verk- samhet, vilket enligt promemorian innebär ett något snävare tillämp- ningsområde än det nuvarande. Ett tredje alternativ skulle kunna vara att låta lagen omfatta all personuppgiftsbehandling i polisens verksamhet.

Vid valet mellan dessa alternativ bör det beaktas vilka omständigheter som gör att personuppgiftslagens allmänna regler inte är ändamålsenliga vid personuppgiftsbehandling i polisiär verksamhet. Här finns det anled- ning att peka på flera olika förhållanden. För det första är det nödvändigt att i polisiär verksamhet behandla en stor mängd uppgifter som, typiskt sett, är känsliga till sin natur och inte bör ges en vidare spridning. För det andra gör sig särskilt starka samhällsintressen gällande inom delar av polisens verksamhet, vilket medför att sedvanliga avvägningar mellan berörda intressen i viss mån måste göras på ett sätt som tillåter större intrång i integriteten än vad som annars hade kunnat tillåtas. Omständig- heter av detta slag kan göra det befogat med särskilda – från personupp- giftslagen avvikande – bestämmelser om personuppgiftsbehandling. Det sagda gäller dock i varierande grad beträffande olika delar av polisens verksamhet. Vidare ska det beaktas att svensk lagstiftning måste vara förenlig med dataskyddsdirektivet inom dess tillämpningsområde. I den utsträckning polisens verksamhet som den beskrivs i 2 § polislagen om- fattas av gemenskapsrätten är det därför nödvändigt att säkerställa att lagen uppfyller de krav som direktivet ställer upp. I dataskyddsdirekti- vets artikel 3.2 undantas från direktivets tillämpningsområde bl.a. be- handling av personuppgifter som rör allmän säkerhet, statens säkerhet och statens verksamhet på straffrättens område. För att uppfylla direkti- vets krav bör personuppgiftslagen tillämpas på verksamhet som inte är undantagen från direktivets tillämpningsområde.

73

Behovet av en särreglering av behandlingen av personuppgifter är tyd- ligast på det brottsbekämpande området. I annan polisverksamhet, t.ex. tillståndsgivning av olika slag, är behovet av särregler i förhållande till personuppgiftslagen litet eller obefintligt. Det skulle i och för sig ha ett visst praktiskt värde om all personuppgiftsbehandling inom polisen reglerades av en och samma lag, eftersom man därigenom skulle undvika vissa gränsdragningsproblem. Något mer påtagligt behov av en sådan samlad reglering har dock inte framkommit. Det är inte heller säkert att de begränsningar i personuppgiftsbehandlingen som bör finnas i den nya lagen skulle vara ändamålsenliga för all polisiär verksamhet.

Polisdatalagen utgår från 2 § polislagen vid beskrivningen av lagens tillämpningsområde. I den paragrafen finns en uppräkning av polisens uppgifter som tar sin utgångspunkt i polisens funktioner. Vid tillkomsten av 2 § polislagen var målsättningen att beskriva uppgifterna på ett sätt som bättre skulle överensstämma med den verksamhetsplanering som tillämpades inom polisväsendet (prop. 1983/84:111 s. 52). Då indelades polisens arbetsuppgifter i huvuduppgifterna brottsförebyggande verk- samhet, övervakningsverksamhet, utredningsverksamhet och service- verksamhet. Serviceverksamheten kom till uttryck i 2 § 4 och 5 och övrig verksamhet i 2 § 1–3 polislagen.

Även om polisens arbetsuppgifter fortfarande i allt väsentligt är de- samma som vid polislagens tillkomst så har beskrivningen av uppgifterna förändrats. Som Rikspolisstyrelsen påtalar nämns inte övervakningsverk- samhet längre som ett självständigt verksamhetsområde i polisens verk- samhetsplanering.

Det kan således konstateras att 2 § polislagen bygger på en indelning av polisens verksamhet som polisen delvis har frångått. Detta talar mot att i den nya lagen beskriva lagens tillämpningsområde genom att återge punkterna i 2 § polislagen. Eftersom behovet av särregler i förhållande till personuppgiftslagen är tydligast när det gäller den brottsbekämpande verksamheten bör lagens tillämpningsområde vara behandling av person- uppgifter i sådan verksamhet. Motsvarande lösning har valts för Tullver- kets brottsbekämpande verksamhet.

Med brottsbekämpande verksamhet avses här verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott. Detta bör komma till uttryck i den nya lagens ändamålsbestämmelser. Frågan är då vilka polisuppgifter som ryms inom dessa ändamål och därmed bör anses utgöra brottsbekämpande verksam- het i detta sammanhang. När denna bedömning görs finns det skäl att utgå från beskrivningen av polisens uppgifter i 2 § polislagen, trots att polisen numera tillämpar en något annan indelning av arbetsuppgifterna.

Till de uppgifter som avses i 2 § 4 och 5 polislagen hör bl.a. hjälpåt- gärder inom trafiken, medverkan vid katastrofer och liknande händelser, t.ex. biträde enligt räddningstjänstlagen (punkten 4). Hit hör också ålig- ganden av skilda slag inom området för offentlig förvaltning, t.ex. till- stånds- och tillsynsärenden av olika slag (avseende exempelvis vapen, sprängämnen, offentliga tillställningar och nyttjande av offentlig plats), passärenden och ärenden om delgivning eller annan handräckning (punkten 5). Hit räknas även vissa verkställighetsåtgärder på kriminalvår- dens och socialtjänstens område. Både Polisdatautredningen och prome- morian anser att det i dessa fall inte finns något tydligt behov av särregler

Prop. 2009/10:85

74

i förhållande till personuppgiftslagen. Några skäl att göra en annan be- dömning har inte framkommit. De nämnda verksamheterna kan inte heller i egentlig bemärkelse anses utgöra brottsbekämpande verksamhet och bör således inte omfattas av lagens tillämpningsområde.

Nästa fråga är om personuppgiftsbehandling i anslutning till alla de uppgifter som omfattas av 2 § 1–3 polislagen, i likhet med vad som gäller enligt polisdatalagen, bör omfattas av den nya lagen eller om punkterna inrymmer uppgifter som inte bör betraktas som brottsbekäm- pande i detta sammanhang.

I 2 § 1 och 2 polislagen används begreppet allmän ordning och säker- het. Begreppet, som under lång tid har använts i polisförfattningar, är vittomfattande och svårdefinierat. Enligt bestämmelserna kan den all- männa ordningen och säkerheten störas både genom brott och på andra sätt. Sådana polisuppgifter som innebär att polisen förebygger, hindrar och ingriper mot andra störningar av den allmänna ordningen och säker- heten än som innefattar brott kan inte anses utgöra brottsbekämpande verksamhet i det här sammanhanget. Detsamma gäller övervakning av den allmänna ordningen och säkerheten som inte syftar till att förebygga brott. Rikspolisstyrelsen framhåller att polisen inte längre bedriver någon allmän övervakningsverksamhet utan att all yttre verksamhet antingen är planlagd brottsförebyggande eller brottsutredande verksamhet.

Trots att polisen inte längre har en särskild verksamhetsgren som be- nämns övervakning eller ordningshållande verksamhet ingår sådana upp- gifter likväl i polisens arbetsuppgifter. De renodlade ordningsuppgifterna är numera inte lika tydliga som förut. Det åligger visserligen polisen att förebygga och ingripa mot störningar av den allmänna ordningen vid stora evenemang, men sådana störningar utgör inte sällan olika straffbara beteenden. Vidare har polisen till uppgift att utföra trafikövervakning, men då i regel med fokus på regelefterlevnad i fråga om bl.a. hastig- hetsbegränsningar. Utanför det brottsbekämpande området faller däremot uppgiften att planera och övervaka särskilda transporter, t.ex. i samband med statsbesök. Det ligger i sakens natur, som Kustbevakningen påpekar, att det är svårt att dra en tydlig gräns mellan ordningshållande uppgifter och brottsbekämpning. Detta beror på att övervakning och ordnings- hållande verksamhet även kan syfta till att förebygga och ingripa mot brott samt att sådan verksamhet ofta kan övergå i brottsbekämpning. Vid en slumpvis utförd trafiknykterhetskontroll, som ju i någon mening också är brottsförebyggande, kan exempelvis misstanke om brott eller brottslig verksamhet uppstå liksom vid polisens ordningshållande arbete under stora evenemang. Det skulle dock föra för långt att hävda att den mer renodlade övervakning och ordningshållande verksamhet som polisen bedriver ska betraktas som brottsbekämpande och därmed omfattas av den nya regleringen av behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. Av det sagda framgår att vissa gräns- dragningsproblem mellan brottsbekämpande och icke brottsbekämpande verksamhet kan uppstå, men dessa ska inte överdrivas. Polisen måste alltid i sitt arbete i det enskilda fallet ta ställning till syftet med pågående verksamhet eftersom detta har betydelse för vilka befogenheter polisen har enligt bl.a. bestämmelserna i 10–24 d §§ polislagen.

Prop. 2009/10:85

75

Vissa uppgifter som omfattas av 2 § 1–3 polislagen kan således inte anses utgöra brottsbekämpande verksamhet och bör därmed inte omfattas av den nya lagens tillämpningsområde.

Personuppgiftsbehandling med stöd av särskilda författningar

Utgångspunkten är att den nya lagen ska omfatta all behandling av per- sonuppgifter i polisens brottsbekämpande verksamhet. Undantag bör emellertid göras för vissa register.

Som både Polisdatautredningen och promemorian föreslår bör den nya polisdatalagen inte omfatta personuppgiftsbehandling som sker med stöd av lagarna om belastningsregister, misstankeregister, Schengens informa- tionssystem samt passagerarregister. Dessa lagar har väl avgränsade tillämpningsområden och några påtagliga tillämpningssvårigheter eller problem med en särreglering har inte framkommit. Inte heller den nuva- rande polisdatalagen omfattar personuppgiftsbehandling med stöd av nämnda författningar.

Varken Polisdatautredningen eller promemorian behandlar frågan om den nya lagens tillämpning på polisens vapenregister som förs med stöd av 2 kap. 17–21 §§ vapenlagen (1996:67). Enligt 2 kap. 20 § vapenlagen ska vapenregistren ha till ändamål att dels ge information om sådana uppgifter som behövs för att förebygga, upptäcka och utreda brott med anknytning till skjutvapen, dels att underlätta handläggningen av frågor om tillstånd enligt vapenlagen. Registren förs således delvis för brottsbe- kämpande ändamål. I förarbetena till bestämmelserna gjordes därför be- dömningen att – utöver personuppgiftslagen – polisdatalagens allmänna bestämmelser skulle gälla för behandlingen av personuppgifter i registren (prop. 1998/99:36 s. 12 och 20). I propositionen uttalades att detta i prak- tiken endast skulle innebära att vissa av polisdatalagens bestämmelser om uppgiftsskyldighet och utlämnande av uppgifter skulle bli tillämpliga (a. prop. s. 20).

Det saknas skäl att föreslå någon materiell förändring av regleringen av vapenregistren. En annan och tydligare lagteknisk konstruktion bör dock väljas. De huvudsakliga bestämmelserna om vapenregistren bör även fortsättningsvis finnas i vapenlagen och kompletteras av bestämmelserna i personuppgiftslagen. Den nya polisdatalagen bör inte gälla för behand- lingen av personuppgifter i vapenregistren annat än om en särskild hän- visning till den lagen görs i vapenlagen. För att åstadkomma en överens- stämmelse med vad som redan gäller bör det i vapenlagen tas in en sådan hänvisning till de bestämmelser i den nya polisdatalagen om uppgifts- skyldighet och utlämnande av uppgifter som motsvarar gällande regle- ring.

Andra register som inte heller behandlas av Polisdatautredningen eller promemorian är registret över förelägganden av ordningsbot och registret över uppbörd i ärenden om strafförelägganden. Dessa register förs av Rikspolisstyrelsen med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot respektive förordningen (1997:902) om register över strafförelägganden och utgör huvudsakligen ett stöd för polisen vid verkställighet av påföljderna föreläggande av ordningsbot och strafföreläggande. Registren har således primärt ett annat ändamål än

Prop. 2009/10:85

76

brottsbekämpning och faller därmed utanför den nya lagens tillämp- ningsområde.

Den nya lagen bör inte heller omfatta behandling av personuppgifter i polisens allmänna spaningsregister. Den frågan behandlas i avsnitt 19.

Insamling genom bild- och ljudupptagning

Promemorian föreslår ett undantag från den nya lagens tillämpningsom- råde vad gäller insamling av personuppgifter genom hemlig teleavlyss- ning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning. Bl.a. Kammarrätten i Stockholm och Tull- verket efterlyser skälen för undantaget. Rikspolisstyrelsen anser att un- dantaget bör utsträckas till att gälla all insamling av personuppgifter i form av bild och ljud och hänvisar till att Polisdatautredningen föreslår ett sådant generellt undantag. Styrelsen pekar särskilt på några bestäm- melser i promemorians förslag som skulle bli svåra att tillämpa vid sådan insamling. Som exempel nämner styrelsen att personuppgifter som görs eller har gjorts gemensamt tillgängliga ska förses med en särskild upp- lysning om det närmare ändamålet med behandlingen och om personen som uppgiften avser inte är misstänkt för visst brott eller för att ha utövat eller för att komma att utöva allvarlig eller systematisk brottslig verk- samhet.

Inledningsvis kan det konstateras att promemorians förslag skiljer sig från Polisdatautredningens bl.a. vad gäller uppdelningen mellan gemen- samt tillgängliga uppgifter och andra uppgifter. Enligt promemorians för- slag torde insamlingen av uppgifter och den initiala lagringen av materi- alet i regel komma att omfattas endast av de grundläggande data- skyddsbestämmelserna och inte av de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter. Starka skäl talar för att de grund- läggande dataskyddsbestämmelserna bör gälla även vid insamling av uppgifter. Uppgifter bör t.ex. bara få behandlas om det är lagligt, om det sker på ett korrekt sätt och fler uppgifter bör inte få samlas in än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det ökade integritetsskydd som uppnås genom att låta lagens bestämmelser också gälla för insamlingen av uppgifter uppväger de eventuella problem som kan uppstå för polisen i fråga om polisens möjligheter att använda digital teknik. Något generellt undantag för insamling av uppgifter genom bild- och ljudupptagning bör således inte införas. Som Rikspolisstyrelsen förordar bör dock bestämmelsen i 23 § personuppgiftslagen (1998:204), som föreskriver en skyldighet att informera den person som uppgifter samlas in från om behandlingen, inte gälla vid sådan insamling. Den frågan behandlas i avsnitt 6.4.2. Rikspolisstyrelsen anför även synpunk- ter på svårigheten att tillämpa bestämmelserna om särskilda upplysningar och gallring på bild- och ljudupptagningar. Dessa frågor tas upp i avsnitt 10 och 14.3.

När det gäller insamling av personuppgifter genom hemlig teleavlyss- ning, hemlig teleövervakning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning finns särskilda bestämmelser i rättegångsbal- ken, lagen (1998:150) om allmän kameraövervakning, lagen (2007:978) om hemlig rumsavlyssning, lagen (2007:979) om åtgärder för att förhind-

Prop. 2009/10:85

77

ra vissa särskilt allvarliga brott och lagen (2008:854) om åtgärder för att Prop. 2009/10:85 utreda vissa samhällsfarliga brott. Särskilda bestämmelser finns dess-

utom i lagen (1988:97) om förfarandet hos kommunerna, förvaltnings- myndigheterna och domstolarna under krig eller krigsfara m.m. Nämnda författningar reglerar framför allt förutsättningarna för insamlingen av uppgifter men det finns även bestämmelser som begränsar användningen av de insamlade uppgifterna, bl.a. användningen av överskottsinforma- tion. Bestämmelserna i de aktuella lagarna syftar till att värna den enskil- des integritet vid användningen av hemliga tvångsmedel och allmän kameraövervakning. Det behövs dock kompletterande integritetsskyd- dande bestämmelser som tar sikte på behandlingen av personuppgifter. Behovet av sådana kompletterande bestämmelser synes emellertid inte vara särskilt stort vad gäller den del av behandlingen som avser insam- lingen av uppgifter, eftersom bestämmelserna i den särskilda lagstift- ningen är detaljerade i detta avseende. Detta talar i och för sig för att undanta insamlingen från den nya lagens tillämpningsområde, vilket också föreslås i promemorian. Eftersom den särskilda lagstiftningen på området har andra syften och inte i alla avseenden beaktar de integritets- aspekter som den nya lagen ska värna, bör emellertid även insamlingen av uppgifter genom hemliga tvångsmedel och, i förekommande fall, allmän kameraövervakning omfattas av den nya lagen. Insamlingen av uppgifter genom hemlig teleövervakning, hemlig teleavlyssning, hemlig rumsavlyssning samt allmän och hemlig kameraövervakning bör därför inte undantas från den nya lagens tillämpningsområde. Något sådant undantag finns inte heller i lagen om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet.

Juridiska personer

I promemorian föreslås att behandling av uppgifter om juridiska personer ska omfattas av vissa grundläggande bestämmelser i den nya lagen, bl.a. bestämmelserna om tillåtna ändamål, sökbegränsningar och gallring. Motsvarande bedömning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (se prop. 2004/05:164 s. 55). Några remissinstanser ifrågasätter dock om ett av huvudsyftena med den nya lagstiftningen, nämligen att skydda den per- sonliga integriteten, verkligen gör sig gällande i fråga om juridiska per- soner. Rikspolisstyrelsen pekar på att juridiska personer ofta används som brottshjälpmedel och att det därför bl.a. är viktigt att kunna söka på firma eller organisationsnummer för att hitta företag som kan antas ha samband med brottslig verksamhet. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer bör enligt rege- ringens mening vissa grundläggande bestämmelser tillämpas även på juridiska personer. Det kan dessutom vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fy- siska personer som är ägare av eller ställföreträdare för dessa. Starka verksamhetsskäl talar dock för att undanta juridiska personer från be- stämmelserna om sökbegränsningar. Den frågan tas upp i avsnitt 11.

78

6.4

Den nya lagen och personuppgiftslagen

Prop. 2009/10:85

6.4.1Förhållandet till personuppgiftslagen

Regeringens förslag: Den nya lagen ska gälla i stället för personupp- giftslagen. I lagen hänvisas till de bestämmelser i personuppgiftsla- gen som ska gälla vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet.

Utredningens förslag: Den nya lagen ska vara heltäckande och upp- repa de bestämmelser i personuppgiftslagen som ska tillämpas i polisens verksamhet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft någon invändning mot det. Dåvarande Kriminalvårdssty- relsen har ställt sig tveksam till förslaget och menat att det är lämpligare att den nya lagen endast hänvisar till personuppgiftslagen. Statskontoret har uttalat att förhållandet mellan personuppgiftslagen och den föreslagna polisdatalagen inte är tillräckligt utrett. Riksarkivet har ansett att bestäm- melserna i personuppgiftslagen, som riktar sig mot en stor krets av be- handlingar inom skilda verksamhetsgrenar, kan bli missvisande om de rakt av överförs till en så speciell verksamhet som polisens. Dåvarande Riksskatteverket har ansett att lagen bör hänvisa till bestämmelserna i personuppgiftslagen, i stället för att upprepa dem. Kammarrätten i Jönköping och Sveriges Domareförbund har förordat en lagstiftnings- teknik som innebär att de bestämmelser som avviker från personuppgifts- lagen regleras särskilt i den nya lagen och att det tydligt i denna hänvisas till de lagrum i personuppgiftslagen som är tillämpliga.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag: Personuppgiftslagen bygger, som

nämnts i avsnitt 4.2.5, på EG:s dataskyddsdirektiv och är generellt till- lämplig på behandling av personuppgifter. Eftersom direktivet bl.a. inte omfattar behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, finns det ur EG-rättslig synvinkel i och för sig inte något som hindrar att den nya lagen utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i dataskyddskonventionen. Konventionen gäller även i statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av kon- ventionen med dess tilläggsprotokoll. Vidare bör beaktas att dataskydds- rambeslutet, som snart ska genomföras, i stora delar liknar dataskydds- direktivet.

Trots att EG:s dataskyddsdirektiv formellt inte är tillämpligt i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten bör enligt regeringens mening en reglering som avviker från de grundläggan- de reglerna i personuppgiftslagen införas bara om det finns goda skäl för det. Systematiska skäl talar också för att den nya regleringen bör ansluta till personuppgiftslagen. Det är således önskvärt att de bestämmelser till skydd för enskilds integritet som uppställs i personuppgiftslagen så långt

79

möjligt tillämpas även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet.

Med hänvisning till det som sagts ovan bör personuppgiftslagens be- stämmelser i väsentliga delar gälla även i polisens brottsbekämpande verksamhet. I denna verksamhet finns emellertid särskilda behov av att kunna behandla personuppgifter automatiserat och verksamhetens sär- drag gör dessutom att personuppgiftslagens bestämmelser inte alltid är ändamålsenliga. I vissa delar bör det därför införas bestämmelser som avviker från den lagen.

Hur bör då de regler i personuppgiftslagen som ska gälla även i poli- sens brottsbekämpande verksamhet infogas i det nya regelverket? I tidi- gare lagstiftningsärenden, där motsvarande fråga har uppkommit, har olika lösningar valts. En modell har varit att i den författning som reg- lerar behandling av personuppgifter i en viss verksamhet över huvud taget inte nämna personuppgiftslagen. Det innebär att personuppgiftsla- gens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda författningen inte innehåller avvikande bestämmelser (se 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personupp- giftslagen. Den modellen används i bl.a. polisdatalagen. Nackdelen med båda dessa lösningar är att det kan vara svårt att överblicka vilka be- stämmelser i personuppgiftslagen som är tillämpliga.

Polisdatautredningen föreslår en annan modell. Förslaget innebär att den nya lagen ska vara heltäckande och upprepa de bestämmelser i per- sonuppgiftslagen som ska gälla för polisen. En liknande lösning har valts för personuppgiftsbehandling hos Försvarsmakten och Försvarets radio- anstalt (prop. 2006/07:46; SFS 2007:258 och 2007:259). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestäm- melser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom per- sonuppgiftslagens bestämmelser ändå gäller om inget annat anges. En annan nackdel är att lagen blir omfattande.

Ytterligare en annan lösning har valts i lagen om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet. Lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hän- visning till de lagrum i personuppgiftslagen som är tillämpliga. Lagrådet hade inte några invändningar mot den valda metoden. Samma lösning har nyligen också föreslagits för Kustbevakningens personuppgiftsbehand- ling (SOU 2006:18) och för åklagarväsendets personuppgiftsbehandling (SOU 2008:87). Fördelarna med en sådan lösning är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hän- visningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger därför ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet. Den nya polis- datalagen bör, mot bakgrund av det sagda, gälla i stället för personupp- giftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen.

Prop. 2009/10:85

80

6.4.2Tillämpliga bestämmelser i personuppgiftslagen

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i polisens brottsbekämpande verksamhet:

definitioner (3 §),

förhållandet till offentlighetsprincipen m.m. (8 §),

grundläggande krav på behandlingen av personuppgifter (9 §, med undantag för paragrafens första stycke i och tredje stycket),

behandling av personnummer (22 §),

information till den registrerade (23 och 25–27 §§),

rättelse (28 §),

säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket),

överföring av personuppgifter till tredjeland (33–35 §§),

personuppgiftsombudets uppgifter m.m. (38–41 §§),

upplysningar till allmänheten om vissa behandlingar (42 §),

tillsynsmyndighetens befogenheter (43, 44 §§, 45 § första stycket och 47 §),

skadestånd (48 §), och

överklagande (51 § första stycket, 52 § första stycket och 53 §). Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock

inte tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

Bestämmelserna om informationsskyldighet i 23 § personuppgifts- lagen behöver inte tillämpas om uppgifterna samlas in

1.genom bild- eller ljudupptagning eller

2.i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Utredningens förslag överensstämmer i huvudsak med promemorians. Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget

eller inte haft några invändningar mot det.

Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorian föreslår dock inte något undantag från informationsplikten i 23 § personuppgiftslagen i fråga om insamling genom bild- eller ljud- upptagning. Promemorian föreslår inte heller att någon hänvisning görs till 9 § första stycket c eller d, eller till andra och fjärde styckena.

Remissinstanserna: En majoritet av remissinstanserna instämmer i eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen anser dock att bl.a. skyldigheten att lämna information enligt 23, 25 och 26 §§ personuppgiftslagen kommer att försvåra för polisen att använda digital teknik vid insamling av uppgifter. Styrelsen anser att samma reg- ler bör gälla vid insamling av bilder och ljud, oavsett om upptagningarna sker med analog eller digital utrustning. Rikspolisstyrelsen anser vidare att polisen alltid bör få behandla personuppgifter för historiska, veten- skapliga och statistiska ändamål och föreslår därför att den nya lagen även bör hänvisa till 9 § andra–fjärde styckena personuppgiftslagen. Styrelsen gör bedömningen, bl.a. mot bakgrund av hänvisningen i pro-

Prop. 2009/10:85

81

memorians lagförslag till 8 § personuppgiftslagen, att utgallrade uppgif-

Prop. 2009/10:85

ter torde kunna föras över till ett digitalt arkiv och där behandlas för de

 

ändamål som anges i arkivlagen (1990:782). Datainspektionen påpekar

 

att det av dataskyddskonventionen följer att insamlade uppgifter aldrig

 

får användas på ett sätt som är oförenligt med det eller de specifika

 

ändamål för vilket de samlades in (den s.k. finalitetsprincipen). Enligt

 

Datainspektionen strider promemorians lagförslag på denna punkt mot

 

konventionens krav. Inspektionen anser därför att det i den nya lagen bör

 

införas en generell regel som upprätthåller finalitetsprincipen, exem-

 

pelvis genom att en hänvisning görs till 9 § första stycket d personupp-

 

giftslagen. Datainspektionen framhåller att det är positivt att tillsyns-

 

myndigheten föreslås ha i stort sett identiska befogenheter vid tillsynen

 

över polisens här aktuella personuppgiftsbehandling som enligt person-

 

uppgiftslagen. Kammarrätten i Stockholm menar att 22 § personupp-

 

giftslagen bör vara tillämplig endast när uppgifterna behandlas på annat

 

sätt än när de görs eller har gjorts gemensamt tillgängliga.

 

Skälen för regeringens förslag

 

Redan nu tillämpas många av personuppgiftslagens bestämmelser i poli-

 

sens personuppgiftsbehandling, eftersom polisdatalagen gäller utöver

 

personuppgiftslagen. Förslaget innebär få förändringar i detta hänseende

 

men en tydligare reglering. Nedan redovisas i vilken utsträckning per-

 

sonuppgiftslagens bestämmelser bör vara tillämpliga vid behandling av

 

personuppgifter i polisens brottsbekämpande verksamhet.

 

Definitioner (3 §)

 

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid

 

behandling av personuppgifter. Där definieras t.ex. vad personuppgifter

 

är (”All slags information som direkt eller indirekt kan hänföras till en

 

fysisk person som är i livet.”) och vad som utgör behandling av person-

 

uppgifter (”Varje åtgärd eller serie av åtgärder som vidtas i fråga om per-

 

sonuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insam-

 

ling, registrering, organisering, lagring, bearbetning eller ändring, åter-

 

vinning, inhämtande, användning, utlämnande genom översändande,

 

spridning eller annat tillhandahållande av uppgifter, sammanställning

 

eller samkörning, blockering, utplåning eller förstöring.”). Definitionerna

 

gäller också för personuppgiftsbehandling som sker med stöd av polis-

 

datalagen. Det finns inte skäl att göra någon ändring i detta hänseende.

 

Det är viktigt att terminologin i den nya lagen överensstämmer med per-

 

sonuppgiftslagens och att de begrepp som används i de båda författning-

 

arna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör

 

därför tas in i den nya lagen.

 

Förhållandet till offentlighetsprincipen (8 §)

 

I 8 § första stycket personuppgiftslagen erinras om att personuppgiftsla-

 

gen inte ska tillämpas i den utsträckning det skulle inskränka en myndig-

 

hets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihets-

82

förordningen, som reglerar allmänna handlingars offentlighet. I paragra- fens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Paragrafen gäller för personuppgiftsbehand- ling hos polisen.

I klargörande syfte bör en hänvisning till bestämmelserna i 8 § person- uppgiftslagen tas in i den nya lagen. Det bör dock tydliggöras att be- stämmelserna i 8 § andra stycket inte är tillämpliga när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen. Utgallrade uppgif- ter bör inte, till skillnad från hur Rikspolisstyrelsen har tolkat de före- slagna bestämmelserna, få bevaras i ett digitalt arkiv och vara åtkomliga för arkivändamål. Sådant bevarande kommer att vara tillåtet endast om det meddelas föreskrifter med undantag från den nya lagens gallringsbe- stämmelser som tillåter ett bevarande. Den frågan tas upp i avsnitt 14.1.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a och b anges att den per- sonuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt e–h ska den personuppgiftsansva- rige se till att de personuppgifter som behandlas är adekvata och rele- vanta i förhållande till ändamålen med behandlingen, att inte fler person- uppgifter behandlas än som är nödvändigt, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med be- handlingen.

Det är naturligt att dessa krav tillämpas även vid behandling av per- sonuppgifter inom polisens brottsbekämpande verksamhet. Den nya lagen bör därför hänvisa till 9 § första stycket a, b och e–h personupp- giftslagen.

I 9 § första stycket c anges att den personuppgiftsansvarige även ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En skyldighet för polisen att ha ett preciserat ändamål för insamlingen av personuppgifter kan sägas följa redan av de materiella bestämmelser om t.ex. förundersöknings bedrivande som styr polisens verksamhet. För att tydliggöra att personuppgifter får samlas in endast för preciserade ända- mål bör det emellertid tas in en hänvisning till 9 § första stycket c per- sonuppgiftslagen i den nya lagen.

Punkten d ger uttryck för den s.k. finalitetsprincipen. Datainspektionen anser att 9 § första stycket d bör vara tillämplig även vid behandling i polisens brottsbekämpande verksamhet. I promemorian föreslås inte någon hänvisning i den nya lagen till denna bestämmelse. Den person- uppgiftsansvarige bör enligt regeringens mening liksom för närvarande ha till uppgift att tillse att uppgifter inte behandlas för ändamål som är

Prop. 2009/10:85

83

oförenliga med insamlingsändamålet. Det finns därför skäl att göra en Prop. 2009/10:85 hänvisning även till 9 § första stycket d personuppgiftslagen. En hänvis-

ning bör därvid göras även till paragrafens andra och fjärde stycken. Frågan om förhållandet mellan den nya lagens ändamålsreglering och finalitetsprincipen behandlas i avsnitt 7.1.

I 9 § första stycket i och tredje stycket personuppgiftslagen finns be- stämmelser om hur länge uppgifter får bevaras. Frågan om gallring och bevarande av uppgifter bör regleras särskilt i den nya lagen. Någon hän- visning till personuppgiftslagens bestämmelser i 9 § första stycket i och i tredje stycket om hur länge uppgifter får bevaras behövs därför inte. Frågan behandlas i avsnitt 14.

Behandling av personnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifi- ering eller något annat beaktansvärt skäl. Personnummer bör således inte användas av ren slentrian. Bestämmelserna innebär att den personupp- giftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer är påkallad måste således vägas mot behovet av skydd för den personliga integriteten. Principen bör enligt regeringens mening gälla även vid behandling i polisens brottsbekämpande arbete. Av integritetsskäl kan det många gånger vara nödvändigt att använda personnummer med hänsyn till den större säker- het för en riktig identifiering som detta innebär, särskilt i polisens verk- samhet. Till skillnad från vad Kammarrätten i Stockholm anser finns det inte skäl att göra avsteg från principen i fråga om gemensamt tillgängliga uppgifter, även om det vid behandling av sådana uppgifter i många fall är nödvändigt att behandla personnummer. Den nya lagen bör därför hän- visa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Allmänt

Personuppgiftslagens bestämmelser om sådan information som ska läm- nas självmant till den registrerade och om information som ska lämnas efter ansökan av den registrerade (23 och 25–27 §§) tillämpas enligt gällande reglering vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet.

Av 23 § personuppgiftslagen följer att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den regi- strerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Informa- tion ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av

den registrerade. Om uppgifter behandlas ska information lämnas till

84

sökanden om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver dock informa- tion inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteck- ning eller liknande. I 26 § finns även bestämmelser om inom vilken tid en ansökan ska besvaras. Enligt 27 § personuppgiftslagen gäller inte rätten till information om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

Bestämmelserna utgör i allt väsentligt en lämplig avvägning mellan den enskildes intresse av att få information om behandling av uppgifter om denne och polisens intresse av effektiva medel för brottsbekämpning. En hänvisning till bestämmelserna bör därför införas i den nya lagen. Det bör dock övervägas om det i den nya lagen behövs undantag från infor- mationsskyldigheten för viss insamling av uppgifter som t.ex. insamling genom bild och ljud och insamling i samband med larm.

Undantag för insamling genom bild och ljud

Rikspolisstyrelsen anser att bestämmelserna i 23, 25 och 26 §§ person- uppgiftslagen är svåra att tillämpa när uppgifter samlas in genom bild- och ljudupptagning och menar att samma regler bör gälla oavsett om upptagningarna sker med analog eller digital utrustning. Som redovisas i avsnitt 6.3 bör lagen som huvudregel vara tillämplig även på insamling genom bild och ljud. Det finns dock skäl att överväga om det kan krävas att informationsskyldigheten ska fullgöras fullt ut vid sådan insamling. Inledningsvis kan konstateras att polisens möjlighet att samla in uppgifter genom bild och ljud i stor utsträckning är oreglerad. De bestämmelser som finns reglerar insamling genom hemliga tvångsmedel, t.ex. reglerna i 27 kap. rättegångsbalken och lagen om hemlig rumsavlyssning. Vidare finns bestämmelser om insamling genom allmän kameraövervakning i lagen (1998:150) om allmän kameraövervakning och bestämmelser i 28 kap. 14 § rättegångsbalken om fotografering av anhållna och häktade. Enligt den paragrafen får även andra personer än anhållna och häktade fotograferas, om det behövs för utredning av brott på vilket fängelse kan följa. I flera betänkanden har föreslagits att polisens möjlighet att an- vända spaningsmetoder som t.ex. innebär användning av handmanöv- rerade kameror, dolda kroppsmikrofoner, inspelning av telefonsamtal och positionsbestämning bör författningsregleras (se t.ex. SOU 2003:74 och 2007:22). Bestämmelser om behandlingen av personuppgifter kan be- gränsa möjligheten att samla in uppgifter genom bild- och ljudupptag- ning. Det ligger dock inte inom ramen för detta lagstiftningsärende att överväga när sådan insamling bör få ske. Regeringen har uppdragit åt Polismetodutredningen att överväga bl.a. frågan om författningsreglering av tekniska spaningsmetoder (dir. 2007:185). Även lagen om allmän kameraövervakning har nyligen utretts (SOU 2009:87).

Prop. 2009/10:85

85

Frågan är om det behövs några undantag från bestämmelserna om Prop. 2009/10:85 informationsskyldighet i 23 och 25–27 §§ personuppgiftslagen för be-

handling av bild- och ljudupptagningar. Vad gäller 23 § torde i regel något av undantagen i 25 eller 27 § vara tillämpligt på sådan insamling. När en anhållen eller häktad fotograferas i samband med att fingerav- tryck tas eller när skador på ett brottsoffer dokumenteras torde exempel- vis undantaget i 25 § andra stycket vara tillämpligt. Det måste nämligen förutsättas att den fotograferade känner till varför insamling sker och att den sker genom automatiserad behandling samt att han eller hon förstår vad uppgifterna ska användas till. Vidare torde undantaget i 27 § vanligt- vis vara tillämpligt när insamling sker för spaningsändamål inom ramen för en förundersökning eller i underrättelseverksamhet, eftersom sekre- tess enligt 18 kap. 1 eller 2 § offentlighets- och sekretesslagen normalt gäller i dessa fall. Detsamma gäller insamling genom hemliga tvångsme- del. Det förekommer dock situationer då polisen synes vara skyldig att lämna information enligt 23 § personuppgiftslagen. Exempelvis torde sådan skyldighet föreligga när polisen genom videofilmning öppet dokumenterar ett visst händelseförlopp, t.ex. på grund av oroligheter i samband med en fotbollsmatch. I en sådan situation framstår det emel- lertid inte bara som orimligt utan också som praktiskt ogörligt att infor- mera alla personer som kan tänkas fångas på bild om att deras person- uppgifter behandlas. Värdet av sådan information kan också ifrågasättas. Mot denna bakgrund bör det inte krävas att polisen tillämpar 23 § personuppgiftslagen vid insamling av personuppgifter genom bild och ljud. I sammanhanget kan erinras om undantaget i 5 a § personuppgifts- lagen för behandling av personuppgifter i ostrukturerat material som infördes genom en lagändring år 2007 (prop. 2005/06:173).

Däremot finns det inte skäl att göra något undantag från bestämmel- serna i 26 § personuppgiftslagen, vilket Rikspolisstyrelsen förespråkar. Bestämmelserna i den paragrafen tar sikte på den fortsatta behandlingen av personuppgifter sedan de har samlats in. Ett grundläggande krav i den nya lagen bör vara att polisen alltid ska veta för vilket ändamål en upp- gift bevaras. För att kunna uppfylla detta krav måste polisen känna till det huvudsakliga innehållet av en bild- eller ljudsekvens som bevaras, t.ex. vilken person som spaningen eller brottsutredningen avsåg. Det ligger i sakens natur att polisen inte kan förväntas känna till och doku- mentera identiteten på samtliga personer som förekommer i en filmse- kvens t.ex. från en allmän plats. Och det faller på sin egen orimlighet att polisen skulle behöva informera samtliga dessa personer om behand- lingen. Det bör framhållas – som uttalas i förarbetena till personupp- giftslagen (prop. 1997/98:44 s. 82 f.) – att den personuppgiftsansvarige bara är skyldig att utnyttja de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade. I sammanhanget kan erinras om att regeringen i nyssnämnda proposition hänvisade till Datalagskommitténs uttalande att ”inte ens EG-rätten kan tvinga någon att göra det som i praktiken är omöjligt” (SOU 1997:39 s. 392). Informationskravet i 26 § torde således inte bli så omfattande som Rikspolisstyrelsen synes befara.

86

Undantag för insamling i samband med larm

Prop. 2009/10:85

Av Datainspektionens allmänna råd om information till registrerade en-

 

ligt personuppgiftslagen framgår att information enligt 23 § personupp-

 

giftslagen bör lämnas muntligen när personuppgifter samlas in vid tele-

 

fonkontakt eller annan muntlig kontakt. Det skulle uppstå praktiska svå-

 

righeter om det infördes en skyldighet att lämna uppgifter om behand-

 

lingarna av personuppgifter i kommunikationscentralernas system (KC-

 

systemet) till en enskild person i samband med att han eller hon larmar

 

polisen. När en person larmar eller på liknande sätt tillkallar polisen rör

 

det sig typiskt sett om en brådskande situation som kräver omedelbar åt-

 

gärd. Både med hänsyn till risken för försening av den åtgärd som efter-

 

frågas i det enskilda fallet och till risken för negativa konsekvenser i stort

 

för verksamheten vid en kommunikationscentral är det orimligt att kräva

 

att polisen lämnar information i samband med larm. I en larmsituation

 

torde den enskilde inte heller finna sådan information särskilt angelägen.

 

Information som inte uppfattas som relevant i en akut situation kan

 

tvärtom tas emot negativt.

 

Utredningen om Kustbevakningens personuppgiftsbehandling anser att

 

det inte är nödvändigt med några författningsförslag för att information

 

inte ska behöva lämnas i nu aktuella fall (SOU 2006:18 s. 235). Som skäl

 

anförs att alla som vänder sig till en myndighet i en sådan situation redan

 

känner till att uppgifter registreras i någon form av automatiserat register.

 

Även om undantaget i 25 § andra stycket personuppgiftslagen vanligtvis

 

torde vara tillämpligt finns det ändå skäl att införa ett undantag som tar

 

sikte just på larmsituationer bl.a. av det skälet att larm utgör en stor och

 

viktig del av polisens verksamhet. Det bör i en lagregel klart framgå att

 

information aldrig ska behöva lämnas vid larm om det med hänsyn till

 

omständigheterna inte finns tid att lämna informationen. Bedömningen

 

av om information ska lämnas bör göras från fall till fall. I sådan verk-

 

samhet som uteslutande består i att ta emot larm torde det endast un-

 

dantagsvis finnas tid att lämna information om behandlingen av person-

 

uppgifter.

 

Rättelse (28 §)

 

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyl-

 

dig att på begäran av den registrerade rätta, blockera eller utplåna sådana

 

personuppgifter som inte behandlats i enlighet med personuppgiftslagens

 

bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska

 

underrättelse lämnas till tredje man som har fått del av uppgiften, om den

 

registrerade begär det eller om mer betydande skada eller olägenhet där-

 

igenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om

 

det visar sig vara omöjligt eller om det skulle innebära en oproportioner-

 

ligt stor arbetsinsats. Dessa bestämmelser gäller vid personuppgiftsbe-

 

handling i polisens brottsbekämpande verksamhet.

 

Det är viktigt att personuppgifter som behandlas felaktigt hos en myn-

 

dighet rättas. Bedömningen av om en uppgift har behandlats på ett felak-

 

tigt sätt måste göras mot bakgrund av de bestämmelser som gäller för

 

behandlingen, oavsett om det är grundläggande regler i personuppgifts-

 

lagen eller specialbestämmelser för polisens verksamhet. Mot bakgrund

87

av det sagda bör bestämmelserna i 28 § personuppgiftslagen även i fort-

Prop. 2009/10:85

sättningen tillämpas vid behandling av personuppgifter i polisens brotts-

 

bekämpande verksamhet. I den nya lagen bör det alltså tas in en hänvis-

 

ning till 28 § personuppgiftslagen.

 

Säkerheten vid behandling (30–32 §§)

 

I 30–32 §§ personuppgiftslagen finns bestämmelser om hur den person-

 

uppgiftsansvarige ska organisera arbetet med behandling av personupp-

 

gifter för att garantera säkerheten. Dessa bestämmelser är tillämpliga vid

 

personuppgiftsbehandling i polisens brottsbekämpande verksamhet och

 

de bör gälla där även fortsättningsvis. En hänvisning till bestämmelserna

 

bör alltså föras in i den nya lagen. Med hänsyn till att tillsynsmyndighe-

 

ten inte bör ha möjlighet att förena förbud med vite (se avsnittet Till-

 

synsmyndighetens befogenheter) bör någon hänvisning till 32 § andra

 

stycket personuppgiftslagen inte göras i den nya lagen.

 

Överföring av personuppgifter till tredjeland (33–35 §§)

 

Personuppgifter som är under behandling får enligt 33 § personuppgifts-

 

lagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller

 

är ansluten till Europeiska ekonomiska samarbetsområdet (EES; 3 §

 

personuppgiftslagen), om inte det mottagande landet har en adekvat nivå

 

för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §,

 

bl.a. för överföring till länder som har anslutit sig till dataskyddskonven-

 

tionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterli-

 

gare undantag från förbudet, bl.a. om det behövs med hänsyn till ett vik-

 

tigt allmänt intresse.

 

Förbudet mot överföring till tredjeland som inte har acceptabla skydds-

 

nivåer, och de undantag från förbudet som föreskrivs, bör vara tillämp-

 

liga även vid behandling enligt den här föreslagna lagstiftningen. Rege-

 

ringen bör även ha möjlighet att föreskriva om undantag från förbudet.

 

Hänvisning bör således göras till 33–35 §§ personuppgiftslagen.

 

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m.

 

(38–42 §§)

 

Automatiserade behandlingar av personuppgifter ska enligt 36 § första

 

stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datain-

 

spektionen). Anmälan behöver dock enligt 3 § personuppgiftsförord-

 

ningen (1998:1191) inte göras för behandlingar som regleras genom sär-

 

skilda föreskrifter i lag eller förordning. Någon skyldighet att anmäla de

 

behandlingar som utförs med stöd av den nya lagen finns således inte,

 

varför någon hänvisning till 36 § första stycket personuppgiftslagen inte

 

behövs.

 

Den personuppgiftsansvarige kan enligt 36 § andra stycket personupp-

 

giftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska

 

bestämmelserna om ombudets skyldigheter i 38–40 §§ personuppgiftsla-

 

gen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till

 

att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa

88

registrerade att få rättelse. Den personuppgiftsansvarige ska anmäla om- budet hos Datainspektionen. Även ett entledigande ska anmälas hos inspektionen. I avsnitt 6.5 föreslås en särskild bestämmelse med skyldig- het för polisen att utse personuppgiftsombud och att anmäla till Datain- spektionen när ett sådant ombud utses och entledigas. Någon hänvisning till 36 § andra stycket personuppgiftslagen behövs därför inte. Den nya lagen bör dock hänvisa till 38–40 §§ personuppgiftslagen.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att före- skriva att vissa särskilt känsliga behandlingar ska anmälas till Datain- spektionen för förhandskontroll. Detta gäller även vid personuppgiftsbe- handling inom polisens brottsbekämpande verksamhet. Denna ordning bör gälla även fortsättningsvis. Den nya lagen bör därför innehålla en hänvisning till 41 §.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige till var och en som begär det lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen. Bestämmel- sen är tillämplig på de behandlingar som utförs i polisens brottsbekäm- pande verksamhet men innebär självfallet ingen skyldighet att lämna ut sekretesskyddad information. Det är från integritetsskyddssynpunkt vik- tigt att den enskilde på ett snabbt och enkelt sätt kan få besked av polisen om vilka behandlingar som utförs i den brottsbekämpande verksamheten även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § per- sonuppgiftslagen bör därför tas in i den nya lagen.

Tillsynsmyndighetens befogenheter (43–45 §§ och 47 §)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansva- riga. Det är rimligt att Datainspektionen i stort sett har samma befogen- heter vid tillsyn över polisens personuppgiftsbehandling i den brottsbe- kämpande verksamheten som enligt personuppgiftslagen.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Paragrafen gäller för polisen och bör vara tillämplig även fortsättningsvis. En hän- visning till paragrafen ska alltså tas in i den nya lagen.

Om Datainspektionen inte efter en begäran enligt 43 § personuppgifts- lagen kan få tillräckligt underlag för att konstatera att personuppgiftsbe- handlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Denna bestämmelse gäller för polisens personupp- giftsbehandling och Polisdatautredningen och promemorian föreslår att den ska gälla även i framtiden. Beträffande andra myndigheters person- uppgiftsbehandling har man valt olika lösningar när det gäller Datain- spektionens möjlighet att meddela sådana förbud. Någon sådan möjlighet finns exempelvis inte i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana

Prop. 2009/10:85

89

förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda be- handling av personuppgifter i polisens brottsbekämpande verksamhet kan det alltså inledningsvis konstateras att en sådan möjlighet finns enligt gällande rätt. I förhållande till de myndigheter där Datainspektionen sak- nar sådan möjlighet har polisen en mycket mer omfattande personupp- giftsbehandling som dessutom omfattar flera olika myndigheter. Till detta kan anmärkas att polisen, enligt den nya lagen, kommer att få möj- lighet att behandla vissa typer av personuppgifter i större utsträckning än för närvarande. Förslaget lämnar också större utrymme för polisen att fatta beslut om formerna för behandlingen och vilka strukturer den ska ske i. Det sagda talar sammantaget för att Datainspektionen även fort- sättningsvis bör kunna förbjuda viss behandling, om det någon gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning bör därför göras också till 44 §.

En annan fråga är om det bör vara möjligt för Datainspektionen att för- ena ett sådant förbud med vite. I flera lagstiftningsärenden har en lösning valts som inte ger Datainspektionen någon sådan möjlighet. Detta har motiverats med grundsatsen att regler om vite inte bör tillämpas i förhål- landet mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105). Eftersom vite inte bör användas mellan statliga myn- digheter bör således ett förbud enligt 44 § personuppgiftslagen inte kunna förenas med vite.

En hänvisning bör vidare göras till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller lik- nande förfaranden. Om det inte går att få till stånd rättelse, eller om sa- ken är brådskande, får Datainspektionen förbjuda behandlingen. Bestäm- melsen gäller redan inom polisens brottsbekämpande verksamhet och bör gälla även fortsättningsvis. Däremot bör någon hänvisning till paragra- fens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos all- män förvaltningsdomstol ansöka om att sådana uppgifter som har be- handlats på ett olagligt sätt ska utplånas. Bestämmelsen, som gäller i polisens verksamhet, har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell tillsynsmyndighet ska ha särskild befogen- het att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvis- ning till bestämmelsen bör alltså tas in i lagen.

Frågor om tillsyn behandlas även i avsnitt 17.2.

Skadestånd (48 §) m.m.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integ-

Prop. 2009/10:85

90

riteten som en behandling av personuppgifter i strid med den lagen har Prop. 2009/10:85 orsakat. Bestämmelsen gäller vid personuppgiftsbehandling i polisens

brottsbekämpande verksamhet.

Det bör finnas en rätt till skadestånd vid skada och kränkning som upp- står när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen.

I 49 § personuppgiftslagen föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Lagrådet har i ett tidigare lag- stiftningsärende (prop. 2000/01:33 s. 346) ansett att legalitetsprincipen medför att paragrafen inte kan ges motsvarande tillämpning på bestäm- melser som avviker från personuppgiftslagen och som har tagits in i sär- lagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i den nya lagen. Däremot skulle i och för sig en hän- visning kunna tas in i den nya lagen med innebörd att straffbestämmel- serna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla natur- lig. Å andra sidan kommer behandlingen av personuppgifter enligt den nya lagen att utföras av personer som är anställda vid statliga myndighe- ter och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Promemorian ställer sig bakom det uttalande som Polisda- tautredningen gör (SOU 2001:92 s. 193) att det inte torde bli aktuellt att tillämpa straffbestämmelsen i personuppgiftslagen mot någon anställd inom polisen (se även prop. 1997/98:97 s. 109). En motsvarande bedöm- ning gjordes vid tillkomsten av lagen om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55). Även reglerna om disciplinansvar för tjänsteförseelse enligt lagen (1994:260) om offentlig anställning bör enligt regeringens mening vägas in när man bedömer behovet av en regel om straffansvar. Det finns inte skäl att nu göra någon annan bedömning än i tidigare lagstiftningsärenden. Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i den nya lagen.

Överklagande (51–53 §§)

I 51 § första stycket personuppgiftslagen föreskrivs att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna med- dela förbud enligt 44 § eller 45 § första stycket personuppgiftslagen in- nebär att en hänvisning också bör göras till 51 § första stycket.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess be- slut ska gälla även om det överklagas. Frågan är om denna bestämmelse ska gälla för polisens personuppgiftsbehandling. Det kan finnas skäl som talar både för och emot detta. Systematiska skäl kan tala för att regle- ringen bör utformas på samma sätt, oavsett vem beslutet gäller. Emeller- tid måste verksamhetsskäl anses tala mot införandet av en sådan möjlig- het. Vid en samlad bedömning anser regeringen att Datainspektionen inte bör ges möjlighet att meddela interimistiska beslut i här aktuella fall. Hänvisning i den nya lagen bör därför göras endast till 51 § första stycket personuppgiftslagen.

91

En myndighets beslut om information, rättelse och underrättelse till Prop. 2009/10:85 tredje man om rättelseåtgärder, information om automatiserade beslut

och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket personuppgiftslagen, överklagas hos allmän förvaltnings- domstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalades att det efter införandet av en bestämmelse om överklagande i personupp- giftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till person- uppgiftslagens bestämmelser om överklagande.

6.5Personuppgiftsansvar

Regeringens förslag: Rikspolisstyrelsen och varje polismyndighet ska vara personuppgiftsansvariga för den behandling av personupp- gifter som respektive myndighet utför. Rikspolisstyrelsen ska även vara personuppgiftsansvarig för behandlingen av personuppgifter i polisens verksamhet vid Ekobrottsmyndigheten. Rikspolisstyrelsen och polismyndigheterna ska var och en utse ett eller flera personupp- giftsombud. Detta – liksom entledigande av personuppgiftsombud – ska anmälas till Datainspektionen.

Utredningens förslag: Rikspolisstyrelsen ska ensam vara personupp- giftsansvarig för de centrala registren i polisens verksamhet.

Remissinstanserna har inte haft något att invända mot förslaget. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ekobrottsmyndigheten anser att personuppgifts-

ansvaret för behandling av personuppgifter i polisverksamheten vid myndigheten bör utövas av Ekobrottsmyndigheten. Övriga remissinstan- ser tillstyrker eller har inte något att invända mot förslaget.

Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsansvaret kan alltså delas mellan flera.

I registerförfattningar är det vanligt att man tydligt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras i respektive författning. I polisdatalagen finns ingen generell bestämmelse om per- sonuppgiftsansvar. I stället anges för respektive register vem som är personuppgiftsansvarig.

I de fall där det rör sig om behandling av uppgifter i större nationella uppgiftssamlingar, bör, liksom tidigare, Rikspolisstyrelsen vara person- uppgiftsansvarig. Om det å andra sidan handlar om personuppgiftsbe- handling inom en polismyndighet, bör ansvaret ligga på denna. Denna ordning för personuppgiftsansvaret bör komma till uttryck i den nya lagen.

92

Enligt den nya lagen bör som huvudregel gälla att den myndighet som Prop. 2009/10:85 utför själva behandlingen också ska ha personuppgiftsansvaret. När det

gäller polisverksamhet vid Ekobrottsmyndigheten bedrivs denna av po- lispersonal som av Ekobrottskansliet vid Rikspolisstyrelsen ställts till Ekobrottsmyndighetens förfogande. Dessa är således inte anställda vid Ekobrottsmyndigheten. Rikspolisstyrelsen leder den verksamhet vid Eko- brottsmyndigheten som bara får utövas av anställda inom polisen (6 § 7 förordningen [1989:773] med instruktion för Rikspolisstyrelsen). Riks- polisstyrelsen är personuppgiftsansvarig för den personuppgiftsbehand- ling som sker med stöd av polisdatalagen vid myndigheten (prop. 2002/03:144 s. 17).

Ekobrottsmyndigheten anser att myndigheten bör ha personuppgiftsan- svar för behandlingen av personuppgifter i polisens brottsbekämpande verksamhet där. Vad som enligt Ekobrottsmyndigheten talar för en sådan lösning är att polisverksamheten där utgör en del av myndighetens sam- lade verksamhet. Frågan om myndigheten ska vara personuppgiftsansva- rig för personuppgiftsbehandlingen i polisiära datasystem övervägdes i nyssnämnda proposition. Någon förändring som motiverar en annan be- dömning beträffande vem som ska vara personuppgiftsansvarig har inte skett. Personuppgiftsansvaret för behandling av personuppgifter i poli- sens brottsbekämpande verksamhet vid Ekobrottsmyndigheten bör alltså utövas av Rikspolisstyrelsen, vilken bedömning också görs i promemo- rian. I den mån polispersonal vid Ekobrottsmyndigheten behandlar per- sonuppgifter inom ramen för sådan brottsbekämpande verksamhet som faller utanför den nya lagens tillämpningsområde, exempelvis om de be- handlar personuppgifter i åklagarväsendets datasystem, är dessa under- kastade den reglering som gäller för sådan verksamhet.

Regleringen i 36 § andra stycket personuppgiftslagen ger myndighe- terna valfrihet när det gäller frågan om personuppgiftsombud ska utses eller inte (se avsnitt 6.4.2). Behandlingen av personuppgifter i polisens brottsbekämpande verksamhet rör i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kon- troll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndighe- ten bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Mot den bakgrunden bör det ställas krav på att Riks- polisstyrelsen och polismyndigheterna, som ska ha personuppgiftsansvar enligt den nya lagen, ska utse personuppgiftsombud och anmäla dessa till Datainspektionen. Detta bör framgå direkt av lagen. Det kan anmärkas att regeringen gjorde motsvarande bedömning i propositionen Personupp- giftsbehandling hos Försvarsmakten och Försvarets radioanstalt (prop. 2006/07:46 s. 98).

6.6Tillgången till personuppgifter

Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Utredningen föreslår inte någon motsvarande bestämmelse.

93

Remissinstanserna har inte yttrat sig i frågan.

Prop. 2009/10:85

Promemorians förslag överensstämmer i huvudsak med regeringens.

 

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte

 

något att invända mot förslaget. Datainspektionen anser att en bestäm-

 

melse om tillgång till personuppgifter bör ges en restriktiv tolkning och

 

att huvudregeln bör vara att endast de som har ett direkt behov av uppgif-

 

terna bör ha tillgång till dem. Inspektionen anser vidare att den i prome-

 

morian föreslagna bestämmelsen är mycket allmänt utformad och att det

 

därför bör införas en regel om att närmare föreskrifter om behörighet och

 

säkerhet ska meddelas av regeringen eller den myndighet som regeringen

 

bestämmer.

 

Skälen för regeringens förslag: Stora informationsmängder som är

 

samlade så att uppgifter är enkelt sökbara på elektronisk väg medför all-

 

mänt sett en risk för intrång i den personliga integriteten. Risken för

 

sådant intrång är särskilt stor om det – som ofta är fallet i brottsbekäm-

 

pande verksamhet – rör sig om känsliga uppgifter. Vem som har rätt att

 

använda uppgifterna och hur de sprids är omständigheter som påverkar

 

risken för intrång i den personliga integriteten. Det är därför viktigt att

 

det säkerställs att integritetskänsliga uppgifter görs tillgängliga bara för

 

dem som behöver uppgifterna för att fullgöra sitt arbete. Detta bör tydligt

 

framgå av den nya lagen. Datainspektionen menar att en bestämmelse

 

om tillgång till personuppgifter bör tolkas restriktivt och att uppgifter i

 

t.ex. en förundersökning bör vara tillgängliga endast för dem som arbetar

 

med denna. En så snäv tolkning av bestämmelsen som Datainspektionen

 

synes förorda skulle lägga hinder i vägen för polisen att utföra sina av

 

statsmakterna påförda uppgifter. I t.ex. en brottsutredning är det många

 

gånger av stor betydelse att polisen kan få information om andra pågå-

 

ende brottsutredningar för att kunna bedöma om det finns några samband

 

mellan utredningarna. Även andra än de som arbetar i en förundersök-

 

ning bör därför enligt regeringens uppfattning kunna ges möjlighet att få

 

tillgång till uppgifter i undersökningen, om de har ett konkret behov av

 

uppgifterna för att kunna fullgöra sitt arbete.

 

En bestämmelse om tillgång till personuppgifter bör omfatta både di-

 

rekt tillgång till automatiserade uppgiftssamlingar och tillgång i allmän-

 

het. Polisen ska således organisera sin verksamhet på ett sådant sätt att

 

obefogad spridning av personuppgifter motverkas.

 

Modern teknik gör det enklare att organisera verksamheten så att till-

 

gången till uppgifter som behandlas automatiserat begränsas på ett lämp-

 

ligt sätt. En enskild tjänstemans åtkomst till personuppgifter (behörighet)

 

kan knytas till viss information i stället för till olika register. Därmed kan

 

tillgången till information om en person eller uppgifter knutna till en

 

person begränsas med utgångspunkt från tjänstemannens arbetsuppgifter.

 

De mest känsliga uppgifterna kommer med en sådan ordning att lättare

 

kunna avgränsas och omges av extra integritets- och säkerhetsskydd.

 

Vidare kommer kunskapen om och kontrollen av varje tjänstemans in-

 

formationstillgång att öka. På förhand bestämda behörigheter som avgör

 

tillgången till uppgifter kan utarbetas. Behörigheterna kan vidare anpas-

 

sas till olika befattningshavares behov med hänsyn till tjänstenivå och

 

arbetsuppgifter.

 

Som nämnts är det en grundläggande regel att personuppgifter inte får

 

behandlas, om det inte behövs för att fullgöra en arbetsuppgift. För att

94

upprätthålla en sådan regel, och motverka att någon användare vidtar Prop. 2009/10:85 otillåtna åtgärder, och därigenom får tillgång till information som denne

inte behöver i sitt arbete, krävs det att polisen har säkerhetsarrangemang som gör det möjligt att följa de åtgärder som vidtas med informationen. Denna fråga behandlas närmare i avsnitt 17.1.

Den i promemorian föreslagna bestämmelsen om tillgång till person- uppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen är, som Datainspektionen påpekar, allmänt hållen. Det är emellertid inte lämpligt att i lagform ange detaljerade riktlinjer för hur tillgången till personuppgifter bör avgränsas. I stället är det polisens och övriga berörda myndigheters uppgift att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlig- het med bestämmelsen. Som Datainspektionen föreslår bör det tydliggö- ras att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om tillgången till personupp- gifter. En sådan regel bör därför tas in i den nya lagen.

7

Tillåtna ändamål för behandlingen

 

7.1

Lagens ändamålsreglering

 

 

 

 

 

 

Regeringens förslag: I lagen ska det anges för vilka ändamål be-

 

 

 

handling av personuppgifter får förekomma. Ändamålen ska delas in i

 

 

 

primära ändamål och sekundära ändamål. De primära ändamålen av-

 

 

 

ser behandling av personuppgifter för att tillgodose de behov som

 

 

 

finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är

 

 

 

uttömmande angivna i lagen. De sekundära ändamålen avser behand-

 

 

 

ling för olika typer av utlämnande av personuppgifter. I fråga om be-

 

 

 

handling av personuppgifter för andra sekundära ändamål än de i

 

 

 

lagen angivna tillämpas den s.k. finalitetsprincipen.

 

 

 

 

 

 

 

Utredningens förslag: Personuppgifter ska få behandlas bara om be-

 

handlingen är nödvändig för att sådan polisverksamhet som omfattas av

 

lagen ska kunna utföras. Utredningen föreslår också att personuppgifter

 

ska få samlas in endast för särskilda, uttryckligt angivna och berättigade

 

ändamål och att senare behandling inte får ske för något ändamål som är

 

oförenligt med det för vilket uppgifterna samlades in.

 

 

Remissinstanserna: Flertalet remissinstanser har tillstyrkt utredning-

 

ens förslag eller inte haft någon invändning mot det.

 

 

Promemorians förslag överensstämmer delvis med regeringens. Pro-

 

memorian föreslår dock en uttömmande reglering av för vilka ändamål

 

personuppgifter får behandlas och finalitetsprincipen föreslås inte vara

 

tillämplig.

 

 

 

 

Remissinstanserna: Majoriteten av remissinstanserna har inget att an-

 

föra mot promemorians förslag. Flera remissinstanser anser dock att

 

förslagets sekundära ändamål är alltför begränsande. Åklagarmyndig-

95

 

 

 

 

heten och Rikspolisstyrelsen betonar att en uttömmande reglering av Prop. 2009/10:85 ändamålen förutsätter att de sekundära ändamålen får en tillräckligt om-

fattande räckvidd. Datainspektionen anser att förslaget strider mot de centrala dataskyddsprinciper som innebär att personuppgifter endast får samlas in för specifika och legitima ändamål och att personuppgifterna därefter inte får användas på ett sätt som är oförenligt med insamlingsän- damålet. Inspektionen anser vidare att det bör ställas krav på att insam- lingsändamålet dokumenteras.

Skälen för regeringens förslag

Ändamålsbestämmelserna bör ge utrymme för att bedriva polisarbetet med modern teknik

Den nya lagen ska vara tillämplig i polisens brottsbekämpande verksam- het. I den verksamheten förekommer personuppgiftsbehandling av vitt skilda slag. Dels förekommer mycket sedvanligt kontorsarbete som tidi- gare inte innebar behandling av personuppgifter, men som gör det med dagens ordbehandlingsteknik. Självklart måste den nya lagen ge polisen samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnyttjande innefattar inte heller i sig några påtagliga integ- ritetsrisker. Dels förekommer kvalificerad personuppgiftsbehandling, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer. Sådan behandling ger givetvis upphov till större risker för intrång i den personliga integriteten.

Ett sätt att komma till rätta med integritetsriskerna kan vara att gene- rellt begränsa möjligheterna till behandling av personuppgifter, t.ex. genom att ställa upp snäva ändamålsbestämmelser för alla slag av be- handling. Snäva ändamålsbestämmelser kan emellertid allvarligt för- sämra polisens möjligheter att använda sig av modern kontorsteknik i det brottsbekämpande arbetet. Ett generellt förbud mot behandling av upp- gifter som gäller mindre allvarlig brottslighet, t.ex. snatteri, skulle inne- bära att polisen inte skulle kunna använda sig av sedvanlig ordbehand- ling i arbetet med att förebygga eller utreda sådan brottslighet. Detta är uppenbarligen inte rimligt. Ändamålsbestämmelserna bör därför utfor- mas så att de ger utrymme för att bedriva polisarbetet på ett effektivt sätt med modern teknik.

De särskilda risker som vissa slag av personuppgiftsbehandling kan ge upphov till bör alltså motverkas på annat sätt. I avsnitt 9 föreslås att be- stämmelserna om personuppgiftsbehandling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemen- samt tillgängliga och å andra sidan annan behandling. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

96

Personuppgiftslagens regler om ändamål

Prop. 2009/10:85

Bestämmelser om för vilka ändamål uppgifter får behandlas har en cen-

 

tral roll i registerförfattningar. Genom ändamålen sätts ramen för vilken

 

behandling som är tillåten. Som Datainspektionen framhåller följer det

 

av centrala dataskyddsprinciper att uppgifter endast får samlas in för

 

specifika och legitima ändamål och att insamlade uppgifter inte får be-

 

handlas för något ändamål som är oförenligt med det ursprungliga ända-

 

målet. Dessa principer kommer till uttryck bl.a. i artikel 6.1.a i data-

 

skyddsdirektivet och i artikel 3 i dataskyddsrambeslutet. Artikeln i data-

 

skyddsdirektivet har genomförts i svensk rätt genom 9 § första stycket c

 

och d personuppgiftslagen.

 

I fråga om efterföljande behandling sägs i 9 § andra stycket person-

 

uppgiftslagen att en behandling av personuppgifter för historiska, statis-

 

tiska eller vetenskapliga ändamål inte ska anses som oförenlig med de

 

ändamål för vilka uppgifterna samlades in. I de fall där en tilltänkt be-

 

handling inte direkt omfattas av de ursprungliga ändamålen måste det i

 

princip prövas om ändamålet med den senare behandlingen är oförenlig

 

med de ursprungliga ändamålen. Detta följer av den s.k. finalitetsprinci-

 

pen, som uttrycks i 9 § första stycket d personuppgiftslagen.

 

Datalagskommittén uttalar i betänkandet Integritet – Offentlighet – In-

 

formationsteknik (SOU 1997:39 s. 351) att vad som är oförenligt med de

 

ursprungliga ändamålen får bestämmas genom praxis och de mer precise-

 

rade regler som regeringen och Datainspektionen kan utfärda.

 

Den nya lagens ändamålsreglering och finalitetsprincipen

 

Utgångspunkten i den nya lagen är att personuppgifter får behandlas

 

enbart för vissa berättigade, angivna ändamål. Därmed kan användningen

 

och spridningen av uppgifterna begränsas. Frågan är då hur ändamålsreg-

 

leringen bör utformas.

 

Det är vanligt att man i registerförfattningar delar upp ändamålen i

 

primära och sekundära. De primära ändamålen är utformade för att till-

 

godose den behandling som behövs i de berörda myndigheternas egen

 

verksamhet. Sekundära ändamål reglerar i vilken utsträckning uppgifter,

 

som samlats in för något primärt ändamål, får behandlas för att lämnas ut

 

till enskilda eller till andra myndigheter i syfte att tillgodose deras behov.

 

För polisens del kan det vara fråga om att uppgifter i den brottsbekäm-

 

pande verksamheten behöver användas i annan polisverksamhet eller att

 

uppgifterna behövs i brottsbekämpande verksamhet som någon annan

 

myndighet bedriver.

 

Det finns flera olika möjligheter att utforma ändamålsregleringen i

 

registerförfattningar. Det går dock att urskilja två principiellt olika sätt.

 

Det ena är att ange samtliga ändamål för vilka behandling får ske, både

 

primära och sekundära. Det andra är att de i lagen angivna ändamålen

 

kompletteras med en möjlighet att vidarebehandla uppgifter även för

 

ändamål som inte är oförenliga med insamlingsändamålet. Möjligheten

 

till vidarebehandling får således avgöras med tillämpning av finalitets-

 

principen. I flertalet registerlagar, däribland polisdatalagen, är ändamåls-

 

bestämmelserna utformade enligt det senare alternativet. Även Polisdata-

 

utredningen föreslår en sådan lösning. Promemorian förordar däremot att

97

ändamålen anges uttömmande enligt det förra alternativet. Den lösningen har också valts i lagen (2005:787) om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet.

En utgångspunkt bör vara att tillåtna ändamål anges så tydligt och full- ständigt som möjligt. Regeringen anser att de primära ändamålen bör anges uttömmande. En svårare fråga är om även de sekundära ändamå- len, som syftar till att beskriva för vilka ändamål uppgifter får tillhanda- hållas andra, bör anges uttömmande. Det kan finnas fördelar med en sådan reglering. Lagstiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart både för tillämpare och andra vilken personupp- giftsbehandling som får förekomma med stöd av den aktuella lagen. I förarbetena till flera registerlagar har man dock gjort bedömningen att det inte är möjligt att i en lag om personuppgiftsbehandling på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras.

Att bedöma nuvarande och förutse framtida behov av att kunna ut- lämna uppgifter är särskilt svårt i en sådan varierad och omfattande verk- samhet som polisens brottsbekämpande verksamhet. Flera remissinstan- ser har också pekat på att promemorians förslag avseende sekundära ändamål är för begränsande. Även Datainspektionen kritiserar promemo- rians förslag för att det inte innehåller någon hänvisning till finalitets- principen.

Datainspektionen är vidare kritisk till att det saknas krav på att ett när- mare preciserat insamlingsändamål anges och dokumenteras. Inspek- tionen menar att om inte finalitetsprincipen gäller och det inte ställs krav på specifika ändamål tillåts uppgifter flöda fritt inom polisens brottsbe- kämpande verksamhet.

Inledningsvis kan konstateras att Datainspektionens uppfattning att polisen vid insamling av uppgifter måste ha ett närmare preciserat ända- mål för insamlingen, t.ex. att utreda ett visst brott, har fog för sig. Därför föreslår regeringen, i motsats till promemorian, att den nya lagen ska hänvisa till 9 § första stycket c personuppgiftslagen (se avsnitt 6.4.2). Skyldigheten att ha ett preciserat ändamål för insamlingen kan visserli- gen sägas följa redan av de materiella bestämmelser som styr polisens verksamhet. Detsamma gäller för den fortsatta behandlingen. Varje åt- gärd (inklusive vidarebehandling), som polisen vidtar med insamlade uppgifter, måste naturligtvis ske för ett närmare preciserat ändamål (när det gäller lagringen, se avsnitt 14.1). I den nya lagen föreslås vidare be- stämmelser som ställer krav på att det av uppgifter som har gjorts gemensamt tillgängliga ska framgå för vilket närmare ändamål en uppgift behandlas, se avsnitt 10. Något annat krav på dokumentation kan inte anses nödvändigt. Något sådant krav finns inte heller i andra registerla- gar.

Den hänvisning till 9 § första stycket c personuppgiftslagen som rege- ringen föreslår ska tas in i den nya lagen innebär således att personupp- gifter endast får samlas in för särskilda, uttryckligt angivna och berätti- gade ändamål. Enligt finalitetsprincipen får insamlade uppgifter sedan inte behandlas för ändamål som är oförenliga med det ursprungliga än- damålet.

Prop. 2009/10:85

98

En av polisens av statsmakterna fastlagda övergripande uppgifter är att utreda brott och bekämpa brottslig verksamhet. Har personuppgifter samlats in för att utreda ett visst brott kan det generellt sett – mot bak- grund av polisens övergripande uppgift – inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma uppgifter för att utreda annat brott eller bekämpa brottslig verksamhet. I vissa undantagsfall har lagstiftaren dock bedömt att behandling för sådana nya ändamål inte bör vara tillåten. Uttrycklig reglering om detta har då införts. Sådan reglering finns i bl.a. 27 kap. 23 a § rättegångsbalken och 12 § lagen (2007:978) om hemlig rumsavlyssning, som begränsar användningen av s.k. över- skottsinformation från hemliga tvångsmedel till enbart de fall som direkt anges i paragrafen. Vidare kan det – när svenska myndigheter mottar uppgifter från andra stater – finnas villkor som på grund av en internatio- nell överenskommelse är bindande för de svenska myndigheterna och som begränsar möjligheterna att använda uppgifterna eller bevisningen. I bl.a. 3 § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp finns bestäm- melser som innebär att svenska myndigheter ska följa sådana villkor oav- sett vad som är föreskrivet i lag eller annan författning.

En grundtanke med förslaget är således att det inom polisen bör vara tillåtet att använda sig av uppgifter som samlats in för ett visst brottsbe- kämpande ändamål för ett annat sådant ändamål, om polisen har behov av detta och det är tillåtet enligt den reglering som gäller för polisens verksamhet. Under sistnämnda förutsättning bör vidarebehandling också få ske om det behövs för brottsbekämpande ändamål hos andra myndig- heter eller för vissa andra sekundära ändamål som kan förutses och som anses förenliga med finalitetsprincipen. Genom att ange de primära ändamålen och nämnda sekundära ändamål i lagen görs ställningstagan- det att vidarebehandling för dessa ändamål är förenlig med finalitetsprin- cipen.

Som tidigare nämnts bör enligt regeringens mening de primära ända- målen anges uttömmande i lagen. När det gäller de sekundära ändamålen bör dessa uttryckas så preciserat och fullständigt som möjligt. Mot bak- grund av vad remissinstanserna anför anser regeringen dock att vidarebe- handling därutöver bör vara möjlig om den är förenlig med finalitetsprin- cipen. För andra sekundära ändamål än de som anges i lagen bör utläm- nande alltså tillåtas under förutsättning att det i det enskilda fallet inte kan anses oförenligt med insamlingsändamålet att lämna ut uppgifterna. Som Lagrådet har anfört bör detta framgå uttryckligen i den paragraf i den nya lagen där de sekundära ändamålen anges.

I syfte att åstadkomma ett fullgott integritetsskydd kompletteras den föreslagna ändamålsregleringen vidare med andra bestämmelser som sätter gränser för behandlingen, t.ex. bestämmelser om tillgång till upp- gifter och om gallring. Det bör vidare framhållas att ett utlämnande alltid måste vara förenligt med offentlighets- och sekretesslagen (2009:400), vilket ger ett grundläggande integritetsskydd.

I avsnitten 7.2–7.4 diskuteras vilka de primära ändamålen för behand- lingen av personuppgifter i polisens brottsbekämpande verksamhet bör vara. Lagrådet har väckt frågan om utformningen av lagens primära ändamål är för begränsande. Regeringen gör bedömningen att så inte är fallet. I avsnitt 7.6 behandlas de sekundära ändamålen.

Prop. 2009/10:85

99

Bestämmelserna om ändamål för behandling av personuppgifter bör Prop. 2009/10:85 inte få hindra rationella rutiner för diarieföring och ärendehantering. Det

har föranlett särskilda överväganden som redovisas i avsnitt 7.5.

I 8 § första stycket personuppgiftslagen, som föreslås vara tillämplig på behandlingen av personuppgifter enligt den nya lagen, finns en erinran om att bestämmelserna i personuppgiftslagen inte ska tillämpas i den ut- sträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter. Bestämmelser i grundlag tar över bestämmelser i vanlig lag. Tryckfrihetsförordningens bestämmelser har därför företräde framför bestämmelserna i den nya polisdatalagen. Be- handling av personuppgifter kommer därmed alltid att vara tillåten för att uppfylla de krav som offentlighetsprincipen ställer.

7.2Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om det behövs för att förebygga, för- hindra eller upptäcka brottslig verksamhet.

Utredningen föreslår att bestämmelserna om kriminalunderrättelse- verksamhet och kriminalunderrättelseregister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är miss- tänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Utred- ningen föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter, om det är nödvändigt för att underlätta övervak- ning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller inte invänt mot förslaget att utmönstra begreppen kriminalunderrättelseverk- samhet och kriminalunderrättelseregister. Datainspektionen har dock ansett att nuvarande regler är väl avvägda. Majoriteten av remissinstan- serna har ställt sig positiv till förslaget om att införa särskilda bestäm- melser om behandling av uppgifter om personer som inte är misstänkta för brott.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna godtar prome-

morians förslag eller har inget att invända mot det. Datainspektionen anser att det finns ett stort behov av att modernisera lagstiftningen avse- ende kriminalunderrättelseverksamhet men tycker att den föreslagna regleringen är för generellt utformad. Den innebär enligt inspektionen att verksamheter med helt olika förutsättningar, behov och risker kommer att styras av samma reglering. Inspektionen efterlyser en analys av hur de olika brottsförebyggande verksamheterna påverkas av regleringen och menar att det inte utan en sådan analys går att göra en proportionalitets-

bedömning av det slag som förutsätts enligt bl.a. Europakonventionen.

100

För behandling av uppgifter som inte har gjorts gemensamt tillgängliga

Prop. 2009/10:85

anser inspektionen att den föreslagna regleringen helt saknar begräns-

 

ningar.

 

Kustbevakningen anser att rekvisitet ”förebygga” brottslig verksamhet

 

inte bör omfattas av ändamålen. Tullverket delar däremot promemorians

 

uppfattning att ”förebygga” bör inkluderas bland ändamålen.

 

Skälen för regeringens förslag

 

Begreppet kriminalunderrättelseverksamhet bör inte användas

 

Inledningsvis måste ställning tas till i vilken utsträckning personuppgifter

 

bör få behandlas inom ramen för brottsbekämpande verksamhet som inte

 

avser utredning eller beivrande av ett bestämt brott. Hittills har sådan

 

personuppgiftsbehandling skett inom ramen för polisdatalagens

 

(1998:622) bestämmelser om kriminalunderrättelseverksamhet och kri-

 

minalunderrättelseregister. Å ena sidan måste polisen, för att kunna be-

 

driva ett framgångsrikt brottsförebyggande arbete, få behandla uppgifter

 

om personer som inte är misstänkta för något konkret brott men väl för

 

att medverka i pågående eller planerad brottslig verksamhet. Å andra

 

sidan skulle en möjlighet för polisen att utan någon närmare begränsning

 

behandla personuppgifter som inte har samband med något konkret brott

 

öppna vägen för en omfattande behandling av personuppgifter med bety-

 

dande risker för intrång i den personliga integriteten.

 

Underrättelseverksamhet definieras i 3 § första stycket polisdatalagen

 

som polisverksamhet som består i att samla in, bearbeta och analysera in-

 

formation för att klarlägga om brottslig verksamhet har utövats eller kan

 

komma att utövas och som inte utgör förundersökning enligt 23 kap.

 

rättegångsbalken. Motsvarande definition finns i 2 § första stycket lagen

 

(1999:90) om behandling av personuppgifter vid Skatteverkets medver-

 

kan i brottsutredningar och i 2 § första stycket i den numera upphävda

 

lagen (2001:85) om behandling av personuppgifter i Tullverkets brotts-

 

bekämpande verksamhet. I polisdatalagen tar begreppet sikte på all un-

 

derrättelseverksamhet som bedrivs hos polisen. För sådan underrättel-

 

severksamhet som bedrivs av annan än Säkerhetspolisen används i sist-

 

nämnda lag begreppet kriminalunderrättelseverksamhet.

 

Som tidigare nämnts tillåter polisdatalagen inte att personuppgifter be-

 

handlas i kriminalunderrättelseverksamhet annat än under vissa förut-

 

sättningar som anknyter till hur polisen ska bedriva sådan verksamhet.

 

En förutsättning är att en särskild undersökning har inletts (14 § första

 

stycket polisdatalagen). Med begreppet särskild undersökning avses en

 

undersökning i kriminalunderrättelseverksamhet som innebär insamling,

 

bearbetning och analys av uppgifter i syfte att ge underlag för beslut om

 

förundersökning eller om särskilda åtgärder för att förebygga, förhindra

 

eller upptäcka brott. Har en särskild undersökning inletts, får personupp-

 

gifter behandlas, om det finns anledning att anta att allvarlig brottslighet

 

har utövats eller kan komma att utövas.

 

Vidare får personuppgifter behandlas i kriminalunderrättelseregister

 

för att ge underlag för de nyss nämnda särskilda undersökningarna eller

 

underlätta tillgången till allmänna uppgifter med anknytning till under-

 

rättelseverksamhet (17 § polisdatalagen). Sådana register får innehålla

101

uppgifter som kan hänföras till en enskild person endast om uppgifterna Prop. 2009/10:85 ger anledning att anta att allvarlig brottslig verksamhet utövats eller kan

komma att utövas och de som avses med uppgifterna skäligen kan miss- tänkas för att ha utövat eller komma att utöva den brottsliga verksamhe- ten (19 § polisdatalagen). Vissa indirekta personuppgifter, t.ex. uppgifter om transportmedel, får också behandlas i registren.

Som både Polisdatautredningen och promemorian framhåller är polis- datalagens systematik med reglering av kriminalunderrättelseverksamhet och kriminalunderrättelseregister, ägnad att ge upphov till tillämpnings- svårigheter. Definitionen av kriminalunderrättelseverksamhet täcker även sådan behandling av personuppgifter som rimligen inte är så känslig att den behöver regleras särskilt. Den omfattar, utöver det arbete som sker inom ramen för särskilda undersökningar, även polisens dagliga löpande arbete med att hantera information som på olika sätt kan bidra till att förebygga, förhindra eller upptäcka brottslig verksamhet. Eftersom polis- datalagen utgår från att all behandling av uppgifter för de nu aktuella ändamålen ska ske inom ramen för särskilda undersökningar eller krimi- nalunderrättelseregister, har lagen kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande. Samtidigt har regleringen skapat oklarheter beträffande flera andra register som polisen för. Polisdatautredningen och promemorian pekar på att det kan ifråga- sättas om inte behandlingen av personuppgifter i vissa existerande polis- register till viss del skulle kunna tolkas som kriminalunderrättelseverk- samhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än under de särskilda förutsättningar som gäller för behand- ling av uppgifter i kriminalunderrättelseverksamhet.

Av dessa skäl bör man, som både Polisdatautredningen och promemo- rian föreslår, inte använda begreppet kriminalunderrättelseverksamhet i den nya lagen.

Ändamålen bör vara att förebygga, förhindra eller upptäcka brottslig verksamhet

Som nyss har nämnts användes begreppet underrättelseverksamhet i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen i samma ämne. Den lagen innehåller i stäl- let bestämmelser om behandling av personuppgifter för ändamålen att förhindra eller upptäcka brottslig verksamhet. Samma lösning bör väljas för polisens del. I förtydligande syfte bör bestämmelsen även innehålla ordet förebygga. Tullverket uttalar sitt stöd för detta tillägg. Av den nya lagen bör alltså framgå att personuppgifter får behandlas för att före- bygga, förhindra eller upptäcka brottslig verksamhet. Därmed kommer bestämmelsen att ge utrymme för personuppgiftsbehandling inom all egentlig brottsbekämpande verksamhet inom polisen som inte direkt kan knytas till en brottsutredning, däribland behandling i polisens under- rättelseverksamhet. Både behandling av mera rutinmässig karaktär, t.ex. ordbehandling, och behandling av mera kvalificerat slag kommer att omfattas av bestämmelsen.

102

Kustbevakningen anser att det strider mot en väl etablerad rättslig ter- minologi att låta ”förebygga brottslig verksamhet” omfattas av beskriv- ningen av kriminalunderrättelseverksamhet och att det skapar en påtaglig otydlighet i förhållande till den ordningshållande verksamheten. Som nyss nämnts är avsikten inte att det nu behandlade ändamålet enbart ska omfatta vad som traditionellt sett har betecknats som kriminalunderrät- telseverksamhet, utan vara något vidare. Frågan om eventuella gräns- dragningsproblem i förhållande till annan polisiär verksamhet behandlas i avsnitt 6.3.

Vilka begränsningar bör gälla för behandlingen?

Regleringen i polisdatalagen av behandling av personuppgifter i krimi- nalunderrättelseverksamhet har som tidigare nämnts lett till tillämpnings- problem. Regleringen av formen för behandlingen i särskilda undersök- ningar och kriminalunderrättelseregister har dessutom ansetts för begrän- sande för att tillgodose polisens behov av att bedriva en modern och effektiv brottsbekämpande verksamhet.

Frågan är om det är lämpligt att i en lag som reglerar personuppgifts- behandling reglera i vilken form en myndighet ska bedriva sitt arbete. Så bör vara fallet endast om det är nödvändigt för regleringen av själva personuppgiftsbehandlingen. Avsikten med en sådan lag bör inte vara att detaljreglera en myndighets verksamhet. En detaljreglering försvårar också myndighetens möjlighet att anpassa sina arbetsformer till föränd- rade krav och förväntningar. Från integritetsskyddssynpunkt är det, som både Polisdatautredningen och promemorian har funnit, inte nödvändigt att i den nya lagen införa bestämmelser om arbete i projektform motsva- rande de bestämmelser som finns om s.k. särskilda undersökningar. Från integritetsskyddssynpunkt finns det inte heller skäl att införa särskilda bestämmelser om kriminalunderrättelseregister.

Som nämns i avsnitt 7.1 och utvecklas närmare i avsnitt 9, bör olika regler gälla för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och behandling av personuppgifter som endast ett fåtal tjänstemän har tillgång till. Skillnad bör göras mellan behandling av personuppgifter som sker i större respektive mindre projekt. Utgångs- punkterna som bör gälla för gränsdragningen mellan större och mindre projekt redovisas i avsnitt 9.1. Som polisen har påpekat kommer den allra största delen av dess personuppgiftsbehandling att omfattas av reglerna för behandling av gemensamt tillgängliga uppgifter. För denna behand- ling bör ett flertal begränsande bestämmelser gälla som syftar till att åstadkomma en väl avvägd balans mellan verksamhetsintressen och integritetsskyddsintressen (jfr bl.a. avsnitt 9–11 och 14). För övrig be- handling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet är det däremot tillräckligt från integritetsskyddssynpunkt att grundläggande dataskyddsbestämmelser gäller.

Regeringen delar således inte Datainspektionens uppfattning att den reglering som föreslås i promemorian inte begränsar polisens möjligheter att behandla personuppgifter i tillräckligt hög grad. Det finns andra be- stämmelser som styr hur polisen ska bedriva sin verksamhet. Den polis- man som – för att ta ett av inspektionens exempel – i den egna datorn

Prop. 2009/10:85

103

samlar uppgifter om allmänt misskötsamma ungdomar utan att ha ett bestämt brottsbekämpande syfte med behandlingen gör sig sannolikt skyldig till en tjänsteförseelse som kan beivras disciplinärt. Det bör dock betonas att det i det brottsförebyggande arbetet kan finnas sakliga skäl för exempelvis närpolisen att anteckna uppgifter om ungdomar i närom- rådet som bedöms befinna sig i riskzonen för att inleda en brottslig bana. Bedömningen kan t.ex. grunda sig på information från skola, föräldrar eller socialtjänst. Sådana noteringar har polisen alltid gjort. Bara för att anteckningar numera sker med hjälp av en dator bör behandlingen inte anses otillåten.

Vilken verksamhet omfattas av ändamålen?

Behandling av personuppgifter i brottsbekämpande verksamhet där det inte finns någon misstanke om ett konkret brott är särskilt känslig från integritetssynpunkt. Som Datainspektionen framhåller ingår i polisens uppgifter verksamheter av skilda slag där behovet av att behandla integ- ritetskänsliga uppgifter varierar. Datainspektionen efterfrågar en redogö- relse för de skilda behov och förutsättningar som olika brottsförebyg- gande verksamheter medför och en analys av hur den föreslagna regle- ringen kan komma att påverka de olika verksamheterna. Nedan följer en beskrivning av den verksamhet som är tänkt att omfattas av ändamålen förebygga, förhindra eller upptäcka brottslig verksamhet och hur polisen organiserar detta arbete. Redogörelsen är inte uttömmande. Den illustre- rar svårigheten att dra en klar gräns mellan de olika verksamheter som inryms i ändamålen.

Den verksamhet som framför allt avses med de aktuella ändamålen är den som normalt kallas underrättelseverksamhet. Arbetet består främst i att samla in, bearbeta och analysera information och bedrivs numera enligt polisens underrättelsemodell (PUM). Detta är en modell för led- ning och styrning av planlagd operativ polisverksamhet där beslut om inriktning, prioritering och genomförande baseras på underrättelser och annan relevant kunskap. Enligt modellen ska underrättelseverksamhet bedrivas på lokal, regional och central nivå. Polisen beskriver den nuva- rande verksamheten på följande sätt.

Den lokala kriminalunderrättelsetjänsten finns på samtliga polismyn- digheter och utgör basen i underrättelseverksamheten. Dels arbetar den med de problem som är viktiga för den egna polismyndigheten, dels medverkar den i kriminalunderrättelseverksamhet som har regional, nationell och internationell bäring.

regional nivå finns för närvarande sju samverkansområden. För att knyta samman den lokala och nationella kriminalunderrättelseverksam- heten finns det, utifrån vad som överenskommits mellan polismyndighe- terna i respektive samverkansområde, en regional nivå för kriminalunder- rättelsetjänsten. Den regionala kriminalunderrättelsetjänsten ska vara samverkans- och samordningsfunktion för kriminalunderrättelsetjänsten inom respektive samverkansområde samt mellan dessa områden. Den ska också utgöra en länk till Rikskriminalpolisens nationella kriminalunder- rättelsetjänst. Polismyndigheterna i Västra Götaland, Stockholms län och Skåne har under några år i projektform drivit regionala underrättelse-

Prop. 2009/10:85

104

centrum där både brottsbekämpande och andra myndigheter ingår. Exempel på det senare är Kronofogdemyndigheten och Skatteverkets fiskala del. Dessa underrättelsecentrum har under våren 2009 permanen- tats och fem nya har inrättats.

Den nationella kriminalunderrättelseverksamheten bedrivs vid Riks- kriminalpolisen och är huvudsakligen inriktad mot grova brott och grov organiserad brottslighet på nationell och internationell nivå. Rikskrimi- nalpolisen ska inom vissa prioriterade områden bedriva långsiktiga ope- rativa underrättelseprojekt samt strategiska projekt. Underrättelsesektio- nen vid Rikskriminalpolisen utgör således ett nationellt underrättelse- centrum. Av intresse här är Rikskriminalpolisens del i samordningen av den nationella satsningen mot grov organiserad brottslighet i Samver- kansrådet och i det Operativa rådet.

I departementspromemorian Nationell mobilisering mot den grova or- ganiserade brottsligheten – överväganden och förslag (Ds 2008:38) läm- nas ett flertal förslag, bl.a. på hur organisationen av polisens underrättel- severksamhet kan utvecklas. Med anledning av promemorian gav rege- ringen i juli 2008 Rikspolisstyrelsen i uppdrag att vidta åtgärder för att säkerställa en effektiv och uthållig verksamhet för bekämpning av den grova organiserade brottsligheten (dnr Ju2008/5776/PO). I slutredovis- ningen av uppdraget framgår bl.a. att polisen har vidtagit följande åtgär- der (dnr Ju2009/5516/PO).

Förutom att det har inrättats ytterligare fem regionala underrättelse- centrum har det tidigare Operativa rådet vid Rikskriminalpolisen delats upp i ett samverkansråd och ett nytt operativt råd. Råden består av repre- sentanter för polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tull- verket, Kustbevakningen, Skatteverket, Kriminalvården och Kronofog- demyndigheten. Samverkansrådet har som huvuduppgift att besluta om en gemensam nationell inriktning för insatserna mot grov organiserad brottslighet. Operativa rådet har till uppgift att fatta beslut om operativa insatser mot grov organiserad brottslighet som förutsätter medverkan från olika myndigheter. Inom polisen har det vidare inrättats en nationell strategisk ledningsgrupp för att fastställa en polisiär gemensam strategisk inriktning för arbetet mot den grova organiserade brottsligheten. I denna ingår, utöver representanter för Rikspolisstyrelsen, länspolismästarna vid de polismyndigheter som har regionala underrättelsecentrum.

Inhämtning av underrättelseinformation sker på flera olika sätt. I stor utsträckning sker det genom öppna källor, men en inte obetydlig del av inhämtningen sker genom informatörer eller andra hemliga källor. En viktig del i underrättelsetjänsten utgörs av s.k. inre spaning, dvs. sökande efter information som redan finns tillgänglig inom polisen. I detta arbete ingår bl.a. sökning i register. Genom samarbete med andra myndigheter, företag och andra inhämtas också information. Även internationellt sam- arbete spelar en stor roll. Det gäller såväl organiserat polisiärt samarbete i multilaterala eller bilaterala former som mera informellt sådant samar- bete. Genom kontakter med bl.a. myndigheter i andra länder får polisen också information inom ramen för underrättelseverksamhet.

Utifrån hur polisen organiserat sin underrättelseverksamhet kan, något förenklat, polisens underrättelsemodell beskrivas på följande sätt. Krimi- nalunderrättelsetjänsten samlar in information, både på egen hand och genom att ta emot information som samlas in av andra enheter inom

Prop. 2009/10:85

105

polisen. Informationen bearbetas och analyseras och leder fram till underrättelser. Underrättelserna delges den operativa ledningen som med underrättelserna som underlag fattar beslut om prioriteringar och ade- kvata brottsförebyggande aktiviteter (planlagd linjeverksamhet och plan- lagd insats). Kriminalunderrättelsetjänsten avgör vilken underrättelse- information som ska delges de tjänstemän inom polisen som bedriver brottsbekämpande verksamhet. Vilka uppgifter som delges styrs av de prioriteringar som den operativa ledningen har beslutat och av över- väganden som tar sikte på integritetsskyddsintressen.

Den aktuella modellen bygger således på ett flöde av information. Alla anställda inom polisen har ett ansvar för att inhämta information. Om en polisman gör iakttagelser som bedöms ha samband med misstänkt brottslig verksamhet ska informationen samlas in, dokumenteras och vidarebefordras till kriminalunderrättelsetjänsten. Informationsinhämt- ningen ska koncentreras till prioriterade problem. Kriminalunderrättelse- tjänsten ansvarar för att annan personal inom polisen ständigt hålls infor- merad om inom vilka områden uppgifter främst efterfrågas, dvs. vilka de prioriterade underrättelsebehoven är. Polismän i yttre tjänst ska känna till vilka företeelser eller personer som det är särskilt viktigt att vara upp- märksam på. Den information som delges polismän i yttre tjänst kan vara av mer generellt slag eller avse vissa utpekade personer, t.ex. några som misstänks för delaktighet i brottslig verksamhet. Merparten av under- rättelseinformationen stannar inom kriminalunderrättelsetjänsten. Det är i huvudsak slutsatserna av analys och bearbetning som förmedlas till andra delar av polisen.

Den beskrivna modellen förutsätter att uppgifter som inte rör misstanke om något konkret brott men väl misstanke om brottslig verksamhet, får behandlas automatiserat. Sådan behandling behövs bl.a. för insamling, dokumentation, förmedling till kriminalunderrättelsetjänsten, bearbetning och analys samt för vidareförmedling av relevant underrättelseinforma- tion.

Personuppgiftsbehandling behövs enligt regeringens mening både i verksamhet vid särskilda underrättelseenheter och i den operativa verk- samheten som i polisens underrättelsemodell beskrivs som planlagd linjeverksamhet och planlagd insats. Behoven av att behandla uppgifter och omfattningen av behandlingen skiljer sig dock åt.

Brottsförebyggande arbete bedrivs ofta i projektform på lokal, regional och nationell nivå. Storleken på projekten varierar liksom varaktigheten. Projekt är inte sällan myndighetsöverskridande. Den verksamhet som bedrivs kan sägas vara underrättelsestyrd eftersom projekten ofta startas för att komma till rätta med någon typ av brottslighet som är prioriterad. Syftet med ett projekt kan bl.a. vara att ta fram modeller och metoder i arbetet med att förebygga brott inom ett visst område. Många projekt bedrivs utan att någon personuppgiftsbehandling är nödvändig. Andra projekt förutsätter sådan behandling. Som exempel på det senare kan nämnas projekt som syftar till att komma till rätta med ungdomsbrotts- ligheten i ett visst område. Sådana projekt bedrivs för närvarande van- ligtvis inom ramen för en särskild undersökning.

Sammanfattningsvis har polisen ett stort behov av att kunna behandla personuppgifter även i sådan brottsbekämpande verksamhet som inte avser utredning eller beivrande av ett bestämt brott. En grundläggande

Prop. 2009/10:85

106

förutsättning bör vara att behandlingen ska behövas för att förebygga, Prop. 2009/10:85 förhindra eller upptäcka brottslig verksamhet.

I sammanhanget är det viktigt att framhålla att underrättelseverksamhet i traditionell mening även fortsättningsvis kommer att bedrivas vid sär- skilda enheter med särskilt utbildade tjänstemän. Det är också en naturlig del i underrättelsearbete att begränsa antalet tjänstemän som får del av viss information, t.ex. när man kartlägger organiserad eller annan allvar- lig brottslighet. Det innebär allmänt sett en risk att sprida uppgifter av underrättelsekaraktär till en vidare krets. Den faktiska tillgången till uppgifter kommer alltså att variera beroende på hur känsliga uppgifterna är och behovet av tillgång till uppgifterna. Utvecklingen inom polisen går mot att öka kompetensen hos den personal som analyserar och bearbetar särskilt känslig information. Vidare utvecklas fortlöpande olika modeller för att värdera information.

7.3Utreda och beivra brott

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om det behövs för att utreda eller be- ivra brott.

Utredningens förslag: Personuppgifter ska alltid få behandlas, om det är nödvändigt för att bedriva utredning i fråga om brott som hör under allmänt åtal.

Remissinstanserna har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet av remissinstanserna tillstyrker eller har

inget att invända mot promemorians förslag. Datainspektionen anser att den föreslagna ändamålsbestämmelsen har en låg grad av konkretion och att det torde krävas att det anges för vilket närmare slag av brott som behandling sker.

Skälen för regeringens förslag: Att utreda och beivra brott är en cen- tral uppgift för polisen. Arbetet sker framför allt inom ramen för förun- dersökningar enligt 23 kap. rättegångsbalken. Exempel på sådant arbete är spaning, förhör, informationsbearbetning och olika former av besluts- fattande, bl.a. om tvångsmedelsanvändning. Till uppgiften att utreda och beivra brott hör också sådant arbete som sker inom ramen för förenklade förfaranden vilka kan mynna ut i utfärdande av strafföreläggande eller föreläggande av ordningsbot. Hit hör även utredningar som polisen gör enligt reglerna i 23 kap. rättegångsbalken med stöd av bestämmelser i särskilda författningar, t.ex. utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 9 § lagen (1988:688) om besöksförbud, 8 § lagen (2005:321) om tillträdesförbud vid idrottsarran- gemang, 16 § lagen (1957:668) om utlämning för brott, 10 § lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge och 4 kap. 3 § lagen (2003:1156) om överlämnande från Sverige

enligt en europeisk arresteringsorder. I arbetet med att utreda och beivra

107

brott innefattas också sådan behandling av personuppgifter som sker med Prop. 2009/10:85 stöd av 23 kap. 3 och 8 §§ rättegångsbalken innan förundersökning har

inletts samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutred- ning. Till uppgiften att beivra brott hör främst föreläggande av ordnings- bot men också biträde åt åklagare bl.a. i ärenden om undanröjande av ordningsbot eller strafföreläggande, ändring av påföljd och utlämning för verkställighet av straff.

Arbetet med att utreda och beivra brott skiljer sig åt från arbetet med att förebygga, förhindra eller upptäcka brottslig verksamhet. I det förra fallet utförs arbetet med anledning av att ett konkret brott har eller miss- tänks ha begåtts, medan arbetet i det senare fallet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkreti- seras eller allmänna misstankar om framtida brott. Det är självklart att personuppgifter måste få behandlas även inom ramen för arbetet med att utreda och beivra brott. En förutsättning är givetvis att behandlingen behövs för ändamålet.

Datainspektionen anser att de i promemorian föreslagna ändamålen är för vaga och torde rymma de flesta uppgifter som skulle kunna samlas in. Som nämns i avsnitt 7.2 regleras emellertid polisens verksamhet av en mängd olika bestämmelser som gäller utöver regleringen av personupp- giftsbehandling. De bestämmelser som styr polisens verksamhet att ut- reda och beivra brott torde regelmässigt utesluta varje form av åtgärd i fall där koppling saknas till en specifik brottsmisstanke. Här kan bl.a. erinras om skyldigheten att fatta ett formellt beslut om att inleda förun- dersökning och att dokumentera detta enligt 1 a § förundersökningskun- görelsen (1947:948). Motsvarande krav gäller när en förundersökning utvidgas till att omfatta nya brott. Mot denna bakgrund kan det inte anses nödvändigt med några ytterligare begränsningar i fråga om vilka uppgif- ter som ska få behandlas för ändamålen utreda eller beivra brott. På samma sätt som föreslås i fråga om personuppgiftsbehandling för att förebygga, förhindra eller upptäcka brottslig verksamhet bör endast de grundläggande bestämmelserna i den nya lagen vara tillämpliga så länge uppgifterna inte görs gemensamt tillgängliga.

7.4Internationellt samarbete

Regeringens förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet, om detta krävs för att fullgöra ett internationellt åtagande.

Utredningen föreslår inte några särskilda ändamålsbestämmelser för det internationella samarbetet.

Remissinstanserna har inte yttrat sig i saken. Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen påpe- kar att samarbetet inom Interpol sker på grundval av överenskommelser

108

mellan medlemsstaterna och att det är tveksamt om det omfattas av pro- memorians definition av ”internationella åtaganden”. Styrelsen anser där- för att Interpol-samarbetet bör kommenteras särskilt under den fortsatta beredningen. Styrelsen anser vidare att det bör klargöras att trafiköver- vakning inom ramen för EU-samarbetet omfattas av den föreslagna lagen.

Skälen för regeringens förslag: Med ökad internationalisering och större rörlighet för såväl personer och kapital som varor och tjänster följer starkare krav på polisiärt samarbete över gränserna, särskilt om all- varlig och organiserad brottslighet ska kunna bekämpas effektivt. Det polisiära samarbetet regleras i stor utsträckning genom olika interna- tionella överenskommelser, såväl multilaterala som bilaterala. En själv- klar utgångspunkt är att Sverige på bästa sätt ska fullgöra sina internatio- nella åtaganden i fråga om polisiärt samarbete över gränserna. Med inter- nationella åtaganden avses här folkrättsligt bindande förpliktelser. Så- dana åtaganden avser framför allt samarbete med utländska brottsbekäm- pande myndigheter och med mellanfolkliga organisationer. Samarbetet behöver inte avse brott eller brottslig verksamhet inom den svenska poli- sens ansvarsområde.

Om det finns ett förpliktande åtagande för polisen att samla in, bear- beta eller lämna ut uppgifter till en utländsk myndighet eller en mellan- folklig organisation måste detta åtagande kunna fullgöras med hjälp av modern teknik. Den nya lagen bör därför ge möjlighet till personupp- giftsbehandling i internationellt samarbete. Mot bakgrund härav föreslås en särskild ändamålsbestämmelse som ger stöd för sådan behandling av personuppgifter.

En stor del av det polisiära samarbetet över gränserna äger rum som ett led i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behand- lingen av personuppgifter och utlämnandet av information sker då med stöd av de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller beivra brott i Sverige.

Polisens internationella samarbete regleras i en rad olika författningar. Några av de viktigaste är lagen (2000:343) om internationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samar- bete i brottsutredningar och lagen (2000:344) om Schengens informa- tionssystem. Dessa lagar tar direkt sikte på polisiärt samarbete över grän- serna. För att fullgöra åtaganden om sådant samarbete måste polisen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det. Det som regleras i nyssnämnda författningar är främst vilka typer av samarbete som ska förekomma. Hur kommuni- kationen ska ske ägnas mindre utrymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen (2000:562) om internatio- nell rättslig hjälp i brottmål, lagen (1957:668) om utlämning för brott, lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge och lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut, bygger också på folkrättsligt bindande överenskommelser. Indirekt ställs det samma krav på behand- ling av personuppgifter vid rättslig hjälp som vid polisiärt samarbete över gränserna. Enligt den svenska regleringen är det åklagare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av

Prop. 2009/10:85

109

tvångsmedel anlitar åklagaren biträde av polisen på samma sätt som i en svensk brottsutredning. Det innebär att polisen måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

Det internationella samarbetet äger i allt större utsträckning rum genom direktkontakter mellan polismyndigheter. En ökande del av det polisiära samarbetet sker dock via den internationella kriminalpolisorganisationen ICPO-Interpol (Interpol) eller det polisiära samarbetsorganet inom EU, Europol. Det finns inte några särskilda författningar som reglerar poli- sens samarbete med dessa organ. De författningsbestämmelser som reg- lerar samarbetet, och som är av intresse i detta sammanhang, rör infor- mationsutbyte och finns i polisdatalagen, lagen om belastningsregister, lagen om misstankeregister samt lagen om Schengens informationssy- stem.

Det kan anmärkas att det utbyts stora mängder information i det inter- nationella samarbetet. Som exempel kan nämnas att under år 2007 tog Interpol Stockholm emot 43 500 elektroniska meddelanden och skickade omkring 6 300 meddelanden. Till Sirene-kontoret (Schengen/SIS) inkom ungefär 44 000 meddelanden och skickades omkring 5 000 formulär. Det är således fråga om material i sådan omfattning att det omöjligen kan hanteras manuellt. Åtagandena att lämna och ta emot information måste således kunna fullgöras med hjälp av modern teknik.

Det sagda innebär att det krävs att den nya lagen medger behandling av personuppgifter för att fullgöra internationella åtaganden. Den behand- ling som åsyftas kan bestå i insamlande och sammanställning av skriftligt material, kontroll i register eller annat. I vissa fall kan det vara fråga om personuppgiftsbehandling som sträcker sig över en längre tid.

På sikt kommer sannolikt en del av dagens informationsutbyte – inom främst EU – att ersättas av system där polismyndigheter i olika länder får direktåtkomst till vissa uppgifter i varandras register. En sådan föränd- ring inverkar dock inte på polisens behov av att kunna behandla uppgifter som ett led i internationellt samarbete.

Rikspolisstyrelsen väcker frågan om Interpol-samarbetet utgör ett så- dant internationellt åtagande som avses i promemorians förslag. Interpol är en organisation för polissamarbete som av Förenta Nationerna har erkänts som en mellanstatlig organisation. De förpliktelser för svenskt vidkommande som kan följa med medlemskapet i Interpol får anses vara ett sådant åtagande som, enligt den föreslagna lagen, medger behandling av personuppgifter.

Rikspolisstyrelsen anser också att det bör klargöras att övervakning av vägtrafiken inom ramen för EU-samarbetet omfattas av den föreslagna lagen. Som redovisas i avsnitt 6.3 bör lagens tillämpningsområde omfatta endast den brottsbekämpande verksamheten medan personuppgiftsbe- handling i annan polisiär verksamhet ska regleras av personuppgifts- lagen. Då flera olika verksamheter inom polisen, däribland trafikövervak- ning, kan utgöra såväl brottsbekämpande som icke-brottsbekämpande verksamhet innebär en sådan gränsdragning att polisen i varje enskilt fall måste ta ställning till syftet med en viss åtgärd eller behandling. I den mån EU-samarbetet ålägger polisen att t.ex. lagra och utbyta trafiköver- vakningsinformation som innehåller personuppgifter får polisen avgöra om behandlingen sker inom ramen för brottsbekämpande verksamhet

Prop. 2009/10:85

110

eller inte. Är det fråga om brottsbekämpande verksamhet omfattas be- Prop. 2009/10:85 handlingen av den nya lagen.

7.5

Behandling av uppgifter för diarieföring m.m.

 

 

 

 

 

 

Regeringens förslag: Personuppgifter ska alltid få behandlas om be-

 

 

 

handlingen är nödvändig för diarieföring eller om uppgifterna har

 

 

 

lämnats till polisen i en anmälan eller liknande och behandlingen är

 

 

 

nödvändig för handläggningen.

 

 

 

 

 

 

 

Utredningens förslag överensstämmer delvis med promemorians. Ut-

 

redningen föreslår en särskild bestämmelse enligt vilken det alltid ska

 

vara tillåtet att diarieföra personuppgifter och behandla dem i löpande

 

text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för

 

handläggningen av det. Med löpande text avses enligt utredningen text

 

som inte har strukturerats så att sökning av personuppgifter underlättas.

 

 

Remissinstanserna har inte haft någon invändning mot förslaget.

 

 

Promemorians förslag överensstämmer med regeringens.

 

 

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte

 

något att invända mot förslaget. Kustbevakningen anför att bestämmelsen

 

möjligen bör formuleras på ett annat sätt eftersom begreppet ”diariefö-

 

ring” inte återfinns i sekretesslagens (numera offentlighets- och sekre-

 

tesslagen; 2009:400) bestämmelser om registrering och utlämnande av

 

allmänna handlingar. Sveriges advokatsamfund efterfrågar förtydliganden

 

och anser bl.a., liksom Skatteverket, att det bör klargöras hur förslaget

 

förhåller sig till de föreslagna bestämmelserna om gemensamt tillgäng-

 

liga uppgifter.

 

Skälen för regeringens förslag

 

Det bör införas en särskild ändamålsbestämmelse för diarieföring m.m.

 

Rikspolisstyrelsen och polismyndigheterna tar dagligen emot stora mäng-

 

der information av vitt skilda slag, ofta i elektronisk form. De inkom-

 

mande uppgifterna kan utgöra en del av en allmän handling i tryckfri-

 

hetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretess-

 

lagen gäller som huvudregel att allmänna handlingar som kommit in till

 

eller upprättats hos en myndighet ska registreras, dvs. diarieföras, så

 

snart som möjligt. Syftet med bestämmelsen är bl.a. att garantera allmän-

 

hetens rätt att få tillgång till allmänna handlingar. I 5 kap. 2 § offentlig-

 

hets- och sekretesslagen uppställs vissa minimikrav beträffande upp-

 

gifterna i ett register. När en handling registreras ska det av registret

 

framgå (1) datum då handlingen kom in eller upprättades, (2) diarie-

 

nummer eller annan beteckning handlingen fått vid registreringen, (3) i

 

förekommande fall uppgifter om handlingens avsändare eller mottagare

 

och (4) i korthet vad handlingen rör. Utgångspunkten är att dessa upp-

 

gifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna

 

3 och 4 ska utelämnas eller särskiljas, om det behövs för att registret i

 

övriga delar ska kunna företes för allmänheten.

111

Vid sidan av skyldigheten att registrera allmänna handlingar ska enligt 5 § andra stycket förvaltningslagen (1986:223) en myndighet se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e- post och att svar kan lämnas på samma sätt.

Som framgår av avsnitt 7.1 föreslås att ändamålsregleringen utformas så att de primära ändamålen, dvs. de ändamål som ska tillgodose behovet av personuppgiftsbehandling i polisens egen verksamhet, anges uttöm- mande. Bestämmelserna ger polisen möjlighet att behandla personupp- gifter som behövs bl.a. för att förebygga, förhindra eller upptäcka brotts- lig verksamhet eller för att utreda eller beivra brott. När en personuppgift kommer in till en myndighet, t.ex. i ett e-postmeddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en allmän handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlighet att ta emot och diarieföra personuppgif- ter i elektronisk form, liksom att behandla dem i det ärende som hand- lingen föranleder, oavsett om myndigheten anser att dessa behövs eller inte.

Mot denna bakgrund bör, som både Polisdatautredningen och prome- morian föreslår, det införas bestämmelser som säkerställer att polisen alltid kan diarieföra allmänna handlingar samt ta emot och behandla personuppgifter i en handling i enlighet med förvaltningslagens bestäm- melser. Bestämmelserna bör endast ge utrymme för sådan behandling som krävs för en korrekt hantering av en inkommen handling, i huvudsak diarieföring eller mottagande och besvarande av en framställan. Det är således inte möjligt att med stöd av de aktuella bestämmelserna behandla uppgifter i en brottsutredning eller i underrättelseverksamhet. Sådan behandling ska i stället ske med stöd av någon av de övriga ändamåls- bestämmelserna. Bestämmelserna om diarieföring m.m. bör utformas i överensstämmelse med promemorians förslag. Uttrycket ”löpande text” bör inte användas i författningstexten, eftersom informationstekniken medger att även texter som inte på förhand har strukturerats på ett visst bestämt sätt kan bli föremål för detaljerade och preciserade sökningar. Av bestämmelserna bör framgå att personuppgifter alltid får behandlas, dels om behandlingen är nödvändig för diarieföring, dels om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Kustbevakningen pekar på att man i de aktuella bestämmelserna i sek- retesslagen inte använder begreppet ”diarieföring” och väcker frågan om bestämmelserna om diarieföring m.m. möjligen bör formuleras om. Det finns enligt regeringens mening inte skäl att frångå promemorians for- mulering, som tydligt beskriver den behandling som avses. Begreppet ”diarieföring” får vidare anses vara ett vedertaget begrepp för den typ av registrering som regleras i 5 kap. offentlighets- och sekretesslagen.

Prop. 2009/10:85

112

Förhållandet till bestämmelserna om gemensamt tillgängliga uppgifter

Prop. 2009/10:85

Som diskuteras närmare i avsnitt 9 kommer den föreslagna lagen att

 

skilja mellan personuppgifter som endast ett fåtal personer har tillgång

 

till och personuppgifter som görs eller har gjorts gemensamt tillgängliga

 

i polisens brottsbekämpande verksamhet. För gemensamt tillgängliga

 

uppgifter föreslås lagen innehålla särskilda, mera begränsande, bestäm-

 

melser. Skatteverket och Sveriges advokatsamfund efterfrågar en analys

 

av hur de föreslagna bestämmelserna om diarieföring m.m. förhåller sig

 

till bestämmelserna om gemensamt tillgängliga uppgifter.

 

Personuppgifter som behandlas med stöd av de föreslagna bestämmel-

 

serna om diarieföring m.m. kommer i vissa fall att bli tillgängliga för en

 

större krets personer, t.ex. i diarier. De skulle därmed i och för sig kunna

 

sägas utgöra gemensamt tillgängliga uppgifter. De föreslagna bestäm-

 

melserna för gemensamt tillgängliga uppgifter har till syfte att reglera

 

sådan behandling som sker i för verksamheten gemensamma uppgifts-

 

samlingar. Syftet med de nu aktuella ändamålsbestämmelserna är emel-

 

lertid inte att möjliggöra behandling av personuppgifter i den brottsbe-

 

kämpande verksamheten i sig. Det är i stället fråga om en särreglering

 

som tar sikte på sådan behandling av personuppgifter som inte ryms i de

 

primära ändamålen men som polisen ändå måste kunna utföra dels för att

 

hantera inkommande handlingar, dels för att tillgodose tryckfrihetsför-

 

ordningens krav på att allmänheten ska ha tillgång till allmänna hand-

 

lingar. Flera av de bestämmelser som föreslås gälla vid behandling av

 

gemensamt tillgängliga uppgifter, som t.ex. särskilda upplysningar och

 

sökbegränsningar, är inte lämpade att reglera behandling av personupp-

 

gifter i diarier m.m.

 

Som Skatteverket påpekar kan diarieföring inte bara tjäna allmänhetens

 

rätt att få tillgång till allmänna handlingar, utan även tillgodose verksam-

 

hetskrav. Den behandling som avses i den föreslagna bestämmelsen om

 

diarieföring omfattar emellertid endast sådan behandling som är nödvän-

 

dig för diarieföringen. Om det när diarieföringen är avslutad, dvs. när

 

erforderliga uppgifter är registrerade, konstateras att uppgifterna rör

 

polisens brottsbekämpande verksamhet ska den fortsatta behandlingen

 

utföras för ett annat i lagen angivet ändamål och i övrigt i överensstäm-

 

melse med de allmänna bestämmelserna bl.a. om gemensamt tillgängliga

 

uppgifter. Om således uppgifter i en inkommen handling behövs för viss

 

brottsbekämpande verksamhet, t.ex. i en förundersökning, så får fortsatt

 

behandling utföras med stöd av bestämmelserna om personuppgiftsbe-

 

handling för det ändamålet. I vilken utsträckning personuppgifterna får

 

göras gemensamt tillgängliga framgår av lagens bestämmelser om

 

gemensamt tillgängliga uppgifter.

 

I de fall där uppgifter behandlas med stöd av nu aktuell bestämmelse

 

bör de föreslagna reglerna om gemensamt tillgängliga uppgifter inte vara

 

tillämpliga.

 

113

7.6Behandling av uppgifter för att tillhandahålla information till andra

Regeringens förslag: Uppgifter som behandlas i polisens brottsbe- kämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyn- digheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2.brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3.sådan verksamhet hos polisen som avser handräckningsuppdrag,

4.annan verksamhet som polisen ansvarar för, om det finns sär- skilda skäl att tillhandahålla informationen,

5.verksamhet hos Kriminalvården för att förebygga brott och upp- rätthålla säkerheten, eller

6.en myndighets verksamhet

a)om det enligt lag eller förordning åligger polisen att bistå myn- digheten med viss uppgift, eller

b)om informationen tillhandahålls inom ramen för myndighetsöver- skridande samverkan mot brott.

Uppgifter ska även få behandlas om det är nödvändigt för att till- handahålla information till riksdagen och regeringen samt till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.

För att tillhandahålla information för andra ändamål än de ovan upp- räknade får behandling ske endast om det nya ändamålet i det enskilda fallet inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in.

Utredningen föreslår inte några särskilda bestämmelser om behand- ling av uppgifter för att tillhandahålla information till andra.

Remissinstanserna: Flera remissinstanser, bl.a. Tullverket, har påtalat att polisen och övriga brottsbekämpande myndigheter i allt större omfatt- ning samarbetar inom ramen för brottsbekämpningen och att dessa myn- digheter i sin egen brottsbekämpande verksamhet har behov av att få del av uppgifter som finns hos polisen.

Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorians sekundära ändamål anges dock uttömmande. I promemo- rian föreslås inte några särskilda ändamål för behandling av uppgifter för att tillhandahålla information till Kriminalvården eller till annan myndig- het i syfte att samverka mot brott. Promemorian innehåller inte heller något särskilt ändamål för tillhandahållande av uppgifter till polisens handräckningsverksamhet.

Remissinstanserna: Majoriteten av remissinstanserna har inget att in- vända mot promemorians förslag. Flera remissinstanser anser dock att de sekundära ändamålen inte i tillräcklig utsträckning tillgodoser polisens behov av att kunna lämna ut uppgifter. Åklagarmyndigheten anser att det måste finnas en möjlighet att lämna uppgifter till myndigheter i annat syfte än att bekämpa brott. Som exempel nämns Kriminalvårdens behov av uppgifter av betydelse för säkerheten på kriminalvårdsanstalter. Åkla-

Prop. 2009/10:85

114

garmyndigheten föreslår att allt utlämnande som sker med stöd av 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekre- tesslagen) bör tillåtas.

Även Rikspolisstyrelsen konstaterar att det förekommer situationer där andra myndigheter än de som anges i förslaget kan ha behov av uppgifter från polisens brottsbekämpande verksamhet för sin egen verksamhet. Rikspolisstyrelsen pekar särskilt på sådant utlämnande som sker inom ramen för myndighetsövergripande samverkan mot grov organiserad brottslighet, t.ex. i regionala underrättelsecentrum. Enligt styrelsen bör polisen även fortsättningsvis ha möjlighet att lämna ut uppgifter efter en intresseavvägning enligt 14 kap. 3 § sekretesslagen (numera 10 kap. 27 § offentlighets- och sekretesslagen), exempelvis till Kronofogdemyndig- heten, Skatteverket (såväl dess brottsutredande som fiskala del) och För- säkringskassan. Rikspolisstyrelsen lyfter vidare fram behovet av att kunna lämna uppgifter till dels Kriminalvården, t.ex. om uppgiften be- hövs för att Kriminalvården ska kunna vidta särskilda säkerhetsåtgärder beträffande en intagen, dels Migrationsverket för att verket ska kunna vidta åtgärder i sin verksamhet på utlänningsområdet. Styrelsen nämner bl.a. ett planerat samarbete mellan polisen och migrationsmyndigheter i en Folkrätts- och krigsbrottskommission.

Kriminalvården påpekar att myndigheten har i uppdrag att bekämpa brott under verkställigheten och att upprätthålla säkerheten på anstalter. För att genomföra uppdraget behöver myndigheten kunna få del av upp- gifter från polisens brottsbekämpande verksamhet. Kriminalvården anser att det finns starka skäl att överväga om inte Kriminalvården bör räknas till myndigheter med brottsbekämpande verksamhet. Skatteverket anser att ändamålen för behandlingen av personuppgifter bör kompletteras. Verket anger bl.a. att det är svårt att överblicka om personuppgiftslagen och den i promemorian föreslagna lagen fullt ut möter de behov av in- formationsutbyte som har konstaterats i arbetet inom Rådet för rätts- väsendets informationsförsörjning, särskilt vad gäller behoven av att planera och följa upp den brottsbekämpande verksamheten. Skatteverket framhåller vidare att en förutsättning för att kunna bekämpa den grova organiserade brottsligheten är bättre möjligheter att utbyta information mellan brottsbekämpande myndigheter och andra myndigheter eller delar av myndigheter. Enligt Skatteverket visar erfarenheter från samverkan i regionala underrättelsecentrum bl.a. på behovet av samverkan mellan Skatteverkets fiskala verksamhet och polisen och skattebrottsenheterna i skedet innan förundersökning. Även Kronofogdemyndigheten hänvisar till erfarenheter från samarbete i regionala underrättelsecentrum och anger att det finns skäl att överväga utökade möjligheter till informa- tionsutbyte också med myndigheter som inte är direkt brottsbekämpande.

I fråga om tillhandahållande av information till annan polisiär verk- samhet än den brottsbekämpande, delar Rikspolisstyrelsen bedömningen att särskilda skäl som huvudregel bör krävas för att personuppgifter ska få tillhandahållas. För att kunna utföra handräckningsuppdrag på ett säkert sätt behöver dock polisen, enligt styrelsen, mer regelmässigt in- formation från den brottsbekämpande verksamheten. Kriminalvården framhåller att myndigheten ibland bistår polisen med transporter efter särskilt handräckningsbeslut och betonar att Kriminalvården då behöver de uppgifter om den som ska transporteras som kan ha betydelse för

Prop. 2009/10:85

115

transportens genomförande. Riksdagens ombudsmän ifrågasätter om det Prop. 2009/10:85 inte beträffande vissa typer av ärenden hos polisen kan finnas behov av

att mera rutinmässigt behandla personuppgifter från den brottsbekäm- pande verksamheten. I så fall är det angeläget att lagstiftningen ger det utrymme som behövs, inte minst för att undvika att en restriktiv reglering ”urholkas” i den praktiska tillämpningen.

Några remissinstanser, däribland Åklagarmyndigheten, Rikspolisstyrel- sen och Skatteverket, väcker frågan om det inte bör införas ett särskilt ändamål för behandling av personuppgifter om det behövs för tillsyn, planering och uppföljning.

Skälen för regeringens förslag

Allmänna utgångspunkter

Tidigare har det redovisats hur lagens ändamålsreglering bör utformas och vilka de i lagen angivna primära ändamålen bör vara. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges i lagen. I och med att regleringen av sekundära ändamål inte föreslås vara uttömmande finns det ett visst utrymme att tillhandahålla uppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen). Som tidigare betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta merparten av polisens upp- giftsutlämnande.

I sammanhanget är det viktigt att komma ihåg – vilket Rikspolisstyrel- sen framhåller – att utlämnande av uppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan i många fall vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.

Några remissinstanser, däribland Rikspolisstyrelsen, väcker frågan om det behövs en särskild ändamålsbestämmelse som ger stöd för behand- ling av personuppgifter för bl.a. planering och uppföljning av verksam- heten. I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrå- det att en sådan bestämmelse är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Därför föreslås inte någon sådan ändamålsbestämmelse för polisens vidkommande.

Skatteverket tar upp arbetet inom Rådet för rättsväsendets informa- tionsförsörjning. Med hänsyn till att det är ett pågående arbete är det inte möjligt att nu anpassa den nya lagen till det informationsutbyte som kan komma att föreslås inom ramen för det arbetet.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Brotts-

116

ligheten känner inga geografiska gränser eller myndighetsgränser. Att Prop. 2009/10:85 brottsbekämpande myndigheter bör samverka framstår därför som själv-

klart. Lika självklart är att en sådan samverkan förutsätter möjligheter till effektivt utbyte av information.

Regeringen har tagit initiativ till en nationell mobilisering mot den grova organiserade brottsligheten. I en departementspromemoria med samma namn ges förslag på åtgärder för en effektivare och mer uthållig bekämpning av denna typ av brottslighet (Ds 2008:38). En av de vikti- gaste åtgärderna som lyfts fram är just ökad samverkan mellan myn- digheter. Samtliga brottsbekämpande myndigheter framhåller också i sina remissvar i detta lagstiftningsärende betydelsen av en utvecklad samverkan.

Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområ- den. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte. Möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst bör förbättras. De risker för intrång i den personliga integriteten som direktåtkomst och andra former av elektroniskt informationsutbyte kan ge upphov till och hur dessa risker bör hanteras diskuteras i avsnitt 12.

Mot denna bakgrund bör det i den nya lagen uttryckligen anges att de uppgifter som förekommer i polisens brottsbekämpande verksamhet får behandlas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet. Motsvarande bestämmelser finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i den förordning som reglerar behand- ling av personuppgifter i Åklagarmyndighetens verksamhet. I avsnitt 13 föreslås sekretessbrytande bestämmelser som ska gälla i förhållande till andra brottsbekämpande myndigheter.

Tillhandahållande av information till annan myndighet i syfte att samverka mot brott

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Som flera re- missinstanser framhåller, däribland Rikspolisstyrelsen, Skatteverket och Kronofogdemyndigheten, sker sådan samverkan t.ex. i regionala under- rättelsecentrum (jfr avsnitt 7.2 om sådan samverkan). Vilka myndigheter som är representerade i underrättelsecentrum varierar. Kronofogdemyn- digheten, Skatteverkets fiskala del, Kriminalvården, Migrationsverket och Försäkringskassan är exempel på myndigheter som deltar i sådan samverkan.

I departementspromemorian om nationell mobilisering mot den grova organiserade brottsligheten betonas behovet av ökad samverkan mellan myndigheter. Arbetet har övergått i en genomförandefas, sedan rege- ringen gett Rikspolisstyrelsen i uppdrag att vidta åtgärder för att säker- ställa en effektiv och uthållig verksamhet för bekämpning av den grova organiserade brottsligheten (dnr Ju2008/5776/PO). Av slutredovisningen

av uppdraget framgår bl.a. att det har etablerats permanenta regionala

117

underrättelsecentrum på åtta platser i landet samt att ett samverkansråd Prop. 2009/10:85 och ett operativt råd har inrättats med bred myndighetsrepresentation

(dnr Ju2009/5516/PO).

Myndighetssamverkan förutsätter utbyte av information. Ofta är det tillräckligt med avidentifierade uppgifter men i den operativa verksam- heten kan det vara nödvändigt att utbyta information som innehåller personuppgifter. Det ter sig mer betänkligt från integritetsskyddssyn- punkt att tillåta polisen att tillhandahålla personuppgifter från den brotts- bekämpande verksamheten till andra myndigheter än de som har till upp- gift att bekämpa brott. Som flera remissinstanser påpekar förekommer dock redan nu ett sådant uppgiftsutlämnande efter en intresseavvägning enligt 10 kap. 27 § offentlighets- och sekretesslagen.

Polisen bör även fortsättningsvis ges möjlighet att behandla uppgifter för att tillhandahålla information till andra än brottsbekämpande myn- digheter, när syftet är att samverka mot brott. Information bör få till- handahållas om utlämnandet kan vara till nytta för den brottsbekämpande verksamheten. Begreppet samverkan kan omfatta flera olika former av samarbete. Samverkan kan avse såväl diskussioner i strategiska frågor som mer operativt samarbete, t.ex. en planerad gemensam aktion. Ett exempel på samverkan är arbetet i underrättelsecentrum. Ett annat är samverkan mellan polisen, Tullverket, Kustbevakningen och Migrations- verket vid gränskontroll.

Av skäl som anges i avsnitt 13 bör det inte införas några sekretessbry- tande bestämmelser i förhållande till andra myndigheter än de brottsbe- kämpande.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Inom ramen för det internationella polissamarbetet måste polisen kunna behandla personuppgifter för att lämna ut dem i den utsträckning det behövs för att fullgöra internationella åtaganden eller om det annars är förenligt med svenska intressen. Det kan exempelvis vara fråga om att på begäran översända uppgifter till Interpol eller att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informa- tionsutbytet förutsätter att uppgifter i vissa fall kan lämnas utan före- gående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut uppgifter även om detta endast är ett allmänt åtagande enligt en överenskommelse men inte ett bindande krav. Sådan behandling bör även, liksom för närvarande, vara möjlig när det inte finns någon över- enskommelse som reglerar uppgiftsutlämnandet, t.ex. för att kunna varna en polismyndighet i ett annat land om ett förestående brott i det landet. I lagen bör det därför tas in en bestämmelse om att uppgifter får behandlas, om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolk- lig organisation. I avsnitt 12 och 13 diskuteras olika frågor som rör in- formationsutbyte och sekretess i det internationella samarbetet.

118

Tillhandahållande av information till Kriminalvården

Prop. 2009/10:85

Kriminalvården har bl.a. till uppgift att verka för att påföljder verkställs

 

på ett säkert sätt och att återfall i brott förebyggs. Myndigheten är enligt

 

2 § förordningen (2007:1172) med instruktion för Kriminalvården skyl-

 

dig att vidta särskilda åtgärder för att förhindra brottslighet under verk-

 

ställigheten. Enligt 3 § 3 lagen (2001:617) om behandling av personupp-

 

gifter inom Kriminalvården får personuppgifter behandlas om det behövs

 

för att upprätthålla säkerheten och förebygga brott bl.a. under den tid

 

som en person är häktad eller intagen i kriminalvårdsanstalt. För detta

 

ändamål ska Kriminalvården enligt 39 § förordningen (2001:682) om

 

behandling av personuppgifter inom Kriminalvården föra ett särskilt

 

register benämnt säkerhetsregistret.

 

I förarbetena till Kriminalvårdens registerlagstiftning anfördes att

 

framväxten av kriminella sammanslutningar och nätverk förutsätter sam-

 

arbete mellan Kriminalvården och polisen (prop. 2000/01:126 s. 27). Att

 

det behövs uppgiftsutbyte mellan polisen och Kriminalvården lyfts även

 

fram av Rymningsutredningen (SOU 2005:6 s. 120) och av Beredningen

 

för rättsväsendets utveckling (SOU 2005:117 s. 202 f.). Det finns således

 

ett behov av uppgiftsutbyte mellan polisen och Kriminalvården. Det är

 

t.ex. viktigt att Kriminalvården kan få upplysningar från polisen för att

 

kunna göra riktiga bedömningar bl.a. när det gäller placering av intagna

 

och beslut om permissioner.

 

Polisen bör därför ges möjlighet att behandla uppgifter om det är nöd-

 

vändigt för att tillhandahålla Kriminalvården sådan information som

 

myndigheten behöver i sin verksamhet för att förebygga brott och upp-

 

rätthålla säkerheten, bl.a. på häkten och kriminalvårdsanstalter. Flera

 

remissinstanser, däribland Rikspolisstyrelsen och Kriminalvården, fram-

 

håller också vikten av att den nya lagen tillåter sådan behandling.

 

Tillhandahållande av information till annan polisiär verksamhet

 

För att polisen ska kunna fullgöra arbetsuppgifter som faller utanför den

 

brottsbekämpande verksamheten behöver man ibland ha tillgång till upp-

 

gifter som har samlats in för brottsbekämpande ändamål. Uppgifter som

 

behandlas inom den brottsbekämpande verksamheten behöver alltså i

 

viss utsträckning kunna tillhandahållas till annan polisverksamhet.

 

Polisen har i varierande utsträckning tillgång till uppgifter i misstanke-

 

registret och belastningsregistret i olika typer av förvaltningsärenden.

 

Tillgången till uppgifter är anpassad för att svara mot de normala beho-

 

ven av information. I vissa fall finns det emellertid annan information

 

hos polisen som kan vara viktig, exempelvis underrättelseinformation.

 

En person kan t.ex. ha sådana kontakter i kriminella kretsar att denne vid

 

en helhetsbedömning ter sig olämplig som befattningshavare, tillstånds-

 

havare eller liknande. Det framstår därför som rimligt att polisen i viss

 

utsträckning ska kunna lämna över uppgifter från den brottsbekämpande

 

verksamheten till annan polisiär verksamhet. Om någon som ska besluta i

 

ett förvaltningsärende begär information från den brottsbekämpande

 

verksamheten har denne med stöd av 6 kap. 5 § offentlighets- och sekre-

 

tesslagen rätt att få ut uppgifterna, om inte sekretess hindrar det (se

 

nedan). Det förutsätter dock att beslutsfattaren har vetskap om att det

119

finns någon information som kan ha betydelse. Frågan är i vilken ut- sträckning uppgifter även ska få tillhandahållas utan föregående begäran.

De områden där polisen, typiskt sett, kan ha behov av att få del av in- formation som har samlats in i den brottsbekämpande verksamheten gäller bl.a. arbete med att (1) förordna vissa befattningshavare, t.ex. arrestantvakter, (2) pröva tillståndsärenden, (3) fullgöra sin skyldighet enligt författning att bistå andra myndigheter (handräckningsskyldighet), och (4) besluta om att en tvångsåtgärd enligt t.ex. djurskyddslagen (1988:534) eller utlänningslagen (2005:716) ska verkställas vid fara i dröjsmål.

Som anförs i promemorian bör det som huvudregel krävas särskilda skäl för att tillhandahålla personuppgifter från den brottsbekämpande verksamheten till annan polisiär verksamhet, vilket också Rikspolissty- relsen ställer sig bakom. Därigenom tydliggörs att överlämnandet kräver särskild eftertanke. Kravet på särskilda skäl bör dock, som Riksdagens ombudsmän påpekar, inte gälla för tillhandahållande av personuppgifter till verksamhet som mera rutinmässigt behöver uppgifter från den brotts- bekämpande verksamheten. Enligt Rikspolisstyrelsen är så fallet för den verksamhet som består i att utföra handräckningsuppdrag åt andra myn- digheter. Styrelsen framhåller att polisen behöver omfattande informa- tion, däribland information från den brottsbekämpande verksamheten, för att förebygga och minska risken att personer kommer till skada vid genomförandet av sådana uppdrag. Informationen behövs för att hand- räckningsåtgärden ska kunna planeras och anpassas efter den person som åtgärden avser och omständigheterna i övrigt. Även Kriminalvården, som ibland bistår polisen med vissa transporter efter särskilda handräck- ningsbeslut, framhåller behovet av information från den brottsbekäm- pande verksamheten för detta ändamål.

Eftersom det finns behov av att mera rutinmässigt tillhandahålla infor- mation till polisens handräckningsverksamhet bör det inte ställas upp något krav på särskilda skäl för att tillhandahålla personuppgifter till sådan verksamhet. Här kan också erinras om att uppgifter som polisen mottar i viss sådan verksamhet omfattas av sekretess enligt 35 kap. 20 § första stycket 2, 3, 4 och 5 offentlighets- och sekretesslagen.

Tillhandahållande av information till myndigheter i vissa andra fall

Det finns även vissa andra fall där personuppgifter bör få behandlas av polisen för utlämnande till andra. Enligt 10 kap. 15 § offentlighets- och sekretesslagen hindrar sekretess inte att uppgift lämnas till regeringen eller riksdagen. Det bör därför i den nya lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Det bör även anges att uppgifter får behandlas för att lämnas ut till andra, om det enligt lag eller förordning åligger polisen att tillhandahålla sådan information. Med andra avses såväl myn- digheter som enskilda. Med skyldighet att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myn- dighet på begäran av en annan myndighet lämna uppgift som den förfo-

Prop. 2009/10:85

120

gar över, i den mån hinder inte möter på grund av bestämmelse om sek- retess eller av hänsyn till arbetets behöriga gång. Enligt promemorian innefattar denna bestämmelse (dåvarande 15 kap. 5 § sekretesslagen) inte en uppgiftsskyldighet i nu aktuellt hänseende. I flera lagstiftningsärenden därefter har dock en motsatt bedömning gjorts (se t.ex. prop. 2008/09:96 s. 80). Mot den bakgrunden får 6 kap. 5 § offentlighets- och sekretessla- gen anses innefatta en sådan skyldighet att lämna uppgifter som avses i den nya lagen.

Åklagarmyndigheten anser att det alltid bör vara tillåtet att behandla uppgifter för att kunna lämna ut dem med stöd av 14 kap. 3 § sekretess- lagen (numera 10 kap. 27 § offentlighets- och sekretesslagen). Det kan konstateras att polisens uppgiftslämnande enligt 10 kap. 27 § offentlig- hets- och sekretesslagen i flertalet fall omfattas av de mer preciserade se- kundära ändamål som anges i lagen. I den mån det är fråga om uppgifts- lämnande på begäran av annan myndighet kan uppgiftslämnande enligt den paragrafen dessutom, som nyss nämnts, ske med stöd av 6 kap. 5 § offentlighets- och sekretesslagen. Därutöver kan uppgiftslämnande ske om det är förenligt med finalitetsprincipen.

Polisen måste även ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att bistå en annan svensk myndighet. Detta kan exempelvis bli aktuellt när polisen bistår Riksdagens ombudsmän och Justitiekanslern med uppgifter i de fall där dessa uppträder som förundersökningsledare och åklagare. En bestäm- melse om detta bör tas in i lagen.

Möjlighet för regeringen att meddela föreskrifter

Enligt 17 § polisdataförordningen (1999:81) har polisen möjlighet att till vissa myndigheter lämna ut uppgifter om efterlysta personer och avlägs- nanden ur riket. Där föreskrivs även en möjlighet att till konkursförval- tare lämna ut uppgifter i en förundersökning som kan antas ha betydelse för en konkursutredning. Den nya lagen bör innehålla en bestämmelse som erinrar om att regeringen har möjlighet att meddela sådana före- skrifter.

Prop. 2009/10:85

121

8

Behandling av känsliga personuppgifter

Prop. 2009/10:85

 

 

 

 

 

 

 

Regeringens förslag: Uppgifter om en person ska inte få behandlas

 

 

 

 

enbart på grund av vad som är känt om personens ras eller etniska ur-

 

 

 

 

sprung, politiska åsikter, religiösa eller filosofiska övertygelse, med-

 

 

 

 

lemskap i fackförening, hälsa eller sexualliv (känsliga personuppgif-

 

 

 

 

ter). Uppgifter om en person som behandlas på annan grund ska dock

 

 

 

 

få kompletteras med känsliga personuppgifter, om det är absolut nöd-

 

 

 

 

vändigt för syftet med behandlingen. Känsliga personuppgifter ska

 

 

 

 

också få behandlas, om detta är nödvändigt för diarieföring eller om

 

 

 

 

uppgifterna har lämnats till polisen i en anmälan eller liknande och

 

 

 

 

behandlingen är nödvändig för handläggningen.

 

 

 

 

Uppgifter som beskriver en persons utseende ska utformas på ett

 

 

 

 

objektivt sätt med respekt för människovärdet.

 

 

 

 

 

 

 

 

 

Utredningens förslag överensstämmer i huvudsak med promemorians.

 

 

 

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget

 

eller inte haft några invändningar mot det. Ombudsmannen mot diskrimi-

 

nering på grund av sexuell läggning har ansett att uttrycket sexuell lägg-

 

ning inte bör användas utan ersättas med något annat, exempelvis sexual-

 

liv eller sexuellt beteende.

 

 

 

Promemorians förslag överensstämmer med regeringens.

 

 

 

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inget

 

att invända mot förslaget. Sveriges advokatsamfund frågar sig i vilken

 

utsträckning behandling av känsliga uppgifter kan ske med stöd av

 

undantaget för behandling som är nödvändig för handläggningen. Jour-

 

nalistförbundet framhåller att behandling av känsliga uppgifter måste ske

 

med yttersta försiktighet och föreslår att det införs en skyldighet för rege-

 

ringen att varje år till riksdagen rapportera de avsteg som gjorts från

 

förbudet att behandla känsliga personuppgifter och ange i vilken ut-

 

sträckning avstegen har varit effektiva i den brottsbekämpande verksam-

 

heten.

 

 

 

Skälen för regeringens förslag: I lagstiftning om behandling av per-

 

sonuppgifter har känsliga personuppgifter en särställning. Enligt 5 §

 

polisdatalagen (1998:622) får uppgifter om en person inte behandlas

 

enbart på grund av vad som är känt om personens ras eller etniska ur-

 

sprung, politiska åsikter, religiösa eller filosofiska övertygelse, med-

 

lemskap i fackförening, hälsa eller sexuella läggning. Om uppgifter om

 

en person redan behandlas på annan grund, får dock uppgifterna kom-

 

pletteras med sådana uppgifter, om det är oundgängligen nödvändigt för

 

syftet med behandlingen. Paragrafen överensstämmer med Europarådets

 

rekommendation No. R (87) 15 om användning av personuppgifter inom

 

polissektorn m.m. (se avsnitt 4.2.3). Innebörden av 5 § polisdatalagen är

 

att det t.ex. inte är tillåtet att föra särskilda register över personer med

 

viss sexuell läggning. Förekommer personen i en förundersökning eller

 

något annat ärende, får dock uppgiften om sexuell läggning antecknas,

 

om det bedöms vara oundgängligen nödvändigt för syftet med behand-

 

lingen.

 

 

 

Bestämmelserna i 5 § polisdatalagen bör föras över till den nya lagen.

 

På motsvarande sätt som i personuppgiftslagen och lagen (2005:787) om

122

behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör dock begreppet sexualliv användas i stället för sexuell läggning och ordet oundgängligen ersättas med absolut. Slutligen bör det i lagtexten fram- hållas att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet.

Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Använd- ningen av ordet ras i författningstexter riskerar enligt riksdagen att under- blåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande an- vänds i författningar som grundas på internationella överenskommelser eller författningar som genomför EG-direktiv (bet. 1997/98:KU29 s. 7). Användningen av ordet ras har även kritiserats i propositionen till den nya diskrimineringslagen (prop. 2007/08:95 s. 117). I den nyligen fram- lagda propositionen En reformerad grundlag (prop. 2009/10:80) har regeringen föreslagit att begreppet ras utmönstras ur regeringsformen. Det har inte varit möjligt att i detta lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga person- uppgifter, jfr t.ex. 13 § personuppgiftslagen (1998:204) och 11 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Det är dock regeringens ambition att i ett annat sammanhang se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.

Polisen måste alltid ha möjlighet att diarieföra och handlägga inkom- mande anmälningar och liknande skrivelser. Skälen för detta har utveck- lats i avsnitt 7.5. Sådan behandling bör vara tillåten även i de fall där in- kommande anmälningar innehåller känsliga personuppgifter. Detta bör komma till uttryck i lagtexten som ett undantag från förbudet att be- handla känsliga personuppgifter. I nyss nämnda avsnitt redogörs för vilken behandling som bör omfattas av bestämmelsen om behandling för diarieföring.

Journalistförbundet föreslår att regeringen bör åläggas att årligen rap- portera till riksdagen vilka avsteg som gjorts från förbudet att behandla känsliga personuppgifter. Kontrollen av att regleringen följs bör enligt regeringens mening i första hand utövas av tillsynsmyndigheter. I avsnitt 17.2 föreslås en utökad tillsyn över polisens behandling av personuppgif- ter. Enligt förslaget ska Säkerhets- och integritetsskyddsnämndens tillsyn särskilt avse polisens behandling av känsliga personuppgifter. Skäl för en sådan rapportering som Journalistförbundet efterlyser saknas således.

I avsnitt 11.2 behandlas frågan om användning av känsliga personupp- gifter som sökbegrepp.

Prop. 2009/10:85

123

9

Gemensamt tillgängliga uppgifter

Prop. 2009/10:85

9.1

Särskilda regler för behandling av gemensamt

 

 

tillgängliga uppgifter

 

 

 

Regeringens förslag: I stället för bestämmelser om register och data-

 

baser ska den nya lagen innehålla särskilda regler om behandling av

 

uppgifter som görs eller har gjorts gemensamt tillgängliga i den

 

brottsbekämpande verksamheten. Bestämmelserna ska framför allt

 

reglera sådan behandling av uppgifter som sker i för verksamheten ge-

 

mensamma uppgiftssamlingar. Behandling som utförs av en enskild

 

tjänsteman eller inom en begränsad grupp personer, t.ex. genom van-

 

lig ordbehandling eller genom e-postkommunikation, ska inte omfat-

 

tas av dessa bestämmelser. Registerbegreppet behålls för vissa sär-

 

skilda fall.

 

Bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla

 

när personuppgifter behandlas med stöd av bestämmelserna om diarie-

 

föring m.m.

 

Utredningens förslag innehåller inte några bestämmelser som särskilt

 

avser gemensamt tillgängliga uppgifter.

 

Remissinstanserna har inte yttrat sig i frågan.

 

Promemorians förslag överensstämmer i huvudsak med regeringens.

 

Promemorian tydliggör dock inte förhållandet mellan bestämmelserna

 

om gemensamt tillgängliga uppgifter och de föreslagna bestämmelserna

 

om behandling av personuppgifter för diarieföring m.m.

 

Remissinstanserna: Majoriteten av remissinstanserna ställer sig

 

bakom promemorians förslag eller har inget att invända mot det. Flera

 

remissinstanser, däribland Kustbevakningen och Tullverket, välkomnar

 

att det föreslås ett teknikneutralt uttryck nämligen ”gemensamt tillgäng-

 

liga uppgifter” i stället för register, databas eller uppgiftssamling. Åkla-

 

garmyndigheten har ingen invändning mot förslagets indelning av upp-

 

gifter som är gemensamt tillgängliga och sådana som inte är det och

 

anser att regleringen av vilka uppgifter som får göras gemensamt till-

 

gängliga synes ändamålsenlig.

 

Några remissinstanser, bl.a. Riksdagens ombudsmän och Uppsala uni-

 

versitet, anser att det är svårt att dra en gräns mellan uppgifter som är

 

gemensamt tillgängliga och sådana som inte är det. Myndigheterna anser

 

att avgränsningsfrågorna bör avgöras i lagstiftningsärendet. Enligt Riks-

 

dagens ombudsmän måste utrymmet att överlämna till Rikspolisstyrelsen

 

att ge interna riktlinjer till förtydligandet av begreppet gemensamt till-

 

gängliga uppgifter vara utomordentligt begränsat med hänsyn till av-

 

gränsningens betydelse från integritetsskyddssynpunkt. Även Uppsala

 

universitet ifrågasätter om det är rätt väg att gå att låta användarna styra

 

konstruktionen av ett system som det här aktuella.

 

Riksdagens ombudsmän anser att det bör vara ensamt avgörande för

 

avgränsningen av gemensamt tillgängliga uppgifter om uppgifterna är

 

åtkomliga för en bestämd och begränsad personkrets eller inte. Enligt

 

Riksdagens ombudsmän kan ett fåtal personer inte betyda så många per-

 

soner som ett tiotal.

124

 

 

Rikspolisstyrelsen påpekar att de föreslagna bestämmelserna om

Prop. 2009/10:85

gemensamt tillgängliga uppgifter kommer att bli tillämpliga på en stor

 

del av behandlingen av uppgifter i den polisiära verksamheten. Sådan

 

behandling som sker i s.k. särskilda undersökningar och andra underrät-

 

telseprojekt kommer t.ex. enligt styrelsen i normalfallet att omfattas av

 

bestämmelserna. Mot denna bakgrund anser styrelsen att vissa av

 

bestämmelserna som föreslås gälla för gemensamt tillgängliga uppgifter

 

är för begränsande.

 

Kustbevakningen och Skatteverket invänder mot att bestämmelserna

 

om gemensamt tillgängliga uppgifter gäller så snart en tjänsteman från en

 

annan myndighet än polisen är delaktig i behandlingen av personuppgif-

 

ter. Myndigheterna anser att ett fåtal tjänstemän från olika myndigheter

 

bör kunna arbeta tillsammans i ett underrättelseprojekt utan att de mer

 

begränsande bestämmelserna, t.ex. om sökbegränsningar, blir tillämpliga.

 

Datainspektionen anser att även antalet uppgifter och deras struktur bör

 

beaktas vid bedömningen av om uppgifter är att anse som gemensamt

 

tillgängliga. Vidare menar inspektionen att bestämmelserna om gemen-

 

samt tillgängliga uppgifter bör tillämpas vid insamlandet av uppgifter,

 

om de insamlade uppgifterna är avsedda att göras gemensamt tillgängliga

 

eller om det kan antas att de kommer att bli det. Bestämmelserna bör

 

alltid tillämpas i polisens kriminalunderrättelseverksamhet. Inspektionen

 

anser att det angivna antalet om ett tiotal personer som får ha tillgång till

 

uppgifter som inte är gemensamt tillgängliga är alltför stort.

 

Sveriges advokatsamfund vänder sig mot den komplexa regelstruktur

 

som de snabbt framväxande registerlagarna i allt högre grad kommit att

 

präglas av och pekar bl.a. på bristande enhetlighet i begreppsbildningen.

 

Som exempel nämns att uppgiftssamlingar har betecknats och avgränsats

 

på vitt skilda sätt. Advokatsamfundet efterlyser klargöranden i fråga om

 

skillnaderna mellan den behandling av personuppgifter som avses ske i

 

egentliga register respektive i löpande text samt hur behandling av elek-

 

troniska dokument i elektroniska akter avses att regleras.

 

Skälen för regeringens förslag

 

Gemensamt tillgängliga uppgifter – ett nytt begrepp

 

Den nya lagen kommer att gälla för all automatiserad behandling av

 

personuppgifter i polisens brottsbekämpande arbete. Detta innebär att

 

inte bara uppgifter som behandlas i för verksamheten gemensamma upp-

 

giftssamlingar, t.ex. register eller ärendehanteringssystem, ska omfattas

 

utan även sådan behandling som utförs av en enskild tjänsteman eller en

 

begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkom-

 

munikation. Risken för otillbörliga intrång i den personliga integriteten

 

är större när personuppgifter används av flera gemensamt i verksamheten

 

än när personuppgifter behandlas av en enskild tjänsteman vid den egna

 

datorn utan att någon annan har åtkomst till uppgifterna. Det är därför

 

nödvändigt att införa särskilda och mer begränsande regler för behand-

 

ling av uppgifter som används av eller i vart fall är tillgängliga för fler än

 

ett fåtal personer.

 

Frågan är då hur man bör avgränsa den personuppgiftsbehandling för

 

vilken mera begränsande regler är nödvändiga.

125

I tidigare lagstiftning om personuppgiftsbehandling har begreppen re- gister och databas använts för att definiera uppgifter som har gjorts till- gängliga för en större krets. Till respektive register har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kri- tiserats, bl.a. därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Även om registerbegreppet fortsätt- ningsvis kommer att användas inom polisen för vissa särskilda fall (bl.a. för några av de register som undantas från den nya lagens tillämpnings- område samt register över DNA-profiler) går utvecklingen mot att regis- terformen överges för mer sofistikerade datasystem.

Som en följd av detta bör den nya regleringen inte bygga på att be- handlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mera generell utformning. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar”. Begreppet upp- giftssamling används i lagen (2007:258) om behandling av personupp- gifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Begreppet är dock inte ändamålsenligt för polisens del, bl.a. därför att det kan ge intryck av att det finns i förväg definierade och avgränsade uppgiftssamlingar för all behandling i den brottsbekämpande verksamheten, trots att så inte är fallet. Eftersom den nya regleringen ska omfatta all automatiserad behandling i polisens brottsbekämpande verk- samhet, bör ett annat begrepp väljas. I betänkandet Kustbevakningens personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) före- slås i stället för databas, register eller uppgiftssamling uttrycket gemen- samt tillgängliga uppgifter. Även Åklagardatautredningen använder detta uttryck i förslaget till lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet (SOU 2008:87).

Det väsentliga i sammanhanget är inte på vilket sätt uppgifter tekniskt lagras utan den faktiskt åsyftade tillgängligheten. Den form av behand- ling som ska särskiljas bör därför definieras med avseende på det faktiska förhållande som är avgörande för behovet av särreglering, nämligen att uppgifterna är gemensamt tillgängliga i verksamheten. Den nya lagen bör därför innehålla särskilda bestämmelser för behandling av personupp- gifter som görs eller har gjorts gemensamt tillgängliga i polisens brotts- bekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften. I och med att uttrycket gemensamt tillgänglig har enbart en rättslig innebörd under- stryks lagstiftningens teknikneutralitet. Som framgår i avsnitt 6.1 bör en utgångspunkt vara att den nya lagen inte ska reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en rättslig ram för vilka uppgifter som får behandlas och på vilket sätt de får användas. Polisen bör kunna välja mellan att skapa ett stort centralt datasystem eller flera mindre system eller en blandning av båda alternativen. Det kan t.ex. vara fråga

Prop. 2009/10:85

126

om både ärendehanteringssystem med elektroniska akter och handlingar och traditionella register med eller utan fritextfält. Den nya lagen bör således inte, som Sveriges advokatsamfund synes utgå ifrån, reglera vil- ken behandling som får ske i ”egentliga” register respektive i löpande text. Inte heller bör det i lagen införas några särskilda bestämmelser om elektroniska handlingar eller elektroniska akter.

Det vore, som Sveriges advokatsamfund framhåller, en fördel om sam- ma terminologi används i myndigheters registerförfattningar, inte minst i de som gäller för de brottsbekämpande myndigheterna. Några tillämp- ningsproblem vad gäller begreppet gemensamt tillgängliga uppgifter torde dock inte uppkomma i förhållande till andra registerlagar, jämför t.ex. lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet där ordet databas används för att beskriva att uppgifter är tillgängliga för flera. Betänkandena med förslag till lagar om behandling av personuppgifter hos Kustbevakningen respektive åklagarväsendet föreslår också, som nyss nämnts, att uttrycket gemensamt tillgängliga uppgifter används.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mel- lan uppgifter som är gemensamt tillgängliga och andra uppgifter. Som

Riksdagens ombudsmän och Uppsala universitet understryker bör av- gränsningsfrågorna behandlas så ingående som möjligt i lagstiftnings- ärendet. Riksdagens ombudsmän betonar att det avgörande bör vara om uppgifterna är åtkomliga för en bestämd och begränsad personkrets eller inte. I det följande anges de principer som bör ligga till grund för gräns- dragningen.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av upp- giften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till upp- giften kan påverka den eller bara läsa den.

Detta innebär till att börja med att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets – t.ex. hela polisorganisationen – ska kunna ta del av uppgifterna. De cen- trala register som Rikspolisstyrelsen för har just syftet att tillgodose in- formationsbehovet inom olika delar av organisationen. Som exempel på sådana befintliga register kan nämnas det allmänna spaningsregistret, det centrala kriminalunderrättelseregistret och det centrala brottsspaningsre- gistret. I dessa och liknande system lagras personuppgifter på ett sådant sätt att många anställda har möjlighet att vid behov kunna ta del av upp- gifterna, t.ex. under arbetet med en förundersökning eller för att genom- föra ett underrättelseprojekt. På liknande sätt kommer uppgifter som är

Prop. 2009/10:85

127

avsedda för en hel polismyndighet eller för en viss enhet inom polisorga- nisationen normalt att anses som gemensamt tillgängliga. Som exempel kan nämnas lokala system som Rationell anmälningsrutin (RAR) som innehåller brottsanmälningar och Datoriserad utredningsrutin (DurTvå) som innehåller förundersökningar. Detta innebär exempelvis att de flesta förundersökningar redan från början kommer att vara gemensamt till- gängliga, även om det bara är ett fåtal handläggare som arbetar med förundersökningen. Också andra uppgifter som är tillgängliga för en i förväg obestämd krets av personer bör, som huvudregel, anses gemen- samt tillgängliga. Uttrycket ”gemensamt tillgängliga uppgifter” kommer att täcka inte enbart register i traditionell bemärkelse utan alla uppgifts- samlingar som är avsedda för en obestämd krets av personer.

Vidare bör personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. De person- uppgifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgrän- sad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig inte lika starkt gällande när bara ett fåtal personer har tillgång till upp- gifterna som när många personer har tillgång till dem. En jämförelse kan härvid göras med den relativt omfattande personuppgiftsbehandling som tillåts inom ramen för en särskild undersökning med stöd av 14–16 §§ polisdatalagen (1998:622).

En förutsättning för att uppgifterna inte ska anses vara gemensamt till- gängliga måste dock vara att kretsen som har tillgång till dem omfattar endast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte be- traktas som gemensamt tillgängliga. Så snart det är fråga om fler än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta.

Promemorian anger som en tumregel att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. Promemorian använder i detta sammanhang uttrycket ”ett fåtal bestämda personer”. Riksdagens ombudsmän anser att så många som ett tiotal personer inte kan anses utgöra ett fåtal personer och Datainspek- tionen menar att antalet bör begränsas till färre än ett tiotal. Åklagardata- utredningen anser, liksom promemorian, att storleken på personkretsen som har tillgång till en uppgift bör vara grundläggande för bedömningen av om en uppgift ska anses vara gemensamt tillgänglig eller inte. Utred- ningen anser dock att det inte är lämpligt att ange en allomfattande gräns för när personkretsen ska medföra det ena eller andra utfallet av bedöm- ningen och menar att verksamheten vid den enskilda myndigheten bör

Prop. 2009/10:85

128

vara avgörande för gränsen för storleken på personkretsen (SOU 2008:87

s.181).

Enligt regeringens mening bör, som Åklagardatautredningen anför, det

inte i lag anges någon exakt gräns för antalet personer. Även andra om- ständigheter bör i det enskilda fallet kunna vägas in i bedömningen av om personuppgifter ska betraktas som gemensamt tillgängliga eller inte. Som några remissinstanser, bl.a. Riksdagens ombudsmän, påpekar är det dock viktigt från integritetsskyddssynpunkt att det i lagstiftningsärendet anges tydliga riktlinjer för gränsdragningen mellan gemensamt tillgäng- liga uppgifter och andra uppgifter. Det är därför lämpligt att ange en tumregel för hur många personer ett fåtal kan anses utgöra. Promemo- rians förslag om ett tiotal personer får, i fråga om polisens verksamhet, anses väl avvägt.

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal re- spektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan också tidsaspekten ha betydelse för om uppgif- ter ska anses vara gemensamt tillgängliga eller inte. Detta har, som Riks- dagens ombudsmän påpekar, att göra med att uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bl.a. därför att perso- ner i en från början begränsad krets med tiden byts ut. Viss brottsbe- kämpande verksamhet, främst underrättelseverksamhet, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Vissa underrättelsepro- jekt har t.ex. inte sällan obestämd varaktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot ungdomsbrottsligheten på en viss ort eller underrättelseprojekt avseende viss typ av mc-brottslighet eller häleriverksamhet i en viss bransch. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att ersättas under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Uppgiftssamlingar som tas fram i ett sådant projekt, t.ex. en sammanställning över gängbrottsligheten på en viss ort, bör därför också anses som gemensamt tillgängliga personuppgifter.

Datainspektionen invänder mot de principer för gränsdragningen som promemorian föreslår och som i allt väsentligt läggs till grund för be- dömningen här. Enligt regeringens mening skulle det bli för komplicerat för tillämparen att, som inspektionen förordar, utforma en lagregel där även antalet uppgifter och deras struktur vägs in i bedömningen och där bestämmelserna om gemensamt tillgängliga uppgifter görs tillämpliga på all insamling av uppgifter som är avsedda att göras gemensamt tillgäng- liga eller som kan antas komma att bli det. Flera remissinstanser fram- håller just vikten av så klara riktlinjer som möjligt för gränsdragningen mellan personuppgifter som är gemensamt tillgängliga och sådana som inte är det. Av nyss angivna skäl bör inte bestämmelserna om gemensamt tillgängliga uppgifter, som inspektionen föreslår, göras tillämpliga på all

Prop. 2009/10:85

129

insamling av uppgifter som är avsedda att göras gemensamt tillgängliga eller som kan antas komma att bli det. Som framhålls i promemorian kan det vid sådan insamling dock vara värdefullt att beakta de regler som gäller för behandling av gemensamt tillgängliga uppgifter för att inte försvåra den fortsatta behandlingen. De risker från integritetsskyddssyn- punkt som inspektionen befarar både vad gäller uppbyggnad av stora, strukturerade samlingar av personuppgifter och okontrollerad insamling av uppgifter med digital teknik får inte överdrivas. Det finns andra regler som styr polisens verksamhet och som motverkar sådana risker. Som exempel på sådana andra bestämmelser kan nämnas reglerna om förun- dersökning och användning av tvångsmedel. Regeringen delar inte heller inspektionens åsikt att de mer begränsande bestämmelserna om gemen- samt tillgängliga uppgifter alltid bör tillämpas i kriminalunderrättelse- verksamhet. Polisen bör även kunna bedriva sitt arbete med att före- bygga, förhindra och upptäcka brottslig verksamhet med modern teknik utan att de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga, t.ex. ta emot tips, använda e-post och ordbehandlingsprogram. Denna fråga behandlas i avsnitt 7.1 och 7.2. I avsnitt 9.2 redogörs för vilka uppgifter som bör få göras gemensamt tillgängliga i verksamhet som avser att förebygga, förhindra eller upp- täcka brottslig verksamhet.

Polisen bör kunna samarbeta med andra brottsbekämpande myndighe- ter och inom ramen för sådant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sådant samar- bete görs bedömningen i avsnitt 12 att övriga brottsbekämpande myndig- heter bör kunna beviljas direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga inom polisen. Syftet med att begränsa åtkomsten till gemensamt tillgängliga uppgifter är att personuppgifter – och be- handlingen av sådana uppgifter – bör kringgärdas av ett extra skydd när de sprids till andra myndigheter än polisen. Konsekvensen av begräns- ningen blir, som Kustbevakningen och Skatteverket påpekar, att bestäm- melserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga i projekt med deltagare från andra myndigheter, oavsett antalet deltagare i projektet. Vad Kustbevakningen och Skatteverket anför i denna fråga föranleder inte någon annan bedömning än den som görs i promemorian. Kustbevakningens synpunkt att myndighetsövergripande projekt och aktioner bör kunna utföras med tillräckliga sökmöjligheter behandlas i avsnitt 11. I kommande avsnitt behandlas även Rikspolisstyrelsens in- vändning att vissa bestämmelser om sökbegränsningar och gallring som föreslås gälla för gemensamt tillgängliga uppgifter är för begränsande, se avsnitt 11 och 14.

Bestämmelserna om gemensamt tillgängliga uppgifter bör inte gälla för sådan behandling av personuppgifter som sker med stöd av bestämmel- serna om diarieföring m.m. Skälen för detta redovisas i avsnitt 7.5.

Behovet av enhetlig tillämpning

Målsättningen är, som nyss nämnts, att här så tydligt som möjligt ange principerna för gränsdragningen mellan de personuppgifter som kan anses gemensamt tillgängliga och andra uppgifter. Någon formell gräns

Prop. 2009/10:85

130

bör dock inte läggas fast i författning. För att uppnå enhetlighet i tillämp- Prop. 2009/10:85 ningen kommer det dock att finnas ett behov av ytterligare riktlinjer för

polisens tillämpning av det nya begreppet. Det ankommer på Rikspolis- styrelsen att utforma de riktlinjer som behövs och att utbilda personalen.

9.2Förebygga, förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: I polisarbete som avser att förebygga, förhindra eller upptäcka brottslig verksamhet ska enbart följande personuppgif- ter få göras gemensamt tillgängliga.

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller där- över, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

Tillgången till uppgifter om övervakning av en person ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervak- ning ska dock få göras tillgänglig för andra.

Utredningens förslag överensstämmer delvis med promemorians. Ut- redningen föreslår att bestämmelserna om kriminalunderrättelseverksam- het och kriminalunderrättelseregister ersätts med bestämmelser om be- handling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt utredningen ska sådana uppgifter få behandlas för att före- bygga, förhindra eller upptäcka sådan brottslig verksamhet som inne- fattar brott för vilket är föreskrivet fängelse i två år eller mer. Utred- ningen föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla uppgifter, om det är nödvändigt för att underlätta övervak- ning av vissa grovt kriminellt belastade personer och personer som kan antas vara farliga. Utredningen föreslår inte att man ska skilja på gemen- samt tillgängliga uppgifter och andra uppgifter.

Remissinstanserna: Rikspolisstyrelsen har uttalat att det bör vara till- räckligt att fängelse ingår i straffskalan för den misstänkta brottsliga verksamheten för att personuppgifter ska få behandlas. Riksdagens om- budsmän har ifrågasatt om nyttan med en bestämmelse som möjliggör registrering av uppgifter om övervakade personer väger över intresset av att skydda den enskilde mot integritetsintrång. Justitiekanslern har ansett att utformningen av bestämmelsen bör övervägas närmare och att en när- mare precisering krävs av när en registrering får göras. Dåvarande Riks- åklagaren har ansett att den tillåtna behandlingen bör begränsas till att avse personer som har dömts för allvarliga brott riktade mot en persons

liv, hälsa eller frihet.

131

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inget att in-

vända mot promemorians förslag. Riksdagens ombudsmän anser dock att den nuvarande kvalifikationsgränsen om två års fängelse i straffskalan bör behållas för behandling av personuppgifter om misstänkt brottslig verksamhet. Tullverket däremot ställer sig bakom en ändring från två till ett års fängelse. Kammarrätten i Stockholm uppger att domstolen i sak ställer sig bakom de preciseringar som föreslås gälla för uppgifter som ska få göras gemensamt tillgängliga men anser att rekvisitet ”sker syste- matiskt” bör analyseras närmare alternativt belysas ytterligare i författ- ningskommentaren. Datainspektionen anser att det finns ett stort behov av att reformera bestämmelserna om kriminalunderrättelseverksamhet. Inspektionen anser sig dock inte på det underlag som finns kunna göra en nödvändig proportionalitetsbedömning och avstyrker därför förslaget (se även avsnitt 7.2).

I fråga om behandling av uppgifter för övervakning av personer anser Riksdagens ombudsmän att avgränsningen av vem som ska kunna anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet måste göras såväl klarare som snävare. Datainspektionen saknar en närmare redogörelse för vilken eller vilka verksamheter som avses med övervak- ning av personer och lagstödet för denna verksamhet. Inspektionen anser vidare att det är oklart vilka ytterligare möjligheter till behandling av personuppgifter som de aktuella bestämmelserna är tänkta att ge stöd för. Inspektionen efterlyser ytterligare överväganden i fråga om innebörden och behovet av bestämmelserna.

Skälen för regeringens förslag

Den brottsliga verksamheten måste vara av allvarligare slag

Behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i den enskildes personliga integritet. Det är därför av vikt att möjligheterna att göra personuppgifter gemensamt tillgängliga begränsas till de situationer där behovet är påtagligt.

I avsnitt 7.2 beskrivs den verksamhet som omfattas av ändamålen före- bygga, förhindra eller upptäcka brottslig verksamhet. Eftersom dessa begrepp, som Kammarrätten i Stockholm påpekar, är relativt vaga krävs det begränsningar i fråga om vilka uppgifter som ska få göras gemensamt tillgängliga. I det följande kommer för enkelhetens skull begreppet underrättelseverksamhet att användas för att beskriva all den verksamhet som inryms i aktuella ändamål.

En första fråga är om den brottsliga verksamhet som underrättelsear- betet avser måste vara av allvarligare slag för att personuppgifter ska få göras gemensamt tillgängliga. Polisdatautredningen föreslår i denna del att det ska vara fråga om brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Det motsvarar vad som nu gäller för behandling av uppgifter i kriminalunderrättelseregister. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uppställs ett liknande krav. Enligt den lagen får uppgifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i minst två år eller brott som sker systematiskt har

Prop. 2009/10:85

132

utövats eller kan komma att utövas (12 § första stycket 1). I sitt remiss- yttrande över Polisdatautredningens förslag framhöll Rikspolisstyrelsen att en sådan bestämmelse skulle medföra alltför stora begränsningar i förhållande till polisens behov av att kunna behandla personuppgifter. Styrelsen förordade i stället att personuppgiftsbehandling bör tillåtas om det finns fängelse i straffskalan för det brott som innefattas i den miss- tänkta brottsliga verksamheten. Promemorian föreslår en lösning som ligger mellan Polisdatautredningens förslag och Rikspolisstyrelsens remissynpunkter. Promemorian ställer krav på misstänkt brottslig verk- samhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller mer. Riksdagens ombudsmän anser att en kvalifikationsgräns om två års fängelse torde ge ett tillräckligt utrymme för behandling av personupp- gifter i polisens underrättelsearbete, bl.a. med hänsyn till den behandling som inryms i det i promemorian föreslagna undantaget för systematisk brottslig verksamhet.

Att tillåta att personuppgifter i underrättelseverksamhet i större ut- sträckning än vad som nu är fallet görs gemensamt tillgängliga kan fram- stå som betänkligt från integritetsskyddssynpunkt. Det förhållandet att uppgifter om brottslig verksamhet normalt har mindre konkretion än uppgifter om enskilda brott talar också för att polisen bör ges mindre utrymme för behandling av personuppgifter i underrättelseverksamhet än för behandling i t.ex. förundersökningar. Behovet av att behandla per- sonuppgifter i underrättelseverksamhet framstår i allmänhet som mindre ju lägre straffvärde den brottsliga verksamhet har som underrättelseverk- samheten avser. Det innebär emellertid inte att den nuvarande avgräns- ningen för när sådan behandling är tillåten – brottslig verksamhet som innefattar brott med minst två års fängelse i straffskalan – är den lämpli- gaste. Den nuvarande avgränsningen måste ses mot bakgrund av att underrättelseverksamhet var ett ganska nytt arbetssätt när polisdatalagen tillkom och att det då var naturligt att sätta upp förhållandevis snäva gränser för den behandling av personuppgifter som tilläts. Som redovisas i avsnitt 7.2 har polisens arbete med att förebygga, förhindra och upp- täcka brottslig verksamhet utvecklats och den nuvarande avgränsningen av när personuppgifter får behandlas har med tiden visat sig vara en häm- mande faktor i polisarbetet. Det är därför nödvändigt att i den nya lagen ge större utrymme än tidigare för behandling av uppgifter i verksamhet som bedrivs inom ramen för dessa ändamål.

I linje med vad Rikspolisstyrelsen förordat i sitt tidigare remissvar skulle man i och för sig kunna tänka sig att – i fråga om underrättelse- verksamhet – tillåta att personuppgifter görs gemensamt tillgängliga så snart den brottsliga verksamheten innefattar brott för vilket fängelse ingår i straffskalan. En sådan reglering skulle dock föra alltför långt, eftersom många brott med fängelse i straffskalan normalt endast leder till bötesstraff.

Ett annat alternativ är att välja den lösning som promemorian föreslår nämligen att liksom hittills anknyta till straffskalan för de brott som den misstänkta verksamheten antas innefatta, men dra gränsen vid ett i stället för två års fängelse.

Promemorians förslag innebär bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en

Prop. 2009/10:85

133

annan straffskala än brottsbalksbrott. Samtidigt är det fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Ett exempel på sådan brottslighet är s.k. inkas- soverksamhet som bedrivs utan tillstånd. Det är en brottstyp som före- kommer allt oftare och som förknippas med organiserad brottslighet, främst s.k. mc-brottslighet. Brotten består i att driva in pengar under förtäckta hot. Även i de fall där brotten rubriceras som olaga hot är straff- maximum ett års fängelse. En annan brottstyp där det också kan vara angeläget att kunna samla och på ett mer kvalificerat sätt behandla under- rättelseinformation för att kunna förebygga brott är överträdelse av be- söksförbud. Även bland brottsbalksbrotten finns det sådana som bör kunna angripas genom en effektiv underrättelseverksamhet, men som med dagens gränsdragning faller utanför möjligheterna till behandling av personuppgifter, t.ex. skadegörelse i form av klotter. Denna brottstyp begås av ett fåtal personer men vållar stor skada för samhället. För att kunna lagföra klottrare krävs det normalt att de ertappas på bar gärning, vilket många gånger förutsätter ett noggrant underrättelsearbete. Andra brottsbalksbrott som i vissa fall kan kräva ett effektivt underrättelsearbete är skyddande av brottsling och främjande av flykt. Detta gäller särskilt i de fall där det finns misstanke om kommande fritagning av allvarligt brottsbelastade personer.

I sammanhanget är det viktigt att betona att en stor del av polisens be- handling av personuppgifter i underrättelseverksamhet kommer att om- fattas av de mer begränsande bestämmelserna om gemensamt tillgängliga uppgifter. Brottsförebyggande arbete i projektform där antalet deltagare är fler än ett tiotal omfattas exempelvis av dessa bestämmelser. Polisen bör enligt regeringens mening kunna bedriva underrättelsearbete för att stävja även mindre allvarlig brottslig verksamhet, bl.a. sådan verksamhet som innefattar brott av de slag som nyss angetts. Av betydelse från integ- ritetsskyddssynpunkt är att ju mindre allvarlig brottslig verksamhet det är fråga om desto mindre är som regel behovet av att sprida uppgifter. Poli- sen ansvarar för att tillgången till uppgifter begränsas till den personal som behöver ha tillgång till dem för att kunna utföra sina arbetsuppgifter.

Sammanfattningsvis bör det enligt regeringens mening i verksamhet för att förebygga, förhindra och upptäcka brott vara möjligt att göra upp- gifter gemensamt tillgängliga så snart den brottsliga verksamheten inne- fattar brott med ett års fängelse i straffskalan.

Det förekommer även brottslighet där ett års fängelse inte ingår i straffskalan för det enskilda brottet, men där verksamheten kan misstän- kas ske systematiskt. Det kan exempelvis vara fråga om ligor som har satt i system att begå snatterier. Andra exempel finns inom den ekono- miska brottsligheten, där bl.a. osant intygande, som inte är grovt, utgör ett betydande problem och där brottsligheten ofta bedrivs systematiskt och kan kräva kartläggning. Ett tredje exempel är barnpornografibrott som är ringa. Intresset av en effektiv brottsbekämpning talar för att poli- sen bör kunna göra även uppgifter med anknytning till sådan systematisk brottslighet gemensamt tillgängliga. En motsvarande ordning gäller för närvarande för Tullverket. Bestämmelser som gör det möjligt att göra också personuppgifter, som har samband med misstänkt brottslig verk- samhet som sker systematiskt, gemensamt tillgängliga bör därför införas i den nya lagen.

Prop. 2009/10:85

134

Polisens underrättelsearbete avseende mindre allvarlig brottslighet kommer, som Riksdagens ombudsmän påpekar, sannolikt att avse främst systematisk brottslig verksamhet. Det finns emellertid behov av att kunna göra uppgifter gemensamt tillgängliga även beträffande brottslig verk- samhet som innefattar brott med endast ett år i straffskalan och som inte bedrivs systematiskt. En sådan behandling är ofta en förutsättning för att polisen ska kunna se samband och upptäcka att viss brottslig verksamhet bedrivs systematiskt.

Uppgifterna måste antas ha samband med den brottsliga verksamheten

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Även uppgifter om den som inte kan misstänkas måste emellertid kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat polisen om den misstänkta brottsliga verksamheten, uppgifter om en person som äger ett garage eller annan lokal där den misstänkta brottsliga verksam- heten bedrivs och uppgifter om anhöriga eller andra som genom sitt sam- röre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att uppgifter av detta slag ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet. Därför föreslås att bara uppgifter som kan antas ha samband med den misstänkta brottsliga verksamheten får behandlas.

Förslaget innebär att det i vissa fall kommer att vara möjligt att göra uppgifter om personer som inte själva är misstänkta för vare sig ett kon- kret brott eller för att delta i viss brottslig verksamhet gemensamt till- gängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. be- stämmelser som förhindrar att uppgifterna ges omotiverad spridning.

Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet finns bestämmelser som anger att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad brottslig verksamhet. Vidare får endast de som arbetar med ärendet ha direkt till- gång till uppgifterna. Tullverket lyfter fram just dessa bestämmelser som exempel på att dess lagstiftning är utformad så att den begränsar utrym- met för informationsutbyte och att detta försvårar samverkan mellan de brottsbekämpande myndigheterna.

Begränsningar av detta slag framstår som mindre ändamålsenliga för polisens del, särskilt mot bakgrund av Tullverkets erfarenheter. De skulle i alltför hög grad begränsa polisens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma perso- ner är inblandade i flera brottsliga aktiviteter som pågår i olika delar av landet vid en och samma tidpunkt. Om endast de som arbetar med det ärende där en viss uppgift har kommit fram ges tillgång till uppgiften, kommer det normalt inte att vara möjligt att upptäcka sambanden med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en person som förekommer

Prop. 2009/10:85

135

som ”kringperson” i flera utredningar om likartad brottslig verksamhet. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör därför kunna behandlas gemensamt inom polisen även utanför ett visst ärende. De särskilda risker för intrång i den person- liga integriteten som detta skulle kunna innebära kan motverkas genom bl.a. begränsningar i möjligheterna att genom sökning få fram vissa upp- gifter. Den frågan behandlas i avsnitt 11. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare ända- mål som behandlingen sker, vilket utvecklas i avsnitt 10. Den allmänna bestämmelsen om att endast tjänstemän som behöver uppgifterna för sitt arbete får ges tillgång till dem har också stor betydelse (avsnitt 6.6).

Uppgifter som behövs för övervakningen av vissa personer

Både Polisdatautredningen och promemorian föreslår särskilda bestäm- melser som klargör att polisen i vissa fall har rätt att behandla uppgifter för övervakning av personer. Det handlar då om övervakning av personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Även Registerutredningen föreslog sådana bestämmelser (SOU 1997:65 s. 230 f.). Enligt det förslaget skulle kriminalunderrättelsere- gister få innehålla uppgifter om dömda personer som antingen var all- varligt kriminellt belastade eller som kunde antas vara farliga för annans personliga säkerhet. Personuppgifterna skulle gallras senast när samtliga uppgifter om personen hade gallrats ur belastningsregistret. Den dåva- rande regeringen ansåg dock att några sådana bestämmelser inte borde införas (prop. 1997/98:97 s. 113 f.). Som skäl angavs att det var svårt att se något behov av ett sådant register, varvid det bl.a. hänvisades till regi- streringen i belastningsregistret. Regeringen menade också att det skulle vara svårt att fastställa vilka kriterier som skulle gälla för att en person skulle anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet.

Tidigare utredningar och promemorian anser det befogat att polisen, under vissa förutsättningar, genom behandling av personuppgifter får möjlighet att utöva särskild kontroll över personer som är allvarligt kri- minellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. Regeringen anser att sådan övervakning kan utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, för- hindra eller upptäcka brottslig verksamhet. De uppgifter som finns i misstanke- och belastningsregistren ger inte all den information som behövs för en ändamålsenlig övervakning och registren innehåller inte heller de analysverktyg som kan krävas för att övervakningen ska bli effektiv.

Det förekommer redan övervakning av detta slag inom ramen för sär- skilda undersökningar. Med hjälp av ett särskilt analysverktyg kan in- formationen analyseras och kopplingar mellan exempelvis olika grup- peringar, händelser och brottsliga verksamheter upptäckas. Denna form av uppgiftssamling har i något fall benämnts Y-databas, där bokstaven Y står för yrkeskriminell. Datainspektionen har i ett tillsynsärende inspek-

Prop. 2009/10:85

136

terat behandlingen av personuppgifter i en sådan databas vid Polismyn- digheten i Skåne. Efter att inledningsvis ha ifrågasatt om databasen om- fattades av polisdatalagens bestämmelser om särskilda undersökningar, kom inspektionen fram till att så var fallet. Inspektionen framförde dock vissa synpunkter på gallringen av uppgifterna (Datainspektionens beslut den 25 maj 2007, dnr 686-2006).

Datainspektionen har efterlyst klargöranden av vilken verksamhet som avses med begreppet övervakning. Vad som avses är just den nyss be- skrivna behandlingen i form av lagring, bearbetning och analys som sker i särskilda uppgiftssamlingar för att utöva kontroll över vissa personer som uppfattas som särskilt brottsbenägna eller farliga, men mot vilka det för tillfället inte finns några konkreta misstankar om brottslig verksam- het.

Uppgiftssamlingar av detta slag är av stor betydelse för att polisen långsiktigt ska kunna bedriva ett effektivt brottsbekämpande arbete. Utan tillgång till sådana uppgiftssamlingar skulle det vara svårt för polisen att bemästra den brottslighet som förekommer i kriminella nätverk som exempelvis mc-brottsligheten. Från integritetssynpunkt är i och för sig personuppgiftsbehandling av detta slag ägnad att inge betänkligheter. Detta intrång måste dock ställas mot behovet av att förebygga brott av allvarligt slag.

Frågan är då i vilken utsträckning den nya lagen bör ge polisen möjlig- het att skapa sådana gemensamma uppgiftssamlingar. För att det integri- tetsintrång som personuppgiftsbehandlingen kan ge upphov till inte ska bli oproportionerligt bör möjligheten till behandling av personuppgifter för övervakning inskränkas till uppgifter om och kring de personer som uppfattas som särskilt brottsaktiva eller farliga. Bestämmelsen bör dock utformas något annorlunda än vad som föreslås i promemorian. Som första förutsättning bör gälla att personen kan antas komma att begå brott av mera allvarligt slag; att han eller hon tidigare är dömd för sådana brott bör alltså inte vara tillräckligt. Med brott av mera allvarligt slag avses här brott med fängelse i två år eller mer i straffskalan. Därutöver bör krävas att personen antingen är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

Riksdagens ombudsmän anser att avgränsningen av vem som ska kunna anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet måste göras såväl klarare som snävare. Varken Polisdatautred- ningen, Registerutredningen eller promemorian anser dock att det är ändamålsenligt att i lagtext närmare precisera uttrycken ”allvarlig kri- minell belastning” och ”hot mot andras säkerhet”. Innebörden av dessa uttryck kommer att behandlas närmare i författningskommentaren. Någon precisering utöver vad som sägs där kan inte anses nödvändig. Både dåvarande Riksåklagaren och Riksdagens ombudsmän anger som möjlig avgränsning att endast tillåta övervakning av personer som dömts för allvarliga brott riktade mot annans liv, hälsa eller frihet. Detta skulle dock enligt regeringens mening bli för begränsande, eftersom flera av de personer som polisen tror sig veta livnär sig på allvarlig brottslighet ald- rig har dömts för något sådant brott. Vidare bör vissa brott som inte direkt kan anses riktade mot liv, hälsa eller frihet kunna omfattas, exem- pelvis grova skattebrott och narkotikabrott. Sådana brott är nämligen ofta

Prop. 2009/10:85

137

led i grov organiserad brottslighet riktad mot liv, hälsa eller frihet, t.ex. Prop. 2009/10:85 människohandel.

För att en bestämmelse av detta slag ska bli meningsfull bör polisens möjlighet att göra uppgifter gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de övervakade personerna utan även uppgifter om personer som har samband med de övervakade personerna. Uppgifter måste exempelvis kunna behandlas om att en övervakad person är an- ställd hos en viss annan person och att den övervakade personen regel- bundet besöker vissa personer. En förutsättning för behandlingen bör dock vara att uppgiften behövs för övervakningen.

Som Datainspektionen påpekar torde personuppgiftsbehandling av nu aktuellt slag för att möjliggöra övervakning i många fall rymmas inom de allmänna bestämmelserna om när uppgifter får göras gemensamt till- gängliga i underrättelsearbete. De uppgifter som behöver behandlas för övervakningen kommer med stor sannolikhet att ofta ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är före- skrivet fängelse i ett år eller däröver eller som sker systematiskt. Det kan dock förekomma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka skäl talar för att behandling bör kunna ske. Det kan exempelvis ibland vara svårt att precisera misstänkt brottslig verksamhet. Vidare – vilket är den största skillnaden – kan uppgifter om personer som har koppling till den övervakade behandlas i större utsträckning eftersom det inte ställs något krav på samband med brottslig verksamhet.

Tillgången till de behandlade uppgifterna bör liksom nu vara starkt be- gränsad. Endast de tjänstemän som har till uppgift att arbeta med över- vakningen bör kunna medges åtkomst. Information om att en viss person är föremål för övervakning bör dock kunna spridas till flera, eftersom det kan vara en förutsättning för att övervakningen ska bli effektiv. Det bör tydligt framgå att personuppgifter behandlas för att möjliggöra övervak- ning (se avsnitt 10).

9.3Utreda och beivra brott

Regeringens förslag: Personuppgifter i ärenden om utredning eller beivrande av brott ska få göras gemensamt tillgängliga.

Utredningen föreslår inte att man ska skilja på uppgifter som är gemensamt tillgängliga och andra uppgifter.

Remissinstanserna har inte yttrat sig i frågan. Promemorians förslag överensstämmer med regeringens.

Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag: Det är självklart att uppgifter som be- handlas för att utreda och beivra brott måste kunna göras gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgängliga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersök- ningar. Det finns inte anledning att ställa upp något krav på att det ska

vara fråga om utredning av allvarligare brott för att sådan behandling ska

138

vara tillåten. Flertalet förundersökningar, oavsett misstänkt brott, lagras redan nu i digital form i ett särskilt system kallat Datoriserad utrednings- rutin (DurTvå; se bilaga 6).

Av lagen bör det således framgå att samtliga uppgifter som förekom- mer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga. Det bör dock göras ett undantag från denna huvudregel, nämligen när det gäller DNA-profiler. Den frågan behandlas i avsnitt 9.6.

I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs som huvudregel att endast de personer som arbetar med ett ärende får ha direkt tillgång till uppgifter som behandlas i ären- det. En följd av detta är att möjligheten att utnyttja uppgifter som be- handlas inom ramen för en utredning i en annan utredning eller i under- rättelseverksamhet försvåras. Det är inte rimligt att ställa upp någon motsvarande begränsning för polisen. I en brottsutredning kan det vara viktigt att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att polisen kan bedöma om det finns något samband mellan utredning- arna. Uppgifter i en förundersökning måste således kunna göras gemen- samt tillgängliga för andra än dem som arbetar i förundersökningen. Uppgifter av detta slag är redan nu i viss utsträckning gemensamt till- gängliga. Tillgången till uppgifter i systemet DurTvå är nämligen inte begränsad till de personer som arbetar med en viss förundersökning. För närvarande registreras även samtliga brottsanmälningar i systemet Ratio- nell anmälningsrutin (RAR; se bilaga 6). Samtliga personuppgifter läggs in i systemet, men endast vissa uppgifter får göras sökbara. Från RAR och DurTvå hämtas uppgifter till andra register, t.ex. till det centrala brottsspaningsregistret som innehåller uppgifter om anmälda brott, till- vägagångssätt, signalement beträffande personer som setts på brotts- platsen m.m. Uppgifter från förundersökningar hämtas också till andra register. Att uppgifter i en brottsanmälan eller en förundersökning görs tillgängliga inom polisen för andra än dem som arbetar i ärendet är alltså något som redan nu förekommer i stor utsträckning och är en förutsätt- ning för ett effektivt polisarbete. I de flesta fall är det endast fråga om att göra vissa typer av uppgifter tillgängliga för andra än dem som arbetar i förundersökningen, inte hela förundersökningen.

Det förhållandet att det öppnas möjlighet att göra uppgifter om utred- ning av brott gemensamt tillgängliga innebär naturligtvis inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt över huvud taget inte göras tillgängliga för andra än dem som arbetar med förundersökningen. I vilken utsträckning möjligheten bör utnyttjas bör dock överlämnas till polisen att avgöra i det enskilda fallet.

Det bör anmärkas att Åklagardatautredningen i betänkandet med för- slag till lag om behandling av uppgifter i åklagarväsendets brottsbekäm- pande verksamhet inte föreslår några begränsningar i fråga om möjlig- heten att göra uppgifter som förekommer i ärenden om utredning eller beivrande av brott gemensamt tillgängliga (SOU 2008:87 s. 227).

Prop. 2009/10:85

139

9.4

Uppgifter som rapporteras till polisens

Prop. 2009/10:85

 

kommunikationscentraler

 

Regeringens förslag: Uppgifter som rapporteras till polisens kom- munikationscentraler ska få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i frågan.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inget att invända mot förslaget. Skälen för regeringens förslag: Polisens kommunikationscentraler

har till uppgift att effektivisera och samordna bl.a. de åtgärder som larm föranleder. Kommunikationscentralerna tar emot och vidarebefordrar inkommande larm och andra meddelanden samt vidtar och samordnar inledningsvis polisåtgärder med anledning av larm. Som stöd för denna verksamhet finns ett särskilt datasystem för kommunikationscentralerna, det s.k. KC-systemet (se bilaga 6). Till kommunikationscentralerna rap- porterar polispersonalen in händelser, iakttagelser och utförda uppdrag. KC-systemet syftar till att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunikationscentralerna både av allmänheten och av polispersonal. Syftet är också att på ett tidigt stadium kunna få signaler om pågående och återkommande brottslighet. Vidare har behandlingen till ändamål att ge underlag för planering av polisens resurser och för uppföljning av verksamheten. Systemet stöder inte endast polisens brottsbekämpande verksamhet utan även annan polisiär verksamhet. Uppgifterna som antecknas i systemet får vara tillgängliga i tretton månader.

När kommunikationscentralen tar emot larm och meddelanden, an- tecknas den information som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, t.ex. om en polispatrull skickas till platsen där ett brott påstås ha begåtts. När polispatrullen har varit på platsen, rapporterar den till kommunikationscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Det finns inte några begränsningar i fråga om vilka uppgifter som får anteck- nas i KC-systemet. Det som registreras är bl.a. brotts- eller händelseplat- ser med besked om tid, plats, händelsetyp, brottskod och övrig informa- tion som kan vara till hjälp vid en kommande insats. Systemet innehåller också personuppgifter. Något förenklat kan man säga att systemet funge- rar som en postcentral där alla inrapporterade uppgifter antecknas för att senare sorteras och vidarebefordras till polisens olika verksamhetsgrenar. Uppgifter om misstänkta brott vidarebefordras till polisens utredningsen- heter, medan uppgifter om misstänkt brottslig verksamhet förs över till polisens underrättelseenheter. KC-systemet används normalt inte i den brottsbekämpande verksamheten för att söka efter information. Det före- kommer emellertid att sökningar görs i systemet för att få fram uppgifter till en pågående brottsutredning, t.ex. om vad som har rapporterats in till polisen under en viss kortare tidsperiod eller på en viss plats. Det är dock

140

endast ett begränsat antal tjänstemän som har behörighet att söka i Prop. 2009/10:85 systemet.

Polisen bör även fortsättningsvis ha möjlighet att dokumentera händel- ser och iakttagelser som rapporteras till polisens kommunikationscen- traler. För att en sådan dokumentation ska tillgodose polisens informa- tionsbehov är det nödvändigt att uppgifterna kan göras gemensamt till- gängliga. Som framgått ovan kan det som rapporteras innehålla vilka personuppgifter som helst. Meddelandena kan således mycket väl inne- hålla uppgifter som inte annars får göras gemensamt tillgängliga enligt de bestämmelser som föreslås i den nya lagen. Det kan t.ex. röra sig om uppgifter om personer som enbart misstänks delta i brottslig verksamhet som inte innefattar brott för vilket är föreskrivet ett års fängelse eller mer. Att i detta sammanhang göra skillnad på den ena eller andra typen av uppgifter är dock praktiskt ogörligt. Den personal som tar emot och dokumenterar uppgifterna har inte någon möjlighet att pröva hur uppgif- terna får behandlas.

Mot denna bakgrund bör det i den nya lagen tas in en särskild bestäm- melse som ger ett generellt stöd för den behandling av personuppgifter som sker vid polisens kommunikationscentraler. Uppgifterna bör få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

Det ska tydligt framgå att personuppgifter behandlas för nu aktuellt ändamål genom en särskild upplysning eller på något annat sätt. Vidare bör särskilda gallringsbestämmelser gälla. Dessa frågor behandlas i av- snitt 10 och 14.3.

9.5Uppgifter i det internationella samarbetet

Regeringens förslag: Uppgifter i det internationella samarbetet får göras gemensamt tillgängliga om det behövs för att fullgöra den aktu- ella förpliktelsen.

Utredningen behandlar inte frågan. Remissinstanserna har inte yttrat sig i frågan.

Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Rikspolisstyrelsen ifrågasätter dock om inte kravet på att uppgifterna ska behövas för att fullgöra en interna- tionell förpliktelse redan framgår av den bestämmelse som anger att endast uppgifter som behövs för att fullgöra en internationell förpliktelse

får göras gemensamt tillgängliga.

Skälen för regeringens förslag: Den ökade internationaliseringen in- nebär att allt större krav ställs på polisiärt samarbete över gränserna (se avsnitt 7.4). Den föreslagna lagen bör därför ge möjlighet till personupp- giftsbehandling för internationellt samarbete. En grundläggande förut- sättning för sådan behandling bör vara att den behövs för att fullgöra ett internationellt åtagande. En särskild fråga är hur man ska se på möjlig- heten att göra uppgifter gemensamt tillgängliga när det gäller internatio-

141

nellt samarbete. I princip bör man kunna utgå från samma kriterier i det arbetet som vid personuppgiftsbehandling för nationella behov.

En viktig del av det dagliga internationella samarbetet via Interpol be- står i utbyte av information om stulna pass, stulna fordon, stulen konst och efterlysta personer. Interpol för olika register över sådana uppgifter och medlemsstaterna utbyter fortlöpande denna information med var- andra. Syftet med s.k. internationell efterlysning av personer eller före- mål är att man genom det förfarandet förbättrar möjligheterna att utreda och lagföra brott. Informationsutbytet ökar möjligheterna att påträffa personer som försöker hålla sig undan rättvisan. Likaså förbättras förut- sättningarna för att kunna återställa stulen egendom eller att åtminstone förhindra att värdefulla stulna föremål avyttras i andra länder.

När en svensk myndighet sänder en internationell efterlysning till Interpol sker detta som ett led i den svenska brottsbekämpningen. Upp- gifterna har då gjorts gemensamt tillgängliga med stöd av de regler som föreslås i avsnitt 9.2 och 9.3. När en svensk myndighet tar emot uppgifter från andra länder om internationella efterlysningar görs det för att den andra staten vill ha bistånd med upplysningar om var det efterlysta före- målet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen, om denne påträffas i Sverige. Upplysningar om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i princip all polispersonal. Detta görs genom att uppgifterna tillförs de nationella registren över efterlys- ningar. För att svensk polis ska kunna fullgöra gjorda internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt till- gängliga är förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i ett allmänt informationsutbyte kan behöva göras gemensamt tillgängliga för att den svenska polisen ska kunna bidra med information.

Den nya lagen bör alltså ge utrymme för att göra uppgifter som be- handlas inom ramen för internationellt samarbete gemensamt tillgäng- liga. Mot bakgrund av de särskilda risker för intrång i den enskildes per- sonliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgäng- liga endast om det krävs för att förpliktelsen ska kunna fullgöras.

En uttrycklig bestämmelse om detta bör tas in i den nya lagen. Be- stämmelsen bör dock utformas något annorlunda än promemorians för- slag, för att undanröja den oklarhet som Rikspolisstyrelsen pekar på.

Den internationella enheten vid Rikskriminalpolisen fungerar som kon- taktpunkt vid allt internationellt polisiärt samarbete som inte sker genom direktkontakter mellan myndigheterna. I avsnitt 15.5 diskuteras de sär- skilda behov av behandling av uppgifter som finns i det arbetet, vilket utmynnar i förslag att Rikspolisstyrelsen får föra ett särskilt register över internationella ärenden.

Prop. 2009/10:85

142

9.6

Behandlingen av DNA-profiler

Prop. 2009/10:85

Regeringens förslag: Uttrycket ”uppgifter om resultatet av DNA-ana- lyser” ska ersättas med begreppet ”DNA-profil”.

DNA-profiler får inte göras gemensamt tillgängliga, men får be- handlas i vissa register enligt särskilda bestämmelser. Utöver detta gäller inga särskilda begränsningar för behandlingen av DNA-profiler.

Utredningens förslag: Uppgifter om resultatet av DNA-analyser i brottmål ska endast få behandlas i särskilda register samt i förundersök- ningar och andra brottsutredningar.

Remissinstanserna har inte yttrat sig i frågan.

Promemorians förslag överensstämmer delvis med regeringens. Pro- memorian använder inte begreppet DNA-profil och föreslår att behand- ling av uppgifter om resultatet av DNA-analyser endast ska vara tillåten i förundersökningar, utöver den behandling som sker i de särskilda DNA- registren.

Remissinstanserna: Flertalet av remissinstanserna tillstyrker eller har inget att invända mot förslaget. Åklagarmyndigheten, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium ifrågasätter dock promemori- ans uttalande att DNA-profiler utgör särskilt känsliga uppgifter och fram- håller att de DNA-profiler som tas fram och registreras i DNA-registren endast utgör en sifferkombination som inte innehåller någon information om personliga egenskaper, t.ex. sjukdomsanlag eller liknande. Mot denna bakgrund anser Åklagarmyndigheten att förnyade överväganden behövs vad gäller den föreslagna regleringen av behandling av DNA-profiler. Enligt Statens kriminaltekniska laboratorium är DNA-profiler inte mer integritetskänsliga än exempelvis fingeravtryck.

Rikspolisstyrelsen påpekar att DNA-profiler ofta utväxlas inom ramen för det internationella polisiära samarbetet. Bestämmelsen i förslaget med innebörd att DNA-profiler – utöver behandlingen i DNA-register – endast får behandlas i förundersökningar måste enligt styrelsen ändras för att det internationella uppgiftsutbytet ska kunna fortsätta. Styrelsen anser vidare att lagtexten bör förtydligas när det gäller uttrycket ”resul- tatet av DNA-analys”. Några remissinstanser ifrågasätter även att upp- gifter om resultat av DNA-analyser inte ska få göras gemensamt till- gängliga. Statens kriminaltekniska laboratorium anser att lagtexten behö- ver förtydligas, bl.a. ifrågasätts hur bestämmelsen om undantag för möj- ligheten att göra DNA-profiler gemensamt tillgängliga förhåller sig till bestämmelserna om direktåtkomst till DNA-register.

Skälen för regeringens förslag: I polisdatalagen finns bestämmelser om behandlingen av uppgifter om resultatet av DNA-analyser. Sådana uppgifter får enligt 22 § behandlas i särskilda register samt i förunder- sökningar och i särskilda undersökningar. I promemorian föreslås en liknande reglering.

Som Rikspolisstyrelsen anför är uttrycket ”uppgifter om resultatet av DNA-analyser” otydligt och kan ge utrymme för olika tolkningar av vilken behandling som avses. I polisdatalagen används uttrycket ”upp- gifter om resultatet av DNA-analyser” för att beskriva det som registreras

i DNA-registren (registren beskrivs närmare i avsnitt 15.2). I departe-

143

mentspromemorian Genomförandet av delar av Prümrådsbeslutet be- skrivs hur det går till när Statens kriminaltekniska laboratorium analy- serar DNA-prov och tar fram DNA-profiler samt hur DNA-profilerna sedan används genom att jämföras med andra DNA-profiler (Ds 2009:8 s. 79 f.). Av redogörelsen framgår bl.a. följande. Vid en kriminalteknisk DNA-analys undersöks endast en liten del av arvsmassan med inriktning på olika analyser som benämns STR-områden. Typbestämningen av ett antal sådana STR-områden presenteras som en sifferkombination (DNA- profilen). Det är endast denna sifferkombination som registreras och används för jämförelse med andra registreringar. Den del av DNA:t som typbestäms hör till den icke kodifierade delen av DNA:t. Det finns därför inga personliga egenskaper kopplade till dessa.

De uppgifter som får registreras efter en DNA-analys anges i 24, 24 a och 25 §§ polisdatalagen. Endast uppgifter som ger information om den registrerades identitet, samt uppgifter om vem analysen avser och i vilket ärende den gjorts får registreras. Det som läggs in i DNA-registren är således DNA-profilen och uppgifter om den undersöktes identitet, om den är känd, samt vissa administrativa uppgifter. För att tydliggöra att det är behandlingen av själva siffer- eller bokstavskombinationen som regle- ringen avser, och inte exempelvis behandlingen av ett utlåtande efter en företagen jämförelse av olika DNA-profiler, bör formuleringen ”uppgif- ter om resultat av DNA-analyser” ersättas med begreppet ”DNA-profil” . En definition av termen DNA-profil bör införas i den nya lagen. Av defi- nitionen bör det framgå att en DNA-profil utgör resultatet av en DNA- analys som presenteras som en kombination av siffror eller bokstäver. Det bör också framgå att det är fråga om DNA-analys av humant mate- rial. Motsvarande ändringar har föreslagits i departementspromemorian Genomförandet av delar av Prümrådsbeslutet (Ds 2009:8 s. 120).

Några remissinstanser har kritiserat den föreslagna begränsningen att DNA-profiler endast ska få behandlas i förundersökningar och i särskilda register. Vid bedömningen av behovet av en sådan begränsning kan in- ledningsvis konstateras dels att det krävs expertkunskap för att tillgodo- göra sig information ur en DNA-profil, eftersom en sådan profil endast utgör en kombination av siffror eller bokstäver, dels att den information som en expert kan ta fram ur en DNA-profil är begränsad. Detta innebär å ena sidan att det kan ifrågasättas om en DNA-profil utgör en sådan integritetskänslig uppgift som förutsätts i promemorian. Å andra sidan är det svårt att se något reellt polisiärt behov av att kunna behandla DNA- profiler utanför den verksamhet som bedrivs av Statens kriminaltekniska laboratorium och utanför de särskilda register där DNA-profiler registre- ras. Som Rikspolisstyrelsen påtalar finns det dock ett sådant behov inom ramen för det internationella samarbetet, eftersom DNA-profiler redan nu i viss utsträckning utbyts med andra länder (se prop. 2007/08:83 s. 60). Att föreskriva att DNA-profiler endast får behandlas i förundersökningar är därför enligt regeringens mening inte lämpligt. Inte heller integritets- skyddsskäl motiverar en sådan begränsning. Det är viktigt att betona att den reglering som nu föreslås inte avser hanteringen av spårmaterialet eller DNA-proverna utan behandlingen av själva resultatet av analysen i form av en DNA-profil.

Däremot bör det införas ett förbud mot att göra DNA-profiler gemen- samt tillgängliga. Denna begränsning är viktig av integritetsskyddsskäl,

Prop. 2009/10:85

144

eftersom det därigenom bl.a. säkerställs att det inte skapas uppgiftssam- Prop. 2009/10:85 lingar med DNA-profiler vid sidan av de särskilda register där DNA-

profiler får behandlas.

Förbudet mot att göra DNA-profiler gemensamt tillgängliga torde inte, som Rikspolisstyrelsen befarar, utgöra något problem för det interna- tionella uppgiftsutbytet eftersom det nu, till skillnad från i promemorian, föreslås särskilda bestämmelser för Rikspolisstyrelsens internationella register. I sammanhanget är det viktigt att framhålla, bl.a. med anledning av Statens kriminaltekniska laboratoriums begäran om förtydligande, att förbudet mot att göra DNA-profiler gemensamt tillgängliga inte gäller behandlingen av uppgifter i de register som regleras särskilt.

I avsnitt 15.2 och 15.5 övervägs vilka bestämmelser som ska gälla för behandlingen av DNA-profiler i särskilda register.

10

Särskilda upplysningar för gemensamt

 

 

tillgängliga uppgifter

 

 

 

Regeringens förslag: Vid behandling av gemensamt tillgängliga upp-

 

gifter ska det genom en särskild upplysning eller på något annat sätt

 

framgå för vilket närmare ändamål uppgifterna behandlas. Om en upp-

 

gift direkt kan hänföras till en person som inte är misstänkt vare sig

 

för visst brott eller för att ha utövat eller komma att utöva allvarlig

 

eller systematisk brottslig verksamhet, ska det på samma sätt framgå

 

att personen i fråga inte är misstänkt.

 

 

Uppgifter, som avser en person som kan antas ha samband med

 

misstänkt brottslig verksamhet, ska som regel förses med upplysning

 

om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

 

Detsamma gäller för personuppgifter som behandlas inom ramen för

 

övervakning av misstänkta personer.

 

Utredningens förslag: Uppgifter om personer mot vilka det inte finns

 

någon misstanke om brott ska förses med upplysning om uppgiftslämna-

 

rens trovärdighet och uppgifternas riktighet i sak.

 

Remissinstanserna har inte haft några invändningar mot utredningens

 

förslag.

 

Promemorians förslag överensstämmer i huvudsak med regeringens.

 

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller

 

har inget att invända mot promemorians förslag. Åklagarmyndigheten

 

förklarar sig ha förståelse för de skäl som bär upp intresset av att

 

”märka” uppgifter med särskilda upplysningar. Myndigheten anser dock

 

att det framstår som mycket svårt att praktiskt förverkliga en sådan

 

ambition, inte minst vad gäller omfattande bild- och ljudmaterial.

 

Även Rikspolisstyrelsen förutser praktiska problem vid tillämpningen

 

av de föreslagna bestämmelserna, framför allt i fråga om behandling av

 

personuppgifter i form av bild och ljud. Styrelsen ifrågasätter exempelvis

 

hur bestämmelserna om särskilda upplysningar ska kunna tillämpas vid

 

videokonferenser för t.ex. utsättning i en myndighet. Styrelsen föreslår

 

därför att behandling i form av bild och ljud undantas från kravet på

145

 

 

särskilda upplysningar. Rikspolisstyrelsen anser vidare att det är svårt att

Prop. 2009/10:85

förstå hur bestämmelserna ska tillämpas vid behandling av personupp-

 

gifter i löpande text och efterlyser därför klargöranden i den fortsatta

 

beredningen. Förtydliganden behövs även i fråga om kravet på särskild

 

upplysning om ändamålet med behandlingen. Rikspolisstyrelsen anser att

 

bestämmelsen bör tolkas så att kravet är uppfyllt om uppgiften ingår i ett

 

särskilt underrättelseprojekt eller särskilt system med visst ändamål eller

 

om det finns information om hur uppgiften ska hanteras.

 

Rikspolisstyrelsen uppger att det i all underrättelseverksamhet finns ett

 

verksamhetsbehov av att vid analys av information kunna bedöma käl-

 

lans tillförlitlighet och informationens riktighet i sak. Därför har polisen

 

infört ett värderingssystem, det s.k. 4x4-systemet, som ska användas vid

 

inhämtningen av information. Styrelsen bedömer att systemet i stort

 

uppfyller förslagets krav på upplysning om uppgiftslämnarens trovärdig-

 

het och uppgifternas riktighet i sak. Emellertid förekommer det enligt

 

styrelsen att information som har inhämtats inte har åsatts någon värde-

 

ring, t.ex. information som inhämtats från icke polisiära källor och infor-

 

mation som översänts från brottsbekämpande myndigheter i andra länder.

 

Rikspolisstyrelsen föreslår därför att kravet modifieras på så sätt att upp-

 

gifter så långt som möjligt ska förses med särskild upplysning om upp-

 

giftslämnarens trovärdighet och uppgifternas riktighet i sak. I och med att

 

äldre information inte alltid har åsatts en värdering är det enligt Rikspo-

 

lisstyrelsen viktigt att bestämmelserna inte gäller retroaktivt. Den stora

 

mängd information som finns i polisens system omöjliggör en retroaktiv

 

tillämpning.

 

Skälen för regeringens förslag

 

Krav på att vissa förhållanden ska framgå

 

Traditionella register förs för vissa närmare preciserade ändamål. När

 

personuppgifter lagras i ett sådant register framgår det således av sam-

 

manhanget för vilket ändamål uppgiften lagras. Eftersom register vanligt-

 

vis konstrueras så att sökfält skapas för olika slag av uppgifter får den

 

som söker efter information i register normalt också upplysning om till

 

vilken kategori en viss uppgift hör, t.ex. misstänkt eller målsägande. En

 

utgångspunkt för arbetet med den nya polisdatalagen är att lagen inte bör

 

reglera hur uppgifter tekniskt ska lagras eller göras tillgängliga. Förslaget

 

innebär att uppgifter av olika slag kan göras gemensamt tillgängliga utan

 

att de för den skull behöver ingå i ett särskilt register av vilket de när-

 

mare ändamålen för behandlingen av personuppgifterna framgår. Uppgif-

 

ter ska således i större utsträckning kunna lagras i det sammanhang som

 

de lagligen samlades in för och därifrån göras tillgängliga för olika berät-

 

tigade ändamål.

 

I och med att den nya lagen i större utsträckning kommer att tillåta att

 

uppgifter behandlas utanför särskilda register behövs bestämmelser som

 

säkerställer att den som söker information får motsvarande upplysningar,

 

bl.a. om ändamålet för behandlingen, som han eller hon skulle ha fått om

 

uppgifterna hade behandlats i ett register. Både verksamhetsskäl och

 

integritetsskyddsskäl talar för att det vid informationssökning ska framgå

 

varför en uppgift behandlas av polisen. Av samma skäl är det viktigt att

146

det framgår att en uppgift rör en icke-misstänkt person när så är fallet samt hur tillförlitlig en underrättelseuppgift bedöms vara. Sådan infor- mation är nödvändig om en uppgift tas ur sitt sammanhang för att be- handlas för ett nytt ändamål. Mot denna bakgrund bör det som prome- morian föreslår införas krav på att vissa förhållanden alltid ska framgå. I förtydligande syfte bör bestämmelserna utformas på ett något annorlunda sätt än i promemorians förslag. Det bör föreskrivas att aktuellt förhål- lande ska framgå genom en särskild upplysning eller på något annat sätt. Någon förändring i sak är dock inte avsedd utan utgångspunkten är den- samma, nämligen att upplysning aldrig behöver lämnas om ett förhål- lande som ändå framgår av omständigheterna. Vad detta närmare innebär utvecklas i det följande.

I linje med utgångspunkten att några särskilda upplysningar inte be- hövs när det ändå framgår varför uppgiften behandlas, föreslås inte några motsvarande bestämmelser för uppgifter som ännu inte har gjorts gemen- samt tillgängliga. Om t.ex. uppgifter förekommer i en enskild tjänste- mans dator eller behandlas i en liten, klart avgränsad projektgrupp vet handläggande tjänsteman varifrån uppgiften har kommit, varför den be- handlas och om en omnämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller inte.

I vilken utsträckning det kommer att bli nödvändigt att förse uppgifter med särskilda upplysningar beror på hur polisen organiserar behand- lingen av personuppgifter i den brottsbekämpande verksamheten. När uppgifter behandlas i särskilda avgränsade register eller system framgår det normalt av omständigheterna för vilket ändamål uppgifterna behand- las och om en uppgift avser en person som är misstänkt eller inte. Förhål- landena ändras om man bygger system som möjliggör sökning exempel- vis på viss person i ett flertal system; flera olika särskilda undersökningar kanske länkas samman. I sådana fall är det viktigt att det framgår varifrån uppgiften hämtats, för vilket ändamål uppgiften behandlas och om upp- giften avser någon som inte är misstänkt.

Sammanfattningsvis bör framhållas att det väsentliga är att den som får del av personuppgifter inom polisen ska veta varför uppgifterna behand- las. I vilken utsträckning särskilda upplysningar kommer att behövas, blir avhängigt av vilka lösningar polisen väljer för sin framtida personupp- giftsbehandling. Behålls de traditionella registren kommer några sär- skilda upplysningar normalt inte att behövas, eftersom ändamålet med behandlingen då framgår av syftet med registret.

Uppgifter i bild- och ljudupptagningar m.m.

Både Åklagarmyndigheten och Rikspolisstyrelsen förutser praktiska pro- blem vid tillämpningen av bestämmelserna om särskilda upplysningar. Båda myndigheterna pekar på särskilda svårigheter vid behandling av uppgifter i form av bild och ljud.

Bestämmelserna kan i förstone framstå som mer ingripande och be- gränsande än vad som är fallet. Det är bl.a. mot denna bakgrund som bestämmelserna föreslås utformas på ett något annorlunda sätt än i pro- memorieförslaget. Inledningsvis bör betonas att det inte ställs upp något krav på ”märkning” av varje enskild personuppgift i en bild- eller ljud-

Prop. 2009/10:85

147

upptagning. Det viktiga är att den som får tillgång till och söker i en bild- eller ljudfil vet varifrån upptagningen härrör och för vilket ändamål den behandlas. Det kan t.ex. uppnås genom att den aktuella filen förses med en särskild upplysning om ändamålet med behandlingen. Ibland behövs ingen upplysning; för exempelvis en upptagning vid hemlig kameraöver- vakning eller hemlig teleavlyssning i en förundersökning om grovt nar- kotikabrott krävs inga ytterligare upplysningar om ändamålet med be- handlingen.

Om det inte framgår av sammanhanget, kan det i anslutning till bild- eller ljudfilen även behövas en särskild upplysning, t.ex. i form av en förklarande text, om vilken eller vilka personer på upptagningen som är misstänkta för brott. Därmed framgår det motsatsvis att övriga personer inte är misstänkta. Det kan exempelvis behövas en särskild upplysning om det finns spaningsbilder från en viss plats där det förekommer flera personer och endast en av dem är misstänkt. I vissa fall behövs även en värdering av uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Rikspolisstyrelsen ifrågasätter även hur uppgifter ska kunna förses med särskilda upplysningar vid en videokonferens. Vid en sådan konferens är det vanligt att personuppgifter behandlas, eftersom syftet normalt är att utbyta information om personer. Vid s.k. utsättning diskuterar polisen olika händelser, företeelser och personer och det förekommer att bilder visas. Eftersom det vid en videokonferens alltid finns någon som berättar om de personuppgifter som behandlas och förklarar ändamålet med be- handlingen, torde det inte behövas några särskilda upplysningar eftersom det framgår av sammanhanget både varför uppgifterna behandlas och om det rör sig om uppgifter om misstänkta eller inte.

Rikspolisstyrelsen undrar också hur bestämmelserna är tänkta att till- lämpas när uppgifter behandlas i löpande text. Att ställa upp ett generellt krav på att varje personuppgift i löpande text ska förses med en särskild upplysning är naturligtvis inte rimligt. Som Rikspolisstyrelsen påpekar torde det i de allra flesta fall tydligt framgå av omständigheterna för vilket ändamål uppgifterna behandlas och om uppgifterna avser personer som inte är misstänkta för brott. Om uppgifter behandlas i en särskild textfil bör det liksom för bild- och ljudfiler vara tillräckligt att förse filen med en upplysning och förklarande text om innehållet i filen. Vid övrig behandling i löpande text, t.ex. i särskilda fritextfält i register och andra system, framgår det i regel av sammanhanget varför uppgifterna behand- las. Syftet med bestämmelserna om särskilda upplysningar är framför allt att säkerställa att uppgifter som presenteras utanför sitt sammanhang förses med sådana upplysningar. Återigen är det viktigt att framhålla att frågan om huruvida det behövs särskilda upplysningar således kommer att bli beroende av hur polisen organiserar sina system, framför allt vilka sökmöjligheter som skapas. Om polisen möjliggör s.k. fritextsökningar i ett flertal sammanlänkade system bör det vid sökning på viss uppgift av träffbilden framgå för vilket ändamål den aktuella personuppgiften be- handlas. Det bör framgå i vilket ärende eller vilken uppgiftssamling – t.ex. ett särskilt underrättelseprojekt – som uppgiften behandlas. Vidare bör det framgå om personen inte är misstänkt för brott.

Prop. 2009/10:85

148

Upplysning om ändamålet med behandlingen

Prop. 2009/10:85

Det finns som nyss nämnts både integritetsskyddsskäl och verksamhets-

 

skäl som talar för att det bör framgå för vilket ändamål en uppgift som

 

har gjorts gemensamt tillgänglig behandlas. Från integritetssynpunkt har

 

detta betydelse bl.a. för möjligheterna att genom tekniska förfaranden

 

eller administrativa bestämmelser kunna styra åtkomsten till vissa upp-

 

gifter. En upplysning om ändamålet med behandlingen kan vidare vara

 

en förutsättning för att tillsynsmyndigheterna ska kunna kontrollera att

 

viss behandling är berättigad och sker i enlighet med lagens bestämmel-

 

ser. Framför allt av verksamhetsskäl är information om ändamålet med

 

behandlingen viktig för att de tjänstemän som får tillgång till personupp-

 

gifter ska kunna värdera uppgifterna korrekt och använda sig av dem på

 

ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en

 

tjänsteman ska kunna ta ställning till om uppgiften får och bör behandlas

 

för ett nytt ändamål. En särskild bestämmelse bör därför tas in i den nya

 

lagen med innebörd att det alltid ska framgå för vilket ändamål en

 

personuppgift behandlas. Om en personuppgift behandlas inom ramen

 

för den ovan föreslagna bestämmelsen om övervakning av vissa perso-

 

ner, bör detta framgå särskilt. Detsamma bör gälla om en uppgift be-

 

handlas med stöd av bestämmelsen om rapportering till polisens kommu-

 

nikationscentraler.

 

En särskild upplysning behövs endast om ändamålet för behandlingen

 

inte framgår på något annat sätt. Som Rikspolisstyrelsen påpekar framgår

 

ändamålet normalt av omständigheterna när en uppgift ingår i ett särskilt

 

underrättelseprojekt eller särskilt system med ett visst ändamål.

 

Upplysning om att personen inte är misstänkt

 

Det är av stor betydelse för skyddet av den personliga integriteten att

 

polisen behandlar personuppgifter på ett sådant sätt att det framgår om en

 

person behandlas som misstänkt eller om behandlingen sker av någon

 

annan anledning. Därför föreslås att det i lagen ställs krav på att det ska

 

framgå om behandlingen avser uppgifter om en person som inte är miss-

 

tänkt vare sig för ett konkret brott eller för att ha utövat eller komma att

 

utöva brottslig verksamhet. Detta förhållande bör framgå genom en sär-

 

skild upplysning eller på något annat sätt. Det kan anmärkas att det redan

 

finns krav på särskilda upplysningar vid behandling av underrättelseupp-

 

gifter (14 och 19 §§ polisdatalagen).

 

Ofta framgår det av omständigheterna att en uppgift avser en person

 

som inte är misstänkt. Någon särskild upplysning behövs då inte. I en

 

förundersökning som gäller misshandel kan det t.ex. framgå att A berörs

 

av förundersökningen endast i egenskap av målsägande. Det kan anmär-

 

kas att det i 20 och 21 §§ förundersökningskungörelsen (1947:948) ställs

 

krav på att det ska framgå varför en uppgift om en person antecknas i

 

förundersökningsprotokollet. En särskild fråga är hur man ska förfara

 

med en person som i samma sammanhang är såväl misstänkt som icke

 

misstänkt. Sådana fall är inte ovanliga men i regel bör de inte innebära

 

något problem eftersom det normalt framgår av omständigheterna hur

 

situationen är.

 

 

149

Vidare behöver inte enskilda uppgifter i förhör, inlagor eller i bild- och ljudupptagningar förses med särskilda upplysningar, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd – eller på bild synlig – person inte är misstänkt. Det är, som tidigare nämnts, framför allt när uppgifter presenteras utanför sitt sammanhang som det kan behö- vas särskilda upplysningar.

En viss uppgiftssamling kan också vara sådan till sin natur att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta. Som exempel kan nämnas en förteckning över målsägande.

Lagrådet har invänt mot att ordet ”misstänkt” används när det gäller brott som ännu inte har begåtts och ansett att den formulering som används i lagrådsremissens 3 kap. 4 och 6 §§ är svårbegriplig. Ordet misstänkt används emellertid redan på detta sätt både i polisdatalagen och i motsvarande lagar där personuppgifter tillåts behandlas i underrät- telseverksamhet, t.ex. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I nämnda lagar ställs även krav på viss misstankenivå. I 19 § första stycket polisdatalagen krävs t.ex. för viss behandling att en person skäligen kan misstänkas för att ha utövat eller komma att utöva brottslig verksamhet. Med hänsyn till svå- righeten att avgöra graden av misstanke beträffande brottslighet som inte har konkretiserats föreslås inget motsvarande krav i den nya lagen. För att uppnå enhetlighet i lagstiftningen finns det också skäl att behålla den vedertagna terminologin ”att utöva eller komma att utöva brottslig verk- samhet”, även om det som Lagrådet påpekat kan finnas invändningar mot formuleringen.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av per- sonuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter gra- den av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlit- lig samt graden av riktighet i sak, t.ex. om informationen består av kon- trollerade fakta eller endast icke styrkta påståenden. I 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verk- samhet föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämna- rens trovärdighet och uppgifternas riktighet i sak. Vid tillkomsten av polisdatalagen övervägdes om en motsvarande bestämmelse borde tas in i den lagen. Den dåvarande regeringen lämnade dock inte något sådant förslag. Regeringen hänvisade till att den föreslagna uppdelningen på be- lastningsregister, misstankeregister och kriminalunderrättelseregister innebar att bekräftade och konkreta uppgifter kom att skiljas från upp- gifter som grundades på skälig misstanke respektive på kriminalunder- rättelseverksamhet. Att därutöver i lag ta in bestämmelser om att behand-

Prop. 2009/10:85

150

lade uppgifter även skulle förses med upplysning om uppgiftslämnarens trovärdighet ansågs inte befogat (prop. 1997/98:97 s. 104 f.).

I den nya lagen föreslås inte några bestämmelser om personuppgiftsbe- handling i kriminalunderrättelseverksamhet eller om kriminalunderrättel- seregister. Förslaget är utformat så att det kommer att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande grad av tillförlitlighet. Rikspolisstyrelsen uppger att det inom all underrättel- severksamhet finns ett verksamhetsbehov att vid analys av information kunna bedöma källans tillförlitlighet och informationens riktighet i sak. Mot den bakgrunden finns det fog för att i den nya lagen ställa upp ett krav på tilläggsupplysningar motsvarande 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I den nya lagen bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Bestämmelsen bör inte gälla personuppgiftsbehandling inom ramen för brottsutredning utan enbart underrättelseverksamhet. En förundersökning rör ett konkret brott och det framgår då som regel direkt av samman- hanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten.

Vidare bör det, som föreslås i promemorian, finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen fram- står som överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor.

Rikspolisstyrelsen anser att aktuell tilläggsinformation endast ska be- höva lämnas ”så långt detta är möjligt” och hänvisar till att detta ut- tryckssätt används i princip 3.2. i Europarådets rekommendation. Riks- polisstyrelsen förklarar att man inom polisen använder sig av ett värde- ringssystem som i stort uppfyller promemorieförslagets krav på upplys- ning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Enligt styrelsen förekommer det emellertid att polisen får del av uppgif- ter som inte har åsatts en sådan värdering, t.ex. uppgifter från andra än polisiära källor och från utländska brottsbekämpande myndigheter.

De exempel som Rikspolisstyrelsen ger motiverar inte avsteg från den viktiga principen att uppgifterna ska förses med tilläggsinformation. De aktuella uppgifterna bör kunna förses med något slag av notering, t.ex. upplysning om att någon bedömning av källans trovärdighet eller upp- gifternas riktighet i sak inte kan göras, eventuellt kompletterad med tillägget att det är en uppgift av utländskt ursprung eller från viss annan källa. En sådan notering – som torde vara av stort värde för dem som får del av en personuppgift – är tillräcklig för att uppfylla kravet på upp- lysning. I motsats till Rikspolisstyrelsen anser regeringen alltså att det bör krävas mer än att upplysning lämnas så långt detta är möjligt, efter- som en sådan formulering kan uppfattas som en möjlighet att efter en diskretionär bedömning avstå från att lämna upplysningar. Med hänsyn till skyddet för den personliga integriteten bör regleringen vara så tydlig som möjligt. En annan sak är att det i vissa fall saknas förutsättningar att

Prop. 2009/10:85

151

göra bedömningen, men då är som redan framgått en upplysning om Prop. 2009/10:85 detta tillräcklig.

Frågan om bestämmelserna om särskilda upplysningar ska gälla retro- aktivt behandlas i avsnitt 18 om ikraftträdande och övergångsbestäm- melser.

11Sökbegränsningar för gemensamt tillgängliga uppgifter

11.1Allmänt om sökbegränsningar

Regeringens bedömning: För att värna den personliga integriteten bör den nya lagen innehålla bestämmelser som reglerar polisens möj- ligheter att göra sökningar i gemensamt tillgängliga uppgifter.

Utredningen gör inte någon särskild bedömning i denna del. Remissinstanserna har inte berört frågan närmare. Promemorians bedömning överensstämmer med regeringens.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inget att invända mot promemorians bedömning. Åklagarmyndighe- ten är dock tveksam till att införa begränsningar som inskränker urvalet av de uppgifter som presenteras vid en sökning, eftersom en ofullständig redovisning kan vara mer skadlig än en fullständig. Myndigheten anser att man, mot bakgrund av de övriga instrument som föreslås till skydd för integriteten, helt eller till övervägande del kan avstå från bestämmelser om sökbegränsningar. Enligt myndigheten bör en rimlig utgångspunkt vara att uppgifter som har samlats in för tillåtna syften därefter som huvudregel fullt ut ska få behandlas i enlighet med ändamålen intill dess att uppgifterna ska gallras. Rikspolisstyrelsen kritiserar förslaget om sökbegränsningar och anser att bestämmelserna på ett allt för detaljerat sätt reglerar polisens arbetsmetoder. Styrelsen hävdar att det i den före- slagna lagen finns andra bestämmelser än de om sökbegränsningar som bör anses utgöra ett tillräckligt skydd för den personliga integriteten. Styrelsen anför vidare att det IT-stöd som polisen avser att använda är uppbyggt så att varje informationsobjekt ska registreras endast en gång, vilket innebär att polisen måste kunna söka och få fram uppgifter om ett informationsobjekt redan förekommer i systemet. Det innebär enligt styrelsen i sin tur att det för detta syfte måste gå att söka och få fram uppgifter om andra personer än de som räknas upp i förslaget. Sveriges advokatsamfund pekar på behovet av att genomlysa hur bestämmelser om sökbegränsningar förhåller sig till reglerna i 2 kap. tryckfrihetsför- ordningen.

152

Skälen för regeringens bedömning

Prop. 2009/10:85

Behovet av sökbegränsningar

Den nya lagen bör, som redovisas närmare i avsnitt 6.1, ge polisen möj- lighet att utveckla och bygga upp sina system på ett friare sätt. Lagen ska därför vara teknikneutral och endast fastställa ramarna för personupp- giftsbehandlingen. Ett av syftena med den nya lagen är att polisen ska kunna dra nytta av insamlad information på ett bättre sätt. Den nya lag- stiftningen kommer således att medge ett ökat informationsflöde inom polisen. Rikspolisstyrelsen och Åklagarmyndigheten invänder mot de föreslagna reglerna om sökbegränsningar och anser att de i alltför stor ut- sträckning begränsar tillgången till relevanta uppgifter. Sett från integ- ritetssynpunkt är en av de viktigaste aspekterna med behandling av per- sonuppgifter i vilken utsträckning uppgifter kan sökas och sammanstäl- las. Ju större möjligheter det finns att på olika sätt sammanställa uppgif- ter om enskilda, desto större blir riskerna för intrång i enskildas integ- ritet. I lagstiftning som rör personuppgiftsbehandling finns därför i regel olika bestämmelser som begränsar möjligheten att söka och samman- ställa information, t.ex. bestämmelser om vilka sökbegrepp som får användas eller andra typer av sökbegränsningar. De möjligheter som den nya lagen ger polisen att behandla personuppgifter och mängden infor- mation, skulle – om det inte fanns några sökbegränsningar – skapa ut- rymme för kvalificerade former av kartläggning av enskildas personliga förhållanden, vilket i sig kan utgöra ett intrång i den personliga integri- teten. Mot denna bakgrund bör det i lagen finnas bestämmelser om sökbegränsningar när det gäller sådana uppgifter som är gemensamt tillgängliga, dvs. som fler än ett fåtal tjänstemän har tillgång till. Från dessa bestämmelser föreslås dock vissa generella undantag.

Rikspolisstyrelsen anser att de föreslagna sökbegränsningarna innebär en alltför detaljerad styrning av polisens sätt att arbeta. Enligt regering- ens mening bör begränsningar av detta slag vara tydliga och konkreta för att ge nödvändig vägledning, samtidigt som de inte i onödan hindrar utvecklingen av nya metoder för polisarbetet eller begränsar möjlighe- terna att hantera nya former av kriminalitet. Det kan antas att de före- slagna begränsningarna på något sätt kommer att integreras i polisens IT- system, på samma sätt som exempelvis behörigheten för tjänstemännen. Om så blir fallet kommer den enskilde tjänstemannen inte att behöva ta ställning till om begränsningarna är tillämpliga eller inte.

Rikspolisstyrelsen pekar på att sökbegränsningar kan skapa problem vid den tekniska uppbyggnaden av polisens IT-stöd, eftersom detta är tänkt att fungera så att varje informationsobjekt ska registreras endast en gång. Det förutsätter att det går att få fram uppgifter om att ett infor- mationsobjekt redan finns inlagt i systemet. När det gäller frågan om den tekniska uppbyggnaden av polisens IT-stöd bör det enligt regeringens bedömning göras skillnad mellan att registrera nya uppgifter i systemet och att söka efter information. De sökbegränsningar som föreslås torde inte utgöra hinder mot att det i polisens IT-stöd finns en teknisk funktion som hindrar att samma uppgift registreras flera gånger.

153

Utgångspunkter vid utformningen av sökbegränsningar

Prop. 2009/10:85

Eftersom den nya lagen ger utrymme för att samla in och lagra en mängd

 

olika personuppgifter i samma system kan det finnas uppgifter om

 

samma individ i flera olika sammanhang. Det kan röra sig om allt ifrån

 

ren underrättelseinformation till uppgifter om att personen i fråga har

 

gjort en stöldanmälan eller förekommer som vittne i en förundersökning.

 

En utgångspunkt vid utformningen av sökbegränsningar bör vara att inte

 

alla tjänstemän inom polisen vid varje form av sökning ska kunna göra

 

en sammanställning av all den information som finns i polisens system

 

om en viss person. Polisens allmänna informationsbehov motiverar inte

 

att polisen ges så stora möjligheter att sammanställa och få tillgång till

 

uppgifter. Såväl sekretessregleringen som integritetsintressen talar också

 

mot en sådan lösning. Dessutom står det inte i rimlig proportion till det

 

integritetsintrång som det skulle kunna innebära för den enskilde att låta

 

den som t.ex. gör en rutinmässig sökning när någon har ertappats för

 

fortkörning få tillgång till all information om den kontrollerade. Däremot

 

finns det situationer där vissa tjänstemän inom polisen måste kunna göra

 

mer omfattande sökningar. Den nya lagen måste ge utrymme för en

 

sådan flexibilitet. Vidare bör lagen medge att en polisman som har fått

 

fram en grunduppgift, t.ex. om att den sökta personen är misstänkt för

 

brott, söker efter ytterligare information, i den utsträckning det finns skäl

 

för det.

 

I lagen bör även införas bestämmelser som begränsar användningen av

 

känsliga personuppgifter som sökbegrepp. I avsnitten 11.2 och 11.3 redo-

 

görs närmare för hur sökbegränsningarna bör utformas.

 

Förhållandet mellan sökbegränsningar och offentlighetsprincipen

 

Sveriges advokatsamfund efterfrågar en analys av hur förslagen om sök-

 

begränsningar förhåller sig till reglerna i 2 kap. tryckfrihetsförordningen.

 

Varje sammanställning av personuppgifter som en myndighet kan göra

 

med hjälp av tillgänglig teknik och rutinbetonade åtgärder är i princip att

 

anse som en allmän handling hos myndigheten, oavsett om sammanställ-

 

ningen behövs för myndighetens egen verksamhet eller inte. Sådana

 

sammanställningar utgör s.k. potentiella handlingar. Elektroniskt lagrade

 

handlingar som har ett fixerat innehåll som går att återskapa gång på

 

gång, t.ex. e-brev eller protokoll i elektronisk form, utgör s.k. färdiga

 

elektroniska handlingar. Om den myndighet som förvarar elektroniskt

 

lagrade personuppgifter är förbjuden att göra sammanställningar med

 

hjälp av vissa sökbegrepp har inte allmänheten rätt att begära ut en sådan

 

sammanställning. Detta framgår av 2 kap. 3 § tredje stycket tryckfrihets-

 

förordningen (begränsningsregeln). Bestämmelsen är inte tillämplig på

 

s.k. färdiga elektroniska handlingar (prop. 2001/02:70 s. 38).

 

Bestämmelser om förbud mot att använda vissa sökbegrepp är alltså av

 

betydelse även för bedömningen av vilka handlingar som utgör allmänna

 

handlingar hos en myndighet. Bestämmelser om för vilka ändamål per-

 

sonuppgifter får behandlas i en myndighets verksamhet, s.k. ändamåls-

 

begränsningar, inskränker dock inte en myndigheters skyldighet enligt

 

offentlighetsprincipen att sammanställa personuppgifter (se bl.a. SOU

 

2004:6 s. 246 och prop. 2007/08:160 s. 69 f.). I det följande föreslås ett

154

förbud mot att använda känsliga personuppgifter som sökbegrepp. Ett Prop. 2009/10:85 sådant förbud får genomslag vid tillämpningen av 2 kap. tryckfrihetsför-

ordningen. Däremot får förslaget om begränsningar vid sökning på per- sonnummer och liknande identitetsuppgifter inte den effekten.

Bestämmelserna i tryckfrihetsförordningen kompletteras av offentlig- hets- och sekretesslagen (2009:400), som innehåller bestämmelser om bl.a. sekretess i polisens verksamhet. Sådana bestämmelser finns bl.a. i lagens 35 kap., som innehåller bestämmelser till skydd för enskildas integritet.

11.2Känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga uppgifter. Det ska dock inte finnas något hinder mot att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningen lämnar inte några förslag i denna del. Remissinstanserna har inte berört frågan närmare.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian förtydligas inte att det är tillåtet att använda brottsrubrice- ringar som sökbegrepp.

Remissinstanserna: Det stora flertalet av remissinstanserna tillstyrker eller har inget att invända mot promemorians förslag. Rikspolisstyrelsen anför att det är viktigt att polisen i vissa fall kan använda känsliga per- sonuppgifter som sökbegrepp för att kartlägga vissa typer av brottslig verksamhet, t.ex. hatbrott och sexualbrott. Styrelsen anser därför att frå- gan om känsliga personuppgifter som sökbegrepp bör analyseras när- mare.

Skälen för regeringens förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Detta kommer till uttryck bl.a. genom bestämmelser i dataskyddsdirekti- vet och i dataskyddsrambeslutet (se avsnitt 4.2.5 och 4.4.1) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 8 föreslås därför att känsliga personuppgifter som huvudregel inte ska få behandlas, men att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är abso- lut nödvändigt för syftet med behandlingen. Det innebär att det i polisens olika uppgiftssamlingar kommer att finnas känsliga personuppgifter.

Sökning på känsliga personuppgifter inger särskilda betänkligheter. Sådana sökningar skulle kunna möjliggöra exempelvis kartläggning av personer med viss politisk ståndpunkt eller religiös inriktning. Mot den bakgrunden har det i 20 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivits förbud mot att använda känsliga personuppgifter som sökbegrepp. Bestämmelser med motsvarande förbud finns även i förslagen till lag om behandling av upp- gifter i Kustbevakningens verksamhet i betänkandet Kustbevakningens

155

personuppgiftsbehandling Integritet – Effektivitet (SOU 2006:18) och lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verk- samhet i betänkandet Åklagarväsendets brottsbekämpning Integritet – Effektivitet (SOU 2008:87). Rikspolisstyrelsen framhåller att det är vik- tigt för polisen att i vissa situationer kunna använda sig av känsliga per- sonuppgifter som sökbegrepp. Det kan, enligt regeringens mening, i och för sig finnas situationer då en sådan möjlighet skulle vara av värde för det brottsbekämpande arbetet, t.ex. vid utredningen av ett sexualbrott eller ett våldsbrott med stark koppling till politisk eller religiös fanatism samt vid kartläggning av hatbrott. Normalt bör dock andra möjligheter till sökningar i t.ex. belastnings- och misstankeregistren eller i andra uppgiftssamlingar hos polisen utgöra ett tillräckligt stöd i det brottsbe- kämpande arbetet. Vidare bör framhållas att bestämmelsen inte hindrar sökning på brottsrubriceringar, t.ex. våldtäkt eller sexuellt utnyttjande av person i beroendeställning. Detta bör tydliggöras i lagtexten.

Sammantaget väger enligt regeringens mening integritetsintresset över. I den nya lagen bör det därför finnas en bestämmelse som föreskriver att känsliga personuppgifter inte får användas som sökbegrepp i polisens brottsbekämpande arbete.

Signalementsuppgifter har stor betydelse i brottsbekämpningen. Vid exempelvis sökandet efter misstänkta gärningsmän behöver polisen kunna använda sig av uppgifter om t.ex. kroppsbyggnad, ansiktsform, hår- eller hudfärg, klädsel och fysiska kännetecken som födelsemärken, tatueringar och synbara fysiska defekter. Förbudet mot att använda käns- liga personuppgifter som sökbegrepp bör därför inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp. Detta – som överensstämmer med vad som gäller enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – bör komma till uttryck i den nya lagen.

Prop. 2009/10:85

156

11.3Sökning på namn, personnummer eller samordningsnummer

Regeringens förslag: Vid sökning på namn, personnummer, samord- ningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4.övervakas på grund av allvarlig kriminell belastning eller för att personen kan antas utgöra ett hot mot andras personliga säkerhet,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.är anmäld såsom försvunnen,

10.har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11.är efterlyst.

De nu angivna begränsningarna ska dock inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sök- ning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Begränsningarna ska inte heller gälla vid sökning som utförs av sär- skilt angivna tjänstemän och som görs

a)för att förebygga, förhindra eller upptäcka särskilt allvarlig brotts- lig verksamhet,

b)för övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade eller kan antas utgöra ett hot mot andras personliga säkerhet, eller

c)för att utreda särskilt allvarliga brott.

Regeringen har möjlighet att meddela föreskrifter om ytterligare undantag från bestämmelserna om sökbegränsningar.

Utredningen lämnar inte något förslag i denna fråga. Remissinstanserna har inte berört frågan närmare.

Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorian innehåller dock inte något förslag om att uppgifter om personer som har bedömts kunna komma att möta ett polisingripande med grovt våld eller personer som är efterlysta får tas fram vid sökning i gemensamt tillgängliga uppgifter. Den innehåller heller inte någon be- stämmelse om att regeringen eller den myndighet som regeringen be- stämmer kan meddela föreskrifter om begränsning av tillgången till vissa kategorier av uppgifter eller någon bestämmelse som ger möjlighet för regeringen att meddela föreskrifter om ytterligare undantag från bestäm-

Prop. 2009/10:85

157

melserna om sökbegränsningar. I promemorian föreslås att sökbegräns- ningarna ska gälla även vid sökning på firma och organisationsnummer.

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inget att invända mot förslaget. Åklagarmyndigheten anför att utformningen av de föreslagna begränsningarna väcker osäkerhet om de helt eller delvis avser endast personuppgifter som är aktuella, alltså uppgifter i öppna, aktiva ärenden. Vidare bör enligt myndigheten klargöras om förslaget ska tolkas så att namn eller personnummer inte ska kunna användas för att identifiera en förundersökning som bör återupptas eller som utgör skäl för att inte inleda en ny förundersökning om samma sak. Rikspolisstyrel- sen anser att de föreslagna bestämmelserna på ett alltför detaljerat sätt kommer att reglera polisens arbetsmetoder och omöjliggöra det normala arbetssättet vid bekämpning av bl.a. grov organiserad brottslighet. Styrel- sen ifrågasätter också om förslaget, vars grundmotiv är att skydda den personliga integriteten, verkligen bör gälla juridiska personer. Enligt styrelsen kommer även det internationella polisiära samarbetet, bl.a. när det gäller Europols informationssystem EIS, att avsevärt försvåras av de föreslagna begränsningarna avseende juridiska personer. Det finns enligt Rikspolisstyrelsen ett stort behov av att kunna söka på personnummer eller liknande identitetsbeteckningar och få besked om personen före- kommer i polisens uppgiftssamlingar eller inte. Styrelsen pekar bl.a. på att det enligt förslaget inte ges någon möjlighet att flagga upp för den som söker information att den person som är föremål för sökningen är av intresse i t.ex. ett underrättelseprojekt. För att arbetet på kommunika- tionscentralerna ska fungera är det enligt Rikspolisstyrelsen viktigt att det på ett enkelt och effektivt sätt går att få fram uppgifter om att en person är farlig eller är efterlyst samt anledningen till efterlysningen. Styrelsen anser därför att förslaget bör kompletteras med bestämmelser som möj- liggör att sådan information tas fram. I syfte att göra författningstexten mer enhetlig föreslår Rikspolisstyrelsen vidare att formuleringen av den föreslagna bestämmelsen om särskilt angivna tjänstemän med vissa upp- gifter anpassas till den formulering som föreslagits när det gäller till- gången till personuppgifter.

Kustbevakningen anser att ett annat begrepp än ordet misstänkt bör användas i relation till uppgifter som rör en person som har någon form av samband med misstänkt brottslig verksamhet. Skatteverket instämmer i promemorians bedömning att det behövs begränsningar som hindrar att alla uppgifter om en fysisk person kan sökas fram i alla lägen. Uppgifter om juridiska personer och fysiska personer knutna till en juridisk person bör däremot enligt verket få tas fram. Enligt Skatteverkets uppfattning bör det dessutom alltid vara möjligt att bekräfta om en uppgift förekom- mer eller inte bland de personuppgifter som får göras gemensamt till- gängliga. Datainspektionen anser att förslaget inte är tillräckligt genom- arbetat då det bl.a. saknas en analys av de effekter som utformningen av sökbegränsningarna kan väntas ge. Datainspektionen anför bl.a. att be- gränsningarna enbart gäller den initiala sökningen och endast vissa typer av sökningar. De relativt omfattande undantagen från sökbegränsning- arna kommer enligt inspektionen sannolikt att medföra att avancerade sökmöjligheter – utan de föreslagna sökbegränsningarna – kommer att byggas in i polisens system. Enligt Datainspektionen kommer de före-

Prop. 2009/10:85

158

slagna begränsningarna med stor sannolikhet att sakna större betydelse

Prop. 2009/10:85

för integritetsskyddet.

 

Skälen för regeringens förslag

 

Får sökning göras på personnummer och liknande uppgifter?

 

Som framgår av avsnitt 11.1 är utgångspunkten att polisen inte vid varje

 

tillfälle och i varje situation ska kunna göra en sökning som kan leda till

 

en kartläggning av om en viss person förekommer i den polisiära verk-

 

samheten. Frågan är då hur polisens informationsinhämtning ska begrän-

 

sas.

 

Det är självklart att polisen gör sökningar med hjälp av bl.a. person-

 

nummer. Namn och personnummer är viktiga för identifieringen av en

 

person och kontrolleras regelmässigt i samband med brottsutredningar

 

och annat brottsbekämpande arbete. Detsamma gäller samordningsnum-

 

mer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokfö-

 

ringslagen (1991:481) kan tilldelas personer som inte är eller har varit

 

folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor

 

utsträckning användas i brottsutredningar för att undanröja risken för per-

 

sonförväxling. Det är uppenbart att möjligheten att göra sökningar på

 

sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet.

 

Det bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en

 

undersökning som avser viss misstänkt brottslig verksamhet, söka fram

 

uppgifter om huruvida personer som figurerar i det ärendet också är

 

misstänkta i andra ärenden. Den nya lagen bör således ge utrymme för

 

sökningar på namn, personnummer och andra liknande identitetsbeteck-

 

ningar.

 

Användandet av detta slag av uppgifter som sökbegrepp kan emellertid

 

ge upphov till särskilda risker från integritetssynpunkt. En sökning på

 

exempelvis ett personnummer kan, i vart fall om den sker i den samlade

 

informationsmängd som polisen har tillgång till, ge möjlighet till kart-

 

läggning av en persons privata förhållanden. Från ett integritetsperspek-

 

tiv är sådana sökningar ägnade att inge betänkligheter. Mot den bakgrun-

 

den bör en obegränsad möjlighet att göra sökningar med hjälp av detta

 

slag av uppgifter inte införas.

 

I promemorian övervägs om det i den nya lagen bör tas in en bestäm-

 

melse motsvarande 21 § lagen om behandling av uppgifter i Tullverkets

 

brottsbekämpande verksamhet. Enligt den bestämmelsen får namn, per-

 

sonnummer och samordningsnummer användas som sökbegrepp bara om

 

uppgifterna avser en person som är misstänkt för något visst brott eller

 

för viss brottslig verksamhet. I promemorian görs dock bedömningen att

 

en sådan bestämmelse inte är ändamålsenlig på polisområdet. Regeringen

 

delar den bedömningen, särskilt mot bakgrund av att en sådan bestäm-

 

melse inte tillåter att det görs vissa sökningar som kan vara nödvändiga

 

inom ramen för ett underrättelseprojekt. I ett sådant projekt kan det vara

 

av vikt att kunna klarlägga om personer som har anknytning till den

 

undersökta verksamheten – men som vid den tidpunkten inte är miss-

 

tänkta – förekommer som misstänkta i andra underrättelseprojekt eller i

 

brottsutredningar som gäller liknande brott. I brottsutredningar rörande

 

allvarliga brott, där det inte finns någon misstänkt person, måste polisen

159

också ha möjlighet att göra mer omfattande sökningar. Uppgifter om andra personer än misstänkta kan också – satta i ett större sammanhang – vara viktiga pusselbitar vid utredningen av ett brott eller i ett underrättel- seprojekt. Mot bakgrund härav bör möjligheten att söka på namn, person- nummer och liknande identitetsuppgifter också omfatta andra än miss- tänkta personer i vissa fall.

I promemorian föreslås att möjligheten att söka på identitetsbeteck- ningar som avser juridiska personer ska begränsas på samma sätt som när det gäller fysiska personer. Detta ifrågasätts av Rikspolisstyrelsen och Skatteverket, som anför att det inte finns samma behov av integritets- skydd för juridiska personer som för fysiska personer.

Uppgifter om juridiska personer behandlas ofta i polisens verksamhet bl.a. på grund av att t.ex. aktiebolag inte sällan används som brottshjälp- medel. Vid utredning och kartläggning av exempelvis organiserad ekono- misk brottslighet är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i det polisiära arbetet. Det finns således ett tydligt polisiärt behov av att kunna söka på uppgifter om juridiska personer. Behovet av integritetsskydd, exempelvis skydd mot kartläggning, är inte heller lika stort för juridiska personer som för fysiska personer. Till detta kommer att uppgifter om juridiska personer i stor utsträckning redan förekommer i offentliga register, bl.a. hos Bolagsverket. Som Rikspolisstyrelsen påpekar kan promemorians förslag i denna del också skapa svårigheter i det inter- nationella samarbetet. Det bör därför inte införas några bestämmelser som begränsar möjligheten att göra sökningar beträffande juridiska per- soner.

När det gäller frågan hur möjligheten att göra sökningar närmare bör regleras delar regeringen promemorians bedömning att det i lagen ut- tryckligen bör anges vilka uppgifter som får tas fram vid en sökning på identitetsbeteckningar som avser en fysisk person. Den frågan behandlas i det följande.

Vilka sökningar bör omfattas av sökbegränsningar?

Polisen har olika behov av att kunna få fram uppgifter om personer bero- ende på i vilket sammanhang frågan aktualiseras. En första fråga är där- för om de begränsningar som ska gälla för sökning på personnummer och liknande identitetsbeteckningar ska gälla i alla situationer där polisen gör en sökning med hjälp av personnummer eller endast i vissa situationer. Man kan, mycket förenklat, peka ut vissa typsituationer där polisen söker information med utgångspunkt i personuppgifter. Det kan röra sig om situationer där det utförs en allmän polisiär kontroll av något slag, t.ex. en trafikkontroll, kontroll av ungdomar som befinner sig i utsatta situa- tioner eller kontroll i samband med ordningsproblem. I de fallen kan det vara fråga om en ren identitetskontroll eller kontroll av behörighet att föra fordon eller liknande. Det kan vidare vara fråga om att någon person begär upplysningar eller att få ta del av handlingar i den brottsbekäm- pande verksamheten eller att polis eller åklagare söker efter ett tidigare ärende. I de fallen utgör personnumret ofta nyckeln till att hitta rätt ärende. Det kan även röra sig om kommunikationscentralens behov av att

Prop. 2009/10:85

160

ta fram personuppgifter i samband med larm om brott eller ordningsstör- ningar. Därutöver kan det vara fråga om kontroller som görs på personer inom ramen för en brottsutredning (vittnen, misstänkta och andra perso- ner). Det kan även röra sig om underrättelseverksamhet, där kartläggning av miljöer, företeelser och personer utgör en viktig beståndsdel. Polisen behöver alltså kunna använda sig av personnummer och liknande identi- tetsbeteckningar som sökbegrepp i många olika sammanhang och det går inte att enbart utifrån de olika verksamhetsbehoven avgöra vilka sök- ningar som ska omfattas av särskilda sökbegränsningar. Den frågan måste avgöras även utifrån andra kriterier.

Vid avgörandet av vilka sökningar som bör omfattas av sökbegräns- ningar kan inledningsvis konstateras att de integritetsrisker som motive- rar inskränkningarna inte gör sig gällande i samma utsträckning när det är fråga om sökningar i ett begränsat material, exempelvis en viss hand- ling eller ett visst ärende. Det är från effektivitetssynpunkt dessutom rimligt att en tjänsteman som arbetar i ett elektroniskt dokument får söka fritt i det dokumentet genom att t.ex. använda sedvanliga sökfunktioner i ett ordbehandlingsprogram. Det finns därför inte skäl att införa sökbe- gränsningar vid sökning i en viss handling eller ett visst ärende. I sådant arbete som bedrivs inom ramen för en särskild undersökning enligt 14 § polisdatalagen och som avser viss brottslighet (t.ex. narkotikabrottslighet i en viss region) eller vissa kriminella grupperingar (t.ex. ett mc-gäng) upprättas ofta särskilda uppgiftssamlingar. Dessa uppgiftssamlingar syf- tar till att kartlägga en viss brottslighet eller en viss kriminell gruppering och endast de tjänstemän som deltar i undersökningen har tillgång till dem. Även i dessa fall är det fråga om ett begränsat material som, trots att det i regel är fråga om gemensamt tillgängliga uppgifter, endast en begränsad krets av personer har tillgång till. Mot denna bakgrund bör det som promemorian föreslår även vara möjligt att fritt göra sökningar i en sådan uppgiftssamling.

För vissa delar av den brottsbekämpande verksamheten kan begräns