Dataskydd vid europeiskt plisiärt straffrättsligt samarbete

Till statsrådet och chefen för

Justitiedepartementet

Regeringen beslutade den 25 februari 2010 att tillkalla en särskild utredare för att dels göra en analys av hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet, dels analysera om det finns behov av särskilda regler om Europol- anställdas befattning med hemliga uppgifter för att Sverige ska leva upp till bestämmelserna i Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån, Europol (Europolrådsbeslutet) och vid behov utarbeta nödvändiga författningsförslag.

Samma dag förordnades kammarrättslagmannen Sten Wahlqvist som särskild utredare.

Som experter att biträda utredningen förordnades från och med den 22 mars 2010 rättsliga experten Helena Bontin, Skatteverket, rådmannen Lars Dahlström, Förvaltningsrätten i Göteborg,

juristen Nicklas Hjertonsson,		Datainspektionen, verksjuristen
Ulf Jonare,	Kriminalvården, biträdande enhetschefen Tommy
Kangasvieri,	Rikspolisstyrelsen,	rådmannen Peder Liljeqvist,

Förvaltningsrätten i Malmö, t.f. chefsjuristen Johan Lindmark, Ekobrottsmyndigheten, juristen Malin Lundberg, Tullverket, rättssakkunniga Leena Reinikainen, Finansdepartementet, numera chefsjuristen Sara Thörngren, Kustbevakningen, ämnesrådet Annika Waller, Justitiedepartementet, och chefsåklagaren Solveig Wollstad, Åklagarmyndigheten.

Från och med den 12 januari 2011 förordnades vidare som experter att biträda utredningen verksjuristen Ann-Marie Ahlqvist, Kronofogdemyndigheten, rättssakkunniga Jenny Ferm, Justitie-

departementet, verksjuristen Yvette Glantz, Rikspolisstyrelsen, rättslige experten Lars Haglund, Skatteverket, stabsjuristen Drazenko Jozic, Försäkringskassan, biträdande chefsjuristen Marija Momcilovic, Säkerhetspolisen och verksjuristen Erik Stenström, Migrationsverket.

Från och med den 25 januari 2011 förordnades också chefsjuristen Hans-Olof Lindblom, Datainspektionen, som expert att biträda utredningen.

Ingen av de experter som förordnades från och med den 12 januari 2011 eller från och med den 25 januari 2011 har deltagit i arbetet med utredningens delbetänkande (se nedan).

Som sekreterare anställdes från och med den 1 april 2010 kammarrättsassessorn Hans Wikner.

Regeringen beslutade den 21 oktober 2010 om en utvidgning av och förlängd tid för uppdraget, varvid den särskilde utredaren gavs i uppdrag att – utöver det som omfattas av de ursprungliga direktiven – även se över de regler om sekretess och utbyte av information mellan myndigheter som gäller när myndigheterna samverkar i bekämpningen av grov organiserad brottslighet.

Enligt tilläggsdirektiven beslutades att uppdraget skulle redovisas senast den 1 december 2011, i stället för den ursprungligen angivna tidpunkten den 1 februari 2011.

Den särskilde utredaren gavs dock frihet att under utredningstiden välja att redovisa någon del av utredningen särskilt.

Utredningen har antagit namnet Utredningen om informations- utbyte vid brottsbekämpning m.m. (Ju 2010:02).

Utredningen överlämnar härmed delbetänkandet

DATASKYDD VID EUROPEISKT POLISIÄRT OCH STRAFFRÄTTSLIGT SAMARBETE Dataskyddsrambeslutet, Europolanställdas befattning med hemliga uppgifter (SOU 2011:20).

Arbetet har bedrivits i nära samråd med berörda experter. Betänkandet är därför skrivet i vi-form.

Arbetet fortsätter nu med tilläggsdirektiven.

Stockholm i februari 2011

Sten Wahlqvist

/Hans Wikner

Innehåll

Sammanfattning ................................................................		17
Författningsförslag .............................................................		29
1	Utredningens uppdrag och arbete ................................	61
1.1	Uppdraget.................................................................................	61
1.2	Utredningens arbete ................................................................	62

DEL I DATASKYDDSRAMBESLUTET

BAKGRUNDEN TILL VÅRA FÖRSLAG

2	Övergripande rättslig reglering av behandling av
	personuppgifter..........................................................		69
2.1	Bakgrund ..................................................................................		69
2.2	Dataskyddskonventionen........................................................		69
2.3	Riktlinjer från OECD .............................................................		71
2.4	Dataskyddsdirektivet...............................................................		71
	2.4.1	Tillämpningsområde.....................................................	72
	2.4.2 Bestämmelser om när personuppgifter får
		behandlas.......................................................................	72
	2.4.3 Information och rättelse m.m......................................		73
	2.4.4	Tillsynsmyndighet ........................................................	74
	2.4.5 Överföring av personuppgifter till tredje land............		74
	2.4.6	Medlemsländernas nationella lagstiftning...................	75
2.5	Europakonventionen ...............................................................		75
			5

Innehåll

SOU 2011:20

2.6Europeiska unionens stadga om de grundläggande

	rättigheterna..............................................................................		77
2.7	Personuppgiftslagen (1998:204)..............................................		78
	2.7.1 Allmänt om lagen och dess tillämpningsområde ........		78
	2.7.2 Förutsättningar för behandling av
		personuppgifter.............................................................	80
	2.7.3 Information och rättelse m.m. .....................................		83
	2.7.4	Säkerhet vid behandlingen............................................	85
	2.7.5 Överföring av personuppgifter till tredje land............		86
	2.7.6	Datainspektionen som tillsynsmyndighet...................	88
	2.7.7 Upplysningar till allmänheten om behandlingar
		som inte anmälts ...........................................................	90
	2.7.8	Sanktioner......................................................................	91
3	Allmänt om dataskyddsrambeslutet ..............................		93
3.1	Dataskyddsrambeslutets inledande delar................................		93

3.2Kortfattat om innehållet i dataskyddsrambeslutets olika

	artiklar.......................................................................................	94
3.3	Godkännande av dataskyddsrambeslutet i Sverige.................	97
4	Behandling av personuppgifter i brottsbekämpande
	verksamhet m.m.........................................................	99

4.1Svenska myndigheter som påverkas av

dataskyddsrambeslutet.............................................................

4.2Behandling av personuppgifter vid brottsbekämpande

myndigheter............................................................................		101
4.2.1	Kustbevakningen.........................................................	101
4.2.2	Polisen..........................................................................	104
4.2.3	Skatteverket.................................................................	107
4.2.4	Tullverket ....................................................................	109
4.2.5	Åklagarväsendet ..........................................................	114

4.3Behandling av personuppgifter vid andra myndigheter i

rättskedjan ..............................................................................		116
4.3.1	Kriminalvården............................................................	116
4.3.2	Kronofogdemyndigheten ..........................................	119
4.3.2	Sveriges Domstolar .....................................................	120

SOU 2011:20	Innehåll
5 Lagstiftning om internationellt samarbete ...................	125

5.1Allmänt om författningar om internationellt samarbete i

	svensk rätt...............................................................................	125
5.2	Närmare om regler för användningsbegränsningar .............	126
5.3	Lagstiftning om samarbete i den brottsbekämpande
	verksamheten..........................................................................	126
	5.3.1 Lagen (2000:343) om internationellt polisiärt
	samarbete.....................................................................	126
	5.3.2 Lagen (2003:1174) om vissa former av
	internationellt samarbete i brottsutredningar...........	127
	5.3.3 Lagen (2000:344) om Schengens
	informationssystem....................................................	128
	5.3.4 Förordningen (2008:1396) om förenklat
	informations- och underrättelseutbyte mellan
	brottsbekämpande myndigheter i Europeiska
	unionen........................................................................	129
	5.3.5 Prümrådsbeslutet........................................................	129
5.4	Lagstiftning om internationellt tullsamarbete .....................	131
5.5	Lagstiftning om internationellt rättsligt samarbete.............	132

5.6Lagstiftning om samarbete i fråga om verkställighet av

	frihetsberövande påföljder.....................................................		138
5.7	Samarbete rörande kriminalvård i frihet...............................		141
5.8	Samarbetet med vissa internationella organ .........................		142
5.9	Specifikt angående olika myndigheter..................................		147
	5.9.1	Kriminalvården ...........................................................	147
	5.9.2	Kronofogdemyndigheten...........................................	148
	5.9.3	Kustbevakningen ........................................................	152
	5.9.4	Polisen .........................................................................	157
	5.9.5	Skatteverket.................................................................	164
	5.9.6 Allmänna domstolar och allmänna
		förvaltningsdomstolar ................................................	166
	5.9.7	Tullverket....................................................................	171
	5.9.8	Åklagarväsendet..........................................................	177

Innehåll		SOU 2011:20
6	Sekretess.................................................................	183
6.1	Vårt uppdrag i denna del........................................................	183
6.2	Allmänt om sekretess och tystnadsplikt...............................	184
6.3	Sekretess i brottsbekämpande verksamhet ...........................	184
	6.3.1 Sekretess till skydd för brottsbekämpningen	............184
	6.3.2 Sekretess för vissa register..........................................	186
	6.3.3 Sekretess vid handläggning i domstol........................	187
	6.3.4 Sekretess för verkställighet av straffrättsliga
	påföljder.......................................................................	188
	6.3.5 Sekretess för personuppgifter ...................................	189
	6.3.6 Utlämnande av sekretessbelagda uppgifter ..............	189

6.4Särskilda sekretessåtgärder på grund av internationella

avtal .........................................................................................	191
6.4.1 Allmänt om behovet av särskilda
sekretessåtgärder vid internationellt samarbete ........	191
6.4.2 Sekretessåtaganden och internationella avtal ............	193
6.4.3 EU-medlemskapet ......................................................	195
6.4.4 Exempel på andra internationella avtalsformer.........	196

6.4.5Tillämpning av offentlighets- och sekretesslagen (2009:400) vid internationella förbindelser utan

att särskilda åtgärder vidtas ........................................

197

6.4.6Särskilda bestämmelser i offentlighets- och sekretesslagen (2009:400) med anledning av

	internationella avtal.....................................................	199
6.4.7 Särskilt sekretessförordnande i domstol ...................		201
6.4.8 Rättslig hjälp som avser förundersökning m.m. .......		203
6.5 Särskilda sekretessbestämmelser i andra lagar ......................		204
6.5.1 Lagen (2000:343) om internationellt polisiärt
	samarbete och lagen (2000:562) om internationell
	rättslig hjälp i brottmål ...............................................	205
6.5.2 Lagen (2000:344) om Schengens
	informationssystem ....................................................	206
6.5.3 Lagen (2000:1219) om internationellt
	tullsamarbete ...............................................................	207
6.6 Övrig gällande rätt inom området.........................................		207
6.6.1	Tystnadsplikt i registerförfattningar..........................	207
6.6.2	Regler om informationssäkerhet................................	208
8

SOU 2011:20	Innehåll
VÅRA ÖVERVÄGANDEN
7 Övergripande frågeställningar ....................................	211

7.1Utgångspunkter för vårt arbete med

	dataskyddsrambeslutet ..........................................................	211
7.2	Lag, förordning eller myndighetsföreskrifter ......................	212
8	Dataskyddsrambeslutets tillämpningsområde m.m.......	215
8.1	Kommittédirektivet ...............................................................	215
8.2	Allmänt om dataskyddsrambeslutets syfte och
	tillämpningsområde ...............................................................	215
	8.2.1 Syftet med dataskyddsrambeslutet............................	216
	8.2.2 Skydd enbart för fysiska personer? ...........................	216
	8.2.3 Enbart personuppgifter som förts över eller har
	gjorts tillgängliga?.......................................................	217
	8.2.4 Behandling av personuppgifter i syfte att
	förebygga, utreda, avslöja eller lagföra brott eller
	verkställa straffrättsliga påföljder ..............................	218
	8.2.5 Personuppgifter som gjorts tillgängliga av eller
	för myndighet eller informationssystem som
	inrättats enligt EU-fördrag ........................................	218
	8.2.6 Behandling av personuppgifter som utförs helt
	eller delvis automatiserat och som ingår i eller är
	avsedda att ingå i register ...........................................	219

8.3Verksamhet som undantas från dataskyddsrambeslutets

	tillämpningsområde ...............................................................	221
	8.3.1 Frågor rörande nationell säkerhet .............................	221
	8.3.2 Övriga undantag .........................................................	229
9	Definitioner .............................................................	231
9.1	Definitioner i dataskyddsrambeslutet ..................................	231
9.2	Definitioner i dataskyddsdirektivet och
	personuppgiftslagen...............................................................	232
9.3	Övergripande jämförelse mellan definitionerna...................	233

Innehåll SOU 2011:20

9.4	Närmare jämförelse av vissa begrepp ....................................		233
	9.4.1	Blockering/Spärrande .................................................	234
	9.4.2	Mottagare.....................................................................	235
	9.4.3	Den registrerades samtycke........................................	236
	9.4.4	Övrigt ..........................................................................	237
10	Ändamålsbestämmelser.............................................		239
10.1	Kommittédirektivet................................................................		239
10.2	Dataskyddsrambeslutet..........................................................		239
10.3	Dataskyddsdirektivet .............................................................		241
10.4	Personuppgiftslagens ändamålsbestämmelser ......................		242
	10.4.1 Ändamålsbestämning och finalitetsprincipen ...........		242
10.5	Registerförfattningarnas ändamålsbestämmelser.................		243
	10.5.1 Allmänt ........................................................................		243
	10.5.2 Primära och sekundära ändamål.................................		245
	10.5.3 Kriminalvården............................................................		245
	10.5.4 Kronofogdemyndigheten ...........................................		246
	10.5.5 Kustbevakningen.........................................................		246
	10.5.6 Polisen..........................................................................		247
	10.5.7 Skatteverket.................................................................		249
	10.5.8 Allmänna domstolar och allmänna
		förvaltningsdomstolar.................................................	249
	10.5.9 Tullverket ....................................................................		250
	10.5.10 Åklagarväsendet ....................................................		250
10.6	Ändringar i registerförfattningarnas
	ändamålsbestämmelser...........................................................		251
	10.6.1 Nya ändamålsbestämmelser .......................................		253
11	Känsliga uppgifter ....................................................		259
11.1	Kommittédirektivet................................................................		259
11.2	EU-bestämmelser...................................................................		259
	11.2.1 Dataskyddsrambeslutet ..............................................		259
	11.2.2 Dataskyddsdirektivet..................................................		260
11.3	Behandling av känsliga uppgifter i svensk rätt......................		262
	11.3.1 Personuppgiftslagen (1998:204) ................................		262
10

SOU 2011:20		Innehåll
	11.3.2 Registerförfattningarna ..............................................	265
11.4	Ändringar i personuppgiftslagen?.........................................	265
	11.4.1 Allmänt........................................................................	265
	11.4.2 Närmare om begreppsanvändningen.........................	266
11.5	Ändringar i registerförfattningarna ......................................	266
	11.5.1 Allmänt om kompletteringar .....................................	266
	11.5.2 Språkliga justeringar ...................................................	267
	11.5.3 Närmare om behandling av känsliga
	personuppgifter vid handläggning av mål och
	ärenden samt vid diarieföring.....................................	274
12	Användningsbegränsningar........................................	281
12.1	Kommittédirektivet ...............................................................	281
12.2	Allmänt om dataskyddsrambeslutet .....................................	281
	12.2.1 Begränsning av vårt uppdrag......................................	282
	12.2.2 Märkning av uppgifter................................................	283
12.3	Vad innebär användningsbegränsningar? .............................	284
	12.3.1 Svensk rätt – användningsbegränsningar i
	författningar om internationellt samarbete...............	284
	12.3.2 Reglering av utlämnande av uppgifter .......................	286
	12.3.3 Utlämnande med stöd av handlingsoffentligheten...	286
	12.3.4 Offentlighets- och sekretesslagens påverkan av
	dataskyddsrambeslutet ...............................................	288
	12.3.5 Ny lag om användningsbegränsningar vid
	behandling av personuppgifter vid polissamarbete
	och straffrättsligt samarbete inom Europeiska
	unionen........................................................................	288
12.4	Vidarebehandling – gemensamma bestämmelser.................	291

12.5Behandling av personuppgifter som har överförts från eller gjorts tillgängliga av en annan medlemsstat

(artikel 11)..............................................................................	292
12.5.1 Allmänt innehåll .........................................................	292
12.5.2 Artikel 11 a) ................................................................	294
12.5.3 Artikel 11 b)................................................................	294
12.5.4 Artikel 11 c) ................................................................	295
12.5.5 Artikel 11 d)................................................................	295
	11

Innehåll	SOU 2011:20
12.5.6 Våra förslag	..................................................................295

12.6Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål (artikel 3 sista stycket och

	artikel 11 sista stycket) ..........................................................	297
12.7	Iakttagande av nationella restriktioner för behandling av
	uppgifter (artikel 12)..............................................................	299
12.8	Överföring till behöriga myndigheter i tredjestater eller
	till internationella organ (artikel 13).....................................	301
	12.8.1 Allmänt om artikel 13.................................................	302
	12.8.2 Jämförelse med svensk rätt.........................................	304
	12.8.3 Närmare om vissa begrepp i artikel 13.......................	307
12.9	Överföring till privata parter i medlemsstaterna
	(artikel 14) ..............................................................................	309
12.10 Skyldighet att iaktta överförande stats gallringsfrister
	(artikel 9) ..............................................................................	313
13	Rätt till information ..................................................	317
13.1	Registrerade personers rätt till information .........................	317
	13.1.1 Dataskyddsrambeslutet ..............................................	317
	13.1.2 Dataskyddsdirektivet..................................................	318
	13.1.3 Personuppgiftslagen (1998:204) ................................	322
	13.1.4 Jämförelse mellan EU-bestämmelser och
	svensk rätt....................................................................	323
	13.1.5 Närmare om artikel 16.2 i dataskyddsrambeslutet ...	327
14	Rättelse, tillsyn, skadestånd, sanktioner och
	överklagande............................................................	329
14.1	Rättelse....................................................................................	329
	14.1.1 Dataskyddsrambeslutet ..............................................	329
	14.1.2 Dataskyddsdirektivet..................................................	330
	14.1.3 Personuppgiftslagen (1998:204) ................................	331
	14.1.4 Val av metod för korrigering av uppgifter.................	332
	14.1.5 Jämförelse mellan EU-rätt och svensk rätt ...............	333
	14.1.6 Särskilt om vissa förordningar i svensk rätt ..............	334
14.2	Tillsyn .....................................................................................	335
12

SOU 2011:20		Innehåll
	14.2.1 Dataskyddsrambeslutet..............................................	335
	14.2.2 Dataskyddsdirektivet..................................................	336
	14.2.3 Personuppgiftslagen (1998:204)................................	338
	14.2.4 Jämförelse mellan EU-rätt och svensk rätt...............	339
	14.2.5 Föregående samråd med tillsynsmyndigheten..........	339
14.3	Skadestånd..............................................................................	340
	14.3.1 Dataskyddsrambeslutet..............................................	340
	14.3.2 Dataskyddsdirektivet..................................................	341
	14.3.3 Personuppgiftslagen (1998:204)................................	342
	14.3.4 Regressrätt mellan stater ............................................	343
	14.3.5 Personuppgiftslagens jämkning av skadestånd .........	343
	14.3.6 Särskilt om vissa förordningar i svensk rätt..............	345
14.4	Sanktioner...............................................................................	346
	14.4.1 Dataskyddsdirektivet..................................................	347
	14.4.2 Personuppgiftslagen (1998:204)................................	347
	14.4.3 Övriga straffansvarsbestämmelser i svensk rätt........	348
	14.4.4 Jämförelse mellan EU-rätt och svensk rätt...............	348
14.5	Överklagande .........................................................................	349
	14.5.1 Dataskyddsrambeslutet..............................................	349
	14.5.2 Dataskyddsdirektivet..................................................	350
	14.5.3 Personuppgiftslagen (1998:204)................................	350
	14.5.4 Registerförfattningarna ..............................................	351
14.6	Förhållande till avtal med tredjestater och tidigare
	antagna unionsakter...............................................................	353
15	Följdändringar i svensk rätt .......................................	355
DEL II EUROPOLANSTÄLLDAS BEFATTNINGAR		MED
	HEMLIGA UPPGIFTER
BAKGRUNDEN TILL VÅRA FÖRSLAG
16	Utredningens uppdrag och arbete ..............................	363
16.1	Uppdraget...............................................................................	363
16.2	Utredningens arbete ..............................................................	363

Innehåll SOU 2011:20

17	Europol och Europolrådsbeslutet ................................	365
17.1	Allmänt om Europol ..............................................................	365
	17.1.1 Historik .......................................................................	365
	17.1.2 Behörighet och arbetsformer .....................................	366
	17.1.3 Organisation och olika anställningsformer ...............	366
VÅRA ÖVERVÄGANDEN

18	Tystnadsplikt m.m. ...................................................		371
18.1	EU:s bestämmelser................................................................		371
	18.1.1 Europolrådsbeslutet....................................................		371
	18.1.2 Övriga EU-bestämmelser...........................................		373
18.2	Svensk rätt..............................................................................		376
	18.2.1	Tryckfrihetsförordningen..........................................	376
	18.2.2	Offentlighets- och sekretesslagen (2009:400) .........	377
	18.2.3 20 kap. 3 § brottsbalken.............................................		377
	18.2.4	2 kap. brottsbalken.....................................................	378

19	Tillägg i svensk rätt...................................................	381
19.1	Jämförelse mellan Europolrådsbeslutet och svensk rätt......	381
	19.1.1 Anställda i Sverige och sambandsmän .......................	381
	19.1.2 Europoltjänstemän......................................................	381
	19.1.3 Behov av särskilda regler?...........................................	382
	19.1.4 Utformningen av nya bestämmelser..........................	383

DEL III GEMENSAMMA ÖVERVÄGANDEN

20	Ikraftträdande och övergångsbestämmelser .................	387
21	Konsekvenser av våra förslag......................................	391
22	Författningskommentar .............................................	395

22.1Förslaget till lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och

straffrättsligt samarbete inom Europeiska unionen.............

395

SOU 2011:20		Innehåll
22.2	Förslaget till lag om Europolanställda svenska
	medborgares befattning med hemliga uppgifter ..................	396
22.3	Förslaget till lag om ändring i lagen (2010:362) om
	polisens allmänna spaningsregister .......................................	396
22.4	Förslaget till lag om ändring i polisdatalagen (2010:361)....	396

22.5Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande

verksamhet .............................................................................	396
22.6 Förslaget till lag om ändring i lagen (2001:617) om
behandling av personuppgifter inom kriminalvården..........	396

22.7Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens

verksamhet .............................................................................	397
22.8 Förslaget till lag om ändring i lagen (2000:344) om
Schengens informationssystem.............................................	397

22.9Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets

	medverkan i brottsutredningar .............................................	397
22.10	Förslaget till lag om ändring i lagen (1998:621) om
	misstankeregister .................................................................	397
22.11	Förslaget till lag om ändring i lagen (1998:620) om
	belastningsregister ...............................................................	397

22.12Förslaget till förordning om ändring i förordningen (2006:937) om behandling av personuppgifter inom

åklagarväsendet.....................................................................

398

22.13Förslaget till förordning om ändring i förordningen (2003:188) om behandling av personuppgifter inom

Kustbevakningen..................................................................

398

22.14Förslaget till förordning om ändring i förordningen (2001:682) om behandling av personuppgifter inom

kriminalvården......................................................................

398

Innehåll

SOU 2011:20

22.15 Förslaget till förordning om ändring i förordningen
(2001:641) om registerföring m.m. vid Högsta
förvaltningsdomstolen och kammarrätterna med hjälp
av automatiserad behandling................................................	399

22.16Förslaget till förordning om ändring i förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt

med hjälp av automatiserad behandling ..............................

399

22.17Förslaget till förordning om ändring i förordningen (2001:639) om registerföring m.m. vid allmänna

domstolar med hjälp av automatiserad behandling ............

399

22.18Förslaget till förordning om ändring i förordningen (1997:903) om register över förelägganden av

ordningsbot...........................................................................		400
22.19 Förslaget till förordning om ändring i förordningen
(1997:902) om register över strafföreläggande...................		400
BILAGOR
Bilaga 1	Kommittédirektiv, dir. 2010:17.......................................	403
Bilaga 2	Tilläggsdirektiv, dir. 2010:112 .........................................	409
Bilaga 3	Rådets rambeslut 2008/977/RIF
	(dataskyddsrambeslutet)..................................................	415
Bilaga 4	Utdrag ur Rådets beslut 2009/171/RIF.........................	427

Sammanfattning

Dataskyddsrambeslutet

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Dataskyddsrambeslutet utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.

Dataskyddsrambeslutets bestämmelser innehåller i huvudsak följande. Syfte och tillämpningsområde (artikel 1), definitioner (artikel 2), grundläggande principer för personuppgiftsbehandling- en, bl.a. principer om ändamål (artikel 3), rättelse, radering och blockering samt regelbunden kontroll av nödvändigheten av lagringen av uppgifterna (artiklarna 4 och 5), behandling av känsliga uppgifter (artikel 6), bestämmelser som stadgar att ett automatiserat beslutsförfarande är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen (artikel 7), kvalitetskontroll (artikel 8), registrering och dokumentation (artikel 10), bestämmelser om begränsningar i rätten att behandla uppgifter, däribland tidsfrister för gallring av uppgifter, iakttagande av nationella restriktioner och andra användarbegränsningar (artiklarna 9 och 12), förutsättningar för överföring av uppgifter till tredjeland, internationella organ och privata subjekt i medlemsstaterna (artiklarna 13 och 14), den registrerades rättigheter i olika avseenden, bl.a. rätt till information,

Sammanfattning

SOU 2011:20

rättelse, skadestånd och tillgång till rättsmedel (artiklarna 16–20), tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter (artiklarna 21 och 22), föregående samråd (artikel 23), påföljder (artikel 24), nationella tillsynsmyndigheter (artikel 25), förhållandet mellan dataskyddsrambeslutet och andra överens- kommelser med tredjeland respektive befintliga rättsakter (artiklarna 26 och 28).

Sverige har genom beslut av riksdagen den 30 oktober 2008 (bet. 2008/09:JuU7, rskr. 2008/09:41) godkänt utkastet till dataskyddsrambeslutet. Som grund för beslutet har regeringens proposition den 18 september 2008 om Godkännande av data- skyddsrambeslutet (2008/09:16) legat, i vilken det gjordes en preliminär bedömning av vilka lagändringar som kunde bli nöd- vändiga med anledning av dataskyddsrambeslutet. Propositionen innehöll dock inte några lagförslag.

I våra kommittédirektiv (dir 2010:17) har regeringen framhållit att de frågeställningar som är i behov av närmare analys är avgränsningen av dataskyddsrambeslutets tillämpningsområde, behandlingen av känsliga uppgifter samt användningsbegränsningar.

Vi har dock vid en genomgång av prop. 2008/09:16 funnit att det, förutom dessa områden, även finns ett tjugotal andra frågor som regeringen i nämnda proposition har påpekat bör utredas ytterligare.

Vårt arbete har därför omfattat samtliga frågeställningar.

Vilka svenska myndigheter omfattas av dataskyddsrambeslutet?

I vårt arbete har vi inledningsvis gjort bedömningen att data- skyddsrambeslutets regelverk har påverkan på följande myndigheter som ägnar sig helt eller delvis åt brottsbekämpande verksamhet;

•Kustbevakningen,

•Polisen,

•Åklagarväsendet,

•Skatteverket och

•Tullverket

Dessutom har vi ansett att följande andra myndigheter i rättskedjan också påverkas av dataskyddsrambeslutets regler;

SOU 2011:20

Sammanfattning

•Kriminalvården,

•Kronofogdemyndigheten samt

•Allmänna domstolar och allmänna förvaltningsdomstolar

Närmare om utredningens arbete

Utöver genomgången av dataskyddsrambeslutet har vi i vårt arbete gjort jämförelser med svensk rätt, främst i form av personuppgifts- lagens bestämmelser och de aktuella registerförfattningar som rör ovan nämnda myndigheter. Vi har vidare gjort en kartläggning av den lagstiftning om internationellt samarbete som föreligger inom området för dessa myndigheter, samt gjort en genomgång av aktuella sekretessbestämmelser inom området.

Efter en jämförelse mellan dataskyddsrambeslutet och gällande svensk rätt har vi lämnat förslag till nya eller kompletterande bestämmelser för att Sverige ska leva upp till dataskydds- rambeslutets krav.

I vårt arbete har vi utgått från gällande svenska författningar, med undantag av polisdatalagen (2010:361) som träder i kraft den 1 mars 2012. Vi har inte beaktat arbetet med justeringar av gällande registerförfattningar som i nuläget pågår inom Regeringskansliet, eftersom någon proposition till ny lagstiftning ännu inte har beslutats.

Frågan om att ta fram förslag till bestämmelser som reglerar möjligheten för svenska myndigheter att ställa villkor m.m. för användningen av uppgifter som överförs till andra stater, har vi bedömt ligga utanför vårt uppdrag.

Nedan redogörs kortfattat för de delar av dataskydds- rambeslutet som vi anser bör föranleda ändringar och tillägg i svensk rätt samt våra förslag i dessa delar. Övriga delar av dataskyddsrambeslutet bedömer vi inte ska föranleda någon ändring i lag eller förordning.

Avgränsningen av dataskyddsrambeslutets tillämpningsområde

Behandling av personuppgifter vid polisiärt eller straffrättsligt samarbete i annat syfte än att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder, faller utanför data- skyddsrambeslutets tillämpningsområde.

Sammanfattning

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde omfattar uppgifter som överförs eller görs tillgängliga m.m. mellan medlemsstater.

I artikel 1.3 i dataskyddsrambeslutet klargörs att bestäm- melserna omfattar behandling av personuppgifter som utförs helt eller delvis automatiserat eller som ingår i eller är avsedda att ingå i register.

Enligt vår bedömning ska svensk lagstiftning anpassas till dataskyddsrambeslutet när detta är möjligt och lämpligt för att beslutet ska följas.

Enligt artikel 1.4 i dataskyddsrambeslutet undantas från rambeslutet ”viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet”.

Vad gäller Säkerhetspolisen anser vi att hela dess verksamhet bör omfattas av begreppet nationell säkerhet, i den mening som avses i dataskyddsrambeslutet. Säkerhetspolisen ska därför enligt vår bedömning vara undantagen från dataskyddsrambeslutets tillämpningsområde.

Annan verksamhet än Säkerhetspolisens föreslås inte ska undantas från tillämpningsområdet.

Ny lagstiftning om användarbegränsningar vid behandling av personuppgifter

För att uppfylla dataskyddsrambeslutets krav föreslår vi en ny lag – lagen om användningsbegränsningar vid behandling av person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

I dag finns bestämmelser som reglerar situationer då en svensk myndighet erhåller information eller bevismaterial med användningsbegränsningar (villkor för användningen) från en utländsk myndighet.

Sådana bestämmelser finns i de internationella samarbetslagarna

– lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:1174) om vissa former av internationellt samarbete i brotts- utredningar, lagen (2000:1219) om internationellt tullsamarbete, samt lagen (2000:344) om Schengens informationssystem.

I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.

SOU 2011:20

Sammanfattning

De internationella samarbetslagarna ovan har dock ett mer vitt tillämpningsområde än dataskyddsrambeslutet. Samarbetslagarna täcker vidare inte allt samarbete i form av uppgiftsutbyte som myndigheterna utövar.

Mot bakgrund härav föreslår vi därför att en ny lag ska införas inom området.

Alternativet till att införa en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de ovan nämnda internationella samarbetslagarna. Då den av oss nu föreslagna lagen enbart omfattar personuppgiftsbehandling av uppgifter som är helt eller delvis automatiserad eller om uppgifter- na ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, hade ett sådant alternativ varit mindre lämpligt.

Ett annat alternativ till införandet av en ny lag hade varit att placera bestämmelserna i myndigheternas registerförfattningar. Vi anser dock att det för tillämparna blir tydligast att de nya bestämmelserna finns i en särskild lag. Enligt vår mening lämpar det sig bäst att specialregler inom ett visst område finns i en särskild lag till vilken sedan hänvisningar görs i de aktuella myndigheternas registerförfattningar (jfr 2 kap. 2 § tryckfrihets- förordningen). Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.

Vår föreslagna lag omfattar följande myndigheter; Kriminal- vården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar och allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten och Ekobrottsmyndigheten.

Vi föreslår att den nya lagen ska innehålla bestämmelser om lagens tillämpningsområde m.m. (1–3 §§), ändamål för vidare- behandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av personuppgifter till privat part inom den Europeiska unionen (6 §), iakttagande av nationella restriktioner (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).

Lagens bestämmelser motsvarar artikel 3.2 jämförd med artikel 11 samt artiklarna 9, 12, 13, 14 och 16.2 i dataskydds- rambeslutet.

Sammanfattning

SOU 2011:20

Dataskyddsrambeslutets regler (artikel 26) om förhållandet till avtal med tredjestater föranleder enligt vår mening inte någon ändring i lag eller förordning. Vad gäller dataskyddsrambeslutets regler (artikel 28) om förhållandet till tidigare antagna unionsakter anser vi dock att det bör tydliggöras i övergångsbestämmelserna till vår föreslagna lag att avvikande användningsbegränsningar i tidigare beslutade EU-akter ska gälla i stället för användnings- begränsningarna i vår föreslagna lag.

Vi föreslår vidare att nya hänvisningsparagrafer till vår föreslagna lag ska införas i de registerförfattningar som enligt vår mening omfattas av dataskyddsrambeslutets regler (se ovan).

Utlämnande med stöd av handlingsoffentligheten

Bestämmelserna om användarbegränsningar m.m. i dataskydds- rambeslutet reglerar endast vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär bl.a. att de bestämmelser om t.ex. användarbegränsningar som ställs upp i rambeslutet – och som ligger till grund för vårt förslag till ny lagstiftning inom området (se ovan) – endast avser en inskränkning för enskilda att få del av personuppgifter i en viss form. Dataskyddsrambeslutets bestämmelser strider således inte mot allmänhetens rätt att ta del av allmänna handlingar.

Dataskyddsrambeslutets bestämmelser om användnings- begränsningar m.m. föranleder vidare inte någon ändring i offentlighets- och sekretesslagen (2009:400).

Tillägg i ändamålsbestämmelserna i myndigheternas registerförfattningar

Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter (artikel 3). Som anförts ovan anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där det är möjligt och lämpligt. I svensk rätt saknas i dag – i stort sett – uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgiftsbehandling som följer av myndigheternas internationella åtaganden.

SOU 2011:20

Sammanfattning

För att tydliggöra myndigheternas fullgöranden av förpliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de registerförfattningar som reglerar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet. Den kompletterande ändamåls- bestämmelsen föreslås ska få lydelsen ”fullgöra förpliktelser som följer av internationella åtaganden”.

Vad avser Kriminalvården samt de allmänna domstolarna och de allmänna förvaltningsdomstolarna, bedömer vi inte att det finns behov av kompletterande bestämmelser.

Ändringar i bestämmelserna om behandlingen av känsliga uppgifter i myndigheternas registerförfattningar

Dataskyddsrambeslutets bestämmelser (artikel 6) innehåller regler för behandling av känsliga uppgifter som rör ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt hälsa och sexualliv.

Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga adekvata skyddsåtgärder i den nationella lagstiftningen.

Mot bakgrund härav – och för att få till stånd en språklig likformighet mellan myndigheternas registerförfattningar – föreslår vi därför att justeringar görs i de paragrafer i registerförfattningarna som reglerar känsliga uppgifter, på så sätt att begreppet absolut nödvändigt genomgående införs.

Vidare föreslår vi att ett motsvarande tillägg av begreppet absolut nödvändigt ska införas i registerförfattningarna för Kronofogdemyndigheten, de allmänna domstolarna och de allmänna förvaltningsdomstolarna, polisen, åklagarväsendet och Tullverket vad gäller behandlingen av känsliga uppgifter vid dels diarieföring, dels då uppgifterna har lämnats i ett mål, ett ärende, en anmälan eller liknande och dels vid själva handläggningen.

Vissa justeringar i övriga författningar

Dataskyddsrambeslutets regler om rättelse och skadestånd föranleder tillägg i förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över

Sammanfattning

SOU 2011:20

förelägganden av ordningsbot, vari det anges att bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd ska tillämpas.

Märkning av uppgifter

Eftersom dataskyddsrambeslutets bestämmelser omfattar person- uppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat, bedömer vi att en märkning varifrån uppgifterna härstammar är både nödvändig och möjlig, för att reglerna i dataskyddsrambeslutet, om t.ex. användningsbegränsningar ska kunna tillämpas på rätt sätt.

Utarbetandet av ett system med märkning av uppgifter över- lämnas till de myndigheter som utbyter de aktuella uppgifterna.

Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som vi föreslår med anledning av dataskydds- rambeslutet, föreligger enligt vår mening inte.

Framtagande av sådana system för märkning av uppgifter hos myndigheterna kan komma att innebära vissa kostnader.

Europolanställdas befattning med hemliga uppgifter

Några allmänna utgångspunkter för uppdraget

Vårt uppdrag i denna del har varit att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.

Allmänt om Europol och Europolrådsbeslutet

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det polisiära samarbetet i unionen.

Genom Europolrådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU- myndighet. I samband härmed gjordes också en del sakliga

SOU 2011:20

Sammanfattning

förändringar, bl.a. av Europols mandat samt vad avser bestämmelser om informationsbehandling och dataskydd.

I varje medlemsstat finns en nationell enhet som är förbindelselänk mellan Europol och medlemsstaten.

Vid Europols huvudkontor arbetar särskilda sambandsmän som är utsända från respektive medlemsland. Sambandsmännen är inte anställda av Europol utan är utskickade från medlemsländerna och lyder under sitt medlemslands nationella enhet. Frågan om tystnadsplikten m.m. för sambandsmännen är inte föremål för vår prövning (jfr vårt ursprungliga kommittédirektiv, 2010:17, s. 6).

Inom Europol finns även personal som är direkt anställd av Europol (Europoltjänstemän). Eftersom dessa Europoltjänstemän är anställda av Europol, arbetar de under EU:s särskilda bestäm- melser och är inte knutna till medlemsländernas regler.

Enligt artikel 41.2 i Europolrådsbeslutet får Europols anställda och sambandsmännen samt andra som uttryckligen ålagts diskretions- och tystnadsplikt -- ”inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet”.

I artikel 41.3 finns vidare bestämmelser som reglerar vad ”… Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2…” har att rätta sig efter inför ett eventuellt avläggande av vittnesmål i eller utom domstol eller uttalande om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

I artikel 41.4 första stycket anges att medlemsstaterna ska behandla alla överträdelser av diskretions- eller tystnadsplikten enligt artiklarna 41.2 och 41.3 som överträdelse av skyldigheter i staternas egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

I artikel 41.4 andra stycket anges vidare att medlemsstaterna ska säkerställa att dessa regler och bestämmelser är tillämpliga även på deras egna tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.

För anställda vid de olika EU-organen gäller även interna tjänsteföreskrifter, av vilka framgår att tjänstemännen har rätt till yttrandefrihet med hänsyn tagen till principer om lojalitet och opartiskhet.

Sammanfattning

SOU 2011:20

Från gemenskapens sida förväntas att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

Reglering om tystnadsplikt m.m. i svensk rätt

Enligt 2 kap. 1 § offentlighets- och sekretesslagen gäller förbud för myndighet att röja eller utnyttja en uppgift enligt lagen, eller lag eller förordning som lagen hänvisar till.

Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken.

I nämnda bestämmelse är det således kriminaliserat när någon röjer en uppgift som han eller hon är förpliktad att hålla hemlig ”…enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning…”

Reglerna i 2 kap. 2 § brottsbalken möjliggör en reglering av brott som begåtts utom riket, t.ex. i Europols huvudkvarter i Haag, Nederländerna.

Vår bedömning i denna del

De Europolanställda tjänstemännen omfattas inte av samma regler som de som handhar Europolfrågor vid nationella enheten i Sverige eller sambandsmännen i Europol. För att svensk rätt ska anses motsvara de krav som ställs i artikel 41.1 i Europolrådsbeslutet anser vi att det krävs kompletteringar i svenska författningar.

Det är således inte tillräckligt att frågorna regleras i ett rådsbeslut, utan detta måste också genomföras i svensk lagstiftning.

En ny lag är enligt vår mening att föredra jämfört med ändringar i 20 kap. 3 § brottsbalken.

Vi föreslår därför införandet av en ny lag med följande lydelse.

En svensk medborgare får inte obehörigen röja eller utnyttja en uppgift som han eller hon har fått kännedom om genom att delta i Europeiska polisbyråns (Europols) verksamhet på grund av anställning vid Europol.

Vi finner i denna del inte att det kan anses vara rimligt att svensk lagstiftning ska utsträckas längre än vad avser svenska medborgare.

Författningsförslag

1.Förslag till

lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens tillämpningsområde m.m.

1 § I denna lag finns bestämmelser om användningsbegränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av person- uppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

2 § Denna lag gäller endast vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

3 § Denna lag gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad.

Lagen gäller även för annan vidarebehandling av person- uppgifter, om uppgifterna ingår i en strukturerad samling av

Författningsförslag SOU 2011:20

personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier.

Ändamål för vidarebehandling av personuppgifter

4 § Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a)för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b)för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)för varje annat syfte endast om den överförande medlems- staten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka upp- gifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Överföring av personuppgifter till tredje land eller till internationella organ

5 § Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a)det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b)mottagaren har ansvar för sådan verksamhet som anges i a),

c)den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d)mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

SOU 2011:20

Författningsförslag

Uppgifter får föras över utan samtycke enligt första stycket om det är absolut nödvändigt, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för en medlemsstats väsentliga intresse, och ett sådant samtycke inte kan erhållas i tid.

Överföring av personuppgifter till privat part inom Europeiska unionen

6 § Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1.myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2.inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3.överföringen är absolut nödvändig för att

a)utföra en författningsenlig uppgift,

b)förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)förhindra att enskildas rättigheter lider allvarlig skada.

Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Nationella restriktioner för behandling av uppgifter

7 § Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den över- förande myndigheten informera mottagaren om dessa begräns- ningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

Författningsförslag

SOU 2011:20

3.Förslag till

lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att det närmast före den paragrafen ska införas en ny rubrik, med följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	Användningsbegränsningar
	2 a §
	Bestämmelser	om	använd-
	ningsbegränsningar	finns	i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polis-
	samarbete och straffrättsligt sam-
	arbete inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana upp- gifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 § om behandlingen är absolut nödvändig för syftet med behandlingen.

SOU 2011:20

Författningsförslag

4.Förslag till

lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs i fråga om polisdatalagen (2010:361) dels att 2 kap. 10 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 kap. 5 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

5 §

Bestämmelser om använd- ningsbegränsningar finns i lagen (2011:000) om användnings- begränsningar vid behandling av personuppgifter vid polissam- arbete och straffrättsligt samarbete inom Europeiska unionen.

2 kap.

10 §

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana upp- gifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Upp- gifter som avses i första stycket får också behandlas med stöd av 9 §.

Denna lag träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

5.Förslag till

lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2005:787) om behand- ling av uppgifter i Tullverkets brottsbekämpande verksamhet

dels att 7 och 11 §§ samt rubriken närmast före 15 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 a §

Bestämmelser om använd- ningsbegränsningar finns i lagen (2011:000) om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen.

			7 §
Uppgifter får behandlas i Tullverkets brottsbekämpande
verksamhet om det behövs för att
1. förhindra	eller upptäcka		1. förebygga, förhindra			eller
brottslig verksamhet,			upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra	det arbete	som	3. fullgöra		förpliktelser	som
Tullverket är skyldigt att utföra			följer	av	internationella
enligt lagen	(2000:1219)	om	åtaganden.
internationellt tullsamarbete.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana upp- gifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Upp- gifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende och behandlingen är absolut nödvändig.

Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden

SOU 2011:20

Författningsförslag

11 §

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana upp- gifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Upp- gifter som beskriver en persons utseende skall alltid utformas på ett objektivt sätt med respekt för människovärdet.

Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.

Behandling av uppgifter för internationellt tullsamarbete

15 §

Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.

Denna lag träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

6.Förslag till

lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs att det i lagen (2001:617) om behandling av personuppgifter inom kriminalvården ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

7.Förslag till

lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet

dels att 1 kap. 6 § och 2 kap. 2 §, ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	1 kap.
		1 a §
		Bestämmelser			om	använd-
		ningsbegränsningar finns i					lagen
		(2011:000)		om	användnings-
		begränsningar vid behandling av
		personuppgifter			vid	polissam-
		arbete och straffrättsligt samarbete
		inom Europeiska unionen.
	6 §
Känsliga	personuppgifter	Känsliga personuppgifter					som
som anges i	13 § person-	anges i 13 § personuppgiftslagen
uppgiftslagen	(1998:204) och	(1998:204) får behandlas endast
uppgifter om	lagöverträdelser	om uppgifterna har lämnats i ett
m.m. som anges i 21 § samma		mål eller ärende eller vid
lag får behandlas endast om		handläggningen av det, och det
uppgifterna har lämnats i ett mål		är absolut nödvändigt.
eller ärende eller är nödvändiga		Uppgifter			om	lagöver-
för handläggningen av det.		trädelser m.m. som anges i 21 §
		personuppgiftslagen får behandlas
		endast	om	uppgifterna			har
		lämnats i ett mål eller ärende
		eller	är	nödvändiga			för
		handläggningen av det.
Uppgifter som avses i första		Uppgifter som avses i första
stycket får i annat fall behandlas		och andra stycket får i annat fall
							39

Författningsförslag

SOU 2011:20

endast om det särskilt anges i 2 kap.

behandlas endast om det särskilt anges i 2 kap.

2 kap.

2 §

Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Skatteverkets och Kronofogde- myndighetens verksamhet för

1.verkställighet eller annan åtgärd som särskilt åligger Krono- fogdemyndigheten enligt utsökningsbalken eller annan författning,

2.indrivning av statliga fordringar m.m.,

3.avräkning vid återbetalning av skatter och avgifter,

4.ansökan om och tillsyn över näringsförbud,

5.ärenden om ansvar för någon annans skatter och avgifter, och

6.tillsyn, kontroll, uppföljning och planering av verksamheten.

I Kronofogdemyndighetens utsöknings- och indrivnings- verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Denna lag träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

8.Förslag till

lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att det i lagen (2000:344) om Schengens informationssystem ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

9.Förslag till

lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

Härigenom föreskrivs i fråga om lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brotts- utredningar

dels att 1 och 4 §§ ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 §

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1. bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutred-

ningar,
2. förebygga	brott	som	2. förebygga	brott	som
avses i 1.			avses i 1, eller
			3. fullgöra	förpliktelser	som
			följer av internationella åtaganden
			enligt 1. och 2.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

SOU 2011:20 Författningsförslag

					1 a §
					Bestämmelser			om		använd-
					ningsbegränsningar			finns		i lagen
					(2011:000)	om		användnings-
					begränsningar vid			behandling av
					personuppgifter vid polissamarbete
					och straffrättsligt		samarbete inom
					Europeiska unionen.
Uppgifter om en person får					4 §
					Uppgifter om en person får
inte behandlas enbart på grund					inte behandlas enbart på grund
av vad som är känt om					av vad som är känt om
personens	ras	eller	etniska		personens	ras	eller			etniska
ursprung,	politiska		åsikter,		ursprung,	politiska				åsikter,
religiösa eller filosofiska över-					religiösa eller filosofiska över-
tygelse, medlemskap i fack-					tygelse, medlemskap i fack-
förening, hälsa		eller	sexualliv.		förening, hälsa		eller		sexualliv.
Om uppgifter om en person					Om uppgifter om en person
behandlas på annan grund får					behandlas på annan grund får
uppgifterna	kompletteras			med	uppgifterna	kompletteras med
sådana uppgifter om det är					sådana uppgifter om det är
oundgängligen		nödvändigt		för	absolut nödvändigt				för	syftet
syftet med behandlingen.					med behandlingen.

Denna lag träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

10.Förslag till

lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att det i lagen (1998:621) om misstanke- register ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

11.Förslag till

lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att det i lagen (1998:620) ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

Denna lag träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

12.Förslag till

förordning om ändring i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet

Härigenom föreskrivs i fråga om förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet

dels att 10 § ska ha följande lydelse,

dels att det i förordningen ska införas två nya paragrafer, 2 a och 8 a §§, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 a §

8 a §

I åklagarväsendets brotts- bekämpande verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

10 § Uppgifter om en person får

inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexual- liv. Sådana uppgifter får dock

SOU 2011:20 Författningsförslag

behandlas om de förekommer i		behandlas om de förekommer i
en handling som har kommit in		en handling som har kommit in
till Åklagarmyndigheten	eller	till Åklagarmyndigheten	eller
Ekobrottsmyndigheten i	ett	Ekobrottsmyndigheten i	ett
ärende.		ärende och behandlingen	är
		absolut nödvändig.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen.

Denna förordning träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

13.Förslag till

förordning om ändring i förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen

Härigenom föreskrivs i fråga om förordningen (2003:188) om behandling av personuppgifter i Kustbevakningen

dels att 4 och 9 §§ ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse

Personuppgifter får behandlas i Kustbevakningens brotts- bekämpande verksamhet, om det är nödvändigt för att förhindra eller upptäcka brottslig verk- samhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott.

Föreslagen lydelse

3 a §

Bestämmelser om använd- ningsbegränsningar finns i lagen (2011:000) om användnings- begränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

4 §

Personuppgifter får behandlas i Kustbevakningens brotts- bekämpande verksamhet,

1.om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som inne- fattar brott som Kustbevak- ningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott, eller

2.för att fullgöra förpliktelser som följer av internationella åtaganden.

SOU 2011:20 Författningsförslag

						9 §
Uppgifter om en person får i						Uppgifter om en person får i
den verksamhet som anges i 1 §						den verksamhet som anges i 1 §
första stycket 1 och 2 inte						första stycket 1 och 2 inte
behandlas enbart på grund av						behandlas enbart på grund av
vad som är känt om personens						vad som är känt om personens
ras eller		etniska		ursprung,		ras eller		etniska		ursprung,
politiska åsikter,			religiösa eller			politiska åsikter,			religiösa eller
filosofiska övertygelse, medlem-						filosofiska övertygelse, medlem-
skap i fackförening, hälsa eller						skap i fackförening, hälsa eller
sexualliv. Om uppgifter om en						sexualliv. Om uppgifter om en
person	behandlas			på	annan	person	behandlas			på	annan
grund	får	uppgifterna			dock	grund	får	uppgifterna			dock
kompletteras med sådana upp-						kompletteras med sådana upp-
gifter, om det är oundgängligen						gifter, om det är absolut
nödvändigt		för	syftet		med	nödvändigt		för	syftet		med
behandlingen.						behandlingen

För behandling av känsliga personuppgifter i den verksamhet som anges i 1 § första stycket 3 gäller personuppgiftslagen.

Denna förordning träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

14.Förslag till

förordning om ändring i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs att 4, 7, 12, 18, 23, 27, 32, 41 och 48 §§ i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Vid behandling av person- uppgifter enligt 3 § 5 och 6 samt 9–13 får, om det är oundgängligen nödvändigt, känsliga uppgifter behandlas.

4 §

Vid behandling av person- uppgifter enligt 3 § 5 och 6 samt 9–13 får, om det är absolut nödvändigt, känsliga uppgifter behandlas.

Vid behandling av person- uppgifter enligt 5 § 3 och 7 får känsliga uppgifter behandlas om uppgifterna inhämtats inför upprättandet av person- utredningen och det är oundgängligen nödvändigt för syftet med behandlingen.

7 §

Vid behandling av person- uppgifter enligt 5 § 3 och 7 får känsliga uppgifter behandlas om uppgifterna inhämtats inför upprättandet av person- utredningen och det är absolut nödvändigt för syftet med behandlingen.

Vid behandling av person- uppgifter enligt 9 § 10, 11, 16, 22 och 25 samt 10 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

12 §

Vid behandling av person- uppgifter enligt 9 § 10, 11, 16, 22 och 25 samt 10 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

SOU 2011:20 Författningsförslag

18 §

Vid behandling av personuppgifter enligt 15 § första stycket 1 när det gäller hänvisningen till 5 § 7 och 9 § 10, 11 och 16 får känsliga uppgifter behandlas. Sådana uppgifter får också behandlas vid behandling enligt 15 § första stycket 4, 7, 8 och 13 samt 16 §.

Behandling av känsliga upp-					Behandling av känsliga upp-
gifter enligt första stycket får					gifter enligt första stycket får
endast	ske	om	det	är	endast ske om det är absolut
oundgängligen nödvändigt.					nödvändigt.

Vid behandling av person- uppgifter enligt 21 § 1 och 22 § får känsliga uppgifter behandlas om det är oundgängligen nöd- vändigt för syftet med behandlingen.

Vid behandling enligt 26 § får känsliga uppgifter behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.

23 §

Vid behandling av person- uppgifter enligt 21 § 1 och 22 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

27 §

Vid behandling enligt 26 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

Vid behandling av person- uppgifter enligt 30 § 3 och 31 § får känsliga uppgifter behandlas om det är oundgängligen nöd- vändigt för syftet med behandlingen.

32 §

Vid behandling av person- uppgifter enligt 30 § 3 och 31 § får känsliga uppgifter behandlas om det är absolut nödvändigt för syftet med behandlingen.

41 §

Säkerhetsregistret får föras för att samla, bearbeta och analysera information som ger underlag för åtgärder för att upprätthålla säkerheten eller förebygga brott och får innehålla de uppgifter som behövs för detta ändamål.

Författningsförslag

SOU 2011:20

Registret skall innehålla

1.skälen för registrering, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och

2.upplysning om varifrån uppgifter i registret kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

Säkerhetsregistret får om det är oundgängligen nödvändigt innehålla känsliga uppgifter. För sökning i säkerhetsregistret får känsliga uppgifter användas som sökbegrepp.

Registret ska innehålla

1.skälen för registrering, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och

2.upplysning om varifrån uppgifter i registret kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet.

Säkerhetsregistret får om det är absolut nödvändigt innehålla känsliga uppgifter. För sökning i säkerhetsregistret får känsliga uppgifter användas som sökbegrepp.

48 §

Vid överflyttning av verkställighet av påföljd till annan stat får sådana uppgifter som avses i 3 § 1 och 5-7 samt uppgifter i sådana journaler som avses i 10, 16, 22 och 26 §§ lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.

Känsliga uppgifter	får	dock	Känsliga uppgifter får dock
utlämnas endast om	det	kan	utlämnas endast om det kan
anses oundgängligen nödvändigt.			anses absolut nödvändigt.

Denna förordning träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

15.Förslag till

förordning om ändring i förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 4 och 8 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Inledande bestämmelse	Inledande bestämmelser
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

4 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1

till denna förordning.				Vid angivande av saken i ett
Vid angivande av saken i ett
mål (ärendemening) får känsliga				mål (ärendemening) får,
personuppgifter		som	anges i	a) känsliga	personuppgifter
13 §	personuppgiftslagen			som anges i	13 § personupp-
(1998:204) och		uppgifter om		giftslagen (1998:204) behandlas
lagöverträdelser m.m. som anges				endast om det är absolut
i 21 §	samma	lag	behandlas	nödvändigt för att saken ska
endast om det är nödvändigt för				kunna återges på ett ändamåls-
att saken skall kunna återges på				enligt sätt, och
					53

Författningsförslag SOU 2011:20

ett ändamålsenligt sätt.	b) uppgifter om lagöver-
	trädelser m.m. som anges i 21 §
	samma lag behandlas endast om
	det är nödvändigt för att saken
	ska kunna återges på ett ända-
	målsenligt sätt.

8 §

En domstol får behandla personuppgifter automatiserat i löpande text eller ljudupptagningar vid sidan av eller i anslutning

till de register som avses i 2 och 7 §§.
Känsliga personuppgifter som				Känsliga personuppgifter som
anges i 13 § personuppgiftslagen				anges i 13 § personuppgiftslagen
(1998:204) och uppgifter om				(1998:204) får	behandlas endast
lagöverträdelser m.m. som anges				om uppgifterna har lämnats i ett
i 21 § samma lag får behandlas				mål eller vid handläggningen av
endast	om	uppgifterna	har	målet, och det är absolut
lämnats i ett mål eller om de				nödvändigt.
behövs	för	handläggningen	av	Uppgifter	om	lagöver-

målet.	trädelser m.m. som anges i 21 §
	personuppgiftslagen får behandlas
	endast	om	uppgifterna	har
	lämnats i ett mål eller om de
	behövs	för	handläggningen	av
	målet.

Denna förordning träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

16.Förslag till

förordning om ändring i förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 3 och 7 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Inledande bestämmelse	Inledande bestämmelser
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

3 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1

till denna förordning.
Vid angivande av saken i ett				Vid angivande av saken i ett
mål (ärendemening) får känsliga				mål (ärendemening) får,
personuppgifter		som	anges i	a)	känsliga	personuppgifter
13 §	personuppgiftslagen			som	anges i	13 § personupp-
(1998:204) och		uppgifter om		giftslagen (1998:204)			behandlas
lagöverträdelser m.m. som anges				endast om det är absolut nöd-
i 21 §	samma	lag	behandlas	vändigt för att saken ska kunna
endast om det är nödvändigt för				återges på ett ändamålsenligt sätt,
att saken skall kunna återges på				och
ett ändamålsenligt sätt.				b) uppgifter		om	lagöver-
							55

Författningsförslag

SOU 2011:20

trädelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

7 §

En förvaltningsrätt får behandla personuppgifter automatiserat i löpande text eller ljudupptagningar vid sidan av eller i anslutning

till de register som avses i 2 och 6 §§.
Känsliga		personuppgifter		Känsliga		personuppgifter
som anges	i	13 § personupp-		som anges		i 13 §	person-
iftslagen	(1998:204)		och	uppgiftslagen		(1998:204)		får
uppgifter om		lagöverträdelser		behandlas endast om uppgifterna
m.m. som anges i 21 § samma				har lämnats i ett mål eller vid
lag får behandlas endast om				handläggningen av målet, och det
uppgifterna har lämnats i ett mål				är absolut nödvändigt.
eller om de behövs för				Uppgifter		om	lagöver-
handläggningen av målet.				trädelser m.m. som anges i 21 §
				personuppgiftslagen får behandlas
				endast	om	uppgifterna		har
				lämnats i ett mål eller om de
				behövs	för handläggningen			av
				målet.

Denna förordning träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

17.Förslag till

förordning om ändring i förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

Härigenom föreskrivs i fråga om förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

dels att rubriken närmast före 1 §, samt 3 och 7 §§, ska ha följande lydelse,

dels att det i förordningen ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Inledande bestämmelse	Inledande bestämmelser
	1 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

3 §

Ett register får innehålla endast de uppgifter som anges i bilaga 1

till denna förordning.
Vid angivande av saken i ett				Vid angivande av saken i ett
mål (ärendemening) får känsliga				mål (ärendemening) får,
personuppgifter		som	anges i	a)	känsliga	personuppgifter
13 §	personuppgiftslagen			som	anges i	13 § person-
(1998:204) och		uppgifter om		uppgiftslagen		(1998:204)
lagöverträdelser m.m. som anges				behandlas endast om det är
i 21 §	samma	lag	behandlas	absolut nödvändigt för att saken
endast om det är nödvändigt för				ska kunna återges på ett
att saken skall kunna återges på				ändamålsenligt sätt, och
						57

Författningsförslag

SOU 2011:20

ett ändamålsenligt sätt.	b) uppgifter om lagöver-
	trädelser m.m. som anges i 21 §
	samma lag behandlas endast om
	det är nödvändigt för att saken
	ska kunna återges på ett
	ändamålsenligt sätt.
	7 §

En domstol får behandla personuppgifter automatiserat i löpande text, ljudupptagningar eller ljud- och bildupptagningar vid

sidan av eller i anslutning till de register som avses i 2 och 6 §§.
Känsliga	personuppgifter	Känsliga	personuppgifter
som anges	i 13 § person-	som anges i	13 §	person-
uppgiftslagen	(1998:204) och	uppgiftslagen	(1998:204)		får
uppgifter om	lagöverträdelser	behandlas endast om uppgifterna
m.m. som anges i 21 § samma		har lämnats i ett mål eller vid
lag får behandlas endast om		handläggningen	av målet,		och
uppgifterna har lämnats i ett		det är absolut nödvändigt.
mål eller om de behövs för		Uppgifter	om	lagöver-
handläggningen av målet.		trädelser m.m. som anges i 21 §
		personuppgiftslagen			får
		behandlas	endast		om
		uppgifterna har lämnats i ett
		mål eller om de behövs för
		handläggningen av målet.

Denna förordning träder i kraft den 1 mars 2012.

SOU 2011:20

Författningsförslag

18.Förslag till

förordning om ändring i förordningen (1997:903) om register över förelägganden av ordningsbot

Härigenom föreskrivs att det i förordningen (1997:903) om register över förelägganden av ordningsbot ska införas två nya paragrafer, 1 a och 10 §§, samt ny rubrik närmast före sistnämnda paragraf, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 a §
	Bestämmelser		om använd-
	ningsbegränsningar finns i lagen
	(2011:000) om		användnings-
	begränsningar vid behandling
	av personuppgifter vid polissam-
	arbete och straffrättsligt sam-
	arbete	inom	Europeiska
	unionen.

Rättelse och skadestånd

10§

Bestämmelserna om rättelse i

28 § personuppgiftslagen (1998:204) och bestämmelserna om skadestånd i 48 § person- uppgiftslagen ska tillämpas vid behandling av personuppgifter enligt denna förordning.

Denna förordning träder i kraft den 1 mars 2012.

Författningsförslag

SOU 2011:20

19.Förslag till

förordning om ändring i förordningen (1997:902) om register över strafföreläggande

Härigenom föreskrivs att det i förordningen (1997:902) om register över strafföreläggande ska införas två nya paragrafer, 4 a och 20 §§, samt ny rubrik närmast före sistnämnda paragraf, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	4 a §
	Bestämmelser	om	använd-
	ningsbegränsningar finns i lagen
	(2011:000) om	användnings-
	begränsningar vid behandling av
	personuppgifter	vid	polissam-
	arbete och straffrättsligt samarbete
	inom Europeiska unionen.

Rättelse och skadestånd

20 §

Bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204) och bestämmelserna om skadestånd i 48 § person- uppgiftslagen ska tillämpas vid behandling av personuppgifter enligt denna förordning.

Denna förordning träder i kraft den 1 mars 2012.

1Utredningens uppdrag och arbete

1.1Uppdraget

Dataskyddsrambeslutet och Europolanställdas befattning med hemliga uppgifter

Vårt uppdrag enligt kommittédirektiven Genomförande av data- skyddsrambeslutet (dir. 2010:17) den 25 februari 2010 är att

•dels analysera hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polis- samarbete och straffrättsligt samarbete (dataskyddsram- beslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet,

•dels analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.

Utbyte av personuppgifter för att motverka grov organiserad brottslighet

Genom tilläggsdirektiv från regeringen (dir. 2010:112) den 21 oktober 2010 har beslutats att vi härutöver ska

•se över de regler om sekretess och utbyte av information mellan myndigheter som gäller när myndigheterna samverkar i bekämpningen av grov organiserad brottslighet.

Utredningens uppdrag och arbete

SOU 2011:20

I denna del av vårt uppdrag ingår vidare att vi ska dels kartlägga behovet av förbättrade möjligheter för myndigheterna att utbyta uppgifter, dels utreda hur detta behov, efter en avvägning mot integritetsintressena, ska kunna tillgodoses på ett effektivt och rättssäkert sätt, dels lämna fullständiga författningsförslag tillsammans med en redovisning av vilka effekter förslagen kan få för den personliga integriteten.

Uppdragets genomförande

I vårt arbete ska vi, enligt uppdraget, hålla oss informerade om och beakta relevant arbete som pågår inom Regeringskansliet och inom EU, samt samråda med berörda myndigheter i den utsträckning som vi finner lämpligt.

Genom tilläggsdirektiven har vidare beslutats om en förlängd tid för redovisning av uppdraget från den i det ursprungliga kommittédirektiven beslutade tidpunkten den 1 februari 2011 till den 1 december 2011.

I tilläggsdirektiven anges vidare att vi är fria att under utredningstiden välja att redovisa någon del av utredningen särskilt.

Regeringens direktiv (dir. 2010:17) återges i valda delar som inledning i vissa av kapitlen i betänkandet och i sin helhet i bilaga 1.

Regeringens tilläggsdirektiv (dir 2010:112) återges i sin helhet i bilaga 2.

1.2Utredningens arbete

Vårt arbete har inledningsvis bedrivits med målsättningen att analysera hur svensk gällande rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet och i de fall det har bedömts, som nödvändigt och lämpligt för att svensk rätt ska vara förenlig med rambeslutets bestämmelser, har vi föreslagit en helt ny lag samt justeringar och tillägg i ett antal svenska författningar.

Vårt arbete har vidare bestått i att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter. Även här har vi, där det har ansetts nödvändigt och lämpligt, föreslagit kompletterande svenska bestämmelser.

De två ovan nämnda delarna av vårt utredningsuppdrag (ursprungsdirektiven) utgör ett arbete som innebär en anpassning

SOU 2011:20

Utredningens uppdrag och arbete

av svensk rätt till europeiska bestämmelser samt avser fråge- ställningar om svenska myndigheters fullgörande av förpliktelser som följer av internationella åtaganden, medan den del av utredningsuppdraget som hänför sig till tilläggsdirektiven – utbyte av personuppgifter angående grov organiserad brottslighet – i stället i huvudsak rör frågeställningar och analys av problematik vid utbyte av personuppgifter mellan svenska myndigheter.

Mot bakgrund härav har vi funnit lämpligt att föreslå en särskild redovisning av vårt uppdrag i de delar som avser Dataskydds- rambeslutet samt Europolanställdas befattning med hemliga uppgifter

(ursprungsdirektiven), i form av ett delbetänkande.

Under utredningstiden, vad avser frågorna i ursprungs- direktiven, har vi hållit tio sammanträden, varav två av dessa ägt rum under två efter varandra följande dagar i internatform.

Det samråd som vi är ålagda att ha med berörda myndigheter har skett genom utredningens experter, vilka har uppmanats att förankra sina ståndpunkter i sina respektive myndigheter.

Arbetet har bedrivits i nära samarbete med experterna, både vid de sammanträden som hållits och vid kontakter däremellan.

Arbetet kommer att fortsätta med frågorna i tilläggsdirektiven.

2Övergripande rättslig reglering av behandling av personuppgifter

2.1Bakgrund

Från och med den 24 oktober 1998 regleras den grundläggande ramen för behandling av personuppgifter i personuppgiftslagen (1998:204), som därigenom ersatte datalagen (1973:289). Person- uppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Detta kapitel innehåller en kortfattad genomgång av vissa internationella överenskommelser jämte dataskyddsdirektivet samt en redogörelse för personuppgiftslagens bestämmelser. Härutöver behandlas artikel 8 i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grund- läggande friheterna (Europakonventionen) jämte artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Båda artiklarna behandlar skyddet av personuppgifter.

2.2Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk data- behandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonven- tionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen, som alltså är bindande för Sverige och övriga medlemsstater.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.

För att skydda personuppgifter mot avsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skydds- åtgärder ska vidtas. Vidare ska den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter. Dataskydds- konventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i EU-ländernas nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 2.4.

Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Tilläggsprotokollet har öppnats för undertecknande. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Den svenska regeringen beslutade den 25 oktober 2001 att underteckna och ratificera tilläggsprotokollet, vilket skedde den 8 november samma år.

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

2.3Riktlinjer från OECD

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. För ytterligare information om OECD:s rekommendationer och riktlinjer inom området se SOU 1993:10 s. 62 ff. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebär att man slår fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

2.4Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av dataskyddskonventionen från 1981. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlems- stater, så att staterna inte ska kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet ska införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som gäller enligt dataskyddsdirektivet.

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

2.4.1Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte.

Dataskyddsdirektivet omfattar inte bara helt eller delvis automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

Direktivet gäller inte heller för sådan behandling av person- uppgifter som utgör ett led i en verksamhet som faller utanför gemenskapsrätten, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet inom straffrättens område (artikel 3.2).

2.4.2Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av person- uppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.

2.4.3Information och rättelse m.m.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.

Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

2.4.4Tillsynsmyndighet

Enligt dataskyddsdirektivet ska varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter ska fullständigt oberoende utöva de uppgifter som åläggs dem. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige.

Varje tillsynsmyndighet ska ha undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa och befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. För icke- automatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett uppgiftsskyddsombud (personuppgiftsombud).

2.4.5Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen.

I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

2.4.6Medlemsländernas nationella lagstiftning

Dataskyddsdirektivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tid- punkten, skulle denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen ska dock äldre lagstiftning, datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter.

2.5Europakonventionen

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller som svensk lag här i landet. I artikel 8 stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs, utöver att intrånget ska grundas på nationell lag, att den åberopade lagen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. En rättighets-

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

inskränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. Att ett ingripande ska vara nödvändigt innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. Åtgärden får dock inte gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlings- utrymme att inom rimliga gränser göra de avvägningar i bevis- och andra bedömningsfrågor, vilka läggs till grund för ett ingripande.

Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättigheten, utom i de fall som omfattas av de i artikeln föreskrivna undantagen. Artikelns räckvidd är dock inte begränsad i detta avseende utan staten är också i viss mån skyldig att vidta positiva åtgärder för att skydda den enskildes privata sfär. Sådana positiva åtgärder kan utgöras av lagstiftningen men också av skydd mot övergrepp i särskilda situationer. Även utan att det före- kommit något ingripande från myndighet eller offentlig tjänsteman kan staten således under vissa förutsättningar anses ha brutit mot artikel 8 genom att tolerera en föreliggande situation eller genom att inte skapa ett tillräckligt rättsligt skydd. Statens ansvar för en underlåtenhet kan då aktualiseras, trots att det övergrepp som visat att det rättsliga skyddet var otillräckligt utförts av en enskild person, för vars handlande staten inte i och för sig kan anses ansvarig. De krav som ställs på staten måste vara rimliga. Vad som i huvudsak kan förväntas är att staten utfärdar lagar och förordning- ar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens (Se Hans Danelius, Mänskliga rättigheter i europeisk praxis – En kommentar till Europakonventionen om de mänskliga rättigheterna, uppl. 2:1, s. 261 f.).

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av dataskydds- direktivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter (Se EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138 och 139/01).

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

2.6Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, blir rättsligt bindande. Detta sker genom att en referens till stadgan införs i artikel 6.1 i det ändrade EU-fördraget (prop. 2007/08:168 s. 58). I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författnings- traditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att reglerna efterlevs. Stadgan riktar sig till EU:s egna organ och institutioner samt till medlemsstaterna endast när de tillämpar unionsrätten (artikel 51).

Stadgan riktar sig alltså inte till medlemsstaterna när de stiftar nationella lagar inom områden där EU inte har givits lagstiftnings- kompetens.

Varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som de som skyddas enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överens- kommelser om fri- och rättigheter. Missbruk av rättigheter, såsom att t.ex. utnyttja en bestämmelse i stadgan för att åsidosätta en annan bestämmelse, är uttryckligen förbjudet i stadgan.

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

2.7Personuppgiftslagen (1998:204)

Med anledning av att Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informations- teknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.

Från och med den 24 oktober 1998 regleras behandling av personuppgifter i personuppgiftslagen (1998:204), som har ersatt datalagen. Personuppgiftslagen har sin utgångspunkt i dataskydds- direktivet.

2.7.1Allmänt om lagen och dess tillämpningsområde

Dataskyddsdirektivet bygger på att själva hanteringen av person- uppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten.

Personuppgiftslagen tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av person- uppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

5 a § innehåller dels undantag från de viktigaste bestämmelserna i personuppgiftslagen för behandling av personuppgifter i ostrukturerat material, dels ett förbud mot att utföra sådan behandling om behandlingen innebär en kränkning av den registrerades personliga integritet.

Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskaps- rätten. Sedan tidigare har Sverige haft ett system som utgår från en

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare eller känsligare register inom det offentliga området. Enligt 2 § personuppgiftslagen gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger ansåg regeringen vidare vara en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (jfr bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48 samt prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 40 f.).

Behandling av uppgifter om juridiska personer som definitions- mässigt inte utgör personuppgifter (3 §) eller behandling som en fysisk person utför i verksamhet av rent privat natur (6 §) omfattas inte av personuppgiftslagen. Dessutom tillämpas inte lagen om det skulle strida mot tryckfrihetsförordningen (TF) och yttrande- frihetsgrundlagen. De flesta bestämmelserna i lagen tillämpas inte heller på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).

I 8 § anges dessutom att personuppgiftslagen inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I samma lagrum anges även att lagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet och de måste för att kunna tillämpas av de personuppgiftsansvariga preciseras och konkreti- seras. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.

Genom 8 a § bemyndigas regeringen att meddela föreskrifter om undantag från en rad bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till vissa intressen. Paragrafen är avsedd att ha samma innebörd som artikel 13.1 i dataskydds- direktivet i fråga om både vilka bestämmelser som undantag kan medges från och under vilka förutsättningar så kan ske.

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

2.7.2Förutsättningar för behandling av personuppgifter

Grundläggande krav (9 §)

I lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Personuppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De ska samlas in och behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Detta innebär bl.a. att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen ska vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamåls- beskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.

De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt ska uppgifterna också vara aktuella. Uppfyller personuppgifter inte kraven måste den person- uppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter måste de avidentifieras eller förstöras. Efter- som personuppgiftslagen är sekundär till annan lagstiftning, får uppgifter emellertid inte avidentifieras eller på annat sätt förstöras (dvs. gallras) om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

När behandling av personuppgifter är tillåten (10–12 §§)

Lagen innehåller en uttömmande uppräkning av de fall då behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas även om den registrerade inte lämnat sitt samtycke till det. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att personuppgifter får behandlas även i de fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling. Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Behandling får vidare utföras om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.

Förbud mot att behandla känsliga personuppgifter (13 §)

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som gäller ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får inte behandlas. Det är också förbjudet att behandla sådana person- uppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot att behandla känsliga personuppgifter (14–20 §§)

Förbudet mot behandling av känsliga uppgifter är inte undantags- löst. Liksom andra personuppgifter får sådana uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga person-

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

uppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas.

Vidare får behandling bl.a. utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.

Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen sker inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får bara avse uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke. Förbudet gäller inte om behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk ska kunna slås fast, göras gällande eller försvaras. Detta gäller när det förhållande som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga ska ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en sjuk person att få försäkringsersättning eller skyldigheten för den som tillhör Svenska kyrkan att betala avgift. Ett ytterligare undantag från förbudet att behandla känsliga personuppgifter är när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen samtidigt är nödvändig för att skydda dennes eller någon annans vitala intressen.

Vidare undantas behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Behandlas uppgifterna av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt, gäller förbudet inte heller. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

Regeringen eller den myndighet regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undan- tag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott (21 §)

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet. Regeringen eller, om regeringen bestämmer det, Datainspektionen får dessutom föreskriva undantag från förbudet i vissa fall.

Användning av personnummer (22 §)

Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Paragrafen har införts mot bakgrund av artikel 8.7 i data- skyddsdirektivet. Det materiella innehållet i paragrafen är dock en rent inhemsk konstruktion. En motsvarande bestämmelse fanns i 7 § andra stycket datalagen.

2.7.3Information och rättelse m.m.

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av person- uppgifter om honom eller henne pågår, dels begära rättelse av personuppgifter som har behandlats felaktigt.

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

Information (23–27 §§)

Personuppgiftslagens bestämmelser om informationsskyldighet gäller i första hand den information som den personuppgifts- ansvarige självmant har att lämna. Rätten att på begäran få ut uppgifter i allmänna handlingar följer främst av tryckfrihets- förordningen, dock att den rätten i vissa fall begränsas genom bestämmelser i sekretesslagen, men det finns bestämmelser även i personuppgiftslagen.

Den personuppgiftsansvarige ska självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, ska den registrerade informeras när uppgifterna noteras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut för första gången. Informationen ska omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna till- varata sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.

Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en opropor- tionerligt stor arbetsinsats. Inte heller behöver information lämnas om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter.

Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller – i fråga om uppgifter i löpande text – behandlingen inte har pågått under längre tid än ett år.

Bestämmelserna om informationsskyldighet gäller över huvud taget inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

Rättelse (28 §)

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang ska vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man samt om anledningen till spärren.

Om felaktiga personuppgifter har lämnats till tredje man, ska denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Eftersom den personuppgiftsansvarige inte har någon skyldighet att hålla reda på till vem uppgifter lämnas ut och då uppgifter ibland kan lämnas till ett stort antal människor, innehåller bestämmelsen det undantaget att underrättelse inte behöver ske om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2.7.4Säkerhet vid behandlingen

Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§ personuppgiftslagen. Den personuppgiftsansvarige har stort ansvar för säkerheten vid behandling av personuppgifter. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Instruk- tionerna bör i vart fall vara utformade på ett sådant sätt att var och en som arbetar med personuppgifter ska veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden.

För det allmännas verksamhet gäller att om det i annan lagstiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, ska i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna ska åstadkomma en lämplig

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

sekretessnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är. Ett register som innehåller personuppgifter om ett stort antal personer ställer också ökade krav på säkerhet.

Datainspektionen får enligt 32 § personuppgiftslagen i enskilda fall besluta om vilka skyddsåtgärder en personuppgiftsansvarig ska vidta. Om ett sådant beslut inte följs kan inspektionen enligt 45 § föreskriva vite.

2.7.5Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen principiellt förbjudet att föra över personuppgifter till ett land som inte är medlem i EU eller anslutet till EES (tredje land) om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling i det tredje landet.

Vid bedömningen av om ett land utanför EU eller EES har en adekvat skyddsnivå ska hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges uttryckligen att särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Från förbudet mot överföring av personuppgifter till tredje land finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Uppgifter får även föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal – mellan den registrerade och den personuppgiftsansvarige eller mellan den personuppgifts- ansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Regeringen

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

Förbudet mot överföring av personuppgifter till tredje land har ansetts innefatta ett hinder mot att publicera uppgifterna på en hemsida eller motsvarande, som är åtkomlig via Internet. Datalagskommittén anförde att den omständigheten att någon ges möjlighet att från tredje land komma åt personuppgifter som finns i Sverige eller i någon annan medlemsstat via telekommunikation eller datanätverk är förmodligen ett exempel på överföring av uppgifterna till tredje land (se SOU 1997:39 s. 413). Genom EG- domstolens dom i mål C-101/01 (Bodil L) har numera lagts fast att publicering av uppgifter på en webbsida inte utan vidare omfattas av begreppet ”överföring av uppgifter till tredje land”, även om dessa uppgifter härigenom blir åtkomliga för personer i tredje land. Domstolen uttalade i målet att det inte föreligger någon ”överföring av … uppgifter till tredje land” i den mening som avses i artikel 25 i dataskyddsdirektivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida som är lagrad hos den som tillhandahåller honom servertjänster, vilken är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Av kommentaren till person- uppgiftslagen (se Öman/Lindblom, Personuppgiftslagen, en kommentar, 3 uppl., s. 384 f.) framgår att det förhärskade synsättet i dag i Sverige får anses innebära att inte någon Internetpublicering som sker från en server som innehas av någon som är etablerad inom EU och EES innebär en överföring av personuppgifter i den mening som avse i paragrafen. Var den server på vilken uppgifterna finns lagrade faktiskt är placerad synes inte ha någon betydelse för bedömningen bara den som har servern är etablerad inom EU och EES och därmed underkastad lagstiftning som genomför data- skyddsdirektivet. I Datainspektionens reviderade informationsblad om personuppgifter och Internet anges att det inte räknas som överföring till tredje land när en person lägger ut uppgifter på en webbplats på Internet som lagras hos en Internetleverantör som är etablerad inom EU. Efter EG-domstolens dom inom området har ansetts att det inte behövs uttryckliga bestämmelser i lag eller

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

förordning som tillåter överföring till tredje land av personupp- gifter som publiceras på Internet. Enligt ovannämnda lag- kommentar utesluter inte detta att det av andra skäl kan finnas behov av att reglera frågan om Internetpublicering av information (jfr Öman/Lindblom, s. 386).

2.7.6Datainspektionen som tillsynsmyndighet

Tillsynsmyndighet enligt såväl personuppgiftslagen som data- skyddsdirektivet är Datainspektionen. Datainspektionens uppgifter enligt personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombud. Den personuppgifts- ansvariges anmälan om behandlingar av personuppgifter ska göras till Datainspektionen, som även ska utöva tillsyn över behandlingen.

Vissa av de befogenheter som enligt dataskyddsdirektivet tillkommer tillsynsmyndigheten regleras i 43–47 §§ person- uppgiftslagen. Således innehåller lagen bestämmelser om att Datainspektionen ska ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandling- en. Om lagens regler inte iakttas har Datainspektionen som tillsynsmyndighet bl.a. befogenhet att tillse att rättelse sker och om detta inte hjälper besluta om förbud mot behandling av person- uppgifter samt att ansöka hos domstol om att personuppgifter ska utplånas. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.

Anmälningsskyldighet (36 §)

Helt eller delvis automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen ska föra register över anmälda behandlingar.

Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna efterlevs. Å andra sidan föreskriver dataskydds- direktivet som huvudregel att den registeransvarige till tillsyns- myndigheten ska anmäla automatiserade behandlingar som ska genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.

I personuppgiftslagen har en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag utnyttjats fullt ut. Vid särskilt integritets- känsliga behandlingar föreskrivs dock inga undantag från anmälningsskyldigheten.

Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen, föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i 3–5 §§ personuppgiftsförordningen (1998:1191). Undantag görs här för bl.a. behandling av personuppgifter som utförs till följd av en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmänna handlingar och personuppgifter i löpande text.

Personuppgiftsombud (37–40 §§)

Anmälan till Datainspektionen behöver inte göras när ett person- uppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet ska ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige och att ombudet ska ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

I första hand ska personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet ska ha en förteckning över de behandlingar som den person- uppgiftsansvarige utför och han eller hon ska även hjälpa registrerade personer att få rättelse vid misstanke om att person- uppgifter är felaktiga eller ofullständiga.

Övergripande rättslig reglering av behandling av personuppgifter

SOU 2011:20

Anmälan för förhandskontroll (41 §)

Enligt dataskyddsdirektivet ska medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Förhandskontrollen ska enligt direktivet utföras av tillsynsmyndigheten men kan också utgöra ett led i lagstiftningsprocessen. Förhandskontroll kan således ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen.

I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar. För närvarande gäller enligt 10 § personuppgifts- förordningen att behandling av känsliga personuppgifter för forskningsändamål utan samtycke från den registrerade och som inte godkänts av en forskningsetisk kommitté samt behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning ska anmälas för förhandskontroll.

2.7.7Upplysningar till allmänheten om behandlingar som inte anmälts

Genom 42 § personuppgiftslagen åläggs den personuppgifts- ansvarige en generell skyldighet att till var och en som efterfrågar det lämna information om behandlingar av personuppgifter, som inte har anmälts till tillsynsmyndigheten, och anges hur långt skyldigheten sträcker sig i förhållande till intresset av skydd för de personuppgifter som behandlas. Paragrafen slår fast att uppgifter om säkerhetsåtgärder inte behöver lämnas ut samt att bestäm- melser om sekretess och tystnadsplikt går före skyldigheten att informera. Paragrafen är avsedd att ha samma innebörd som artikel 21.3 första stycket i dataskyddsdirektivet.

SOU 2011:20

Övergripande rättslig reglering av behandling av personuppgifter

2.7.8Sanktioner

Skadestånd (48 §)

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till skadestånd från den personuppgiftsansvarige. Rätten till ersättning omfattar såväl personskada, sakskada och ren förmögenhetsskada som den kränkning av den personliga integriteten som behandling- en kan ha medfört. Ersättningen för kränkning måste uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet, t.ex. om den registrerade på grund av behandlingen utsatts för något för honom eller henne negativt beslut. Ersättningen ska fastställas för varje kränkt registrerad för sig. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet inte berodde på honom eller henne får emellertid skadeståndet jämkas i skälig utsträckning.

Straff (49 §)

I personuppgiftslagen har i första hand valts andra sanktioner än straff. Således har vissa företeelser som i datalagen återfanns i straffkatalogen i stället sanktionerats genom vite eller genom möjligheten att utdöma ideellt skadestånd. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga brott eller grova oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser. Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen. Straffbestämmelsens tillämplighet är begränsad genom att det inte ska dömas till ansvar om förseelsen är ringa.

3Allmänt om dataskyddsrambeslutet

3.1Dataskyddsrambeslutets inledande delar

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polis- samarbete och straffrättsligt samarbete (dataskyddsrambeslutet) utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.

I dataskyddsrambeslutet anges att rättsakterna har antagits i enlighet med avdelning VI i fördraget om Europeiska unionen. Genom införandet av fördraget om Europeiska unionens funktionssätt (EUF-fördraget) upphävdes avdelning VI ovan och övervägande delen av bestämmelserna däri ersattes med bestäm- melser i kapitel 1, 4 och 5 i avdelning IV (numera omnumrerad V) i tredje delen i EUF-fördraget. Kapitel 1 ovan (artiklarna 67-76) innehåller allmänna bestämmelser, kapitel 4 ovan (artiklarna 82-86) omfattar bestämmelser om straffrättsligt samarbete i EUF- fördraget och kapitel 5 ovan (artiklarna 87-89) omfattar bestämmelser om polissamarbete i EUF-fördraget (varav artikel 88 omfattar regler om Europol).

I skäl 2 i dataskyddsrambeslutets inledande delar framhålls att gemensamma insatser inom det polisiära och straffrättsliga sam- arbetet gör det nödvändigt att behandla information, samtidigt som det måste finnas regler om skydd av personuppgifter.

Gemensamma normer för behandling och skydd av person- uppgifter kan, enligt skäl 3, bidra till ett effektivare samarbete och värna grundläggande rättigheter som rätten till privatliv och rätten till skydd för personuppgifter.

I skäl 5 anges att befintliga instrument på europeisk nivå inte är tillräckliga och att Europaparlamentets och Rådets direktiv

Allmänt om dataskyddsrambeslutet

SOU 2011:20

95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.

Skäl 6 stadgar att dataskyddsrambeslutet endast är tillämpligt på uppgifter som de behöriga myndigheterna samlar in eller behandlar för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Dataskyddsrambeslutet är, enligt skäl 7, tillämpligt på uppgifter som har överförts eller gjorts tillgängliga mellan medlemsstaterna.

Av skäl 8 kan utläsas att det är medlemsstaternas avsikt att den standard och nivå på dataskydd som gäller för nationell behandling ska motsvara vad som föreskrivs i dataskyddsrambeslutet. Det anges dock vidare att det inte finns något som hindrar medlems- staterna från att ha ett starkare skydd för behandling av person- uppgifter än vad som föreskrivs i dataskyddsrambeslutet.

Härutöver anges i skäl 10 att tillnärmningen av medlems- staternas lagstiftningar inte bör leda till ett svagare skydd för personuppgifter än det som medlemsstaternas nuvarande lag- stiftning ger, utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen.

Skäl 18 stadgar att reglerna i rambeslutet avseende överföring av personuppgifter från allmänna domstolar, allmänna förvaltnings- domstolar, polisen eller Tullverket till privata parter, inte tillämpas på utlämnandet av uppgifter till privata parter (såsom försvars- advokater och brottsoffer) i samband med brottmål.

I skäl 31 anges att rambeslutet ”…gör att principerna om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta”.

3.2Kortfattat om innehållet i dataskyddsrambeslutets olika artiklar

I artikel 1 i dataskyddsrambeslutet anges rambeslutets syfte, vilket är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete.

Artikeln är tillämplig på uppgifter som har överförts eller gjorts tillgängliga mellan medlemsstaterna eller mellan medlemsstater och myndigheter och informationssystem som har inrättats i enlighet

SOU 2011:20

Allmänt om dataskyddsrambeslutet

med avdelning VI i fördraget om Europeiska unionen om polissamarbete och straffrättsligt samarbete, t.ex. Europol.

Det är endast behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register som faller inom tillämpningsområdet.

Från tillämpningsområdet undantas också viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Artikel 2 innehåller definitioner av vissa begrepp.

I artikel 3 anges vissa grundläggande principer för person- uppgiftsbehandlingen, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de överfördes eller gjordes tillgängliga. Person- uppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhets- åtgärder, t.ex. avidentifiering av uppgifterna. Däri klargörs vidare att annan vidarebehandling endast är tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver, enligt artikel 11, som huvudregel den registrerades samtycke eller den överförande statens medgivande.

Vidarebehandling får dock, under förutsättning att kraven i artikel 3 är uppfyllda, alltid ske för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes.

Vidarebehandling får också ske för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

I artiklarna 4 och 5 finns bestämmelser om rättelse, radering och blockering av personuppgifter liksom bestämmelser om regel- bunden kontroll av nödvändigheten av lagringen av uppgifterna. Till dessa artiklar är kopplat bestämmelserna i artikel 8 om åtgärder som ska vidtas av överförande myndigheter för att säkerställa att de personuppgifter som överförs är korrekta.

Artikel 6 innehåller bestämmelser som reglerar rätten att behandla s.k. känsliga uppgifter, dvs. uppgifter om t.ex. ras eller etniskt ursprung. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

I artikel 7 stadgas att ett automatiserat beslutsförfarande, som innefattar behandling av uppgifter som omfattas av dataskydds-

Allmänt om dataskyddsrambeslutet

SOU 2011:20

rambeslutet, är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen.

Artikel 10 innehåller bestämmelser om registrering och dokumentation.

I artiklarna 9 och 12 finns bestämmelser om begränsningar i rätten att behandla uppgifter. Där framgår att den överförande staten har möjlighet att meddela tidsfrister för gallring av uppgifter och att vissa begränsningar i rätten att utbyta uppgifter mellan myndigheter i den överförande statens nationella rätt ska iakttas av den mottagande staten.

I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland, internationella organ och privata subjekt i medlemsstaterna. Som huvudregel i artikel 13 anges bl.a. att det förutsätts att – för att sådan överföring ska ske – det finns en adekvat skyddsnivå för behandlingen av uppgifter hos mottagaren och att den medlemsstat från vilken uppgifterna härrör ha gett sitt samtycke till överföringen.

Artiklarna 16-20 reglerar den registrerades rättigheter i olika avseenden, bl.a. rätt till information, rättelse, skadestånd och tillgång till rättsmedel.

Artikel 24 innehåller bestämmelser där det anges att medlems- staterna för att säkerställa genomförandet av dataskyddsram- beslutet ska föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.

I artiklarna 21 och 22 finns bestämmelser om viss tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter.

Artikel 25 stadgar att varje medlemsstat ska utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av behandlingen av uppgifter som omfattas av beslutet.

Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga rättsakter.

Artiklarna 27 och 29 innehåller bestämmelser om utvärdering och genomförande av dataskyddsrambeslutet.

I samband med genomgången av olika frågeställningar i kap. 7– 15 finns innehållet i aktuella artiklar redovisade i detalj. Dataskyddsrambeslutet finns att läsa i sin helhet i bilaga 3.

4Behandling av personuppgifter i brottsbekämpande verksamhet m.m.

4.1Svenska myndigheter som påverkas av dataskyddsrambeslutet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir 2010:17 s. 1) anges bl.a. följande.

Härmed avses uppgifter som de behöriga myndigheterna samlar in eller behandlar för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Polisiärt eller rättsligt samarbete i annat syfte faller utanför tillämpningsområdet.

Mot bakgrund härav är det av vikt att klargöra vilka svenska myndigheter som dataskyddsrambeslutets bestämmelser kommer att påverka.

Vid en genomgång av svensk rätt har vi funnit att dataskydds- rambeslutets regelverk har påverkan på följande myndigheter med hel eller delvis brottsbekämpande verksamhet.

•Kustbevakningen

•Polisen

•Åklagarväsendet

•Skatteverket

•Tullverket

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

Vidare finns andra myndigheter i rättskedjan som påverkas av data- skyddsrambeslutets regler som

•Kriminalvården,

•Kronofogdemyndigheten

•Allmänna domstolar och allmänna förvaltningsdomstolar

I vårt arbete med en jämförelse mellan dataskyddsrambeslutets regler och gällande svensk rätt är således regelverken för behand- lingen av personuppgifter inom ovan nämnda myndigheter aktuella.

Enligt 23 § förordningen (2003:1179) om överlämnande från Sverige enligt en europeisk arresteringsorder är, förutom Kriminal- vården när fängelse ska verkställas eller kan antas komma att verkställas, även Socialstyrelsen – när rättspsykiatrisk vård ska verkställas samt Statens institutionsstyrelse – när sluten ungdoms- vård ska verkställas m.m., aktuella myndigheter.

Mot bakgrund härav finns skäl att ställa sig frågan om även de två sistnämnda myndigheterna omfattas av dataskyddsrambeslutets bestämmelser.

Eftersom dessa myndigheter emellertid erhåller här aktuella uppgifter via polisen, finns enligt vår mening inte skäl att närmare utreda hur de sistnämnda myndigheternas författningar påverkas av dataskyddsrambeslutet.

Nedan följer därför en redogörelse för vilka författningar som reglerar behandling av personuppgifter i myndigheter med brotts- bekämpande verksamhet, dvs. Kustbevakningen, polisen, Skatte- verket, Tullverket och åklagarväsendet, samt de författningar som reglerar behandling av personuppgifter i Kriminalvården, Kronofogdemyndigheten samt allmänna domstolar och allmänna förvaltningsdomstolar.

Vi har i arbetet nedan utgått från gällande svenska författningar, med undantag från vad som gäller regleringen av polisens behandling av personuppgifter. I sistnämnda del har vi i vårt arbete i stället utgått från polisdatalagen (2010:361), som – med vissa undantag – träder i kraft den 1 mars 2012, då polisdatalagen (1998:622) upphör att gälla.

Vi är fullt medvetna om att det även pågår arbeten med att utforma nya eller justerade registerförfattningar inom flertalet av de övriga aktuella områdena ovan.

Vissa författningsförslag har likheter med utformningen av bestämmelser i polisdatalagen (2010:361). Då någon proposition

100

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

till ny lagstiftning inte – förutom vad gäller polisens arbete – har beslutats inom något av dessa områden, har vi inte i vårt arbete med att jämföra dataskyddsrambeslutet med svensk rätt ansett det som möjligt eller lämpligt att utgå från något av de nämnda författningsförslagen utan i stället utgått från gällande svensk rätt.

I vår redogörelse för de gällande svenska bestämmelserna som reglerar behandling av personuppgifter vid brottsbekämpande myndigheter m.m. har vi alltså inte – förutom vad gäller polis- datalagen – ansett oss kunna ta hänsyn till det lagstiftningsarbete m.m. som i nuläget pågår inom respektive område.

I slutet av varje avsnitt nedan har dock redogjorts något för det förändringsarbete som för närvarande pågår.

4.2Behandling av personuppgifter vid brottsbekämpande myndigheter

4.2.1Kustbevakningen

Allmänt om myndigheten

Kustbevakningen har bl.a. till uppgift att bedriva sjöövervakning, vilket innebär att ansvara för eller bistå andra myndigheter med allmän övervakning, brottsbekämpande verksamhet, ordnings- hållning samt kontroll och tillsyn. Kustbevakningen är en av landets gränskontrollmyndigheter och har getts samlat ansvar för gränskontrollen till sjöss avseende både personer och varor. De uppgifter som ålagts Kustbevakningen framgår av förordningen (2007:853) med instruktion för Kustbevakningen. Kustbevakning- en bedriver ovan nämnda tillsyns- och kontrollverksamhet i fråga om bl.a.

-sjötrafik, sjösäkerhet och transport av farligt gods,

-personers inresa i, utresa från och vistelse i Sverige,

-in- och utförsel av varor,

-fiske och därtill anknuten verksamhet.

Kustbevakningen har också till uppgift att samordna de civila behoven av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter. Härutöver ska Kustbevakningen medverka i internationellt samarbete för att utveckla gränskontroll, brotts- bekämpning till sjöss, annan sjöövervakning och miljöräddnings-

101

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

tjänst. Kustbevakningen ska vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Med stöd av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning har kustbevakningstjänstemän – inom vissa i lagen angivna rättsområden – samma befogenheter som en polisman har att hålla förhör, ta med en person till förhör, gripa en person och att genomföra viss husrannsakan. Förundersökningsrätt tillkommer Kustbevakningen vid olagliga utsläpp av olja och andra skadliga ämnen från fartyg samt vid ratt- och sjöfylleri. Kust- bevakningen har även rätt att utfärda föreläggande av ordningsbot för brott mot 5 kap. 1 § sjötrafikförordningen (1986:300) och brott mot 16 § tredje stycket lagen (2006:263) om transport av farligt gods.

En särskild inriktning inom den polisiära verksamheten är gränskontrollen avseende personers rätt till in- och utresa samt vistelse i Sverige. Kustbevakningen medverkar i personkontrollen genom att utöva kontroll av och i anslutning till sjötrafiken.

Kustbevakningen ska vid yttre gräns medverka i Tullverkets kontrollverksamhet genom att utöva tullkontroll av sjötrafiken.

Kustbevakningen ska vidare på begäran bistå Tullverket, om det behövs för att Tullverket ska kunna vidta en avsedd tullkontroll- åtgärd. Kustbevakningen medverkar dessutom efter begäran i kontrollverksamheten vid inre gräns (ej bara kontroller av sjötrafiken). Kustbevakningstjänstemännen har i dessa situationer samma befogenheter som en tulltjänsteman att hålla förhör, gripa en person och att ta egendom i beslag. Kontrollverksamheten är främst inriktad mot narkotikasmuggling och storskalig smuggling av alkohol och tobak. Lagstöd finns bl.a. i tullagen (2000:1281) och lagen (2000:1225) om straff för smuggling.

Regler om behandling av personuppgifter

Kustbevakningens behandling av personuppgifter regleras i dag av personuppgiftslagen (1998:204) och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Till skillnad från motsvarande författning för Tullverket (se avsnitt 4.2.4), som gäller i stället för personuppgiftslagen, gäller denna förordning utöver personuppgiftslagen (1 §). Förordningen är dock uppbyggd på ungefär samma sätt som Tullverkets författning. Kust-

102

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

bevakningen är personuppgiftsansvarig för behandlingen (8 §). Nedan redovisas huvuddelen av de bestämmelser som är gällande i Kustbevakningens brottsbekämpande verksamhet.

I förordningen finns dels allmänna regler om behandling av personuppgifter i Kustbevakningens brottsbekämpande arbete, dels bestämmelser om ett särskilt register för den verksamhet som förordningen omfattar – kustbevakningsdatabasen. I den brotts- bekämpande verksamheten får personuppgifter behandlas om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott mot vilka Kustbevakningen har att ingripa, eller för att utreda sådana brott (4 §). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person i dessa avseenden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen (9 §). Förordningen skiljer på uppgifter som används gemensamt i verksamheten (kustbevakningsdatabasen) och uppgifter som endast enskilda eller begränsade grupper av tjänstemän har tillgång till (11 §). För behandlingen av uppgifter i kustbevaknings- databasen finns särskilda regler när det gäller de personer om vilka uppgifter får behandlas, vilka uppgifter som får förekomma och sökbegränsningar. I förordningen finns också bl.a. bestämmelser om sökning och gallring. Personuppgiftslagens bestämmelser om rättelse och skadestånd tillämpas på behandling enligt förordningen (23 §).

Personuppgifter får också behandlas i den kontroll- och tillsyns- verksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten. Personuppgifter får vidare behandlas vid Kust- bevakningens handläggning av ärenden om vattenföroreningsavgift. Slutligen får Kustbevakningen även behandla personuppgifter om det är nödvändigt för att planera, följa upp eller utvärdera nu nämnda verksamheter.

103

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

Pågående lagstiftningsarbete

Som en följd av den översyn av myndighetens arbete i den brottsbekämpande och ordningshållande verksamheten som Utredningen om Kustbevakningens befogenheter har gjort – vilket i sin tur har lett fram till betänkandet Kustbevakningens rättsliga befogenheter (SOU 2008:55) – pågår i nuläget ett förnyelsearbete inom detta område i regeringskansliet. Betänkandet har remiss- behandlats och bereds för närvarande inom försvarsdepartementet.

I dagsläget pågår också ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser om Kustbevakningens behandling av personuppgifter, där utgångspunkten för arbetet är det betänkande som har lämnats av Utredningen om Kust- bevakningens personuppgiftsbehandling (SOU 2006:18) samt polisdatalagen (2010:361). Betänkande har remissbehandlats och inom försvarsdepartementet pågår nu arbete att ta fram en lagråds- remiss som behandlar ny lagstiftning inom detta område.

I betänkandet föreslog utredningen att en ny lag – lagen om behandling av uppgifter i Kustbevakningens verksamhet – skulle ersätta den nu gällande förordningen. Denna lag skulle, enligt utredningen, gälla i stället för personuppgiftslagen. Förslaget innehåller bl.a. särskilda bestämmelser om behandling av uppgifter i den brottsbekämpande verksamheten med specifika regler om t.ex. behandling av uppgifter för att förhindra eller upptäcka brottslig verksamhet, behandling av uppgifter för att utreda eller beivra visst brott, regler om särskilda upplysningar samt regler om uppgifter om handlingar som får göras gemensamt tillgängliga i den brotts- bekämpande verksamheten. Dessutom innehåller förslaget regler om sökbegrepp, direktåtkomst, uppgiftsskyldighet och gallring.

4.2.2Polisen

Regler om behandling av personuppgifter

Polisdatalagen (2010:361) träder i kraft den 1 mars 2012. Denna lag gäller vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheter- na och Ekobrottsmyndigheten.

Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister (1998:620), misstanke- register (1998:621), Schengens informationssysten (2000:344),

104

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

samt polisens allmänna spaningsregister (2010:362) omfattas inte av polisdatalagen. Lagen ska inte heller gälla den personuppgifts- behandling som sker med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot.

Detsamma gäller personuppgiftsbehandling i polisens vapen- register enligt vapenlagen (1996:67), samt i passagerarregistret enligt lagen (2006:444) om passagerarregister.

Närmare om polisdatalagen

Lagen innehåller vissa bestämmelser om behandling av uppgifter om juridiska personer (1 kap. 3 §).

Lagen gäller vidare i stället för personuppgiftslagen (2 kap. 1 §). I lagen hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet (2 kap. 2 §).

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av person- uppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i lagen (2 kap. 7 §). Personuppgifter får behandlas om det behövs för att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller beivra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ändamålen (2 kap. 8 §) avser behandling för olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna tillämpas den s.k. finalitetsprincipen i 9 § d personuppgiftslagen. Personuppgifter får vidare enligt 2 kap. 9 § behandlas om 1. det är nödvändigt för diarieföring, eller 2. uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 10 § i lagen regleras bestämmelser om behandling av känsliga uppgifter. Enligt denna paragraf får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses ovan när det är

105

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

absolut nödvändigt för syftet med behandlingen. Lagen innehåller även bestämmelser om bevarande och gallring (2 kap. 12 §). Bestämmelser om utlämnande av personuppgifter och uppgifts- skyldighet regleras i 2 kap. 14–19 §§ och särskilda regler om elektroniskt utlämnande av personuppgifter i 2 kap. 20–21 §§.

I sammanhanget är av särskilt intresse vad som regleras angående möjligheten att lämna ut uppgifter till utländska myndigheter och mellanfolkliga organisationer. I 2 kap. 15 § anges att – om det är förenligt med svenska intressen – får person- uppgifter lämnas till 1. Interpol eller Europol, eller till en polis- myndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller 2. utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare, enligt paragrafen, lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en interna- tionell överenskommelse som Sverige efter riksdagens godkän- nande har tillträtt.

Kap. 3 i lagen innehåller särskilda bestämmelser för person- uppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

I 4 kap. polisdatalagen finns bestämmelser om register som regleras särskilt i lagen. Dessa register är register över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårregistret (4 kap. 1– 10 §§), fingertrycks- och signalementsregistret (4 kap. 11–17 §§), penningtvättregistret (4 kap. 18–20 §§), samt det internationella registret (4 kap. 21–22 §§). I kapitlet finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 5 kap. polisdatalagen finns särskilda bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verk- samhet. I kapitlet regleras särskilt ändamålen i detta sammanhang (5 kap. 1 §) och finns särskilda regler som stadgar att person-

106

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

uppgifter som behandlas enligt dessa ändamål även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation (5 kap. 2 § 4.).

5 kap. 4 § i lagen hänvisar till motsvarande bestämmelser i 2 kap. samma lag, bl.a. avseende behandlingen av känsliga uppgifter och utlämnande av personuppgifter och uppgiftsskyldighet. I kapitlet finns särskilda angivna bestämmelser för bevarande och gallring (5 kap. 6 §). Slutligen finns särskilda bestämmelser för behandling av gemensamt tillgängliga uppgifter (5 kap. 8-14 §§).

4.2.3Skatteverket

Allmänt om myndighetens brottsbekämpande verksamhet

Skatteverkets brottsbekämpade verksamhetsgren är organiserad i sju skattebrottsenheter (SBE) och är nationellt täckande. Av 8 § förordningen med instruktionen för Skatteverket (2007:780) framgår att det vid verket ska finnas en eller flera särskilda enheter för uppgiften att medverka i brottsutredningar enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.

Enheterna är organisatoriskt skilda från Skatteverkets verksamhet i övrigt. De bedriver utredningsverksamhet i form av åklagarledda förundersökningar och s.k. förutredningar. Skatte- brottsenheterna bedriver även underrättelseverksamhet såväl på lokal, regional och nationell nivå. Underrättelseverksamheten vid enheterna är till stor del inriktad mot att förhindra, upptäcka och avbryta grov och organiserad ekonomisk brottslighet inom främst skatteområdet, vilken ofta har samband med annan organiserad och allvarlig brottslighet.

De rättsliga förutsättningarna för den brottsbekämpande verksamheten återfinns i lagen om Skatteverkets medverkan i brottsutredningar. I 1 § i denna lag anges de brott som skatte- brottsenheterna primärt har att agera mot nämligen brott enligt skattebrottslagen (1971:69), 30 kap. 1 § första stycket 4 aktie- brottslagen (2005:551), 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m., folkbokföringslagen (1991:481), 11 kap. 5 § brottsbalken (bokföringsbrott), samt lagen (1986:436) om näringsförbud. Skatteverket ges möjlighet att

107

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

medverka vid undersökning av annat brott, förutsatt att åklagaren finner att det föreligger särskilda skäl för det.

I 6 § lagen om Skatteverkets medverkan i brottsutredningar stadgas vidare att Skatteverket får bedriva spaning och verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.

Regler om behandling av personuppgifter

I lagen (1999:90) om behandling av personuppgifter vid Skatte- verkets medverkan i brottsutredningar och tillhörande förordning (1999:105) regleras behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Lagen gäller utöver personuppgiftslagen, så när inte annat sägs ska således person- uppgiftslagen tillämpas, t.ex. vid förundersökningar.

Lagen – som gäller dels för spaning och utredning av brott, dels för att förebygga brott – är uppbyggd med polisdatalagen (1998:622) som förebild. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott enligt skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket – enligt 1 § lagen om Skatteverkets medverkan i brottsutredningar – får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det, omfattar tillämpningsområdet för de ovan nämnda författningarna vad gäller Skatteverkets personuppgiftsbehandling även sådana brott.

I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Lagen innehåller en uttömmande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Som huvudregel får ett underrättelse-

108

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

register innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva denna verksamhet.

För att personuppgifter ska få behandlas i underrättelse- verksamhet utanför underrättelseregister föreskrivs att en särskild undersökning avseende brott som avses i lagen om Skatteverkets medverkan i brottsutredningar ska ha inletts och att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Allvarlig brottslighet definieras som verksamhet som omfattar brott för vilket är föreskrivet fängelse i två år eller därutöver.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden (4 §). Om upp- gifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverksamhet.

I lagen finns också bestämmelser som reglerar utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).

4.2.4Tullverket

Allmänt om myndigheten

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Av förordningen (2007:782) med instruktion för Tullverket framgår att Tullverket ska både tillse att en riktig uppbörd kan säkerställas och kontrollera in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom hela sitt ansvarsområde. Tullverket har även viss utrednings- och åklagarverksamhet.

109

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

Den legala grunden för den brottsbekämpande verksamheten utgörs främst av lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, lagen (2000:1225) om straff för smuggling (smugglingslagen) samt lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott, liksom de författningar som denna lag hänvisar till. I smugglingslagen finns bestämmelser avseende förundersökning, tvångsmedel, åtal m.m. vid bland annat brotten smuggling, narkotikasmuggling och tullbrott.

När det gäller Tullverkets verksamhet med uppbörd av tullar, skatter och avgifter samt kontroll av restriktioner finns den grundläggande regleringen i rådets förordning (EEG) nr 2913/92 av den 12 oktober 1992 (tullkodex) och kommissionens förordning (EEG) nr 2454/93 av den 2 juli 1993 (tillämpningskodex) samt tullagen (2000:1281). Denna verksamhet brukar ibland kortfattat beskrivas som fiskal. Det finns en ny tullkodex, Europa- parlamentets och rådets förordning (EG) nr 450/2008 av den 23 april 2008 om fastställande av en tullkodex för gemenskapen (moderniserad tullkodex), som delvis har trätt i kraft, främst avseende rätt för kommissionen att besluta om genomförande- bestämmelser. Närmare reglering finns i tullagen, tullförordningen (2000:1306) och Tullverkets föreskrifter och allmänna råd (TFS 2000:20) om tullförfaranden m.m. (tullordningen).

Tullverket har vidare befogenheter att utföra kontroller i enlighet med lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energi- produkter. Punktskattekontrollen har inslag av brottsbekämpning och då särskilt beträffande lagens straffprocessuella bestämmelser om olovlig förflyttning av punktskattepliktiga varor och olovlig befattning med punktskattepliktiga varor.

En tjänsteman vid Tullverket jämställs i vissa hänseenden med en polisman. Tulltjänstemän har därför getts polisiära befogenheter. Tulltjänstemän har i likhet med poliser t.ex. rätt att ta med någon till förhör och att gripa en person som är misstänkt för ett brott som Tullverket är skyldigt att beivra. Tulltjänstemän har också rätt att ta egendom i beslag under vissa förutsättningar liksom att föranstalta om husrannsakan, kroppsvisitation och kroppsbesiktning.

Tullverket får fatta beslut om att inleda förundersökning angående brott mot bl.a. smugglingslagen. Om inte saken är av enkel beskaffenhet ska ledningen av förundersökningen övertas av

110

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

åklagare så snart någon skäligen kan misstänkas för brottet. Även i andra situationer ska åklagaren överta ledningen när detta är påkallat av särskilda skäl. När förundersökningen leds av en åklagare får han eller hon anlita biträde av Tullverket.

Särskilda s.k. tullåklagare (jfr Åklagarmyndighetens föreskrifter och allmänna råd, ÅFS, 2005:23, Riksåklagarens riktlinjer, RåR, 2007:2 samt 19 och 32 §§ smugglingslagen) har rätt att väcka åtal om det handlar om ett brott enligt smugglingslagen eller andra brott som särskilt omnämns i denna lag och det är uppenbart att brottets straffvärde medför att påföljden ska stanna vid böter.

Regler om behandling av personuppgifter

För Tullverkets fiskala verksamhet finns bestämmelser om behandling av personuppgifter i lagen (2001:185) och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. Uppgifter får enligt lagen behandlas bl.a. för de primära ändamålen bestämmande, redovisning och betalning av tullar, skatter och avgifter samt för övervakning, revision och kontrollverksamhet. Uppgifter som behandlas för nämnda primära ändamål får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet.

Vad gäller Tullverkets brottsbekämpande verksamhet finns regler om behandling av personuppgifter i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och i förordningen (2005:791) i samma ämne.

Det finns även bestämmelser om hantering av personuppgifter i annan lagstiftning, t.ex. i lagen (2000:1219) om internationellt tullsamarbete och i förordningen (2000:1222) i samma ämne, tullagen och i EU-lagstiftning.

Närmare om personuppgiftsbehandling i Tullverkets brottsbekämpande verksamhet

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller i stället för personuppgiftslagen (5 §). I 6 § hänvisas dock till vissa bestämmelser i personuppgiftslagen.

111

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

Lagen innehåller dels allmänna regler om behandling av person- uppgifter i tullens brottsbekämpande arbete, dels bestämmelser om en särskild databas, tullbrottsdatabasen (3 §).

Åklagarmyndigheten och Ekobrottsmyndigheten m.fl. kan med stöd av förordningen under vissa förutsättningar ges direktåtkomst till uppgifter i tullbrottsdatabasen.

Lagen är endast tillämplig om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter (1 §). I viss utsträckning tillämpas lagen även på behandling av uppgifter om juridiska personer.

I Tullverkets brottsbekämpande verksamhet får personuppgifter behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete (7 §). Vidare får personuppgifter behandlas när det är nödvändigt för att tillhanda- hålla information till andra svenska brottsbekämpande myndigheter (8 §).

Enligt 9 § får uppgifter som huvudregel inte behandlas för några andra ändamål än de som anges i 7 och 8 §§.

Uppgifter får lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (11 §).

I 12–15 §§ anges de närmare förutsättningarna för behandling av uppgifter för de tre huvudsyften som anges i 7 §.

För ändamålet att förhindra eller upptäcka brottslig verksamhet får enligt 12 § uppgifter behandlas enligt följande.

-om uppgifterna dels ger anledning att anta att brottslig verksamhet, som innefattar brott för vilket är föreskrivet fängelse i minst två år har utövats eller kan komma att utövas, eller som innefattar andra brott, om verksamheten sker

112

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

systematiskt, dels kan hänföras till en person och gör att personen skäligen kan misstänkas för verksamheten i fråga,

-om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som nyss sagts och inte kan hänföras till en person, eller

-om uppgifterna avser en person som, utan att vara skäligen misstänkt, kan antas ha samband med sådan verksamhet.

Härutöver får uppgifter som kommit in till myndigheten om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontroll- verksamheten och urval av kontrollobjekt (13 §).

För ändamålet att utreda och beivra brott får uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet (14 §).

Utöver vad som följer av 12-14 §§ får, enligt 15 § första stycket, Tullverket behandla uppgifter för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete.

Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (16 §).

I 19 § anges vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen. 20–22 §§ reglerar vilka sökbegrepp som får användas. I lagen finns också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). 27 § innehåller ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att uppgifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.

113

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

Det finns i lagen också bestämmelser om information till den registrerade (29 §) och överklagande (30 §).

Inom ramen för den brottsbekämpande verksamheten har Tullverket rätt enligt 9 § förordningen om behandling av person- uppgifter i Tullverkets brottsbekämpande verksamhet att inrätta ett underrättelseregister.

4.2.5Åklagarväsendet

Regler om behandling av personuppgifter

Förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet gäller utöver personuppgiftslagen (1 §). Den är tillämplig på Åklagarmyndighetens och Ekobrottsmyndighetens åklagarverksamhet, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Sådan behandling av personuppgifter som regleras i förordningen (1997:902) om register över strafförelägganden har undantagits från tillämpningsområdet.

I förordningen om behandling av personuppgifter inom åklagarväsendet anges uttömmande vilken behandling av person- uppgifter som är tillåten. Huvudregeln är att uppgifter om den som kan misstänkas för brott och om andra personer får behandlas, när det behövs för att en åklagare ska kunna utföra de uppgifter som enligt rättegångsbalken eller annan författning ankommer på åklagare (7 §). Vidare får personuppgifter behandlas för tillsyn, planering, uppföljning eller framställning av statistik. Dessutom får uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en brottsbekämpande eller brottsbeivrande myndighet eller för att lämna uppgifter till andra, om uppgiftsskyldighet följer av lag eller förordning (8 och 9 §§). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av vad som är känt om en person om sådana förhållanden (10 §). Om uppgifterna finns i en handling som kommit in till myndigheten får de dock behandlas. Behandlas uppgifter om en person på annan grund får de kompletteras med känsliga

114

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Inom åklagarväsendet förs en ärendedatabas, vars ändamål och innehåll regleras i förordningen. Ärendedatabasen får bl.a. innehålla uppgifter som behövs för kommunikation med personen, uppgifter om en fysisk eller juridisk persons ställning och koppling till andra personer i ett ärende samt uppgifter om fysiska personers personliga och ekonomiska förhållanden, uppgifter om juridiska personers ekonomiska förhållanden, uppgifter om brottshjälpmedel och transportmedel samt om beslut, händelser och åtgärder i ett ärende (13 §). Förordningen reglerar också vilka sökbegrepp som får användas vid sökning i ärendedatabasen (14–16 §§) samt gallring (21 §) och utlämnande av uppgifter (17 och 18 §§). Uppgifter får som huvudregel lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, endast om utlämnandet sker inom ramen för ett samarbete som är reglerat i en internationell överenskommelse som är bindande för Sverige. Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen (19 §).

Åklagarmyndigheten får enligt 3 § förordningen (1997:902) om register över strafförelägganden föra ett centralt register för strafförelägganden. Av 2 § i förordningen framgår vidare att Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket får föra lokala register över strafförelägganden. I 9 § finns dessutom bestämmelser om vilka uppgifter som registren får innehålla. Såvitt gäller strafförelägganderegister gäller detta bl.a. för uppgifter om den misstänkte och om målsäganden samt om gärningen, påföljden, beslut i ärendet och underrättelser. I 17 och 18 §§ anges vilka sökbegrepp som får användas vid sökning i registren. Förordningen innehåller inga bestämmelser om rättelse av felaktiga uppgifter eller om skadestånd för otillåten behandling av personuppgifter.

Pågående lagstiftningsarbete

I nuläget pågår ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser, där utgångspunkten för arbetet bl.a. är polisdatalagen (2010:361) samt det betänkande som har lämnats av Åklagardatautredningen (SOU 2008:87). Detta betänkande har remissbehandlats och inom Justitiedepartementet pågår för

115

Behandling av personuppgifter i brottsbekämpande verksamhet SOU 2011:20

närvarande arbetet med att utforma en lagrådsremiss som behandlar ny lagstiftning inom detta område.

I betänkandet föreslog utredningen att en ny lag – lagen om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet – skulle ersätta den nu gällande förordningen. Denna lag skulle, enligt utredningen, gälla i stället för personuppgiftslagen.

Lagen föreslås utgå från personuppgiftslagens tillämpnings- område, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till person- uppgiftslagen som är motiverade.

Förslaget innehåller – förutom regler om lagens syfte och tillämpningsområde – allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, vari det bl.a. regleras personuppgiftsansvar, ändamålet för behandlingen, regler om behandling av känsliga personuppgifter, tillgången till personuppgifter, gallring samt utlämnande av personuppgifter och uppgiftsskyldighet. Härutöver innehåller betänkandets lagförslag särskilda regler om gemensamt tillgängliga uppgifter.

4.3Behandling av personuppgifter vid andra myndigheter i rättskedjan

4.3.1Kriminalvården

Allmänt om myndigheten

Kriminalvården sorteras in under politikområde Rättsväsendet. Kriminalvårdens verksamhetsgrenar är häkte, anstalt och frivård. Inom myndigheten finns också en transporttjänst, som förutom transporter inom Kriminalvården även utför transporter av frihetsberövade personer på uppdrag av andra myndigheter.

Verksamheten regleras i bl.a. förordningen (2007:1172) med instruktion för Kriminalvården. Sedan år 2006 är Kriminalvården organiserad som en enda myndighet.

Kriminalvården ansvarar för att verkställa utdömda påföljder, bedriva häktesverksamhet samt utföra personutredningar i brott- mål. Inom dessa ramar ska Kriminalvården verka för att påföljder verkställs på ett säkert, humant och effektivt sätt, att lagföring kan ske på ett effektivt sätt samt att återfall i brott förebyggs.

116

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

Kriminalvården ska särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruket bekämpas, och innehållet i verkställigheten anpassas efter varje individs behov.

Regler om behandling av personuppgifter

Kriminalvårdens behandling av personuppgifter regleras i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och förordningen (2001:682) i samma ämne. Regleringen gäller för samtliga myndigheter inom kriminalvården, således inte bara för myndigheten Kriminalvården utan även för övervaknings- nämnderna och Kriminalvårdsnämnden.

I lagen om behandling av personuppgifter inom kriminalvården anges att om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen tillämpas personuppgiftslagen vid behandling av personuppgifter inom kriminalvården. I lagen anges att kriminalvården får behandla personuppgifter bara om det behövs för att myndigheten ska kunna bl.a. fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning samt för att underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver.

Lagen innehåller vissa särbestämmelser i förhållande till person- uppgiftslagen, som i övrigt gäller för kriminalvårdens verksamhet (2 §). Lagen innehåller endast övergripande bestämmelser för behandlingen, medan förordningen bl.a. innehåller bestämmelser om de register som ska föras inom kriminalvården (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas beträffande olika personkategorier.

Lagen gäller vid behandling av personuppgifter i fråga om personer som

-är föremål för personutredning,

-är häktade,

-är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst,

-är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en av ovan nämnda påföljder i Sverige,

117

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

-på annan grund är intagna i häkte eller kriminalvårdsanstalt, eller

-som annars transporteras av kriminalvårdens transporttjänst.

Enligt 3 § lagen om behandling av personuppgifter inom kriminal- vården får personuppgifter behandlas bara om det är nödvändigt för att

-kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

-underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

-upprätthålla säkerheten och förebygga brott under häktning, verkställighet av påföljd, intagning av annat skäl eller transport.

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), får inte behandlas enbart på grund av det förhållandet. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter, om det är absolut nödvändigt för syftet med behandlingen. Sådana uppgifter får inte användas som sökbegrepp, om inte regeringen har föreskrivit det. Bara de personer som behöver det på grund av sina arbetsuppgifter får ha direktåtkomst till uppgifter (5–6 §§).

Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol (12 §). Beslutet ska dock först omprövas av Kriminalvården (13–15 §§).

Det centrala kriminalvårdsregistret regleras i 34–36 §§ i förordningen. Ändamålet med registret är dels att myndigheten ska kunna fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift

118

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en sådan påföljd i Sverige, omfattas av registret.

Säkerhetsregistret regleras i 39–41 §§ samt i 43–46 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Detta register omfattar endast personer som är häktade eller intagna i vissa kriminalvårdsanstalter för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering av uppgifter i registret förutsätter därutöver att vissa särskilda omständigheter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).

4.3.2Kronofogdemyndigheten

Kronofogdemyndigheten har, vad gäller statliga (offentligrättsliga) fordringar med internationell anknytning, i korthet följande uppgifter.

Inom Norden; att driva in skatter, avgifter och böter,

Inom Europeiska unionen; att driva in inkomst- och förmögenhets- skatt, mervärdesskatt, vissa punktskatter och böter, samt

Med stöd av vissa dubbelbeskattningsavtal; att driva in vissa skatte- fordringar i och utanför Europeiska unionen.

Regler om behandling av personuppgifter

Lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet innehåller bestämmelser om Krono- fogdemyndighetens behandling av personuppgifter i myndighetens verksamhet.

I 1 kap. 1 § tydliggörs att denna verksamhet enligt lagen är

119

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

-utsökning och indrivning,

-skuldsanering,

-betalningsföreläggande och handräckning,

-europeiskt betalningsföreläggande,

-tillsyn i konkurs,

-samt annan verksamhet som särskilt åligger Kronofogde- myndigheten.

1 kap. 2 § i nämnda lag anger att lagen gäller i stället för person- uppgiftslagen, om inte annat särskilt anges i 1 kap. 3 § och 3 kap. i samma lag.

Lagen består av tre kapitel, varav kap. 1 innehåller allmänna bestämmelser, kap. 2 bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1–6 §§), betalningsföreläggande- och handräckningsdatabasen (7–12 §§), skuldsaneringsdatabasen (13-18 §§), konkurstillsynsdatabasen (19– 23 §§) och gemensamma bestämmelser om databaserna (24–31 §§) samt kap. 3 bestämmelser om enskildas rättigheter.

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).

I 1 kap. 6 § i lagen regleras behandlingen av känsliga uppgifter. Enligt denna paragraf får uppgifter som anges i 13 § person- uppgiftslagen behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Lagen innehåller även bestämmelser om gallring (1 kap. 7 §). För de olika databaserna (se ovan) finns vidare specifika

bestämmelser om ändamål, innehåll och gallring.

I 3 kap. finns regler om information till den registrerade (1– 2§§), rättelse och skadestånd (3–3a §§) och överklagande (4 §).

4.3.2Sveriges Domstolar

Allmänt

Sveriges Domstolar är samlingsnamnet för domstolarnas, hyres– och arrendenämndernas, Rättshjälpsmyndighetens och Domstols- verkets verksamhet. Verksamheten faller in under politikområde Rättsväsendet.

Domstolarna är oberoende och självständiga i förhållande till riksdag, regering och andra myndigheter. Målet för den dömande

120

SOU 2011:20 Behandling av personuppgifter i brottsbekämpande verksamhet

verksamheten är att mål och ärenden ska handläggas på ett rättssäkert och effektivt sätt.

Det finns tre typer av domstolar

-de allmänna domstolarna som består av tingsrätt, hovrätt och Högsta domstolen,

-de allmänna förvaltningsdomstolarna, som består av förvalt- ningsrätt, kammarrätt och Högsta förvaltningsdomstolen, samt

-specialdomstolarna som avgör tvister inom olika special- områden, t.ex. Arbetsdomstolen och Marknadsdomstolen.

Hyres- och arrendenämnderna avgör tvister mellan t. ex. hyres- gäster och hyresvärd respektive arrendatorer och jordägare. Rättshjälpsmyndigheten tar hand om de ärenden enligt rättshjälps- lagen som inte avgörs i någon domstol.

Domstolsverket är central förvaltningsmyndighet med huvud- saklig uppgift att stödja domstolarna administrativt.

De allmänna domstolarnas verksamhet, vilken främst är av intresse för utredningen, regleras i bl.a. regeringsformen, rätte- gångsbalken, förordningen (1996:381) med tingsrättsinstruktion, förordningen (1996:379) med hovrättsinstruktion och för- ordningen (1996:377) med instruktion för Högsta domstolen.

De allmänna domstolarna har till uppgift att handlägga brottmål, tvistemål och ärenden av olika slag. I brottmålen har domstolarna till uppgift att – förutom att slutligt avgöra målen genom dom eller beslut – bl.a. besluta i frågor om förordnande av målsägandebiträde och offentlig försvarare, i häktningsfrågor samt i frågor om hemliga tvångsmedel.

De allmänna domstolarnas verksamhet bedrivs vid 48 tingsrätter, sex hovrätter och Högsta domstolen.

De allmänna förvaltningsdomstolarnas verksamhet bedrivs vid tolv förvaltningsdomstolar, fyra kammarrätter och Högsta förvaltningsdomstolen.

Regler om behandling av personuppgifter

Behandlingen av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet regleras, såvitt är av intresse i detta sammanhang, i tre olika förordningar. En förordning innehåller regler om behandlingen i allmän domstol och

121

Behandling av personuppgifter i brottsbekämpande verksamhet

SOU 2011:20

de två andra förordningarna bestämmelser om behandlingen i allmän förvaltningsdomstol. Förordningen (2001:639) om register- föring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller vid automatiserad behandling av personuppgifter i Högsta domstolens, hovrätternas och tingsrätternas rättskipande och rättsvårdande verksamhet. Vid de allmänna förvaltnings- domstolarna tillämpas förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling respektive förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling.

De tre förordningarna är uppbyggda på samma sätt och innehåller i stor utsträckning likalydande bestämmelser. Redo- görelsen nedan omfattar, om inte annat anges, de tre nämnda förordningarna. Förordningarna gäller utöver personuppgiftslagen

– som således i övrigt gäller för personuppgiftsbehandlingen vid de aktuella domstolarna – och innehåller bestämmelser om två typer av register; verksamhetsregister och rättsfallsregister.

Domstolarna får föra verksamhetsregister, vilkas övergripande ändamål är att vara ett hjälpmedel vid handläggningen av mål och ärenden. Enligt förordningarna får registren användas för hand- läggning av mål och ärenden, planering, uppföljning och utvärdering av verksamheten, och framställning av statistik. För de allmänna domstolarna finns ett fjärde ändamål, nämligen att fullgöra författningsenlig underrättelseskyldighet. Ett verk- samhetsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål eller ärenden, om parter och andra aktörer, om personer som ska höras eller yttra sig, om förhandling, om handläggningen i övrigt och om rättegångskostnader.

Den s.k. ärendemeningen anger vad saken i exempelvis det specifika målet gäller. I detta sammanhang får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § person- uppgiftslagen, behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt. I övrigt får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Känsliga personuppgifter får inte användas som sökbegrepp. Samtliga förordningar innehåller regler om gallring i verksamhetsregister.

122

SOU 2011:20

Behandling av personuppgifter i brottsbekämpande verksamhet

Domstolarna får även föra rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant rättsfallsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning, bl.a. mål- och ärendenummer, avgörande- nummer, avgörandedatum, sökord och fullföljd. Personuppgifts- lagens regler om gallring tillämpas på registren.

Utöver behandlingen i register finns i förordningarna också bestämmelser om att domstolarna får behandla personuppgifter automatiserat i löpande text eller ljud- och bildupptagningar. Personuppgifter som behandlas i löpande text eller i ljud- och bildupptagningar bevaras eller gallras enligt bestämmelserna i personuppgiftslagen.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förordningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans.

Pågående lagstiftningsarbete

För närvarande pågår ett arbete inom regeringskansliet med att se över ovan nämnda bestämmelser. Utgångspunkten för arbetet är bl.a. Domstolsdatautredningens slutbetänkande SOU 2001:100.

I betänkandet finns förslag till nya bestämmelser vad gäller behandling av uppgifter vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna.

I betänkandet föreslog utredningen att de ovan nämnda för- ordningarna som i dag reglerar personuppgiftsbehandlingen inom Sveriges Domstolar ska ersättas med lagar.

Inom Justitiedepartementet pågår för närvarande arbete med att ta fram en på betänkandet bl.a. byggd departementspromemoria som efter remissbehandling kommer att ligga till grund för lagstiftning inom detta område.

123

5Lagstiftning om internationellt samarbete

5.1Allmänt om författningar om internationellt samarbete i svensk rätt

Dataskyddsrambeslutets tillämpningsområde omfattar sådana personuppgifter som överförs eller görs tillgängliga mellan stater inom Europeiska unionen eller mellan en medlemsstat och ett tredjeland eller ett internationellt organ som sysslar med brottsbekämpning.

Nedan följer en redogörelse för den lagstiftning som särskilt tar sikte på internationellt samarbete inom dataskyddsrambeslutets verksamhetsområden och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.

Skäl att närmare undersöka denna lagstiftning föreligger bl.a. med hänsyn till de användningsbegränsningar som tas upp i dataskyddsrambeslutet, artiklarna 11-14 samt i viss mån i artikel 9 (se vidare kap 9).

I förarbetena till prop. 2008/09:16, s. 25-29 – Godkännande av Dataskyddsrambeslutet – samt den dessförinnan föreliggande departementspromemorian Ds 2008:30, s. 91-115 – Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete – har denna lagstiftning detaljerat gåtts igenom.

Vi återger i detta kapitel således enbart vad som i huvudsak redogjorts för i nämnda förarbeten, med vissa kompletteringar/justeringar (se avsnitt 5.9). Som påpekats ovan utgör kapitlet ett underlag för bedömningar, bl.a. vad gäller frågan om användningsbegränsningar i dataskyddsrambeslutet.

125

Lagstiftning om internationellt samarbete

SOU 2011:20

5.2Närmare om regler för användningsbegränsningar

I prop. 2008/09:16 s. 26 anförs följande.

Från slutet av 1980-talet föreslogs allt oftare vid förhandlingar om internationella överenskommelser om rättsligt samarbete och informationsutbyte bestämmelser om begränsningar i fråga om hur överlämnad information får användas. Det väckte så småningom frågan om hur man skulle hantera den typen av bestämmelser i svensk rätt. Genom en bestämmelse i lagen (1991:435) med vissa bestämmelser om internationellt samarbete på brottmålsområdet infördes en generell bestämmelse som gav myndigheterna rätt att, i fall där en främmande stat hade ställt villkor angående användningen av upplysningar eller bevismaterial, följa detta villkor oavsett vad som annars var föreskrivet i lag eller annan författning. Lagen upphävdes när lagen (2000:562) om internationell rättslig hjälp i brottmål infördes. Numera finns det således ingen generell lagstiftning på området utan motsvarande bestämmelser finns i flera olika lagar.

Det förhållandet att en regel om användningsbegränsning finns i en lag som primärt gäller för ett visst verksamhetsområde får inte tolkas så att den bara ska tillämpas i den verksamheten. Tvärtom gäller en användningsbegränsning för alla svenska myndigheter. JO har i ett ärende som berörde flera myndigheter utvecklat detta närmare (se JO 2007/08 s. 57).

5.3Lagstiftning om samarbete i den brottsbekämpande verksamheten

5.3.1Lagen (2000:343) om internationellt polisiärt samarbete

I lagen (2000:343) om internationellt polisiärt samarbete regleras samarbete mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i Europeiska unionen samt Norge och Island. Lagen reglerar bl.a. Schengen- samarbetet men även annat polissamarbete som är generellt. I lagen anges vilka svenska tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän, tulltjänstemän och kustbevakningstjänstemän, när de enligt lag eller annan författning har polisiära befogenheter.

Det bör påpekas att den viktigaste delen av informationsutbytet inom Schengensamarbetet regleras i lagen om Schengens informationssystem (se avsnitt 5.3.3). Den nu aktuella lagen

126

SOU 2011:20

Lagstiftning om internationellt samarbete

reglerar annat samarbete och informationsutbyte som är mera inriktat på enskilda fall.

I lagen finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Bestämmelsen motsvarar i huvudsak 1 § i den upphävda lagen med särskilda bestämmelser om internationellt samarbete på brottmålsområdet. Har en svensk myndighet fått upplysningar eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott eller vid utredning av brott, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att utnyttja materialet, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överenskommelser med mellanfolkliga organisationer.

Som en följd av Prümrådsbeslutet trädde kompletterande bestämmelser i lagen i kraft den 1 juli 2010 (se avsnitt 5.3.5).

5.3.2Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användnings- begränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utredningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som

127

Lagstiftning om internationellt samarbete

SOU 2011:20

är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.

Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10–14 §§) och om brottsutredningar med användning av skyddsidentitet (15–17 §§). Med kontrollerad leverans avses att en viss förbjuden vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5–7 §§ tillämpas (13 respektive 16 §).

5.3.3Lagen (2000:344) om Schengens informationssystem

I dataregistret Schengens informationssystem (SIS) kan varje medlemsstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks med en begäran om att en viss åtgärd ska vidtas om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av personuppgifter i den nationella delen av SIS.

Lagen, som gäller utöver personuppgiftslagen (prop. 1999/2000:64 s. 135), innehåller bl.a. regler om vilka uppgifter som får registreras och i vilka syften (3 och 4 §§), en särskild bestämmelse om att känsliga uppgifter inte får registreras (7 §), samt bestämmelser om gallring, rättelse och skadestånd (11–13 §§).

Lagen innehåller också en regel om användningsbegränsning (10 §) enligt vilken en svensk myndighet inte får utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angett vid registreringen.

Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.

Se vidare avseende SIS bl.a. i avsnitt 5.9.4 (polisen), 5.9.7 (Tullverket) och 5.9.3 (Kustbevakningen).

128

SOU 2011:20

Lagstiftning om internationellt samarbete

5.3.4Förordningen (2008:1396) om förenklat informations- och underrättelseutbyte mellan brottsbekämpande myndigheter i Europeiska unionen

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brotts- bekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ.

Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig informa- tion och befintliga underrättelser. Genom detta rambeslut åtar sig medlemsstaterna bl.a. att på begäran av en annan stat lämna viss information och att spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari 2009.

Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet.

5.3.5Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, (Prümrådsbeslutet), innehåller bestämmelser som syftar till att fördjupa det gräns- överskridande samarbetet mellan de myndigheter inom Europeiska unionen som ansvarar för att förebygga och utreda brott.

I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. I beslutet finns vidare en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om

129

Lagstiftning om internationellt samarbete

SOU 2011:20

uppgiftsutbyte kompletteras med utförliga bestämmelser om data- skydd. Utöver bestämmelserna om informationsutbyte innehåller rådsbeslutet bestämmelser om frivilligt operativt samarbete.

Regeringen har i propositionen Godkännande av Prümråds- beslutet (prop. 2007/08:83) på ett övergripande plan övervägt vilka lagändringar som kan krävas. Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU20, rskr. 2007/08:197). Beslutet har därefter antagits av rådet.

En proposition – Genomförande av delar av Prümrådsbeslutet (prop. 2009/10:177) – innehållande vissa författningsförslag, lämnades till riksdagen i mars 2010. Lagändringarna har trätt i kraft den 1 juli 2010 och kompletterats med följande förordnings- bestämmelser.

Användning av uppgifter från andra stater

3 § Har en svensk myndighet fått uppgifter eller bevisning från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av en överenskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Första stycket gäller också i fråga om överenskommelser med mellanfolkliga organisationer.

3 a § En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.

Första stycket gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation.

Resterande förslag i promemorian bereds för närvarande i Justitie- departementet och avsikten är att en proposition med lagförslag i dessa delar ska kunna beslutas under våren 2011.

130

SOU 2011:20

Lagstiftning om internationellt samarbete

5.4Lagstiftning om internationellt tullsamarbete

Lagen om internationellt tullsamarbete

Syftet med det internationella tullsamarbetet, som regleras i lagen (2000:1219) om internationellt tullsamarbete, är att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser. Tullverket eller annan behörig svensk myndighet ska bistå utländsk myndighet och mellanfolklig organisation. Behöriga myndigheter är, förutom Tullverket, Rikspolisstyrelsen, polismyndigheter, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.

Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt nationell lagstiftning (1 kap. 3 §). Samarbetet består bl.a. i att länderna självmant eller efter ansökan ska delge varandra uppgifter som behövs för tullsamarbetet.

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verksamhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 §).

Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten i princip skyldig att på begäran av den som uppgiften avser underrätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller om det kan befaras att underrättelsen skulle försvåra den utländska utredningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §). Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överens- kommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (4 kap. 2 §).

131

Lagstiftning om internationellt samarbete

SOU 2011:20

I 4 kap. 3 § i lagen framgår även att en behörig svensk myndighet får i en pågående utredning om överträdelse av tull- bestämmelse begära att få ta del av uppgifter i en annan stat. För sådana uppgifter gäller bestämmelserna i offentlighets- och sekretesslagen samt sådana villkor för uppgifternas användning som avses i 2 §.

Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av utländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).

Angående nämnda lag och Tullverket, se även avsnitt 5.9.7 nedan.

5.5Lagstiftning om internationellt rättsligt samarbete

Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål finns bestämmelser om skyldighet att på en utländsk myndighets begäran vidta åtgärder som bl.a. förhör under förundersökning, bevisupptagning, telefonförhör, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §) och motsvarande bestämmelser om hur Sverige kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.

Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlemsstater i Europeiska unionen samt Norge och Island.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas, även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersök- ning eller rättegång (2 kap. 10 §). Åklagaren kan begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma

132

SOU 2011:20

Lagstiftning om internationellt samarbete

utsträckning som för en motsvarande svensk förundersöknings- åtgärd.

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller bindande villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, villkoret följas oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller beträffande villkor som en stat har ställt upp när den på eget initiativ lämnar sådana uppgifter.

På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt (5 kap. 2 §).

Detsamma gäller för uppgifter som lämnas i form av rättslig hjälp utan samband med ett ärende. Villkor som strider mot en internationell överenskommelse som är bindande för Sverige får dock aldrig ställas.

Den åklagare eller den domstol som har ställt ett villkor enligt 5 kap. 2 § får enligt 5 kap. 3 § på begäran av en myndighet i den mottagande staten medge undantag från villkoret.

Överlämnande från Sverige enligt en europeisk arresteringsorder

Inom Europeiska unionen tillämpas ett förenklat förfarande för ut- lämning med anledning av brott. Om en medlemsstat har meddelat ett rättsligt avgörande och begär att en annan stat ska gripa och överlämna en eftersökt person för lagföring eller verkställighet tillämpas lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Lagen tillämpas också för överlämnade av svenska medborgare. Regleringen genomför rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresterings- order och överlämnande mellan medlemsstaterna.

I lagen anges att överlämnande ska ske antingen om överlämnandet avser lagföring (om gärningen utgör brott enligt svensk lagstiftning samt det för brottet är föreskrivet en frihetsberövande påföljd i ett år eller mer) eller om överlämnandet avser verkställighet (och den utdömda påföljden innebär ett frihetsberövande i minst fyra månader), se 2 kap. 2 § första stycket.

133

Lagstiftning om internationellt samarbete

SOU 2011:20

Enligt andra stycket i samma paragraf ska överlämnande beviljas även om gärningen inte motsvarar brott enligt svensk lag, under förutsättning att gärningen finns angiven i bilagan till lagen och det för gärningen enligt den utfärdande medlemsstatens lagstiftning är föreskrivet en frihetsberövande påföljd i tre år eller mer (s.k. listbrott).

I lagen anges också när överlämnande inte får ske (2 kap. 3– 6 §§). Det gäller bl.a. om arresteringsordern är bristfällig, om den eftersökte ska överlämnas till tredje stat eller Internationella brottsmålsdomstolen, om den dömde var under 15 år när gärningen begicks eller om överlämnandet skulle strida mot Europa- konventionen.

En arresteringsorder kan översändas genom Schengens informationssystem eller annat system för eftersökning av personer som är misstänkta för brott. En arresteringsorder kan också skickas direkt till behörig åklagare i den region där man antar att den eftersökte befinner sig (4 kap. 1 §). Allmän åklagare är ansvarig för handläggningen av ärenden enligt lagen. Åklagaren utreder om det finns grund för överlämnande och fattar beslut om anhållande av eller reseförbud eller anmälningsplikt för den efterlyste (4 kap. 3 §). Allmän domstol beslutar om överlämnande, men åklagaren får avslå en begäran.

I brådskande fall får en polisman, tulltjänsteman eller tjänste- man vid Kustbevakningen även utan ett anhållningsbeslut gripa den som är efterlyst i en arresteringsorder som översänts t.ex. genom Schengens informationssystem (4 kap. 5 § fjärde stycket lagen). Polisen, Tullverket och Kustbevakningen har direktåtkomst till SIS-registret, enligt 10 § förordningen (2000:836) om Schengens informationssystem.

När någon har gripits ska åklagaren genast inleda en utredning om det finns förutsättningar för överlämnande från Sverige. Utredningen ska göras enligt bestämmelserna om förundersökning i brottmål.

134

SOU 2011:20

Lagstiftning om internationellt samarbete

Sverige ska leva upp till de åtaganden som ett tillträde till konven- tionen medför.

Lagändringarna föreslås träda i kraft den dag regeringen bestämmer.

Erkännande och verkställighet av frysningsbeslut

Inom Europeiska unionen tillämpas också ett förenklat förfarande för verkställighet av beslut om frysning av egendom eller bevismaterial. Lagen (2005:500) om erkännande och verkställighet i Europeiska unionen av frysningsbeslut genomför rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Europeiska unionen av beslut om frysning eller bevismaterial.

Med frysningsbeslut avses i lagen dels beslut om kvarstad enligt 26 kap. rättegångsbalken, som avser värdet av förverkad egendom, dels ett svenskt beslut om beslag enligt lagen, och dels vissa motsvarande beslut som har meddelats av en rättslig myndighet i en annan medlemsstat.

Rambeslut om en europeisk bevisinhämtningsorder

Den 14 november 2003 presenterade Europeiska unionens kommission ett förslag till rådets rambeslut om en europeisk bevisinhämtningsorder. Avsikten är att genom rambeslutet och andra instrument på sikt ersätta den traditionella rättsliga hjälpen med enklare förfaranden. Bevisinhämtningsordern är tänkt att utgöra steget efter ett frysningsbeslut.

Rambeslutet är inriktat på föremål, handlingar och uppgifter som erhållits genom processrättsliga åtgärder och som är direkt tillgängliga. Det innebär att bevismaterial som först har varit föremål för ett frysningsbeslut därefter kan bli föremål för en bevisinhämtningsorder. Rambeslutet bygger vidare på principen om ömsesidigt erkännande.

Direktiv om europeisk utredningsorder

Europeisk utredningsorder (European Investigation order) är ett förslag inom Europeiska unionen som är tänkt att tillåta myndigheter i en medlemsstat att kunna begära att specifika

135

Lagstiftning om internationellt samarbete SOU 2011:20

utredningsåtgärder rörande brottmål vidtas i en annan medlemsstat.

Direktivet omfattar i princip allt straffrättsligt samarbete inom Europeiska unionen som avser inhämtande av bevisning. Det straff- rättsliga samarbetet om bevisinhämtning inom Europeiska unionen är i dag baserat på både traditionell ömsesidig rättslig hjälp och principen om ömsesidigt erkännande. Direktivet syftar till att åstadkomma en ny strategi och en heltäckande reglering som bygger på principen om ömsesidigt erkännande men även tar hänsyn till flexibiliteten i traditionell rättslig hjälp.

Direktivet avser att ersätta rådets rambeslut 2008/978/RIF av den 18 december 2008 om en europeisk bevisinhämtningsorder för att inhämta föremål, handlingar eller uppgifter som ska användas i straffrättsliga förfaranden (rambeslutet om en europeisk bevis- inhämtningsorder) samt rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Europeiska unionen av beslut om frysning av egendom eller bevismaterial (rambeslutet om frysning) och de olika instrument som avser ömsesidig rättslig hjälp i brottmål i den mån de behandlar inhämtande av bevis som ska användas i straffrättsliga förfaranden.

Sverige är som medförslagsställare till förslaget positiv till direktivets syfte.

Rambeslut om utbyte av information ur kriminalregister

Det fleråriga Haagprogrammet, som antogs under Europeiska rådets möte den 4–5 november 2004, innehåller tio prioriteringar för Europeiska unionen när det gäller att stärka området med frihet, säkerhet och rättvisa under de följande fem åren. I Haagprogrammet uppmanades kommissionen bl.a. att framlägga förslag till ökat utbyte av uppgifter om domar i nationella register.

I januari 2006 lade kommissionen fram ett förslag till rambeslut om utbyte av information ur kriminalregister. Utkastet till rambeslut innebär en utveckling av artiklarna 13 och 22 i Europa- rådets konvention från 1959 om ömsesidig rättslig hjälp i brottmål. Arbetet ska ske i två faser. I första steget åtar sig medlemsstaterna att dels mer regelbundet informera varandra när en person döms för brott i en medlemsstat men denne är medborgare i en annan medlemsstat, dels effektivisera informationsutbytet när uppgifter begärs i ett enskilt ärende. I den andra fasen av arbetet är målet att

136

SOU 2011:20

Lagstiftning om internationellt samarbete

denna information ska kunna utbytas elektroniskt med hjälp av ett standardiserat format.

Medlemsstaterna ska så snart som möjligt informera den medlemsstat i vilken den dömde är medborgare om en dom i brott- mål. Vidare ska det med domen följa information om hur länge en registrering kommer att finnas kvar i domslandets kriminalregister. Information om de ändringar eller den gallring av uppgifter som sker i kriminalregistret ska också översändas till den medlemsstat som fått information om domen.

När information ur kriminalregistret begärs i en medlemsstat finns det möjlighet att även begära information från en annan stats kriminalregister. Detta gäller även när en enskild person efterfrågar uppgifter om sig själv, under förutsättning att personen är eller har varit bosatt eller är medborgare i den andra staten.

En myndighets begäran om information ur kriminalregister ska besvaras omedelbart eller i vart fall inom tio arbetsdagar. Kommer förfrågan från en privatperson ska information lämnas inom 20 arbetsdagar.

Uppgifter som erhålls från en annan stat får användas endast för det ändamål för vilket uppgifterna begärdes. De får dock alltid användas för att avvärja omedelbara och allvarliga hot. Dessutom kan den andra staten medge användning för andra ändamål, men kan då ställa upp särskilda villkor.

Slutligen ska medlemsstaterna inom tre år efter antagandet av rambeslutet genomföra de tekniska åtgärder som krävs för att information ur kriminalregister ska kunna överföras elektroniskt.

En politisk överenskommelse har nåtts om innehållet i rambeslutet. I propositionen Sveriges antagande av rambeslut om utbyte av uppgifter i kriminalregister (prop. 2008/09:18) har regeringen översiktligt redovisat vilka lagstiftningsåtgärder som kan krävas. Riksdagen godkände utkastet till rambeslut (bet. 2008/09:JuU11, rskr. 2008/09:33). En särskild utredare har fått i uppdrag att överväga hur rambeslutet och rådsbeslutet lämpligast bör genom- föras för svensk del. Utredaren ska lämna förslag till de för- fattningsändringar som bedöms nödvändiga och lämpliga (dnr 2010/2196/P). Uppdraget ska redovisas senast den 28 februari

2011.

137

Lagstiftning om internationellt samarbete

SOU 2011:20

5.6Lagstiftning om samarbete i fråga om verkställighet av frihetsberövande påföljder

Allmänt

Det internationella samarbetet om överförande av verkställighet av straffrättsliga påföljder mellan Sverige och andra stater sker ofta på avtalsrättslig grund. Det finns emellertid flera internationella överenskommelser om överförande av straffverkställighet som Sverige har ingått och som har genomförts i svensk lagstiftning. Dessa redovisas i korthet nedan. För en närmare redogörelse för lagstiftningen när det gäller verkställighet av frihetsberövande straff hänvisas till Ds 2008:1 Sveriges antagande av rambeslut om överförande av frihetsberövande påföljder inom Europeiska unionen, s. 21 ff. och för motsvarande redovisning när det gäller bötesstraff hänvisas till Ds 2007:18 Verkställighet inom Europeiska unionen av bötesstraff och beslut om förverkande, s. 86 ff.

Internationella verkställighetslagen

Enligt 1 § lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom (internationella verkställighetslagen) får regeringen bestämma att domar avseende frihetsberövande, böter eller förverkande, som har dömts ut i andra stater, får verkställas i Sverige eller att svenska påföljder får verkställas i en annan stat, i den mån det följer av en överenskommelse som Sverige har ingått med en annan stat. De viktigaste överens- kommelserna är 1970 års konvention om brottmålsdoms interna- tionella rättsverkningar (brottmålsdomskonventionen), 1983 års konvention om överförande av dömda personer (överförande- konventionen) och 1990 års tillämpningskonvention till Schengen- avtalet (Schengenkonventionen).

Även om det inte finns något bilateralt eller multilateralt avtal om överförande av verkställighet kan regeringen enligt 3 § lagen, om det föreligger synnerliga skäl i ett enskilt fall, genom regeringsbeslut förordna att en frihetsberövande påföljd som har dömts ut i Sverige får verkställas i en annan stat eller att en sådan påföljd som har ådömts en svensk medborgare eller en utlänning med hemvist i Sverige får verkställas här. Vid verkställighet enligt brottmålsdomskonventionen och enligt överförandekonventionen

138

SOU 2011:20

Lagstiftning om internationellt samarbete

krävs dubbel straffbarhet, dvs. gärningen ska utgöra brott enligt svensk lagstiftning.

Om ett straff verkställs i Sverige efter överförande hit sker verkställigheten enligt svenska regler. Straff som är strängare än vad som är möjligt att utdöma enligt svensk lag kan förekomma.

Lagen innehåller få regler av allmän karaktär. Flertalet bestäm- melser reglerar de specifika förutsättningar och förfaranden som gäller enligt respektive konvention.

Överförandekonventionen syftar i första hand till att främja dömda personers återanpassning till samhället. Konventionen innebär inte någon skyldighet att överföra eller överta straff- verkställighet. Ett överförande förutsätter alltid både domslandets och den verkställande statens samtycke. Den dömde själv måste också samtycka till överförandet.

Samtliga medlemsstater i Europeiska unionen har tillträtt överförandekonventionen. Flertalet överföranden inom Europa sker med stöd av den. Överförande inom Norden sker dock alltjämt normalt med stöd av den nordiska verkställighetslagen, (se nedan i detta avsnitt).

Enligt Schengenkonventionen kan överförande av verkställighet i princip ske enligt samma förutsättningar som gäller enligt överförandekonventionen, men utan den dömdes samtycke om denne har flytt för att undandra sig verkställighet av en dom i domslandet, eller om den dömde enligt domen ska utvisas eller annars inte får vistas i domslandet. Regleringen gäller i förhållande till de stater som ingår i Schengensamarbetet och är bundna av Schengenkonventionen i relevanta delar.

Överföranden enligt brottmålsdomskonventionen förekommer sällan eftersom förfarandet upplevs som komplicerat. Brottmålsdomskonventionen har samma syfte som överförande- konventionen, men innebär en förpliktelse för en stat att överta verkställigheten om förutsättningarna för detta är uppfyllda. Förfarandet är mera detaljreglerat än förfarandet enligt överförandekonventionen, bl.a. på det sättet att det krävs ett domstolsbeslut i den stat som övertar verkställigheten.

139

Lagstiftning om internationellt samarbete

SOU 2011:20

Rambeslut om överförande av frihetsberövande påföljder inom Europeiska unionen

I januari 2005 tog Österrike, Finland och Sverige initiativ till ett rambeslut om överförande av dömda mellan Europeiska unionens medlemsstater. Vid rådets för rättsliga och inrikes frågor möte den 15 februari 2007 nåddes en principöverenskommelse om innehållet i rambeslutet.

Rambeslutet bygger vidare på den av Europeiska rådet i Tammerfors år 1999 antagna principen om att ömsesidigt erkännande ska vara hörnstenen i det rättsliga samarbetet mellan Europeiska unionens medlemsstater. Innebörden i rambeslutet är att medlemsstaterna ska erkänna och verkställa varandras av- göranden utan någon vidare prövning. I rambeslutet är prövningen av om en annan stats avgörande ska erkännas och verkställas begränsad till några få omständigheter (vägransgrunder). Om en sådan omständighet föreligger, får erkännande och verkställighet vägras. I annat fall ska den tillfrågade staten överta verkställigheten av påföljden.

Riksdagen har godkänt utkastet till rambeslut (jfr betänkande 2007/08:JuU23 och prop. 2007/08:84). Tidpunkten är ännu inte bestämd för när medlemsländerna ska ha genomfört bestämmelserna i rambeslutet.

Nordiska verkställighetslagen

För de nordiska länderna finns en enhetlig och i princip likalydande lagstiftning om överförande av verkställighet av straff. Lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetslagen) reglerar förfarandet.

De nordiska lagarna möjliggör verkställighet av böter, förverkande, frihetsstraff och övervakning av villkorligt dömda och villkorligt frigivna. Verkställighet av överlämnande till särskild vård regleras inte i lagen, men då kan i stället överförandekonventionen eller internationella verkställighetslagen tillämpas.

140

SOU 2011:20

Lagstiftning om internationellt samarbete

Övertagande av straffverkställighet till följd av en arresteringsorder

Enligt lagen om en europeisk arresteringsorder (se kap. 5.5) kan en annan stats begäran om överlämnade avslås i vissa fall. Om domstolen har avslagit en begäran om överförande till en annan stat för verkställighet av en frihetsberövande påföljd därför att den som söks för verkställigheten är svensk medborgare och begär denne att påföljden ska verkställas i Sverige, ska Sverige överta verkställigheten, om inte den andra staten motsätter sig det (2 kap. 6 § och 7 kap. 1 § lagen om överlämnande från Sverige enligt en europeisk arresteringsorder).

Straffverkställighet i Sverige av straff utdömda av internationella tribunaler och domstolar

Sverige har ingått straffverkställighetsavtal med Internationella brottsmålstribunalen för f.d. Jugoslavien, Internationella brotts- målstribunalen för Rwanda och Specialdomstolen för Sierra Leone (SÖ 1999:25, 2004:17 och 2006:10). Enligt lagen (1994:569) om samarbete med de internationella tribunalerna för brott mot internationell humanitär rätt och lagen (2006:615) om samarbete med Specialdomstolen för Sierra Leone får regeringen besluta att fängelsedomar meddelade av dessa internationella domstolar ska verkställas i Sverige. I Romstadgan för Internationella brottmåls- domstolen, som Sverige tillträdde år 2001, (SÖ 2002:59) finns också regler om verkställighet av straff. Dessa har genomförts i svensk rätt genom lagen (2002:329) om samarbete med Internationella brottmålsdomstolen.

5.7Samarbete rörande kriminalvård i frihet

Lagen om internationellt samarbete rörande kriminalvård i frihet

En annan lag reglerar på motsvarande sätt samarbetet rörande icke frihetsberövande påföljder, lagen (1978:801) om internationellt samarbete rörande kriminalvård i frihet. Lagen bygger på den europeiska konventionen den 30 november 1964 rörande över- vakning av villkorligt dömda eller villkorligt frigivna personer och

141

Lagstiftning om internationellt samarbete

SOU 2011:20

omfattar endast samarbete med sådana stater som har tillträtt konventionen (1 §).

Rambeslut om erkännande och övervakning av uppskjutna, alternativa och villkorliga påföljder

I januari 2007 presenterade Tyskland och Frankrike ett förslag till rambeslut om erkännande och övervakning av uppskjutna, alternativa och villkorliga påföljder mellan medlemsstaterna inom Europeiska unionen. Rambeslutet syftar till att förbättra samarbetet mellan medlemsstaterna i de fall där en person har dömts till en icke frihetsberövande påföljd i en medlemsstat men har sin hemvist i en annan medlemsstat. Vid ministerrådets för rättsliga och inrikes frågor möte den 6–7 december 2007 nåddes en principöverenskommelse om innehållet i rambeslutet.

5.8Samarbetet med vissa internationella organ

Interpol

ICPO – Interpol, som grundades år 1923, är en mellanstatlig organisation för polissamarbete som vilar på folkrättslig grund. Sverige blev medlem år 1926. Förenta nationerna har accepterat Interpols verksamhet och status och organisationen har ett representationskontor vid Förenta Nationernas högkvarter. Interpols syfte är att underlätta gränsöverskridande polissamarbete. Interpol fungerar som länk även i de fall där det inte finns diplomatiska förbindelser mellan staterna. Organisationen har sitt huvudkontor i Lyon i Frankrike. Interpol fungerar främst som ett kontaktorgan mellan de stater som är medlemmar i organisationen och som en kanal för att sprida polisiär information till ett flertal länder.

Interpol för olika databaser för gemensamma ändamål, exempelvis ett internationellt register över stulna motorfordon. Organisationen erbjuder också medlemsstaterna hjälp med kunskap och information om metodutveckling samt arrangerar utbildningar för polismän.

För närvarande är 186 länder medlemmar i Interpol. Varje medlemsland har en nationell Interpolbyrå, som är utpekad som kontaktpunkt både i förhållande till Interpol och till medlems-

142

SOU 2011:20

Lagstiftning om internationellt samarbete

länderna i deras inbördes kontakter. I Sverige finns den nationella byrån vid Rikskriminalpolisen.

Samarbetet inom Interpol styrs av medlemsländernas lagstiftningar. Interpol fungerar inte bara som ett organ för polisiärt samarbete utan medverkar även vid rättslig hjälp och bistår på begäran andra myndigheter än polisen, bl.a. åklagare, Tullverket och Kriminalvården. Det finns inte någon särskild rättslig reglering av samarbetet med Interpol. Information lämnas till Interpol med stöd av reglerna i polisens registerlagstiftning, framför allt polisdatalagen (2010:361), lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister.

Ytterligare angående Interpol och nationell Interpolbyrå, se avsnitt 5.9.4 nedan.

Europol

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det brottsbekämpande samarbetet i unionen. Europol är ett organ för behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom Europeiska unionen. Syftet med Europol är att förbättra effektiviteten hos de behöriga nationella myndigheterna och förbättra deras inbördes samarbete i den förebyggande och brottsbekämpande verksamheten.

Europols verksamhet grundas på Europolkonventionen som öppnades för undertecknande år 1995. Sverige tillträdde konven- tionen år 1997. Europols verksamhet inleddes år 1999.

Den 1 januari 2010 upphörde Europolkonventionen att gälla och ersattes av Europolrådsbeslutet (antaget av Europeiska rådet för rättsliga och inrikes frågor, RIF-rådet, den 6 april 2009 genom dess beslut om inrättande av Europeiska polisbyrån, Europol). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat samt bestämmelser om informationsbehandling och dataskydd.

Europols behörighet omfattar enligt Europolrådsbeslutet organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder.

143

Lagstiftning om internationellt samarbete

SOU 2011:20

Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Medlemsstaterna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs och bearbetas samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brotts- bekämpande myndigheter som härigenom får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Europol medlems- staterna med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsländerna m.m.

Europol kan tas i anspråk när de faktiska omständigheterna visar att det förekommer en brottslig organisation eller struktur som påverkar två eller flera medlemsstater och som med hänsyn till brottslighetens omfattning, svårhetsgrad och konsekvenser gör det nödvändigt med ett gemensamt handlande från medlemsstaternas sida.

Europol har egna datasystem och upprättar särskilda analysfiler för de ärenden där Europol tar på sig att utföra analysarbetet. Europolrådsbeslutet innehåller detaljerade regler om dataskyddet hos Europol och om tillgång till uppgifter som behandlas av Europol.

Eurojust

Eurojust, åklagarsamarbetet inom Europeiska unionen, inrättades år 2002. Eurojust har status som EU-organ. Eurojusts huvudupp- gifter är att främja och förbättra samordningen mellan medlems- staternas brottsbekämpande myndigheter vid bekämpningen av grov gränsöverskridande brottslighet. Eurojust ska bl.a. hjälpa medlemsstaterna i frågor om internationell rättslig hjälp och utlämning.

Eurojust består av en nationell medlem från varje medlemsstat. Varje medlem får biträdas av en eller flera personer. Eurojust kan utföra sina uppgifter antingen som ett kollegium eller genom en eller flera nationella medlemmar. De nationella medlemmarna lyder under sin egen stats lagstiftning. Varje medlemsstat avgör själv om

144

SOU 2011:20

Lagstiftning om internationellt samarbete

den nationella medlemmen ska ha några rättsliga befogenheter i förhållande till sin medlemsstat. Den svenska nationella medlem- men är åklagare med operativ behörighet som en svensk åklagare.

Eurojust har möjlighet att uppmana rättsliga myndigheter i en medlemsstat som berörs av ett ärende att genomföra brotts- utredning och väcka åtal. Eurojust kan vidare uppmana de berörda myndigheterna att samordna utredningar. Eurojust har dock inte några egna rättsliga befogenheter. Beslut i brottsutredningar fattas alltid på nationell nivå, av åklagare, domare eller andra tjänstemän med motsvarande behörighet och med tillämpning av nationell lagstiftning.

Om en behörig myndighet i en medlemsstat inte efterkommer en begäran från Eurojust att inleda en förundersökning eller att väcka åtal, ska Eurojust underrättas om skälen för detta. Det finns vissa undantag från underrättelseskyldigheten, bl.a. om en underrättelse skulle skada viktiga nationella säkerhetsintressen.

Det Europeiska rådet tog 2008 ett beslut om att Eurojust skulle förstärkas och få nya befogenheter och redskap1. Målen för det nya beslutet om förstärkning av Eurojust omfattar

•att inrätta en gemensam minimibas för de nationella medlemmarnas befogenheter,

•att inrätta en joursamordning,

•att förbättra överföringen av information till Eurojust,

•att förbättra Eurojusts nationella förankring,

•att förstärka förhållandet mellan Eurojust och det europeiska rättsliga nätverket (EJN),

•att förstärka det rättsliga samarbetet med icke-medlemsländer genom att göra det möjligt för Eurojust att utstationera sambandspersoner i dessa länder samt att stärka samarbetet med andra organ såsom Europol och Frontex (se avsnitt 5.9.4),

Det nya Eurojustbeslutet ska vara infört i medlemsstaterna senast den 4 juni 2011. Inom Åklagarmyndigheten pågår ett projekt gällande det svenska införandet, som omfattar ett nationellt samordningssystem för Eurojust, ett utökat informationsutbyte mellan Sverige och Eurojust samt frågor gällande jour/beredskap. Det utökande informationsutbytet träffar vissa typer av ärenden

1 RÅDETS BESLUT 2009/426/RIF av den 16 december 2008 om förstärkning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet.

145

Lagstiftning om internationellt samarbete

SOU 2011:20

där flera medlemsstater är inblandade och syftar till att förbättra möjligheterna till samordning av ärenden gällande internationell brottslighet.

Europeiska rättsliga nätverket

Europeiska rättsliga nätverket (European Judicial Network, EJN) inrättades år 1998 genom en gemensam åtgärd beslutad av Europeiska rådet. EJN består av företrädare för nationella myndigheter (kontaktpunkter) som arbetar med internationellt straffrättsligt samarbete. Kontaktpunkterna är aktiva mellanhänder för att underlätta det rättsliga samarbetet mellan medlemsstaterna, när det gäller bekämpandet av framför allt grov brottslighet. Kontaktpunkterna har dagliga kontakter sinsemellan, vanligtvis per telefon eller e-post, i konkreta brottsutredningar. Dessutom träffas kontaktpunkterna ett antal gånger per år för att utbyta erfarenheter och diskutera praktiska och rättsliga problem.

Det pågår för närvarande förhandlingar inom Europeiska unionen om ett nytt rättsligt instrument för EJN.

World Customs Organization

Tullverket deltar i samarbetet i Världstullorganisationen (World Customs Organization, WCO), där totalt 171 av världens länder är medlemmar. WCO:s syfte är att förbättra, förenkla och effektivi- sera arbetet med tullprocedurer inom och mellan medlemsländer. Ursprunget till WCO var principerna i General Agreement on Tariffs and Trade, den s.k. GATT-överenskommelsen.

WCO, som är en mellanfolklig organisation, tillkom år 1952 och har sitt säte i Bryssel i Belgien. WCO:s verksamhet bygger på ett antal internationella konventioner, bl.a. konventionen från år 1977 om ömsesidigt bistånd för att förhindra, utreda och beivra tullbrott.

Det är en multilateral konvention som är relativt allmänt hållen och som kan biträdas av medlemmarna i organisationen om de så önskar. Sverige har enbart accepterat delar av konventionen, bl.a. de delar som rör spontant informationsutbyte avseende misstankar om allvarliga tullbrott, central registrering av uppgifter om

146

SOU 2011:20

Lagstiftning om internationellt samarbete

smuggling och ömsesidigt bistånd i kampen mot narkotika (se prop. 1999/2000:122 s. 16).

Arbetet inom WCO bedrivs i s.k. kommittéer. Administrationen består av ett sekretariat som organiserar och leder den dagliga verksamheten.

WCO har inrättat elva regionala underrättelsekontor, varav tre finns i Europa.

5.9Specifikt angående olika myndigheter

Nedan följer en redogörelse för den internationella samverkan som är aktuell för de myndigheter som omfattas av dataskyddsram- beslutets bestämmelser. Häribland redogörs bl.a. för samarbetet inom Europeiska unionen där myndigheternas internationella arbete till stor del har sin grund. De olika verksamhetsområden som berörs av detta samarbete tenderar också att öka.

Beskrivningen som lämnas nedan är inte uttömmande, men behandlar de för myndigheterna viktigaste, mest aktuella samarbetsorganen och samarbetsformerna, samt den mest relevanta lagstiftningen i sammanhanget.

5.9.1Kriminalvården

Kriminalvården samarbetar med andra länder framför allt när det gäller överföring av verkställighet av straffrättsliga påföljder till eller från Sverige. Informationsutbytet i samband med sådana överföringar sker direkt mellan myndigheterna eller, oftare, via Justitiedepartementet eller Rikskriminalpolisen. Den information som byts kan avse t.ex. uppgifter om enskildas personliga förhållanden som är av betydelse vid transporten eller för verkställandet av frihetsberövandet i övrigt.

Samarbetet grundas på den lagstiftning som redogjorts för i avsnitt 5.6 och 5.7.

Kriminalvården får behandla personuppgifter bl.a. för att fullgöra uppgifter enligt lag eller förordning.

Sådana uppgifter enligt lag eller förordning gäller tre typer av internationella ärenden enligt följande.

Lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. Kriminalvården

147

Lagstiftning om internationellt samarbete SOU 2011:20

handlägger frågor om verkställighet eller anordnande av övervakning enligt 25 § i denna lag.

Lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Kriminalvården handlägger vissa frågor enligt 26 och 34 a §§ i denna lag.

Lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Kriminalvården handlägger vissa frågor enligt 23 § i förordningen (2003:1179) om överlämnande från Sverige enligt en europeisk arresteringsorder.

Förutom egna transporter utför Kriminalvården också transporter på uppdrag av polisen av personer som ska utvisas. Sådana transporter utförs av transporttjänsten i enlighet med Kriminalvårdens uppdrag att bistå andra myndigheter med inrikes och utrikes transporter enligt 6 § förordningen (2007:1172) med instruktion för Kriminalvården.

5.9.2Kronofogdemyndigheten

Erkännande och verkställighet av bötesstraff inom Europeiska unionen

Rådet för rättsliga och inrikes frågor antog den 24 februari 2005 ett rambeslut (2005/214/RIF) om tillämpning av principen om ömsesidigt erkännande på bötesstraff. Rambeslutet bygger på ett initiativ från bl.a. Sverige.

Antagandet av rambeslutet skedde efter att riksdagen den 17 juni 2004 godkänt ett utkast till rambeslutet (prop. 2003/04:92, bet. 2003/04:JuU28, rskr. 2003/04:279).

Genom prop. 2008/09:218, Lag om erkännande och verkställighet av bötesstraff inom Europeiska unionen, lämnades förslag till den lagstiftning som krävs för att i Sverige genomföra rambeslutet om erkännande och verkställighet av bötesstraff. I dessa förarbeten föreslogs att det skulle införas en särskild lag för detta ändamål.

Den därefter antagna lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och förordningen (2009:1428) i samma ämne reglerar såväl svenska beslut om bötesstraff som sänds över till en annan medlemsstat för verkställighet där, som bötesstraff från en annan medlemsstat som ska verkställas i Sverige.

148

SOU 2011:20

Lagstiftning om internationellt samarbete

Med bötesstraff avses i lagen bl.a. böter enligt 25 kap. brottsbalken och företagsbot enligt 36 kap. brottsbalken som meddelats av domstol eller efter ett förfarande enligt 48 kap. rättegångsbalken. Dessutom omfattas avgift enligt lagen (1994:419) om brottsofferfond.

Lagen om erkännande och verkställighet av bötesstraff inom Europeiska unionen ska också tillämpas på utländska bötesstraff som meddelats av domstol eller annan i rambeslutet angiven behörig myndighet och som avser påföljd för brott avseende brottslig eller annan straffbar gärning, ersättning till brottsoffer i vissa fall eller ersättning för rättegångskostnader och avgifter till fond eller organisation för brottsoffer.

Enligt lagen är Kronofogdemyndigheten också behörig att ansöka om verkställighet av svenska böter utomlands. Förutsättningarna för detta är bl.a. att tillgångar finns i en annan medlemsstat och att det kan antas finnas fördelar med en indrivning i den staten.

Kronofogdemyndigheten gör den prövning som krävs för att bedöma under vilka förutsättningar utländska böter ska kunna verkställas i Sverige. Det är således Kronofogdemyndigheten som ska ta ställning till om ett beslut om bötesstraff som översänds från en annan stat ska leda till att ett verkställighetsförfarande inleds här i landet. Myndigheten ska också svara för den praktiska verkställigheten.

Den enskilde har möjlighet att överklaga Kronofogde- myndighetens beslut till allmän domstol.

Enligt artikel 18 i rambeslutet om verkställighet av bötesstraff påverkar rambeslutet inte tillämpningen av andra bilaterala eller multilaterala överenskommelser mellan medlemsstaterna, i den mån dessa bidrar till att ytterligare förenkla och underlätta förfarandena för indrivning av bötesstraff. Den nordiska verkställighetslagen (se nedan) har bedömts omfattas av denna bestämmelse, vilket innebär att samarbetet som sker inom Norden när det gäller verkställighet av bötesstraff även fortsättningsvis kan hanteras inom ramen för den nordiska regleringen, eftersom regeringens bedömning är att detta samarbete utgör en förenkling av verkställighet av bötesstraff i jämförelse med rambeslutet (jfr prop. 2008/09:218 s. 31 ff.).

149

Lagstiftning om internationellt samarbete

SOU 2011:20

Nordiska verkställighetslagen

Inom Norden finns en enhetlig nordisk lagstiftning om verkställighet av domar och beslut i brottmål i ett annat nordiskt land än domslandet. Ett bötesstraff eller beslut om ersättning för rättegångskostnader som har meddelats i ett annat nordiskt land kan därför, enligt 1 § lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetslagen), verkställas i Sverige på begäran av en myndighet i det andra landet (se vidare avsnitt 5.6 nedan).

Enligt 3 § kan på motsvarande sätt en dom som har meddelats i Sverige verkställas i ett annat nordiskt land. Med dom likställs enligt 34 § strafföreläggande och föreläggande av ordningsbot. Nordiska verkställighetslagen omfattar däremot inte verkställighet av avgift till brottsofferfonden eller av företagsbot.

Av 4 a § förordningen (1963:194) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetsförordningen) framgår att en svensk ansökan om verkställighet i ett annat land ska göras av Kronofogdemyndigheten. Myndigheten är också mottagare av framställningar om verkställighet i Sverige. Om Kronofogde- myndigheten bifaller en ansökan om verkställighet här i landet överlämnas målet för verkställighet till den enhet inom myndigheten som har ansvar för den ort där den betalningsskyldige eller dennes egendom finns. En framställning om verkställighet får, enligt 24 § andra stycket nordiska verkställighetslagen, inte bifallas om domen inte är verkställbar i den stat där den har meddelats. Detta innebär att domen ska ha vunnit laga kraft. En framställning ska normalt bifallas, om det inte finns särskilda hinder.

Verkställigheten ska enligt 2 § äga rum enligt svensk lagstiftning. Det innebär bl.a. att bötesverkställighetslagen ska tillämpas. Bötesbeloppet i utländsk valuta ska räknas om till svenska kronor efter köpkursen dagen före den dag då fram- ställningen om verkställighet bifölls (6 § nordiska verkställighets- förordningen). Redovisningen av influtna medel görs direkt från Kronofogdemyndigheten till den sökande myndigheten i det andra nordiska landet. Verkställighetskostnader och kostnader i övrigt som inte blir täckta genom verkställighetsåtgärderna ska enligt 35 § nordiska verkställighetslagen stanna på svenska staten.

Det är inte möjligt att förvandla böter som har utdömts i ett annat nordiskt land (2 § nordiska verkställighetslagen). Däremot

150

SOU 2011:20

Lagstiftning om internationellt samarbete

kan ett förvandlingsstraff som har utdömts i ett annat nordiskt land som ersättning för ett bötesstraff avtjänas i Sverige (5 §). I övriga nordiska länder kan ett förvandlingsstraff och ett bötesstraff utdömas samtidigt. Begäran om verkställighet kan därför ibland i första hand avse indrivning av bötesbeloppet och i andra hand en begäran om att förvandlingsstraffet ska verkställas. Om Krono- fogdemyndigheten inte kan driva in fordringen överlämnas ärendet till Kriminalvården för prövning av frågan om verkställighet av förvandlingsstraffet (7 § nordiska verkställighetsförordningen).

Frågor angående preskription prövas enligt 31 § nordiska verkställighetslagen alltid enligt domslandets lagstiftning. I framställningen ska därför den tidpunkt anges när verkställighet senast måste äga rum (2 § 4 punkten nordiska verkställighets- förordningen).

Både domslandet och verkställighetslandet har rätt att bevilja nåd avseende ett överfört bötesstraff. Ett svenskt beslut om nåd kan endast gälla verkställigheten i Sverige (31 § andra stycket nordiska verkställighetslagen). Ett sådant beslut hindrar inte fortsatt verkställighet i domslandet eller i ett annat land.

Motsvarande gäller om nåd har beviljats i ett annat nordiskt land beträffande ett svenskt bötesstraff. Det nordiska systemet anses vara lätt att tillämpa och används därför i relativt stor utsträckning. Eftersom det indrivna bötesbeloppet överförs till den sökande myndigheten tillfaller det som drivs in från svenska bötesstraff den svenska staten.

Rambeslutet om verkställighet av beslut om förverkande inom

Europeiska unionen

Rådet antog den 6 oktober 2006 ett rambeslut (2006/783/RIF) om tillämpning av principen om ömsesidigt erkännande på beslut om förverkande. Antagandet skedde efter det att riksdagen godkänt ett utkast till rambeslut.

I regeringens proposition 2010/11:43, Erkännande och verkställighet av beslut om förverkande inom Europeiska unionen, lämnas förslag till den lagstiftning som krävs för att genomföra rambeslutet i Sverige. I propositionen föreslås att det införs en särskild lag om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen.

151

Lagstiftning om internationellt samarbete

SOU 2011:20

De nya bestämmelserna omfattar situationer såväl när svenska förverkandebeslut sänds över till en annan medlemsstat för verkställighet där, som när utländska förverkandebeslut sänds över till Sverige från en annan medlemsstat för verkställighet här.

Med beslut om förverkande avses beslut som syftar till att förverka såväl hjälpmedel vid brott som utbyte av brott. Vidare omfattas vissa beslut om förverkande som baserar sig på bestämmelser om utökade möjligheter till förverkande.

Enligt lagförslaget i nämnda proposition ska Kronofogde- myndigheten vara behörig att ansöka om verkställighet av svenska förverkandebeslut utomlands. Detta ska kunna ske när det finns fördelar med att verkställigheten sker i en annan medlemsstat, t.ex. då tillgångar eller särskilda föremål som förverkandet avser finns i den staten.

I den föreslagna nya lagen finns också bestämmelser om förutsättningarna för att erkänna och verkställa ett utländskt beslut om förverkande i Sverige samt bestämmelser om förfarandet när sådana frågor prövas här. Enligt förslaget till ny lag ska Kronofogdemyndigheten pröva om det finns förutsättningar att erkänna och verkställa beslut om förverkande. Om sådana förutsättningar finns, meddelar Kronofogdemyndigheten en verkställbarhetsförklaring.

Lagstiftningen föreslås träda i kraft den 1 juli 2011.

5.9.3Kustbevakningen

Kustbevakningens internationella, direkt operativa, samarbete har bl.a. till syfte att säkerställa ändamålsenliga operativa förberedelser i form av planer, larmrutiner, ledningsstrukturer etc. samt att genom övningar och seminarier vidmakthålla och stärka den gemensamma, operativa förmågan. Utvecklingen går, som vi tidigare har konstaterat, alltmer mot gränsöverskridande operativt samarbete.

Kustbevakningen samarbetar ofta med andra brottsbekämpande myndigheter och myndigheter med kontroll- och tillsynsuppgifter.

Utbyte av information är en viktig del i detta samarbete och en förutsättning för att samverkan ska fungera väl. Informations- utbytet sker till stor del informellt, men också inom ramen för författningsreglerade skyldigheter eller möjligheter att bistå andra myndigheter.

152

SOU 2011:20

Lagstiftning om internationellt samarbete

Den centrala lagstiftningen som tillämpas i dessa delar är lagen (2003:1174) om vissa former av internationellt samarbete i brotts- utredningar och lagen (2000:562) om internationell rättslig hjälp i brottmål (jfr avsnitt 5.3.2 och 5.5. ovan).

Utredningen om Kustbevakningens befogenheter har i sitt betänkande Kustbevakningens rättsliga befogenheter (SOU 2008:55) redogjort närmare för Kustbevakningens internationella samverkan (s.152-160). Nedan återges huvuddelen av betänkandets innehåll i dessa delar (bl.a. har delar som avser Kustbevakningens arbetsuppgifter med fiskeriövervakning utelämnats).

Baltic Sea Region Border Control Cooperation

En viktig del av den internationella samverkan inom området för sjöövervakning för civila ändamål sker numera inom ramen för gränsbevakningssamarbetet Baltic Sea Region Border Control Cooperation (BSRBCC) som bildades år 1997. Förutom Sverige består BSRBCC av gräns- och kustbevakningsmyndigheterna i Danmark, Estland, Finland, Lettland, Litauen, Norge, Polen, Ryssland och Tyskland. Genom BSRBCC bedrivs ett aktivt, operativt inriktat, samarbete mellan gränsbevakande och brotts- bekämpande myndigheter i Östersjöregionen. Samtliga Östersjö- stater samt Norge är medlemmar och Island har observationsstatus. Samarbetet syftar bl.a. till att begränsa illegal invandring och att bekämpa narkotikasmuggling, miljöbrott och annan gräns- överskridande brottslighet. Samarbetet är i första hand inriktat på Östersjöområdet, men omfattar också andra delar av Europa. Kustbevakningen deltar i den verkställande kommittén och det rådgivande sekretariatet (Baltic Sea Region Border Control Cooperation Conference, BSRBCCC).

Kustbevakningens internationella kontaktpunkt för de länder som ingår i samarbetet är International Coordination Centre (ICC Sweden) vid ledningscentralen i Region Syd (Karlskrona).

Finska Gränsbevakningsväsendet administrerar inom ramen för samarbetet en särskild databas – CoastNet – som bl.a. innehåller underrättelser avseende fartyg. Kustbevakningen deltar både i operationer och expertutbyte inom ramen för BSRBCC och i arbetet med Monthly Situation Reports (MSR). Kustbevakningen inhämtar information från Tullverket och polisen om intressanta företeelser under den aktuella månaden. Uppgifterna sammanställs

153

Lagstiftning om internationellt samarbete

SOU 2011:20

och kompletteras med den information som Kustbevakningen inhämtat på egen hand. Månadsrapporterna utbyts med övriga länder inom BSRBCC. Huvudsyftet med rapporterna är att kontinuerligt följa och kartlägga den internationella kriminaliteten, att upptäcka fler brott och att konkretisera eventuella brottsmisstankar.

Östersjösamarbetet

Kustbevakningen deltar aktivt i Task Force on Organised Crime in the Baltic Sea Region – Aktionsgruppen för gränsöverskridande brottslighet i Östersjöregionen. Aktionsgruppen inrättades år 1996 av statsministrarna i Östersjöområdet. Gruppens främsta uppgift är att planera och fullfölja de elva ländernas – Sverige, Norge, Danmark, Island, Finland, Tyskland, Polen, Ryssland, Estland, Lettland och Litauen – gemensamma arbete för att bekämpa organiserad brottslighet, bl.a. genom att främja informations- utbytet och samarbetet gällande rättsliga frågor, utbildning och forskning. Utöver Kustbevakningen deltar också åklagarväsendet, polisväsendet och tullväsendet i arbetet. Arbetet bedrivs främst genom den s.k. operativa kommittén (OPC) och ett antal nätverk som knutits till denna. Kustbevakningen har deltagit både i OPC- arbetet och i bl.a. nätverket gällande miljöbrott. I det sistnämnda har arbetet bl.a. bestått i att förbättra kunskaperna och gemen- samma mål kring arbetet med oljeutsläppsutredningar och s.k. CITES-brott. CITES är förkortning för Convention on Interna- tional Trade in Endangered Species of Wild Fauna and Flora.

En annan arbetsgrupp inom OPC som berör Kustbevakningen är den s.k. Crossfire. Arbetsgruppen har riktat in sig på vapen- smuggling från Balkan till Nordeuropa, som sker via turistbussar. Förutom Sverige deltar Danmark, Estland, Tyskland, Litauen, Norge, Ryssland och Slovenien. Samverkan sker mellan ländernas polisväsende, tullväsende, gränsbevakning, kustbevakning och deras motsvarigheter i andra länder samt Europol.

154

SOU 2011:20

Lagstiftning om internationellt samarbete

Schengensamarbetet

I Schengenavtalet (se vidare avsnitt 5.9.4) uttalar staterna sin avsikt att avskaffa personkontroller vid de gemensamma gränserna. Avtalet innehåller bestämmelser om åtgärder som på kort och på lång sikt ska främja den fria rörligheten för personer mellan Schengenstaterna. Schengenkonventionen innehåller bestämmelser om praktiska åtgärder för att fullt ut uppnå Schengenavtalets syfte. Bestämmelserna gäller bl.a. polissamarbete och rättsligt samarbete, dataskydd, samarbete om narkotikabekämpning, harmoniserad viseringspolitik och enhetliga yttre gränskontroller. För Schengenländerna innebär samarbetet att land- och sjögränser till övriga Schengenländer försvinner. För handelsfartyg, men däremot inte fritidsbåtar, kvarstår emellertid en uppgiftsskyldighet och Kustbevakningen genomför kontroller av vilka personer som finns ombord. En viktig del i samarbetet utgörs av Schengen Information System, SIS (se avsnitt 5.3.3 ovan).

Frontex

Det operativa samarbetet mellan medlemsstaterna när det gäller förvaltningen av de yttre gränserna samordnas av Europeiska byrån för förvaltningen av det operativa samarbetet vid Europeiska unionens medlemsstaters yttre gränser, inrättad genom rådets förordning (EG) nr 2007/2004 av den 26 oktober 2004, (Frontex). Frontex bistår också medlemsstaterna med utbildning av nationell gränsbevakningspersonal, fastställer gemensamma utbildnings- normer, genomför riskanalyser, följer upp forskning av betydelse för kontrollen och övervakningen av de yttre gränserna, hjälper medlemsstaterna i situationer som kräver tekniskt och operativt bistånd vid de yttre gränserna samt erbjuder dessa tekniskt stöd till gemensamma insatser för att återsända personer. Kustbevakningen deltar i förmötena i Frontex.

Rabit

Genom en EG-förordning, som antogs sommaren 2007 (Europa- parlamentets och rådets förordning (EG) nr 863/2007 av den 11 juli 2007 om inrättande av en mekanism för upprättande av snabba gränsinsatsenheter och om ändring av rådets förordning

155

Lagstiftning om internationellt samarbete

SOU 2011:20

(EG) nr 2007/2004 vad beträffar den mekanismen och regleringen av gästande tjänstemäns uppgifter och befogenheter) inrättades ett system för att upprätta snabba gränsinsatsenheter, Rabit (Rapid Border Intervention Teams).

Genomförandet av förordningen kräver att medlemsstaterna upprättar en förteckning över nationella experter, som under en begränsad tid snabbt kan sättas in för att bistå med operativt stöd till en medlemsstat som begär detta och som står inför en akut och exceptionellt pressande situation, t.ex. när ett stort antal tredjelandsmedborgare anländer till platser vid de yttre gränserna.

Visst annat samarbete inom Europeiska unionen

Annat förekommande brottsbekämpande samarbete inom Europeiska unionen är att Kustbevakningen har inlett ett samarbete med Europeiska unionens organisation för polis- samarbete, Europol. De närmare formerna för samarbetet är ännu inte fastlagda, men håller på att utarbetas i samarbete med Rikspolisstyrelsen. Kustbevakningen deltar vidare i arbetet med att förbättra Europol Information System. Eftersom vissa rättsliga problem uppmärksammats vid tolkningen av den tidigare gällande Europolkonventionen och det numera gällande Europolråds- beslutet bedrivs för närvarande inget aktivt samarbete.

Viss övrig internationell samverkan

Kustbevakningen samverkar också kontinuerligt inom ramen för bl.a. Interpol, FN:s sjöfartsorgan International Maritime Organization (IMO) och Arktiska rådet.

Sedan år 2004 tillämpas en operativ plan för bl.a. samordnad planering av flygövervakningen i sydvästra Östersjön (SWEDENGER-planen) mellan Sverige, Danmark och Tyskland. För att beivra och avslöja illegala oljeutsläpp genomförs miljö- övervakningsoperationer med deltagande av ledningsresurser, fartyg och flygplan från de länder som är ansvariga för respektive område. En liknande samplanering av flygövervakningen sker sedan flera år i Skagerackområdet mellan Sverige, Danmark och Norge. Kustbevakningen samarbetar dessutom med Finland i satellit-

156

SOU 2011:20

Lagstiftning om internationellt samarbete

övervakning av norra Östersjön och med Danmark och Polen vad gäller de södra delarna.

Kustbevakningen deltar vidare i de av Europeiska Säkerhetsbyrån (EMSA) anordnade aktiviteterna rörande oljeskyddsberedskap samt har medverkat i genomförandet av ett antal SIDA-finansierade utbildningar i samma ämne. För att bibehålla och utveckla förmågan till operativt samarbete vid olyckor hålls regelbundna möten och övningar. Ett särskilt samarbete avseende transporter av förpackat farligt gods bedrivs inom ramen för Östersjöavtalet. Med stöd av avtalet hålls årliga möten och genomförs bl.a. gemensamma inspektionsveckor. Avtalet omfattar Danmark, Finland, Tyskland, Sverige, Estland, Lettland, Litauen och Polen.

Nordiska kustbevakningskonferenser äger rum årligen. Deltagande länder utbyter information och orienterar varandra om viktiga förändringar i lagstiftning och verksamhet.

5.9.4Polisen

Polisens samarbetsformer kan sammanfattas enligt följande.

Europol

EU-myndigheten Europols roll är att vara det europeiska navet och koordinatorn i bekämpningen av grov gränsöverskridande brottslighet genom att underlätta utbytet av underrättelse- information mellan Europeiska unionens medlemsstater (se vidare avsnitt 5.8 ovan).

Europol har även till uppgift att verka som ett nav i informationsutbytet mellan Europeiska unionens medlemsstater, dels genom sina IT-system och dels genom medlemsstaternas Europol-sambandsmän. Analyser görs med hjälp av underrättelse- och utredningsinformation som medlemsstaterna förser Europol med. Sådan information förses även till Europol av tredje länder som har strategiska och operativa samarbetsavtal med Europol (t.ex. USA och Colombia). Vidare kan Europol uppmana och delta i gemensamma underrättelseprojekt (JAT – Joint Analytical Team) och utredningsgrupper (JIT – Joint Investigation Team) som bildas med stöd av EU-regelverk för dessa.

157

Lagstiftning om internationellt samarbete

SOU 2011:20

Inom ramen för de beskrivna uppgifterna utbyts person- uppgifter mellan medlemsstaterna och Europol, mellan medlems- staterna sinsemellan, samt mellan Europol och tredje land genom Europols IT-system.

För svensk del är Rikskriminalpolisen navet för informations- utbytet med medlemsstaterna och Europol.

Schengensamarbetet

Schengensamarbetet är en kompensatorisk åtgärd mot de negativa effekter som uppstår när de inre gränserna mellan Schengen- anslutna länder avskaffas. De negativa effekterna är att den fria rörligheten för personer, varor, kapital och tjänster utnyttjas i kriminella syften för gränsöverskridande brottslighet. Exempel på detta är seriebrottslighet över gränserna genom organiserade stölder, införsel av narkotika, förflyttning av brottsvinster och människohandel genom prostitution. Schengenkonventionen sätter ramarna för det samarbete som ger möjligheter till ett närmare samarbete mellan brottsbekämpande myndigheter inom Schengen- området. Det ger bl.a. möjligheter till informationsutbyte, genomförande av vissa polisiära åtgärder på annan stats mark, samt införandet av ett gemensamt efterlysning- och informations- utbytessystem (Schengen Information System – SIS). SIS är ett gemensamt efterlysning- och spaningsregister och en central del i samarbetet. I databasen efterlyses t.ex. personer som ska lagföras för brott, som ska avtjäna utdömda straff, men också försvunna personer och stulna fordon. I systemet tillgängliggörs och utbyts personuppgifter.

Rikspolisstyrelsen ansvarar för den svenska delen av SIS genom Rikskriminalpolisen. Rikspolisstyrelsen, polismyndigheterna, Kustbevakningen och Tullverket har tillgång till SIS (se avsnitt 5.3.3, 5.9.3 och 5.9.7). I varje medlemsstat finns ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS. Kontoret fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myndigheter. Sirene är en förkortning för Supplementary Information Request at the National Entries. Namnet kommer från Schengensamarbetets grundtanke om den fria rörligheten för personer och gods och om det fördjupade polis- och gränssamarbete som krävs dels vid den yttre, men också inom

158

SOU 2011:20

Lagstiftning om internationellt samarbete

den inre gränsen, för att bekämpa den grova gränsöverskridande brottsligheten.

Schengenkonventionen är genom Amsterdamfördraget numera en integrerad del av medlemskapet i Europeiska Unionen. För att som nybliven medlemstat i Europeiska unionen kunna ingå i Schengensamarbetet krävs dock ett godkänt resultat i ett flertal olika typer av Schengeninspektioner för att personkontrollerna vid de yttre gränserna mot övriga medlemsstater ska kunna hävas.

I Schengenkonventionen stadgas de s.k. ”kompensatoriska åtgärderna” för att motverka de kriminella strömningar som kan uppstå vid borttagandet av gränskontroller mellan Schengen- länderna. Dessa är förstärkt yttre gränskontroll, samordning av visumpolitik och samordning av narkotikapolitik. Det ges möjlighet till sambandsmän (lokalt vid gränsområden). Vidare ska varje Schengenland ha ett nationellt kontor - Sirenekontoret, som i Sverige är integrerat i Enheten för internationellt polissamarbete (IPO) och är en del av enhetens Front Office. Sirenekontoret ansvarar för registreringar och uppdateringar av data i SIS, förhandsgranskar utländska efterlysningar samt ansvarar för handläggningen av träffar i SIS. Utöver SIS sker ett gräns- överskridande samarbete inom ramen för Schengen. Schengen- konventionen tillåter att spaning (övervakning) sker över nations- gränserna. Detta gränsöverskridande samarbete finns reglerat i lagen (2000:343) om internationellt polisiärt samarbete (se avsnitt 5.3.1 ovan). Likaledes tillåts enligt denna lag förföljande (s.k. ”hot pursuit”) över nationsgränser. Schengenkonventionen tillåter även informationsutbyte utöver det som sker i SIS mellan medlems- staterna samt ett förenklat utlämningsförfarande. Slutligen så förutsätts det i gränsområdena mot Norge, Finland och Danmark att de lokala polismyndigheterna har ett gott och nära samarbete. Dessutom är det av största vikt att polismyndigheterna, Tullverket och Kustbevakningen har ett nära och omfattande samarbete.

Frontex

Frontex är Europeiska unionens gränskontrollbyrå för gemensam, operativ förvaltning av Europeiska unionens yttre gränser.

Frontex uppgift är att i samarbete med medlemsländerna koordinera det operativa arbetet vid Europeiska unionens yttre gräns. Huvuduppgifterna är att samordna det operativa samarbetet

159

Lagstiftning om internationellt samarbete

SOU 2011:20

mellan medlemsländernas förvaltning av de yttre gränserna, bistå med utbildning av nationell gränsbevakningspersonal, genomföra riskanalyser, följa upp utvecklingen inom forskningen som är av betydelse för gränskontrollen, bistå medlemsstaterna i situationer som kräver ökat tekniskt och operativt bistånd samt erbjuda tekniskt stöd till gemensamma insatser för återsändande av personer. Frontex bildades den 1 maj 2005 och har sitt säte i Warszawa, Polen. Centrala gränskontrollenheten vid Rikskriminal- polisen är nationell kontaktpunkt mellan Frontex och relevanta svenska myndigheter som polismyndigheterna, Tullverket, Kustbevakningen och Migrationsverket.

I nuläget har Frontex inget mandat att behandla person- uppgifter, men inom ramen för sina uppgifter kan Frontex förmedla personuppgifter mellan medlemsstaterna. Utbytet sker främst elektroniskt genom IT-system som tillhandahålls av Europeiska unionen.

Interpol

I avsnitt 5.8 ovan redogörs allmänt om Interpol som mellanstatlig organisation, det internationella samarbetet och informations- utbytet.

I huvudsak är detta samarbete kriminalpolisiärt och rör brott som faller under allmänt åtal. Organisationen förfogar över data- baser över internationellt efterlysta personer, stulna resedokument, fordon, DNA- och fingeravtryck samt stulna konstföremål.

Nationell Interpolbyrå

I varje medlemsstat finns en Interpolbyrå. I Sverige är Rikspolisstyrelsen nationell byrå. I praktiken utförs det dagliga Interpolarbetet vid Internationella sektionen på Enheten för internationellt polissamarbete, IPO. Typiska åtgärder som svenska polis- och åklagarmyndigheter begär genom Interpol är begäran om förhör, efterlysningar av försvunna och häktade personer, identitetsfastställelse av personer och fordonsuppgifter i samband med brott. Det omvända förhållandet gäller för åtgärder som begärs från andra länders Interpolbyråer. När en sådan begäran från annat land inkommit till Interpol Stockholm görs en bedömning

160

SOU 2011:20

Lagstiftning om internationellt samarbete

utifrån svensk rätt om det går att genomföra åtgärden i Sverige, varefter begäran översänds till polismyndighet eller annan rätts- vårdande myndighet.

Biträdet sker genom ett gemensamt IT-system för utbyte av underrättelse- och utredningsinformation, samt genom insamling och analys av information från medlemsländerna inom ramen för uppdrag avseende gemensamma problemområden. Problem- områdena påverkar flera av medlemsländerna och uppdragen följer av beslut fattade av Interpols generalförsamling.

Utbytet av personuppgifter sker främst mellan medlems- länderna avseende operativa underrättelse- eller utredningsärenden eller inom ramen för de gemensamma uppdragen. Utbytet sker även mellan medlemsländerna och Interpol inom ramen för gemensamma uppdrag genom vilka Interpol tillgängliggör viss typ av information.

Utbytet av personuppgifter sker genom Interpols IT-system. Rikskriminalpolisen är navet för det svenska utbytet med Interpols medlemsländer och Interpol centralt.

Polis Tull Norden (PTN)

PTN är ett rådgivande, koordinerande och samarbetande organ och således inte överordnat nationella bestämmelser. PTN-samarbetet är ett polis- och tullsamarbete mellan de nordiska länderna för att effektivisera bekämpningen av grov brottslighet av betydelse för Norden. Samarbetet avser främst strategisk och operativ under- rättelseverksamhet inom ramen för gemensamma problem- områden. Samarbetet avser vidare ett samnyttjande av respektive lands polis- och tullsambandsmän, som är utplacerade i andra länder. Underrättelsesamarbetet syftar till framtagandet av en gemensam nordisk lägesbild över brottsligheten. Lägesbilden används som grund för gemensamma underrättelseprojekt riktade mot problemområden som pekas ut i lägesbilden. Underrättelse- projekten i sin tur syftar till inledandet av nationella eller gemensamma brottsutredningar. Inom ramen för framtagandet av lägesbilden, under underrättelseprojekten och de gemensamma utredningarna sker ett utbyte av personuppgifter. För polisens del sker utbytet huvudsakligen elektroniskt genom SIS-, Europol- eller Interpolssystemen.

161

Lagstiftning om internationellt samarbete

SOU 2011:20

PTN-sambandsmännen är bemyndigade att bistå och samarbeta med de brottsbekämpande myndigheterna i det land eller de länder i vilka de är ackrediterade och med brottsbekämpande myndigheter i de nordiska länderna. Svensk polis har, tillsammans med Danmark, Finland, Norge och Island, gemensamma polis- och tullsambandsmän i ett 20-tal länder, varav flera är sidoackrediterade till andra länder. Enheten för internationellt polissamarbete (IPO) vid Rikskriminalpolisen ansvarar för samordning av alla nordiska sambandmäns operativa ärenden. Sambandsmannasektionen rekryterar, utbildar och administrerar de svenska sambandmännen. Sambandsmannasektionen skräddarsyr också utbildningen för sambandsmännen och deras familjer. De utbildas både vid Rikskriminalpolisen och Utrikesdepartementet.

Östersjösamarbetet

Task Force on Organised Crime in the Baltic Sea Region är en arbetsgrupp som 1996 inrättades av statsministrarna i Östersjö- området. Arbetsgruppens uppgift är att planera och fullfölja de elva ländernas (Sverige, Norge, Island, Finland, Ryssland, Estland, Lettland, Litauen, Polen, Tyskland och Danmark) samarbete för att bekämpa organiserad brottslighet bl.a. genom att främja informationsutväxlingen och samarbetet gällande rättsliga frågor, utbildning och forskning. Det högsta politiska förvaltningsorganet är Task Force som samlas två gånger om året och består av personliga representanter för statsministrarna i Östersjöområdets länder. Operative Committee – OPC ansvarar för Task Forces operativa samarbete. I OPC:s verksamhet deltar polisen, tull- och gränsbevakningsmyndigheterna och åklagarväsendet. Till OPC:s uppgifter hör att för Task Force rekommendera gemensamma åtgärder, ansvara för implementeringen av pågående och planerade operativa åtgärder samt att vara ett expertorgan för olika operativa ärenden. De former av kriminalitet som samarbetet huvudsakligen koncentreras på är narkotikabrottslighet, illegal invandring och människosmuggling, smuggling av tillgripna fordon och högbeskattade varor, internationella kriminella ligor, brottslighet på datanät, miljöbrott, terrorism och penningtvätt. För varje form av brottslighet har en expertgrupp tillsatts, något av de elva medlemsländerna ansvarar för envar av dessa arbetsgrupper. I varje

162

SOU 2011:20

Lagstiftning om internationellt samarbete

land finns en koordinator. Vid OPC:s möten deltar även representanter för Interpol, Europol och Kommissionen.

Prümrådsbeslutet

Införandet av Prümrådsbeslutet i augusti 2011 kommer att innebära ett ökat utbyte av personuppgifter mellan Europeiska unionens brottsbekämpande myndigheter. Utbytet kommer främst att avse utredningsinformation avseende DNA-, fingeravtrycks- och fordonsuppgifter, men även underrättelseinformation i samband med utbyte inför större evenemang. Utbytet kommer att ske genom befintliga IT-system såsom EU-, Europol-, Schengen- eller Interpolsystemen.

Angående Prümrådsbeslutet se vidare avsnitt 5.3.5 ovan.

Övrigt internationellt informationsutbyte inom polisen

Polisen har flera uppgifter som innebär ett gränsöverskridande utbyte av personuppgifter. Utbytet avser underrättelse- och utredningsinformation. Uppgifterna kan vara specifika för polisen eller delas med andra brottsbekämpande myndigheter. För polisen sker utbytet genom Rikskriminalpolisen och genom polis- myndigheterna. Exempel på uppgifter som Rikskriminalpolisen utbyter är hantering och verkställighet av internationella efter- lysningar inom Europeiska unionen genom rättsreglerna för Europeiska arresteringsorders (EAW), hantering och verkställighet av överföring när någon har blivit gripen med stöd av en EAW- hantering, hantering och verkställighet av internationella efterlysningar utanför Europeiska unionen genom Interpols IT- system och databaser, hantering och verkställighet av utlämning när någon har blivit gripen med stöd av en svensk internationell efterlysning utanför Europeiska unionen, transiteringar av frihetsberövade genom Sverige, informationsutbyte inom ramen för det nordiska polissamarbetet och operativt utbyte avseende internationellt efterlysta personer genom EU-nätverket ENFAST (European Network för Fugitive Active Search Teams). Utbytet sker huvudsakligen elektroniskt genom SIS-, Europol- eller Interpolssystemen.

163

Lagstiftning om internationellt samarbete

SOU 2011:20

5.9.5Skatteverket

Informationen om Skatteverkets internationella informations- utbyte har huvudsakligen hämtats från en decemberrapport från skattebrottsenheternas internationella grupp – SBE – Internationellt informationsutbyte, 2009. Av rapporten framgår bl.a. följande.

Informationsutbyte under förundersökning

Den centrala lagen inom området är lagen (2000:562) om internationell rättslig hjälp i brottmål (se avsnitt 5.5) som i stor utsträckning bygger på internationella överenskommelser, främst 1959 års europeiska konvention om inbördes rättshjälp i brottmål.

Av 2 kap. 10 § i lagen framgår att om inte annat föreskrivs i denna lag tillämpas samma förfarande som när en motsvarande åtgärd vidtas vid en svensk förundersökning eller rättegång.

Av 23 kap. 3 § andra stycket rättegångsbalken framgår att när förundersökningen leds av åklagaren, får han eller hon vid undersökningens verkställande anlita biträde av polismyndigheten.

I 2 § första stycket lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar stadgas att åklagare, som leder förundersökning enligt 23 kap. rättegångsbalken, får vid undersökningens verkställande anlita biträde av Skatteverket. Åklagaren får vidare, enligt andra stycket i ovan nämnda paragraf, begära biträde av Skatteverket i fråga om utredning av brott innan förundersökning har inletts.

I 1 § första stycket räknas de brott upp där Skatteverket får biträda åklagaren med tillägget enligt andra stycket att Skatteverket får medverka vid undersökning också i fråga om annat brott än som anges i första stycket om åklagaren finner att det finns särskilda skäl för detta.

I 6 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar anges att uppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisa- tion, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Skatteverket tolkar ovan nämnda paragraf som en sekretess- brytande regel och inte en regel som avser behandlingsändamål (se prop. 98/99:34 s. 42 ff. och s. 74).

164

SOU 2011:20

Lagstiftning om internationellt samarbete

Möjligheten finns att inrätta en gemensam internationell utredningsgrupp enligt bestämmelserna i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar (se avsnitt 5.3.2 ovan). Att en skattebrottsenhet kan ingå i en sådan utredningsgrupp framgår av prop. 2004/05:144 s. 142.

Informationsutbyte utanför förundersökning och vid underrättelseverksamhet

Det internationella samarbetet som sker utanför förundersökningar är inte reglerat i samma utsträckning som informationsutbytet under förundersökningar. Regler finns dock i lagen (2000:343) om internationellt polisiärt samarbete (se avsnitt 5.3.1) samt förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brotts- bekämpande myndigheter i Europeiska unionen (se avsnitt 5.3.4).

När det gäller utbyte av underrättelseinformation med utländska myndigheter har möjligheterna därtill varit förhållandevis begränsade.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlems- stater innehåller dock regler om tillhandahållande av information och underrättelser vad avser behörig brottsbekämpande myndighet (se avsnitt 5.3.4).

I artikel 2 a i ovannämnda rådsbeslut anges, angående det sist- nämnda begreppet, att Skatteverket – genom skattebrottsenheterna

– i nuläget inte ingår bland de behöriga myndigheterna enligt detta rambeslut. Detta beror på att vissa andra författningsändringar krävs för att Skatteverket ska kunna bli medlem. Skattebrotts- enheterna kan inte självständigt utnyttja de möjligheter som rambeslutet ger.

Skatteverket verkar för att en förändring ska ske så att skattebrottsenheterna också ska anses utgöra en sådan behörig brottsbekämpande myndighet.

165

Lagstiftning om internationellt samarbete

SOU 2011:20

Förhållandet till Europol

Rikskriminalpolisen är nationell enhet för Europol i Sverige (se avsnitt 5.8 och 5.9.4). Den nationella enheten är det enda sambandsorganet mellan Europol och de behöriga myndigheterna i medlemsstaterna.

Artikel 4 punkt 2 i Europolkonventionen (se avsnitt 5.7 ovan) ger dock möjlighet att även bestämma att andra myndigheter än Rikskriminalpolisen kan ha direktkontakt med Europol, däribland Skatteverket

Såvitt känt har dock denna möjlighet att utse även t.ex. Skatte- verket till myndighet som får ha direktkontakt med Europol inte utnyttjats av Sverige (Skatteverkets decemberrapport från skatte- brottsenheternas internationella grupp, 22 december 2009, s. 15).

Särskilt om vissa skatteavtal

Ett antal informationsutbytesavtal har träffats med ett antal s.k. skatteparadis; Isle of Man, Jersey, Guernsey, Nederländska Antillerna, Aruba, Bermuda, Caymanöarna, Brittiska Jungfruöarna, Anguilla, Samoa, Cooköarna, Turks- och Caicoöarna och Gibraltar. Avtalen är konstruerade så att de i flertalet fall kräver en parallell brottsutredning för att de ska kunna användas för tid före avtalens ikraftträdande. Information inhämtad via dessa avtal kan sedan efterfrågas av åklagare för att användas i brottsutredning.

5.9.6Allmänna domstolar och allmänna förvaltningsdomstolar

Vad avser de allmänna domstolarna och de allmänna förvaltnings- domstolarna har huvuddelen av texten nedan hämtats från Domstolsverkets Handbok för Internationellt samarbete (framtagen av hovrättsrådet Joakim Zetterstedt, Svea hovrätt.)

Det internationella straffrättsliga samarbetet sker till stor del på åklagarnivå utan domstols medverkan (se vidare avsnitt 5.9.8). De ärendeslag som behandlas nedan är, med några få undantag, av det slag att de innefattar allmän domstols handläggning och beslut. Inom det aktuella rättsområdet prövar förvaltningsdomstol i princip bara frågor om förvar av personer och i vissa fall frågor om överförande av verkställighet av fängelsestraff. Övervaknings-

166

SOU 2011:20

Lagstiftning om internationellt samarbete

nämnd beslutar i vissa fall vid överförande av en övervaknings- påföljd.

Internationellt straffrättsligt samarbete har traditionellt skett mellan länder och kommunikationen har förts den diplomatiska vägen, dvs. mellan regeringar och ministerier. Under senare år har utvecklingen gått mot att samarbetet i stället sker mellan länders myndigheter och domstolar. För Sveriges del gäller fortfarande i hög utsträckning att domstolarna inte kommunicerar direkt med andra länders domstolar och myndigheter i frågor om interna- tionellt straffrättsligt samarbete, men det förekommer undantag främst inom området för internationell rättslig hjälp i brottmål.

Internationell rättslig hjälp i brottsmål

Internationell rättslig hjälp i brottmål handlar om att länder hjälper varandra med rättsliga åtgärder i samband med brottsutredningar och rättegångar. Behovet av hjälp uppstår som en följd av att det många gånger är fråga om åtgärder som inte får eller kan genomföras utan ett annat lands tillstånd och bistånd.

Det internationella samarbetet rörande rättslig hjälp i brottmål regleras i ett stort antal internationella avtal. Vissa av dessa reglerar rättslig hjälp t.ex. för en viss typ av brott eller i förhållande till ett visst land.

Enligt olika internationella avtal som har utarbetats för det straffrättsliga samarbetet ska de deltagande länderna utse en centralmyndighet för att ta emot och sända framställningar. I många fall har länderna utsett sina justitieministerier till central- myndigheter. Det gäller bl.a. enligt 1959 års Europaråds- konvention.

Sverige har utsett ”Centralmyndigheten” vid Justitiedeparte- mentet till att vara centralmyndighet i ärenden om internationell rättslig hjälp i brottmål. Det innebär att, i de fall direktkontakt inte tillämpas, ”Centralmyndigheten” vid Justitiedepartementet vidare- befordrar och i viss utsträckning granskar framställningar som görs till eller från Sverige. I vissa fall, som anges i lagstiftningen, ska beslut fattas av regeringen.

Under senare år har det internationella rättsliga samarbetet utvecklats från att vara ett mellanstatligt samarbete till att bli ett samarbete mellan myndigheter i olika länder. Som en följd av utvecklingen innehåller de internationella avtalen numera allt oftare

167

Lagstiftning om internationellt samarbete

SOU 2011:20

regler som möjliggör eller ibland föreskriver direkt kontakt mellan den ansökande och den anmodade myndigheten. En ansökan skickas då direkt från den myndighet som begär hjälp till den som lämnar hjälpen.

Bestämmelser om internationell rättslig hjälp i brottmål finns huvudsakligen i lagen (2000:562) om internationell rättslig hjälp i brottmål (se avsnitt 5.5. ovan). Till lagen finns en förordning och ett tillkännagivande – förordningen (2000:704) om internationell rättslig hjälp i brottmål och tillkännagivande (2005:1207) av överenskommelser som avses i lagen (2000:562) om internationell rättslig hjälp i brottmål.

En svensk domstol kan lämna ett annat land rättslig hjälp i brottmål i Sverige i enlighet med reglerna i lagen om internationell rättslig hjälp i brottmål. I dessa fall sker hjälpen som ett led i ett rättsligt förfarande – i allmänhet en rättegång eller en förundersökning – i det andra landet. Den svenska lagregleringen innehåller bestämmelser om förfaranden och förutsättningar för att lämna rättslig hjälp. En ansökan om rättslig hjälp handläggs som ett domstolsärende och genom hänvisningar i lagen om internationell rättslig hjälp i brottmål tillämpas regler i främst rättegångsbalken vid förfarandet. Det är den domstol som prövar ansökan som också prövar om de förutsättningar är uppfyllda som i svensk lag föreskrivs för olika åtgärder, t.ex. beslag eller förhör med ett vittne. Om det inte finns något hinder mot att en åtgärd vidtas ska den som regel genomföras som om den vidtogs inom ramen för en svensk förundersökning eller rättegång. Om det däremot finns hinder kan en ansökan i allmänhet inte bifallas och ska då avslås på motsvarande sätt som i ett nationellt förfarande. I 2 kap. 14 § lagen om internationell rättslig hjälp i brottmål finns därutöver vissa särskilt angivna avslagsgrunder. Endast regeringen får avslå en ansökan på en sådan grund.

En svensk domstol kan vidare, i vissa fall som anges i lagen om internationell rättslig hjälp i brottmål, begära rättslig hjälp utomlands.

Bestämmelser om utlämning och överlämnande

Utlämning för brott handlar om att tvångsvis föra en brotts- misstänkt eller dömd person mellan två länder. Utlämning har således samma syfte som överlämnande enligt en arresterings-

168

SOU 2011:20

Lagstiftning om internationellt samarbete

order(se nedan), men skiljer sig i fråga om förutsättningar och förfarande. Utlämning tillämpas i princip inte mellan Sverige och utomnordiska EU-länder.

I detta sammanhang tillämpas främst lagen (1957:668) om utlämning för brott och lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge (utlämningslagen).

Utöver den kontrollerande funktion som Högsta domstolen har i ärenden om utlämning från Sverige har allmän domstol inte någon direkt beslutande roll i utlämningsfrågor. I dessa fall är det rättens uppgift att pröva personella tvångsmedel för att säkerställa utredning och verkställighet i ett utlämningsärende.

Det är åklagare som begär utlämning till Sverige för lagföring, vilket sker med stöd av ett beslut om utevarohäktning (se vidare avsnitt 5.9.8). Utlämning till Sverige kan också ske för verkställighet av en dom, men det är då Kriminalvården (se avsnitt 5.9.1), Socialstyrelsen eller Statens institutionsstyrelse som begär utlämning och i dessa fall krävs inte något häktningsbeslut, jfr se 3 och 7 §§ förordningen (1982:306) med vissa bestämmelser om utlämning för brott.

Angående Socialstyrelsen och Statens institutionsstyrelse och dataskyddsrambeslutet, se avsnitt 4.1 ovan.

Överlämnande för brott handlar om att tvångsvis föra en brottsmisstänkt eller dömd person mellan två länder. Med stöd av rådets rambeslut 2002/584/RIF av den 13 juni 2001 om en europeisk arresteringsorder och överlämnande mellan medlems- staterna (se avsnitt 5.5) kan numera personer överlämnas utan mer omfattande formaliteter och inom en relativt kort tidsfrist.

Den huvudsakliga lagstiftningen i denna del är lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder och förordningen i samma ämne, samt förordningen (2003:1178) om överlämnande till Sverige enligt en europeisk arresteringsorder.

I Sverige har avtalets regler genomförts på så sätt att det är allmän domstol som beslutar om överlämnande från Sverige. Vid överlämnande till Sverige har domstolen inte någon beslutande roll i frågan om överlämnande ska begäras eller inte. Domstolar har dock en indirekt roll och måste i vissa situationer ta särskilda hänsyn när en person har överlämnats till Sverige.

Enligt 5 kap. lagen om överlämnande från Sverige enligt europeisk arresteringsorder ska frågan om överlämnande alltid prövas av domstol efter framställning från åklagare (jfr dock 5 kap. 1 § andra

169

Lagstiftning om internationellt samarbete

SOU 2011:20

stycket). Rättens prövning går i huvudsak ut på att ta ställning till om den eftersökte ska överlämnas eller om det finns något hinder mot överlämnande. Prövningen görs främst utifrån de avslags- grunder som anges i 2 kap. samma lag.

Internationell verkställighet

Förutom åtgärder under brottsutredning och rättegång omfattar det internationella straffrättsliga samarbetet även verkställighet av straffrättsliga påföljder. Detta samarbete kan sägas vara motiverat både av intresset av en effektiv brottsbekämpning och att påföljder verkställs i det land där det är lämpligast.

Allmänna domstolar i Sverige har i inhemska fall inte någon central roll i verkställigheten av påföljder som dömts ut här. Detsamma kan sägas gälla för det internationella samarbetet, dvs. när en utländsk påföljd ska verkställas här eller när en svensk påföljd ska verkställas utomlands. Det är dock inte ovanligt att domstolar i andra länder har en mer framträdande roll i verkställighetsfrågor.

Till skillnad från vad som gäller vid t.ex. internationell rättslig hjälp i brottmål förutsätter det internationella samarbetet för verkställighet av påföljder som regel att det finns uttryckliga avtal. Sverige har ingått såväl bilaterala som multilaterala avtal om verkställighet med andra länder och i några fall också med internationella domstolar.

Allmänt om verkställighet, se vidare se avsnitt 5.6 ovan. Nedan anges ett urval av de situationer då svensk domstol har en roll i frågor om internationell verkställighet.

–Verkställighet utomlands av svenska frihetsberövande påföljder; bestämmande av ny påföljd inför överförande (34 kap. 18 § och 38 kap. 4 § brottsbalken), omprövning av svensk utevarodom enligt lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, överförande till ett annat nordiskt land enligt 8, 25 och 26-26 d §§ lagen (1963:193)om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m.

–Verkställighet i Sverige av utländska frihetsberövande påföljder; bedömningar om vissa påföljder, påföljdsomvandling och tvångsmedel enligt lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, lagen (2003:1156) om över-

170

SOU 2011:20

Lagstiftning om internationellt samarbete

lämnande från Sverige enligt en europeisk arresteringsorder och förordningen i samma ämne, samt lagen (1963:193)om samarbete med Danmark, Finland, Island och Norge ang. verkställighet av straff m.m.

Dessutom kan allmän domstol pröva frågor om övervakning utomlands och i Sverige, verkställighet i Sverige av utländska bötesstraff samt verkställighet i Sverige av utländska bötesstraff (se även avsnitt 5.9.2). I dessa fall sker bl.a. överprövning av Kronofogdemyndighetens beslut under verkställigheten.

Allmän domstol beslutar också i vissa fall i frågor om erkännande och verkställighet i Sverige av ett utländskt frysnings- beslut (se avsnitt 5.5), dels när en domstol överprövar en åklagares verkställbarhetsförklaring, dels när en fråga om verkställighet – enligt utsökningsbalken – av ett frysningsbeslut överklagas till allmän domstol.

5.9.7Tullverket

Nationell lagstiftning avseende det internationella samarbetet

Enligt 7 § tredje punkten lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet har Tullverket rätt att behandla personuppgifter för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

Lagen är tillämplig på internationellt tullsamarbete som följer av Europeiska unionens förordningar, internationella konventioner, bilaterala samarbetsavtal mellan Sverige och andra länder samt de avtal som Europeiska unionen ingått med tredje land, som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Samarbetet omfattar både den brottsbekämpande och fiskala verksamheten. Det kan avse rent administrativa åtgärder t.ex. utbyte av uppgifter, eller operativa åtgärder såsom utförande av övervakning åt en annan stat. Förutom Tullverket gäller lagen även för andra myndigheter som polis och kustbevakning när dessa har befogenheter som faller inom ramen för vad som betecknas som internationellt tullsamarbete.

Utanför lagens tillämpningsområde faller det fiskala samarbetet som avser bistånd med indrivning av fordringar eller andra åtgärder som inte berör överträdelser av tullbestämmelser. Sveriges

171

Lagstiftning om internationellt samarbete

SOU 2011:20

samarbete med Norge och Finland vid gränserna går längre än det samarbete som omfattas av lagen om internationellt tullsamarbete och har en annan karaktär. Detta samarbete sker i stället med stöd av lagen (1959:590) om gränstullsamarbete samt de tillhörande förordningarna.

Vidare omfattar lagen inte det internationella polissamarbetet eller åklagares och domstolars samarbete över gränserna i brotts- utredningar och brottmålsrättegångar. Lagen är inte heller tillämplig på polisiära samarbeten som sker enligt Schengenavtalet. I den mån Tullverket deltar i sådana åtgärder sker det med stöd av reglerna i lagen (2000:343) om internationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:344) om Schengens informations- system (se vidare avsnitt 5.3.1–5.3.3).

Avtal, konventioner, internationella överenskommelser om tullsamarbete m.m.

Några av de konventioner, avtal och överenskommelser om tullsamarbete – där informationsutbyte sker med stöd av lagen om internationellt tullsamarbete och ändamålsbestämmelsen i 7 § tredje punkten lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, om inget annat sägs – som bör falla in under dataskyddsrambeslutets tillämpningsområde för Tullverkets del är följande.

Brysselkonventionen, 1950, Brysselrekommendation, 1953, FN narkotikabrottkonvention, 1988 och WCO-konventionen

WCO konventionen (även kallad Nairobikonventionen, 1977) har införlivats i svensk rätt genom förordningen (1983:682) om tillämpning av en internationell konvention om ömsesidigt administrativt bistånd för att förhindra, utreda och beivra tullbrott, m.m. Sverige har antagit sex av elva bilagor till konventionen; bilaga 1: spontant bistånd, rörande misstänkt tullbrottslighet riktad mot annat anslutet land, bilaga 3: bistånd på begäran, rörande kontroller, bilaga 4: bistånd på begäran, rörande övervakning, bilaga 8: deltagande i undersökningar i utlandet, bilaga 9: central registrering av upplysningar och bilaga 10: bistånd i kampen mot

172

SOU 2011:20

Lagstiftning om internationellt samarbete

smugglingen av narkotika och psykotropa ämnen. Angående WCO i övrigt se även avsnitt 5.8 ovan.

Bilaterala avtal med tillämpningsavtal från 1972 och framåt

Sverige har ingått ett flertal bilaterala avtal som alltjämt är giltiga, men som sedan Neapel II konventionen, med ett par undantag i praktiken inte används, eftersom Neapel II ger möjlighet till mer långtgående samarbete.

Utanför Europeiska unionen finns liknande avtal mellan Sverige och USA (1988:146) respektive Ryssland (bl.a. Tull, 1994:8 och Inrikesministeriet, ekonomisk brottslighet, 1998:318). På myndighetsnivå finns ett avtal med Ryssland, (Federala myndigheten för narkotikakontroll 2005).

Europeiska unionens tullsamarbetsavtal med tredje land från 1993 och framåt

Tullsamarbetsavtalen innebär informationsutbyte vid bl.a. misstankar om brott mot tullagstiftningen. Tullmyndigheterna utbyter information spontant eller på begäran. De kan begära övervakning av personer, transportmedel eller gods, ge varandra bistånd med utredningar och kontroller samt driva in tullskulder åt vissa länder.

Tullsamarbetskonventionen

Tullsamarbetskonventionen – rådets akt av den 18 december 1997 om upprättande av konventionen, upprättad på grundval av artikel K 3 i Fördraget om Europeiska unionen, om ömsesidigt bistånd och samarbete mellan tullförvaltningar (även kallad Neapel II konventionen, 1997) – medger informationsutbyte framför allt inom ramen för en brottsutredning. Konventionen reglerar även gränsöverskridande polisiärt samarbete på vissa typer av brott som har anknytning till Tullverkets verksamhetsområde. Det uppgifts- utbyte som sker med stöd av konventionen kan därmed omfattas både av lagen om internationellt tullsamarbete och lagen om internationellt polisiärt samarbete.

173

Lagstiftning om internationellt samarbete

SOU 2011:20

Tullinformationssystemet (TIS)

Den rättsliga grunden för Europeiska unionens tullinformations- system består av dels rådets förordning (EG) nr 515/97 om ömsesidigt bistånd i tullärenden, dels rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål, som ersätter den nuvarande TIS-konventionen den 27 maj 2011. Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestäm- melser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS. Syftet med TIS är att underlätta informationsutbytet mellan medlemsstaterna för att effektivisera bekämpningen av brott inom tullområdet. TIS består av två skilda databaser - TIS I för den fiskala verksamheten och TIS III för den brottsbekämpande verksamheten (enligt den så kallade pelarstrukturen i arbetet i Europeiska unionen). TIS första pelaren ska hjälpa tullmyndigheterna att utbyta information för att bekämpa brott mot Europeiska unionens gemensamma tull- och jordbrukslagstiftning medan TIS tredje pelaren ska underlätta informationsutbyte för att bekämpa brott mot medlemsstaternas nationella tullagstiftning. Tullinformationssystemet innehåller också en särskild databas kallad FIDE. Uppgifter ur informations- systemen får användas bl.a. av Tullverket, polisen och Kust- bevakningen inom ramen för respektive myndighets befogenheter. Dessa myndigheter får ha direktåtkomst till uppgifter i samtliga kategorier i TIS. Tullverket är registeransvarigt och den enda som har rätt att föra in uppgifter i systemet.

Schengensamarbetet

Schengensamarbetet, som Sverige tillträdde 1996, omfattar förutom avvecklingen av gränskontroller, också ett förstärkt polisiärt och straffrättsligt samarbete. Det innefattar såväl utbyte av information som operativt samarbete. Bestämmelser finns framför allt i lagen om internationellt polisiärt samarbete, som bl.a. innefattar en specialreglering av vissa situationer i Schengenavtalet. I 2 § i lagen definieras svenska tjänstemän som polismän, tulltjänstemän eller kustbevakningstjänstemän när de har polisiära befogenheter. Tullverket tillämpar lagen för t.ex. gränsöverskridande övervakning och förföljande enligt artiklarna 40-41 i Schengenkonventionen.

174

SOU 2011:20

Lagstiftning om internationellt samarbete

Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIS). Behandlingen av uppgifter i SIS regleras särskilt i lagen (2000:344) om Schengens informationssystem (SIS) och förordningen (2000:836) i samma ämne (se vidare avsnitt 5.3.3).

Enligt 9 § i lagen har Tullverket rätt att begära uppgifter ur systemet i sin verksamhet för att förebygga och utreda brott.

Europolsamarbetet

Den rättslig grunden för Europolsamarbetet finns numera i rådsbeslutet 2009/371/RIF om inrättande av Europeiska polis- byrån. Europol biträder nationella myndigheter med bland annat informationsutbyte, underrättelseanalys, samordning och utbildning (se avsnitt 5.8 ovan). Förutom polisen är Tullverket en behörig myndighet. Uppgiftsinhämtning från Europol sker både inom ramen för pågående brottsutredningar och underrättelse- verksamhet för att förhindra och upptäcka brottslig verksamhet. Tullverket har en sambandsman placerad på den svenska sambands- enheten (desken) på Europol. Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIENA).

Andra initiativ inom Europeiska unionen

Genom rådets beslut 85/187 antogs Tullsamarbetsrådets rekom- mendation om åtgärder mot tullbedrägerier i fråga om containrar.

I lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och förordningen (2003:1176) i samma ämne (se avsnitt 5.3.2 ovan) genomförs rådets rambeslut 2002/465/RIF om gemensamma utredningsgrupper, utredningsgrupper som inrättas med stöd av 2000 års EU-konvention om internationell rättslig hjälp liksom avtalet med Island och Norge. I lagen regleras även grundläggande förfaranderegler om s.k. kontrollerade leveranser.

Lagen (2000:562) om internationell rättshjälp i brottmål och förordningen (2000:704) i samma ämne (se avsnitt 5.5 ovan) reglerar åklagarens möjligheter till straffrättsligt samarbete. I detta arbete kan åklagaren begära biträde av Tullverket på motsvarande sätt som i en svensk förundersökning.

Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder har genomförts i lagen (2003:1156) om

175

Lagstiftning om internationellt samarbete

SOU 2011:20

överlämnande från Sverige enligt en europeisk arresteringsorder med tillhörande förordning (2003:1178) i samma ämne (se avsnitt 5.5 ovan). Enligt 5 och 7 §§ i lagen har tulltjänstemän vissa befogenheter använda tvångsmedel.

Rådets rambeslut 2003/577/RIF av den 22 juli 2003 har genom- förts i lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut (se avsnitt 5.5). Enligt lagens 12 § kan åklagare begära biträde av bl.a. Tullverket vid verkställigheten av beslut enligt lagen.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna, även kallat ”det svenska initiativet”(se avsnitt 5.3.4 ovan), bygger på decentralisering och gör det möjligt för polisen, tullen eller andra myndigheter med befogenheter när det gäller att utreda brott (med undantag för underrättelsetjänster, som vanligtvis hanterar underrättelser med koppling till den nationella säkerheten) att utbyta information och kriminalunderrättelser med sina motsvarigheter i Europeiska unionen. I förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen finns tillämpningsbestämmelser till rådsbeslutet (se avsnitt 5.3.4). Förordningen möjliggör informationsutbyte inom underrättelse- verksamheten mellan två medlemsstater via samtliga befintliga kommunikationsvägar.

Nordiskt samarbete

Polis och Tull i Norden (PTN) är ett samarbete mellan Tullverket och polisen i de nordiska länderna för att effektivisera bekämpningen av grov brottslighet (se vidare avsnitt 5.9.4). Svensk tull och polis har, tillsammans med Danmark, Finland, Norge och Island 38 gemensamma tull- och polissambandsmän (31 poliser och 7 tulltjänstemän) i ett 20-tal länder.

176

SOU 2011:20

Lagstiftning om internationellt samarbete

5.9.8Åklagarväsendet

Åklagarväsendets internationella åtaganden sker huvudsakligen genom

•Eurojust 2002/187/RIF implementerat genom Åklagar- myndighetens författningssamling, ÅFS, 2007:12

•EJN – det europeisk rättsliga nätverket 2008/976/RIF implementerat genom ÅFS 2007:12

Informationsutbyte sker också genom Europol (Europolråds- beslutet) samt genom Interpol.

Allmänt angående Eurojust, EJN, Europol och Interpol (se vidare avsnitt 5.8 ovan).

Nedan följer ytterligare redogörelse för de avtal och konven- tioner som berör åklagarväsendets internationella samarbete.

Rättslig hjälp

Åklagarväsendets internationella åtaganden avseende rättslig hjälp regleras vidare i Europeisk konvention om inbördes rättslig hjälp i brottmål, Strasbourg den 20 april 1959 (SÖ 1968:15) och Europeiska unionens konvention den 29 maj 2000 om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlems- stater.

Ett bilateralt instrument och konsoliderat avtal om rättslig hjälp mellan Sverige och USA har trätt i kraft den 1 februari 2010 (se bilaga 2 till prop. 2004/05:46). Vidare finns avtal om rättslig hjälp mellan EU och USA, som trätt i kraft samma datum (se bilaga 4 till prop. 2004/05:46).

Härutöver finns avtal om inbördes rättslig hjälp i brottmål mellan Sverige och Australien (SÖ 2001:47), Ungern (SÖ 1986:5), Polen (SÖ 1990:90) och Kanada (SÖ 2001:43).

Vad gäller Norden finns en Nordisk överenskommelse om inbördes rättslig hjälp genom delgivning och bevisupptagning (SÖ 1975:42).

177

Lagstiftning om internationellt samarbete

SOU 2011:20

Gemensamma utredningsgrupper m.m.

För gemensamma utredningsgrupper m.m. finns bestämmelser som reglerar samarbete i

•lagen (2006:939) om kvalificerade skyddsidentiteter,

•lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, samt

•förordningen (2003:1176) om vissa former av internationellt samarbete i brottsutredningar

Angående sistnämnda lag och förordning se vidare avsnitt 5.3.2 ovan.

Bestämmelser om utlämning och överlämnande

Bestämmelser om utlämning från Sverige till en stat utanför Norden och Europeiska unionen finns i lagen (1957:668) om utlämning för brott (utlämningslagen). Bestämmelser om utlämning till Sverige från en stat utanför Norden och Europeiska unionen finns i 1–5 §§ och 9–9 c §§ förordningen (1982:306) med vissa bestämmelser om utlämning för brott (utlämningsförordningen). Det finns särskilda regler för utlämning inom Europeiska unionen. Utlämningslagen och utlämningsförordningen gäller inte om lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder är tillämplig (1 § andra stycket utlämningslagen).

Det finns också särskilda regler för utlämning inom Norden. Utlämningslagen gäller inte vid utlämning till ett annat nordiskt land (1 § andra stycket utlämningslagen). I sådant fall tillämpas i stället lagen (1959:254) om utlämning för brott till Danmark, Finland, Island och Norge (nordiska utlämningslagen).

Regeringen har i sin promemoria Ds 2010:26, Överlämnande från Sverige enligt en nordisk arresteringsorder, föreslagit att Sverige ska godkänna konventionen om överlämnande mellan de nordiska staterna på grund av brott (nordisk arresteringsorder). I prome- morian har även lämnats förslag till en ny lag om överlämnande från Sverige enligt en nordisk arresteringsorder samt vissa övriga lagändringar som behövs för att Sverige ska leva upp till de åtaganden som ett tillträde till konventionen medför. Nordiska utlämningslagen (se ovan) föreslås i samband härmed att upphävas. Konventionens reglering skiljer sig på många sätt från den ordning

178

SOU 2011:20

Lagstiftning om internationellt samarbete

som gäller enligt den nordiska utlämningslagen. En grundläggande skillnad är att konventionen bygger på principen om ömsesidigt erkännande av nordiska domar och beslut i stället för den fria prövningsrätt som hittills har gällt inom Norden.

Lagändringarna föreslås träda i kraft den dag regeringen bestämmer.

Åklagarväsendets internationella samarbete angående utlämning av brottslingar följer vidare av konventioner och överens- kommelser.

Närmare kan utläsas av följande avtal.

•Europa; Europeiska utlämningskonventionen med tilläggs- protokoll (SÖ 1959:65), samt

•USA; Bilateralt instrument och konsoliderat avtal om utlämning mellan Sverige och USA (SÖ 1963:17, se bilaga 1 till prop. 2004/05:46, jfr även avtal om utlämning mellan Europeiska unionen och USA).

Vidare finns specifika avtal om utlämning med Kanada (SÖ 2001:42) och Australien (SÖ1974:3, 1985:64 och 1989:49).

Härutöver finns bestämmelser som reglerar åklagarväsendet vad gäller överlämnade av personer i lagen (2003:1156) om över- lämnande från Sverige enligt en europeisk arresteringsorder (se avsnitt 5.5. ovan).

Överförande av lagföring

Åklagarväsendet regleras vidare av bestämmelser om överförande av lagföring. Överförande av lagföring innebär att en stat till en annan gör en framställning om att den anmodade staten ska inleda lagföring för en gärning som är ett straffbart brott både i den ansökande staten och i den anmodade staten. Konventioner och avtal finns inom detta område enligt följande.

Europeisk konvention den 15 maj 1972 om överförande av lagbrott i brottmål (lagföringskonventionen, SÖ 1976:21), och

Nordiskt samarbetsavtal om lagföring i annat nordiskt land än där brottet förövats.

Det sistnämnda samarbetsavtalet gäller mellan de nordiska länderna. Avtalet ingicks år 1970 och ändrades i vissa delar år 1972.

179

Lagstiftning om internationellt samarbete SOU 2011:20

I november 1973 träffades en överenskommelse om tillägg till samarbetsavtalet.

Angående lagföringskonventionens förhållande till det nordiska samarbetsavtalet, se prop. 1975/76:3 s. 8–9 samt 20. Lagförings- konventionen har hittills tillträtts av Sverige, Danmark och Norge. Finland och Island har inte tillträtt (1 § lagföringsförordningen).

Internationellt samarbete för att återföra brottsvinster

Inom Europeiska unionen finns sedan 2008 särskilda nationella enheter, Asset Recovery Offices (ARO) för att skapa bättre förutsättningar för det operativa internationella samarbetet med att återföra brottsvinster och bekämpa penningtvätt. Svenska ARO består av Brottsutbytesenheten på Ekobrottsmyndigheten för rättsliga frågor och av Finanspolisen på Rikskriminalpolisen för polisiära frågor av underrättelsekaraktär.

I denna del tillämpas även lagen (2003:500) om erkännande och verkställighet av frysningsbeslut samt förordningen (2005:501) i samma ämne (se avsnitt 5.5. ovan).

Angående direktivet om europeisk utredningsorder, se vidare samma avsnitt.

Övriga konventioner

Även i övriga delar föreligger konventioner som påverkar åklagar- väsendets internationella arbete.

•Konvention från Förenade Nationerna (FN) - The UN Convention against Transnational Organized crime,

•FN – United Nations Convention against Corruption,

•FN – Säkerhetsrådets resolutioner,

• FN – konventioner avseende bekämpande av terrorism (13 stycken),

•FN – Förenta nationernas konvention mot olaglig hantering av narkotika och psykotropa ämnen, Wien den 20 december 1988 (SÖ 1991:41),

•Konvention om penningtvätt, efterforskning, beslag och förverkande av vinning av brott, Strasbourg den 8 november 1990 (SÖ 1996:19),

180

6 Sekretess

6.1Vårt uppdrag i denna del

Enligt vårt uppdrag ska vi analysera hur svensk rätt förhåller sig till bestämmelserna i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Regeringen har i prop. 2008/09:16 s. 39, Godkännande av Dataskyddsrambeslutet, framhållit att det kan finnas skäl att se över hur det svenska regelverket som reglerar offentlighet och sekretess påverkas och om genomförandet av dataskyddsrambeslutet kräver en mer omfattande sekretessreglering än den som gäller i dag.

Skäl föreligger därför att först undersöka hur gällande svensk rätt inom detta område är utformad och därefter överväga om det, på grund av dataskyddsrambeslutets bestämmelser, finns skäl att – inom sekretessområdet – införa kompletteringar eller ändringar av svensk rätt.

Nedan följer därför inledningsvis en genomgång av gällande rätt inom området.

Texterna nedan har i huvudsak hämtats ur Offentlighets- och sekretesskommitténs slutbetänkande, SOU 2004:75 Insyn och sekretess – i statliga företag – i internationellt samarbete, s. 191 ff. (se avsnitt 6.4) samt Justitiedepartementens promemoria Ds 2008:30

Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 79 ff. (se avsnitt 6.3 och 6.5–6.6).

183

Sekretess

SOU 2011:20

6.2Allmänt om sekretess och tystnadsplikt

För många av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten gäller sekretess. Offentlighets- och sekretesslagen (2009:400; OSL) med tillhörande förordning innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Grundprincipen är att om det råder sekretess så gäller den även mellan myndigheter. Myndigheterna prövar frågan om utlämnande av uppgifter är tillåtet eller inte med stöd av sekretess- regleringen. Offentlighets- och sekretesslagen reglerar enbart offentlig verksamhet. För annan verksamhet finns i begränsad utsträckning regler om tystnadsplikt.

Det som är av störst intresse i detta sammanhang är sekretessen till skydd för den brottsbekämpande verksamheten och för enskilda vilkas uppgifter registreras i sådan verksamhet samt sekretessen för vissa register som används av de myndigheter som berörs av rambeslutet. Vidare har reglerna om utlämnande av sekretessbelagda uppgifter stor betydelse med tanke på rambeslutets tillämpningsområde.

6.3Sekretess i brottsbekämpande verksamhet

6.3.1Sekretess till skydd för brottsbekämpningen

Sekretess till skydd för brottsbekämpningen

I 18 kap. 1–3 §§ OSL finns regler till skydd för det allmännas brottsförebyggande och brottsbeivrande verksamhet. Sekretessen gäller bl.a. för anmälan om brott och i förundersökningar. Den gäller också i polisens, åklagarnas, Tullverkets, Skatteverkets och Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller att den framtida verksamheten skadas om uppgiften röjs.

För Säkerhetspolisens verksamhet och för underrättelse- verksamhet, oavsett vid vilken myndighet den bedrivs, gäller sekretess om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller att den framtida verksamheten skadas.

184

SOU 2011:20

Sekretess

I de fall där en myndighet får uppgifter med sekretess enligt ovan från en brottsbekämpande myndighet gäller sekretessen också hos mottagaren.

Sekretessen till skydd för brottsbekämpande verksamhet gäller enbart svensk sådan verksamhet. Därför har en särskild bestäm- melse, som skyddar utländsk brottsbekämpande verksamhet, införts i 18 kap. 17 § OSL. Sekretess gäller i verksamhet som avser rättsligt samarbete på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till antingen utredning enligt bestämmelserna om förundersökning i brottmål eller angelägenhet som angår tvångsmedel, om det kan antas att det varit en förut- sättning för den ansökandes begäran att uppgiften inte skulle röjas.

Motsvarande sekretess gäller hos polismyndighet eller åklagar- myndighet samt hos Rikspolisstyrelsen, Tullverket och Kust- bevakningen för uppgift som avser framställningar enligt 3 § 1 och 5 lagen (2000:344) om Schengens informationssystem om viss åtgärd. Utan hinder av sekretessen får dock uppgifter lämnas ut enligt bestämmelser i den lagen eller i polisdatalagen (2010:361).

Sekretess till skydd för enskild

I 34 kap. 8 § OSL och 35 kap. OSL regleras skyddet för enskildas personliga och ekonomiska förhållanden i brottsbekämpande verksamhet. Sekretess gäller bl.a. i utredning enligt reglerna om förundersökning i brottmål och i angelägenhet som rör användning av tvångsmedel. Sekretess gäller dessutom i polisens, åklagarnas, Tullverkets, Skatteverkets och Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Sekretess enligt dessa bestämmelser överförs normalt inte till andra myndigheter, men de brottsbekämpande myndigheterna har i allt väsentligt samma sekretessreglering till skydd för enskilda.

Enligt 35 kap. 6-7 §§ OSL gäller sekretessen inte beslut i en åtalsfråga eller beslut om att en förundersökning inte ska inledas eller läggas ned. Den gäller inte heller i ärenden om ordningsbot eller strafföreläggande. Sekretessen enligt ovan upphör i allmänhet att gälla om uppgiften lämnas till domstol med anledning av åtal. Däremot kan sekretessen föras över i andra fall.

185

Sekretess

SOU 2011:20

6.3.2Sekretess för vissa register

Många register som innehåller ett stort antal personuppgifter som uppfattas som känsliga omgärdas av sekretess. Sekretessreglerna utgör i dessa fall ett skydd för den registrerade mot att uppgifter ur registren kommer i orätta händer. I de särskilda registerlagarna finns det dessutom i vissa fall regler om utlämnande av uppgifter som gäller i stället för den allmänna regleringen i offentlighets- och sekretesslagen.

Enligt 35 kap. 3 § OSL gäller sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1998:620) om belastningsregister. Sekretessen är absolut, vilket innebär att någon skadeprövning inte behöver göras. Det är tillräckligt att konstatera om sekretessregeln är tillämplig. Utlämnande kan endast ske med stöd av regler i lagen om belastningsregister eller säkerhetsskyddslagen (1996:627) eller förordningar som har stöd i dessa lagar.

Sekretessen för vissa andra certifikatregister regleras i 29 kap. 9 § och 35 kap. 4 § OSL. Enligt dessa paragrafer gäller sekretess bl.a. i verksamhet som avser förande av register eller uttag ur register för uppgift som har tillförts strafförelägganderegister eller ordningsbotsregistret, och för annan uppgift hos Rikspolisstyrelsen som angår brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i andra register än de två nämnda.

Sekretessen för strafföreläggande- och ordningsbotsregistren gäller dock inte själva ärendet.

Sekretessen i 29 kap. 9 § och 35 kap. 4 § OSL omfattar inte de register vars sekretess regleras i 35 kap. 1 § första stycket OSL. Enligt den sistnämnda sekretessbestämmelsen gäller sekretess för uppgift om enskilds personliga eller ekonomiska förhållanden i register som förs av Rikspolisstyrelsen enligt polisdatalagen (2010:361) eller som annars behandlas där med stöd av samma lag (punkten 6) samt i register som förs enligt lagen (1998:621) om misstankeregister (punkten 7). Sekretessen gäller i dessa fall om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men.

I samma paragraf regleras också sekretessen för register som förs i Skatteverkets brottsbekämpande verksamhet (punkten 8), register som förs i Tullverkets brottsbekämpande verksamhet

186

SOU 2011:20

Sekretess

(punkten 10), och åklagarväsendets ärenderegister över brottmål (punkten 9) med undantag för diarieuppgifter. Sekretessen för dessa register gäller under samma förutsättningar som för nyss- nämnda polisregister.

Sekretess gäller också enligt 35 kap. 1 § första stycket punkten 4 i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakning- ens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Denna bestämmelse reglerar bl.a. sekretessen för sådana lokala polisregister som inte omfattas av sekretessen i 29 kap. 9 § och 35 kap. 4 § OSL.

Enligt 35 kap. 10 § punkten 3 OSL får, utan hinder av sekretess, en uppgift lämnas ut enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (2010:361), lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar. Syftet med bestämmelsen är bl.a. att myndigheterna inte ska behöva förlita sig på en sekretessprövning i de fall där det i författning anges att uppgifter får lämnas ut.

Enligt 32 kap. 7 § OSL gäller sekretess i verksamhet som avser förande eller uttag ur register som förs enligt lagen (2006:444) om passagerarregister för uppgift om enskilds namn och födelsedatum samt nummer på resehandling. Sekretessen beträffande sådana upp- gifter är absolut. Sekretess gäller också för uppgifter om enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs.

I 18 kap. 16 § OSL regleras sekretessen för vapenregister. Sekretessen gäller bl.a. för förande av eller uttag ur vapenregister för uppgift som har tillförts registret, om det inte står klart att uppgiften kan röjas utan fara för att vapen eller ammunition kommer till brottslig användning. Sekretessen omfattar inte namn och adress på den som har tillstånd att driva handel med vapen och inte heller uppgift om vilka typer av vapen tillståndet omfattar.

6.3.3Sekretess vid handläggning i domstol

Handlingar som ges in till domstol i brottmål är oftast inte sekretessbelagda. I de fall där en domstol i sin rättsskipande eller rättsvårdande verksamhet tar emot sekretessbelagda handlingar

187

Sekretess

SOU 2011:20

från en domstol eller annan myndighet gäller emellertid, enligt 43 kap. 3 § OSL, sekretessen även vid domstolen. Sekretess enligt 35 kap. 1 § första stycket OSL, dvs. sekretess i utredning enligt bestämmelserna om förundersökning i brottmål, gäller enligt 43 kap. 3 § hos domstol endast om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs. Motsvarande gäller för sekretess i angelägenhet som avser användning av tvångsmedel (35 kap. 1 § andra stycket OSL). Sekretess för uppgift om vem som är misstänkt gäller dock bara vid fara för att den misstänkte eller någon närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

Huvudprincipen är att förhandlingar inför domstol är offentliga. Sekretessen för en uppgift upphör normalt att gälla hos domstolen om uppgiften förebringas vid en offentlig förhandling. Om uppgiften förebringas inför stängda dörrar fortsätter dock som regel sekretessen att gälla (43 kap. 5, 8 och 10 §§ OSL).

Sekretessen för en uppgift upphör också att gälla om uppgiften tas in i en dom eller ett beslut (43 kap. 8–10 §§ OSL).

6.3.4 Sekretess för verkställighet av straffrättsliga påföljder

Enligt 35 kap. 15–16 §§ OSL gäller sekretess inom kriminalvården för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Sekretessen gäller dock inte för beslut i ärenden.

Enligt 35 kap. 16 § OSL gäller sekretess hos regeringen i ärende om överförande av verkställighet av brottmålsdom för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Sekretessen gäller dock inte regeringens beslut i ärenden.

Vidare gäller enligt 18 kap. 11 § OSL sekretess inom polis- väsendet och Kriminalvården för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

188

SOU 2011:20

Sekretess

6.3.5Sekretess för personuppgifter

I sammanhanget bör också nämnas att sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

6.3.6Utlämnande av sekretessbelagda uppgifter

Allmänt om sekretessbrytande regler

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgifter som den förfogar över, i den mån hinder inte möter på grund av sekretess eller av hänsyn till arbetets behöriga gång. Denna regel kan ses som en precisering av den allmänna skyldigheten att samverka och att lämna andra myndigheter hjälp inom ramen för den egna verksamheten.

Enligt 8 kap. 1 § OSL får en sekretessbelagd uppgift hos en myndighet inte röjas för en annan myndighet utom i de fall som anges i offentlighets- och sekretesslagen eller i lag eller förordning till vilken offentlighets- och sekretesslagen hänvisar. Likaså gäller enligt andra stycket sekretess inom en myndighet mellan skilda verksamhetsgrenar.

Sekretessbelagda uppgifter kan ibland lämnas ut med stöd av sekretessbrytande regler efter en bedömning i det enskilda fallet. Sekretessbestämmelser kan innehålla ett skaderekvisit som kan vara rakt eller omvänt. Vid rakt skaderekvisit är presumtion för offentlighet medan presumtionen är den motsatta vid omvänt skaderekvisit. Vid absolut sekretess finns, som nyss nämnts, inget sådant skaderekvisit.

Generella sekretessbrytande regler finns framför allt i 10 kap. OSL.

Sekretess hindrar enligt 10 kap. 2 § OSL inte att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sina uppgifter. Inom den brottsbekämpande verksamheten måste t.ex. ofta sekretessbelagda uppgifter röjas i samband med förundersökning. Däremot får uppgifter inte lämnas ut med stöd av bestämmelsen enbart av den anledningen att dessa skulle behövas i den mottagande myndig- hetens verksamhet.

189

Sekretess

SOU 2011:20

I 10 kap. 28 § OSL föreskrivs bl.a. att sekretess inte hindrar utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Bestämmelsen tillämpas vid rutinmässigt och regelbundet återkommande utlämnande när uppgifterna behövs i bl.a. förundersökningar. Den s.k. generalklausulen i 10 kap. 27 § OSL medger att annars hemliga uppgifter får lämnas till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretess- en ska skydda. En prövning ska alltid göras i det enskilda fallet.

De sekretessbrytande bestämmelserna gäller dock enbart mellan svenska myndigheter.

Utlämnande till utländsk myndighet eller organisation

Utgångspunkten i offentlighets- och sekretesslagen är att en uppgift, för vilken sekretess gäller, inte får röjas för en utländsk myndighet eller mellanfolklig organisation. I 8 kap. 3 § OSL finns dock bestämmelser som innebär att en sekretesskyddad uppgift får röjas för en utländsk myndighet eller mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning. En uttrycklig bestämmelse om att uppgifter får lämnas till en utländsk myndighet eller organisation bryter alltså sekretess. Den andra är när uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är för- enligt med svenska intressen att uppgiften lämnas. Den sistnämnda bestämmelsen är, som framgår av lydelsen, avsedd att tillämpas restriktivt.

Särskilda regler om utlämnande till utländsk brottsbekämpande myndighet eller mellanfolklig organisation med brottsbekämpande uppgifter finns bl.a. i 2 kap. 15 § polisdatalagen (2010:361), 11 och 12 §§ lagen (1998:620) om belastningsregister, 9 och 10 §§ lagen om (1998:621) misstankeregister, 2 kap. 6 § lagen (2000:1219) om internationellt tullsamarbete, 6 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och 18 § förordningen (2006:937) om behandling av person- uppgifter inom åklagarväsendet.

Den nyss nämnda bestämmelsen i 10 kap. 2 § OSL har också viss betydelse i sammanhanget. I den brottsbekämpande verksamheten är det nämligen i ganska stor utsträckning

190

SOU 2011:20

Sekretess

nödvändigt att lämna sekretessbelagda uppgifter för att över huvud taget genomföra en brottsutredning. Ett typiskt exempel har ansetts vara att svenska myndigheter i samband med en begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1–3 §§ och 34 kap. 8 § OSL samt 35 kap. 1, 2, 6, 8, 9 och 10 §§ OSL till en utländsk polis- eller åklagar- myndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda upp- gifter för att myndigheten ska kunna fullgöra sin egen verksamhet står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna.

Se vidare om särskilda sekretessåtgärder på grund av interna- tionella avtal i avsnitt 6.4 nedan.

6.4Särskilda sekretessåtgärder på grund av internationella avtal

6.4.1Allmänt om behovet av särskilda sekretessåtgärder vid internationellt samarbete

Som ett led i det internationella samarbetet ingår Sverige ofta överenskommelser med andra länder eller med mellanfolkliga organisationer. Det kan röra sig om allt från mindre omfattande bilaterala avtal om samarbete inom ett visst sakområde till mer omfattande multilaterala avtal och medlemskap i mellanfolkliga organisationer som EU. Såväl enskilda bilaterala avtal och internationella konventioner som bindande EG-förordningar kan innehålla åtaganden om informationsutbyte mellan Sverige och andra länder eller mellanfolkliga organisationer. I de internationella avtalen förekommer också bestämmelser som reglerar under vilka förutsättningar Sverige får lämna ut handlingar eller på annat sätt använda information som Sverige erhåller eller förfogar över på grund av den bakomliggande överenskommelsen. Många gånger måste Sverige få tillgång till hemliga handlingar från internationella avtalsparter för att internationellt kunna driva frågor som tillgodoser landets intressen. Det är dock inte alltid möjligt när förutsatta garantier för sekretess inte kan sättas upp från Sveriges sida. Ett problem i internationella sammanhang är därför hur Sverige ska kunna garantera den sekretess som andra länder eller mellanfolkliga organisationer kräver.

191

Sekretess

SOU 2011:20

Vid internationellt samarbete följer många stater den monistiska rättstraditionen, som innebär att överenskommelser med andra stater eller mellanfolkliga organisationer blir direkt tillämpliga nationellt utan ytterligare lagstiftningsåtgärder. Sverige tillämpar emellertid en dualistisk rättsordning, som innebär att inter- nationellt avtalade regler i princip måste införlivas med den svenska rättsordningen genom särskilda lagstiftningsåtgärder för att bli tillämpliga. Detta behövs dock endast till den del de avtalade bestämmelserna saknar motsvarighet i eller strider mot de svenska rättsreglerna (jfr prop.1990/91:131 s. 13 f.). När det behövs kan införlivande i svensk rätt ske genom transformation eller genom inkorporation (se bet. 1989/90:SKU17 s. 67 f., 1989/90:KU3y).

Med transformation avses att aktuella delar i en internationell överenskommelse omarbetas till svensk författningstext. Inkorporation innebär i stället att det i svensk författning före- skrivs att bestämmelserna i överenskommelsen gäller direkt i Sverige och ska tillämpas av de svenska myndigheterna.

Internationellt avtalsreglerade krav på sekretess och begränsningar av Sveriges förfoganderätt över handlingar har inte alltid någon direkt motsvarighet i offentlighets- och sekretess- lagens materiella bestämmelser. Normalt förutsätts enligt 2 kap. 14 § tryckfrihetsförordningen att en självständig skadeprövning enligt offentlighets- och sekretesslagen görs av den myndighet som förvarar handlingarna. Sverige kan följaktligen inte alltid garantera andra länder eller mellanfolkliga organisationer att en självständig skadeprövning skulle leda till att uppgifter i en viss handling sekretessbeläggs i enlighet med vad som avtalats i en internationell överenskommelse. I många fall har regeringen och riksdagen emellertid ansett att de befintliga bestämmelserna i offentlighets- och sekretesslagen är fullt tillräckliga för att det sekretesskydd som förutsätts i de internationella överenskommelserna ska uppnås. Något införlivande i svensk rätt har alltså inte behövts av dessa överenskommelser. I andra fall har det i stället ansetts nödvändigt att införliva de internationellt avtalade reglerna i svensk rätt genom att i offentlighets- och sekretesslagen eller andra lagar införa särskilda bestämmelser som anger att sekretess gäller i enlighet med de avtal Sverige har ingått. Regeringen har vid ett flertal tillfällen uttalat att ett krav för att sekretess i sådana fall ska gälla enligt vad som föreskrivs i internationella avtal, är att det är fråga om en begränsning av offentlighetsprincipen som tillgodoser någon av de sekretessgrunder som anges i 2 kap. 2 § tryckfrihetsförordningen,

192

SOU 2011:20

Sekretess

t.ex. att det är påkallat med hänsyn till rikets förhållande till annan stat eller mellanfolklig organisation (se t.ex. prop. 1987/88:41 s. 15 och 1992/93:120 s. 10).

I de följande avsnitten redovisas dels några exempel på sekretes- såtaganden som Sverige har accepterat genom sitt deltagande i internationellt samarbete samt exempel på vissa i detta samman- hang betydelsefulla internationella avtal, dels de generella principer som ligger bakom införandet i offentlighets- och sekretesslagen – och vissa andra lagar – av särskilda bestämmelser om sekretess på grund av internationella avtal som innefattar åtaganden om informationsutbyte.

6.4.2Sekretessåtaganden och internationella avtal

”Originator control” och andra exempel på hur sekretesskrav kan utformas i internationella avtal

Originator control

En grundläggande princip i Sverige är att den myndighet som förvarar en handling självständigt ska pröva om den kan lämnas ut. I många länder tillämpas i stället en rättslig princip som med ett ofta använt engelskt uttryck brukar kallas ”originator control”. Denna princip innebär att den som har upprättat en hemlig handling äger rätten att kontrollera till vem handlingen lämnas ut även efter att den har överlämnats till exempelvis andra myndigheter eller andra länder. I enlighet med rättstraditionen i andra länder används ofta bestämmelser om ”originator control” vid internationella överenskommelser som omfattar informations- utbyte. I avtalstexter brukar sådana bestämmelser formuleras så att den som tar emot en hemlig handling från ett annat land eller en mellanfolklig organisation inte får lämna handlingen vidare utan ”the written consent of the originator”.

En följd av principen om ”originator control” är att den som upprättat en hemlig handling ofta vill lämna den ifrån sig endast på sådana villkor att det är möjligt att avgöra till vem den lämnas vidare i ett senare skede. Det innebär att Sverige vid fullgörandet av internationellt avtalade skyldigheter ofta är förhindrat att offentliggöra eller på annat sätt lämna ut handlingar som erhållits från ett annat land, om inte utlämnandet godkänns av ursprungs- landet. I vissa fall är det alltså ursprungslandet som bestämmer hur

193

Sekretess

SOU 2011:20

Sverige får förfoga över handlingar som lämnas hit. Det går därför inte alltid att utläsa i det egentliga avtalet vilken sekretess som gäller för uppgifter som Sverige har fått del av. I stället kan det vara ursprungslandet som generellt för vissa typer av uppgifter eller efter en bedömning i varje enskilt utlämnandefall, avgör vilka uppgifter eller handlingar som Sverige kan lämna ut. Bestämmelser om ”originator control” kan förekomma såväl i avtal med enskilda stater som i överenskommelser med mellanfolkliga organisationer [se t.ex. Sveriges överenskommelse om säkerhetsskydd med det Europeiska Rymdorganet (ESA) den 13 juni 2002]. Tidigare före- kom sådana bestämmelser främst inom försvarsområdet men de är numera vanliga även i andra sammanhang, inte minst inom EU.

Andra typer av bestämmelser

Vid sidan av bestämmelser om ”originator control” förekommer det i vissa internationella avtal förhållandevis oprecisa bestäm- melser som förbjuder myndigheter och tjänstemän att avslöja uppgifter som har inhämtats med stöd av avtalet och är av sådant slag att de omfattas av sekretess, utan att det uttryckligen anges vilka upplysningar som är av sådant slag. Det är då upp till de avtalsslutande staterna att närmare ange detta (jfr prop. 1992/93:120 s. 10). Som exempel kan nämnas regler om att avtals- staternas tjänstemän ska vara bundna av tystnadsplikt, (professional secrecy, se Ds 1992:84, s. 21). Denna typ av bestämmelser är vanligt förekommande i avtal med mellanfolkliga organisationer och i EG-förordningar eller EG-direktiv.

Andra bestämmelser i internationella avtal innebär att när Sverige har erhållit handlingar från en annan stat ska dessa behandlas som hemliga i enlighet med svensk rätt eller i enlighet med den utlämnande statens sekretesslagstiftning om denna är mer restriktiv, se t.ex. lagen (1990:313) om Europaråds- och OECD- konventionen om ömsesidig handräckning i skatteärenden (art. 22 i konventionen). En sådan bestämmelse får till följd att en svensk myndighet enligt avtalet ska pröva ett utlämnande enligt både offentlighets- och sekretesslagen och motsvarande lagstiftning i det land som Sverige fått handlingarna från. Som ett sista exempel kan nämnas att det inte är ovanligt att sekretessbestämmelser i interna- tionella avtal innebär krav på att information som Sverige erhåller inte får användas för andra ändamål än det den har inhämtats för.

194

SOU 2011:20

Sekretess

Sådana bestämmelser medför alltså ytterligare en inskränkning i Sveriges förfoganderätt över uppgifter utöver vad som följer av den egentliga sekretessen (se t.ex. prop. 1992/93:120 s. 15). Den ovan nämnda principen om ”originator control” förekommer även i fråga om avtalsklausuler som på detta sätt begränsar vilka ändamål inhämtade uppgifter får användas för.

6.4.3EU-medlemskapet

Den 1 januari 1994 inledde Sverige tillsammans med övriga EFTA- länder sitt deltagande i det Europeiska ekonomiska samarbets- området (EES), enligt ett omfattande avtal med Europeiska gemenskaperna (EG). Samarbetet var ett steg mot medlemskap i Europeiska Unionen (EU) och innebar bl.a. att ca

1 500 EG-rättsakter blev tillämpliga i Sverige (prop. 1992/93:120 s. 11 f.) När Sverige ett år senare blev medlem i EU innebar det att Sveriges internationella samarbete utökades än mer och att ytterligare internationella rättsakter blev av direkt betydelse. En följd av medlemskapet är överföringen av normgivningskompetens till EU inom vissa områden. Numera är flera av de inom EU beslutade normerna direkt tillämpliga i Sverige.

När det gäller de enskilda medlemsländernas hantering av uppgifter och handlingar som rör EU-samarbetet kan Sverige i princip uteslutande tillämpa den nationella svenska rättsordningen. Det finns emellertid i flera EG-rättsakter inom olika sakområden föreskrifter om tystnadsplikt som ska iakttas (prop. 1994/95:112 s. 8). Ett problem är att föreskrifterna ofta inte innebär någon fullständig reglering av hur eller på vilka grunder uppgifter kan hållas hemliga. De anger endast att tystnadsplikt gäller för förtrolig information, men inte närmare vilka uppgifter som avses. Regeringen konstaterade inför Sveriges inträde i EU att i detta avseende är sekretesstadganden i direkt tillämpliga förordningar inte mer utvecklade än motsvarande regler i direktiv (prop. 1994/95:112 s. 22). Sådana materiella regler utgör inte en tillräcklig rättslig reglering av hur Sverige ska hantera handlingar, utan de svenska reglerna om offentlighet och sekretess måste fortfarande tillämpas. Vid en prövning enligt de svenska nationella bestäm- melserna måste emellertid hänsyn tas till den allmänna lojalitets- plikten inom EU.

195

Sekretess

SOU 2011:20

Det innebär att Sverige har att tillämpa svenska regler på ett sådant sätt att de krav som kan utläsas ur EU-rätten kan tillgodoses (ibid.).

Ett särskilt problem inom EU är det vanliga synsättet på hantering av sekretess som innebär att den som upprättar eller avsänder en handling själv bedömer om den ska hållas hemlig eller inte och att den som tar emot handlingen ska respektera denna vilja

– originator control – (prop. 1994/95:112 s. 23). De konflikter som kan uppstå i dessa situationer får hanteras med stöd av offentlighets- och sekretesslagens materiella bestämmelser inom skilda sakområden och av den generella utrikessekretessen i 15 kap. 1 § OSL. När det bedöms nödvändigt kan det också införas särskilda bestämmelser som direkt eller indirekt hänvisar till den sekretess som föreskrivs i de rättsakter som Sverige är bundet av till följd av medlemskapet i EU.

6.4.4Exempel på andra internationella avtalsformer

Även utöver EU-medlemskapet deltar Sverige i stor omfattningi internationellt samarbete. Det manifesteras ofta genom bilaterala eller multilaterala avtal eller konventioner med andra stater och genom medlemskap i olika mellanfolkliga organisationer. Oavsett formen för samarbete kan det förekomma krav på Sverige att iaktta olika regler om tystnadsplikt, sekretess och förfogandeinskränk- ningar i samband med informationsutbyte avtalsparterna emellan.

Bilaterala och multilaterala avtal med andra stater förekommer inom många skiftande sakområden. Ofta innebär dessa avtal att information ska utbytas mellan avtalsstaterna. Som exempel kan nämnas överenskommelser med de nordiska länderna och med Kanada och Australien om ömsesidig rättslig hjälp i brottmål. Andra exempel är Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden samt Europeiska konven- tionen till skydd för mänskliga rättigheter.

Som exempel på andra mellanfolkliga organisationer än EU som Sverige – på grund av medlemskap eller samarbetsavtal – har informationsutbyte med, kan nämnas det Europeiska Rymdorganet (ESA).

Inom ramen för vissa internationella avtal utgör Sveriges del- tagande närmast ett mellanting av medlemskap i en mellanfolklig organisation och avtalspart i en mellanstatlig överenskommelse.

196

SOU 2011:20

Sekretess

Det gäller t.ex. de konventioner som EU:s medlemsländer under- tecknar vid sidan av det gemenskapsrättsliga samarbetet. Två exempel på sådana överenskommelser inom ramen för EU- samarbetet som innebär ett omfattande informationsutbyte mellan medlemsstaterna är Dublinförordningen om asylmottagning och Schengenavtalet om gränskontroll.

6.4.5Tillämpning av offentlighets- och sekretesslagen (2009:400) vid internationella förbindelser utan att särskilda åtgärder vidtas

I många fall utgör det inga problem ur svensk synvinkel att det i internationella avtal som Sverige ingår finns särskilda bestämmelser om sekretess. Det är ofta möjligt för svenska myndigheter att sekretessbelägga uppgifter i handlingar som berörs av ett sådant avtal med direkt stöd av en materiell sekretessbestämmelse inom sakområdet, t.ex. 18 kap. 1 § OSL om förundersökningssekretess i en svensk brottsutredning. Också när det saknas en sådan direkt tillämplig materiell bestämmelse avseende den aktuella sakfrågan eller ärendet, kan uppgifter i vissa fall hemlighållas på ett avtals- enligt sätt med stöd av den generella bestämmelsen om utrikes- sekretess i 15 kap. 1 § OSL. Grunden för en sådan tillämpning är då vanligtvis att det kan antas störa de mellanfolkliga förbindelserna om Sverige inte följer ett internationellt avtal som innebär att Sverige har åtagit sig att inte sprida vidare uppgifter som har erhållits med stöd av avtalet (se t.ex. prop. 1987/88:41 s. 15 f.).

När det gäller tillämpningen av utrikessekretessen har Högsta förvaltningsdomstolen emellertid slagit fast att det måste vara det konkreta informationsinnehållet i en uppgift – eller i vissa fall uppgiftens art och anknytning till internationell verksamhet – som medför att ett röjande av uppgiften kan förorsaka störningar i de mellanfolkliga förbindelserna (RÅ 1998 ref. 42 och RÅ 2000 ref. 22). En störning som förorsakas endast av det faktum att en uppgift röjs skulle därmed inte alltid omfattas av skadebegreppet.

Även med beaktande av Högsta förvaltningsdomstolens ställningstagande är utformningen av rekvisiten för utrikessekretess enligt 15 kap. 1 § OSL sådan att det finns ett stort utrymme för att sekretessbelägga uppgifter som berör Sveriges förbindelser med andra stater eller mellanfolkliga organisationer. Trots detta har regeringen ansett det omöjligt att generellt göra gällande att varje

197

Sekretess

SOU 2011:20

uppgiftslämnande i strid med ett internationellt avtal skulle kunna anses uppfylla något av de skaderekvisit som gäller enligt 15 kap. 1 § OSL (se t.ex. prop. 1987/88:41 s. 15 f.). Det finns med andra ord situationer då det är nödvändigt med särskilda sekretess- bestämmelser för att Sverige ska kunna fullgöra sin skyldighet i vissa fall att hemlighålla uppgifter som erhållits från andra stater eller från mellanfolkliga organisationer. Sådana bestämmelser kan antingen direkt ange vad som gäller enligt en överenskommelse eller endast hänvisa till de bakomliggande internationella avtalen.

I detta sammanhang bör nämnas att Sverige i vissa fall, genom politiska förhandlingar innan ett internationellt avtal undertecknas, kan undvika att förbinda sig att följa ”omöjliga” sekretess- bestämmelser. Sverige kan med andra ord få till stånd ändringar i föreslagna avtalstexter så att de överensstämmer med svensk rätt. Till exempel kan bestämmelser om förbud att lämna ut hemliga handlingar utan ”the written consent of the originator”, dvs. principen om ”originator control” ändras till ett krav på att Sverige lämnar ut sådana handlingar endast ”after consultation with the originator”. Ofta godtar emellertid andra länder eller mellanfolkliga organisationer inte en sådan uppmjukning, eftersom den inte ger tillräckliga garantier för den eftersträvade sekretessen.

När Sverige måste ingå internationella avtal som ställer icke uppfyllbara krav på sekretess, kan det ändå i vissa fall göras utan att det leder till särskilda lagstiftningsåtgärder i offentlighets- och sekretesslagen. I vissa situationer förklarar Sverige i stället genom en särskild deklaration i samband med avtalet, att de svenska offentlighets- och sekretessreglerna kommer att tillämpas och att Sverige är medvetet om att en tillämpning av de nationella reglerna i strid med det ingångna avtalet kan komma att störa förbindelserna med övriga avtalsparter (en s.k. unilateral declaration). I princip innebär detta att Sverige klargör att det internationella avtalet inte kommer att följas på denna punkt. Genom ett sådant förfarande har Sverige folkrättsligt formellt förbundit sig att uppfylla t.ex. vissa sekretesskrav, samtidigt som de övriga avtalsparterna är medvetna om att Sverige inte kan garantera att så kommer att ske [se t.ex. Sveriges deklaration till överenskommelsen om säkerhets- skydd med det Europeiska Rymdorganet (ESA) den 13 juni 2002]. Eventuella efterföljande konsekvenser av ett svenskt avtalsbrott får då lösas genom politiska förhandlingar.

198

SOU 2011:20

Sekretess

6.4.6Särskilda bestämmelser i offentlighets- och sekretesslagen (2009:400) med anledning av internationella avtal

I detta avsnitt redovisas inledningsvis de generella överväganden som legat till grund för införandet av särskilda sekretessbestäm- melser med anledning av internationella avtal om informations- utbyte som Sverige har ingått med andra länder eller mellanfolkliga organisationer. Därefter lämnas en redogörelse för de materiella bestämmelser i offentlighets- och sekretesslagen som reglerar sådan särskild sekretess inom skilda sakområden. Den senare redo- görelsen är kronologisk såtillvida att de aktuella lagrummen redovisas i den ordning de ursprungligen infördes i sekretesslagen (1980:100) respektive i andra lagar.

Generella principer för de särskilda sekretessbestämmelserna

Det finns inte någon fullständig enhetlighet i utformningen och innebörden av de sekretessbestämmelser som sedan år 1988 har tillkommit på grund av internationella avtal om informationsutbyte som innefattar sekretessåtaganden m.m. från Sveriges sida. Den vanligaste lagstiftningsmodellen i offentlighets- och sekretesslagen innebär emellertid att absolut sekretess gäller för uppgifter som Sverige erhållit eller förfogar över på grund av ett internationellt avtal som innehåller en klausul om att uppgifterna inte får lämnas vidare i det aktuella fallet (a. prop. s. 19) Ofta kompletteras denna sekretess med en bestämmelse om att uppgifterna inte heller får lämnas till andra svenska myndigheter med stöd av sekretess- brytande bestämmelser, om det skulle strida mot det bakom- liggande avtalet. Ett ”typexempel” på en sekretessbestämmelse som tillkommit på grund av ett internationellt avtal kan utformas på följande sätt.

Sekretess gäller, i den mån riksdagen har godkänt avtal härom med främmande stat eller mellanfolklig organisation, hos myndighet i verksamhet som avses i X § för sådan uppgift om enskilds personliga eller ekonomiska förhållanden som myndigheten erhållit/förfogar över på grund av avtalet.

Föreskrifterna i 14 kap. 1–3 §§ sekretesslagen (1989:100), numera 10 kap. 10 §. OSL, får inte i fråga om denna sekretess tillämpas i strid med avtalet.

199

Sekretess

SOU 2011:20

Utformningen av bestämmelserna har sin grund i 27 kap. 5 § OSL och 34 kap. 4 § OSL avseende sekretess i internationellt samarbete inom beskattningsområdet (SFS 1987:1161). De bakomliggande motiven för den bestämmelsen har senare åberopats i ett flertal andra lagstiftningsärenden om sekretess vid internationellt sam- arbete, se t.ex. prop. 1990/91:42 (om insiderhandel) och prop. 1992/93:120 (om EES-avtalet). Regeringen anförde som skäl för införandet av bestämmelsen att enligt 2 kap. 2 § tryckfrihets- förordningen ska en begränsning av rätten att ta del av allmän handling anges noga i offentlighets- och sekretesslagen eller i annan (svensk) lag som offentlighets- och sekretesslagen hänvisar till. Orsaken är att man ska kunna utläsa av offentlighets- och sekretesslagen i vilka fall uppgifter i en allmän handling är hemliga (prop. 1987/88:41 s. 16). I vissa internationella avtal finns det klausuler som säger att andra sekretessregler än de svenska ska tillämpas, om de senare ger ett sämre skydd. Ska Sverige kunna åta sig en sådan avtalsförpliktelse måste den svenska lagstiftningen vara utformad så att en tillräckligt sträng sekretess föreskrivs, eftersom det enligt tryckfrihetsförordningen inte är möjligt att inskränka offentligheten genom att hänvisa till utländsk lag. [Lagrådet har dock uttalat att en hänvisning till en EG-förordning bör kunna likställas med en hänvisning till svensk lag och därför uppfylla kraven i 2 kap. 2 § TF (se prop. 1999/2000:126 s. 283)].

I vissa fall förutsätts i offentlighets- och sekretesslagen att en viss risk för skada ska föreligga för att uppgifter ska kunna sekretessbeläggas. I många fall kan denna konstruktion göra att sekretesskyddet i Sverige är svagare än i andra stater som Sverige vill ingå avtal med (prop. 1987/88:41 s. 16).

En föreskrift om absolut sekretess är däremot särskilt ägnad att tillgodose ett önskemål att den svenska lagstiftningen ska vara minst lika sträng som en utländsk reglering. Det bör därför i vissa fall vara möjligt att i särskilda bestämmelser ge ett sådant sekretesskydd som den utländska staten eller den mellanfolkliga organisationen vill ha för att lämna känsliga uppgifter till Sverige (ibid.).

Regeringen har också konstaterat att de krav som vissa internationella avtal ställer om att uppgifter inte får spridas vidare, inte bara gäller utlämnande av uppgifter till enskilda utan även utlämnande till andra myndigheter (a. prop. s. 17 f.) Enligt 6 kap. 5 § OSL ska en myndighet lämna ut uppgifter till en annan svensk myndighet som begär det, om inte hinder möter på grund av

200

SOU 2011:20

Sekretess

sekretess. I många fall föreligger det inga sådana hinder mot utlämnande på grund av sekretess, trots att sekretess gäller för en uppgift. Anledningen är att det i 10 kap. 15–28 §§ OSL finns eller hänvisas till särskilda sekretessbrytande bestämmelser som tillåter utbyte av hemliga uppgifter mellan myndigheter. Även om det föreskrivs särskilt i offentlighets- och sekretesslagen att en uppgift omfattas av absolut sekretess på grund av kopplingen till ett internationellt avtal, skulle sådana uppgifter alltså ändå kunna lämnas ut från en myndighet till en annan med stöd av de sekretess- brytande bestämmelserna. För att Sverige ska kunna fullfölja sina åtaganden fullt ut – vilket kan inkludera att uppgifter inte får lämnas från en myndighet till en annan – har regeringen ansett att de sekretessbrytande bestämmelserna i 10 kap.15-28 §§ OSL inte bör få tillämpas i den mån det skulle strida mot ett bakomliggande avtal (a. prop. s. 19).

Avslutningsvis bör något nämnas om de problem som kan vara förknippade med den unika svenska meddelarfrihet som i många fall bryter tystnadsplikten, dvs. den i tryckfrihetsförordningen och yttrandefrihetsgrundlagen stadgade rätten att röja även sekretess- belagd information för publicering. Denna meddelarfrihet kan i sin tur brytas genom bestämmelser i offentlighets- och sekretesslagen om s.k. kvalificerad tystnadsplikt (se SOU 2003:99, kap. 16 och 17). Regeringen har konstaterat att det är vanskligt att avgöra vilket utrymme som internationella sekretessregler ger åt uppgifts- lämnande i publiceringssyfte, men att det är möjligt att i mellan- folkliga sammanhang hävda uppfattningen att det finns utrymme för meddelarfriheten (prop. 1992/93:120 s. 11). Slutsatsen från regeringens sida var att ett krav på sekretess i ett internationellt avtal inte nödvändiggör undantag från meddelarfriheten, utan att den frågan får avgöras från fall till fall efter den typ av intresseavvägning som görs också i andra sammanhang.

6.4.7Särskilt sekretessförordnande i domstol

Genom lagen (1990:313) om ömsesidig handräckning i skatte- ärenden godkände riksdagen en Europaråds- och OECD-konven- tion om sådan handräckning. Regeringen ansåg att de huvudsakliga sekretesskrav som ställdes upp i konventionen kunde uppfyllas med stöd av den tidigare införda bestämmelsen 9 kap. 3 § andra stycket sekretesslagen (1980:100) om skattesekretess till följd av

201

Sekretess

SOU 2011:20

internationella avtal (jfr prop. 1989/90:14 s. 22), numera 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena offentlighets- och sekretesslagen. Kraven gällde bl.a. att svenska myndigheter ska tillämpa sekretesslagstiftningen i det land varifrån en viss uppgift kommer, om det landets sekretess är strängare än den svenska. Konventionen ställer emellertid ytterligare krav, som bl.a. berör domstolarna. Av särskild betydelse var kravet på att uppgifter som Sverige fått från en annan stat inte får yppas offentligt i domstolsförfaranden och domstolsavgöranden, om inte ursprungslandet samtycker till det (s.k. originator control). I förarbetena uttalade regeringen att den ökade internationella rörligheten medför ett ökat behov av samarbete mellan skatte- myndigheter i olika länder och att den aktuella konventionen utgör ett instrument som kan leda det internationella samarbetet ett stort steg framåt (a. prop. s. 116 f.). En förutsättning för att Sverige ska kunna delta i det internationella samarbetet på ett meningsfullt sätt ansågs därför vara att de svenska sekretessbestämmelserna ges en sådan utformning att de inte hindrar inhämtandet av uppgifter med stöd av konventionen. För domstolarnas del löstes de på grund av konventionen uppkomna sekretessproblemen i två steg.

För det första infördes det i 5 kap. 1 § rättegångsbalken en bestämmelse som innebär att en domstol alltid ska hålla för- handling inom stängda dörrar om sekretess gäller enligt 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL och det skulle strida mot avtal som avses där att uppgiften röjs vid förhandlingen. Den processuella bestämmelsen är enligt 16 § förvaltningsprocesslagen (1971:291) tillämplig också hos allmän förvaltningsdomstol.

För det andra infördes särskilda bestämmelser i 12 kap. 3 och 4 §§ sekretesslagen (1980:100), sedermera 43 kap. 5, 8, 9 och 10 §§ OSL. En domstol ska sedan dess alltid i dom eller beslut förordna att sekretessen ska bestå för uppgift som har förebringats vid förhandling inom stängda dörrar, om sekretess enligt 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL gäller för uppgiften och det skulle strida mot avtal som avses där att uppgiften röjs. I fråga om sådana uppgifter ska en domstol dessutom alltid förordna att sekretessen ska bestå även för uppgifter som tas in i domen eller beslutet. Domstolen ska med andra ord sekretessbelägga domskälen i den del de innefattar en uppgift som är sekretessbelagd med stöd av 27 kap. 5 § andra och tredje styckena och 34 kap. 4 § första och andra styckena OSL.

202

SOU 2011:20

Sekretess

Bestämmelserna berör främst skattemål i de allmänna förvaltnings- domstolarna (bet. 1989/90:SkU17 s. 57).

6.4.8Rättslig hjälp som avser förundersökning m.m.

Sverige har sedan en längre tid tillbaka deltagit i internationellt rättsligt samarbete, bl.a. genom överenskommelser mellan de nordiska länderna från år 1974 och genom den europeiska konventionen om inbördes rättshjälp i brottmål från år 1959. Detta samarbete har sedan utvecklats genom den Schengenkonvention som flertalet EU-länder är anslutna till (även Norge och Island deltar i samarbetet). I konventionen finns bestämmelser om rättsligt samarbete och praktiska åtgärder med syftet att genomföra avvecklingen av gränskontrollerna vid EU:s inre gränser. Som en följd av Schengenkonventionen, bilaterala avtal med Kanada och Australien samt vissa EU-rättsakter, infördes i Sverige år 2000 en ny lag (2000:562) om internationell rättslig hjälp i brottmål.

I förarbetena diskuterade regeringen frågor om sekretess i samband med nämnda internationella avtal och den nya lagen. Bland annat konstaterades att tidigare centrala konventioner inom området saknar bestämmelser om sekretess, men att frågor om offentlighet och sekretess har fått allt större betydelse i det europeiska samarbetet i Europarådet och inom EU. I fråga om det internationella rättshjälpssamarbetet konstaterade regeringen att en ansökan om rättslig hjälp och andra uppgifter som lämnas av en annan stat måste åtnjuta sekretesskydd för att inte motverka brottsutredningen i den ansökande staten. Med hänvisning till ett JO-beslut (1997/98 s. 112) fann regeringen att sekretessen enligt 18 kap. 1–3 §§ OSL till skydd för brottsutredande verksamhet inte var tillämplig i förhållande till utredningar som utförs på ansökan av en främmande stat (prop. 1999/2000:61 s. 164). Behovet av sådan sekretess var däremot enligt regeringen detsamma och det ansågs inte självklart att uppgifter alltid kan hemlighållas med stöd av den generella bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Regeringen gjorde därför bedömningen att en ny bestämmelse behövde införas i offentlighets- och sekretesslagen.

Med anledning av att Sverige tillträdde Romstadgan för Interna- tionella brottmålsdomstolen fann regeringen att motsvarande skäl för en ny sekretessbestämmelse gjorde sig gällande även i fråga om sekretess i Sverige för ansökningar om rättslig hjälp eller om

203

Sekretess

SOU 2011:20

överlämnande av misstänkta, som domstolen lämnar till de anslutna staterna. Däremot fann regeringen att de sekretesskrav som kan ställas på underrättelser som domstolens åklagare lämnar till anslutande stater om pågående eller förestående utredning, i allmänhet torde kunna omfattas av utrikessekretess enligt 15 kap. 1 § OSL. Enligt 18 kap. 17–18 §§ OSL gäller således numera sekretess i verksamhet som avser rättslig hjälp på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till bl.a. utredning enligt bestämmelserna om förundersökning i brottmål. Sekretessen gäller om det kan antas att den rättsliga hjälpen har begärts under förutsättning att uppgifterna inte röjs. Skade- rekvisitet är alltså utformat med utgångspunkt i den ansökande statens vilja att hemlighålla uppgifter. Anledningen till att den utländska staten eller en mellanfolklig domstol på det sättet får förfoga över sekretessen i Sverige, är de svårigheter som en svensk myndighet skulle ha att bedöma behovet av sekretess i en annan stats förundersökning eller i Internationella brottmålsdomstolens brottsutredningar. Motsvarande sekretess gäller enligt samma paragraf också för vissa uppgifter hos Rikspolisstyrelsen, Tullverket och Kustbevakningen som rör angelägenheter enligt lagen (2000:344) om Schengens informationssystem.

På motsvarande sätt som för förundersökningssekretess enligt 18 kap. 1–3 §§ OSL gäller kvalificerad tystnadsplikt för uppgifter om vissa tvångsåtgärder som omfattas av sekretess enligt 18 kap. 17 §. Meddelarfriheten är alltså inskränkt.

6.5Särskilda sekretessbestämmelser i andra lagar

För att handlingsoffentligheten ska kunna inskränkas krävs enligt 2 kap. 2 § tryckfrihetsförordningen att begränsningen anges noga i offentlighets- och sekretesslagen eller i annan lag som offentlig- hets- och sekretesslagen hänvisar till. Sådana hänvisningar görs i 7 kap. 1 § och 9 kap. 2 § OSL till de nedan redovisade lagarna. Dessa lagar innehåller bestämmelser som begränsar möjligheterna för en svensk myndighet att utnyttja vissa uppgifter som den har fått från en myndighet i en annan stat, t.ex. att lämna uppgifterna till andra svenska myndigheter.

7 kap. 1 § OSL stadgar att om enligt lagen förbud gäller mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad.

204

SOU 2011:20

Sekretess

9 kap. 2 § OSL har följande lydelse.

Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (2000:343) om internationellt polisiärt samarbete,

2.lagen (2000:344) om Schengens informationssystem,

3.lagen (2000:562) om internationell rättslig hjälp i brottmål,

4.lagen (2000:1219) om internationellt tullsamarbete, och

5.lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar.

Angående vår bedömning rörande eventuella ändringar i OSL med anledning av dataskyddsrambeslutet, se avsnitt 12.3.4 nedan.

6.5.1Lagen (2000:343) om internationellt polisiärt samarbete och lagen (2000:562) om internationell rättslig hjälp i brottmål

I avsnitt 6.4.8 redovisas kort bakgrunden till bestämmelsen om sekretess i 18 kap. 17 § OSL, bl.a. Sveriges anslutning till Schengenkonventionen. Särskilda bestämmelser som utöver denna sekretess begränsar svenska myndigheters möjlighet att använda sig av uppgifter som har lämnats av en annan stat finns i 3 § lagen om internationellt polisiärt samarbete och i 18 kap. 1-4 §§ lagen om internationell rättslig hjälp i brottmål (som gäller för åklagare och domstolar). Bestämmelserna ska tillämpas om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse som är bindande för Sverige. Om överenskommelsen innehåller villkor som begränsar möjligheten att använda uppgifterna eller bevisning- en vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning.

Regeringen har i förarbetena till den aktuella lagstiftningen konstaterat att det i konventioner ofta förekommer bestämmelser och villkor om begränsning i rätten att använda bevismaterial m.m. som överlämnats från en annan stat, t.ex. i Schengen- och Dublinkonventionerna samt i bilaterala avtal med Australien och Kanada. Sådana internationellt avtalade bestämmelser kan för svenskt vidkommande medföra att en konflikt uppkommer mellan

205

Sekretess

SOU 2011:20

bestämmelserna i överenskommelsen och inhemska regler om en myndighets skyldighet att fullgöra sina myndighetsuppgifter, inte minst inom det straffrättsliga området. Orsaken är att den s.k. officialprincipen gäller för svenska myndigheter. Den innebär bl.a. att en polis eller åklagare i princip är skyldig att inleda för- undersökning så snart det finns anledning att anta att ett brott som lyder under allmänt åtal har begåtts.

Regeringen menade att denna konflikt måste undanröjas för att förhindra att svenska myndigheter tvingas avstå från viktig information som en främmande stat är villig att lämna. Det ansågs således nödvändigt att Sverige vidtog ovan nämnda lagstiftnings- åtgärder för att därigenom kunna uppfylla de villkor som det internationella samarbetet ställer för att Sverige över huvud taget ska få tillgång till information som ökar möjligheterna att komma till rätta med allvarlig brottslighet.

6.5.2Lagen (2000:344) om Schengens informationssystem

Enligt lagen om Schengens informationssystem ska Rikspolis- styrelsen föra ett automatiserat register som utgör den svenska nationella enheten i Schengens informationssystem (SIS) och är anslutet till det centrala informationssystemet inom SIS. Registret ska vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar till svensk polis för att främja samarbete som avser polisiära och rättsliga frågor samt frågor om inresa och uppe- hållstillstånd.

Enligt lagen får registret endast användas för vissa angivna ändamål. Den svenska polisen har genom SIS tillgång till uppgifter som har förts in i registret av andra stater.

I 10 § nämnda lag finns en bestämmelse som innebär att en svensk myndighet inte får utnyttja en uppgift i SIS för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften också för andra ändamål som anges i lagen. Bestämmelsen innebär alltså att de övriga Schengenstaterna i viss mån förfogar över den svenska polisens rätt att utnyttja uppgifter som den har tillgång till i SIS.

206

SOU 2011:20

Sekretess

6.5.3Lagen (2000:1219) om internationellt tullsamarbete

År 2001 trädde en ny lag om internationellt tullsamarbete i kraft. Den är tillämplig på sådant samarbete som följer av en interna- tionell överenskommelse med en annan stat eller en mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Med stöd av såväl flera bilaterala tullsamarbetsavtal och internationella konventioner som EU-förordningar, deltar Sverige i ett omfattande internationellt samarbete av det slag som avses i lagen. I dessa avtal finns bestämmelser om såväl inskränkning i förfoganderätten över som sekretess för uppgifter som lämnas mellan avtalsstaterna. Bestäm- melserna innebär att samarbetande stater kan ställa upp villkor för hur uppgifter som lämnas ut får användas av den stat som tar emot dem.

Med hänvisning till den dåvarande lagen om internationellt samarbete på brottmålsområdet ansåg regeringen att det i en ny lag om tullsamarbete måste införas en bestämmelse som möjliggör för Sverige att ta emot uppgifter från andra stater på de villkor som ställs upp vid utlämnandet. Därför framgår det av 4 kap. 2 § lagen om internationellt tullsamarbete att om en behörig svensk myndig- het vid tillämpning av lagen har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse som omfattas av lagen och som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska den svenska myndigheten följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning.

6.6Övrig gällande rätt inom området

6.6.1Tystnadsplikt i registerförfattningar

Några registerförfattningar innehåller bestämmelser om tystnads- plikt för den som får del av uppgifter ur registren. Sådana bestäm- melser finns i 19 § lagen om belastningsregister och 14 § lagen om misstankeregister.

Bestämmelserna är utformade på samma sätt och innebär att den som med stöd av lagen har fått del av uppgifter om annans personliga förhållanden inte obehörigen får röja dessa uppgifter.

207

Sekretess

SOU 2011:20

Den som bryter mot en sådan tystnadsplikt kan straffas enligt 20 kap. 3 § brottsbalken.

Regleringen ska ses mot bakgrund av att den som bedriver viss verksamhet, bl.a. den som beslutar om anställning av personer inom psykiatrisk vård, vård av utvecklingsstörda eller vård av barn och ungdom, kan ha rätt att få utdrag ur registren i fråga även om verksamheten bedrivs i privat regi. Registerkontroll är numera obligatorisk inom vissa sektorer, se exempelvis lagen (2000:783) om registerkontroll av personal inom förskoleverksamhet, skola och barnomsorg.

I det allmännas verksamhet tillämpas, som tidigare nämnts, i stället offentlighets- och sekretesslagen.

6.6.2Regler om informationssäkerhet

I 9 § säkerhetsskyddslagen (1996:627) finns vissa regler om informationssäkerhet. Dessa syftar till att skydda sekretessbelagda handlingar som rör rikets säkerhet mot att dessa röjs, ändras eller förstörs (6 och 7 §§). I 12 § säkerhetsskyddsförordningen (1996:633) finns ytterligare föreskrifter med inriktning på skyddet för register och system för automatisk databehandling som innehåller sekretessbelagda uppgifter av nyss nämnt slag. Vidare föreskrivs att myndigheter och andra som omfattas av reglerna i förordningen ska förvissa sig om att mottagaren har fullgod informationssäkerhet innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll.

Regelverket om arkivering räknas också som bestämmelser om informationssäkerhet (prop. 1997/98:44 s. 92). Som exempel kan nämnas reglerna i 3, 5 och 6 §§ arkivlagen (1990:782) om hur arkivhandlingar och arkiv ska hanteras.

Vidare bör nämnas att regeln i 18 kap. 8 § offentlighets- och sekretesslagen om sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på byggnader eller andra anläggningar, lokaler eller inventarier har ansetts gälla för uppgifter om en tingsrätts datorer och tillhörande utrustning (RÅ 2004:97).

208

7 Övergripande frågeställningar

7.1Utgångspunkter för vårt arbete med dataskyddsrambeslutet

I vårt kommittédirektiv Genomförande av dataskyddsrambeslutet (dir. 2010:17) den 25 februari 2010 har regeringen framhållit att de frågeställningar som är i behov av närmare analys är

•avgränsningen av rambeslutets tillämpningsområde,

•behandlingen av känsliga personuppgifter, och

•användningsbegränsningar.

Vi har vid en genomgång av regeringens proposition 2008/09:16,

Godkännande av Dataskyddsrambeslutet, funnit att det, förutom nämnda områden, även finns ett antal andra frågor som regeringen där anför bör belysas. Sammantaget finns på tjugotvå ställen i regeringens proposition – s. 30, 32, 33, 34, 35, 36, 38, 39, 40, 41, 42, 43, 44, 47, 49, 55, 56 och 57 – angivet olika områden som bör utredas ytterligare.

Vi har i vårt arbete utgått från samtliga de frågeställningar som regeringen har lyft fram i propositionen. Dessa frågeställningar har därmed utgjort utgångspunkten för betänkandets utformning.

De aktuella frågeställningarna finns redovisade i vart och ett av betänkandets kapitel 8–15.

211

Övergripande frågeställningar

SOU 2011:20

7.2Lag, förordning eller myndighetsföreskrifter

Vår bedömning: Bestämmelserna i artiklarna 5, 7, 10, 15, 21 och 22 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) föranleder inte någon ändring i lag eller förordning.

I proposition 2008/09:16, Godkännande av dataskyddsrambeslutet, har det inte pekats på behov av eller föreslagits några lagstiftnings- åtgärder vad gäller dataskyddsrambeslutets artiklar 5 (fastställande av tidsfrister för radering och kontroll), 7 (datoriserade beslut), 10 (registrering och dokumentation), 15 (information på begäran av den behöriga myndigheten), 21 (sekretess i samband med behandlingen av uppgifter) och 22 (säkerhet i samband med behandlingen av uppgifter).

Vi ansluter oss till denna bedömning. Nämnda artiklar för- anleder inte någon ändring i lag eller förordning.

En ytterligare frågeställning är om en reglering som berör personuppgiftsbehandling bör ha lagform för att den enskildes personliga integritet därmed ska kunna ha ett tillfredställande skydd.

Gällande svensk rätt inom området för nu aktuella myndig- heters brottsbekämpande verksamhet m.m. har både lag- och förordningsform. För flertalet av de registerförfattningar som i nuläget är förordningar finns dock i olika betänkanden förslag om ändringar till lagform (se vidare kap. 4).

Regeringen har i denna del i prop. 2008/09:16 s. 30 framhållit följande.

Även om det i det fortsatta lagstiftningsarbetet med att genomföra rambeslutet – beroende på vilka förändringar som har hunnit ske – kan vara lämpligt att överväga om viss reglering av personuppgifts- behandling som finns i förordning bör ges i lagform kan det dock inte hävdas att Sverige på den grunden inte uppfyller förpliktelserna i ram- beslutet, så länge författningarna i övrigt uppfyller kraven. Att vissa författningar inte har lagform spelar alltså ingen roll i det avseendet.

En utgångspunkt i svensk rätt är att det i 2 kap. 6 § andra stycket regeringsformen stadgas att var och en är ”…gentemot det allmänna skyddad mot betydande intrång i den personliga

212

SOU 2011:20

Övergripande frågeställningar

integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden”.

I vårt arbete har vi som utgångspunkt haft att grundläggande frågor bör regleras i lag, medan detaljfrågor lämpligen bör regleras i förordning.

Frågor om regleringen av personuppgifter har behandlats av konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll ska regleras särskilt i lag (se bet 1990/91:KU11 s. 11 och 1997/98:KU8 s. 48). Denna uppfattning har även regeringen givit uttryck för (se bl.a. prop. 1990/91:60 s. 58).

Enligt vår mening är den automatiserade behandling av person- uppgifter som förekommer inom den brottsbekämpande verksamheten m.m. hos de i betänkandet aktuella myndigheterna (se kap. 4) av sådan karaktär och omfattning att de grundläggande principerna för behandling givetvis bör slås fast i lag.

Mot bakgrund av det föreliggande lagstiftningsarbetet (se kap. 4) vad avser de i betänkandet aktuella myndigheterna och med beaktande av regeringens uttalande i prop. 2008/09:16 ovan, finner vi emellertid inte skäl i detta sammanhang att föreslå någon ändring av utformningen av registerförfattningarna i det avseendet att en författning ska vara lag i stället för förordning.

Vi har därför i våra förslag nedan (se kap. 8–15) utgått från gällande rätt inom området och – där exempelvis en register- författning utgör en förordning – föreslagit tillägg eller justeringar i gällande författning.

213

8Dataskyddsrambeslutets tillämpningsområde m.m.

8.1Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) hänvisas till propositionen Godkännande av data- skyddsrambeslutet (prop. 2008/09:16) och att det däri anges ett par områden där det finns skäl att närmare analysera behovet av lagändringar. Ett av dessa områden är avgränsningen av dataskydds- rambeslutets tillämpningsområde. Nedan följer en genomgång av dataskyddsrambeslutets syfte, allmänt om dess tillämpningsområde och undantagen härifrån.

8.2Allmänt om dataskyddsrambeslutets syfte och tillämpningsområde

Artikel 1 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) omfattar bestämmelser om dataskyddsrambeslutets syfte och innehåll. Innehållet i artikeln är följande.

1.Syftet med detta rambeslut är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, särskilt när det gäller deras rätt till privatliv, med avseende på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete enligt avdelning VI i fördraget om Europeiska unionen och samtidigt garantera en allmän säkerhet på hög nivå.

2.I enlighet med detta rambeslut ska medlemsstaterna skydda fysiska personers grundläggande fri- och rättigheter, och särskilt deras rätt till privatliv, när personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

215

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

a)överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna,

b)överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som in- rättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c)överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informa- tionssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättandet av Europeiska gemenskapen.

3.Detta rambeslut gäller för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

4.Detta rambeslut påverkar inte viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

5.Detta rambeslut hindrar inte medlemsstaterna från att föreskriva strängare säkerhetsåtgärder för skydd av personuppgifter som samlas in eller behandlas på nationell nivå än de som fastställs i detta rambeslut.

8.2.1Syftet med dataskyddsrambeslutet

Syftet med dataskyddsrambeslutet är således enligt artikel 1 punkten 1 ovan att säkerställa en hög skyddsnivå för fysiska personer när det gäller behandling av personuppgifter. Denna punkt kan närmast ses som en programförklaring (jfr prop. 2008/09:16 s. 30).

Vi anser att det i denna del inte föreligger skäl att föreslå någon ändring eller något tillägg i lag eller förordning.

8.2.2Skydd enbart för fysiska personer?

Av artikel 1 punkten 2 framgår att dataskyddsrambeslutet ska skydda fysiska personers grundläggande fri- och rättigheter m.m. Formellt sett faller således överföring av uppgifter om juridiska personer utanför rambeslutet.

I svensk lagstiftning finns dock i viss utsträckning exempel på motsvarande skydd även för juridiska personer, t.ex. 19 § lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet och 1 kap. 3 § polisdatalagen (2010:361).

216

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

I detta sammanhang ska även framhållas att artikel 1 punkten 5 i dataskyddsrambeslutet möjliggör för medlemsstaterna att ha ett starkare nationellt skydd än vad som framgår av dataskydds- rambeslutet (jfr även skäl 8 i dataskyddsrambeslutets inledande delar).

Vi anser mot bakgrund härav att det inte finns skäl att föreslå ändring eller tillägg i lag eller förordning i denna del.

8.2.3Enbart personuppgifter som förts över eller har gjorts tillgängliga?

På sätt som anges i artikel 1 punkten 2. a) kan, formellt sett, tillämpningsområdet anses omfatta endast uppgifter som överförs eller görs tillgängliga, eller har överförts eller gjorts tillgängliga, mellan medlemsstater.

Detta utgör således strikt sett ett mycket snävt tillämpnings- område.

Av Justitiedepartementets promemoria Ds 2008:30; Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 154 fram- går dock i detta sammanhang följande.

Under förhandlingsarbetet har ett flertal stater, bland dem Sverige, motsatt sig att rambeslutet ska tillämpas på all nationell lagstiftning som rör personuppgiftsbehandling inom rambeslutets tillämpnings- område. Huvudskälen för detta var dels att rambeslutet i så fall skulle gå utöver Europeiska unionens rätt att besluta i mellanstatliga frågor, dels att det skulle kunna leda till kompromisser som för enskilda stater skulle innebära ett svagare integritetsskydd för den enskilde.

Under förhandlingarna har diskuterats om rambeslutet också bör omfatta alla uppgifter som kan komma att överföras eller göras tillgängliga mellan medlemsstater eller mellan medlemsstater och tredje land eller internationella organ. Den politiska överenskommelse som träffats om innehållet ställer inte krav på detta. Däremot är det en klart uttalad målsättning med rambeslutet att dataskyddet vid nationell behandling ska hålla samma standard som krävs enligt detta, i syfte att underlätta informationsutbytet inom Europeiska unionen (skäl 6 a).

Motsvarande inställning framgår i prop. 2008/09:16 s. 31.

Vi instämmer i bedömningen i nämnda förarbeten. Dataskydds- rambeslutet kan således inte frånkännas betydelse för den nationella lagstiftningen och tillämpningen i övrigt. Utgångs-

217

Dataskyddsrambeslutets tillämpningsområde m.m. SOU 2011:20

punkten bör därför vara att svensk lagstiftning anpassas till rambeslutet där detta är möjligt och lämpligt.

8.2.4Behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

I artikel 1 punkten 2. b) anges att dataskyddsrambeslutet är tillämpligt på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete enligt avdelning VI1 i fördraget om Europeiska unionen, dock endast när personuppgifter samlas in, bearbetas eller behandlas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Polisiärt eller rättsligt samarbete i annat syfte än det ovan nämnda faller således utanför dataskyddsrambeslutets tillämpnings- område.

Uppgifter i exempelvis passregistret omfattas t.ex. inte av tillämpningsområdet, eftersom uppgifterna samlats in och behandlats för annat ändamål.

Utanför tillämpningsområdet faller också rättslig hjälp i civil- mål, liksom även utbyte av information som rör offer för olycks- händelser (jfr prop. 2008/09:16 s. 31 och Ds 2008:30 s. 151).

Vi finner inte skäl att föreslå någon ändring i lag eller förordning i denna del.

8.2.5Personuppgifter som gjorts tillgängliga av eller för myndighet eller informationssystem som inrättats enligt EU-fördrag

Dataskyddsrambeslutet omfattar enligt artikel 1.2. a)–c) behandling av personuppgifter som

a)överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna,

b)överförs, har överförts, görs eller har gjorts tillgängliga av

medlemsstaterna till myndigheter eller informationssystem som

1 Bestämmelserna i avdelning VI i det i artikeln nämnda EU-fördraget om polissamarbete och straffrättsligt samarbete har – genom Lissabonfördraget av den 13 december 2007 om ändring av fördraget om Europeiska unionen och fördraget om upprättandet av Europeiska gemenskapen – ersatts med bestämmelserna i kapitlen 1, 4 och 5 i avdelning IV (omnumrerad V) i tredje delen i Fördraget om EU:s funktionssätt (EUF-fördraget).

218

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c) överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen.

Under b) och c) ovan anges således att personuppgifter har gjorts tillgängliga av eller för myndighet eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen. Detta kan utgöra information till och från t.ex. Europol, Eurojust eller det EU-gemensamma informationssystemet för visering, VIS, (se vidare kap. 5 ovan).

Överföring m.m. av personuppgifter till och från EU- myndigheter, EU-organ eller EU-gemensamma informations- system omfattas således av dataskyddsrambeslutets bestämmelser.

Utgångspunkten i vårt arbete med anpassningen av svensk rätt till dataskyddsrambeslutets bestämmelser är dock att person- uppgifter överförs m.m. från andra medlemsstater.

I detta sammanhang kan övervägas om det i våra förslag till ny svensk författning (se vidare kap. 12 nedan) krävs ett uttryckligt tydliggörande att den aktuella överföringen m.m. av person- uppgifter även ska omfatta myndighet eller informationssystem som har inrättats i enlighet med fördraget om Europeiska unionen.

Då personuppgifter – som lämnas från en EU-myndighet, ett EU-organ eller ett informationssystem inom EU – ursprungligen härstammar från de olika medlemsstaterna, finner vi emellertid att det inte är nödvändigt med ett sådant förtydligande.

Angående vårt ställningstagande i denna del i vår föreslagna nya lag, se vidare kap. 12.5, 12.8 och 12.9 nedan.

8.2.6Behandling av personuppgifter som utförs helt eller delvis automatiserat och som ingår i eller är avsedda att ingå i register

Dataskyddsrambeslutets tillämpningsområde omfattar enligt artikel 1 punkten 3 dels behandling av personuppgifter som utförs helt eller delvis automatiserat, dels annan behandling av personuppgifter som ingår i eller kommer att ingå i register.

219

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

Tillämpningsområdet motsvarar i denna del Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet har i sin tur – genom införandet av personuppgiftslagen – varit utgångspunkten för utformningen av särlagstiftning angående behandling av personuppgifter vad gäller utarbetade förslag till författningar om personuppgiftsbehandling inom Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltnings- domstolar, Tullverket och åklagarväsendet samt har samma grund- läggande tillämpningsområde som personuppgiftslagen (1998:204). Mot bakgrund härav är således tillämpningsområdet inom svensk lagstiftning såvitt nu är ifråga i grunden detsamma som det som anges i dataskyddsrambeslutet. Dessutom omfattas också sådan verksamhet som anges i artikel 1 punkten 2 ovan. Att dataskydds- rambeslutet är tillämpligt på uppgifter som är avsedda att ingå i ett register innebär att det inte bara är tillämpligt på uppgifter som har överförts elektroniskt, utan även på uppgifter mottagna i hand- lingar om uppgifterna ska registreras (jfr prop. 2008/09:16 s. 31).

Även särskilda författningar om enskilda register, exempelvis författningarna om belastningsregister, misstankeregister, strafförelägganderegister och ordningsbotsregister, reglerar behandlingen i register och faller därmed automatiskt under dataskyddsrambeslutets tillämpningsområde i de fall registren i fråga har brottsbekämpning, lagföring eller straffverkställighet som ändamål.

Andra register som inte har detta ändamål faller således utanför tillämpningsområdet, exempelvis polisens passregister. Även Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och Tullverket för register som ligger utanför tillämpningsområdet.

Vi finner inte skäl att med anledning av dataskyddsrambeslutets tillämpningsområde föreslå någon ändring i lag eller förordning avseende denna punkt i artikeln.

220

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

8.3Verksamhet som undantas från dataskyddsrambeslutets tillämpningsområde

Vår bedömning: Den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet.

Endast vad gäller vissa mindre delar av verksamheten kan en annan bedömning göras. Vi finner i detta sammanhang det varken möjligt eller lämpligt att exakt ange vilka delar av Säkerhetspolisens verksamhet som inte skulle komma att omfattas av frågor som rör nationell säkerhet.

Detta medför, enligt vår mening, att Säkerhetspolisens verksamhet i sin helhet bör anses omfattas av begreppet nationell säkerhet i den mening som avses i dataskyddsram- beslutet och – som en följd härav – undantas från dataskydds- rambeslutets tillämpningsområde (jfr avsnitt 12.3.5 nedan).

Annan verksamhet än Säkerhetspolisens ska inte, med beaktande av artikel 1 punkten 5 i dataskyddsrambeslutet, undantas från tillämpningsområdet.

8.3.1 Frågor rörande nationell säkerhet

Artikel 1 punkten 4 i dataskyddsrambeslutet har följande lydelse.

Detta rambeslut påverkar inte viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Den engelska versionen har i sin tur följande lydelse.

This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.

Det nämnda undantaget omfattar således verksamhet som avser frågor rörande nationell säkerhet.

Skäl föreligger därmed att dels undersöka vad som menas med nationell säkerhet i detta sammanhang, dels utreda hos vilka myndigheter sådan verksamhet kan förekomma.

221

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

Definition av begreppet

När begreppet nationell säkerhet ska definieras i detta sammanhang är en inledande frågeställning om detta begrepp är detsamma eller om det skiljer sig från det i svensk rätt förekommande begreppet rikets säkerhet.

I personuppgiftslagen respektive dataskyddsdirektivet, före- kommer begreppen rikets respektive statens säkerhet.

Enligt 8 a § personuppgiftslagen får regeringen meddela före- skrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till bl.a. a) rikets säkerhet.

Regeringen är således bemyndigad att, med hänsyn till vissa angivna intressen – däribland rikets säkerhet – meddela föreskrifter om undantag från en rad bestämmelser i personuppgiftslagen.

Paragrafen är avsedd att ha samma innebörd som artikel 13.1 i dataskyddsdirektivet, av vilken framgår bl.a. följande.

Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till a) statens säkerhet.

I den engelska versionen av direktivet har motsvarande begrepp lydelsen ”national security”.

Begreppet ”statens säkerhet” i direktivet har bytts ut mot ”rikets säkerhet” i personuppgiftslagen utan att någon saklig skillnad är avsedd (Öman/Lindblom: Personuppgiftslagen, en kommentar, 3 uppl., s. 155).

Av EG-kommissionens förklaring till dataskyddsdirektivet framgår att begreppet är avsett att omfatta skydd av den nationella suveräniteten mot såväl interna som externa hot (jfr SOU 1993:10, En ny datalag, bil. s. 184).

Det i dataskyddsrambeslutet aktuella begreppet nationell säkerhet (national security) är, enligt vår mening, inte avsett att utgöra någon saklig skillnad jämfört med begreppen statens respektive rikets säkerhet (national security) i dataskyddsdirektivet respektive personuppgiftslagen.

222

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

Allmänt om Säkerhetspolisens verksamhet

Av prop. 2008/09:16 s. 32 framgår att, så som undantaget är utformat, Säkerhetspolisens verksamhet i allt väsentligt faller utanför dataskyddsrambeslutets tillämpningsområde men att i det kommande lagstiftningsarbetet måste tydliggöras för vilka delar av Säkerhetspolisens personuppgiftsbehandling som detta är fallet.

Skäl föreligger därför att inledningsvis närmare undersöka vilken typ av verksamhet som Säkerhetspolisen bedriver.

Säkerhetspolisen har enligt 2 § förordningen (2002:1050) med instruktion för Säkerhetspolisen till uppgift att inom Rikspolis- styrelsen leda och bedriva polisverksamhet för att förebygga och avslöja brott mot rikets säkerhet (jfr förordningen med instruktion för Rikspolisstyrelsen 4, 6 och 14 §§).

Säkerhetspolisens verksamhet delas in i fem huvudområden.

•Kontraspionageverksamheten – som har till uppgift att förebygga och avslöja spioneri, olaglig underrättelseverksamhet och andra brott mot rikets säkerhet.

•Kontraterrorismverksamheten – som har till uppgift att förebygga och avslöja terrorism som riktas mot Sverige eller utländska intressen här i landet, terroristhandlingar i andra länder samt förekomsten av internationella terroristnätverks förgreningar i Sverige.

•Personskyddsverksamheten – som utgör bevaknings- och säkerhetsarbete av bl.a. den centrala statsledningen.

•Den författningsskyddande verksamheten – som syftar till att förebygga och avslöja brott mot rikets inre säkerhet, dvs. olaglig verksamhet som syftar till att med våld, hot eller tvång ändra vårt statsskick, förmå beslutande politiska organ eller myndigheter att fatta beslut i en viss riktning eller att hindra enskilda medborgare från att utöva sina grundlagsfästa fri- och rättigheter.

•Säkerhetsskyddsverksamheten – som arbetar för att höja säkerhetsnivån i samhället och där Säkerhetspolisen ger råd till och kontrollerar myndigheters och företags verksamhet i syfte att skydda mot spioneri, sabotage och andra brott som kan röra rikets säkerhet, att skydda hanteringen av uppgifter som har betydelse för rikets säkerhet och att förebygga terrorism. I arbetet ingår att genomföra registerkontroll av personer efter

223

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

framställan från berörda myndigheter eller i vissa fall annan stat eller mellanfolklig organisation.

Frågan om viktiga nationella säkerhetsintressen

I den aktuella artikeln anges ordagrant undantag från tillämpnings- området för ”…viktiga nationella säkerhetsintressen…”. En bedömning får göras hur denna formulering ska tolkas i samman- hanget. Ledning kan här fås från regeringens uttalande i prop. 2008/09:16 s. 62–63.

Enligt Säkerhetspolisens mening ger formuleringen av undantaget för viktiga nationella säkerhetsintressen och särskild underrättelse- verksamhet inom området nationell säkerhet upphov till frågor då den kan tolkas som att det finns områden som berör nationell säkerhet som faller inom tillämpningsområdet. Säkerhetspolisen har också pekat på att viss del av myndighetens verksamhet inte kan sägas röra nationell säkerhet och därmed kan komma att omfattas av regelverket i rambeslutet.

Såväl Säkerhetspolisen som Skatteverket har understrukit vikten av att det i det kommande lagstiftningsarbetet klargörs i vilka avseenden respektive myndighet omfattas av rambeslutet.

När det gäller undantaget för viktiga nationella säkerhetsintressen kan regeringen dela Säkerhetspolisens synpunkt att rambeslutet ger utrymme för tolkning när det gäller vad som ska anses vara ett viktigt nationellt intresse och vad som inte når upp till den graden.

Enligt regeringens mening torde – med hänsyn till hur arbetet är fördelat mellan Säkerhetspolisen och den öppna polisen i Sverige - den slutsatsen dock kunna dras att all verksamhet som Säkerhetspolisen bedriver som rör nationell säkerhet faller utanför rambeslutets tillämpningsområde.

Vi gör i denna del motsvarande bedömning som i nämnda förarbeten, dvs. att all Säkerhetspolisens verksamhet som avser nationell säkerhet är undantagen från dataskyddsrambeslutets tillämpningsområde.

I den del Säkerhetspolisens verksamhet inte rör nationell säkerhet – och då övriga förutsättningar enligt avsnitt 8.2 är upp- fyllda – omfattas verksamheten av dataskyddsrambeslutets tillämpningsområde.

224

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

Verksamhet som rör rikets/nationell säkerhet vid Säkerhetspolisen

I och med att övervägande delar av Säkerhetspolisens verksamhet omfattar frågor som tar direkt sikte på rikets/nationell säkerhet faller således stora delar av den verksamhet som Säkerhetspolisen bedriver utanför dataskyddsrambeslutets tillämpningsområde.

Frågan vad som utgör ett hot mot rikets säkerhet är alltså av avgörande betydelse.

Det finns ingen legaldefinition av vad som utgör ett brott mot rikets säkerhet. I kap. 18 och 19 brottsbalken finns de straff- bestämmelser som har som primärt syfte att utgöra ett skydd för rikes säkerhet. Detta kan konkret handla om brott riktade direkt mot statsskicket eller den fria åsiktsbildningen. Exempel på detta är spioneri, högförräderi och brott mot medborgerlig frihet.

På en mer konkret nivå kan i sammanhanget ytterligare ledning fås från Rikspolisstyrelsens föreskrift angående polismyndigheter- nas skyldighet att underrätta Säkerhetspolisen om vissa brotts- misstankar m.m. (RPSFS 1999:10 FAP 403-3). Skyldigheten att underrätta Säkerhetspolisen gäller brott i kap. 18 och 19 i brotts- balken. Härutöver anges i föreskriften att Säkerhetspolisen, efter särskilt beslut av myndigheten, alltid ska handha brott mot en rad bestämmelser i 13 kap. brottsbalken. Exempel härpå är brotten sabotage, mordbrand och företagsspioneri, allt under förutsättning att dessa brott har framkallat fara för landets säkerhet, begåtts i politiskt syfte eller om det annars finns särskilda skäl för detta.

I Justitiedepartementets promemoria DS 2008:38; Nationell mobilisering mot den grova organiserade brottsligheten – över- väganden och förslag, s. 33, har generaldirektören för Säkerhets- polisen Anders Danielsson i avsnittet Säkerhetspolisens roll och personsäkerhetsarbetet, framhållit att Rikspolisstyrelsens föreskrift ger vid handen att Säkerhetspolisens ansvarsområde inte begränsas av specifika brottsrubriceringar och att det är Säkerhetspolisen som ytterst har ansvar för att avgöra om ett brott utgör ett hot mot rikets säkerhet.

I nämnda promemoria, Ds 2008:38 s. 34 har vidare, vid tolk- ningen av begreppet, hänvisats till lagförarbetena i propositionen 2005/06:177 s.15; Åtgärder att förhindra vissa särskilt allvarliga brott, varav framgår följande.

Inom författningsskyddsverksamheten bedrivs arbete med att avslöja brott mot rikets inre säkerhet, dvs. olaglig verksamhet som syftar till att med våld, hot eller tvång ändra vårt statsskick, förmå beslutande

225

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

politiska organ eller myndigheter att fatta ett beslut i viss riktning eller att hindra den enskilda medborgaren från att utöva sina grundlagsfästa fri- och rättigheter.

I promemorian Ds 2008:38 s. 34 har härefter anförts följande.

Ett brott mot rikets säkerhet är således olaglig verksamhet som antingen syftar till att omkullkasta det demokratiska statsskicket eller till att påverka den politiska processen på ett otillåtet sätt. För att sådan verksamhet ska anses utgöra ett hot mot rikets säkerhet bör aktören ha kapacitet och avsikt att hota en samhällsfunktion. Aktörer som endast begår denna typ av brott mot enstaka individer anses i allmänhet inte utgöra ett hot mot rikets säkerhet.

I samma promemoria, s. 34, har vidare framhållits att, vid bedöm- ningen, ledning även kan fås genom vad som skrivs i regeringens regleringsbrev till Säkerhetspolisen. I denna del anförs följande.

Utifrån Säkerhetspolisens övergripande uppdrag och nuvarande regleringsbrev har det alltså ingen betydelse om en aktör utövar otillåten påverkan mot viktiga samhällsfunktioner i ett politiskt, ekonomiskt eller, för den delen, något annat syfte. Det som är avgörande är om aktören utövar otillåten påverkan på det demokra- tiska statsskicket och har kapacitet att hota en viktig samhällsfunktion.

Enligt prop. 2008/09:16 s. 63…

…torde viss verksamhet som Säkerhetspolisen bedriver falla utanför begreppet nationell säkerhet och därför omfattas av rambeslutet. När det gäller samtliga berörda myndigheter får det i det fortsatta lagstiftningsärendet närmare utredas hur tillämpningsområdet för de författningsbestämmelser som föranleds av rambeslutet bör avgränsas.

För närvarande regleras personuppgiftsbehandlingen vid Säkerhets- polisen på i huvudsak samma sätt som för polisen i övrigt.

I 5 kap. 1 § polisdatalagen (2010:361) finns särskilda bestämmel- ser om Säkerhetspolisens brottsbekämpande verksamhet. Nämnda paragraf har följande lydelse.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämp- ande verksamhet

Ändamål

1 § Personuppgifter får behandlas i Säkerhetspolisens brottsbekämp- ande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

226

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

a)brott mot rikets säkerhet,

b)terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott,

c)brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, eller

d)tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller beivra sådana brott som avses i 1, eller, efter särskilt

beslut, annat brott,

3.fullgöra uppgifter i samband med personskydd,

4.fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5.fullgöra förpliktelser som följer av internationella åtaganden,

eller

6.lämna tekniskt biträde till Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket.

Enligt vår mening får övervägande delar av de ändamål som anges i paragrafen för Säkerhetspolisens personuppgiftsbehandling inrym- mas under begreppet nationell säkerhet, trots att begreppet rikets säkerhet uttryckligen anges endast under punkten 1. a). I vissa fall är det dock osäkert om verksamheten kan anses falla in under begreppet nationell säkerhet, framförallt vad gäller det som anges under punkten 6 ovan angående tekniskt biträde.

En central och allmän utgångspunkt vid bedömningen om verksamheten utgör en påverkan av den nationella säkerheten eller inte är huruvida det i en viss situation finns en otillåten påverkan på det demokratiska statsskicket eller en kapacitet att hota en viktig samhällsfunktion.

Enligt vår mening är det endast en mindre del av Säkerhets- polisens verksamhet som inte kan komma att röra nationell säkerhet.

Exempel på verksamhet som inte rör nationell säkerhet är, enligt prop. 2008/09:16 s. 32, t.ex. när Säkerhetspolisen biträder den öppna polisen eller Tullverket med hanteringen av hemliga tvångsmedel i deras verksamhet.

Sådant biträde innebär dock endast att Säkerhetspolisen tillhandahåller vissa tekniska system. Då verksamheten därmed är av rent teknisk karaktär och inte medför något utbyte av person- uppgifter med andra stater för Säkerhetspolisens del, berörs nämnda verksamhet således inte av dataskyddsrambeslutets tillämpningsområde.

Personskydd för den centrala statsledningen får räknas som en form av skydd för nationell säkerhet. Vad gäller Säkerhetspolisens

227

Dataskyddsrambeslutets tillämpningsområde m.m.

SOU 2011:20

personskyddsverksamhet omfattande andra kategorier av personer är detta mer tveksamt och skulle i vissa fall kunna anses utgöra verksamhet som inte rör nationell säkerhet.

Vidare torde vissa delar av den verksamhet inom myndigheten som rör t.ex. arbetet mot grov organiserad brottslighet kunna komma att omfattas av rambeslutets tillämpningsområde. Då vi genom tilläggsdirektiv (dir. 2010:112) ska utreda utbyte av person- uppgifter för att motverka grov organiserad brottslighet kan det finnas anledning att på nytt se över denna fråga i det kommande arbetet.

Med beaktande av det ovan anförda anser vi sammanfattningsvis att den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet.

Att dra en exakt gräns för vilka delar av Säkerhetspolisens verksamhet som inte ska anses utgöra nationell säkerhet i data- skyddsbeslutets mening finner vi i detta sammanhang varken möjligt eller lämpligt.

Enligt vår bedömning är den enda rimliga slutsatsen att Säkerhetspolisens verksamhet i sin helhet ska anses omfattas av begreppet nationell säkerhet i den mening som avses i dataskydds- rambeslutet och därmed – som en följd härav – ska anses falla utanför dataskyddsrambeslutets tillämpningsområde (jfr avsnitt 12.3.5 nedan).

Verksamhet som rör nationell säkerhet vid övriga myndigheter

En del polisiära arbetsmetoder som innefattar insamling, bearbetning och hantering av information i register och databaser har påpekats kunna ha ett behov av att undantas från det aktuella regelverket.

Ifrågavarande arbetsmetoder är bl.a. insamling av källinforma- tion och källor, information insamlad av och om informatörer samt uppgifter insamlade av och om s.k. undercover-operatörer. Sådan information utbyts mellan brottsbekämpande myndigheter inom EU.

Vidare finns det vissa polisiära uppgifter som innebär informationshantering i register och databaser där det kan finnas behov av undantag. Exempel på detta är Finanspolisens uppgift inom området penningtvätt och finansiering av terrorism. Dessa

228

SOU 2011:20

Dataskyddsrambeslutets tillämpningsområde m.m.

uppgifter innebär insamling, bearbetning och utbyte av information inom EU.

Den verksamhet och de arbetsmetoder som anförts ovan bedrivs i dag i stor omfattning genom polisens kriminalunderrättelsetjänst (KUT), spaningsverksamhet, det internationella samarbetet eller genom den s.k. aktionsgruppsverksamheten (vanligtvis efter beslut av det myndighetsgemensamma Operativa Rådet).

Ett annat synsätt på problematiken kring begreppet nationell säkerhet är att utgå från att viss brottslig verksamhet i sig är så samhällshotande att det finns skäl att i dessa fall tala om brott mot nationell/rikets säkerhet, oavsett vilken myndighet som handhar utredningen av frågan. Det kan här t.ex. vara fråga om hot och våld mot rättsväsendets företrädare i avsikt att påverka utgången i ett visst mål och i förlängningen vår demokratiska rättsordning.

I nuläget har det t.ex. blivit allt mer förekommande att Säkerhetspolisen och den öppna polisen utreder brott tillsammans. Det kan därför framföras argument för att även andra myndigheter än Säkerhetspolisen ska kunna undantas från dataskyddsram- beslutets tillämpningsområde.

Eftersom en medlemsstat – med beaktande av artikel 1 punkten 5 i dataskyddsrambeslutet och skäl 8 i rambeslutets inledande delar – har möjlighet att ha ett starkare nationellt skydd än vad som framgår av dataskyddsrambeslutet, finner vi emellertid, även med beaktande av vad som anförts ovan, inte skäl att föreslå att andra myndigheter än Säkerhetspolisen ska omfattas av undantaget i artikel 1 punkten 4 dataskyddsrambeslutet.

8.3.2Övriga undantag

Uppgifter som en medlemsstat har fått från en annan medlemsstat, men som har sitt ursprung i den första staten, omfattas inte av dataskyddsrambeslutets tillämpningsområde (jfr skäl 9 i data- skyddsrambeslutets inledande delar).

Undantaget ska ses mot bakgrund av att överföring av uppgifter formellt inte påverkar den nationella lagstiftningen.

Personuppgiftsbehandling av administrativ natur, t.ex. avseende den egna personalen, faller också utanför dataskyddsrambeslutets tillämpningsområde.

229

9Definitioner

9.1Definitioner i dataskyddsrambeslutet

Utredningens bedömning: Artikel 2 i dataskyddsrambeslutet – definitioner – föranleder inte någon ändring i lag eller förordning.

Vid en genomgång av Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) föreligger skäl att närmare undersöka om definitionerna i svensk rätt överensstämmer med definitionerna i dataskyddsrambeslutet (jfr propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09:16 s. 33).

Nedan följer därför en jämförelse mellan definitionerna dels i dataskyddsrambeslutet, dels i Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), samt dels i personuppgiftslagen (1998:204).

Dataskyddsrambeslutet

I artikel 2 i dataskyddsrambeslutet definieras begreppen

a)personuppgifter,

b)behandling av personuppgifter och behandling,

c)blockering,

d)register med personuppgifter och register,

e)registerförare,

f)mottagare,

231

Definitioner

SOU 2011:20

g)den registrerades samtycke,

h)behöriga myndigheter,

i)registeransvarig,

j)markering och

k)avidentifiering.

9.2Definitioner i dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet

I artikel 2 i dataskyddsdirektivet finns i flertalet fall motsvarande definitioner som i dataskyddsrambeslutet. Härvid definieras begreppen

a)personuppgifter

b)behandling av personuppgifter (behandling)

c)register med personuppgifter (register)

d)registeransvarig

e)registerförare

f)tredje man

g)mottagare, och

h)den registrerades samtycke.

Personuppgiftslagen

I 3 § personuppgiftslagen (1998:204), som har sitt ursprung i dataskyddsdirektivet, finns i sin tur definitioner av i huvudsak motsvarande begrepp som ovan enligt följande;

behandling (av personuppgifter), blockering (av personuppgifter), mottagare,

personuppgifter,

personuppgiftsansvarig,

personuppgiftsbiträde,

personuppgiftsombud,

232

SOU 2011:20

Definitioner

den registrerade, samtycke, tillsynsmyndigheten, tredje land, och tredje man.

9.3Övergripande jämförelse mellan definitionerna

Personuppgiftslagens definitioner av begreppen behandling (av personuppgifter), mottagare, personuppgifter, personuppgifts- ansvarig, personuppgiftsbiträde, den registrerade och tredje man är avsedda att ha samma innebörd som motsvarande uttryck har enligt artikel 2 i dataskyddsdirektivet (jfr Öman/Lindblom, Person- uppgiftslagen, en kommentar, 3 uppl., s. 69).

Vad avser begreppet tredje man har i personuppgiftslagen gjorts en precisering att det inte omfattar ett av den personuppgifts- ansvarige utsett personuppgiftsombud. I dataskyddsrambeslutet finns inte någon specifik definition av begreppet tredje man.

Begreppet register förekommer inte i personuppgiftslagen.

Vad avser begreppen ovan föreligger sammantaget enligt vår mening inte skäl att föreslå någon komplettering av svensk rätt med anledning av definitionerna i dataskyddsrambeslutet.

9.4Närmare jämförelse av vissa begrepp

I vissa fall föreligger utöver vad som anförts ovan skäl att närmare jämföra vissa begrepp som finns definierade i dataskyddsram- beslutet med de begrepp som finns definierade i dataskydds- direktivet och personuppgiftslagen, och i förekommande fall före- slå en komplettering av svensk rätt där så bedöms nödvändigt (jfr prop. 2008/09:16 s. 33).

233

Definitioner

SOU 2011:20

9.4.1Blockering/Spärrande

I dataskyddsrambeslutet definieras begreppet blockering enligt följande.

Blockering: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Dataskyddsrambeslutets engelska version anger följande.

‘blocking’ means the marking of stored personal data with the aim of limiting their processing in future.

Någon definition av detta begrepp finns inte i dataskydds- direktivet.

Däremot finns en definition av begreppet blockering i person- uppgiftslagen enligt följande.

En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

Definitionen har utformats mot bakgrund av vad EG-kommis- sionen anfört i sina förklaringar till direktivförslagen (Öman/Lindblom, Personuppgiftslagen, en kommentar, 3 uppl., s. 71 och SOU 1993:10, En ny datalag, bil. s. 183).

Av personuppgiftslagens definition framgår således att blockerade personuppgifter är spärrade och anledningen därtill och att de får användas internt hos den personuppgiftsansvarige och hos ett anlitat personuppgiftsbiträde, under förutsättning att det är där uppgifterna förekommer. Däremot får uppgifterna inte lämnas ut till tredje man, med undantag vad gäller utlämnande av allmänna handlingar enligt 2 kap. tryckfrihetsförordningen (jfr Öman/Lindblom s. 71).

I prop. 2008/09:16 s. 33 har regeringen uppmärksammat skillnaden i definitionerna och framhållit att en närmare analys bör göras av om personuppgiftslagens definition av begreppet behöver anpassas till definitionen i rambeslutet.

Angående denna definition har vi funnit skäl att göra en jämförelse med hur liknande begrepp har definierats i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöver- skridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet).

234

SOU 2011:20

Definitioner

I artikel 24.1 d) i Prümrådsbeslutet finns en snarlik definition av begreppet ovan. Här används dock i stället begreppet spärrande. Artikeln har följande utformning.

Spärrande: märkning av registrerade personuppgifter i syfte att begränsa den framtida behandlingen av dem.

Denna definition har nu också förts in i 6 § förordningen (2010:705) om internationellt polisiärt samarbete som anger följande.

I stället för att gallra personuppgifter enligt 5 § ska uppgifterna spärras, om det finns skäl att anta att gallring skulle innebära skada för den person som uppgifterna rör. Att uppgifterna är spärrade innebär att de endast får behandlas för att tillgodose det syfte som förhindrade gallring.

Vi bedömer sammantaget att inget hindrar att den nu befintliga definitionen i personuppgiftslagen – som utöver definitionen även innehåller ytterligare information om hanteringen av blockerade/spärrade uppgifter – kan kvarstå. Varken innehållet i dataskyddsrambeslutet eller i Prümrådsbeslutet anser vi utgör tillräckliga skäl för att ändra eller komplettera svensk rätt i denna del.

9.4.2Mottagare

I dataskyddsrambeslutet definieras begreppet mottagare enligt följande.

Mottagare: Varje organ till vilken uppgifterna utlämnas.

I den engelska versionen av dataskyddsrambeslutet har i sin tur definitionen följande utformning.

‘Recipient’ means any body to which data are disclosed.

I dataskyddsdirektivet definieras mottagare enligt följande.

Mottagare: Den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare.

235

Definitioner

SOU 2011:20

I personuppgiftslagen anges vidare begreppet mottagare enligt följande.

Mottagare: Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Som anförts ovan är begreppet i personuppgiftslagen avsett att ha samma innebörd som begreppet i dataskyddsdirektivet.

Vid en jämförelse framstår dataskyddsrambeslutets definition som snävare än dataskyddsdirektivets och därmed även person- uppgiftslagens definitioner.

Då det inte föreligger några regler som hindrar medlemsstaterna att införa strängare regler finns, enligt vår mening, inte skäl att föreslå någon justering eller komplettering av svensk rätt.

9.4.3Den registrerades samtycke

I dataskyddsrambeslutet definieras begreppet den registrerades samtycke enligt följande.

den registrerades samtycke: varje slag av frivillig, uttrycklig och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.

Motsvarande definition finns i dataskyddsdirektivet. Personuppgiftslagens definition av begreppet samtycke är också

avsedd att ha samma innebörd som definitionen i dataskydds- direktivet. I lagen har det dock tagits in ett krav på att samtycket ska vara otvetydigt. I de fall där samtycket enligt dataskydds- direktivet dessutom ska vara uttryckligt anges detta direkt i de aktuella paragraferna. Begreppen otvetydigt och uttryckligt har en EG-gemensam innebörd (jfr Öman/Lindblom s. 69).

Enligt vår bedömning är skillnaderna mellan dessa definitioner inte så betydande att det finns skäl att föreslå en komplettering i personuppgiftslagen eller annan svensk författning.

236

10 Ändamålsbestämmelser

10.1Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) anges att utredningen bl.a. närmare ska analysera behovet av lagändringar vad gäller frågan om behandlingen av känsliga personuppgifter.

På sätt som anges i avsnitt 10.5.1 anser vi att förslagen till kompletterande bestämmelser angående registerförfattningarnas behandling av känsliga uppgifter ska läsas tillsammans med utformningen av registerförfattningarnas ändamålsbestämmelser. Bestämningen av ändamål för behandlingen av personuppgifter anses vara av central betydelse från integritetssynpunkt. Skäl före- ligger därför att närmare undersöka hur ändamålsbestämmelserna är utformade i EU-författningar respektive svensk rätt.

10.2Dataskyddsrambeslutet

I artikel 3 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) anges följande angående bl.a. ändamålen.

Principerna om lagenlighet, proportionalitet och ändamål

1.De behöriga myndigheterna får inom ramen för sina uppgifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.

2.Vidare behandling för ett annat ändamål är tillåten om

a)denna vidare behandling inte är oförenlig med det ändamål för vilket uppgifterna samlades in,

239

Ändamålsbestämmelser

SOU 2011:20

b)de behöriga myndigheterna i enlighet med tillämpliga rättsliga bestämmelser är bemyndigade att behandla sådana uppgifter för ett sådant annat ändamål, och

c)denna behandling är nödvändig och står i proportion till det andra ändamålet.

Dessutom får de överförda personuppgifterna behandlas vidare av den behöriga myndigheten för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, som avidentifiering av uppgifterna.

Personuppgifter får, enligt artikel 3 i dataskyddsrambeslutet, således endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

Som huvudregel får uppgifterna endast behandlas för det ändamål som låg till grund för insamlingen av dem.

Personuppgifter får dock också vidarebehandlas för andra ändamål, om dessa inte är oförenliga med dem för vilka uppgifterna först samlades in, allt under förutsättning att de berörda myndigheterna får behandla uppgifterna för givna ändamål enligt nationell rätt och behandlingen dessutom är nödvändig och står i proportion till de ursprungliga ändamålen.

Angående vidarebehandling och användningsbegränsningar se kap. 12.

Som ett allmänt undantag från huvudregeln om att uppgifter bara får behandlas för det ursprungliga ändamålet finns bestäm- melsen i artikel 3 sista stycket i dataskyddsrambeslutet där det anges att uppgifter alltid får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga skyddsåtgärder, såsom avidentifiering av uppgifterna (se vidare avsnitt 12.6 nedan).

Behandlingen av personuppgifter måste alltid vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket uppgifterna samlades in.

I artikel 15 i dataskyddsrambeslutet finns vidare regler som ålägger mottagaren av uppgifter att på begäran av den myndighet som har överfört uppgifterna ge besked om hur uppgifterna behandlas.

Då det i nämnda artikel anges att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och behandlas för det ändamål som låg till grund för insamlingen av dem, är det enligt vår mening av vikt att utreda om det i svensk rätt (personuppgiftslagen respektive de aktuella registerförfattning-

240

SOU 2011:20

Ändamålsbestämmelser

arna) i nuläget finns sådana ändamålsbestämmelser som motsvarar dataskyddsrambeslutets krav.

Av skäl 6 i dataskyddsrambeslutets inledande delar framgår vidare att det får avgöras på nationell nivå vilka ändamål som ska anses vara oförenliga med det ändamål för vilket personuppgifterna ursprungligen insamlades.

Som tidigare anförts (se kap. 7) är dataskyddsrambeslutet tillämpligt endast vad gäller personuppgifter som samlas in, bearbetas eller behandlas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Nedan följer således en genomgång av dataskyddsdirektivet, svensk rätt och förslag till införande av kompletterande ändamåls- bestämmelser (se kap. 10.3–10.5).

10.3Dataskyddsdirektivet

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) innehåller bestämmelser om ändamål med följande innehåll

Ingresspunkt 28)

Varje behandling av personuppgifter måste vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs.

Ingresspunkt 29)

Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämpliga garantier - inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person.

Artikel 6

1.Medlemsstaterna skall föreskriva att personuppgifter

a)skall behandlas på ett korrekt och lagligt sätt,

b)skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt

241

Ändamålsbestämmelser

SOU 2011:20

med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,

c)skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,

d)skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

e)förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

2.Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.

10.4Personuppgiftslagens ändamålsbestämmelser

10.4.1Ändamålsbestämning och finalitetsprincipen

Artikel 3 i dataskyddsrambeslutet motsvaras delvis av bestäm- melserna i 9 § personuppgiftslagen (1998:204).

För behandling som omfattas av personuppgiftslagen gäller vissa grundläggande krav. I exempelvis 9 § personuppgiftslagen finns bestämmelser om krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste följa. När det gäller ändamål anges i 9 § första stycket personuppgiftslagen att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). De insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkt d). Denna sistnämnda bestämmelse kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns alltså inte.

Uppgifterna ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Personuppgiftslagens regler om grundläggande krav på behandlingen i dessa delar gäller inom de nu aktuella verksamhetsområdena.

242

SOU 2011:20

Ändamålsbestämmelser

Enligt 9 § andra stycket personuppgiftslagen ska senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål dock inte anses som oförenliga med de ändamål för vilka uppgifterna samlades in.

Med behandling avses enligt 3 § personuppgiftslagen i detta sammanhang varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhanda- hållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

10.5Registerförfattningarnas ändamålsbestämmelser

10.5.1Allmänt

Registerförfattningar innehåller i regel bestämmelser om ändamål för behandlingar av de uppgifter som omfattas av den särskilda regleringen. I registerförfattningarna finns ofta en hänvisning till 9 § personuppgiftslagen eller en bestämmelse i själva register- författningen med samma innehåll. Den ram för tillåtna behandlingar som ges genom en angivelse av ändamål definieras i regel av 9 § första stycket c) och d) personuppgiftslagen i förening med den aktuella registerförfattningen (jfr SOU 2003:99, Ny sekretesslag, s. 236 och prop. 2002/03:135 s. 55).

Finalitetsprincipens innehåll är något oklar och har varit föremål för diskussion.

Det har bl.a. diskuterats i vad mån ändamålsbestämningar i registerförfattningar ska anses vara uttömmande eller inte. Med andra ord om andra med ändamålsbestämningen inte oförenliga ändamål ska anses vara tillåtna eller inte vid sidan av de uttryckliga ändamålen, då det handlar om en behandling av redan insamlade personuppgifter. – Att myndigheten inom ramen för register- författningens tillämpningsområde inte får behandla person- uppgifter för helt andra ändamål än de i författningen angivna, trots att det om författningen inte funnits skulle ha varit tillåtet enligt 10 § personuppgiftslagen (se avsnitt 2.7.2 ovan), torde stå klart. Det är likaså klart att myndigheten oberoende av ändamålsangivelserna och registerförfattningen i övrigt ska

243

Ändamålsbestämmelser

SOU 2011:20

uppfylla sina skyldigheter att enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen söka efter, sammanställa och lämna ut personuppgifter. Det följer om inte annat av att grundlag tar över författningar av lägre rang. I de särskilda registerförfattningarna anges de tillåtna ändamålen, men av 9 § personuppgiftslagen – som normalt gäller vid behandling som omfattas av en registerförfattning – framgår indirekt (första stycket punkt d) att det inte är otillåtet att personuppgifterna också behandlas för alla ändamål som inte är oförenliga med det för vilket uppgifterna samlades in och (andra stycket) under alla förhållanden för historiska, statistiska och vetenskapliga ändamål. (Sören Öman:

Festskrift till Peter Seipel, 2006 s. 700).

I dessa sammanhang har det uttolkats (bl.a. av Patientdata- utredningen 2006:82) att – om det inte framgår av den aktuella registerförfattningen att ändamålsbestämmelsen syftar till att vara uttömmande och personuppgiftslagen gäller utöver den särskilda registerförfattningen – även andra icke angivna ändamål torde vara tillåtna, om dessa andra ändamål är förenliga med de i författningen angivna ändamålen eller om det är fråga om behandling för historiska, statistiska eller vetenskapliga ändamål.

För den brottsbekämpande verksamheten som bedrivs av Kustbevakningen, Skatteverket och åklagarväsendet, finns bestäm- melser om personuppgiftsbehandling som innebär att bestämmel- sen i 9 § första stycket d) personuppgiftslagen i princip är tillämplig.

I 2 kap. 2 § 3. polisdatalagen (2010:361) regleras bl.a. för- hållandet mellan denna lag och personuppgiftslagen varvid framgår att när personuppgifter behandlas enligt polisdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen gäller 9 §, med undantag för första stycket i) och tredje stycket personuppgifts- lagen, om grundläggande krav på behandling av personuppgifter.

En motsvarande hänvisning finns för Tullverkets del i 6 § första stycket 3. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, men där hänvisningen till personuppgiftslagens bestämmelser om grundläggande krav på behandling i 9 § första stycket är begränsad till punkterna a), b) och e)–h).

Vad särskilt gäller för Tullverkets möjlighet till vidare- behandling för historiska, vetenskapliga och statistiska ändamål, se avsnitt 12.6.

244

SOU 2011:20

Ändamålsbestämmelser

10.5.2Primära och sekundära ändamål

Ett av de grundläggande kraven i personuppgiftslagen är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I registerförfattningarna förekommer ofta även en indelning i primära och sekundära ändamål för behandling av personuppgifter.

Primära ändamål är sådana som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvarig myndighet. Sekundära ändamål är i stället sådana som kan hänföras till andra myndigheters eller enskildas verksamhet; t.ex. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan. Eftersom personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket det samlades in, fyller de sekundära ändamålen sin plats i och med att de anger för vilka andra ändamål än de primära, som uppgifter får behandlas genom, lagring och annan behandling inom den aktuella myndighetens verksamhet (jfr Integritetsskyddskommitténs betänkande, Skyddet för den personliga integriteten – kartläggning och analys, SOU 2007:22 s. 465).

I vissa fall har uppdelningen mellan primära och sekundära ändamål undvikits.

10.5.3Kriminalvården

Av 3 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården framgår följande.

Kriminalvården får behandla personuppgifter bara om det behövs för att

1.myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,

2.underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

3.upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2-9 pågår.

Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.

245

Ändamålsbestämmelser

SOU 2011:20

10.5.4Kronofogdemyndigheten

De av Kronofogdemyndighetens verksamhetsgrenar som omfattas av dataskyddsrambeslutets tillämpningsområde är verkställighet av straff i form av böter och förverkanden som ska indrivas. Dessa områden utgör delar av Kronofogdemyndighetens utsöknings- och indrivningsverksamhet.

Bestämmelserna i 2 kap. lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattar Kronofogdemyndighetens utsöknings- och indrivningsdatabas.

I 2 kap. 2 § i nämnda lag stadgas följande.

Uppgifter får behandlas i databasen för tillhandahållande av informa- tion som behövs i Skatteverkets och Kronofogdemyndighetens verksamhet för

1.verkställighet eller annan åtgärd som särskilt åligger Kronofogde- myndigheten enligt utsökningsbalken eller annan författning,

2.indrivning av statliga fordringar m.m.,

3.avräkning vid återbetalning av skatter och avgifter,

4.ansökan om och tillsyn över näringsförbud,

5.ärenden om ansvar för någon annans skatter och avgifter, och

6.tillsyn, kontroll, uppföljning och planering av verksamheten.

10.5.5Kustbevakningen

Av 4–7 §§ förordningen (2003:188) om behandling av person- uppgifter inom Kustbevakningen framgår följande.

4 §

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet, om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott.

5 §

Personuppgifter får behandlas i den kontroll- och tillsynsverksamhet som Kustbevakningen enligt lag eller förordning har att genomföra, om det är nödvändigt för att inrikta och genomföra verksamheten.

6 §

Personuppgifter får behandlas vid Kustbevakningens handläggning av ärenden om vattenföroreningsavgift enligt lagen (1980:424) om åt-

246

SOU 2011:20

Ändamålsbestämmelser

gärder mot förorening från fartyg eller förordningen (1980:789) om åtgärder mot förorening från fartyg, om det är nödvändigt för att

1.utreda frågan om sådan avgift,

2.besluta om att påföra någon sådan avgift, eller

3.besluta om förbud eller förelägganden som avses i 8 kap. lagen om åtgärder mot förorening från fartyg.

7 §

Personuppgifter får utöver vad som anges i 4-6 §§ behandlas av Kustbevakningen om det är nödvändigt för att planera, följa upp och utvärdera verksamhet som anges där. Känsliga personuppgifter och sådana uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen (1998:204) får därvid behandlas bara om uppgifterna har behandlats för ändamål som avses i 4-6 §§.

I betänkandet av Utredningen om Kustbevakningens person- uppgiftsbehandling (SOU 2006:18 – Kustbevakningens person- uppgiftsbehandling, Integritet – Effektivitet) föreslås att person- uppgifter får behandlas för primära ändamål i Kustbevakningens brottsbekämpande verksamhet om det behövs för att

1.förhindra eller upptäcka brottslig verksamhet, eller

2.utreda eller beivra visst brott.

Uppgifter får även behandlas när det behövs för att utreda och besluta i ärenden om vattenföroreningsavgift.

I betänkandet har föreslagits att registerförfattningen ska gälla i stället för personuppgiftslagen (s. 193). Där anges vidare att det inte föreligger skäl att införa sekundära ändamål (s. 204).

10.5.6Polisen

I 2 kap. 7–8 §§ polisdatalagen (2010:361) anges följande.

7 §

Personuppgifter får behandlas om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden.

8 §

Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

247

Ändamålsbestämmelser

SOU 2011:20

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, polis- myndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3.sådan verksamhet hos polisen som avser handräckningsuppdrag,

4.annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller

6.en myndighets verksamhet

a)om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift, eller

b)om informationen tillhandahålls inom ramen för myndighets- överskridande samverkan mot brott.

Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.

I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första–tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

I nämnda proposition (s. 319) har vidare anförts följande.

Som exempel på situationer där [ 7 §] punkten 3 kan bli tillämplig kan nämnas att Sverige i flera internationella överenskommelser har åtagit sig att inom polisen ha en nationell kontaktpunkt som myndigheter i andra länder kan nå dygnet runt, året om. En sådan kontaktpunkt ska bl.a. kunna ta emot och lagra information samt besvara förfrågningar av olika slag. Detta kräver i många fall personuppgiftsbehandling. Ett annat exempel är när polisen i ett ärende om rättslig hjälp vidtar utredningsåtgärder för en utländsk polismyndighets räkning, genom t.ex. verkställighet av tvångsmedel. Det kan också vara fråga om en skyldighet att underrätta en främmande stats konsulat eller beskickning om att någon av statens medborgare har berövats friheten i Sverige.

248

SOU 2011:20

Ändamålsbestämmelser

10.5.7Skatteverket

Av 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar framgår följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1.bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,

2.förebygga brott som avses i 1.

10.5.8Allmänna domstolar och allmänna förvaltningsdomstolar

I förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfalls- register (6 §) och annan automatiserad behandling av person- uppgifter (7–8 §§).

I förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfallsregister (6 §) och annan automatiserad behandling av personuppgifter (7–8 §§).

I förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, finns bl.a. regler om verksamhetsregister för vissa ändamål (2 §) och rättsfallsregister (7 §) och annan automatiserad behandling av personuppgifter (8-9 §§).

249

Ändamålsbestämmelser

SOU 2011:20

10.5.9Tullverket

Av 7–9 §§ lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet framgår följande.

7 §

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1.förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra visst brott, eller

3.fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

8 §

Uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheterna, Ekobrotts- myndigheten, Åklagarmyndigheten, Skatteverket och Kust- bevakningen.

9 §

I Tullverkets brottsbekämpande verksamhet får uppgifter inte behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

10.5.10 Åklagarväsendet

Av 7–9 §§ förordningen (2006:937) om behandling av personupp- gifter inom åklagarväsendet, framgår följande.

Tillåten behandling av personuppgifter

7 §

Uppgifter om den som kan misstänkas för brott och om andra personer får behandlas i åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten när det behövs för att en åklagare skall kunna utföra de uppgifter som enligt bestämmelser i rättegångsbalken eller annan författning skall eller får utföras av åklagare vid myndighet- en.

Personuppgifter får också behandlas i åklagarverksamhet om det behövs för tillsyn, planering, uppföljning eller framställning av statistik.

8 §

250

SOU 2011:20

Ändamålsbestämmelser

Uppgifter som behandlas i åklagarväsendets åklagarverksamhet får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en myndighet som har till uppgift att förebygga, utreda eller i övrigt beivra brott.

9 §

I åklagarväsendets åklagarverksamhet får personuppgifter inte behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till andra i den utsträckning uppgifts- skyldighet följer av lag eller förordning.

I betänkandet av Åklagardatautredningen (SOU 2008:87 – Åklagar- väsendets brottsbekämpning, Integritet – Effektivitet) föreslås följande ändamålsbestämmelser.

4 §

Personuppgifter får, om inte annat följer av 5, 6 eller 7 §, behandlas i åklagarväsendets brottsbekämpande verksamhet endast om det behövs för att

1.förebygga brottslig verksamhet,

2.utreda eller beivra brott, eller

3.fullgöra de förpliktelser som följer av internationella åtaganden.

5§

Om personuppgifter behandlas enligt 4 §, får de även behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos

1.Rikspolisstyrelsen, polismyndighet, Tullverket, Kustbevakningen och Skatteverket, samt

2.utländsk myndighet eller mellanfolklig organisation.

10.6Ändringar i registerförfattningarnas ändamålsbestämmelser

Våra bedömningar och förslag:

Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter(artikel 3).

Som vi anfört ovan (se avsnitt 8.2.3) anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där detta är möjligt och lämpligt.

I svensk rätt saknas i dag – i stort sett – uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgifts-

251

Ändamålsbestämmelser

SOU 2011:20

behandling som följer av myndigheternas internationella åtaganden.

För att tydliggöra myndigheternas fullgöranden av för- pliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de register- författningar som reglerar Kronofogdemyndigheten, Kust- bevakningen, Skatteverket, Tullverket, och åklagarväsendet enligt följande (nedan anges utdrag ur paragraferna).

Kronofogdemyndigheten:

En nytt, kompletterande, andra stycke införs i 2 kap. 2 § lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet, med följande lydelse.

I Kronofogdemyndighetens utsöknings- och indrivnings- verksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kustbevakningen:

En ny, kompletterande, punkt 2 i 4 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen införs enligt följande.

Personuppgifter får behandlas i Kustbevakningens brotts- bekämpande verksamhet, --

-- 2. för att fullgöra förpliktelser som följer av internationella åtaganden.

Skatteverket:

En ny, kompletterande punkt införs i 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, enligt följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att -- 3. fullgöra förpliktelser som följer av internationella åtaganden

enligt 1. och 2.

Tullverket:

Ändringar görs i punkterna 1 och 3 i 7 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet enligt följande.

252

SOU 2011:20

Ändamålsbestämmelser

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att –

--1. förebygga, förhindra eller upptäcka brottslig verksamhet,

-----

--3. fullgöra förpliktelser som följer av internationella åtaganden.

En följdändring införs i rubriken till 15 § enligt följande. Behandling av uppgifter för att fullgöra förpliktelser som

följer av internationella åtaganden.

Åklagarväsendet:

En ny paragraf införs – 8 a § – i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, med följande lydelse.

I åklagarväsendets brottsbekämpande verksamhet får person- uppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kriminalvården, allmänna domstolar och allmänna förvaltnings- domstolar:

Vad avser Kriminalvården, allmänna domstolar och allmänna förvaltningsdomstolar bedömer vi inte att det finns behov av kompletterande bestämmelser av sådant slag som anges ovan.

10.6.1Nya ändamålsbestämmelser

På sätt som angivits ovan (se avsnitt 10.5.3–10.5.10) finns i dag inte några uttryckliga ändamålsbestämmelser som särskilt reglerar behandlingen av personuppgifter vad avser det specifika ändamålet utbyte av uppgifter i samband med polis- och straffrättsligt samarbete inom Europeiska unionen.

Det står samtidigt klart att det redan i dag hos de myndigheter som omfattas av dataskyddsrambeslutets tillämpningsområde före- kommer ett stort internationellt samarbete och utbyte av uppgifter (se kap. 5). I dessa fall tillämpar myndigheterna vid behandlingen av personuppgifter de i dag i registerförfattningarna befintliga ändamålsbestämmelserna (se avsnitt 10.5.3–10.5.10).

Utöver detta författningsreglerade utbyte av uppgifter förekommer även i olika omfattning hos myndigheterna ett

253

Ändamålsbestämmelser

SOU 2011:20

informellt internationellt samarbete och uppgiftsutbyte, med stöd av bl.a. myndigheternas instruktioner eller andra avtal.

I något enstaka fall – jfr 7 § 3. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – har det också ifrågasatts om befintliga ändamålsbestämmelser i sin helhet kan anses omfatta allt uppgiftsutbyte som omfattas av dataskydds- rambeslutets bestämmelser.

För att tydliggöra att de ändamålsbestämmelser som myndig- heterna tillämpar även omfattar ett internationellt uppgiftsutbyte, finner vi angeläget – främst med beaktande av den enskildes integritet – att det i registerförfattningarna ska finnas en ändamålsbestämmelse som klargör att myndigheterna får behandla personuppgifter som en följd av internationella åtaganden.

Även om det inte är ett uttryckligt enskilt krav enligt dataskyddsrambeslutet anser vi således att – för att undvika oklarhet och tveksamheter – det är lämpligt att reglerna om uppgiftsutbyte i dataskyddsrambeslutet ska omfattas av en särskild och uttryckligt angiven likalydande ändamålsbestämmelse i var och en av de aktuella registerförfattningarna.

Enligt vår mening föreligger därför skäl att komplettera registerförfattningarna med sådana ändamålsbestämmelser.

Vad gäller utformningen av ändamålsbestämmelsen kan det, i enlighet med vad som angivits ovan (se avsnitt 10.5.1), ur ett integritetsskyddsperspektiv finnas fördelar med att den nya bestämmelsen ska vara så detaljerad som möjligt så att den enskilde därmed hålls informerad om för vilka ändamål personuppgifter kan behandlas. Samtidigt kan det anföras att en alltför detaljerad bestämmelse kan leda till att den eftersträvade effektiviteten av brottsbekämpning m.m. minskar.

Vi finner en fördel i att registerförfattningarnas bestämmelser sinsemellan ska vara så likformiga som möjligt och anser att en mer generellt utformad ändamålsbestämmelse även är att föredra i detta sammanhang.

Som tidigare redogjorts för, finns redan i dag – i ny lagstiftning (polisdatalagen 2010:361) samt i förslag till nya register- författningar (SOU 2008:87 avseende åklagarväsendet) – regler som omfattar ändamålsbestämmelser som avser att ”fullgöra förpliktelser som följer av internationella åtaganden”.

Mot bakgrund härav finns det därför argument som talar för att föreslå att en motsvarande bestämmelse även ska införas i de registerförfattningar som saknar sådan.

254

SOU 2011:20

Ändamålsbestämmelser

Synpunkter har under vårt arbete framförts kring valet av begreppet ”fullgöra förpliktelser”. Argument har framhållits att det genom en sådan utformad bestämmelse skulle kunna komma att utesluta internationella överenskommelser som bygger på ett mer frivilligt samarbete.

Vi har mot bakgrund härav under vårt arbete övervägt att föreslå att den tillkommande ändamålsbestämmelsen i stället skulle komma att ges följande utformning; ”genomföra behörigt internationellt samarbete”.

Å andra sidan har vi funnit att det i detta sammanhang är av vikt att klargöra att samarbetet ska ha en legitim och klart härledbar rättslig grund.

Sammantaget har vi – för att undvika att tillämpningen av ändamålsbestämmelsen i fråga blir alltför vid i sin omfattning – funnit skäl att begränsa denna till de fall där det för en myndighet finns en bakomliggande skyldighet eller förpliktelse för informa- tionsutbyte. Detta överstämmer även med polisdatalagens utformning.

Vi föreslår därför sammanfattningsvis att nya bestämmelser ska införas i de registerförfattningar som omfattar Kronofogde- myndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet, i vilka det anges att personuppgifter vid brottsbekämpande verksamhet m.m. ska få behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Vad gäller polisen finns således redan motsvarande bestämmelse i 7 § polisdatalagen (2010:361), varför några ändringar eller kompletteringar vad gäller ändamålsbestämmelserna angående polisens verksamhet i nu aktuell del därför inte föreslås.

Vad gäller Kriminalvården, allmänna domstolar och allmänna förvaltningsdomstolar har det för oss klargjorts att myndigheterna inte har några internationella åtaganden utöver vad som föreskrivs i lag eller förordning.

Då det redan i lagen (2001:617) om behandling av person- uppgifter inom kriminalvården samt i förordningarna (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling och (2001:641) om registerföring m.m. vid Högsta förvaltnings- domstolen och kammarrätterna med hjälp av automatiserad behandling, finns ändamålsbestämmelser som reglerar aktuell situation finner vi inte skäl att föreslå någon kompletterande

255

Ändamålsbestämmelser

SOU 2011:20

ändamålsbestämmelse för Kriminalvården, allmänna domstolar eller allmänna förvaltningsdomstolar.

Kronofogdemyndigheten

En nytt, kompletterande, andra stycke införs i 2 kap. 2 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, med följande lydelse.

I Kronofogdemyndighetens utsöknings- och indrivningsverksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.

Kustbevakningen

En ny, kompletterande punkt 2 införs i 4 § förordningen (2003:188) om behandling av personuppgifter inom Kust- bevakningen där det anges följande.

Personuppgifter får behandlas i Kustbevakningens brottsbekämpande verksamhet,

1.om det är nödvändigt för att förhindra eller upptäcka brottslig verksamhet som innefattar brott som Kustbevakningen enligt lag eller förordning har som uppgift att ingripa mot eller för att utreda sådana brott, eller

2.för att fullgöra förpliktelser som följer av internationella åtaganden.

Skatteverket

En ny, kompletterande punkt införs i 1 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar där det anges följande.

Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att

1.bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,

2.förebygga brott som avses i 1, eller

3.fullgöra förpliktelser som följer av internationella åtaganden enligt 1. och 2.

Utformningen av den kompletterande regeln ovan innebär inte att lagens tillämpningsområde ska utvidgas på ett icke önskvärt sätt.

256

SOU 2011:20

Ändamålsbestämmelser

Tullverket

Ändringar görs i punkterna 1 och 3 i 7 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet enligt följande.

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra visst brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden.

En följdändring införs även i rubriken före 15 § i samma lag där rubriken nu föreslås få följande lydelse

Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden.

Utöver ovan angivna allmänna skäl för införandet av en ny ändamålsbestämmelse (se avsnitt 10.5.1 ovan) finns också särskilda skäl härtill genom att, som tidigare anförts, det även kan konstateras att punkt 3 i den nu gällande bestämmelsen med lydelsen ”fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete” inte – åtminstone fullt ut – kan anses omfatta allt uppgiftsutbyte som omfattas av dataskyddsrambeslutets bestämmelser.

Enligt förarbetena till lagen (2000:1219) om internationellt tull- samarbete (prop. 1999/2000:122 s. 28–29) framgår bl.a. avseende Tullverkets polisiära befogenheter att eventuellt samarbete i dessa delar faller utanför den lagens tillämpningsområde och att lagen (2000:343) om internationellt polisiärt samarbete då i stället ska vara tillämplig. Sker ett samarbete inom ramen för lagen (2000:344) om Schengens informationssystem bör denna lag gälla i stället för lagen om internationellt tullsamarbete.

Genom våra förslag byts alltså hänvisningen till lagen om internationellt tullsamarbete ut mot en bredare hänvisning. Den nu föreslagna kompletteringen bedöms täcka in såväl det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete, som övriga internationella åtaganden som Tullverket kan vara tvunget att fullgöra.

Vi föreslår vidare ett tillägg i 7 § punkten 1 i nämnda lag, där – för att uppnå likformighet med Polisdatalagen (jfr även Åklagar- datautredningens betänkande, SOU 2008:87) – begreppet förebygga läggs till.

257

11 Känsliga uppgifter

11.1Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) framgår att ett av de områden där det finns skäl att närmare analysera behovet av lagändringar är frågan om behand- lingen av känsliga personuppgifter (jfr även propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09:16 s. 30 f.) I propositionen (s. 36) framhålls bl.a. följande.

Frågan om de nu aktuella bestämmelsernas förhållande till dataskydds- rambeslutets krav kräver ytterligare analys – även med beaktande av utgångspunkten att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen (skäl 31). En sådan fördjupad analys bör ske i det fortsatta lagstiftningsärendet för genomförande av dataskyddsrambeslutet.

I avsnitten nedan följer en genomgång av reglerna om behandlingen av känsliga personuppgifter inom EU (se avsnitt 11.2) och svensk rätt (se avsnitt 11.3). Därefter följer våra förslag till ändringar i svensk rätt med anledning av dataskyddsrambeslutets bestäm- melser om känsliga uppgifter.

Bestämmelser angående registerförfattningarnas ändamål, se kap. 10.

11.2EU-bestämmelser

11.2.1Dataskyddsrambeslutet

I artikel 6 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram-

259

Känsliga uppgifter

SOU 2011:20

beslutet) anges följande angående behandling av särskilda kategorier av uppgifter.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när detta är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

Artikel 6 i dataskyddsrambeslutet reglerar således behandling av vad som brukar kallas känsliga personuppgifter. Med detta avses personuppgifter som avslöjar uppgifter som rör

•ras eller etniskt ursprung,

•politiska åsikter,

•religiös eller filosofisk övertygelse,

•medlemskap i fackförening, samt

•hälsa eller sexualliv.

Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga och adekvata skyddsåtgärder i den nationella lagstiftningen.

11.2.2Dataskyddsdirektivet

Ingresspunkt 33)

Uppgifter som på grund av sin natur kan kränka grundläggande fri- och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade. Dock måste det finnas en uttrycklig möjlighet att tillgodose särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter.

Artikel 8

Behandlingen av särskilda kategorier av uppgifter

260

SOU 2011:20

Känsliga uppgifter

1.Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

2.Punkt 1 gäller inte om

a)den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller

b)behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller

c)behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller

d)behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller

e)behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

3.Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

4.Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5.Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller — om lämpliga skyddsåtgärder finns i nationell lag — med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

261

Känsliga uppgifter

SOU 2011:20

Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

6.De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.

7.Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

Dataskyddsdirektivets bestämmelser i artikel 8.1 om behandling av känsliga personuppgifter skiljer sig således från ovannämnda bestämmelser i dataskyddsrambeslutet. I svensk rätt finns en mot- svarighet till artikel 8.1 i 13 § personuppgiftslagen (1998:204).

I artikel 8.2–8.4 i dataskyddsdirektivet ställs det upp andra typer av begränsningar för behandling av nämnda uppgifter.

Dessa undantag återspeglas vidare i svensk rätt i 14–20 §§ personuppgiftslagen.

Angående personuppgiftslagens bestämmelser, se nedan avsnitt 11.3.1.

11.3Behandling av känsliga uppgifter i svensk rätt

11.3.1Personuppgiftslagen (1998:204)

I 13 § personuppgiftslagen finns bestämmelser som förbjuder behandling av känsliga personuppgifter.

Känsliga personuppgifter definieras i lagen som uppgifter som avslöjar

•ras eller etniskt ursprung,

•politiska åsikter,

•religiös eller filosofisk övertygelse,

•medlemskap i fackförening samt

•uppgifter som rör hälsa eller sexualliv.

Förbudet mot behandling av känsliga uppgifter är inte undantags- löst.

Det gäller inte personuppgifter som inte ingår i eller är avsedda att ingå i strukturerat material – dvs. en samling av personuppgifter

262

SOU 2011:20

Känsliga uppgifter

som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (5 a § personuppgiftslagen).

I 14–19 §§ personuppgiftslagen anges också undantag från för- budet mot behandling av känsliga uppgifter med följande innehåll.

14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av person- uppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Nödvändig behandling

16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att

a)den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,

b)den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller

c)rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter, om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårds- ändamål, om behandlingen är nödvändig för

a)förebyggande hälso- och sjukvård,

b)medicinska diagnoser,

c)vård eller behandling, eller

d)administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårds- området och har tystnadsplikt får även behandla känsliga person- uppgifter som omfattas av tystnadsplikten.

263

Känsliga uppgifter

SOU 2011:20

Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en hög- skola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Lag (2003:466).

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Lag (1998:1436).

Undantagen från förbudet att behandla känsliga uppgifter kan således sammanfattas enligt följande med hänvisningar till respektive paragraf i personuppgiftslagen.

•Den registrerades samtycke (15 §)

•Den registrerades offentliggörande (15 §)

•Behandling inom arbetsrätten (16 §)

•För att skydda vitala intressen (16 §)

•För att kunna fastställa, göra gällande eller försvara rättsliga anspråk (16 §)

•Behandling inom ideella organisationer (17 §)

•Behandling för hälso- och sjukvårdsändamål (18 §)

•Behandling av personuppgifter som omfattas av hälso- och sjukvårdssekretess (18 §)

•Behandling för forsknings- och statistikändamål (19 §)

264

SOU 2011:20

Känsliga uppgifter

Det finns också utrymme för regeringen, eller den myndighet regeringen bestämmer, att meddela föreskrifter om ytterligare undantag från förbudet i 13 § personuppgiftslagen , om det behövs med hänsyn till ett viktigt allmänt intresse (20 § personuppgifts- lagen).

Sådana föreskrifter finns i 8 § personuppgiftsförordningen (1998:1191). Av den bestämmelsen följer att myndigheter generellt även får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.

11.3.2Registerförfattningarna

Innehållet i registerförfattningarna vad avser Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket och åklagarväsendet (se vidare kap. 4) avviker i flera fall från personuppgiftslagens regler om behandling av känsliga uppgifter.

Däremot finns det inga sådana regler i de registerförfattningar som reglerar enskilda register. Detta ska ses mot bakgrund av att dessa normalt har preciserade bestämmelser om vilka typer av uppgifter som får finnas i registren och att bestämmelserna om innehållet i praktiken inte tillåter registrering av känsliga uppgifter.

11.4Ändringar i personuppgiftslagen?

Vår bedömning: Skäl att föreslå ändringar i personuppgifts- lagens (1998:204) bestämmelser om känsliga uppgifter föreligger inte.

11.4.1Allmänt

Personuppgiftslagen är subsidiär i förhållande till annan författningsreglering.

Då det rättsliga område som reglerar behandlingen av person- uppgifter inom ramen för polissamarbete och straffrättsligt sam- arbete är specificerat till registerförfattningarna för ovan nämnda myndigheter samt domstolarna (se avsnitt 11.3.2) och då dessa

265

Känsliga uppgifter

SOU 2011:20

författningar helt eller delvis ersätter nämnda lag, finns enligt vår bedömning inte – med anledning av dataskyddsrambeslutet – skäl att föreslå någon ändring i personuppgiftslagen.

Detta gäller oavsett om en registerförfattning gäller i stället för eller utöver personuppgiftslagens bestämmelser.

11.4.2Närmare om begreppsanvändningen

Vissa begrepp som används som beskrivning av vad som utgör s.k. känsliga uppgifter har tidigare kritiserats. Främst avser detta begreppet ras (jfr prop. 2007/08:95 s. 117 och 2009/10:80). Att i detta lagstiftningssammanhang utmönstra detta ord har inte ansetts vara möjligt (jfr 2009/10:85 s. 123 och bet. 1997/98:KU 29 s. 7). Regeringen har samtidigt klargjort att den har som ambition att i ett annat sammanhang se över frågan om huruvida ordet ras bör utmönstras i all lagstiftning.

I de ändringar som införts i regeringsformen från och med den 1 januari 2011 har detta begrepp tagits bort och i stället anges tillämpningsområdet för bl.a. diskrimineringsskyddet som ”etniskt ursprung, hudfärg eller annat liknande förhållande”.

Trots detta bedömer vi att det inte finns möjlighet för oss i den aktuella utredningen att föreslå någon ändring av begreppet.

Ej heller finns i detta sammanhang enligt vår mening skäl att vad gäller övriga begrepp föreslå någon ändring eller något tillägg i gällande svensk rätt.

11.5Ändringar i registerförfattningarna

11.5.1Allmänt om kompletteringar

Registerförfattningarnas bestämmelser tillåter generellt behandling i större utsträckning än personuppgiftslagen, men författningarnas utformning medför att möjligheten att behandla känsliga person- uppgifter är mycket begränsad (jfr prop. 2008/09:16 s. 36).

Att uppmärksamma är att dataskyddsrambeslutet ställer upp kraven för behandling av känsliga personuppgifter på ett sådant sätt att behandling endast får ske när det är ”absolut nödvändigt” och när det samtidigt, genom svensk rätt, tillhandahålls ”tillräckliga och adekvata skyddsåtgärder”.

266

SOU 2011:20

Känsliga uppgifter

Bedömningen av eventuella justeringar i registerförfattningarna nedan får därmed enligt vår mening göras mot bakgrund av vilket skydd som personuppgiftslagen och aktuella registerförfattningar ställer upp vad gäller bl.a. sökbegränsningar och gallring. Dessutom får beaktas vilka sekretessbestämmelser som finns inom området (se vidare kap. 6).

Förslagen till ändringar i registerförfattningarna nedan ska även läsas tillsammans med våra förslag till komplettering av register- författningarnas ändamål (se vidare kap. 10).

11.5.2Språkliga justeringar

Våra förslag: För att, vid regleringen av känsliga uppgifter i registerförfattningar, få till stånd en språklig likformighet föreslår vi en ändring från begreppet oundgängligen nödvändigt till absolut nödvändigt i följande författningar;

–4 § lagen (1999:90)om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

–9 § förordningen (2003:188) om behandling av person- uppgifter inom Kustbevakningen, och

–4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.

Av samma skäl som ovan föreslås en ändring från begreppet nödvändigt till absolut nödvändigt i följande författningar;

–1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

–4 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

–3 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, och

–3 § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling.

Reglerna i registerförfattningarna får i dessa delar – med de språkliga justeringar som föreslås – anses motsvara de krav som ställs på utformningen av bestämmelserna i dataskyddsrambeslutet.

267

Känsliga uppgifter

SOU 2011:20

Kriminalvården

Kriminalvårdens behandling av känsliga uppgifter regleras i 5 § lagen (2001:617) om behandling av personuppgifter inom kriminal- vården samt i 4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 § förordningen (2001:682) i samma ämne.

Av 5 § i nämnda lag framgår att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fack- förening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av det förhållandet.

Vidare anges att om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Sådana uppgifter får, enligt 5 § tredje stycket samma lag, inte användas som sökbegrepp, om inte regeringen har föreskrivit det.

I Säkerhetsregistret (39–45 §§ förordningen om behandling av personuppgifter inom kriminalvården) finns möjlighet att söka på känsliga uppgifter.

I 4, 7, 12, 18, 23, 27, 32, 41 och 48 §§ i ovannämnda förordning regleras också behandlingen av känsliga personuppgifter inom området, men där används begreppet oundgängligen nödvändigt i stället för absolut nödvändigt. Begreppen är likvärdiga. För att få till stånd en språklig likformighet föreslår vi därför en ändring i förordningen (4, 7 och 12 §§, 18 § andra stycket, 23, 27 och 32 §§, 41 § andra stycket samt 48 §) till det sistnämnda begreppet.

Kustbevakningen

Vad gäller behandling av känsliga personuppgifter inom Kust- bevakningen anges i 9 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen att känsliga person- uppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

I paragrafen anges vidare att om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga

268

SOU 2011:20

Känsliga uppgifter

personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

I 21 § samma lag anges utöver detta att vid sökning i kust- bevakningsdatabasen får uppgifter som avslöjar ras, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fack- förening, eller som rör sexualliv inte användas som sökbegrepp.

På motsvarande sätt som för Kriminalvården ovan föreslår vi även i registerförfattningen angående Kustbevakningen en språklig ändring av begreppet oundgängligen till absolut.

Skatteverket

Behandlingen av känsliga uppgifter i Skatteverkets brottsbekämp- ande verksamhet regleras i 4 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

Av ovannämnda paragraf framgår att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fack- förening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

Vidare anges i paragrafen att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är oundgängligen nödvändigt för syftet med behandlingen.

Känsliga personuppgifter får dock aldrig behandlas i under- rättelseverksamhet.

Vid sökningar i beskattningsdatabasen får, enligt 14 a § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, endast uppgift om namn, person- eller samordningsnummer användas som sökbegrepp.

På motsvarande sätt som för myndigheterna ovan föreslås även i denna registerförfattning en språklig ändring av begreppet oundgängligen till absolut.

269

Känsliga uppgifter

SOU 2011:20

Allmänna domstolar och allmänna förvaltningsdomstolar

Behandlingen av känsliga personuppgifter regleras i 3 § förordning- en (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 3 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, samt 4 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling.

I förordningarna anges att domstolarna får föra automatiserade register över mål eller ärenden som handläggs vid rätten (verksamhetsregister) samt föra automatiserade register för åter- sökning av vägledande avgöranden, rättsutredningar och liknande rättslig information (rättsfallsregister).

De ovan nämnda paragraferna har likadan utformning och däri anges – vad avser verksamhetsregister – att vid angivande av vad saken gäller (ärendemening) får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lag- överträdelser m.m. som anges i 21 § personuppgiftslagen behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt.

I paragraferna (se 7 respektive 8 § i ovan nämnda förordningar) anges också att – vid annan automatiserad behandling av person- uppgifter – får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet (se vidare avsnitt 11.5.3).

Känsliga personuppgifter får vidare inte användas som sökbegrepp, jfr 4 § förordningen om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 4 § förordningen om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling och 5 § förordningen om register- föring m.m. vid Högsta förvaltningsdomstolen och kammar- rätterna med hjälp av automatiserad behandling.

Utformningen av de bestämmelser ovan som reglerar behandlingen av känsliga personuppgifter för domstolarna innehåller således begreppet nödvändigt. Som en konsekvens av utformningen av dataskyddsrambeslutet och övriga register- författningar som har anknytning till polissamarbete och straff- rättsligt samarbete, bör – enligt vår bedömning – en justering göras av detta begrepp för att uppnå en språklig enhetlighet mellan registerförfattningarna. Vi har inte funnit andra skäl för att det

270

SOU 2011:20

Känsliga uppgifter

nuvarande begreppet i detta sammanhang ska kvarstå. Vi föreslår därför även i denna del en språklig ändring av begreppet nödvändigt till absolut nödvändigt.

Ändringen gäller endast behandlingen av känsliga personupp- gifter. Ingen ändring föreslås vad gäller uppgifter om lag- överträdelser m.m., eftersom dataskyddsrambeslutet inte innehåller något sådant krav.

Ur ett integritetsskyddsperspektiv kan det vidare diskuteras om det finns skäl att göra ytterligare ändringar i de aktuella författningarna rörande ifrågavarande domstolar så att det, på mot- svarande sätt som i de övriga i avsnittet ovan nämnda författningar- na, direkt av författningstexten ska framgå vilka personuppgifter som är känsliga och inte framgå genom en hänvisning till personuppgiftslagens motsvarande bestämmelse. Vi har dock inte ansett detta som en förutsättning för dataskyddsrambeslutets genomförande i svensk rätt och därför valt att inte föreslå någon ändring i denna del.

Kronofogdemyndigheten

Kronofogdemyndighetens behandling av känsliga uppgifter regleras i 1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. I paragrafen anges att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om – i den del som nu är aktuell – uppgifterna är nödvändiga för handläggningen.

Utöver vad som anförts ovan anges i 1 kap. 6 § att känsliga personuppgifter också ska få behandlas om uppgifterna har lämnats i ett mål eller ärende (se vidare avsnitt 11.5.3).

I den del i samma lag som innehåller gemensamma bestäm- melser om Kronofogdemyndighetens databaser anges särskilda regler om elektroniska handlingar (24 §) och sökbegrepp (29 §). I den sistnämnda paragrafen stadgas att som sökbegrepp i handlingar enligt 24 § får inte uppgift som avses i 1 kap. 6 § samma lag (känsliga personuppgifter) användas.

På motsvarande sätt som för domstolarna ovan föreslår vi – för att uppnå en språklig enhetlighet mellan registerförfattningarna – en ändring i 1 kap. 6 § i ovan nämnda lag av begreppet nödvändiga

271

Känsliga uppgifter SOU 2011:20

till absolut nödvändiga vad gäller behandling av känsliga personuppgifter.

Ingen ändring föreslås vad gäller uppgifter om lagöverträdelser m.m., eftersom dataskyddsrambeslutet inte innehåller något sådant krav.

Polisen

I 2 kap. 10 § polisdatalagen (2010:361) anges att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter)

I paragrafen stadgas vidare att om uppgifter om en person redan behandlas på annan grund, får uppgifterna kompletteras med sådana uppgifter, när det är absolut nödvändigt för syftet med behandlingen.

I 3 kap. 5 § samma lag finns vidare bestämmelser som reglerar sökning i personuppgifter. Av första stycket i nämnda paragraf framgår att vid sökning i personuppgifter som har gjorts gemen- samt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Då polisdatalagen således är anpassad till dataskyddsram- beslutets bestämmelser finns inte skäl att föreslå några ändringar eller justeringar i denna del.

Utöver vad som anförts ovan anges i 2 kap. 10 § andra stycket polisdatalagen jämfört med 2 kap. 9 § i samma lag att känsliga personuppgifter också ska få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (se vidare avsnitt 11.5.3).

Tullverket

I 11 § första stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska

272

SOU 2011:20

Känsliga uppgifter

ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

I paragrafens andra stycke anges att om uppgifter om en person behandlas på annan grund får de, enligt andra stycket samma paragraf, dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.

I 20 § i samma lag finns bestämmelser om sökförbud vad gäller känsliga personuppgifter vari stadgas att uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse, medlemskap i fackförening, eller som rör hälsa eller sexual- liv inte får användas som sökbegrepp.

Då registerförfattningarna angående Tullverket i ovan nämnda delar motsvarar dataskyddsrambeslutets bestämmelser föranleder inte detta oss att lämna några förslag till ändringar eller justeringar i svensk rätt.

I 11 § tredje stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges härutöver att uppgifter som avses i paragrafens första stycke får behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende (se vidare avsnitt 11.5.3).

Åklagarväsendet

I 10 § första stycket första meningen i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet anges att känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen), inte får behandlas enbart på grund av vad som är känt om en person om sådana förhållanden.

Dessutom anges i 10 § andra stycket i samma förordning att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Vid sökningar i åklagarväsendets ärendedatabas får vidare uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

273

Känsliga uppgifter

SOU 2011:20

Dataskyddsrambeslutets bestämmelser föranleder mot bakgrund härav inte några förslag till ändringar eller justeringar såvitt nu är ifråga.

Härutöver anges i 10 § första stycket andra meningen i nämnda förordning att om uppgifterna finns i en handling som kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende får de dock behandlas. Angående detta undantag från huvudregeln i 10 § se vidare avsnitt 11.5.3 nedan.

11.5.3Närmare om behandling av känsliga personuppgifter vid handläggning av mål och ärenden samt vid diarieföring

Våra förslag: Behandling av känsliga personuppgifter får ske dels vid diarieföring, dels om sådana uppgifter har lämnats i ett mål, ett ärende, en anmälan eller liknande, dels vid hand- läggningen av ett mål, ett ärende, en anmälan eller liknande – allt under förutsättning att detta är att se som absolut nödvändigt.

Vi föreslår därför att ett tillägg med sistnämnda begrepp införs i följande författningar.

–2 kap. 10 § polisdatalagen (2010:361),

–11 § tredje stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

–1 kap. 6 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

–10 § förordningen (2006:937) om behandling av person- uppgifter inom åklagarväsendet,

–8 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

–7 § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, och

–7 § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling.

Som ovan nämnts finns i vissa registerförfattningar bestämmelser som tillåter personuppgiftsbehandling av känsliga uppgifter vid t.ex. handläggning av mål och ärenden, samt vid diarieföring m.m.

274

SOU 2011:20

Känsliga uppgifter

Kronofogdemyndigheten

I 1 kap. 6 § lagen om behandling av uppgifter i Kronofogde- myndighetens verksamhet anges att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen.

Polisen

I 2 kap. 10 § andra stycket polisdatalagen jämfört med 2 kap. 9 § i samma lag stadgas att känsliga personuppgifter också ska få behandlas, om detta är nödvändigt för diarieföring eller om upp- gifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Allmänna domstolar och allmänna förvaltningsdomstolar

Vid annan automatiserad behandling av personuppgifter än vid verksamhets- och rättsfallsregister, anges – i de registerförfattningar som omfattar de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet – att känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller behövs för handläggningen av målet eller ärendet.

Tullverket

I 11 § tredje stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter som avses i paragrafens första stycke – känsliga personuppgifter – får behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.

275

Känsliga uppgifter

SOU 2011:20

Åklagarväsendet

Vid åklagarväsendet får, enligt 10 § förordningen om behandling av personuppgifter inom åklagarväsendet, behandling av känsliga personuppgifter ske om de finns i en handling som kommit in till Åklagarmyndigheten eller Ekobrottsmyndigheten i ett ärende.

Vår bedömning i denna del

Utgångspunkten är, som angetts tidigare, att dataskyddsram- beslutet ställer upp krav på att behandling av känsliga person- uppgifter enbart ska få ske när det är absolut nödvändigt och när det genom svensk rätt tillhandahålls tillräckliga och adekvata skyddsåtgärder.

Som en följd härav föreslås språkliga justeringar i flertalet registerförfattningar (se avsnitt 11.5.2).

Frågan är nu om de i registerförfattningarna ovan redovisade reglerna angående handläggningen av mål och ärenden samt diarie- föring kan anses stå i överensstämmelse med dataskydds- rambeslutets krav.

Av Justitiedepartementets promemoria, Ds 2008:30, Antagande av rambeslut om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, s. 166, framgår bl.a. följande.

Att tillåta behandling av en inkommen handling torde ändå vara förenligt med kravet på att behandlingen är absolut nödvändig, så som den svenska lagstiftningen reglerar hanteringen av allmänna handlingar. Däremot kan det behövas mer begränsande regler för annan behandling.

En föreskrift om att känsliga personuppgifter får behandlas därför att de ”behövs för handläggningen” torde inte ensamt uppfylla kraven i rambeslutet på att behandlingen ska vara absolut nödvändig och att det ska finnas adekvata skyddsåtgärder.

En vägledning kan fås genom förarbetena till polisdatalagen (2010:361), vari det i prop. 2009/10:85, s. 122, anförs bl.a. följande.

Känsliga personuppgifter ska också få behandlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Polisen måste alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Sådan behandling

276

SOU 2011:20

Känsliga uppgifter

bör vara tillåten även i de fall där inkommande anmälningar innehåller känsliga personuppgifter. Detta bör komma till uttryck i lagtexten som ett undantag från förbudet att behandla känsliga personuppgifter.

I propositionen anges vidare (s. 324 ff.).

Känsliga personuppgifter får alltid behandlas i de fall som avses i 9 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i en anmälan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt för polisen att ta emot och besvara anmälningar och liknande skrifter som lämnas i elektronisk form även om dessa innehåller känsliga personuppgifter. -- Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarie- föring av inkomna handlingar får således alltid anges vem handlingen har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för diarieföringen får emellertid inte utföras med stöd av [9 §] första punkten.

Vidare får, enligt [9 §] andra punkten, personuppgifter alltid behandlas om de har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uttrycket ”anmälan eller liknande” innefattar alla slag av framställningar till polisen. --

-- Eftersom en framställan vanligtvis påfordrar något slag av handläggning hos myndigheten, har det ansetts nödvändigt med en särskild bestämmelse för personuppgiftsbehandling i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att framställan besvaras.

Motsvarande resonemang vad avser diarieföring och uppgifter som har lämnats i en anmälan eller liknande, har förts i Åklagardata- utredningens betänkande (SOU 2008:87, Åklagarväsendets brotts- bekämpning, Integritet – Effektivitet, s. 210 f.).

I förarbetena till lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164) har vidare avseende syftet i 11 § tredje stycket framhållits att Tullverket inte har möjlighet att påverka vilka uppgifter som ingår i handlingar vilka inkommer till myndigheten. Vidare har anförts följande.

Normalt diarieförs dessa handlingar och åsätts ett ärendenummer, vilka därefter får behandlas av Tullverket även om de innehåller känsliga personuppgifter. Bestämmelsen avser således endast de

277

Känsliga uppgifter

SOU 2011:20

handlingar som är av sådan karaktär att de behandlas som ett ärende av myndigheten.

I likhet med vad som anförts ovan i citerade förarbeten är vår utgångspunkt att en myndighet – med stöd av offentlighets- principen – ska kunna behandla känsliga uppgifter dels vid diarie- föringen, dels om sådana uppgifter har lämnats i ett mål, ett ärende, en anmälan eller liknande, dels vid handläggningen av ett mål, ett ärende, en anmälan eller liknande.

Även vår bedömning är således att Kronofogdemyndigheten, allmänna domstolar, allmänna förvaltningsdomstolar, polisen och

åklagarväsendet, i de situationer som anges ovan, alltid ska ha möjlighet att diarieföra och handlägga inkommande anmälningar eller liknande skrivelser i mål och ärenden m.m. – även i de fall där sådana handlingar innehåller känsliga personuppgifter.

Liknande bedömning anser vi kunna göras vad gäller ärenden i

Tullverket.

Dataskyddsrambeslutets krav att behandlingen av känsliga personuppgifter endast får ske när det är absolut nödvändigt och när tillräckliga och adekvata skyddsåtgärder i den nationella lagstiftningen tillhandahålls får, enligt vår mening, anses uppfyllas genom övriga bestämmelser i registerförfattningarna och person- uppgiftslagen i form av bl.a. sökbegränsningar och gallrings- bestämmelser m.m. samt även i denna del genom ett förtydligande att behandlingen av känsliga personuppgifter vid diarieföring, handläggning av mål m.m. enbart ska ske när detta är att se som absolut nödvändigt.

Genom att utforma likalydande bestämmelser i register- författningarna stärks även skyddet av den enskildes integritet.

Det har i sammanhanget framhållits att diarieföring och hand- läggning givetvis även förekommer vid andra brottsbekämpande myndigheter såsom Kriminalvården, Kustbevakningen och Skatteverket.

I registerförfattningarna för nämnda myndigheter finns i nuläget inte några bestämmelser som särskilt reglerar behandling av känsliga uppgifter vid t.ex. diarieföring eller handläggning av ärenden.

I nuläget är således reglerna för Kriminalvården, Kustbevakning- en och Skatteverket än mer begränsande än för tidigare nämnda myndigheter.

278

12 Användningsbegränsningar

12.1Kommittédirektivet

I kommittédirektivet Genomförande av dataskyddsrambeslutet (dir. 2010:17) anges bl.a. att utredningen närmare ska analysera behovet av lagändringar angående rambeslutets användnings- begränsningar.

Det föreligger mot bakgrund härav skäl att först undersöka vilka regler i dataskyddsrambeslutet som berör olika användnings- begränsningar, därefter undersöka vilka motsvarande begränsningar som finns i svensk rätt och slutligen lämna eventuella förslag på hur svensk rätt ska kompletteras i dessa delar för att motsvara dataskyddsrambeslutets krav.

12.2Allmänt om dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polis- samarbete och straffrättsligt samarbete (dataskyddsrambeslutet) innehåller – förutom regler om begränsningar av den behandling av personuppgifter som är en följd av vissa angivna ändamål (se vidare kap. 10) – regler om vidarebehandling och användningsbegränsning- ar, vad avser uppgifter som erhållits från en annan medlemsstat eller som har gjorts tillgängliga av en annan medlemsstat, nämligen

•Artikel 3.2 (se vidare avsnitt 12.4).

•Artikel 11 – Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat (se vidare avsnitt 12.5).

•Artikel 3 sista stycket och artikel 11 sista stycket – Vidare- behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål (se avsnitt 12.6).

281

Användningsbegränsningar

SOU 2011:20

•Artikel 12 – Iakttagande av nationella restriktioner för behandling av uppgifter (se vidare avsnitt 12.7).

•Artikel 13 – Överföring till behöriga myndigheter i tredjestater eller till internationella organ (se vidare avsnitt 12.8).

•Artikel 14 – Överföring till privata parter i medlemsstaterna (se vidare avsnitt 12.9).

•Artikel 16.2 – Information till den registrerade (se vidare avsnitt 13.1.5).

•Artikel 9 – Skyldighet att iaktta överförande stats gallrings- frister (se vidare avsnitt 12.10).

Dataskyddsrambeslutet innehåller därmed en rad bestämmelser som på olika sätt begränsar rätten att behandla personuppgifter som omfattas av dataskyddsrambeslutet.

Artiklarna kräver till viss del lagändringar. Ändringarna redo- görs för avsnitten 12.5–12.10 nedan.

12.2.1Begränsning av vårt uppdrag

Vår bedömning: Frågan om att ta fram förslag till bestämmelser som reglerar möjligheten för svenska myndigheter att ställa villkor för användningen av uppgifter som överförs till andra stater och medge undantag från sådana villkor, ligger utanför vårt uppdrag.

Ett genomförande av dataskyddsrambeslutet ställer krav på att det finns en reglering som säkerställer att svenska myndigheter inte behandlar uppgifter på ett sätt som inte dataskyddsrambeslutet tillåter. Däremot kräver inte dataskyddsrambeslutet att det finns nationella regler som reglerar möjligheten för svenska myndigheter att ställa villkor för användningen av uppgifter som överförs till andra stater och medge undantag från sådana villkor.

I detta sammanhang kan inledningsvis konstateras att det redan i dag är möjligt att lämna användningsbegränsningar generellt (jfr propositionen Genomförande av delar av Prümrådsbeslutet, prop. 2009/10:177, s. 12–13).

I propositionen Godkännande av dataskyddsrambeslutet, prop. 2008/09: 16, s. 40 har i denna del anförts att frågan, om en sådan

282

SOU 2011:20

Användningsbegränsningar

reglering bör införas för svenska myndigheter att ställa villkor för användningen av uppgifter som förs över till andra stater, inte bör behandlas i propositionen. Däremot kan det enligt propositionen ”vara lämpligt att se över denna fråga i det fortsatta lagstiftnings- arbetet”.

Enligt vår bedömning faller emellertid denna frågeställning utanför det uppdrag som vi enligt våra direktiv är ålagda att utreda. Några skäl att ändå utreda nämnda frågeställning föreligger inte heller.

12.2.2Märkning av uppgifter

Vår bedömning: Vi bedömer att en märkning, varifrån upp- gifter härstammar, är både nödvändig och möjlig för att reglerna i dataskyddsrambeslutet om exempelvis användningsbegräsning- ar ska kunna tillämpas på rätt sätt.

Frågan om utarbetandet av ett system med märkning av uppgifter får överlämnas till de myndigheter som utbyter de aktuella uppgifterna.

Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som föreslås med anledning av dataskydds- rambeslutet, bör inte föreligga.

Dataskyddsrambeslutets bestämmelser omfattar personuppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat.

När det gäller regler om användningsbegränsningar är det av vikt att veta varifrån en viss uppgift kommer för att klargöra om en uppgift lyder under dataskyddsrambeslutets tillämpningsområde.

I prop. 2008/09:16 s. 44 har med anledning härav framhållits att det i sammanhanget krävs någon typ av ”märkning” av varifrån uppgifterna härstammar, så att reglerna om användningsbegräns- ningar ska kunna tillämpas på ett korrekt sätt. Av förarbetena framgår närmare följande.

Även om det krävs lagändringar kan regleringen därför utformas så att den inte hämmar det informationsutbyte som äger rum nationellt.

Det som i så fall krävs är någon form av märkning av uppgifter som härrör från en annan medlemsstat, som gör den behandlande myndigheten uppmärksam på att uppgifterna inte får användas fritt.

283

Användningsbegränsningar

SOU 2011:20

Varje överföring från en annan stat eller tillgängliggörande kommer nämligen att bära med sig begränsningar i fråga om behandling. Om uppgifter som bär med sig en användarbegränsning inte är märkta finns det en uppenbar risk att någon annan än den som tog emot uppgifterna oavsiktligt använder dessa i strid med användnings- begränsningen. I det fortsatta lagstiftningsarbetet bör även denna fråga uppmärksammas.

Vi bedömer att en sådan märkning, varifrån uppgifterna här- stammar, är både nödvändig och möjlig för att reglerna i data- skyddsrambeslutet ska kunna tillämpas i svensk rätt.

Något integritetsintrång för den enskilde i dessa delar kan inte anses föreligga.

Vi är samtidigt medvetna om att problem i sammanhanget kan komma att uppstå när uppgifter ”flyter in och ut” hos myndighet- erna och att det i sådana fall kan bli svårigheter att utröna varifrån uppgifterna ursprungligen kommer.

I de flesta fall bedömer vi dock att det torde finnas en möjlighet att ta reda på varifrån uppgifterna härstammar.

Hos vissa myndigheter – t.ex. Åklagarmyndigheten och Eko- brottsmyndigheten – förekommer redan i dag viss märkning varifrån uppgifter ursprungligen kommer.

Frågan om utarbetandet av ett system med märkning av uppgifter får överlämnas till de myndigheter som utbyter de aktuella uppgifterna. Någon författningsreglering på lag- eller förordningsnivå är inte nödvändig.

Att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som föreslås med anledning av dataskyddsrambeslutet framstår inte som realistiskt eller genomförbart. Något krav härpå kan enligt vår bedömning inte heller föreligga genom dataskyddsrambeslutet.

12.3Vad innebär användningsbegränsningar?

12.3.1Svensk rätt – användningsbegränsningar i författningar om internationellt samarbete

På sätt som redogjorts för i kap 5 finns bestämmelser i svensk rätt som reglerar situationerna då en svensk myndighet erhåller information eller bevismaterial med s.k. användningsbegränsningar (villkor för användningen) från en utländsk myndighet.

284

SOU 2011:20

Användningsbegränsningar

Bestämmelser i svensk rätt om internationellt samarbete, med s.k. användningsbegränsningar, tar över vad som är gällande i andra fall, t.ex. angående åtalsplikt (se vidare kap. 5).

Bestämmelser om användningsbegränsningar finns i

•5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål,

•3 § lagen (2000:343) om internationellt polisiärt samarbete,

•5, 13 och 16 §§ lagen (2000:1174) om vissa former av interna- tionellt samarbete i brottsutredningar,

•4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete, samt

•10 § andra stycket lagen (2000:344) om Schengens informa- tionssystem.

I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.

Ett sätt att se på dataskyddsrambeslutets användningsbegräns- ningar är att den typ av begränsningar som t.ex. anges i artikel 11 a)–d) torde kunna betraktas som sådana användningsbegränsningar som motsvaras av reglerna i ovan nämnda författningar, jfr prop. 2007/08:83 s. 41 f. avseende artikel 26 i Prümrådsbeslutet (se avsnitt 5.3.5) samt prop. 2008/09:16 s. 40.

Av sistnämnda förarbeten framgår dessutom i huvudsak följande. Bestämmelserna i de nämnda författningarna innebär att personuppgifter, som behandlas av Kustbevakningen, polisen, Tullverket och åklagarväsendet i enlighet med dessa författningar, omfattas av dataskyddsrambeslutet och att de villkor som data- skyddsrambeslutet föreskriver, t.ex. kravet på samtycke ska följas.

Vidare omfattas, enligt samma förarbeten, personuppgifter som kommit in genom nämnda författningar och som därefter kommit någon av de ovan nämnda myndigheterna eller Kriminalvården, Skatteverket eller allmänna domstolar eller allmänna förvaltnings- domstolar till del (jfr JO 2007/08 s. 57).

De internationella samarbetslagarna ovan innehåller den materiella lagstiftningen vad avser samarbete m.m.

Med andra ord reglerar dessa samarbetslagar enbart de generella regler som tydliggör det internationella samarbetet och villkor för användningen av viss information och bevismaterial.

285

Användningsbegränsningar

SOU 2011:20

Vi kan härigenom konstatera att de internationella samarbets- lagarna har ett mer vitt tillämpningsområde än dataskyddsram- beslutet. Flera av lagarna, t.ex. lagen om internationellt tull- samarbete, reglerar inte enbart polisiärt samarbete, utan även samarbete inom andra områden. Samarbetslagarna täcker vidare långt ifrån allt samarbete i form av uppgiftsutbyte som myndigheterna utövar (jfr kap. 5 ovan).

12.3.2Reglering av utlämnande av uppgifter

Vår bedömning: Bestämmelserna om användningsbegränsning- ar m.m. i dataskyddsrambeslutet reglerar endast vidare- behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I artikel 1.3 dataskyddsrambeslutet – syfte och tillämpningsområde

– stadgas att rambeslutet gäller för sådan behandling av person- uppgifter som utförs helt eller delvis automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

Enligt vår bedömning utgör således dataskyddsrambeslutets bestämmelser endast en reglering av automatiserad spridning av behandlade personuppgifter eller personuppgifter som ingår eller kommer att ingå i ett register.

Detta innebär bl.a. att de bestämmelser om t.ex. användar- begränsningar som ställs upp i dataskyddsrambeslutet avser en inskränkning för enskilda att få del av personuppgifter i viss form.

12.3.3Utlämnande med stöd av handlingsoffentligheten

Vår bedömning: För det fall en vidarebehandling av personupp- gifter sker i syfte att uppfylla de krav som gäller offentlighets- principen enligt tryckfrihetsförordningen, kan en sådan vidare- behandling givetvis inte ses som oförenlig med dataskydds- rambeslutets bestämmelser om begränsningar i rätten att vidarebehandla uppgifter.

286

SOU 2011:20 Användningsbegränsningar

I skäl 31 i dataskyddsrambeslutets inledande delar anges att data- skyddsrambeslutet ”-- gör att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta.”

Det nämnda syftar på reglerna om utlämnande av person- uppgifter med stöd av offentlighetsprincipen.

Ett uttryck för offentlighetsprincipen är principen om handlingsoffentlighet som garanterar insyn i riksdagens, regeringens och myndigheternas arbete.

Enligt 2 kap. 1 § tryckfrihetsförordningen framgår att ” -- till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna handlingar”.

Handlingsoffentligheten ger således var och en rätt att begära att få del av allmänna handlingar.

Som tidigare har anförts (se avsnitt 12.3.2) innehåller data- skyddsrambeslutet enbart regler om vidarebehandling av person- uppgifter som är helt eller delvis automatiserad eller om uppgifter- na ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Allmänheten har inte rätt att med stöd av offentlighetsprincipen kräva att uppgifter lämnas ut på visst sätt, t.ex. automatiserat (jfr 2 kap. 13 § tryckfrihetsförordningen).

Detta innebär att dataskyddsrambeslutets bestämmelser inte strider mot allmänhetens rätt till insyn och rätt att ta del av allmänna offentliga handlingar.

Vi bedömer i likhet med vad som sägs i förarbetena – prop. 2008/09: 16 s. 39 – att för det fall en vidarebehandling av person- uppgifter sker i syfte att uppfylla de krav som gäller offentlighets- principen enligt svensk rätt, kan en sådan vidarebehandling inte ses som oförenlig med dataskyddsrambeslutets bestämmelser om begränsningar i rätten att vidarebehandla uppgifter.

Angående frågor om allmänhetens tillgång till uppgifterna och frågor om sekretessregleringen i svensk rätt i detta sammanhang, se kap. 6.

287

Användningsbegränsningar

SOU 2011:20

12.3.4Offentlighets- och sekretesslagens påverkan av dataskyddsrambeslutet

Vår bedömning: Dataskyddsrambeslutets bestämmelser om användningsbegränsningar föranleder inte någon ändring i offentlighets- och sekretesslagen (2009:400).

I avsnitt 6.5 ovan har redogjorts för bestämmelsen i 9 kap. 2 § offentlighets- och sekretesslagen (2009:400, OSL), som hänvisar till de bestämmelser i svensk rätt som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat.

På sätt som anges nedan i avsnitt 12.3.5 har vi funnit skäl att föreslå att en ny lag – lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straff- rättsligt samarbete inom Europeiska unionen – ska införas.

Mot bakgrund härav föreligger enligt vår mening inte något skäl att föreslå justeringar i OSL.

Vår bedömning är att den av oss föreslagna nya lagen nedan (se vidare avsnitt 12.3.5) samt 9 kap. 2 § OSL tillsammans med övriga sekretessregler, är tillräckliga för att uppfylla dataskyddsram- beslutets krav.

Sammanfattningsvis föranleder dataskyddsrambeslutets bestäm- melser således inte någon ändring i OSL.

12.3.5Ny lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Våra förslag: En ny lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straff- rättligt samarbete inom Europeiska unionen införs i svensk rätt. I lagens 1–3 §§ införs bestämmelser om lagens tillämpnings- område mm med följande innehåll.

1 § I denna lag finns bestämmelser om användnings- begränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

288

SOU 2011:20

Användningsbegränsningar

2 § Denna lag gäller endast vidarebehandling av person- uppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

3 § Denna lag gäller för sådan vidarebehandling av person- uppgifter som är helt eller delvis automatiserad.

Lagen gäller även för annan vidarebehandling av person- uppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

För att uppfylla dataskyddsrambeslutets krav, föreslår vi att en ny lag – lagen om användningsbegränsningar vi behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen – ska införas.

Denna nya lag föreslås innehålla bestämmelser om lagens tillämpningsområde m.m. (1-3 §§), ändamål för vidarebehandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av person- uppgifter till privat part inom Europeiska unionen (6 §), nationella restriktioner för behandling av uppgifter (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).

Lagens bestämmelser ska motsvara artikel 3.2 jämförd med artikel 11, samt artiklarna, 9, 12, 13, 14 och 16.2 i dataskydds- rambeslutet.

Ett alternativ till att föreslå en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de för myndigheterna här aktuella internationella samarbetslagarna (jfr avsnitt 12.3.1 och 5 kap.). Ett sådant alternativ hade dock medfört att omfattningen av användningsbegränsningarna hade blivit större än vad som nu är fallet, detta på grund av att den av oss nu föreslagna lagstiftningen enbart omfattar behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som

289

Användningsbegränsningar

SOU 2011:20

är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

En placering av motsvarande bestämmelser i de internationella samarbetslagarna hade således inneburit att användningsbegräns- ningarna inte hade begränsats till det som omfattas av dataskyddsrambeslutet.

Mot bakgrund av det ovan anförda föreligger alltså enligt vår mening skäl att föreslå att en ny lag ska införas.

Ett annat alternativ till vår föreslagna nya lag hade varit att placera bestämmelserna i var och en av de registerförfattningar som gäller för de aktuella myndigheter som anges i 2 § i vår föreslagna lag.

Vi anser dock att det för tillämparna blir tydligast att ifråga- varande regler finns i en särskild lag. Det lämpar sig nämligen enligt vår mening bäst att specialregler inom ett visst område finns i särskild lag till vilken man sedan gör hänvisningar (jfr 2 kap. 2 § tryckfrihetsförordningen).

Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.

Mot bakgrund härav och av tydlighetsskäl föreslår vi också att ett antal hänvisningsparagrafer till vår nya lag ska införas i myndigheternas registerförfattningar (se vidare kap. 15).

Vad gäller lagens tillämpningsområde m.m. finns bestämmelser i 1–3 §§.

I 1 § anges att lagen avser bestämmelser om användnings- begränsningar enligt dataskyddsrambeslutet.

I 2 § anges dels att lagen gäller vidarebehandling av person- uppgifter, dels att lagen enbart ska tillämpas inom ramen för polissamarbete och straffrättsligt samarbete vad gäller person- uppgifter som har tagits emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat (jfr kap. 8 ovan).

I paragrafen anges också vilka myndigheter som omfattas av lagens bestämmelser. Dessa myndigheter är Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket samt Åklagarmyndigheten och Ekobrottsmyndigheten (jfr kap. 4 ovan). Vad gäller undantaget för Säkerhetspolisen, se avsnitt 8.3.1 ovan.

I 3 § stadgas att lagen gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad samt för

290

SOU 2011:20

Användningsbegränsningar

annan vidarebehandling av uppgifter under förutsättning att uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (jfr avsnitt 8.2.6 ovan).

Angående vårt ställningstagande vad gäller uppgifter som tagits emot från en EU-myndighet eller ett informationssystem inom EU, se avsnitt 8.2.5.

Nedan (se kap. 12.5–12.10 samt i kap. 13.1.5) följer en genom- gång av artiklarna i dataskyddsrambeslutet vad gäller användnings- begränsningarna, samt förslag till ändringar och kompletteringar av svensk rätt.

12.4Vidarebehandling – gemensamma bestämmelser

Vår bedömning: Bestämmelserna i artikel 3.2 dataskyddsram- beslutet föranleder inte någon ändring i lag eller förordning. Vad avser vidarebehandling för historiska, statistiska eller vetenskapliga ändamål se vidare kap. 12.6 nedan.

När det gäller annan vidarebehandling än för historiska, statistiska eller vetenskapliga ändamål ställer dataskyddsrambeslutet mer preciserade krav än dataskyddsdirektivet.

Artikel 3.2 i dataskyddsrambeslutet innehåller bestämmelser om vidarebehandling av personuppgifter som omfattas av rambeslutet, när det gäller andra ändamål än det ursprungliga ändamålet, eller historiska, statistiska eller vetenskapliga ändamål.

Följande förutsättningar anges.

•Behandlingen ska inte vara oförenlig med det ändamål för vilket uppgifterna samlades in.

•Den behandlande myndigheten ska vara behörig att utföra behandlingen.

•Behandlingen ska vara nödvändig och stå i proportion till det andra ändamålet.

Begreppet vidarebehandling finns inte definierat i artikel 2 i data- skyddsrambeslutet (jfr kap. 9 ovan). Begreppet – som inte heller förekommer i personuppgiftslagen eller registerförfattningarna – får enligt vår mening anses utgöra vidare behandling av person-

291

Användningsbegränsningar

SOU 2011:20

uppgifter som har överförts eller gjorts tillgänglig av bl.a. annan medlemsstat.

Då begreppet förekommer i dataskyddsrambeslutet (se artikel 3 och 11 samt i skäl 20 och 21 i dataskyddsrambeslutets inledande delar) har vi funnit skäl att använda oss av samma begrepp i vår nya föreslagna lag om användningsbegränsningar (se nedan avsnitt 12.3.5).

Enligt artikel 11 i dataskyddsrambeslutet begränsas vidare- behandlingen av uppgifter som har överförts eller gjorts tillgängliga ytterligare genom att avse vissa däri särskilt uppräknade ändamål, bl.a. för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga eller för andra rättsliga eller administrativa förfaranden med direkt anknytning till sådan verksamhet (se vidare kap. 12.5).

I artikel 3.2 b) och c) ställs upp villkor för vidarebehandling genom att de berörda myndigheterna ska ha befogenhet att behandla uppgifterna för det andra ändamålet enligt nationell rätt och att behandlingen ska vara nödvändig och stå i proportion till det ursprungliga ändamålet.

Dessa villkor får anses uppfyllda genom bestämmelserna i 9 § a) och e) personuppgiftslagen om grundläggande krav på behandling- en av personuppgifter.

Vi bedömer mot bakgrund härav inte att, med anledning enbart av bestämmelserna i artikel 3.2, det föreligger skäl att föreslå något tillägg till eller justering av svensk rätt.

Vad avser vidarebehandling för historiska, statistiska eller vetenskapliga ändamål se vidare kap. 12.6 nedan.

12.5Behandling av personuppgifter som har överförts från eller gjorts tillgängliga av en annan medlemsstat (artikel 11)

12.5.1Allmänt innehåll

Artikel 11 i dataskyddsrambeslutet har följande lydelse.

Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat

Personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får, i enlighet med

292

SOU 2011:20

Användningsbegränsningar

kraven i artikel 3.2, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes tillgängliga:

a)För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga.

b)För andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder.

c)För att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

d)För varje annat syfte endast med förhandsmedgivande från den

överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.

Dessutom får de överförda personuppgifterna behandlas vidare av de behöriga myndigheterna för historiska, statistiska eller vetenskap- liga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder som exempelvis avidentifiering av upp- gifterna.

Artikeln innehåller enligt vår mening mer preciserade begränsningar än vad som anges i artikel 3 (se vidare kap. 10 om Ändamålsbestämmelser).

Enligt artikel 11 första stycket måste förutsättningarna enligt artikel 3.2 a – bl.a. att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in – alltid vara uppfyllda.

Reglerna om begränsningar vad gäller vidarebehandling är i huvudsak aktuella i de situationer där den mottagande myndigheten själv vill vidarebehandla uppgifter för ett helt annat ändamål än brottsbekämpning eller vill lämna uppgifterna vidare till en myndighet som varken sysslar med brottsbekämpning, lagföring eller verkställighet av straff. I praktiken torde därför detta inte ha så stor påverkan på de berörda myndigheternas verksamhet (jfr prop. 2008/09:16 s. 38).

I artikel 11 anges, under punkterna a)–d), de syften för vilka personuppgifter som omfattas av dataskyddsrambeslutet får vidare- behandlas, i enlighet med kraven i artikel 3.2 och för andra ändamål än de för vilka personuppgifterna överfördes eller gjordes tillgängliga.

293

Användningsbegränsningar

SOU 2011:20

12.5.2Artikel 11 a)

Punkt a) avser vidarebehandling av personuppgifter för att förebygga, upptäcka, utreda eller lagföra andra brott än de som föranledde att uppgifterna överfördes eller gjordes tillgängliga samt för verkställighet av annan påföljd.

Dessa ändamål torde ha stor praktisk betydelse från verksam- hetssynpunkt. Vidarebehandling i syfte att förebygga, upptäcka, utreda eller lagföra ett annat brott är således alltid tillåten.

Av prop. 2008/09:16 s. 39 framgår följande.

Vidarebehandling får alltså ske om uppgifterna behövs för att hand- lägga konkreta brottsmisstankar. Vidarebehandling för att förebygga brott skapar också utrymme för att behandla uppgifter även utan konkreta brottsmisstankar. Likaså måste uppgifter få användas t.ex. för att berika pågående underrättelsearbete eller för att verkställa en existerande påföljd. Det kan också vara nödvändigt för polisen att bevara och behandla information om brott och brottstyper för specifika ändamål, t.ex. att jämföra tillvägagångssättet vid allvarliga brott eller att övervaka seriebrottslingar.

12.5.3Artikel 11 b)

Punkt b) avser vidarebehandling av personuppgifter för andra rättsliga eller administrativa förfaranden som har direkt anknytning till förebyggande, avslöjande, utredning eller lagföring av brott eller till verkställigheten.

I prop. 2008/09:16 s. 37 anges följande exempel på när person- uppgifterna i detta sammanhang får, alternativt bör, kunna vidarebehandlas.

•För indrivning av skadestånd, företagsbot eller andra ekono- miska åligganden i en brottmålsdom.

•I nådeärenden samt i ärenden som rör ändring av påföljd.

•I ärenden angående särskild förverkandetalan vad gäller utbyte av brottslig verksamhet.

•För att ta ut skatt, tull eller andra avgifter som är direkt relaterade till det brott för vilket de överfördes.

Härutöver kan som ytterligare exempel anges polisens egen tillståndsverksamhet i s.k. tillståndsärenden vid bl.a. stora evenemang.

294

SOU 2011:20

Användningsbegränsningar

12.5.4Artikel 11 c)

Punkt c) avser vidarebehandling av personuppgifter för att avvärja en överhängande och allvarlig fara för allmän säkerhet.

I prop. 2008/09:16 s. 38 anges att utrymmet för tillämpningen av denna bestämmelse torde vara begränsat och komma i fråga framför allt i de fall där man inte hinner kontakta den andra staten därför att behovet av att agera har uppkommit plötsligt.

12.5.5Artikel 11 d)

Punkt d) avser vidarebehandling av personuppgifter för vilket annat ändamål som helst, under förutsättning att den överförande staten har lämnat medgivande till detta i enlighet med sin nationella lagstiftning.

Av skäl 20 i dataskyddsrambeslutets inledande delar framgår vidare att ett medgivande till vidarebehandling av uppgifter som har överförts från en annan stat, beroende på den enskilda statens nationella lagstiftning, kan lämnas i form av ett allmänt samtycke till vidarebehandling av kategorier av information eller för en viss typ av behandling.

12.5.6Våra förslag

Våra förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om ändamål för vidare- behandling av personuppgifter(4 §, första och andra styckena) med följande innehåll.

Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a)för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

295

Användningsbegränsningar

SOU 2011:20

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)för varje annat syfte endast om den överförande medlems- staten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.

Som anförts ovan måste, enligt artikel 11 första stycket, förutsättningarna enligt artikel 3.2 a) – att exempelvis behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen) – alltid vara uppfyllda.

I artikel 11 d) anges härutöver – vad gäller vidarebehandling i vissa fall – att även i de situationer då ett ändamål för vidare- behandling är förenligt med det ursprungliga ändamålet, kan sådan vidarebehandling ändå inte få ske, om samtycke inte har givits.

I prop. 2008/09:16 s. 39 har mot bakgrund härav anförts att finalitetsprincipen i 9 § d) personuppgiftslagen (jfr avsnitt 10.4.1) inte i sig är tillräcklig för att följa de krav som dataskydds- rambeslutet ställer upp i denna del.

Bestämmelser i svensk rätt om internationellt samarbete, med s.k. användningsbegränsningar, tar över vad som är gällande i andra fall, t.ex. angående åtalsplikt (se vidare kap. 5).

Som anförts ovan (se avsnitt 12.3.2) reglerar dataskydds- rambeslutet enbart vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i artikel 11 har inte i detalj någon motsvarighet i registerförfattningarna i svensk rätt. Skäl att införa kompletterande bestämmelser i denna del föreligger därför.

Vi föreslår mot bakgrund härav att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om ändamål för vidarebehandling av personuppgifter(4 § första och andra styckena) med följande innehåll.

296

SOU 2011:20

Användningsbegränsningar

Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske

a)för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)för varje annat syfte endast om den överförande medlemsstaten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.

12.6Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål (artikel 3 sista stycket och artikel 11 sista stycket)

Våra förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om uppgifter för historiska, statistiska eller vetenskapliga ändamål (4 § tredje stycket) med följande innehåll.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Enligt artikel 3 sista stycket och artikel 11 sista stycket dataskydds- rambeslutet är behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål generellt tillåten enligt ram- beslutet, men bara under förutsättning att medlemsstaterna föreskriver lämpliga skyddsåtgärder.

Motsvarande krav ställs i dataskyddsdirektivet.

Enligt 9 § första stycket punkten i) i personuppgiftslagen får inte personuppgifter bevaras under längre tid än vad som är

297

Användningsbegränsningar

SOU 2011:20

nödvändigt med hänsyn till ändamålen med behandlingen. Person- uppgifter får dock enligt 9 § tredje stycket samma lag, under längre tid bevaras för historiska, statistiska eller vetenskapliga ändamål.

Att behandla personuppgifter som bevaras för sådana ändamål är dock begränsad. Dessa personuppgifter får användas för att vidta åtgärder mot den registrerade bara om denne har samtyckt till det eller om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

I propositionen till personuppgiftslagen (prop. 1997/98:44 s. 47 f.) diskuterades ingående huruvida den svenska arkivlag- stiftningen uppfyllde kraven i dataskyddsdirektivet i detta avseende. Regeringen ansåg att så var fallet och riksdagen anslöt sig till detta.

I prop. 2008/09:16 s. 34 anförs att dataskyddsrambeslutet inte bedöms, med något enstaka undantag (se nedan angående Tullverket), kräva några lagändringar när det gäller bl.a. vidare- behandling för historiska, statistiska eller vetenskapliga ändamål.

Sett till det ovan anförda föreligger skäl att anse att bestämmelsen i artikel 3, sista stycket, inte ska föranleda några författningsförslag från vår sida. Vi har dock ändå, för tydlighets skull, valt att i 4 § om ändamål för vidarebehandling av person- uppgifter i den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen införa en bestämmelse med följande innehåll.

Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.

Närmare om Tullverket

I sistnämnda proposition framhålls vidare att de flesta av register- författningarna har, i fråga om vidarebehandling för historiska, statistiska eller vetenskapliga ändamål, regleringar motsvarande personuppgiftslagens.

Tullverkets författningar lämnar dock utrymme för att handlingar bevaras i stället för att gallras, men anger inte för vilka ändamål dessa får bevaras. Dessa författningar kan därför behöva ses över. Härutöver har i propositionen (s. 38) vad gäller Tullverket och vidarebehandling av personuppgifter, anförts följande.

298

SOU 2011:20

Användningsbegränsningar

För Tullverkets del uttrycks i lagen uttömmande de ändamål för vilka behandling får ske och någon hänvisning till 9 § första stycket d) personuppgiftslagen finns inte.

Emellertid är ändamålsbestämmelserna för tullens brotts- bekämpande verksamhet angivna på ett sådant sätt att Tullverket i stort sett torde ha samma möjlighet att vidarebehandla och lämna ut uppgifter till andra myndigheter som om verket haft att tillämpa en bestämmelse motsvarande den i 9 § första stycket d) personuppgifts- lagen. Det kan dock inte uteslutas att det kan uppkomma situationer i vilka ändamålsbestämmelserna inte täcker en upptänklig vidare- behandling, som får ske enligt bestämmelserna i rambeslutet. Det kan därför finnas behov av att se över om ändamålsbestämmelserna för Tullverkets del överensstämmer med rambeslutet.

De ovan nämnda ändamålsbestämmelserna för Tullverkets brotts- bekämpande verksamhet kan enligt vår mening inte anses avse frågor som berör genomförandet av dataskyddsrambeslutet i svensk rätt.

Vi anser därför inte att det inom ramen för vårt uppdrag föreligger skäl att beröra denna fråga.

12.7Iakttagande av nationella restriktioner för behandling av uppgifter (artikel 12)

Våra förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om nationella restriktioner för behandling av uppgifter (7 §) med följande innehåll.

Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

299

Användningsbegränsningar

SOU 2011:20

Artikel 12 i dataskyddsrambeslutet har följande lydelse.

Iakttagande av nationella restriktioner för behandling av uppgifter

1.Om det, enligt den överförande medlemsstatens nationella lagstift- ning, under särskilda omständigheter gäller särskilda begränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.

2.Vid tillämpning av punkt 1 ska medlemsstaterna inte tillämpa några andra begränsningar när det gäller överföringen av uppgifter till andra medlemsstater eller till byråer eller organ som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen än de som gäller motsvarande nationella överföringar av uppgifter.

I artikel 12.1 anges således regler om viss informationsskyldighet från den överförande staten till mottagaren vad gäller särskilda begränsningar enligt den överförande statens lagstiftning i fråga om utbyte av personuppgifter mellan nationella myndigheter. Mottagaren ska å sin sida se till att dessa begränsningar för behandling följs.

Medlemsstaterna får enligt artikel 12.2 inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar.

I prop. 2008/09:16 s. 41 har angetts att de befintliga reglerna om användningsbegränsningar i svensk rätt i huvudsak är tillräckliga för att uppfylla dataskyddsrambeslutet i dessa delar, men att behovet av lagändringar kan behöva analyseras närmare.

Vad gäller regler om information till den registrerade finns bestämmelser i artikel 16.2 (se avsnitt 13.1.5 nedan).

Vi gör i denna del bedömningen att artikel 12 innehåller sådana användningsbegränsningar som bör föranleda ett tillägg i svensk rätt.

Angående andra stycket i vår föreslagna paragraf kan det i och för sig ifrågasättas om det inte är tillräckligt med den formulering som vi föreslår i första stycket, sista meningen. Då det i dataskyddsrambeslutet uttryckligen har förts in bestämmelser i artikel 12.2 föreslår vi dock att det även i svensk rätt ska föras in en motsvarande förtydligande bestämmelse.

Vi föreslår därför att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska

300

SOU 2011:20 Användningsbegränsningar

unionen, införs en bestämmelse om iakttagande av nationella restriktioner för behandling av uppgifter (7 §) med följande innehåll.

Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.

12.8Överföring till behöriga myndigheter i tredjestater eller till internationella organ (artikel 13)

Våra förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättligt samarbete inom Europeiska unionen införs en bestämmelse om överföring av personuppgifter till tredje land eller till internationella organ (5 §) med följande innehåll.

Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a)det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b)mottagaren har ansvar för sådan verksamhet som anges i a),

c)den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d)mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

301

Användningsbegränsningar

SOU 2011:20

12.8.1Allmänt om artikel 13

Artikel 13 i dataskyddsrambeslutet har följande lydelse.

Överföring till behöriga myndigheter i tredjestater eller till internationella organ

1.Medlemsstaterna ska föreskriva att personuppgifter som överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får överföras till tredjestater eller internationella organ endast om

a)detta är nödvändigt för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

b)den mottagande myndigheten i tredjestaten eller det mottagande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verkställigheten av straff- rättsliga påföljder,

c)den medlemsstat från vilken uppgifterna erhölls har gett sitt samtycke till överföringen i enlighet med sin nationella lagstiftning, och om

d)berörd tredjestat eller internationellt organ sörjer för en adekvat skyddsnivå för den avsedda databehandlingen.

2.Överföring utan förhandsmedgivande enligt punkt 1 c ska tillåtas endast om överföringen av uppgifter är absolut nödvändig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för en medlems- stats väsentliga intressen och ett förhandsmedgivande inte kan erhållas

itid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.

3.Med avvikelse från punkt 1 d får personuppgifter överföras om

a)den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

i)den registrerades legitima specifika intressen, eller

ii)legitima faktiska intressen, främst viktiga allmänna intressen, eller

b)tredjestaten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

4.Bedömningen av om den skyddsnivå som avses i punkt 1 d är adekvat ska ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter.

Särskild hänsyn ska tas till uppgifternas art, den föreslagna behandlingens eller behandlingarnas ändamål och varaktighet, ursprungsstaten och den stat eller internationella organ som utgör slutdestination för uppgifterna, den lagstiftning, både allmän och sektoriell, som gäller i den berörda tredjestaten eller för det berörda

302

SOU 2011:20

Användningsbegränsningar

internationella organet samt de yrkesregler och säkerhetsbestämmelser som ska tillämpas.

Bestämmelserna i dataskyddsrambeslutet – som innehåller förbud mot överföring av uppgifter till tredjeland, internationella organ eller organisationer – begränsar rätten att använda uppgifterna.

Artikeln ställer således upp vissa krav på när uppgifter som omfattas av dataskyddsrambeslutet ska få föras över eller göras tillgängliga. Sådan överföring får ske endast om den är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd, mottagaren har ansvar för sådan verksamhet, den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, och mottagaren har en adekvat skyddsnivå för databehandling.

För att det ska vara tillåtet att föra över uppgifter eller att göra dessa tillgängliga för ett tredjeland eller ett internationellt organ måste således samtliga dessa villkor som huvudregel vara uppfyllda.

I artikel 13.2 anges som undantag från kraven på förhands- medgivande till överföring att detta endast får ske om överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller för en medlemsstats väsentliga intressen och ett förhandsmedgivande inte hinner utverkas i tid. I sådana fall ska den myndighet som ska medge överföring underrättas utan dröjsmål.

Från kravet på adekvat skyddsnivå hos mottagaren medges också – enligt artikel 13.3 och 13.4 – vissa undantag, nämligen om den nationella lagstiftningen hos den medlemsstat som överför uppgifterna föreskriver detta på grund av vissa viktiga intressen eller om mottagaren sörjer för skyddsåtgärder som den överförande staten bedömer vara tillräckliga enligt sin lagstiftning.

Vid bedömningen av om skyddsnivån är adekvat ska hänsyn tas till alla relevanta omständigheter, bl.a. uppgifternas art, syftet med behandlingen och varaktigheten av densamma.

Angående vårt ställningstagande vad gäller uppgifter som tagits emot från en EU-myndighet eller ett informationssystem inom EU, se avsnitt 8.2.5 ovan.

Formuleringen i artikel 13 i dataskyddsrambeslutet – vilken även återfinns i 5 § i vårt förslag till ny lag inom området (se avsnitt 12.8.2 nedan) – att personuppgifter har ”gjorts tillgängliga” för medlemsstaten, anser vi dessutom tillräckligt tydliggörande i denna del. Eftersom personuppgifterna i grunden är hänförliga till

303

Användningsbegränsningar

SOU 2011:20

medlemsstaterna är det enligt vår mening i detta sammanhang tillräckligt att i vår nya lag (se avsnitt 12.8.2) enbart referera till medlemsstaterna.

12.8.2Jämförelse med svensk rätt

I 33–35 §§ personuppgiftslagen (1998:204) anges följande

Förbud mot överföring av personuppgifter till tredje land

33 §

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av person- uppgifter för behandling i tredje land.

Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestäm- melselandet och de regler som finns för behandlingen i det tredje landet.

Undantag från förbudet mot överföring av personuppgifter till tredje land

34 §

Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

a)ett avtal mellan den registrerade och den personuppgifts- ansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b)ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,

c)rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

d)vitala intressen för den registrerade skall kunna skyddas.

Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

35 §

Regeringen får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje

304

SOU 2011:20 Användningsbegränsningar

land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Personuppgiftslagen föreskriver således ett generellt förbud mot överföring av personuppgifter till tredje land, nämligen om landet inte har en adekvat nivå för skyddet av personuppgifterna.

Personuppgiftslagen innehåller dock inte något generellt förbud mot överföring av personuppgifter till internationella organ.

Flera av de författningar som avser internationellt samarbete (se avsnitt 12.3.1 och kap. 5) innehåller särskilda regler om t.ex. utlämnande av uppgifter till såväl utländska myndigheter som mellanfolkliga organisationer, såsom

•5 kap. 1 och 4 §§ lagen (2000:562) om internationell rättshjälp i brottmål,

•3 a § lagen (2000:343) om internationellt polisiärt samarbete,

•1 kap. 1 § och 2 kap. 6 och 8 §§ lagen (2000:1219) om inter- nationellt tullsamarbete, och

•I 6 och 7 §§ lagen (2003:1174) om vissa former av interna- tionellt samarbete i brottsutredningar finns enbart bestämmelser om utlämnande av uppgifter till utländska myndigheter.

I 10 § första stycket lagen (2000:344) om Schengens informations- system stadgas att en uppgift som behandlas i registret inte får överföras eller göras tillgänglig för ett tredje land eller en interna- tionell organisation.

Reglerna är i stort sett utformade på samma sätt. De tillåter att uppgifter lämnas ut om detta följer av en internationell överens- kommelse som har godkänts av riksdagen eller om en för Sverige bindande överenskommelse har träffats med en annan stat.

I prop. 2008/09:16 s. 43 har – angående svensk rätt jämförd med artikel 13 i dataskyddsrambeslutet – framhållits att de nu nämnda reglerna om förutsättningarna för att föra över uppgifter till tredje land eller till mellanfolkliga organ, inte innehåller begränsningar i den utsträckning som artikel 13 kräver. – I propositionen görs samtidigt bedömningen att de svenska bestämmelserna om

305

Användningsbegränsningar

SOU 2011:20

användningsbegränsningar i huvudsak uppfyller dataskydds- rambeslutet i denna del, men anges vidare ”-- att behovet av lagändringar inom vissa verksamhetsområden kan behöva analyseras närmare.”

Med beaktande av vad vi ovan anfört om att dataskydds- rambeslutet endast reglerar vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 12.3.2) är det av huvudsakligt intresse för vår bedömning om registerförfattningarna i svensk rätt innehåller motsvarande regler.

Vid en jämförelse mellan sistnämnda författningars bestäm- melser och reglerna i artikel 13 dataskyddsrambeslutet, finner vi att svensk rätt inte överensstämmer med dataskyddsrambeslutets angivna användningsbegränsningar.

Mot bakgrund härav anser vi att nya bestämmelser med motsvarande begränsningar som finns i artikel 13 ska införas i vår föreslagna nya lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (5 §) enligt följande.

Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om

a)det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

b)mottagaren har ansvar för sådan verksamhet som anges i a),

c)den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och

d)mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.

Skäl att föra in ytterligare delar av artikel 13 föreligger inte.

306

SOU 2011:20

Användningsbegränsningar

12.8.3Närmare om vissa begrepp i artikel 13

Tredjestater

I artikel 13 finns regler om hur personuppgifter ska få föras över till tredjestater. I den engelska versionen av dataskyddsrambeslutet anges motsvarande begrepp som third States.

I svensk rätt – se 3 § personuppgiftslagen – anges begreppet tredje land som en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

Den engelska översättningen av denna term är third countries. Vi anser att det inte finns någon saklig skillnad mellan begreppen och har i våra förslag genomgående använt begreppet tredje land.

Internationella organ

I artikeln anges vidare hur personuppgifter ska få föras över till internationella organ. I den engelska versionen av dataskyddsram- beslutet anges motsvarande begrepp som international bodies.

Allmänt torde en internationell organisation vara en organisation vars verksamhet eller medlemsbas överskrider enskilda nations- och statsgränser. En internationell organisation kan antingen vara mellanstatlig eller icke-statlig. Exempel på mellan- statliga organisationer är Förenade Nationerna och världshandels- organisationen WTO. Exempel på icke-statliga organisationer är Röda Korset och Amnesty, som är så kallade NGO:s (Non- Governmental Organizations).

I svensk rätt förekommer i detta sammanhang ett flertal snarlika begrepp; internationellt organ eller internationell organisation, mellanfolkligt organ eller mellanfolklig organisation. Någon tydlig linje hur begreppen skiljer sig åt är svårt att läsa ut i här aktuella svenska bestämmelser. Detta speglas bl.a. genom att det i den proposition som låg till grund för det preliminära godkännandet av dataskyddsrambeslutet i Sverige (prop. 2008/09:16 s. 43) i samma stycke används ett flertal olika begrepp, som regeringen torde avse ha samma innebörd.

Personuppgiftslagen innehåller dock inte något generellt förbud mot överföring av personuppgifter till internationella organ. Flera av de författningar som nu är aktuella innehåller särskilda regler om utlämnande av uppgifter till såväl utländska myndigheter som mellan- folkliga organisationer. Reglerna är i stort sett utformade på samma

307

Användningsbegränsningar

SOU 2011:20

sätt. De tillåter att uppgifter lämnas ut om detta följer av en internationell överenskommelse som har godkänts av riksdagen eller om en för Sverige bindande överenskommelse har träffats med en annan stat. De nu nämnda reglerna om förutsättningarna för att överföra uppgifter till tredjeland eller till mellanfolkliga organ innehåller dock inte begränsningar i den utsträckning som artikel 13 kräver. Bestämmelserna i rambeslutet om förbud mot överföring av uppgifter till tredjeland, internationella organ eller organisationer begränsar rätten att använda uppgifterna.

I lagen (1946:818) om bevisupptagning åt internationella organ används begreppet internationella organ. Detta görs också i prop. 2009/10:245 Folkbokföring av personer med anknytning till internationella organ.

I flera av ovan nämnda lagar (se avsnitt 12.3.1) och i 2 kap. 8 § lagen (2000:1219) om internationellt tullsamarbete används dock begreppet mellanfolklig organisation. Andra exempel där detta begrepp används är bl.a. i 8 kap. 3 § och 15 kap. 1 § offentlighets- och sekretesslagen (2009:400). Begreppet mellanfolklig organisation används också i 10 kap. 1 § regeringsformen för att beskriva staten Sveriges förhållande till sådan organisation.

Med mellanfolklig organisation i detta sammanhang avses endast organisationer som är rättssubjekt enligt folkrätten, dvs. i huvudsak sådana där stater är medlemmar (Henrik Jermstens kommentar i Karnov).

Då olika begrepp förekommer i svensk rätt och i prop. 2008/09:16 ovan har vi i våra förslag till nya bestämmelser och ändringar i gällande svensk rätt valt att använda oss av det begrepp som finns i dataskyddsrambeslutet; nämligen internationella organ.

Behörig myndighet

En grundläggande förutsättning enligt artikeln är att överföringen ska ske till behörig myndighet i tredje land.

I artikel 2 h) definieras ”behöriga myndigheter” enligt följande.

Behöriga myndigheter: byråer eller organ som inrättats genom rätts- akter antagna av rådet enligt avdelning VI i fördraget om Europeiska unionen, samt polismyndigheter, tullmyndigheter, domstolar eller andra behöriga myndigheter i medlemsstaterna som genom nationell lagstiftning är bemyndigade att behandla personuppgifter inom tillämpningsområdet för detta rambeslut.

308

SOU 2011:20

Användningsbegränsningar

12.9Överföring till privata parter i medlemsstaterna (artikel 14)

Våra förslag och vår bedömning: I den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om överföring till privata parter i medlemsstaterna (6 §) med följande innehåll.

Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1.myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2.inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3.överföringen är absolut nödvändig för att

a)utföra en författningsenlig uppgift,

b)förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)förhindra att enskildas rättigheter lider allvarlig skada.

Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Undantaget från innehållet i artikel 14 i dataskyddsram- beslutet som redogörs för i skäl 18 i dataskyddsrambeslutets inledande delar bör inte föras in i vår lag.

Artikel 14 i dataskyddsrambeslutet har följande lydelse.

Överföring till privata parter i medlemsstaterna

1. Medlemsstaterna ska föreskriva att personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat endast får överföras till privata parter om

a)den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,

b)inga legitima specifika intressen för den registrerade personen hindrar överföringen, och om

309

Användningsbegränsningar

SOU 2011:20

c) överföringen i särskilda fall är absolut nödvändig för att den behöriga myndighet som överför uppgifterna till en privat part ska kunna

i)utföra en uppgift den lagenligen tilldelats,

ii)förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,

iii)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iv)förhindra att enskilda personers rättigheter lider allvarlig skada.

2.Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål uppgifterna uteslutande får användas.

För vidarebehandling i form av överföring av personuppgifter som har erhållits från en annan medlemsstat till privata parter i medlemsstaterna ställs således enligt artikeln särskilt stränga krav. Överföring är tillåten endast om behörig myndighet i den andra staten har samtyckt till överföring och inga legitima intressen för den registrerade hindrar överföringen samt överföringen i det enskilda fallet är absolut nödvändig för att

•utföra en författningsenlig uppgift,

•förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder,

•avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

•förhindra att enskildas rättigheter lider allvarlig skada.

Något av de ovan nämnda skälen ska alltså vara uppfyllda.

Enligt artikel 14.2 ska vidare myndigheten – vid överföringen – underrätta mottagaren om för vilket ändamål uppgifterna ute- slutande får användas.

En bokstavstolkning av innehållet i artikel 14 – artikelns rubrik ”privata parter i medlemsstaterna” och första stycket ”får överföras till privata parter” – innebär att artikeltexten om överföring av personuppgifter till privata parter skulle kunna tolkas så att den skulle omfatta alla medlemsstater inom Europeiska unionen, inklusive förhållandena inom Sverige. Vi har i denna del ansett att svensk rätt i detta sammanhang har en tillräcklig reglering och om- fattning, genom bestämmelserna i personuppgiftslagen (1998:204), myndigheternas registerförfattningar och offentlighets- och sekretesslagen (2009:400), för att kunna säkerställa skyddet av

310

SOU 2011:20

Användningsbegränsningar

enskildas personliga integritet mm. och för att därigenom leva upp till dataskyddsrambeslutets syfte och krav.

Vi anser därför att den enda rimliga tolkningen av artikelns innehåll är att den ska reglera situationen om överföring som rör annan medlemsstat i Europeiska unionen än Sverige.

Genom en ändamålstolkning av artikeltexten anser vi därför att den författningstext som vi föreslår ska införas med anledning dataskyddsrambeslutet i denna del ska utformas på sådant sätt att den tydliggör att detta enbart avser överföring av personuppgifter till en privat part i en ”annan medlemsstat”.

I skäl 18 i dataskyddsrambeslutets inledande delar framhålls att regleringen i artikel 14 inte berör personuppgifter som lämnas från domstolar, polisen eller Tullverket till privata parter i brottmål. Som exempel på sådana privata parter nämns här försvarsadvokater och brottsoffer.

Det kan övervägas om undantaget i skäl 18 från bestämmelserna i artikel 14 i dataskyddsrambeslutet uttryckligen bör tas in i vår föreslagna nya lag.

Enligt vår mening är detta undantag dock en självklar förutsättning i svensk rätt. Lika självklart som att den enskilde själv ska ha rätt att ta del av sina egna uppgifter.

Vi noterar även att undantaget inte heller har förts in direkt i artikeltexten utan enbart i de inledande delarna av dataskydds- rambeslutet.

Sammantaget anser vi därför att det inte finns skäl att uttryckligen föra in undantaget i vår föreslagna lag.

I skäl 17 i dataskyddsrambeslutets inledande delar nämns vidare som exempel på när det kan vara nödvändigt att lämna uppgifter för att avvärja en omedelbar och allvarlig fara för allmän säkerhet och förhindra att enskilda personers rättigheter lider allvarlig skada. Exemplen som nämns är varningar till banker eller kreditinstitut om förfalskade värdepapper.

Dessutom anges i samma skäl – i fråga om fordonsstölder – uppgiftslämnande till försäkringsbolag för att hindra olaglig handel med stulna motorfordon och för att återföra stulna motorfordon från utlandet.

I prop. 2008/09:16 s. 44 anförs att svensk rätt i huvudsak bedöms uppfylla dataskyddsrambeslutet i denna del. I förarbetena anges även att möjligheten till utlämnande av uppgifter med stöd av offentlighetsprincipen bör uppmärksammas i sammanhanget. Det framhålls också att det i artikeln görs undantag från huvudregeln

311

Användningsbegränsningar

SOU 2011:20

för sådant uppgiftslämnande som utgör ett normalt led i brottmålsprocessen, dvs. uppgifter till parter i brottmål, brottsoffer och försvarare.

Bestämmelserna i artikel 14 ovan har dock inte någon uttrycklig motsvarighet i registerförfattningarna i svensk rätt, varför skäl till att införa kompletterande bestämmelser föreligger i denna del.

Vi föreslår att i den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen ska införas en bestämmelse om överföring till privata parter i medlemsstaterna (6 §) med följande innehåll.

Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att

1.myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,

2.inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och

3.överföringen är absolut nödvändig för att

a)utföra en författningsenlig uppgift,

b)förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

d)förhindra att enskildas rättigheter lider allvarlig skada.

Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.

Angående vårt ställningstagande vad gäller uppgifter som har tagits emot från en EU-myndighet, ett EU-organ eller ett informa- tionssystem inom EU, se avsnitt 8.2.5 ovan.

Formuleringen i artikel 14 i dataskyddsrambeslutet – vilken även återfinns i 6 § i vårt förslag till ny lag på området – att personuppgifter har ”gjorts tillgängliga” för medlemsstaten, anser vi dessutom tillräckligt tydliggörande i denna del. Eftersom personuppgifterna i grunden är hänförliga till medlemsstaterna är det enligt vår mening i detta sammanhang tillräckligt att i vår nya lag ovan enbart referera till medlemsstaterna.

312

SOU 2011:20

Användningsbegränsningar

12.10Skyldighet att iaktta överförande stats gallringsfrister (artikel 9)

Våra förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om bevarande och gallring (9 §) med följande innehåll.

Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.

Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

Artikel 9 i dataskyddsrambeslutet har följande lydelse.

Tidsfrister

Denna skyldighet ska inte tillämpas, om dessa uppgifter vid ut- gången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

2. Om den överförande myndigheten inte har angivit en tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna 4 och 5 för lagring av uppgifterna enligt de mottagande medlemsstaternas nationella lagstiftning tillämpas.

Artikeln anger således att mottagaren av personuppgifter som huvudregel är skyldig att – när de tidsfrister för gallring m.m. som meddelats av den överförande staten löper ut – radera eller blockera uppgifterna eller att göra en bedömning av om uppgifterna fortfarande behövs.

Om uppgifterna vid tidsfristens utgång behövs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder gäller inte gallringsskyldigheten.

Av prop. 2008/09:16 s 41f framgår följande.

Även här är det alltså fråga om bestämmelser i den överförande statens nationella rätt som följer med uppgifter som överförs. Kravet på att

313

Användningsbegränsningar

SOU 2011:20

den överförande statens gallringsfrister ska iakttas kan innebära en begränsning i rätten att använda eller på annat sätt vidarebehandla uppgifter för ett ändamål som annars skulle ha varit tillåtet, t.ex. för att inleda en brottsutredning.

Ett villkor om att en överförd uppgift ska gallras efter en bestämd tid som uppställs i samband med överförandet skulle därför kunna ses som en sådan användningsbegränsning som anges i de olika författningar som innehåller bestämmelser om användnings- begränsningar ---

--- Ett sådant synsätt kan emellertid ifrågasättas. Syftet med bestäm- melserna om användningsbegränsningar är att begränsa rätten att använda uppgifter till vissa bestämda ändamål. Skyldighet att gallra en uppgift sträcker sig längre än så eftersom det innebär ett förbud mot att låta uppgiften finnas kvar tillgänglig efter en viss tid, således även ett förbud mot att använda uppgiften för det ändamål som den över- fördes för. Syftet med att underrätta mottagarstaten om en gallrings- frist torde snarare vara att på ett mera allmänt plan upprätthålla ett önskat dataskydd än att styra användningsområdet för den uppgift som överförs. I det fortsatta lagstiftningsarbetet bör därför närmare analyseras om det behövs kompletterande lagstiftning (jfr prop. 2007/08:83 s. 48).

En jämförelse kan i detta sammanhang göras med Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöver- skridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet, jfr avsnitt 5.3.5).

Artikel 28.3 b) i Prümrådsbeslutet har följande innehåll.

Översända personuppgifter ska utplånas om de inte borde ha översänts eller mottagits. Uppgifter som har översänts och mottagits korrekt ska utplånas –- efter det att den tidsfrist som fastställs för lagring av uppgifterna enligt den översändande medlemsstatens nationella lagstiftning har löpt ut, när det översändande organet har informerat det mottagande organet om denna maximala lagringstid i samband med att uppgifterna översändes.

I propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/10:177 s. 15) anges att när det gäller uppgifter som har överskridit den längsta tillåtna tiden för bevarande i artikel 28.3 rör det sig om ett villkor som är känt redan vid översändandet och som därmed kan sägas utgöra ett villkor för att uppgifterna ska få användas.

314

SOU 2011:20

Användningsbegränsningar

Vår bedömning

Gallringsregler av personuppgifter finns som regel i de olika registerförfattningarna. I annat fall blir personuppgiftslagens och arkivlagens bestämmelser tillämpliga. De olika register- författningarnas gallringsbestämmelser går huvudsakligen ut på att uppgifter ska gallras viss tid efter att de inte längre behövs för sina ursprungliga ändamål.

Vi finner inget skäl att – med anledning av vad som anges i dataskyddsrambeslutet – göra några ändringar vad gäller de allmänna gallringsbestämmelserna i registerförfattningarna, person- uppgiftslagen eller arkivlagen.

Däremot anser vi att om ett villkor för användning av personuppgifter ställs upp redan vid översändandet av sådana uppgifter är detta att se som en användningsbegränsning som bör regleras särskilt i svensk rätt.

Artikel 9.1 i dataskyddsrambeslutet är enligt vår mening att se som en sådan användningsbegränsning.

Vi föreslår mot bakgrund härav att det i den av oss föreslagna nya lagen om användningsbegränsningar vid behandling av person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska införas en bestämmelse om tidsfrister för bevarande och gallring (9 §).

Ur ett integritetsskyddsperspektiv föreslås denna bestämmelse begränsas till kortare tidsfrister än vad som följer av svensk rätt.

Paragrafen föreslås få följande innehåll.

Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.

Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.

315

13 Rätt till information

13.1Registrerade personers rätt till information

13.1.1Dataskyddsrambeslutet

I artikel 16.1 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) finns regler om information till den registrerade vari det anges följande.

Medlemsstaterna ska se till att den registrerade informeras om insamling eller behandling av personuppgifter av deras behöriga myndigheter i enlighet med nationell lagstiftning.

I skäl 27 i inledningen till dataskyddsrambeslutet anges i denna del vidare följande.

Medlemsstaterna bör se till att den registrerade personen informeras om att personuppgifter kan eller håller på att samlas in, behandlas eller överföras till en annan medlemsstat för att förebygga, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. De närmare villkoren för den registrerade personens rätt att bli informerad och undantag från denna rätt bör fastställas i den nationella lagstiftningen. Detta kan genomföras på ett generellt sätt, t.ex. genom lagstiftning eller offentliggörande av en förteckning över olika typer av uppgifts- behandling.

I artikel 16.2 i dataskyddsrambeslutet anges följande.

Om personuppgifter har överförts eller gjorts tillgängliga mellan medlemsstaterna, får varje medlemsstat i enlighet med bestämmelserna i sin nationella lagstiftning enligt punkt 1, begära att den andra medlemsstaten inte informerar den registrerade. I sådana fall ska den senare medlemsstaten inte informera den registrerade utan förhands- medgivande från den andra medlemsstaten.

317

Rätt till information

SOU 2011:20

Artikel 17 i dataskyddsrambeslutet innehåller vidare bestämmelser om rätt till tillgång och har följande innehåll.

1.Varje registrerad ska ha rätt att på begäran, med rimliga intervall, utan hinder och utan större tidsutdräkt eller kostnader erhålla

a)åtminstone en bekräftelse från den registeransvarige eller från den behöriga nationella tillsynsmyndigheten på huruvida uppgifter som rör honom eller henne har överförts eller gjorts tillgängliga samt information om till vilka mottagare eller mottagarkategorier uppgifter- na har lämnats ut och information om vilka uppgifter som behandlas, eller

b)åtminstone en bekräftelse från den behöriga nationella tillsyns- myndigheten på att alla nödvändiga kontroller har utförts.

2.Medlemsstaterna får anta lagstiftning som begränsar tillgången till information enligt punkt 1 a, om denna begränsning med vederbörligt beaktande av vederbörandes legitima intressen är en nödvändig och rimlig åtgärd för att

a)hindra obstruktion mot officiella eller rättsliga utredningar, för- undersökningar eller förfaranden,

b)inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda allmän säkerhet,

d)skydda nationell säkerhet,

e)skydda den registrerade eller andra personers fri- och rättigheter.

3.Varje vägran till tillgång eller begränsning av denna ska skriftligen meddelas den registrerade. De sakliga och rättsliga skäl som beslutet grundar sig på ska därvid också meddelas. Det sistnämnda med- delandet kan underlåtas om skäl enligt punkt 2 a-e föreligger. I samtliga dessa fall ska den registrerade meddelas att han eller hon kan överklaga till den behöriga nationella tillsynsmyndigheten, en rättslig myndighet eller domstol.

13.1.2Dataskyddsdirektivet

I artiklarna 10–13 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) finns regler som behandlar frågan om registrerade personers rätt till information m.m.

Artiklarna, som sorterar under avdelningarna i direktivet vad gäller informationsplikt till den registrerade (artiklarna 10 och 11),

318

SOU 2011:20

Rätt till information

den registrerades rätt att få tillgång till uppgifter (artikel 12), samt undantag och begränsningar (artikel 13), har följande innehåll.

Artikel 10

Information vid insamling av uppgifter från den registrerade

Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:

a)Den registeransvariges och dennes eventuella företrädares identitet.

b)Ändamålen med den behandling för vilken uppgifterna är avsedda.

c)All ytterligare information, exempelvis

–mottagarna eller de kategorier som mottar uppgifterna,

–huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,

–förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom,

i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.

Artikel 11

Information när uppgifterna inte har samlats in från den registrerade

1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen:

a)Den registeransvariges och dennes eventuella företrädares identitet.

b)Ändamålen med behandlingen.

c)All ytterligare information, exempelvis

–de kategorier av uppgifter som behandlingen gäller,

–mottagarna eller de kategorier som mottar uppgifterna,

–förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom,

2.Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskap-

319

Rätt till information

SOU 2011:20

liga forskningsändamål – visar sig omöjligt eller innebära en opropor- tionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 12

Rätt till tillgång

Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige

a)utan hinder och med rimliga intervall samt utan större tids- utdräkt eller kostnader

– få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagar- kategorierna till vilka uppgifterna utlämnas,

– få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,

– få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,

b)i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,

c)få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

Artikel 13

Undantag och begränsningar

1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till

a)statens säkerhet,

b)försvaret,

c)allmän säkerhet,

d)förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)ett viktigt ekonomiskt eller finansiellt intresse hos en medlems- stat eller hos Europeiska unionen, inklusive monetära frågor, budget- frågor och skattefrågor,

f)en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning

ide under punkterna c), d) och e) nämnda fallen,

g)skydd av den registrerades eller andras fri- och rättigheter.

320

SOU 2011:20

Rätt till information

2. Under förutsättning av lämpliga rättsliga garantier får medlems- staterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.

I dataskyddsdirektivet har vidare i ingresspunkterna 41–44 anförts följande.

41)Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar program- varan. Detta bör dock inte få resultera i att den registrerade nekas all information.

42)Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.

43)Rätten till tillgång till uppgifter och information samt vissa skyldigheter hos den registeransvarige kan inskränkas av medlems- staterna i den utsträckning som det är nödvändigt för att skydda till exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga ekonomiska eller finansiella intressen som är av betydelse för en medlemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret.

44)För att uppfylla vissa av de nämnda målsättningarna kan medlems- staterna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kvaliteten på uppgifterna.

321

Rätt till information

SOU 2011:20

13.1.3Personuppgiftslagen (1998:204)

Dataskyddsdirektivets bestämmelser ovan har införts i svensk rätt under rubriken information till den registrerade genom bestämmel- serna i 23–27 §§ i personuppgiftslagen (1998:204) som har följande innehåll.

Information skall lämnas självmant

23 §

Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.

24 §

Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter- na i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

Den information som skall lämnas självmant

25 §

Information enligt 23 eller 24 § skall omfatta

a)uppgift om den personuppgiftsansvariges identitet,

b)uppgift om ändamålen med behandlingen, och

c)all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna upp- gifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall lämnas efter ansökan

26 §

Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

322

SOU 2011:20

Rätt till information

a)vilka uppgifter om den sökande som behandlas,

b)varifrån dessa uppgifter har hämtats,

c)ändamålen med behandlingen, och

d)till vilka mottagare eller kategorier av mottagare som upp- gifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informa- tion dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 §

I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter till den registrerade.

13.1.4Jämförelse mellan EU-bestämmelser och svensk rätt

Vår bedömning: Bestämmelserna i artiklarna 16.1 och 17 i data- skyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

I regeringens proposition Godkännande av Dataskyddsram- beslutet, 2008/09:16 s. 45 f. har angetts att de befintliga reglerna om användningsbegränsningar i svensk rätt i huvudsak är tillräckliga för att uppfylla dataskyddsrambeslutet i dessa delar, men att behovet av lagändringar kan behöva analyseras närmare.

Kraven i dataskyddsrambeslutet angående regler om informa- tion är mindre långtgående än de krav som enligt svensk rätt följer av personuppgiftslagens bestämmelser.

323

Rätt till information

SOU 2011:20

Inom de områden där personuppgiftslagen är tillämplig finns således inte några skäl att föreslå tillägg eller justeringar i svensk rätt.

Kriminalvården, Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och åklagarväsendet

Registerförfattningarna för Kriminalvården, Kustbevakningen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar och åklagarväsendet innehåller inte några särskilda bestämmelser angående information till den registrerade.

Då personuppgiftslagen gäller utöver dessa registerförfattningar är de i avsnitt 13.1.3 angivna reglerna – 23–26 §§ personuppgifts- lagen – därmed gällande för verksamheten i nämnda myndigheter samt domstolar.

Att göra tillägg eller ändringar i dessa registerförfattningar blir mot bakgrund härav inte aktuellt.

I sammanhanget kan framhållas att för flera myndigheter – Kustbevakningen och åklagarväsendet – har i olika betänkanden (Utredningens om Kustbevakningens personuppgiftsbehandling betänkande SOU 2006:18 och Åklagardatautredningens betänkande SOU 2008:87) föreslagits en ändrad utformning av registerförfattningarna på så sätt att reglerna föreslås ska gälla i stället för personuppgiftslagen. I bägge fallen har då i denna del föreslagits införandet av direkta hänvisningar till personuppgifts- lagens bestämmelser om information.

I detta sammanhang kan också uppmärksammas att bestäm- melserna i 24 § personuppgiftslagen ålägger den personuppgifts- ansvarige att, om uppgifterna har samlats in från någon annan källa än den registrerade, självmant informera den registrerade om denna behandling. Detta gäller inte om det finns särskild reglering. Ovan nämnda betänkanden och nedan nämnda lagstiftning angående polisen och Tullverket har en sådan särskild reglering.

324

SOU 2011:20

Rätt till information

Polisen

Polisdatalagen (2010:361) gäller i stället för personuppgiftslagen. I 2 kap. 2 § 5. i den förstnämnda lagen finns en direkt hänvisning till bestämmelserna i 23 och 25–27 §§ personuppgiftslagen. Skäl att föreslå ändringar i denna del föreligger därför inte.

Kronofogdemyndigheten

Lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet gäller i stället för personuppgiftslagen.

I 3 kap. 1 § i den förstnämnda lagen finns en direkt hänvisning till bestämmelserna i 23 § och 25–27 §§ personuppgiftslagen.

Information som ska lämnas enligt 26 § personuppgiftslagen behöver inte, enligt 3 kap. 2 § i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, omfatta uppgift i en handling som avses i 2 kap. 24 § samma lag, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.

Mot bakgrund av det ovan anförda anser vi sammantaget att det inte finns skäl att föreslå några ändringar i denna del.

Tullverket

Angående Tullverket – vars registerförfattning gäller i stället för personuppgiftslagen – finns i 6 § lagen (2005:787) om Tullverkets brottsbekämpande verksamhet också en direkt hänvisning till 23 och 25–27 §§ i personuppgiftslagen. Detta innebär att person- uppgiftslagens bestämmelser om information till den registrerade också är gällande för Tullverket. Ej heller här föreligger därför skäl att införa ändringar i registerförfattningen.

Vissa författningar om enskilda register

I vissa fall finns i författningar om enskilda register särskilt angivna regler om information till den registrerade.

I 9 § lagen (1998:620) om belastningsregister anförs följande.

325

Rätt till information

SOU 2011:20

En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Sådana uppgifter skall på begäran lämnas ut utan avgift en gång per kalenderår.

En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret

1.för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,

2.enligt bestämmelser i lagen (2000:873) om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnsomsorg,

3.enligt bestämmelser i lagen (2005:405) om försäkrings- förmedling, eller

4.enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid sådana hem för vård eller boende som tar emot barn.

Regeringen, eller i fråga om andra stycket punkterna 1–3 den myndighet regeringen bestämmer, får meddela föreskrifter om vilka uppgifter ett sådant utdrag skall innehålla.

En begäran om uppgifter ur registret skall vara skriftlig och undertecknad av den sökande.

Den enskilde har alltså, enligt nämnda lag, rätt att få del av samtliga uppgifter ur registret om sig själv (en gång per kalenderår avgifts- fritt) samt rätt att erhålla registerutdrag i andra situationer.

Även lagen (1998:621) om misstankeregister innehåller bestäm- melser om utlämnande av uppgifter till enskilda. I denna lag finns restriktioner för den registrerade att erhålla viss information. Att lämna ut informationen till den enskilde skulle bl.a. kunna skada den brottsbekämpande verksamheten.

Eftersom både belastningsregistret och misstankeregistret gäller utöver personuppgiftslagen är 23–27 §§ personuppgiftslagen (se avsnitt 13.1.3) gällande även i dessa sammanhang.

Motsvarande bedömning kan göras vad avser förordningen (1997:902) om register över strafförelägganden och förordningen (1998:903) om register över föreläggande av ordningsbot.

Sammantaget uppfyller därmed nämnda regelverk dataskydds- rambeslutets krav. Skäl att införa kompletterande bestämmelser i svensk rätt i dessa delar föreligger därmed inte.

Schengens informationssystem (SIS)

Av förarbetena till lagen (2000:344) om Schengens informations- system framgår, enligt prop. 1999/2000:64 s. 135, följande.

Schengens informationssystem (SIS) är ett efterlysnings- och spaningsregister, som har till syfte att främja samarbetet avseende

326

SOU 2011:20

Rätt till information

polisiära och rättsliga frågor samt frågor om inresa och uppehållstill- stånd mellan Schengenstaterna. De personuppgifter som får registreras i SIS är i huvudsak sådana polisiära uppgifter som enligt person- uppgiftslagen endast får registreras av myndigheter. Uppgifterna i SIS är typiskt sett sådana som förekommer i polisregister. En författnings- reglering av det svenska SIS-registret måste därför utgå från de lagar och andra författningar som reglerar behandling av personuppgifter i polisens verksamhet, dvs. främst personuppgiftslagen (1998:204), polisdatalagen (1998:622)1, PDL, lagen (1998:620) om belastnings- register, BRL, och lagen (1998:621) om misstankeregister, MRL. Det innebär att Sverige får registrera uppgifter i SIS endast i den ut- sträckning som behandling av motsvarande slag av uppgifter är tillåten

enligt dessa lagar eller annan författning.

Då även dessa regler således gäller utöver personuppgiftslagen finns, på sätt som anges ovan avseende författningar om enskilda register, inte heller skäl att föreslå ändringar i denna del.

13.1.5Närmare om artikel 16.2 i dataskyddsrambeslutet

Vårt förslag: I den av oss föreslagna nya lagen om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen införs en bestämmelse om information till den registrerade (8 §) med följande innehåll.

Om personuppgifter har överförts eller gjorts tillgängliga får den överförande medlemsstaten begära att den mottagande medlems- staten inte informerar den registrerade om behandlingen. I sådana fall ska den registrerade inte informeras utan förhandsmedgivande från den överförande medlemsstaten.

I artikel 16.2 finns bestämmelser om skyldighet att iaktta den över- förande statens nationella rätt i fråga om information till den registrerade. I artikel 12 finns vidare bestämmelser om iakttagande av nationella restriktioner för behandling av uppgifter (se avsnitt 12.7 ovan). I artikel 16.2 föreskrivs att om den överförande staten begär det i enlighet med sin nationella lagstiftning, så ska den mottagande staten inte lämna någon information till den registrerade.

1 Numera polisdatalagen (2010:361).

327

14Rättelse, tillsyn, skadestånd, sanktioner och överklagande

14.1Rättelse

14.1.1Dataskyddsrambeslutet

I artikel 4 i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) anges följande under rubriken Rättelse, radering och blockering

1.Personuppgifter ska rättas om de är felaktiga samt, om så är möjligt och nödvändigt, kompletteras eller aktualiseras.

2.Personuppgifter ska raderas eller avidentifieras när dessa inte längre behövs för de ändamål för vilka de lagligen insamlades eller lagligen vidare bearbetas. Arkivering av de uppgifter som införts i ett separat dataset under en lämplig period i överensstämmelse med national lagstiftning ska inte påverkas av denna bestämmelse.

3.Personuppgifter ska inte raderas utan blockeras, om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. Blockerade uppgifter får endast behandlas för det ändamål som hindrade att de raderades.

4.Om personuppgifterna ingår i ett domstolsbeslut eller akten i samband med utfärdandet av ett rättsligt beslut ska rättelse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Artikel 8 i dataskyddsrambeslutet – Kontroll av kvaliteten på de uppgifter som överförs eller görs tillgängliga – har följande lydelse.

1. De behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av

329

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

uppgifter ska, så långt detta är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av korrekthet, fullständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.

2. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart under- rättas om detta. Uppgifterna måste ofördröjligen rättas, raderas eller blockeras i enlighet med artikel 4.

I artikel 18 i dataskyddsrambeslutet – Rätt till rättelse, radering eller blockering av uppgifter – anges följande.

1. Den registrerade ska ha rätt att förvänta sig att den registeransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att rätta, radera eller blockera personuppgifter som registrerats inom ramen för detta rambeslut. Medlemsstaterna ska fastställa huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om den registeransvarige vägrar att rätta, radera eller blockera måste vägran meddelas skriftligen och den registrerade måste informeras om de möjligheter som tillhandahålls inom den nationella lagstiftningen att anföra klagomål eller begära prövning. När klagomålet eller begäran om prövning behandlats ska den registrerade informeras om huruvida den registeransvarige handlat korrekt eller ej. Medlemsstaterna får även föreskriva att den registrerade ska informeras av den behöriga nationella tillsynsmyndigheten om att en översyn har utförts.

Om den registrerade bestrider korrektheten av en personuppgift och det inte kan fastställas huruvida denna är korrekt får denna uppgift markeras.

14.1.2Dataskyddsdirektivet

Av artikel 6 d) i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) framgår följande (del av artikeln anges nedan).

1. Medlemsstaterna skall föreskriva att personuppgifter ---

--- d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

330

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

--- 2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.

I artikel 12 b) finns ytterligare bestämmelser i direktivet angående - Rätt till tillgång – med följande innehåll.

Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige --

14.1.3Personuppgiftslagen (1998:204)

9 § personuppgiftslagen (1998:204) innehåller bl.a. de grund- läggande kraven på den personuppgiftsansvarige. Av 9 § första stycket h) framgår att det är ett grundläggande krav vid behandling av personuppgifter att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e) och g) finns det vidare bestämmelser som innebär krav på den personuppgiftsansvarige att se till att de person- uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Redan av de grundläggande kraven i 9 § framgår det således att den person- uppgiftsansvarige på egen hand måste vara aktiv för att se till att de behandlade uppgifterna är korrekta.

I 28 § personuppgiftslagen finns vidare regler om rättigheter för den registrerade, bl.a. att påkalla den personuppgiftsansvariges aktivitet att korrigera uppgifter. Den sistnämnda paragrafen har följande lydelse.

Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana person- uppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgifts- ansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna

331

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas.

Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter.

Med blockering avses här en åtgärd som vidtas för att person- uppgifter ska vara förknippade med information om att de är spärrade och om anledningen till spärren (jfr även vad som anförts om begreppet i avsnitt 9.4.1).

Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas.

Endast fysiska personer kan åberopa bestämmelsen om rättelse i personuppgiftslagen (detsamma gäller skadestånd, jfr avsnitt 14.3.3).

Förutom möjligheterna till korrigering i 28 § personuppgifts- lagen har den registrerade, enligt 47 § personuppgiftslagen, också möjlighet att anmäla saken till tillsynsmyndigheten som i sin tur bl.a. kan föra talan i domstol om att uppgifterna ska utplånas (angående tillsyn se vidare avsnitt 14.2). Den registrerade har även själv, enligt 52 § samma lag, möjlighet att överklaga den person- uppgiftsansvariges beslut vad gäller rättelse.

14.1.4Val av metod för korrigering av uppgifter

Angående vilken metod för korrigering av uppgifter som den personuppgiftsansvarige ska använda sig av, finns i dataskydds- rambeslutet endast specifika regler i artikel 4 punkten 3 i vilken anförs att en uppgift inte ska raderas utan att den i stället ska blockeras om ”det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen”.

Härutöver finns inte några regler i dataskyddsrambeslutet som anger vilken av metoderna i artikel 18 som den personuppgifts- ansvarige ska använda sig av för att korrigera uppgifter i olika situationer.

Motsvarande synsätt föreligger i dataskyddsdirektivet.

I personuppgiftslagen finns inte heller några bestämmelser om när en viss form av rättelse ska vidtas, utan det bör vara upp till den

332

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

personuppgiftsansvarige att avgöra om en uppgift ska rättas, blockeras/spärras eller utplånas (jfr prop. 1997/98:44 s. 87).

14.1.5Jämförelse mellan EU-rätt och svensk rätt

Vår bedömning: Bestämmelserna i artiklarna 4 och 8 respektive 18 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning, förutom vad som anges i avsnitt 14.1.6.

Artiklarna 4 och 8 jämförda med 9 § personuppgiftslagen

Artiklarna 4 och 8 i dataskyddsrambeslutet har delvis mot- svarigheter i artikeln 6 d) i dataskyddsdirektivet och motsvaras i sin tur i svensk rätt av 9 § personuppgiftslagen.

9 § personuppgiftslagen är tillämplig på de myndigheter som omfattas av dataskyddsrambeslutets bestämmelser, dels – genom avsaknad av särreglering – på Kriminalvården, Kronofogde- myndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar samt åklagarväsendet, dels på Tullverket, genom en hänvisning till 9 § e)–h) i 6 § 3. i lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet samt hänvisning till 28 § personuppgifts- lagen i 6 § 5.

I artikel 4 punkten 4 dataskyddsrambeslutet stadgas att för det fall personuppgifterna ingår i ett domstolsbeslut eller akten i samband med utfärdandet av ett rättsligt beslut ska rättelse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Från rättelsekravet i artikel 4 görs således genom ovan nämnda punkt ett undantag som innebär att felaktiga uppgifter i domstolsbeslut och underlagen för dem inte behöver raderas.

Motsvarande begränsningar finns inte i 9 § personuppgiftslagen. Dataskyddsrambeslutet ställer inte krav på ändring av svensk

rätt i denna del.

I detta sammanhang kan beaktas att det i skäl 31 i dataskydds- rambeslutets inledande delar anges att rambeslutet gör att principerna om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta.

333

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

Rambeslutet får därmed inte anses inskränka på den rätt till insyn som allmänheten har genom rätten att ta del av allmänna offentliga handlingar.

Då svenska regler i detta fall således inte – på sätt som det finns möjligheter till i dataskyddsrambeslutet – begränsar den registre- rades rätt till korrigering av uppgifterna, finns inte anledning att föreslå några ändringar eller tillägg i svensk rätt i denna del.

Artikel 18 jämförd med 28 § personuppgiftslagen

Artikel 18 i dataskyddsrambeslutet motsvaras delvis av artikel 12 b) i dataskyddsdirektivet som i sin tur har 28 § i personuppgiftslagen som motsvarighet i svensk rätt.

Flertalet av de registerförfattningar som avser de myndigheter som berörs av dataskyddsrambeslutet innehåller hänvisningar till personuppgiftslagens bestämmelser om rättelse.

I lagen (2000:344) om Schengens informationssystem finns vidare en särskild rättelseregel där det föreskrivs att Rikspolis- styrelsen är skyldig att på begäran av den registrerade, eller om det annars finns anledning till det, snarast rätta, blockera eller utplåna en personuppgift som styrelsen har registrerat, om uppgiften är rättsligt eller sakligt felaktig.

Denna bestämmelse får också anses motsvara dataskyddsram- beslutets krav.

Skäl att i denna del föreslå kompletteringar i svensk rätt före- ligger därför i huvudsak inte.

I något enstaka fall saknas dock denna hänvisning varför ett tillägg då föreslås, se avsnitt 14.1.6 nedan angående förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot.

14.1.6Särskilt om vissa förordningar i svensk rätt

Våra förslag: Nya paragrafer ska införas, dels i förordningen (1997:902) om register över strafförelägganden, dels i förordningen (1997:903) om register över förelägganden av ordningsbot, där det anges att bestämmelserna i personuppgifts- lagen (1998:204) om rättelse ska tillämpas vid behandling av personuppgifter enligt respektive förordning.

334

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

Det bör noteras att 28 § personuppgiftslagen endast gäller korrigering av personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Detta innebär bl.a. att korrigering enligt paragrafen inte kan ske vid brott mot bestämmelser i s.k. särskilda register- författningar, som enligt 2 § gäller framför personuppgiftslagen. I de fall det krävs enligt dataskyddsdirektivet måste således de särskilda registerförfattningarna innehålla egna bestämmelser om korrigering eller en hänvisning till denna paragraf (jfr prop. 1997/98:136 s. 78 och 97).

I prop. 2008/09:16 s. 49 har framhållits att det i förordningen (1997:902) om register över strafförelägganden och i förordningen (1997:903) om register över förelägganden om ordningsbot, inte finns några regler om rättelse eller någon hänvisning till person- uppgiftslagens bestämmelse i denna del. I övriga författningar om enskilda register finns hänvisningar till personuppgiftslagens rättelseregel.

Vi anser mot bakgrund härav att – för att svensk rätt fullt ut ska motsvara dataskyddsrambeslutets bestämmelser i artikel 18 samt för att erhålla en likformighet i utformningen av de svenska författningarna – nya paragrafer ska införas i nämnda förordningar, med angivande att personuppgiftslagens bestämmelse om rättelse ska tillämpas.

14.2Tillsyn

14.2.1Dataskyddsrambeslutet

Artikel 25 i dataskyddsrambeslutet innehåller bestämmelser om nationella tillsynsmyndigheter och har följande lydelse.

1.Varje medlemsstat ska se till att det utses en eller flera myndigheter med uppgift att inom dess territorium vägleda och övervaka tillämpningen av de bestämmelser som medlemsstaterna antagit i enlighet med detta rambeslut. Dessa myndigheter ska vara fullt oberoende när de fullgör sina åligganden.

2.Varje tillsynsmyndighet ska framför allt ha

a)utredande befogenheter, som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,

b)faktisk befogenhet att ingripa, som till exempel att kunna avge yttranden innan en behandling äger rum, att se till att sådana yttranden

335

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

i lämplig omfattning offentliggörs, att kunna besluta om blockering, radering eller förstöring av uppgifter, att kunna besluta om tillfälligt eller definitivt förbud mot behandling, att kunna ge den registeransvarige en varning eller tillrättavisning eller att kunna hänskjuta frågor till nationella parlament eller andra politiska institutioner,

c) befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta rambeslut har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Beslut av tillsynsmyndigheten, som ger upphov till klagomål bör kunna överklagas till domstol.

3.Var och en ska kunna vända sig till tillsynsmyndigheten med en begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen ska informeras om vilka följder hans begäran har fått.

4.Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal ska vara bundna av de för respektive behörig myndighet gällande dataskyddsbestämmelserna och ha tystnadsplikt med avseende på konfidentiell information som de har tillgång till även sedan deras uppdrag eller anställning upphört.

Enligt artikel 10 punkten 2 ska den nationella tillsynsmyndigheten få tillgång till registrering och dokumentation som rör behandlingen av personuppgifter.

I dataskyddsrambeslutet finns även bestämmelser i artikel 23 om föregående samråd med nationella tillsynsmyndigheter i vissa fall (se avsnitt 14.2.5).

14.2.2Dataskyddsdirektivet

Artikel 28 i dataskyddsdirektivet omfattar regler om tillsyns- myndighet och har följande lydelse.

1.Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.

Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.

2.Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

3.Varje tillsynsmyndighet skall särskilt ha

336

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

–undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,

–effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,

–befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa över- trädelser.

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

4.Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.

Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.

5.Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.

6.En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.

7.Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.

Dataskyddsrambeslutets bestämmelser motsvarar det som anges i artikel 28 punkterna 1–2 samt del av punkten 3 i dataskydds- direktivet ovan.

337

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

14.2.3Personuppgiftslagen (1998:204)

Dataskyddsdirektivets bestämmelser har genomförts i svensk rätt genom reglerna om tillsynsmyndighetens befogenheter i 43–47 §§ personuppgiftslagen. Dessa paragrafer har följande lydelse.

43 §

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

a)tillgång till de personuppgifter som behandlas,

b)upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och

c)tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

44 §

Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personupp- gifter är laglig, får myndigheten vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

45 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgifts- ansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsyns- myndigheten föreskriva vite.

46 §

Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den personuppgiftsansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan.

47 §

Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

338

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet angående personuppgiftslagens bestämmelser.

Mot bakgrund av vad som anförts ovan kommer således Datainspektionen att utöva tillsyn över behandlingen av person- uppgifter som omfattas av dataskyddsrambeslutet.

Det kan noteras att – som ett komplement till Datainspektionen

– Säkerhets- och integritetsskyddsnämnden (SIN) också har vissa tillsynsuppgifter angående bl.a. Säkerhetspolisens personuppgifts- behandling enligt 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Från och med den 1 mars 2012 ska nämnden även utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spanings- register. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen och 12 § lagen om polisens allmänna spaningsregister, dvs. behandling av känsliga personuppgifter.

14.2.4Jämförelse mellan EU-rätt och svensk rätt

Vår bedömning: Artikel 25 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

Bestämmelserna i 43-47 §§ personuppgiftslagen om tillsynsmyndighetens befogenheter (se avsnitt 14.2.3) uppfyller enligt vår mening kraven i artikel 25 i dataskyddsrambeslutet. Artikeln föranleder därför inte någon ändring i lag eller förordning.

14.2.5Föregående samråd med tillsynsmyndigheten

Vår bedömning: Artikel 23 i dataskyddsrambeslutet föranleder inte någon ändring i lag eller förordning.

Artikel 23 i dataskyddsrambeslutet reglerar frågan om föregående samråd och har följande lydelse.

Medlemsstaterna ska sörja för att de behöriga nationella tillsynsmyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om

339

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

a)särskilda uppgiftskategorier enligt artikel 6 behandlas, eller om

b)behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda risker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.

I dataskyddsrambeslutet finns således, enligt vad som anges ovan, inte något uttryckligt krav på att en anmälan för förhandskontroll av tillsynsmyndigheten ska ske av särskilt integritetskänsliga behandlingar (jfr artikel 20 i dataskyddsdirektivet).

I prop. 2008/09:16 s. 54 har framhållits att artikel 23 endast innehåller förpliktelser av sådana slag som anges i artikel 28 punkten 2 i dataskyddsdirektivet, dvs. regler om att varje medlems- stat ska se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

Förhandskontrollen ska således endast tolkas så att medlems- staterna ska ge en nationell tillsynsmyndighet möjlighet att yttra sig i ett lagstiftningsärende. Reglerna ovan åligger alltså inte medlemsstaterna att ha ett system med obligatorisk förhands- kontroll av enskilda register. Å andra sidan finns inte regler som hindrar medlemsstaterna att införa sådana strängare regler (jfr prop. 2008/09:16 s. 54).

Vi gör motsvarande bedömning som redogjorts i förarbetena. Skäl att föreslå ändringar eller tillägg i svensk rätt med anledning av artikel 23 i dataskyddsrambeslutet föreligger mot bakgrund härav inte.

14.3Skadestånd

14.3.1Dataskyddsrambeslutet

Artikel 19 dataskyddsrambeslutet reglerar rätt till ersättning och har följande lydelse.

1. Var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta rambeslut ska ha rätt till ersättning för den skada han lidit av den registeransvarige eller av en annan ansvarig myndighet enligt nationell lagstiftning.

340

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

2. Om den behöriga myndigheten i en medlemsstat överför person- uppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skade- lidande. Om mottagaren utbetalar skadestånd för en skada som vållats av att felaktigt överförda uppgifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren det skadestånd som utbetalats men därvid ta med i beräkningen eventuella felaktigheter som kan ha begåtts av mottagaren.

Av artikeln framgår således att den, som har lidit skada till följd av en otillåten behandling av personuppgifter eller någon annan åtgärd som är oförenlig med nationell lagstiftning, ska ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada som han eller hon har lidit.

Vad gäller översända uppgifter kan mottagaren inte åberopa att dessa var felaktiga för att på detta sätt undgå ansvar.

Mottagaren kan dock i vissa fall ha regressrätt mot den översändande för det skadestånd som har betalats ut.

14.3.2Dataskyddsdirektivet

Av artikel 23 dataskyddsdirektivet framgår under rubriken ansvar följande.

1.Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.

2.Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Punkten 1 ovan motsvarar delvis det som finns angivet i data- skyddsrambeslutet.

Enligt punkten 2 kan den personuppgiftsansvarige helt eller delvis befrias från ersättningsskyldigheten om han eller hon bevisar att han eller hon inte var ansvarig för den händelse som orsakade skadan (jfr även punkt 55 i ingressen till dataskyddsdirektivet).

341

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

14.3.3Personuppgiftslagen (1998:204)

Regeln i dataskyddsdirektivet finns införd i svensk rätt genom 48 § personuppgiftslagen som har följande innehåll.

Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Denna bestämmelse omfattar således varje typ av skada eller kränkning av den personliga integriteten orsakad genom en behandling i strid med reglerna i personuppgiftslagen eller föreskrifter som har meddelats med stöd av den lagen.

Det är den personuppgiftsansvarige som ska ersätta den registrerade. Skadestånd kan komma ifråga vid varje brott mot lagen och utgår trots att ingen har skadats fysiskt eller ekonomiskt och trots att den personuppgiftsansvarige inte haft uppsåt att göra fel eller varit försumlig vid behandlingen. Bakgrunden till denna reglering är att bestämmelsen om skadestånd, precis som enskildas rättigheter i övrigt enligt lagen – rätt till information och rättelse m.m. – har till syfte att skydda människor mot kränkning av den personliga integriteten genom behandling av personuppgifter (jfr prop. 1997/98:44 s. 106 och SOU 1997:39 s. 432).

De svenska skadeståndsbestämmelserna måste betecknas som strängare än vad som krävs enligt dataskyddsdirektivet (jfr prop. 1999/2000:40 s. 37 f.).

I likhet med vad som gäller de rättsliga möjligheterna att få information eller att få uppgifter rättade, gäller rätten till skadestånd endast fysiska personer. En juridisk person får i stället i den ordning som gäller för statlig verksamhet i allmänhet vända sig till Justitiekanslern – eller till allmän domstol – om den juridiska personen anser att behandling av uppgifter inom myndigheten i fråga har vållat skada.

I huvudsak motsvarar således svensk rätt de krav som ställs genom dataskyddsrambeslutets bestämmelser om rätt till ersättning.

Enligt paragrafens andra stycke kan skadeståndet i vissa fall jämkas. Någon motsvarande bestämmelse finns inte i dataskydds- rambeslutet (se vidare avsnitt 14.3.5 nedan).

342

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

I princip samtliga författningar i svensk rätt som är berörda av dataskyddsrambeslutet innehåller hänvisningar till personuppgifts- lagens skadeståndsbestämmelser (se nedan avsnitt 14.3.6).

14.3.4Regressrätt mellan stater

Vår bedömning: Sveriges regressanspråk är att se som ett folk- rättsligt åtagande som inte föranleder någon ändring i lag eller förordning. Frågan bör ses över i ett annat större sammanhang.

Artikel 19 punkten 2 i dataskyddsrambeslutet reglerar möjligheten till regressrätt mellan stater.

Varken dataskyddsdirektivet – som enbart reglerar förhållandet mellan det allmänna och enskilda – eller personuppgiftslagen innehåller några bestämmelser i dessa delar.

Regeringen har i propositionen 2008/09:16 – Godkännande av dataskyddsrambeslutet i denna del anfört att staternas skyldighet beträffande regressanspråk är att se som ett folkrättsligt åtagande som därmed inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att ”i ett lämpligt sammanhang överväga en reglering av formerna för handläggningen av sådana regresskrav.”

Vi gör i denna del motsvarande bedömning som den som redogjorts för i propositionen, men konstaterar samtidigt att frågan om sådana regresskrav bör ses över i ett större övergripande sammanhang. Denna frågeställning föranleder därför inte några förslag i betänkandet.

14.3.5Personuppgiftslagens jämkning av skadestånd

Vår bedömning: Bestämmelserna i artikel 19 punkten 2 i data- skyddsrambeslutet föranleder inte någon ändring av reglerna om jämkning av skadeståndet enligt 48 § andra stycket person- uppgiftslagen (1998:204).

Skyldigheten till ersättning kan, enligt 48 § andra stycket person- uppgiftslagen, jämkas. Detta innebär att ersättningsskyldigheten helt kan komma att falla bort eller sättas ner delvis.

343

Rättelse, tillsyn, skadestånd, sanktioner och överklagande SOU 2011:20

Jämkningen sker i den utsträckning det är skäligt om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Vad som är skäligt eller inte är en fråga som vid en rättslig prövning ska bedömas i varje enskilt fall av domstol.

I de fall där jämkningsbestämmelsen inte kan användas därför att den personuppgiftsansvarige inte har förmått visa att felet inte berodde på honom eller henne, har lagrådet framhållit att jämkningsbestämmelserna i skadeståndslagen bör kunna tillämpas (prop. 1997/98:44 s. 243 och s. 144).

I prop. 2008/09:16 s. 56 ställs frågan om reglerna om jämkning av skadeståndsansvar i svensk rätt till fullo är förenliga med dataskyddsrambeslutets bestämmelser.

Enligt artikel 19 punkten 2 i dataskyddsrambeslutet kan regress- ansvar mot en utländsk myndighet aktualiseras (jfr avsnitt 13.3.4 ovan).

Vid skälighetsbedömningen bör man, enligt doktrinen (Öman/Lindblom; Personuppgiftslagen, en kommentar, tredje upplagan, s. 449), beakta följande.

Staten framstår som en enda enhet även när den agerar genom olika myndigheter. Motsvarande synsätt bör gälla vid uppgiftslämnandet inom en privat koncern eller liknande. Om en huvudman har splittrat sin verksamhet på olika enheter med eget personuppgiftsansvar, bör man vid skälighetsbedömningen som regel se till att den splittringen inte får några negativa effekter i skadeståndshänseende för den registrerade. Det är mera osäkert hur skälighetsbedömningen i övrigt bör utfalla vid uppgiftslämnande mellan stat och kommun och landsting.

I prop. 2008/09:16 s. 56 har regeringen – mot bakgrund härav – anfört att detta torde ”regelmässigt medföra att jämkning inte kommer ifråga”. I propositionen framhålls dock vidare att frågan om det finns andra situationer i vilka jämkning skulle kunna aktualiseras på ett sätt som inte är förenligt med rambeslutet, bör utredas närmare.

Jämkningsreglernas räckvidd har tidigare diskuterats. I nämnda kommentar till personuppgiftslagen (Öman/Lindblom s. 437) anges följande.

Det förhållandet att varje litet brott mot lagen för med sig ersättningsskyldighet har i någon mån parerats genom möjligheten att jämka ersättningsskyldigheten för den som bevisligen är oskyldig. Den jämkningsmöjligheten är emellertid inte särskilt långtgående. Lagrådet

344

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

ifrågasatte t.ex. om inte EG-direktivet innebär att ersättnings- skyldigheten faktiskt skall jämkas i den utsträckning den person- uppgiftsansvarige bevisligen är oskyldig (prop. 1997/98:44 s. 243).

Regeringen vidhöll dock sin inställning att det enligt EG-direktivet är tillåtet att ålägga även den som är bevisligen oskyldig full ersättningsskyldighet (prop. s. 107). Se härtill också prop. 1997/98:160 s. 247 f. och 137 f.

I sammanhanget kan framhållas att EG-domstolen i det s.k. Bodil- målet anfört att sanktionsåtgärder alltid måste stå i överens- stämmelse med proportionalitetsprincipen och att det i enlighet med den principen ankommer på de nationella domstolarna att beakta alla omständigheter, bl.a. under hur lång tid överträdelsen av reglerna har pågått och hur viktigt det är för de berörda att de uppgifter som har spritts skyddas (EG-domstolens dom den 6 november 2003 i mål C-101/01, REG 2003 s. I-12971).

Även med de i dataskyddsrambeslutet angivna regress- möjligheterna finner vi inte skäl att föreslå några ändringar eller tillägg angående reglerna om jämkning av skadeståndet enligt 48 § andra stycket personuppgiftslagen.

14.3.6Särskilt om vissa förordningar i svensk rätt

Våra förslag: Nya paragrafer ska införas, dels i förordningen (1997:902) om register över strafförelägganden, dels i för- ordningen (1997:903) om register över förelägganden av ordningsbot, vari det anges att bestämmelserna i person- uppgiftslagen (1998:204) om skadestånd ska tillämpas vid behandling av personuppgifter enligt respektive förordning.

Det som ovan anförts om att det inom i princip samtliga av dataskyddsrambeslutet berörda områden sker en hänvisning till 48 § personuppgiftslagen gäller dock inte i förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot.

I prop. 2008/09:16 s. 56 har, angående dessa förordningar, anförts följande.

När det gäller förordningarna --- torde bestämmelserna om skadestånd i respektive sektorslag inte vara tillämpliga, eftersom de bestäm- melserna tar sikte på behandling i strid med bestämmelser i respektive lag. Det kan också ifrågasättas om statens allmänna skadeståndsansvar

345

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

enligt skadeståndslagen är tillräckligt. Om uppgifter som finns i registret eller tillförs registret kan förväntas överföras eller göras tillgängliga på det sätt som avses i rambeslutet kan det alltså finnas anledning att överväga behovet av författningsändringar. Med hänsyn till att regleringen finns i förordning torde dock eventuella kompletteringar kunna göras på förordningsnivå.

Skadeståndsansvaret enligt 48 § personuppgiftslagen gäller vid behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen. Detta innebär att skadestånd enligt paragrafen inte kan utgå vid brott mot motsvarande bestämmelser i de särskilda registerförfattningarna, som, enligt 2 § personuppgifts- lagen, gäller framför personuppgiftslagen. I de fall det krävs enligt dataskyddsdirektivet måste således de särskilda register- författningarna innehålla egna skadeståndsbestämmelser eller en hänvisning till 48 § personuppgiftslagen (prop. 1997/98:136 s. 78 och 97).

För att svensk rätt fullt ut ska motsvara dataskyddsrambeslutets bestämmelser i artikel 19 samt för att erhålla en likformighet i utformningen av de svenska författningarna, anser vi därför att nya paragrafer ska införas i förordningen om register över strafförelägganden samt i förordningen om register över förelägganden av ordningsbot, med angivande att personuppgifts- lagens skadeståndsbestämmelser ska tillämpas.

14.4Sanktioner

I artikel 24 dataskyddsrambeslutet finns regler om påföljder som har följande lydelse.

Medlemsstaterna ska anta lämpliga bestämmelser för att säkerställa att detta rambeslut genomförs fullt ut och framför allt föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med detta rambeslut.

Av skäl 30 i, i dataskyddsrambeslutets inledande delar framgår vidare följande.

Det bör införas gemensamma bestämmelser om konfidentiell och säker uppgiftsbehandling, om ansvar och påföljder när uppgifterna används på otillåtet sätt av de behöriga myndigheterna samt om möjligheter för den registrerade till rättslig prövning. Det ankommer dock på varje medlemsstat att själv fastställa utformningen av

346

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

bestämmelserna om skadeståndsgrundande överträdelser och om vilka påföljder som ska tillämpas vid överträdelse av de nationella data- skyddsbestämmelserna.

14.4.1Dataskyddsdirektivet

Av artikel 24 i dataskyddsdirektivet framgår under rubriken sanktioner följande.

Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.

14.4.2Personuppgiftslagen (1998:204)

Vid genomförandet av dataskyddsdirektivet i denna del i svensk rätt infördes bestämmelsen i 49 § personuppgiftslagen där kriminalisering avser vissa specifika områden enligt följande.

Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet

a)lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

b)behandlar personuppgifter i strid med 13–21 §§,

c)för över personuppgifter till tredje land i strid med 33–35 §§,

d)låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §,

e)behandlar sådana personuppgifter som avses i 13 och 21 §§ i strid med 5 a § andra stycket, eller

f)i strid med 5 a § andra stycket för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av person- uppgifterna som avses i 33 §. I ringa fall döms inte till ansvar.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vites- föreläggandet.

I samband med införandet av personuppgiftslagen anfördes i för- arbetena till lagen att de i dataskyddsdirektivet efterfrågade sanktionerna i huvudsak kunde omfatta möjligheterna att döma ut skadestånd och använda vite, samt betonades att dessa sanktioner

347

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

ansågs som effektiva och i stort sett tillräckliga (prop. 1997/98:44

s.108).

Åandra sidan framhålls i prop. 2008/09:16 s. 56 f. (jfr med prop. 2004/05:164 s. 54 och prop. 2006/07:46 s. 105) att – angående statliga myndigheters verksamhet – möjligheten att använda sig av vitesföreläggande enligt 44 § personuppgiftslagen inte torde finnas.

Det som återstår härefter är att – förutom möjligheten till skadeståndsansvar (se avsnitt 14.3 ovan) – närmare belysa frågan om straffansvar.

14.4.3Övriga straffansvarsbestämmelser i svensk rätt

Registerförfattningarna för Kriminalvården, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltnings- domstolar, Tullverket eller åklagarväsendet innehåller – till skillnad från registerförfattningen för Kronofogdemyndigheten – inte någon hänvisning till 49 § personuppgiftslagen.

Någon sådan hänvisning finns inte heller i de författningar som reglerar enskilda register.

En tolkning av det faktum att vissa av registerförfattningarna gäller utöver personuppgiftslagen, skulle kunna medföra att 49 § personuppgiftslagen därmed kan anses som tillämplig. Legalitets- principen medför dock att denna paragraf inte kan ges motsvarande tillämpning på bestämmelser som avviker från personuppgiftslagen och som har tagits in i särlagstiftning (lagrådets yttrande i prop. 2000/01:33).

I brottsbalken finns i stället straffansvarsbestämmelser inom det här aktuella området i 4 kap. 9 § c) angående dataintrång, i 20 kap. 1 § angående tjänstefel och i 20 kap. 3 § angående brott mot tystnadsplikt.

14.4.4Jämförelse mellan EU-rätt och svensk rätt

Vår bedömning: Sanktionsbestämmelserna i artikel 24 i data- skyddsrambeslutets föranleder inte någon ändring i lag eller förordning.

I Justitiedepartementets promemoria Ds 2008:30 – Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen

348

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

för polissamarbete och straffrättsligt samarbete, s. 211, anförs att det kan finnas skäl att närmare överväga behovet av en straffbestäm- melse för överträdelser av dataskyddsbestämmelser.

I prop. 2008/09:16 s. 57-58 anförs dock att liknande frågor tidigare varit föremål för regeringens bedömning, dels angående rådets beslut 2007/533 av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informations- system (SIS II), dels angående rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Regeringen har härvid konstaterat att förekomsten av relevanta straffbestämmelser i svensk rätt är tillräckligt för att uppfylla de krav på motsvarande sanktioner som har ställts i ovan nämnda sammanhang.

I det sistnämnda fallet hänvisade regeringen vidare uttryckligen till de brottmålsbestämmelser som nämns i avsnitt 14.4.3 ovan.

Sammanfattningsvis anförs i prop. 2008/09:16 s. 58 att dataskyddsrambeslutets bestämmelser om sanktioner inte torde kräva några lagändringar.

Vi anser, i likhet med vad regeringen har anfört i nämnda proposition, att ändringar eller tillägg i svensk rätt på grund av dataskyddsrambeslutet inte är nödvändiga i denna del.

14.5Överklagande

14.5.1Dataskyddsrambeslutet

Artikel 20 i dataskyddsrambeslutet – rättsmedel – har följande lydelse.

Utan att det påverkar något administrativt förfarande som kan användas innan ett ärende anhängiggörs vid en rättslig instans ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga nationella lagstiftningen.

349

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

14.5.2Dataskyddsdirektivet

Av artikel 22 i dataskyddsdirektivet framgår under rubriken rättslig prövning följande.

Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängig- görs hos en rättslig instans - föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.

Utformningen motsvarar således i huvudsak dataskyddsram- beslutets aktuella bestämmelse.

Av artikel 28 punkten 3 framgår vidare att beslut av tillsyns- myndighet som går en part emot kan överklagas till domstol.

14.5.3Personuppgiftslagen (1998:204)

I 52 § personuppgiftslagen finns regler som gäller överklagande av vissa beslut enligt denna lag som varje myndighet kan fatta i egenskap av personuppgiftsansvarig. I 51 § personuppgiftslagen finns bestämmelser om överklagande av tillsynsmyndighetens beslut. Av 52 § personuppgiftslagen framgår följande.

En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol.

Första stycket gäller inte för beslut av riksdagen, regeringen eller riksdagens ombudsmän.

Således innehåller 52 § bestämmelser om överklagande av beslut enligt angivna situationer i 26, 28, 29 andra stycket och 42 §§.

Med beslut om information torde menas dels skriftlig informa- tion (registerutdrag), dels annat besked om personuppgifter som rör den sökande behandlas eller inte (jfr SOU 2004:6 s. 279).

Några andra beslut enligt personuppgiftslagen får inte överklagas (53 §).

Prövningstillstånd krävs vid överklagande till kammarrätten.

I förarbetena till dessa bestämmelser (prop. 2005/06:173 s 53) anfördes att det efter införandet av en bestämmelse om över-

350

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

klagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar som hänvisar till personuppgiftslagen.

14.5.4Registerförfattningarna

Vår bedömning: Dataskyddsrambeslutets regler om över- klagande föranleder inte någon ändring i lag eller förordning.

Utformningen av svensk rätt inom det här aktuella området varierar. På sätt som anförts ovan i prop. 2005/06:173 s. 53 föreligger inte skäl för att det ska finnas en uttrycklig över- klagandebestämmelse i registerförfattningarna.

I de flesta fall finns dock ändå sådana bestämmelser som hänvisar till att överklagande ska kunna ske vid beslut om rättelse och/eller information.

I vissa fall har man också i samband med utformningen av förslag till ändrade registerförfattningar föreslagit en direkt hänvisning till personuppgiftslagens överklagandebestämmelser, när behandling av personuppgifter sker i enlighet med den specifika lagen (jfr t.ex. Åklagardatautredningens betänkande SOU 2008:87).

Polisen

2 kap. 2 § p. 13 polisdatalagen (2010:361) innehåller hänvisningar till 51 § första stycket, 52 § första stycket och 53 § personuppgifts- lagen.

Skäl att föreslå tillägg i svensk rätt i dessa delar föreligger därför inte.

Kriminalvården, Kustbevakningen, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket och åklagarväsendet

Vad avser rubricerade myndigheter och domstolar finns i respektive registerförfattning särskilda bestämmelser för över- klagande. I de respektive registerförfattningarna sker en hänvisning enligt följande.

351

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

•Kriminalvården; 12 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården hänvisar till 26 § person- uppgiftslagen.

•Kronofogdemyndigheten; 3 kap. 4 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet hänvisar till 26 § personuppgiftslagen.

•Kustbevakningen; 25 § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen hänvisar till 22 a § förvaltningslagen (1986:223).

•Allmänna domstolar och allmänna förvaltningsdomstolar; 10 § andra stycket förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling hänvisar till 22 a § förvaltningslagen, – 10 § förordningen om

registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling hänvisar till 33 § förvaltningsprocesslagen (1970:291) och 22 a § förvaltnings- lagen, – 11 § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling hänvisar till 33 § förvaltnings- processlagen (1970:291) och 22 a § förvaltningslagen.

•Tullverket; 30 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet hänvisar till 26 § personuppgiftslagen.

•Åklagarväsendet; 20 § förordningen (2006:937) om behandling av personuppgift inom åklagarväsendet hänvisar till 22 a § förvaltningslagen.

Bestämmelserna avser beslut om dels rättelse, dels information enligt personuppgiftslagen.

Dessa bestämmelser får anses motsvara vad som regleras i 52 § personuppgiftslagen. Även i dessa delar saknas därför skäl att föreslå tillägg i svensk rätt.

Skatteverket

Överklagandebestämmelsen angående Skatteverket i 17 § lagen (1999:90) om behandling av personuppgifter vid skattemyndig- heters medverkan i brottsutredningar är utformad på så sätt att

352

SOU 2011:20

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

enbart Skatteverkets beslut om rättelse enligt 16 § i den lagen – vilken i sin tur hänvisar till personuppgiftslagen – får överklagas hos allmän förvaltningsdomstol.

I prop. 2008/09:16 s.50 anförs att en komplettering bör göras så att även beslut om information enligt 26 § personuppgiftslagen ska kunna överklagas.

Då den aktuella registerförfattningen gäller utöver person- uppgiftslagens regler finns dock enligt vår mening inte någon anledning att föreslå något tillägg i nämnda registerlag.

Schengens informationssystem

I lagen (2000:344) om Schengens informationssystem avseende godkännande av rådsbeslutet om andra generationen av Schengens informationssystem finns en överklagandebestämmelse som anknyter till bl.a. beslut om rättelse, men inte till beslut om information. Då även Schengens informationssystem gäller utöver personuppgiftslagen finns inte heller här skäl att föreslå något tillägg i lagen.

Sammanfattning

Sammanfattningsvis föreligger inte skäl att med anledning av data- skyddsrambeslutet bestämmelser angående överklagande föreslå några ändringar i svensk rätt.

14.6Förhållande till avtal med tredjestater och tidigare antagna unionsakter

Vår bedömning: Dataskyddsrambeslutets regler om för- hållandet till avtal med tredjestater föranleder inte någon ändring i lag eller förordning.

Dataskyddsrambeslutets regler om förhållandet till tidigare antagna unionsakter föranleder ett klargörande i övergångs- bestämmelserna till den av oss föreslagna nya lagen om användningsbegränsningar vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (se vidare kap. 20).

353

Rättelse, tillsyn, skadestånd, sanktioner och överklagande

SOU 2011:20

Artikel 26 i dataskyddsrambeslutet – förhållande till avtal med tredjestater – har följande lydelse.

Detta rambeslut ska inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtal med tredjestater som förelåg när detta rambeslut antogs.

När dessa avtal tillämpas ska överföringen till en tredjestat av personuppgifter som erhållits från en annan medlemsstat genomföras med respekt för artikel 13.1 c eller 13.2, i tillämpliga fall.

Artikel 28 i dataskyddsrambeslutet – förhållande till tidigare antagna unionsakter – har följande lydelse.

Om rättsakter som antagits enligt avdelning VI i fördraget om Europeiska unionen före den dag då detta rambeslut träder i kraft och som reglerar utbytet av personuppgifter mellan medlemsstaterna eller tillgång för medlemsstaternas utsedda myndigheter till informations- system som inrättats enligt fördraget om upprättandet av Europeiska gemenskapen innehåller särskilda villkor för den mottagande medlemsstatens användning av sådana uppgifter, ska dessa villkor ha företräde framför bestämmelserna i rambeslutet när det gäller användning av uppgifter som tagits emot eller gjorts tillgängliga av en annan medlemsstat.

Artikel 26 slår således fast att dataskyddsrambeslutets bestäm- melser inte påverkar sådana avtal som medlemsstaterna eller Europeiska unionen har ingått före tidpunkten för rambeslutets antagande.

Enligt prop. 2008/09:16 s. 58 kräver denna artikel inte någon lagstiftningsåtgärd. Vi instämmer i denna bedömning.

I artikel 28 regleras förhållandet till tidigare antagna unions- akter. Finns regler som reglerar utbyte av personuppgifter eller tillgång till informationssystem som inrättats enligt fördraget om Europeiska unionen och som innehåller särskilda villkor för mottagarens användning av uppgifterna ska dessa villkor ha företräde framför dataskyddsrambeslutets regler.

Ett sådant exempel är Schengens informationssystem.

För att tydliggöra att avvikande användningsbegränsningar i tidigare beslutade EU-rättsakter ska gälla i stället för användnings- begränsningarna i vår föreslagna lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, föreslår vi att detta ska anges i lagens övergångsbestämmelser (se vidare kap. 20).

354

15 Följdändringar i svensk rätt

Våra förslag: Nya hänvisningsparagrafer till den av oss före- slagna nya lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt sam- arbete inom Europeiska unionen införs i följande författningar.

2 a § lagen (2010:362) om polisens allmänna spaningsregister,

1 kap. 5 § polisdatalagen (2010:361),

2 a § lagen (2005:787) om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet,

1 a § lagen (2001:617) om behandling av personuppgifter inom kriminalvården,

1 kap. 1 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

1 a § lagen (2000:344) om Schengens informationssystem,

1 a § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

1 a § lagen (1998:621) om misstankeregister,

1 a § lagen (1998:620) om belastningsregister,

2 a § förordningen (2006:937) om behandling av person- uppgifter inom åklagarväsendet,

3 a § förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen,

1 a § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

1 a § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,

1 a § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,

1 a § förordningen (1997:903) om register över före- lägganden av ordningsbot, och

4 a § förordningen (1997:902) om register över strafföre- läggande.

355

Följdändringar i svensk rätt

SOU 2011:20

Som ovan anförts (se kap. 12) medför dataskyddsrambeslutets bestämmelser ett förslag från vår sida att en ny lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska införas.

Lagen gäller för vidarebehandling av personuppgifter som ett antal i lagen namngivna brottsbekämpande m.m. myndigheter har tagit emot från en annan medlemsstat i den Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.

Vidarebehandlingen av personuppgifter ska enligt lagen vara helt eller delvis automatiserad.

Behandlingen av personuppgifter vid dessa brottsbekämpande m.m. myndigheter regleras i myndigheternas registerförfattningar (se kap. 4).

För att så mycket som möjligt underlätta för tillämparna, är det, enligt vår mening, av stor vikt att det i respektive register- författning finns en hänvisningsparagraf till den av oss föreslagna nya lagen.

Enligt vår mening bör inte en motsvarande hänvisning göras i de författningar i svensk rätt som innehåller generella bestämmelser om användningsbegränsningar, t.ex. lagen (2000:562) om interna- tionell rättslig hjälp i brottmål (LIRB) och lagen (2000:343) om internationellt polisiärt samarbete (LIPS).

Anledningen härtill är att de användningsbegränsningar som vi nu föreslår ska genomföras genom ovannämnda nya lag (se vidare bl.a. kap. 12 ovan) rör begränsningar i möjligheten att behandla personuppgifter helt eller delvis automatiserat, till skillnad från de generella användningsbegränsningarna i bl.a. LIRB och LIPS, som gäller alla typer av användningsbegränsningar.

Vi föreslår mot bakgrund härav att nya hänvisningsparagrafer till lagen om användningsbegränsningar vid behandling av person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska införas i följande författningar.

•2 a § lagen (2010:362) om polisens allmänna spaningsregister,

•1 kap. 5 § polisdatalagen (2010:361),

•2 a § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

•1 a § lagen (2001:617) om behandling av personuppgifter inom kriminalvården,

356

SOU 2011:20

Följdändringar i svensk rätt

•1 kap. 1 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

•1 a § lagen (2000:344) om Schengens informationssystem,

•1 a § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

•1 a § lagen (1998:621) om misstankeregister,

•1 a § lagen (1998:620) om belastningsregister,

•2 a § förordningen (2006:937) om behandling av personupp- gifter inom åklagarväsendet,

•3 a § förordningen (2003:188) om behandling av person- uppgifter inom Kustbevakningen,

•1 a § förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling,

•1 a § förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,

•1 a § förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,

•1 a § förordningen (1997:903) om register över förelägganden av ordningsbot, och

•4 a § förordningen (1997:902) om register över strafförelägg- ande.

357

17 Europol och Europolrådsbeslutet

17.1Allmänt om Europol

Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det polisiära samarbetet i unionen. Europol är en myndighet för behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom EU. Syftet med Europol är att förbättra effektiviteten hos de behöriga nationella myndigheterna och förbättra deras inbördes samarbete i den förebyggande och brottsbekämpande verksamheten.

17.1.1Historik

Europols verksamhet grundas på Europolkonventionen som öppnades för undertecknande år 1995. Sverige tillträdde konven- tionen år 1997. Europols verksamhet inleddes år 1999.

Den 1 januari 2010 upphörde Europolkonventionen att gälla och ersattes av Europolrådsbeslutet (antaget av Europeiska rådet för rättsliga och inrikes frågor, RIF-rådet, den 6 april 2009 genom dess beslut om inrättande av Europeiska polisbyrån, Europol). Genom rådsbeslutet förändrades den rättsliga grunden för Euro- pols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat samt bestämmelser om informationsbehandling och dataskydd.

Att Europol numera är en EU-myndighet innebär att verksamheten finansieras av EU:s budget och att Europols anställda omfattas av EU:s personalregler.

De allmänna ramarna för Europols verksamhet bestäms i Fördraget om EU:s funktionssätt, EUF-fördraget. Enligt fördraget ska Europols funktion och verksamhet regleras genom förordning-

365

Europol och Europolrådsbeslutet

SOU 2011:20

ar. Fram till dess att ministerrådet och Europaparlamentet beslutat om nya förordningar gäller Europolkonventionens bestämmelser.

17.1.2Behörighet och arbetsformer

Europol är en juridisk person med egen rättskapacitet som får ingå internationella avtal inom ramen för sin behörighet och sina uppgifter.

Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

17.1.3Organisation och olika anställningsformer

Ledningen

Europols övergripande ledning handhas av en styrelse medan dess dagliga verksamhet leds av en direktör. Europols huvudkontor ligger i Haag i Nederländerna.

366

SOU 2011:20

Europol och Europolrådsbeslutet

Nationella enheter

I varje medlemsstat finns en nationell enhet som är förbindelselänk mellan Europol och medlemsstaten. Den nationella enheten har till huvudsaklig arbetsuppgift att förse Europol med uppgifter från de nationella polisregistren eller motsvarande som ska överlämnas till Europols olika dataregister. De nationella enheterna tar även emot uppgifter som kommer från Europol och vidarebefordrar dem till behöriga nationella myndigheter. De anställda vid de nationella enheterna följer respektive medlemslands författningar.

I Sverige är Rikspolisstyrelsen sådan nationell enhet.

Nationella sambandsmän i Europol

Vid Europols huvudkontor arbetar särskilda sambandsmän som är utsända från respektive medlemsland.

Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols tjänstemän i bl.a. analysarbetet.

Sambandsmännen är inte anställda av Europol utan är ut- skickade från medlemsländerna och lyder under sitt medlemslands nationella enhet.

De arbetar därigenom under respektive medlemslands nationella lagar och regler.

Sverige har för närvarande tre sambandsmän vid Europol, två från polisen och en från Tullverket.

Sambandsmännen har s.k. tjänstepass utfärdade av Utrikes- departementet. Tjänstepasset ger immunitet under tjänstetid, men inte under fritid.

Europeiska tjänstemän i Europol

Inom Europol finns även personal som är direkt anställd av Europol (Europoltjänstemän). Det är fråga om experter och analytiker inom olika områden, såsom exempelvis kriminal- underrättelse- och analysverksamhet. Tjänstemännen bearbetar och analyserar bl.a. den information som kommer in till Europol från medlemsländerna och andra källor.

367

18 Tystnadsplikt m.m.

18.1EU:s bestämmelser

18.1.1Europolrådsbeslutet

Artikel 41 i Europeiska rådets beslut den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) innehåller följande bestämmelser angående diskretion och tystnadsplikt.

1.Ledamöterna i styrelsen, direktören, de biträdande direktörerna, Europols anställda och sambandsmännen ska avhålla sig från varje handling och varje uttalande som skulle kunna skada Europols anseende eller dess verksamhet.

2.Ledamöterna i styrelsen, direktören, de biträdande direktörerna, Europols anställda och sambandsmännen samt varje annan person, som uttryckligen har ålagts diskretions- och tystnadsplikt, får inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekretesskrav. Diskretions- och tystnadsplikten ska kvarstå även efter att de har avslutat sin tjänst, sitt anställningsavtal eller sin verksamhet. Den särskilda skyldighet som avses i första meningen ska meddelas särskilt av Europol, varvid de rättsliga följderna av en överträdelse ska påpekas. Meddelandet ska vara skriftligt.

3.Ledamöterna i styrelsen, direktören, de biträdande direktörerna, Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2 får inte utan hänvändelse till direktören eller, om det rör sig om direktören, till styrelsen, avlägga vittnesmål i eller utom domstol eller uttala sig om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

Styrelsen, eller i förekommande fall direktören, ska kontakta domstol eller annan behörig myndighet för att säkerställa att nödvändiga åtgärder vidtas enligt den nationella lagstiftning som är tillämplig på den berörda myndigheten.

371

Tystnadsplikt m.m.

SOU 2011:20

Sådana åtgärder kan vidtas antingen för att närmare regler för vittnesmål ska fastställas för att säkerställa att sekretess bibehålls för uppgifterna eller, om den nationella lagstiftningen så tillåter, för att vägra utlämnande av uppgifter i den mån det krävs för att skydda Europols eller en medlemsstats intressen.

Om det enligt en medlemsstats lagstiftning finns en rätt att vägra vittna, ska personer som avses i punkt 2 som kallats att vittna vara skyldiga att skaffa tillstånd att vittna. Tillståndet ska beviljas av direktören eller, om det är denne som är kallad att vittna, av styrelsen. Om en sambandsman kallas att vittna med anledning av uppgifter denne mottagit från Europol, får tillståndet inte ges förrän den medlemsstat som sänt den berörde sambandsmannen har givit sitt samtycke till detta. Skyldigheten att ansöka om tillstånd att vittna ska kvarstå även efter att de har avslutat sin tjänst, sitt anställningsavtal eller sin verksamhet.

När det finns en möjlighet att vittnesmålet kan komma att omfatta information och underrättelser som en medlemsstat har överfört till Europol eller som tydligt rör en medlemsstat, ska denna medlemsstats synpunkter inhämtas innan tillståndet beviljas.

Tillstånd att vittna får vägras endast i den mån det är nödvändigt för att skydda överordnade skyddsvärda intressen för Europol eller den eller de berörda medlemsstaterna.

4. Varje medlemsstat ska behandla alla överträdelser av den diskretions- eller tystnadsplikt som avses i punkterna 2 eller 3 som överträdelser av skyldigheter i deras egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

De ska säkerställa att dessa regler och bestämmelser är tillämpliga även på deras egna tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.

Enligt artikel 41.2 ovan får således Europols anställda och sambandsmännen samt andra som uttryckligen ålagts diskretions- och tystnadsplikt – ”inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet”.

I artikel 41.3 finns vidare bestämmelser som reglerar vad ”.. Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2..” har att rätta sig efter inför ett eventuellt avläggande av vittnesmål i eller utom domstol eller uttalande om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

I artikel 41.4 första stycket anges att medlemsstaterna ska behandla alla överträdelser av diskretions- eller tystnadsplikten

372

SOU 2011:20

Tystnadsplikt m.m.

enligt artiklarna 41.2 och 41.3 som överträdelse av skyldigheter i staternas egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

18.1.2Övriga EU-bestämmelser

Immunitet och privilegier

Av artikel 12 a) i protokollet om Europeiska gemenskapernas immunitet och privilegier framgår följande angående tjänstemän och anställda i Europeiska gemenskaperna.

Inom varje medlemsstats territorium och oberoende av statstillhörighet skall tjänstemän och övriga anställda i gemenskaperna a) åtnjuta immunitet mot rättsliga förfaranden vad avser handlingar som de har begått i sin tjänsteutövning, inbegripet muntliga och skriftliga uttalanden, om inte annat följer av bestämmelserna i de fördrag som dels behandlar reglerna för tjänstemännens och de anställdas ansvar gentemot gemenskaperna, och dels domstolens behörighet att döma i tvister mellan gemenskaperna och deras tjänstemän och övriga anställda; de skall åtnjuta denna immunitet även efter det att deras

uppdrag har upphört,

Från dessa regler om immunitet och privilegier har därefter gjorts undantag för Europoltjänstemän som tjänstgör i operativ verksamhet, särskilt gemensamma utredningsgrupper (jfr förslag till Rådets förordning – EG, Euratom – om ändring av förordning – Euratom, EKSG, EEG – nr 549/69 om fastställande av de grupper av tjänstemän och övriga anställda i Europeiska gemenskaperna som ska omfattas av bestämmelserna i artikel 12, artikel 13 andra stycket samt artikel 14 i protokollet om immunitet och privilegier för Europeiska gemenskaperna).

För att undantag från reglerna om immuniteten ska gälla krävs alltså bestämmelser i fördrag som anger annat.

373

Tystnadsplikt m.m.

SOU 2011:20

EUF-fördraget

I artikel 339 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) anges följande sekretessbestämmelser.

Medlemmarna av unionens institutioner, medlemmarna av kommittéer samt tjänstemän och övriga anställda i unionen ska, även efter det att deras uppdrag upphört, vara förpliktade att inte lämna ut upplysningar som omfattas av tystnadsplikt, särskilt uppgifter om företag, deras affärsförbindelser eller deras kostnadsförhållanden.

Bestämmelserna i fördraget får anses medföra att ovannämnda regler om immunitet inte är gällande.

Interna tjänsteföreskrifter

Tjänsteföreskrifter för tjänstemän i Europeiska gemenskaperna

–förordningen nr 31 (EEG), nr 11 (EKSG) om tjänsteföreskrifter för tjänstemän och anställningsvillkor för övriga anställda i Europeiska gemenskapen och Europeiska atomenergigemenskapen

–innehåller följande artiklar om tystnadsplikt och yttrandefrihet.

Artikel 17

1.En tjänsteman får inte utan tillstånd lämna ut information som han fått tillgång till i tjänsten, om inte denna information redan har offentliggjorts eller är tillgänglig för allmänheten.

2.Denna skyldighet skall åligga tjänstemannen även efter det att han har lämnat tjänsten.

Artikel 17 a

1.En tjänsteman har rätt till yttrandefrihet, med vederbörlig hänsyn till principerna om lojalitet och opartiskhet.

2.Utan att det påverkar tillämpningen av artiklarna 12 och 17 skall en tjänsteman i förväg underrätta tillsättningsmyndigheten om han avser att offentliggöra eller låta offentliggöra, ensam eller tillsammans med andra, texter som har samband med gemenskapernas verksamhet.

Om tillsättningsmyndigheten kan visa att texten allvarligt kan skada gemenskapernas legitima intressen skall den skriftligen inom 30 arbetsdagar efter underrättelsen informera tjänstemannen om sitt

374

SOU 2011:20

Tystnadsplikt m.m.

beslut. Om inget sådant beslut har meddelats inom den tiden skall tillsättningsmyndigheten anses inte ha haft några invändningar.

Enligt ovan nämnda artikel finns en lagstadgad rätt till yttrandefrihet, visserligen med vederbörlig hänsyn till principerna om lojalitet och opartiskhet (artikel 17 a punkten 1).

En tjänsteman har vidare en skyldighet att inte agera eller uppträda på ett sätt som kan skada tjänstens anseende (artikel 12).

Tjänstemannen måste också, enligt artikel 17 a punkten 2 första stycket, informera sin myndighet om att han eller hon avser att publicera något, även om ett tidigare krav på uttryckligt tillstånd nu har tagits bort. Enligt artikel 17 a punkten 2 andra stycket måste myndigheten meddela ett negativt beslut för att publiceringen ska stoppas. Myndigheten måste i sammanhanget visa att en publicering allvarligt kan skada unionens intressen.

Bestämmelsen om tystnadsplikt (artikel 17) stadgar att information får lämnas ut under vissa förutsättningar (tillstånd krävs). Information som redan har offentliggjorts eller är tillgänglig för allmänheten får lämnas ut utan sådant tillstånd.

Reglerna om s.k. whistleblowing innebär både en skyldighet och en rättighet att rapportera oegentligheter (art. 21 a, 22 a och 22 b). De innebär dock inte att det är tillåtet att vända sig till någon utanför institutionerna om man misstänker korruption eller andra allvarliga oegentligheter. Om man gör det riskerar tjänstemannen disciplinära påföljder såsom t.ex. avsked – även om anklagelserna visar sig befogade.

Sanktioner inom EU

Gemenskapsrättsliga sanktioner, såsom disciplinära åtgärder enligt tjänsteföreskrifterna (varning, degradering, avstängning från tjänsten eller förlust av ålderspension) samt avskedande, finns endast gentemot dem som är anställda inom gemenskapen.

Bortsett från tjänstemännens disciplinansvar saknar EU-rätten föreskrifter om påföljder för åsidosättande av tystnadsplikt.

Frågan som därvid uppstår är huruvida den som bryter mot sekretessbestämmelsen i artikel 339 i EUF-fördraget kan dömas för brott enligt medlemsstaternas egna straffbestämmelser.

Från gemenskapens sida förväntas att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår (jfr

375

Tystnadsplikt m.m.

SOU 2011:20

Statskontoret 2000:3 s. 62 Öppenhet och insyn i myndigheternas EU-arbete).

I sammanhanget kan också noteras att i artikel 194 i fördraget om upprättandet av Europeiska atomenergigemenskapen (Euratomfördraget) anges följande.

Ledamöterna och medlemmarna av gemenskapens institutioner, medlemmarna av kommittéerna, gemenskapens tjänstemän och övriga anställda samt alla andra personer, som antingen i tjänsten eller genom sina offentliga eller privata förbindelser med gemenskapens institutioner eller anläggningar eller med de gemensamma företagen skaffar sig eller får vetskap om sådana faktiska förhållanden, upplysningar, kunskaper, dokument eller föremål vilka är sekretess- belagda med stöd av bestämmelser som utfärdats av en medlemsstat eller någon av gemenskapens institutioner, är skyldiga att även efter det att deras tjänst eller förbindelser har upphört, bevara sekretessen gentemot alla obehöriga personer samt allmänheten.

Varje medlemsstat skall betrakta ett åsidosättande av denna skyldighet som ett brott mot statens sekretessregler; staten skall därvid både i sakligt hänseende och när det gäller behörigheten tillämpa sina rättsregler om brott mot statens säkerhet eller om brott mot tystnadsplikt. Staten skall på begäran av varje berörd medlemsstat eller kommissionen väcka talan mot var och en under dess jurisdiktion som begår ett sådant brott.

Enligt andra stycket ovan (kursiverat) ska i detta fall varje medlems- stat uttryckligen betrakta ett åsidosättande av tystnadsplikten som ett brott mot statens egna sekretessregler.

18.2Svensk rätt

18.2.1Tryckfrihetsförordningen

Av den s.k. meddelarfrihetens princip, vilken är fastslagen i 1 kap. 1 § tryckfrihetsförordningen (TF), följer att det i viss mån är möjligt att lämna normalt sekretessbelagda uppgifter för publicering i tryckt skrift. Det avgörande är att uppgifterna lämnas för offentliggörande.

Av 2 kap. 1 § TF framgår att, till främjande av ett fritt menings- byte och en allsidig upplysning, ska varje svensk medborgare ha rätt att ta del av allmänna handlingar.

Enligt 2 kap. 2 § TF får denna offentlighetsprincip begränsas endast om det anges i en särskild lag eller annan lag som den

376

SOU 2011:20

Tystnadsplikt m.m.

hänvisar till. Den särskilda lag som åsyftas här är offentlighets- och sekretesslagen (2009:400).

18.2.2Offentlighets- och sekretesslagen (2009:400)

Enligt 2 kap. 1 § offentlighets- och sekretesslagen gäller förbud för myndighet att röja eller utnyttja en uppgift enligt lagen, eller lag eller förordning som lagen hänvisar till.

Ett sådant förbud gäller också för en person som har fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet 1. på grund av anställning eller uppdrag hos myndigheten, 2. på grund av tjänsteplikt eller 3. på annan liknande grund.

18.2.320 kap. 3 § brottsbalken

Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken. Bestämmelsen har följande lydelse.

Röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olovligen sådan hemlighet, dömes, om ej gärningen eljest är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år.

Den som av oaktsamhet begår gärning som avses i första stycket, dömes till böter. I ringa fall skall dock ej dömas till ansvar.

I nämnda bestämmelse är det således kriminaliserat när någon röjer en uppgift som han eller hon är förpliktad att hålla hemlig ”..enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning..”

Med hänsyn till den inom straffrätten rådande legalitets- principen torde det vara svårt att tillämpa denna straffbestämmelse på den tystnadsplikt som föreskrivs i en EU-rättslig fördragsregel eller förordning. För svensk del begränsas vidare det straffrättsliga ansvaret för brott mot tystnadsplikten av meddelarfriheten. Någon meddelarfrihet tillämpas dock inte av EU:s institutioner, och ett EU-organ är därmed oförhindrat att efterforska vem som har lämnat ut hemliga uppgifter till massmedia (jfr Statskontoret 2000:3 s. 62, Öppenhet och insyn i myndigheternas EU-arbete).

377

Tystnadsplikt m.m.

SOU 2011:20

18.2.42 kap. brottsbalken

Bestämmelserna i 2 kap. brottsbalken om tillämpligheten av svensk lag förutsätter att det föreligger en gärning som enligt svensk lag är ett brott.

Bestämmelserna avser att avgöra huruvida svensk lag är tillämplig och svensk domstol kompetent beträffande brottet, dvs. en fråga som kan kallas frågan om den svenska kompetensen (NJA II 1962 s. 51).

2 kap. 2 § brottsbalken innehåller regler för brott utom riket och har följande lydelse.

För brott som begåtts utom riket döms efter svensk lag och vid svensk domstol, om brottet begåtts

1.av svensk medborgare eller av utlänning med hemvist i Sverige,

2.av utlänning utan hemvist i Sverige, som efter brottet blivit svensk medborgare eller tagit hemvist här i riket eller som är dansk, finsk, isländsk eller norsk medborgare och finns här, eller

3.av annan utlänning som finns här i riket och på brottet enligt svensk lag kan följa fängelse i mer än sex månader.

Första stycket gäller inte, om gärningen är fri från ansvar enligt lagen på gärningsorten eller om den begåtts inom område som inte tillhör någon stat och enligt svensk lag svårare straff än böter inte kan följa på gärningen.

I fall som avses i denna paragraf får inte dömas till påföljd som är att anse som strängare än det svåraste straff som är föreskrivet för brottet enligt lagen på gärningsorten.

De inskränkningar av svensk domsrätt som anges i andra och tredje styckena gäller inte för brott som avses i 6 kap. 1–6 §§, 8 § tredje stycket och 12 § eller försök till sådana brott, om brottet begåtts mot en person som inte fyllt arton år. Inte heller gäller inskränkningarna för brott som avses i 4 kap. 1 a § eller 16 kap. 10 a § första stycket 1 och femte stycket eller försök till sådana brott.

Huvudreglerna beträffande brott som begåtts utom riket framgår av 2 § ovan. Enligt första stycket i nämnda paragraf omfattar den svenska kompetensen, i enlighet med den s.k. personalitets- principen, i princip alla av svensk medborgare begångna brott. Med svensk medborgare jämställs härvid bl.a. utlänning med hemvist i Sverige.

Av andra stycket i samma paragraf framgår huvudregeln om kravet på dubbel straffbarhet, dvs. att en av förutsättningarna för att kunna lagföra brott i Sverige är att gärningen inte är fri från ansvar enligt lagen på gärningsorten.

378

19 Tillägg i svensk rätt

19.1Jämförelse mellan Europolrådsbeslutet och svensk rätt

19.1.1Anställda i Sverige och sambandsmän

På sätt som anges i 17 och 18 kap. ovan reglerar bestämmelserna i 2 kap. 1 § offentlighets- och sekretesslagen (2009:400) tystnads- plikten angående uppgifter för vilka sekretess gäller samt innehåller 20 kap. 3 § brottsbalken de straffbestämmelser som är aktuella vid brott mot denna tystnadsplikt,

•dels för anställda vid de nationella enheterna, dvs. offentligt anställda i Sverige vid deras befattning med uppgifter från Europol,

•dels för nationella sambandsmän i Europol, dvs. de särskilda sambandsmän som är utsända från Sverige och arbetar vid Europols huvudkontor.

Regeringen har i proposition 2008/09:14 s. 39; Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol) anfört att vad gäller ovannämnda kategorier av tjänstemän får Sverige anses leva upp till de krav på tystnadsplikt – och kravet på sanktioner vid brott mot denna – som ställs i rådsbeslutet.

Frågan om tystnadsplikten m.m. för dessa tjänstemän är inte föremål för vår prövning (jfr vårt kommittédirektiv 2010:17 s. 6).

19.1.2Europoltjänstemän

Vad avser den personal som är direkt anställd av Europol (Europoltjänstemän) är situationen inte densamma som den som har redogjorts för ovan i avsnitt 19.1.1.

381

Tillägg i svensk rätt

SOU 2011:20

Regeringen har i samband med tidigare lagstiftningsärenden om genomförande av Europolkonventionen (prop. 1996/97:164 s. 53; Europol) anfört att det finns ett område inom vilket sekretess och tystnadsplikt råder enligt Europolkonventionen som inte har direkt motsvarighet i svenska regler om sekretess och tystnadsplikt, men inom vilket Sverige som medlemsstat har åtagit sig att lagföra brott mot detsamma. Enligt regeringen borde frågan övervägas i annat lämpligt sammanhang.

I prop. 2008/09:14 s. 39 har vidare anförts att den aktuella artikeln 41.4 i rådsbeslutet i sin helhet är överensstämmande med vad som gäller enligt Europolkonventionen. I propositionen framhålls vidare att vid förhandlingarna om rådsbeslutet framkom inga särskilda diskussioner rörande artikeln. Regeringen betonar även här att ”..frågan med anknytning till Europolanställdas befattning med hemliga uppgifter bör övervägas i det fortsatta lagstiftningsarbetet”.

19.1.3Behov av särskilda regler?

Som ovan nämnts förväntas från EU:s sida att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

Frågan är därefter vilka regler i svensk rätt som finns för att kunna döma en svensk Europoltjänsteman (avsnitt 19.1.2 ovan) som bryter mot sekretessbestämmelsen i artikel 339 i EUF- fördraget, jämfört med artikel 41 i Europolrådsbeslutet, för brott mot tystnadsplikten.

Eftersom, som nämnts ovan i avsnitt 18.2.3, kriminaliseringen av brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken kräver en koppling till lag eller annan författning, eller ett förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, medför detta i sin tur att Europoltjänstemännen – som är knutna till EU:s bestämmelser och som inte omfattas av svensk rätt i övrigt i dessa delar – ej heller kan anses omfattas av brottsbalkens bestämmelser ovan.

Vad avser första delen av vårt uppdrag enligt kommittédirektivet

– ”att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att Sverige ska leva upp till bestämmelserna i Europolrådsbeslutet” – kan vi således konstatera att så är fallet. De Europolanställda tjänste- männen (se avsnitt 19.1.2) omfattas inte av samma regler som de

382

SOU 2011:20

Tillägg i svensk rätt

som handhar Europolfrågor vid nationella enheten i Sverige eller sambandsmännen i Europol. För att svensk rätt ska anses motsvara de krav som ställs i artikel 41.1 i Europolrådsbeslutet (se avsnitt 19.1.1 ovan) krävs kompletteringar i svenska författningar.

Sammanfattningsvis är det således inte tillräckligt att frågorna regleras i ett rådsbeslut, utan detta måste också genomföras i svensk lagstiftning.

19.1.4Utformningen av nya bestämmelser

Vårt förslag: En ny lag som reglerar svensk Europolanställds befattning med hemliga uppgifter införs. I lagen anges följande.

Frågan är hur regler såvitt nu är ifråga ska utformas. Antingen krävs ett tillägg i 20 kap. 3 § brottsbalken så att denna regel även uttryckligen ska omfatta de här angivna Europoltjänstemännens hantering av uppgifter, eller också krävs införandet av en ny lag – som berör tystnadsplikt för anställda i Europol – vari det klargörs att svenska Europolanställda (Europoltjänstemännen) är underkastade motsvarande tystnadsplikt som gäller för de från Sverige utsända sambandsmännen i Europol.

Införandet av en sådan ny lagstiftning som anges i det sist- nämnda alternativet, medför i sin tur att 20 kap. 3 § brottsbalken i sin nuvarande utformning – med sin hänvisning till ”lag eller annan författning” – även skulle komma att omfatta Europoltjänste- männens situation.

Reglerna i 2 kap. 2 § brottsbalken (se avsnitt 18.2.4 ovan) möjliggör en reglering av brott som begåtts utom riket, t.ex. i Europols huvudkvarter i Haag, Nederländerna.

Vi finner att det sistnämnda alternativet – att införa en ny lag – är att föredra framför ett tillägg i brottsbalkens regler.

Nästa fråga att ställa sig är vilka personer som ska omfattas av den nya bestämmelsen. I artikel 41.4 anges visserligen att medlems- staterna ska behandla ”alla överträdelser” av den diskretions- och tystnadsplikt som anges i artikeln, som överträdelser av

383

Tillägg i svensk rätt

SOU 2011:20

skyldigheter i statens egen lagstiftning om t.ex. tystnadsplikt. Vi finner i denna del inte att det kan anses vara rimligt att svensk lagstiftning ska reglera överträdelse av tystnadsplikten av exempel- vis en spansk medborgare bosatt i Bryssel. Sveriges skyldighet enligt artikeln kan, enligt vår mening, inte utsträckas längre än vad avser svenska medborgare.

Av artikel 41.2 framgår vidare att sakförhållanden eller upplysningar som kommit till Europoltjänstemännens kännedom i deras tjänsteutövning etc. inte får spridas till allmänheten eller till någon ”obehörig person”. I vårt förslag till ny lag anger vi därför att Europoltjänstemannen inte får ”obehörigen röja eller utnyttja en uppgift”. Denna utformning av lagen anser vi närmare följer svensk lagstiftningstradition. I sak torde inte föreligga någon skillnad mellan vårt förslag och artikelns innehåll i denna del. Vad som är att anse som obehörigen måste åligga Europol att visa och får prövas från fall till fall.

Vi föreslår därför införandet av en ny lag med följande bestämmelse.

Av artikel 41.2 tredje meningen framgår att diskretions- och tystnadsplikten ska kvarstå även efter att personerna har avslutat sin tjänst, sitt anställningsavtal eller sin verksamhet.

Vår föreslagna lag ska därför omfatta personer som både är och har varit anställda vid Europol.

Eftersom bestämmelsen avser personer som är anställda av Europol finns inte anledning att reglera situationer som avser utlämnande av allmänna handlingar. Då bestämmelsen således enbart utgör en reglering av tystnadsplikt och inte en begränsning av rätten att ta del av allmänna handlingar enligt 2 kap. 2 § tryckfrihetsförordningen, krävs inte någon följdändring i offentlighets- och sekretesslagen.

384

20Ikraftträdande och övergångsbestämmelser

Våra förslag: Den nya lag – lagen (2011:000) om användnings- begränsningar vid behandling av personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen – som vi föreslår ska införas med anledning av anpassningen av svensk rätt till Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), den nya lag – lagen (2011:000) om Europolanställda svenska medborgares befattning med hemliga uppgifter – som vi föreslår ska införas med anledning av artikel 41 i Europeiska rådets beslut den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), samt de ändringar och tillägg som vi föreslår i andra författningar, ska träda i kraft den 1 mars 2012.

Dataskyddsrambeslutets regler om förhållandet till tidigare antagna unionsakter föranleder ett klargörande i den av oss föreslagna nya lagen om användningsbegränsningar vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen, genom att i lagens övergångsbestämmelser anges att avvikande användningsbegränsningar i tidigare beslutade EU- rättsakter ska gälla i stället för användningsbegränsningarna i denna lag.

Några skäl att införa ytterligare övergångsbestämmelser föreligger inte.

387

Ikraftträdande och övergångsbestämmelser

SOU 2011:20

Dataskyddsrambeslutet

Den nya lag – lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen – som vi föreslår ska införas med anledning av anpassningen av svensk rätt till Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av person- uppgifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (dataskyddsrambeslutet), samt de ändringar och tillägg med anledning av anpassningen av svensk rätt till data- skyddsrambeslutet som vi föreslår i lagen (2010:362) om polisens allmänna spaningsregister, polisdatalagen (2010:361), lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet, lagen (2001:617) om behandling av personuppgifter inom kriminalvården, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen (2000:344) om Schengens informationssystem, lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (1998:621) om misstanke- register, lagen (1998:620) om belastningsregister, förordningen (2006:937) om behandling av personuppgifter inom åklagar- väsendet, förordningen (2003:188) om behandling av person- uppgifter inom Kustbevakningen, förordningen (2001:682) om behandling av personuppgifter inom kriminalvården, förordningen (2001:641) om registerföring m.m. vid Högsta förvaltnings- domstolen och kammarrätterna med hjälp av automatiserad behandling, förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, förordningen (1997:903) om register över förelägganden av ordningsbot, och förordningen (1997:902) om register över strafföreläggande, bör träda i kraft den 1 mars 2012.

Tidpunkten för ikraftträdandet har anpassats så att det sammanfaller med ikraftträdandet för polisdatalagen.

388

21 Konsekvenser av våra förslag

Vår bedömning: Förslagen kan väntas leda till vissa kostnads- ökningar för det allmänna. Dessa kostnadsökningar bör finansieras inom befintliga budgetramar.

Förslagen torde inte i övrigt innebära några nämnvärt ökade kostnader eller andra konsekvenser.

Kommittéer som tillkallats på grund av ett regeringsbeslut och som har ett utredningsuppdrag ska enligt 14 och 15 §§ kommitté- förordningen (1998:1474) genomföra konsekvensanalyser i skilda hänseenden beträffande de förslag som framställs. Vad som sägs i förordningen om kommittéer gäller också särskilda utredare. Om förslagen i ett betänkande påverkar kostnader eller intäkter för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet.

Om förslagen innebär samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén eller utredaren föreslå en finansiering. Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna också i det avseendet anges i betänkandet.

Detsamma gäller när ett förslag har betydelse för brottsligheten och för det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbets- förutsättningar, konkurrensförmåga eller villkor i övrigt i förhåll- ande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

Om ett betänkande innehåller förslag till nya eller ändrade regler ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet.

391

Konsekvenser av våra förslag

SOU 2011:20

I nedanstående konsekvensutredning har, enligt 15 a § kommittéförordningen, även tillämpats 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

Dataskyddsrambeslutet

Syftet med Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsram- beslutet) är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polisiärt och straffrättligt samarbete. Detta är också utgångspunkten i den konsekvensbedömning som vi har gjort.

Vid bedömningen av konsekvenserna vid anpassningen av svensk rätt till dataskyddsrambeslutet, samt därtill hörande frågor, har vi – utöver bedömningen av ovannämnda allmänna konsekvenser – i första hand övervägt om de författningar som införts som en följd av dataskyddsrambeslutet kan komma att medföra några administrativa och ekonomiska konsekvenser för de myndigheter som främst berörs av rambeslutet, dvs. Kriminal- vården, Kronofogdemyndigheten, Kustbevakningen, polisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, samt åklagarväsendet.

Som tidigare har nämnts (se del I, kap. 12) bedömer vi att märkning varifrån uppgifter härstammar är nödvändig för att reglerna i dataskyddsrambeslutet om t.ex. användningsbegräns- ningar ska kunna tillämpas på rätt sätt. Framtagandet av sådana system för märkning av uppgifter hos myndigheterna kan komma att innebära vissa kostnader. Kostnaderna torde dock inte vara så omfattande att de inte kan rymmas inom befintliga budgetramar.

Våra i betänkandet ovan angivna förslag till författnings- ändringar kan, enligt vår mening, främst komma att innebära vissa utökade arbetsuppgifter samt vissa förändrade rutiner vad gäller frågor om vidarebehandling och användningsbegränsningar vid personuppgiftsbehandling. Vi bedömer dock dessa utökade arbetsuppgifter m.m. som mindre omfattande. Kostnadsökningarna med anledning härav bedöms därför också kunna finansieras inom de befintliga budgetramarna.

392

22 Författningskommentar

I våra överväganden i kapitel 7–15 samt 19–20 finns det kommen- tarer till de ändringar i lagar och förordningar som vi föreslår.

Vi anser det därför inte nödvändigt med särskilda författnings- kommentarer av traditionellt slag.

För att göra det lättare att återfinna de aktuella avsnitten i de allmänna övervägandena, återfinns nedan uppställningar med hänvisningar till rätt avsnitt.

22.1Förslaget till lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Lagrum	Avsnitt/kap.
1 §	12.3.5
2 §	12.3.5
3 §	12.3.5
4 §	12.5.6, 12.6
5 §	12.8
6 §	12.9
7 §	12.7
8 §	13.1.5
9 §	12.10
Punkt 2 i	14.6 samt 20
övergångs-
bestämmelserna

395

Författningskommentar

SOU 2011:20

22.2Förslaget till lag om Europolanställda svenska medborgares befattning med hemliga uppgifter

Lagrum	Avsnitt/kap.
Ny lag	19.1.4

22.3Förslaget till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Lagrum	Avsnitt/kap.
2 a §	15

22.4Förslaget till lag om ändring i polisdatalagen (2010:361)

Lagrum	Avsnitt/kap.
1 kap. 5 §	15
2 kap. 10 §	11.5.3

22.5Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lagrum		Avsnitt/kap.
2 a §		15
7 §		10.6.1
11	§	11.5.3
15	§(rubrik)	10.6.1

22.6Förslaget till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Lagrum	Avsnitt/kap.
1 a §	15

396

SOU 2011:20

Författningskommentar

22.7Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet

Lagrum	Avsnitt/kap.
1 kap. 1 a §	15
1 kap. 6 §	11.5.2, 11.5.3
2 kap. 2 §	10.6.1

22.8Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem

Lagrum	Avsnitt/kap.
1 a §	15

22.9Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

Lagrum	Avsnitt/kap.
1 §	10.6.1
1 a §	15
4 §	11.5.2

22.10Förslaget till lag om ändring i lagen (1998:621) om misstankeregister

Lagrum	Avsnitt/kap.
1 a §	15

22.11Förslaget till lag om ändring i lagen (1998:620) om belastningsregister

Lagrum	Avsnitt/kap.
1 a §	15

397

Författningskommentar

SOU 2011:20

22.12Förslaget till förordning om ändring i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet

Lagrum	Avsnitt/kap.
2 a §	15
8 a §	10.6.1
10 §	11.5.3

22.13Förslaget till förordning om ändring i förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen

Lagrum	Avsnitt/kap.
3 a §	15
4 §	10.6.1
9 §	11.5.2

22.14Förslaget till förordning om ändring i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården

Lagrum	Avsnitt/kap.
4 §	11.5.2
7 §	11.5.2
12 §	11.5.2
18 §	11.5.2
23 §	11.5.2
27 §	11.5.2
32 §	11.5.2
41 §	11.5.2
48 §	11.5.2

398

SOU 2011:20

Författningskommentar

22.15Förslaget till förordning om ändring i förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling

Lagrum	Avsnitt/kap.
1 a §	15
4 §	11.5.2
8 §	11.5.3

22.16Förslaget till förordning om ändring i förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling

Lagrum	Avsnitt/kap.
1 a §	15
3 §	11.5.2
7 §	11.5.3

22.17Förslaget till förordning om ändring i förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

Lagrum	Avsnitt/kap.
1 a §	15
3 §	11.5.2
7 §	11.5.3

399

Bilaga 1

Kommittédirektiv

Genomförande av dataskyddsrambeslutet	Dir.
(Ju 2010:02)	2010:17

Beslut vid regeringssammanträde den 25 februari 2010

Sammanfattning

En särskild utredare ska analysera hur svensk rätt förhåller sig till bestämmelserna i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Utredaren ska också analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europol- rådsbeslutet, och vid behov utarbeta nödvändiga författnings- förslag.

Uppdraget ska redovisas senast den 1 februari 2011.

Dataskyddsrambeslutet och motsvarande svenska regler

Dataskyddsrambeslutet

Dataskyddsrambeslutet antogs av rådet för rättsliga och inrikes frågor i november 2008. Rambeslutet utgör ett komplement till olika instrument om utvidgat polisiärt samarbete och rättsligt samarbete inom Europeiska unionen med inriktning på utökat gränsöverskridande informationsutbyte.

Rambeslutet innehåller bestämmelser om bl.a. allmänna principer för behandlingen av personuppgifter, behandling av känsliga personuppgifter, rättelse, radering och gallring av

403

Bilaga 1

SOU 2011:20

personuppgifter, information till den registrerade samt skadestånd och sanktioner.

Rambeslutet ska säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. Härmed avses uppgifter som de behöriga myndigheterna samlar in eller behandlar för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Polisiärt eller rättsligt samarbete i annat syfte faller utanför tillämpningsområdet.

Svensk rätt

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Härmed avses bl.a. skyddet av personuppgifter. Denna rättighet är inte absolut. Inskränkningar får göras med stöd av lag om det är nödvändigt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. förebyggande av oordning och brott.

Personuppgiftslagen (1998:204) är generellt tillämplig och reglerar behandlingen av personuppgifter oavsett ändamålet med behandlingen. Lagen är subsidiär i förhållande till annan författningsreglering. Inom nu aktuellt område finns särreglering som helt eller delvis ersätter personuppgiftslagen gällande polisen, Skatteverket, Kustbevakningen, domstolsväsendet, åklagar- väsendet, Kriminalvården och Tullverket. Inom polisens verksamhet finns förutom polisdatalagen (1998:622) med tillhörande förordning några registerförfattningar som reglerar behandlingen av personuppgifter i särskilt angivna register, t.ex. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. När det gäller Skatteverket, Kriminalvården och Tullverket finns särskilda bestämmelser i lag med tillhörande förordningar. Personuppgiftsbehandlingen inom Kustbevakningen, domstolsväsendet och åklagarväsendet regleras i förordning. Med undantag för Tullverket gäller särregleringarna utöver person- uppgiftslagen. Tullverkets författningar gäller i stället för personuppgiftslagen.

404

SOU 2011:20

Bilaga 1

Uppdraget att föreslå hur dataskyddsrambeslutet ska genomföras

Dataskyddsrambeslutet är tillämpligt på uppgifter som har överförts till eller gjorts tillgängliga mellan medlemsstaterna eller mellan medlemsstater och myndigheter och informationssystem som har inrättats i enlighet med avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samarbete, t.ex. Europol.

Endast behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register faller inom tillämpnings- området. Från tillämpningsområdet undantas uttryckligen viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Rambeslutet innehåller ett antal bestämmelser som innebär förpliktelser för medlemsstaterna. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i ram- beslutet före den 27 november 2010.

Förpliktelserna överensstämmer i många avseenden med förpliktelserna i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) som har genomförts i svensk rätt genom bl.a. personuppgiftslagen. Personuppgiftslagen gäller, till skillnad från direktivet, även inom de verksamhets- områden som berörs av rambeslutet. Som ovan nämnts finns även särskilda registerförfattningar inom dessa verksamhetsområden.

Regeringen har i propositionen Godkännande av Dataskydds- rambeslutet (prop. 2008/09:16) redovisat innehållet i utkastet till rambeslut för riksdagen och gjort en översiktlig bedömning av behovet av lagändringar med anledning av rambeslutet. Riksdagen har godkänt utkastet till rambeslut (bet. 2008/09:JuU7, rskr. 2008/09:41). I propositionen görs bedömningen att det inte krävs någon omfattande lagstiftning för att genomföra rambeslutet. Regeringen har dock identifierat ett par områden där det finns skäl att analysera behovet av lagändringar närmare, bl.a. avgränsningen av rambeslutets tillämpningsområde, behandlingen av känsliga personuppgifter och användningsbegränsningar (se prop. 2008/09:16 s. 30 f.).

405

Bilaga 1

SOU 2011:20

Utredaren ska därför

•analysera hur svensk rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet, och

•utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.

Europolrådsbeslutet och aktuella svenska regler

Beslutet om inrättande av Europol

Den 1 januari 2010 upphörde Europolkonventionen att gälla och ersattes av Europolrådsbeslutet. Genom rådsbeslutet förändras den rättsliga grunden för Europols verksamhet och Europol får ställning som EU-myndighet. Det görs även en del sakliga förändringar, bl.a. av Europols mandat samt bestämmelser om informationsbehandling och dataskydd.

Regeringen har i propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol) (prop. 2008/09:14) redovisat innehållet i utkastet till rådsbeslut för riksdagen och gjort en översiktlig bedömning av behovet av lagändringar med anledning av beslutet. I propositionen görs bedömningen att vissa lagändringar bör övervägas, bl.a. med anledning av bestämmelserna om diskretions- och tystnadsplikt och då särskilt bestämmelsen i artikel 41.4 om behandling av överträdelse av tystnadsplikt (prop. s. 39). Riksdagen har godkänt utkast till rådsbeslut (bet. 2008/09:JuU6, rskr. 2008/09:63).

Regeringen har därefter i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) föreslagit en ändring i lagen (1976:661) om immunitet och privilegier i vissa fall när det gäller Europol. Ändringen trädde i kraft den 1 januari 2010. I propositionen anges att regeringen avser att i ett annat sammanhang överväga behovet av ytterligare lagändringar med anledning av Europolsamarbetet (prop. s. 6).

Svensk rätt

Tystnadsplikten är i svensk rätt sammankopplad med sekretess. Enligt 2 kap. 1 § offentlighets- och sekretesslagen (2009:400) gäller förbud att röja eller utnyttja en viss uppgift för myndigheten där

406

SOU 2011:20

Bilaga 1

sekretessen är tillämplig och för den som genom anställning eller uppdrag hos myndigheten eller genom tjänsteplikt eller på annan liknande grund för det allmännas räkning deltar eller har deltagit i myndigheternas verksamhet och då fått del av uppgiften.

Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken. Undantag från straffansvaret gäller enligt bestäm- melserna om rätten att meddela och offentliggöra uppgifter för och genom publicering.

Uppdraget gällande Europolrådsbeslutets bestämmelse om behandling av överträdelser av tystnadsplikt

I artikel 41 i rådsbeslutet finns bestämmelser om diskretions- och tystnadsplikt. Artikeln ålägger de anställda i Europol, sambands- männen och andra som uttryckligen ålagts detta, tystnadsplikt för hemliga uppgifter som de fått del av i tjänsten eller på annat sätt hos Europol. Av artikel 41.4 följer att medlemsstaterna ska behandla alla överträdelser av den tystnadsplikt som följer av rådsbeslutet som överträdelse av statens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.

Med beaktande av den ovan nämnda rätten att meddela och offentliggöra uppgifter, reglerar offentlighets- och sekretesslagen och 20 kap. 3 § brottsbalken den tystnadsplikt rörande uppgifter för vilka sekretess gäller som är tillämplig för offentligt anställda i Sverige vid deras befattning med uppgifter från Europol, liksom de svenska Europolsambandsmännens befattning med sådana uppgifter. Detta utgör enligt regeringens bedömning (prop. 2008/09:14) ett sådant skydd för uppgifterna att Sverige får anses leva upp till de krav på tystnadsplikt som ställs i rådsbeslutet när det gäller dessa tjänstemän. Däremot gäller inte några svenska regler för Europolanställdas befattning med hemliga uppgifter. I 1997 års lagstiftningsärende om genomförandet av Europol- konventionen gjordes bedömningen att det därför fanns ett område inom vilket sekretess och tystnadsplikt råder enligt Europol- konventionen som inte har direkt motsvarighet i svenska regler om sekretess och tystnadsplikt. Inom det området hade dock Sverige som medlemsstat åtagit sig att lagföra brott mot reglerna. Enligt regeringen borde frågan övervägas i ett annat lämpligt sammanhang (prop. 1996/97:164 s. 53). Som redan nämnts kom regeringen till samma slutsats i 2008 års lagstiftningsärende.

407

Bilaga 1

SOU 2011:20

Utredaren ska därför

•analysera om det finns behov av särskilda regler om Europol- anställdas befattning med hemliga uppgifter för att Sverige ska leva upp till bestämmelserna i Europolrådsbeslutet, och

•vid behov utarbeta nödvändiga författningsförslag.

Uppdragets genomförande

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Utredaren ska hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och inom EU.

Under genomförandet av uppdraget ska utredaren samråda med berörda myndigheter i den utsträckning som utredaren finner lämpligt.

Utredaren är fri att ta upp och lämna förslag i näraliggande frågor som aktualiseras under utredningsarbetet.

Uppdraget ska redovisas senast den 1 februari 2011.

(Justitiedepartementet)

408

Bilaga 2

Kommittédirektiv

Tilläggsdirektiv till Utredningen om	Dir.
genomförande av dataskyddsrambeslutet	2010:112
(Ju 2010:02)

Beslut vid regeringssammanträde den 21 oktober 2010

Utvidgning av och förlängd tid för uppdraget

Med stöd av regeringens bemyndigande den 25 februari 2010 har chefen för Justitiedepartementet gett en särskild utredare i uppdrag att bl.a. göra en analys av hur svensk rätt förhåller sig till bestäm- melserna i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskydds- rambeslutet) och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet (dir. 2010:17).

Regeringen ger nu utredaren i uppdrag att, utöver det som omfattas av de ursprungliga direktiven, se över de regler om sekretess och utbyte av information mellan myndigheter som gäller när myndigheterna samverkar i bekämpningen av grov organiserad brottslighet.

Utredaren ska kartlägga behovet av förbättrade möjligheter för myndigheterna att utbyta uppgifter, utreda hur detta behov, efter en avvägning mot integritetsintressena, ska kunna tillgodoses på ett effektivt och rättssäkert sätt samt lämna fullständiga författnings- förslag tillsammans med en redovisning av vilka effekter förslagen kan få för den personliga integriteten.

Enligt de ursprungliga direktiven ska utredarens uppdrag redovisas senast den 1 februari 2011. Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 1 december 2011.

409

Bilaga 2

SOU 2011:20

En nationell mobilisering mot den grova organiserade brottsligheten

Hösten 2007 tog regeringen initiativ till en nationell mobilisering mot den grova organiserade brottsligheten. Ett antal experter gavs i uppdrag att lämna förslag till åtgärder för en effektivare och mer uthållig bekämpning av sådan brottslighet. Experternas förslag har redovisats i promemorian Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag (Ds 2008:38). En av de viktigaste åtgärderna som lyfts fram i promemorian är betydelsen av en ökad och väl fungerande samverkan mellan myndigheter.

Regeringen gav, med utgångspunkt i experternas förslag, Rikspolisstyrelsen i uppdrag att säkerställa en effektiv och uthållig verksamhet för bekämpning av den grova organiserade brottslig- heten. Arbetet har bedrivits tillsammans med Ekobrotts- myndigheten, Kriminalvården, Kronofogdemyndigheten, Kustbe- vakningen, Skatteverket, Säkerhetspolisen, Tullverket och Åklagar- myndigheten. I uppdraget ingick bl.a. att vidta åtgärder för att:

–inrätta särskilda aktionsgrupper,

–etablera permanenta myndighetsgemensamma regionala underrättelsecenter (RUC), och

–utveckla ett myndighetsgemensamt nationellt underrättelse- center (NUC) vid Rikskriminalpolisen.

Uppdraget omfattade också att myndigheterna i övrigt skulle överväga och vidta åtgärder som bidrar till att genomföra uppdraget och att redovisa de eventuella hinder som finns för samverkan mellan myndigheterna.

En slutredovisning av uppdraget överlämnades till regeringen i juni 2009 (dnr Ju2009/5516/L4). I redovisningen presenteras de åtgärder som hittills vidtagits av de samverkande myndigheterna. Redovisningen innehåller även en redogörelse för behovet av författningsändringar som myndigheterna anser bör genomföras för att underlätta uppgiftsutbytet. Av redovisningen framgår att de samverkande myndigheterna anser att det saknas rättsligt stöd för ett mer långsiktigt och rutinmässigt utbyte av uppgifter och att detta medför svårigheter för myndigheterna att utbyta information om grov organiserad brottslighet. Det handlar främst om utbyte av uppgifter om enskildas personliga och ekonomiska förhållanden. Rikspolisstyrelsen anser därför att ändringar bör genomföras dels i

410

SOU 2011:20

Bilaga 2

offentlighets- och sekretesslagen (2009:400), i det följande OSL, dels i myndigheternas registerförfattningar.

Uppdraget att se över reglerna om sekretess och utbyte av information

Hur ser behovet av förbättrade möjligheter att utbyta uppgifter ut?

Det myndighetsöverskridande samarbetet för att förebygga och bekämpa brott utvecklas fortlöpande och den nationella satsningen mot grov organiserad brottslighet är ett led i denna utveckling. Informationsutbyte är en grundläggande beståndsdel i samarbetet, som även involverar myndigheter som inte är brottsbekämpande, t.ex. Kronofogdemyndigheten och Försäkringskassan. Sekretess gäller i en stor del av de brottsbekämpande myndigheternas verksamhet. Eftersom sekretess inte bara gäller i förhållande till enskilda utan även mellan myndigheter måste det finnas sekretessbrytande bestämmelser för att uppgifter ska kunna utbytas. Dessutom får det inte finnas något som hindrar behandlingen av uppgifter i myndigheternas registerförfattningar.

Bestämmelser som reglerar möjligheten för myndigheter att utbyta uppgifter med varandra finns framför allt i OSL och i respektive myndighets registerförfattningar.

Det uppgiftsutbyte som för närvarande sker mellan berörda myndigheter grundas i stor utsträckning på bestämmelserna i den s.k. generalklausulen i 10 kap. 27 § OSL. I denna bestämmelse stadgas att sekretess inte hindrar att uppgifter lämnas från en myndighet till en annan, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Det har påpekats att det finns tillämpningssvårigheter och administrativa svårigheter att i varje enskilt fall bedöma om det finns förutsättningar att med stöd av generalklausulen lämna ut uppgifter. Generalklausulen bygger vidare på att rutinmässigt uppgiftsutbyte i regel ska vara författningsreglerat. Det har även gjorts gällande att utformningen av myndigheternas registerförfattningar i vissa fall kan utgöra hinder för ett effektivt uppgiftsutbyte.

När det gäller behandling och utbyte av uppgifter mellan de brottsbekämpande myndigheterna pågår ett reformarbete. I den nya polisdatalagen (2010:361), som träder i kraft den 1 mars 2012,

411

Bilaga 2

SOU 2011:20

finns ändamålsbestämmelser och sekretessbrytande bestämmelser som ger polisen möjligheter att trots viss sekretess lämna ut uppgifter till övriga brottsbekämpande myndigheter. En liknande reglering finns redan i dag för Tullverket i dess brottsbekämpande verksamhet. Inom Regeringskansliet pågår beredning av förslag med liknande reglering när det gäller uppgifter som behandlas inom åklagarväsendet och i Kustbevakningens brottsbekämpande verksamhet. Om dessa förslag genomförs, kommer de brotts- bekämpande myndigheterna i högre grad än vad som är möjligt med nuvarande regelverk att kunna utbyta information med varandra. Även om så sker kan det emellertid inte uteslutas att det därutöver finns behov av förändringar. Dessutom finns det skäl att se över behovet av att kunna utbyta uppgifter mellan brotts- bekämpande myndigheter och myndigheter utan brottsbekämp- ande verksamhet, när dessa samverkar mot grov organiserad brottslighet. Utredaren ska därför

•med utgångspunkt i det uppgiftsutbyte som sker i dag mellan myndigheter som samverkar mot grov organiserad brottslighet, och med beaktande av aktuella reformer, kartlägga behovet av förbättrade möjligheter för myndigheterna att utbyta uppgifter.

Hur ska behovet kunna tillgodoses på ett effektivt sätt samtidigt som den enskildes personliga integritet värnas?

Mot de effektivitetsvinster som förbättrade möjligheter till uppgiftsutbyte innebär ska ställas att en ökad spridning av uppgifter mellan myndigheter kan medföra risk för intrång i den personliga integriteten.

När det gäller uppgiftsutbyte mellan brottsbekämpande myndigheter kan det konstateras att dessa har likartade regler för sådan verksamhet och dessutom den kunskap och erfarenhet som krävs för att kunna hantera bl.a. underrättelseinformation och uppgifter om brottsmisstankar. Dessutom har uppgifter som rör brott och brottsbekämpning samma sekretesskydd hos alla brottsbekämpande myndigheter. Myndigheter som inte är brotts- bekämpande har dock inte samma förutsättningar att hantera sådan information. Dessutom kan det finnas andra krav på insyn i deras verksamhet. Därtill kommer att myndigheter som inte är brotts- bekämpande har helt andra sekretessbestämmelser att rätta sig efter. Ytterligare en aspekt att ta hänsyn till är om ökade

412

SOU 2011:20

Bilaga 2

möjligheter till spridning av uppgifter kan innebära effektivitets- förluster för en enskild myndighet på grund av att enskilda blir mindre benägna att lämna uppgifter till myndigheten och att förtroendet för myndigheten minskar. Det ska också understrykas att det finns risker med att en inte brottsbekämpande myndighet blir skyldig att lämna uppgifter till en brottsbekämpande myndighet. På grund av den s.k. passivitetsrätten som enligt Europakonventionen gäller för enskilda riskerar den inte brotts- bekämpande myndigheten att i sin egen verksamhet inte kunna begära in information från enskilda och förena denna begäran med vite (jfr prop. 2001/02:191 s. 52 f. och 2004/05:164 s. 101 f.).

Frågan om förbättrade möjligheter att utbyta uppgifter mellan myndigheter väcker alltså ett antal principiellt viktiga frågor som kräver en grundlig analys och noggranna avvägningar mellan olika intressen.

Den nationella satsning mot den grova organiserade brottslig- heten som regeringen initierat och det behov som påtalats från myndigheterna utgör skäl att nu utreda dessa frågor och ta fram förslag på bestämmelser för att förbättra möjligheterna till uppgiftsutbyte. Analysen och förslagen ska grundas på resultatet av den kartläggning som ska göras och ska begränsas till att omfatta sådant uppgiftsutbyte som sker inom ramen för myndigheters samverkan mot grov organiserad brottslighet.

Utredaren ska därför

•utreda hur behovet av förbättrade möjligheter att utbyta uppgifter mellan myndigheter som samverkar mot grov organiserad brottslighet, efter en avvägning mot integritets- intressena, ska kunna tillgodoses på ett effektivt och rättssäkert sätt, och

•lämna fullständiga författningsförslag tillsammans med en redovisning av vilka effekter förslagen kan få för den personliga integriteten.

Uppdragets genomförande

Utredaren ska bedöma de ekonomiska konsekvenserna för det allmänna och konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

413

L 350/60	SV	Europeiska unionens officiella tidning	30.12.2008

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I

FÖRDRAGET OM EUROPEISKA UNIONEN

RÅDETS RAMBESLUT 2008/977/RIF

av den 27 november 2008

om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionen, särskilt artiklarna 30, 31 och artikel 34.2 b,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1), och

av följande skäl:

(1)Europeiska unionen har som mål att bevara och utveckla unionen som ett område med frihet, säkerhet och rättvisa inom vilket en hög säkerhetsnivå ska uppnås genom gemensamma insatser från medlemsstaternas sida när det gäller polissamarbete och straffrättsligt samarbete.

(2)Gemensamma insatser på polissamarbetets område i en lighet med artikel 30.1 b i fördraget om Europeiska uni onen och gemensamma insatser rörande straffrättsligt samarbete i enlighet med artikel 31.1 a i samma fördrag innebär att det blir nödvändigt att behandla relevant in formation, vilket bör omfattas av lämpliga bestämmelser om skydd av personuppgifter.

(3)Lagstiftning som omfattas av avdelning VI i fördraget om Europeiska unionen syftar till att främja polissamarbete och rättsligt samarbete med avseende på såväl samarbe tets effektivitet som dess lagenlighet och överensstäm melse med grundläggande rättigheter, särskilt rätten till ett privatliv och rätten till skydd av personuppgifter. Ge

(1) EUT C 125 E, 22.5.2008, s. 154.

mensamma normer för behandling och skydd av person uppgifter i syfte att förebygga och bekämpa brott kan bidra till att uppnå dessa båda mål.

(4)I Haagprogrammet för ett stärkt område med frihet, sä kerhet och rättvisa i Europeiska unionen, som antogs av Europeiska rådet den 4 november 2004, understryks be hovet av en innovativ strategi i fråga om gränsöverskri dande utbyte av information om brottsbekämpning, un der noggrant iakttagande av centrala villkor på området skydd av personuppgifter. Kommissionen uppmanades att senast i slutet av 2005 lägga fram förslag om detta. Detta återspeglas i rådets och kommissionens handlings plan för genomförande av Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa (2).

(5)Utbytet av personuppgifter inom ramen för polissamar betet och det straffrättsliga samarbetet, särskilt enligt den princip om tillgänglighet som tas upp i Haagprogrammet, bör bygga på klara regler som stärker det ömsesidiga förtroendet mellan behöriga myndigheter och garanterar att den relevanta informationen skyddas på ett sätt som utesluter all diskriminering med avseende på sådant sam arbete mellan medlemsstaterna samtidigt som enskildas grundläggande rättigheter respekteras fullt ut. Befintliga instrument på europeisk nivå är inte tillräckliga; Europa parlamentets och rådets direktiv 95/46/EG av den 24 ok tober 1995 om skydd för enskilda personer med avse ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (3) är inte tillämpligt i fråga om behandling av personuppgifter i samband med verksam heter som faller utanför gemenskapsrättens tillämpnings område, till exempel sådana som anges i avdelning VI i fördraget om Europeiska unionen, och under inga om ständigheter på uppgiftsbehandling som rör allmän säker het, försvar, nationell säkerhet eller statlig verksamhet på det straffrättsliga området.

(2) EUT C 198, 12.8.2005, s. 1. (3) EGT L 281, 23.11.1995, s. 31.

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/61

(6)Detta rambeslut är endast tillämpligt på uppgifter som de behöriga myndigheterna samlar in eller behandlar för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I detta rambeslut bör det överlåtas till medlemsstaterna att på nationell nivå mer exakt besluta vilka andra ändamål som ska anses oförenliga med det ändamål för vilket personuppgifterna ursprungligen insamlades. I allmänhet bör vidarebehand ling för historiska, statistiska eller vetenskapliga ändamål inte anses vara oförenlig med det ursprungliga ändamålet för behandlingen.

(7)Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna. Inga slut satser bör dras av denna begränsning beträffande unio nens behörighet att anta rättsakter om insamling och

behandling av personuppgifter på nationell nivå eller det lämpliga i att unionen gör detta i framtiden.

(8)I syfte att underlätta informationsutbytet inom unionen vill medlemsstaterna säkerställa att den standard i fråga om dataskydd som fastställs inom nationell databehand ling ska motsvara den som föreskrivs i rambeslutet. När det gäller nationell databehandling hindrar detta rambe slut inte medlemsstaterna från att föreskriva garantier för skydd av personuppgifter högre än dem som fastställs i detta rambeslut.

(9)Detta rambeslut bör inte tillämpas på personuppgifter som en medlemsstat erhållit inom tillämpningsområdet för detta rambeslut och som härrör från denna medlems stat.

(10)Tillnärmningen av medlemsstaternas lagstiftningar bör inte leda till några försämringar i det dataskydd de ger utan i stället syfta till att garantera en hög skyddsnivå inom unionen.

(11)Det är nödvändigt att precisera målen med skyddet av personuppgifter inom ramen för polisens och rättsväsen dets verksamheter och att införa bestämmelser om vilken behandling av personuppgifter som är tillåten i syfte att säkerställa att uppgifter som kan komma att utbytas har behandlats på lagligt sätt och i enlighet med grundläg gande principer i fråga om uppgifters kvalitet. Samtidigt är det viktigt att inte polisens, tullens, domstolarnas eller andra behöriga myndigheters legitima verksamheter även tyras.

(12)Principen om uppgifters korrekthet ska tillämpas med beaktande av den aktuella behandlingens art och syfte. Så grundar sig exempelvis uppgifterna inom framför allt rättsliga förfaranden på enskilda personers subjektiva uppfattning och kan i vissa fall omöjligen kontrolleras.

Följaktligen kan inte korrekthetskravet röra korrektheten i ett uttalande utan blott och bart det faktum att ett visst uttalande har gjorts.

(13)Arkivering i ett separat dataset bör tillåtas endast om uppgifterna inte längre krävs eller används för förebyg gande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Arkivering i ett separat dataset bör även tillåtas om de arkiverade upp gifterna lagras i en databas tillsammans med andra upp gifter på ett sådant sätt att de inte längre kan användas för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Lämp lig längd av arkiveringsperioden bör vara avhängig av syftet med arkiveringen och de registrerade personernas legitima intressen. I fråga om arkivering för historiska ändamål kan man fastställa en mycket lång period.

(14)Uppgifter får också raderas genom att datamediet för störs.

(15)När det gäller icke korrekta, ofullständiga eller inte längre aktuella uppgifter som överförts eller gjorts tillgängliga för en annan medlemsstat och vidarebehandlas av dom stolsliknande myndigheter, med vilket avses myndigheter med behörighet att fatta rättsligen bindande beslut, bör rättelse, strykning eller blockerande utföras enligt natio nell lagstiftning.

(16)För att kunna garantera en hög skyddsnivå för person uppgifter om enskilda personer krävs det gemensamma bestämmelser för att fastställa om de uppgifter som be handlas av behöriga myndigheter i medlemsstaterna upp fyller laglighets- och kvalitetskraven.

(17)Därför bör man på europeisk nivå fastställa de villkor som ska vara uppfyllda för att medlemsstaternas behöriga myndigheter ska ha rätt att till myndigheter och privata parter i medlemsstater överföra och göra tillgängliga per sonuppgifter som erhållits från andra medlemsstater. I många fall är överföring av personuppgifter från dom stolsväsendet, polisen eller tullen till privata parter nöd vändig för att lagföra brott eller för att avvärja en ome delbar och allvarlig fara för allmän säkerhet eller för hindra att enskilda personers rättigheter lider allvarlig skada, till exempel genom att utfärda varningar avseende förfalskningar av värdepapper till banker och kreditinsti tut eller, i fråga om fordonsstölder, genom att överföra personuppgifter till försäkringsbolag för att förhindra olaglig handel med stulna motorfordon eller för att för bättra villkoren för återförande av stulna motorfordon från utlandet. Detta innebär inte överföring av arbetsupp gifter från polis och domstolar till privata parter.

L 350/62	SV	Europeiska unionens officiella tidning	30.12.2008

(18)Reglerna i detta rambeslut avseende överföring av per sonuppgifter från domstolsväsendet, polisen eller tullen till privata parter tillämpas inte på utlämnandet av upp gifter till privata parter (såsom försvarsadvokater och brottsoffer) i samband med brottmål.

(19)Den vidare behandlingen av personuppgifter som erhål lits från eller gjorts tillgängliga av den behöriga myndig heten i en annan medlemsstat, särskilt det att vidarebe fordra sådana uppgifter eller göra dem tillgängliga på nytt, bör omfattas av gemensamma bestämmelser på eu ropeisk nivå.

(20)När personuppgifter får vidarebehandlas efter det att den medlemsstat från vilken uppgifterna erhållits har givit sitt samtycke bör varje medlemsstat ha möjlighet att fastställa de närmare villkoren för att ge sådant samtycke, inbegri pet exempelvis allmänt samtycke för kategorier av infor mation och kategorier av ytterligare behandling.

(21)När personuppgifter får vidarebehandlas för administra tiva förfaranden inbegriper dessa förfaranden också åtgär der av reglerings- och tillsynsorgan.

(22)Polisens, tullens, domstolarnas eller andra behöriga myn digheters legitima verksamheter kan kräva att uppgifter sänds till myndigheter i tredjestater eller internationella organ som har skyldigheter i fråga om att förebygga, utreda, avslöja eller lagföra brott eller verkställa straff rättsliga påföljder.

(23)Om uppgifter överförs från en medlemsstat till tredjesta ter eller internationella organ ska uppgifterna i princip omfattas av ett adekvat skydd.

(24)Om personuppgifter överförs från en medlemsstat till tredjestater eller internationella organ bör en sådan över föring i princip ske först efter det att den medlemsstat som har lämnat uppgifterna har gett sitt samtycke till överföringen. Varje medlemsstat bör få bestämma de när mare villkoren för att ge sådant samtycke, till exempel genom ett generellt samtycke för kategorier av uppgifter eller för vissa angivna tredjestater.

(25)För ett effektivt samarbete i fråga om brottsbekämpning krävs att om ett hot mot en medlemsstats eller en tred jestats allmänna säkerhet är så överhängande att det är omöjligt att i tid inhämta ett förhandsmedgivande bör den behöriga myndigheten få överföra de relevanta per sonuppgifterna till den berörda tredjestaten utan sådant förhandsmedgivande. Detsamma kan gälla om andra vä sentliga, lika betydelsefulla, intressen i en medlemsstat står på spel, exempelvis om en medlemsstats kritiska infrastruktur kan bli föremål för ett överhängande hot

eller om en medlemsstats finansiella system kan drabbas av allvarliga störningar.

(26)För att tillförsäkra den registrerade personen ett effektivt rättsskydd kan det bli nödvändigt att informera denne

om behandlingen av dennes personuppgifter, särskilt vid synnerligen allvarlig kränkning av dennes rättigheter som ett resultat av hemlig insamling av uppgifter.

(27)Medlemsstaterna bör se till att den registrerade personen informeras om att personuppgifter kan eller håller på att samlas in, behandlas eller kan överföras till en annan medlemsstat för att förebygga, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. De närmare villkoren för den registrerade personens rätt att bli infor merad och undantag från denna rätt bör fastställas i den nationella lagstiftningen. Detta kan genomföras på ett generellt sätt, t.ex. genom lagstiftning eller offentliggö rande av en förteckning över olika typer av uppgiftsbe handling.

(28)För att kunna garantera skyddet av personuppgifter utan att äventyra ändamålet med brottsutredningar måste man fastställa den registrerades rättigheter.

(29)Några medlemsstater har gett den berörda personen rätt till tillgång till uppgifter i brottmål genom ett system där det nationella tillsynsorganet, i den berörda personens ställe, utan någon restriktion har tillgång till alla person uppgifter som rör den berörda personen och även får rätta, stryka eller uppdatera icke korrekta uppgifter. I sådana fall med indirekt tillgång får det i den nationella lagstiftningen i dessa medlemsstater föreskrivas att det nationella tillsynsorganet endast kommer att informera den berörda personen om att alla nödvändiga kontroller har utförts. Dessa medlemsstater tillhandahåller emellertid i särskilda fall även möjligheter till direkt tillgång för den berörda personen, såsom tillgång till rättsliga register för att erhålla kopior av egna kriminalregisteruppgifter eller handlingar avseende egna förhör hos polismyndigheterna.

(30)Det bör införas gemensamma bestämmelser om konfi dentiell och säker uppgiftsbehandling, om ansvar och påföljder när uppgifterna används på otillåtet sätt av de behöriga myndigheterna samt om möjligheter för den registrerade till rättslig prövning. Det ankommer dock på varje medlemsstat att själv fastställa utformningen av bestämmelserna om skadeståndsgrundande överträdelser och om vilka påföljder som ska tillämpas vid överträdelse av de nationella dataskyddsbestämmelserna.

(31)Detta rambeslut gör att principen om allmänhetens till gång till offentliga handlingar kan tillgodoses vid tillämp ningen av principerna i detta.

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/63

(32)När så behövs för att skydda personuppgifter med avse ende på behandling som genom sin omfattning eller typ innebär särskilda risker för grundläggande rättigheter och friheter, till exempel behandling med ny teknik, nya me kanismer eller förfaranden, bör man säkerställa att den behöriga nationella tillsynsmyndigheten rådfrågas före upprättandet av behandlingssystem för dessa uppgifter.

(33)Inrättandet i medlemsstaterna av tillsynsmyndigheter,

som fullständigt oberoende genomför sina åligganden, är en mycket viktig del av skyddet av personuppgifter som behandlas inom ramen för polissamarbetet och det straffrättsliga samarbetet mellan medlemsstaterna.

(34)De tillsynsmyndigheter som redan inrättats i medlemssta terna i enlighet med direktiv 95/46/EG bör också kunna axla ansvaret för de uppgifter som ska utföras av de nationella tillsynsmyndigheter som ska inrättas i enlighet med detta rambeslut.

(35)Dessa tillsynsmyndigheter bör ha nödvändiga resurser för att kunna genomföra sina uppgifter, inklusive befogenhet att – särskilt när det gäller klagomål från enskilda per soner – undersöka och ingripa eller befogenhet att inleda rättsliga förfaranden. Dessa tillsynsmyndigheter bör även bidra till att sörja för insyn i behandlingen av uppgifter i sina respektive medlemsstater. Emellertid bör deras befo genheter inte inkräkta på särskilda regler som fastställts för brottmål eller domstolsväsendets oberoende.

(36)I artikel 47 i fördraget om Europeiska unionen föreskrivs det att ingenting i det fördraget ska inverka på fördragen om upprättandet av Europeiska gemenskaperna eller på senare fördrag och rättsakter om ändring eller komplet tering av dessa. Följaktligen påverkar detta rambeslut inte skyddet av personuppgifter enligt gemenskapsrätten, sär skilt inte det skydd som föreskrivs i direktiv 95/46/EG, Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för en skilda då gemenskapsinstitutionerna och gemenskapsor ganen behandlar personuppgifter och om den fria rörlig heten för sådana uppgifter (1) och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (2).

(37)Detta rambeslut påverkar inte bestämmelserna om sådan olaglig tillgång till uppgifter som avses i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem (3).

(1) EGT L 8, 12.1.2001, s. 1.

(2) EGT L 201, 31.7.2002, s. 37. (3) EUT L 69, 16.3.2005, s. 67.

(38)Detta rambeslut påverkar inte medlemsstaternas eller uni onens gällande skyldigheter och åtaganden enligt bilate rala och/eller multilaterala avtal med tredjestater. Fram tida avtal bör följa bestämmelserna om utbyte med tred jestater.

(39)Flera rättsakter som antagits på grundval av avdelning VI i fördraget om Europeiska unionen innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med de rättsakterna. I några fall utgör dessa bestämmelser en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd (principer om upp gifternas kvalitet, regler om datasäkerhet, reglering av de registrerades rättigheter och skydd, organisation av tillsyn och ansvar) och i dessa regleras frågor mer detaljerat än i detta rambeslut. De tillämpliga dataskyddsbestämmel serna i dessa rättsakter, särskilt de som reglerar funk tionssättet för Europol, Eurojust, Schengens informations system (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör inte påverkas av detta rambeslut. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk över föring av DNA-profiler, fingeravtrycksuppgifter och upp gifter ur nationella fordonsregister i enlighet med rådets beslut 2008/615/RIF av den 23 juni 2008 om ett för djupat gränsöverskridande samarbete, särskilt för be kämpning av terrorism och gränsöverskridande brottslig het (4).

(40)I andra fall är räckvidden för dataskyddsbestämmelser i rättsakter som antagits i enlighet med avdelning VI i fördraget om Europeiska unionen mer begränsade. Ofta fastställs det i dessa rättsakter särskilda villkor för den medlemsstat som från en annan medlemsstat tar emot information innehållande personuppgifter i fråga om de ändamål för vilka mottagaren kan använda uppgifterna, medan det i fråga om övriga dataskyddsaspekter hänvisas till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter av den 28 januari 1981 eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för mottagande medlemsstater för användning el ler vidare överföring av personuppgifter vilka är strängare än villkoren i motsvarande bestämmelser i detta rambe slut, ska dessa förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i detta ram beslut gälla.

(41)Detta rambeslut påverkar inte Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter eller tilläggsprotokollet av den 8 novem ber 2001 till denna konvention eller Europarådets kon ventioner om straffrättsligt samarbete.

(4) EUT L 210, 6.8.2008, s. 1.

L 350/64	SV	Europeiska unionens officiella tidning	30.12.2008

(42)Eftersom målet för detta rambeslut, nämligen att fastställa gemensamma bestämmelser om skydd av personupp gifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och det därför, på grund av åtgärdens omfattning och verkningar, bättre kan upp nås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om upprättandet av Europeiska gemenskapen, till vilken det hänvisas i artikel 2 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i artikel 5 i för draget om upprättandet av Europeiska gemenskapen går detta rambeslut inte utöver vad som är nödvändigt för att uppnå detta mål.

(43)Förenade kungariket deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengen regelverket inom Europeiska unionens ramar, fogat till fördraget om Europeiska unionen och fördraget om upp rättandet av Europeiska gemenskapen, och i enlighet med artikel 8.2 i rådets beslut 2000/365/EG av den 29 maj 2000 om en begäran från Förenade konungariket Stor britannien och Nordirland om att få delta i vissa bestäm melser i Schengenregelverket (1).

(44)Irland deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengenregelverket inom Europeiska unionens ramar, fogat till fördraget om Euro peiska unionen och fördraget om upprättandet av Euro peiska gemenskapen, och i enlighet med artikel 6.2 i rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket (2).

(45)När det gäller Island och Norge utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (3), en utveckling av bestämmelser i Schengenregelverket vilka rör det område som avses i artikel 1.H och 1.I i rådets beslut

1999/437/EG (4) om vissa tillämpningsföreskrifter för det avtalet.

(46)När det gäller Schweiz utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionen, Europeiska ge menskapen och Schweiziska edsförbundet om Schwei ziska edsförbundets associering till genomförandet, till ämpningen och utvecklingen av Schengenregelverket (5),

(1) EGT L 131, 1.6.2000, s. 43. (2) EGT L 64, 7.3.2002, s. 20. (3) EGT L 176, 10.7.1999, s. 36. (4) EGT L 176, 10.7.1999, s. 31. (5) EUT L 53, 27.2.2008, s. 52.

en utveckling av de bestämmelser i Schengenregelverket vilka rör det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets be slut 2008/149/RIF (6), om ingående av det avtalet på Europeiska unionens vägnar.

(47)När det gäller Liechtenstein utgör detta rambeslut, i en lighet med protokollet mellan Europeiska unionen, Euro peiska gemenskapen, Schweiziska edsförbundet och Fur stendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Euro peiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomföran det, tillämpningen och utvecklingen av Schengenregelver ket, en utveckling av bestämmelser i Schengenregelverket vilka omfattas av det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/262/RIF (7), om undertecknande av det pro tokollet på Europeiska unionens vägnar.

(48)Detta rambeslut står i överensstämmelse med de grund läggande rättigheter och principer som erkänns framför allt i Europeiska unionens stadga om de grundläggande rättigheterna (8). Detta rambeslut syftar till att garantera full respekt för rätten till det skydd för privatlivet och det skydd av personuppgifter som kommer till uttryck i ar tiklarna 7 och 8 i stadgan.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1.Syftet med detta rambeslut är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättig heter, särskilt när det gäller deras rätt till privatliv, med avseende på behandling av personuppgifter inom ramen för polissamar bete och straffrättsligt samarbete enligt avdelning VI i fördraget om Europeiska unionen och samtidigt garantera en allmän sä kerhet på hög nivå.

2.I enlighet med detta rambeslut ska medlemsstaterna

skydda fysiska personers grundläggande fri- och rättigheter, och särskilt deras rätt till privatliv, när personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

a)överförs, har överförts, görs eller har gjorts tillgängliga mel lan medlemsstaterna,

(6) EUT L 53, 27.2.2008, s. 50. (7) EUT L 83, 26.3.2008, s. 5. (8) EUT C 303, 14.12.2007, s. 1.

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/65

b)överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c)överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättandet av Europeiska gemenskapen.

3.Detta rambeslut gäller för sådan behandling av personupp gifter som helt eller delvis utförs automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

4.Detta rambeslut påverkar inte viktiga nationella säkerhets intressen och särskild underrättelseverksamhet inom området nationell säkerhet.

5.Detta rambeslut hindrar inte medlemsstaterna från att fö reskriva strängare säkerhetsåtgärder för skydd av personupp gifter som samlas in eller behandlas på nationell nivå än de som fastställs i detta rambeslut.

Artikel 2

Definitioner

I detta rambeslut gäller följande definitioner:

a)personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identi fierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifierings nummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

b)behandling av personuppgifter och behandling: varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom överför ing, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, radering eller förstöring.

c)blockering: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

d)register med personuppgifter och register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentralise rad eller spridd på grundval av funktionella eller geografiska förhållanden.

e)registerförare: varje organ som behandlar personuppgifter för den registeransvariges räkning.

f)mottagare: varje organ till vilken uppgifterna utlämnas.

g)den registrerades samtycke: varje slag av frivillig, uttrycklig och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.

h)behöriga myndigheter: byråer eller organ som inrättats genom rättsakter antagna av rådet enligt avdelning VI i fördraget om Europeiska unionen, samt polismyndigheter, tullmyndig heter, domstolar eller andra behöriga myndigheter i med lemsstaterna som genom nationell lagstiftning är bemyndi gade att behandla personuppgifter inom tillämpningsområ det för detta rambeslut.

i)registeransvarig: en fysisk eller en juridisk person, en myndig het, en byrå eller varje annat organ som ensamt eller till sammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

j)markering: markering av lagrade personuppgifter utan syfte att begränsa behandlingen av dessa i framtiden.

k)avidentifiering: att ändra personuppgifter på ett sådant sätt att detaljerna beträffande personliga eller sakliga förhållanden inte längre eller endast med oproportionerligt stor insats i fråga om tid, kostnader och arbete kan tillskrivas en identi fierad eller identifierbar fysisk person.

Artikel 3

Principerna om lagenlighet, proportionalitet och ändamål

1. De behöriga myndigheterna får inom ramen för sina upp gifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.

2. Vidare behandling för ett annat ändamål är tillåten om

a)denna vidare behandling inte är oförenlig med de ändamål för vilket uppgifterna samlades in,

b)de behöriga myndigheterna i enlighet med tillämpliga rätts liga bestämmelser är bemyndigade att behandla sådana upp gifter för ett sådant annat ändamål, och

c)denna behandling är nödvändig och står i proportion till det andra ändamålet.

L 350/66	SV	Europeiska unionens officiella tidning	30.12.2008

Artikel 4

Rättelse, radering och blockering

1.Personuppgifter ska rättas om de är felaktiga samt, om så är möjligt och nödvändigt, kompletteras eller aktualiseras.

2.Personuppgifter ska raderas eller avidentifieras när dessa inte längre behövs för de ändamål för vilka de lagligen insam lades eller lagligen vidare bearbetas. Arkivering av de uppgifter som införts i ett separat dataset under en lämplig period i över ensstämmelse med national lagstiftning ska inte påverkas av denna bestämmelse.

4.Om personuppgifterna ingår i ett domstolsbeslut eller ak ten i samband med utfärdandet av ett rättsligt beslut ska rät telse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Artikel 5

Fastställande av tidsfrister för radering och kontroll

För radering av personuppgifter eller en regelbunden kontroll av nödvändigheten av lagringen av uppgifterna ska lämpliga tids frister fastställas. Genom föreskrifter om förfarandena ska det garanteras att tidsfristerna efterlevs.

Artikel 6

Behandling av särskilda kategorier av uppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när detta är absolut nöd vändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

Artikel 7

Datoriserade beslut

Ett beslut som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter avsedd att bedöma vissa personliga egenskaper hos den registrerade ska endast vara tillåtet om detta föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen.

Artikel 8

Kontroll av kvaliteten på de uppgifter som överförs eller görs tillgängliga

1. De behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga

eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt detta är möjligt, sådan tillgänglig information läggas till som gör att den motta gande medlemsstaten kan bedöma graden av korrekthet, full ständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.

2. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Uppgifterna måste ofördröjligen rättas, raderas eller blockeras i enlighet med artikel 4.

Artikel 9

Tidsfrister

1.När den överförande myndigheten överför uppgifter eller gör dessa tillgängliga, får den enligt nationell lagstiftning och i enlighet med artiklarna 4 och 5 meddela de tidsfrister för lag ring av uppgifterna efter vilka mottagaren ska radera eller block era uppgifterna eller kontrollera om dessa fortfarande behövs. Denna skyldighet ska inte tillämpas, om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lag föring av brott eller verkställighet av straffrättsliga påföljder.

2.Om den överförande myndigheten inte har angivit en tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna 4 och 5 för lagring av uppgifterna enligt de mottagande med lemsstaternas nationella lagstiftning tillämpas.

Artikel 10

Registrering och dokumentation

1.Varje överföring av personuppgifter ska registreras eller dokumenteras för att man ska kunna kontrollera om behand lingen av uppgifterna är lagenlig, utföra egenkontroll samt ga rantera integritet och säkerhet för uppgifterna.

2.Registrering och dokumentation enligt punkt 1 ska på begäran översändas till den för skydd av uppgifter behöriga tillsynsmyndigheten. Den behöriga tillsynsmyndigheten får an vända dessa uppgifter endast för att kontrollera skyddet av personuppgifter, för att se till att behandlingen fungerar tillfreds ställande och för att sörja för uppgifternas integritet och säker uppgiftsbehandling.

Artikel 11

Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat

Personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får, i enlig het med kraven i artikel 3.2, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes till gängliga:

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/67

a)För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga.

b)För andra rättsliga eller administrativa förfaranden med di rekt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påfölj der.

c)För att avvärja en omedelbar och allvarlig fara för den all männa säkerheten.

d)För varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstift ning.

Dessutom får de överförda personuppgifterna behandlas vidare av de behöriga myndigheterna för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder som exempelvis avidenti fiering av uppgifterna.

Artikel 12

Iakttagande av nationella restriktioner för behandling av uppgifter

1.Om det, enligt den överförande medlemsstatens nationella lagstiftning, under särskilda omständigheter gäller särskilda be gränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.

2.Vid tillämpning av punkt 1 ska medlemsstaterna inte till ämpa några andra begränsningar när det gäller överföringen av uppgifter till andra medlemsstater eller till byråer eller organ som inrättats i enlighet med avdelning VI i fördraget om Euro peiska unionen än de som gäller motsvarande nationella över föringar av uppgifter.

Artikel 13

Överföring till behöriga myndigheter i tredjestater eller till internationella organ

1.Medlemsstaterna ska föreskriva att personuppgifter som

överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får överföras till tredjestater eller inter nationella organ endast om

a)detta är nödvändigt för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

b)den mottagande myndigheten i tredjestaten eller det motta gande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verk ställigheten av straffrättsliga påföljder,

c)den medlemsstat från vilken uppgifterna erhölls har gett sitt samtycke till överföringen i enlighet med sin nationella lag stiftning, och om

d)berörd tredjestat eller internationellt organ sörjer för en ade kvat skyddsnivå för den avsedda databehandlingen.

2.Överföring utan förhandsmedgivande enligt punkt 1 c ska tillåtas endast om överföringen av uppgifter är absolut nödvän dig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för en medlemsstat väsentliga intressen och ett förhandsmedgivande inte kan erhållas i tid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.

3.Med avvikelse från punkt 1 d får personuppgifter över föras om

a)den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

i)den registrerades legitima specifika intressen, eller

ii)legitima faktiska intressen, främst viktiga allmänna intres sen, eller

b)tredjestaten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

4. Bedömningen av om den skyddsnivå som avses i punkt 1 d är adekvat ska ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn ska tas till uppgifternas art, den föreslagna be handlingens eller behandlingarnas ändamål och varaktighet, ur sprungsstaten och den stat eller internationella organ som utgör slutdestination för uppgifterna, den lagstiftning, både allmän och sektoriell, som gäller i den berörda tredjestaten eller för det berörda internationella organet samt de yrkesregler och säkerhetsbestämmelser som ska tillämpas.

Artikel 14

Överföring till privata parter i medlemsstaterna

1. Medlemsstaterna ska föreskriva att personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndig heten i en annan medlemsstat endast får överföras till privata parter om

L 350/68	SV	Europeiska unionens officiella tidning	30.12.2008

a)den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,

b)inga legitima specifika intressen för den registrerade perso nen hindrar överföringen, och om

c)överföringen i särskilda fall är absolut nödvändig för att den behöriga myndighet som överför uppgifterna till en privat part ska kunna

i)utföra en uppgift den lagenligen tilldelats,

ii)förebygga, utreda, avslöja eller lagföra brott eller verk ställa straffrättsliga påföljder,

iii)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iv)förhindra att enskilda personers rättigheter lider allvarlig skada.

2. Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål upp gifterna uteslutande får användas.

Artikel 15

Information på begäran av den behöriga myndigheten

Mottagaren ska på begäran informera den behöriga myndighet som har överfört uppgifter eller gjort dem tillgängliga om hur dessa behandlas.

Artikel 16

Information till den registrerade

1.Medlemsstaterna ska se till att den registrerade informeras om insamling eller behandling av personuppgifter av deras be höriga myndigheter i enlighet med nationell lagstiftning.

2.Om personuppgifter har överförts eller gjorts tillgängliga mellan medlemsstaterna, får varje medlemsstat i enlighet med bestämmelserna i sin nationella lagstiftning enligt punkt 1, be gära att den andra medlemsstaten inte informerar den registre rade. I sådana fall ska den senare medlemsstaten inte informera den registrerade utan förhandsmedgivande från den andra med lemsstaten.

Artikel 17

Rätt till tillgång

1. Varje registrerad ska ha rätt att på begäran, med rimliga intervall, utan hinder och utan större tidsutdräkt eller kostnader erhålla

a)åtminstone en bekräftelse från den registeransvarige eller från den behöriga nationella tillsynsmyndigheten på huruvida

uppgifter som rör honom eller henne har överförts eller gjorts tillgängliga samt information om till vilka mottagare eller mottagarkategorier uppgifterna har lämnats ut och in formation om vilka uppgifter som behandlas, eller

b)åtminstone en bekräftelse från den behöriga nationella till synsmyndigheten på att alla nödvändiga kontroller har ut förts.

2. Medlemsstaterna får anta lagstiftning som begränsar till gången till information enligt punkt 1 a, om denna begränsning med vederbörligt beaktande av vederbörandes legitima intressen är en nödvändig och rimlig åtgärd för att

a)hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b)inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda allmän säkerhet,

d)skydda nationell säkerhet,

e)skydda den registrerade eller andra personers fri- och rättig heter.

3. Varje vägran till tillgång eller begränsning av denna ska skriftligen meddelas den registrerade. De sakliga och rättsliga skäl som beslutet grundar sig på ska därvid också meddelas. Det sistnämnda meddelandet kan underlåtas om skäl enligt punkt 2 a-e föreligger. I samtliga dessa fall ska den registrerade meddelas att han eller hon kan överklaga till den behöriga nationella tillsynsmyndigheten, en rättslig myndighet eller dom stol.

Artikel 18

Rätt till rättelse, radering eller blockering av uppgifter

1. Den registrerade ska ha rätt att förvänta sig att den regis teransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att rätta, radera eller blockera personuppgifter som registrerats inom ramen för detta rambeslut. Medlemsstaterna ska fastställa huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om den registeransvarige vägrar att rätta, radera eller blockera måste vägran meddelas skriftligen och den registrerade måste informeras om de möjligheter som tillhandahålls inom den nationella lagstiftningen att anföra kla gomål eller begära prövning. När klagomålet eller begäran om prövning behandlats ska den registrerade informeras om huru vida den registeransvarige handlat korrekt eller ej. Medlemssta terna får även föreskriva att den registrerade ska informeras av den behöriga nationella tillsynsmyndigheten om att en översyn har utförts.

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/69

2. Om den registrerade bestrider korrektheten av en perso nuppgift och det inte kan fastställas huruvida denna är korrekt får denna uppgift markeras.

Artikel 19

Rätt till ersättning

1.Var och en som lidit skada till följd av en otillåten be handling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta rambeslut ska ha rätt till ersättning för den skada han lidit av den registeransvarige eller av en annan ansvarig myndig het enligt nationell lagstiftning.

2.Om den behöriga myndigheten i en medlemsstat överför personuppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skadelidande. Om mottagaren utbetalar skade stånd för en skada som vållats av att felaktigt överförda upp gifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren det skadestånd som utbetalats men därvid ta med i beräkningen eventuella felaktigheter som kan ha begåtts av mottagaren.

Artikel 20

Rättsmedel

Artikel 21

Sekretess i samband med behandlingen av uppgifter

1.Var och en som får tillgång till personuppgifter som faller under tillämpningsområdet för detta rambeslut får endast be handla dessa i sin egenskap av anställd vid den behöriga myn digheten eller efter instruktioner från denna, såvida det inte föreligger rättsliga skyldigheter till annan behandling.

2.Var och en som arbetar för en behörig myndighet i en medlemsstat ska vara bunden av samtliga dataskyddsbestämmel ser som gäller för respektive behörig myndighet.

Artikel 22

Säkerhet i samband med behandlingen av uppgifter

1. Medlemsstaterna ska se till att de behöriga myndigheterna vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från att utplånas genom olyckshändelse eller otillåtna handlingar och från att gå förlorade genom olyckshändelse samt från ändringar, otillåten spridning av eller

otillåten tillgång till uppgifter, särskilt om behandlingen innefat tar överföring av uppgifter i ett nätverk och/eller om uppgif terna gjorts tillgängliga genom direkt automatisk åtkomst, samt mot varje annat slag av otillåten behandling, varvid hänsyn särskilt ska tas till de risker som behandlingen innebär och arten av de uppgifter som ska skyddas. Dessa åtgärder ska med be aktande av den befintliga tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande leda till att en lämplig säkerhetsnivå uppnås i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas.

2. När det gäller automatisk databehandling ska varje med lemsstat vidta lämpliga åtgärder för att

a)förhindra att obehöriga kommer åt datorutrustning som an vänds för behandling av personuppgifter (åtkomstskydd för utrustning),

b)förhindra att databärare läses, kopieras, ändras eller avlägsnas av obehöriga (databärarkontroll),

c)förhindra obehörig införing av uppgifter och obehörig granskning, ändring eller radering av lagrade personuppgifter (lagringskontroll),

d)förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

e)se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till upp

gifter som omfattas av deras behörighet (åtkomstkontroll),

f)se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kom munikationskontroll),

g)se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

h)förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkont roll),

i)se till att de system som används kan återställas vid stör ningar (återställande),

j)se till att system fungerar, att funktionsfel rapporteras (drift säkerhet) och att de lagrade uppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

L 350/70	SV	Europeiska unionens officiella tidning	30.12.2008

3.Medlemsstaternas ska sörja för att endast sådana personer får utses till registerförare som kan ge garantier för att vidta de nödvändiga tekniska och organisatoriska åtgärderna enligt punkt 1 och beaktar anvisningarna i artikel 21. Den behöriga myndigheten ska övervaka registerföraren i dessa avseenden.

4.Personuppgifter får endast behandlas av en registerförare på grundval av en rättsakt eller ett skriftligt avtal.

Artikel 23

Föregående samråd

Medlemsstaterna ska sörja för att de behöriga nationella tillsyn smyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om

a)särskilda uppgiftskategorier enligt artikel 6 behandlas, eller om

b)behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda ris ker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.

uppgifter, att kunna besluta om tillfälligt eller definitivt för bud mot behandling, att kunna ge den registeransvarige en varning eller tillrättavisning eller att kunna hänskjuta frågor till nationella parlament eller andra politiska institutioner,

c)befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta rambeslut har överträtts eller att uppmärksamma de rättsliga myndighe terna på dessa överträdelser. Beslut av tillsynsmyndigheten, som ger upphov till klagomål bör kunna överklagas till dom stol.

3.Var och en ska kunna vända sig till tillsynsmyndigheten med en begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda per sonen ska informeras om vilka följder hans begäran har fått.

Artikel 24

Påföljder

Medlemsstaterna ska anta lämpliga bestämmelser för att säker ställa att detta rambeslut genomförs fullt ut och framför allt föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med detta rambeslut.

Artikel 25

Nationella tillsynsmyndigheter

1.Varje medlemsstat ska se till att det utses en eller flera myndigheter med uppgift att inom dess territorium vägleda och övervaka tillämpningen av de bestämmelser som medlemssta terna antagit i enlighet med detta rambeslut. Dessa myndigheter ska vara fullt oberoende när de fullgör sina åligganden.

2.Varje tillsynsmyndighet ska framför allt ha

b)faktisk befogenhet att ingripa, som till exempel att kunna avge yttranden innan en behandling äger rum, att se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, radering eller förstöring av

Artikel 26

Förhållande till avtal med tredjestater

Detta rambeslut ska inte påverka medlemsstaternas eller unio nens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtal med tredjestater som förelåg när detta ram beslut antogs.

När dessa avtal tillämpas ska överföringen till en tredjestat av personuppgifter som erhållits från en annan medlemsstat ge nomföras med respekt för artikel 13.1 c eller 13.2, i tillämpliga fall.

Artikel 27

Utvärdering

1.Medlemsstaterna ska senast den 27 november 2013 rap portera till kommissionen om de nationella åtgärder som de har vidtagit för att säkerställa fullständig efterlevnad av detta ram beslut, framför allt när det gäller de bestämmelser som redan ska följas när uppgifter samlas in. Kommissionen ska särskilt undersöka konsekvenserna av dessa bestämmelser för tillämp ningsområdet för detta rambeslut i enlighet med i artikel 1.2.

2.Kommissionen ska inom ett år lämna rapport till Europa parlamentet och rådet om resultatet av den utvärdering som avses i punkt 1 och tillsammans med rapporten lämna lämpliga förslag till ändringar av detta rambeslut.

30.12.2008	SV	Europeiska unionens officiella tidning	L 350/71

Artikel 28

Förhållande till tidigare antagna unionsakter

Om rättsakter som antagits enligt avdelning VI i fördraget om Europeiska unionen före den dag då detta rambeslut träder i kraft och som reglerar utbytet av personuppgifter mellan med lemsstaterna eller tillgång för medlemsstaternas utsedda myndig heter till informationssystem som inrättats enligt fördraget om upprättandet av Europeiska gemenskapen innehåller särskilda villkor för den mottagande medlemsstatens användning av så dana uppgifter, ska dessa villkor ha företräde framför bestäm melserna i rambeslutet när det gäller användning av uppgifter som tagits emot eller gjorts tillgängliga av en annan medlems stat.

Artikel 29

Genomförande

1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i detta rambeslut före den 27 no vember 2010.

2. Senast vid denna tidpunkt ska medlemsstaterna till rådets generalsekretariat och kommissionen överlämna texten till de bestämmelser genom vilka skyldigheterna enligt detta rambeslut införlivas med deras nationella lagstiftning samt upplysningar om de tillsynsmyndigheter som avses i artikel 25. På grundval av denna information och en skriftlig rapport som kommissio nen utarbetar med hjälp av denna information ska rådet före den 27 november 2011 bedöma i vilken utsträckning medlems staterna har följt bestämmelserna i detta rambeslut.

Artikel 30

Ikraftträdande

Detta rambeslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 27 november 2008.

På rådets vägnar

M. ALLIOT-MARIE

Ordförande

15.5.2009		SV	Europeiska unionens officiella tidning	L 121/37

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I

FÖRDRAGET OM EUROPEISKA UNIONEN

RÅDETS BESLUT av den 6 april 2009

om inrättande av Europeiska polisbyrån (Europol)

(2009/371/RIF)

EUROPEISKA UNIONENS RÅD HAR BESLUTAT FÖLJANDE

med beaktande av fördraget om upprättandet av Europeiska unionen, särskilt artiklarna 30.1 b, 30.2 och 34.2 c,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1), och

av följande skäl:

(1)Inrättandet av en europeisk polisbyrå (Europol) besluta des inom ramen för fördraget om Europeiska unionen av den 7 februari 1992 och reglerades i en konvention om inrättandet av en europeisk polisbyrå (nedan kallad Euro polkonventionen) som utarbetats på grundval av artikel K.3 i fördraget om Europeiska unionen (2).

(2)Europolkonventionen har varit föremål för ett antal änd ringar fastlagda i tre protokoll som trätt i kraft efter en långdragen ratifikationsprocess. När konventionen ersätts med ett beslut kommer det därför att bli lättare att vid behov införa ytterligare ändringar.

(3)En förenkling och förbättring av Europols rättsliga ram kan delvis uppnås genom att Europol inrättas som en EU-enhet, finansierad genom Europeiska unionens all männa budget, eftersom de generella reglerna och förfar andena då kommer att vara tillämpliga.

(4)De rättsliga instrument om inrättande av liknande EU- enheter som antagits på senare tid på områden som omfattas av avdelning VI i fördraget om Europeiska uni onen (rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (3) och rådets beslut 2005/681/RIF av den 20 september 2005 om inrättande av Europeiska

(1) Yttrande av den 17 januari 2008 (ännu ej offentliggjort i EUT). (2) EGT C 316, 27.11.1995, s. 1.

(3) EGT L 63, 6.3.2002, s. 1.

polisakademin (Cepol) (4) har haft formen av rådsbeslut, eftersom sådana beslut lättare kan anpassas efter ändrade förutsättningar och nya politiska prioriteringar.

(5)Ett inrättande av Europol som en EU-enhet, finansierad genom Europeiska unionens allmänna budget, kommer att stärka Europaparlamentets roll i kontrollen av Euro pol, genom att Europarlamentet deltar i antagandet av budgeten, inbegripet tjänsteförteckningen och förfarandet för beviljande av ansvarsfrihet.

(6)Att låta Europol omfattas av de generella regler och för faranden som gäller för liknande EU-enheter kommer att medföra en administrativ förenkling, med följden att Eu ropol kan ägna mer av sina resurser åt sina huvudupp gifter.

(7)En ytterligare förenkling och förbättring av Europols funktion kan uppnås genom åtgärder som syftar till att öka Europols möjligheter att bistå och stödja medlems staternas brottsbekämpande myndigheter utan att ge Eu ropols personal verkställande befogenheter.

(8)En sådan förbättring är att säkerställa att Europol kan bistå medlemsstaternas behöriga myndigheter när det gäl ler att bekämpa särskilda former av allvarlig brottslighet, utan den nuvarande begränsningen att det måste före ligga faktiska omständigheter som visar på förekomsten av en brottslig organisation eller struktur.

(9)Inrättandet av gemensamma utredningsgrupper bör främ jas och det är viktigt att personal från Europol kan delta i dessa. För att se till att detta deltagande blir möjligt i alla medlemsstater bör det garanteras att personal från Euro pol inte åtnjuter immunitet när de deltar i en stödjande funktion i gemensamma utredningsgrupper. Detta kom mer att bli möjligt efter antagandet av en förordning i detta syfte på grundval av artikel 16 i Protokollet om Europeiska gemenskapernas immunitet och privilegier.

(10)För att undvika onödiga förfaranden bör Europols natio nella enheter ha direkt tillgång till alla uppgifter i Euro pols informationssystem.

(4) EUT L 256, 1.10.2005, s. 63.

L 121/58		SV	Europeiska unionens officiella tidning	15.5.2009

Artikel 39

Personal

1.Tjänsteföreskrifterna för tjänstemän i Europeiska gemen skaperna och anställningsvillkoren för övriga anställda i Euro peiska gemenskaperna (nedan kallade tjänsteföreskrifterna respek tive anställningsvillkoren) i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (1), samt de bestämmelser som antagits ge mensamt av Europeiska gemenskapernas institutioner för till ämpningen av tjänsteföreskrifterna och anställningsvillkoren, ska gälla för direktören, de biträdande direktörerna och den personal vid Europol som anställs efter den dag då detta beslut börjar tillämpas.

2.Vid tillämpningen av tjänsteföreskrifterna och anställnings villkoren ska Europol anses vara en byrå i den mening som avses i artikel 1a.2 i tjänsteföreskrifterna.

3.Europol ska gentemot personalen och direktören ha de befogenheter som tillsättningsmyndigheten ges enligt tjänstefö reskrifterna och som den myndighet som ingår anställningsavtal ges enligt anställningsvillkoren för övriga anställda i enlighet med artikel 37.13 och artikel 38.4 c i detta beslut.

4.Europols personal ska bestå av tillfälligt anställda och/eller kontraktsanställda. Styrelsen ska årligen ge sitt samtycke om direktören har för avsikt att bevilja avtal som ska gälla tills vidare. Styrelsen ska besluta om vilka tjänster i tjänsteförteck ningen som är avsedda för tillfälligt anställda och som endast får tillsättas med personal rekryterad från medlemsstaternas be höriga myndigheter. Personal som rekryteras till sådana tjänster ska vara tillfälligt anställda enligt artikel 2 a i anställningsvillko ren, och får endast beviljas anställningsavtal för en bestämd tid som får förlängas en gång för en bestämd tid.

5.Medlemsstaterna får utstationera nationella experter till Europol. I detta fall ska styrelsen anta de genomförandebestäm melser som är nödvändiga.

6.Europol ska tillämpa principerna i förordning (EG) nr 45/2001 på behandlingen av personuppgifter om Europols per sonal.

KAPITEL VII

SEKRETESS

Artikel 40

Sekretess

1. Europol och medlemsstaterna ska vidta lämpliga åtgärder för att säkerställa skyddet av uppgifter som omfattas av sekre

(1) EGT L 56, 4.3.1968, s. 1.

tess och som samlats in av eller utbytts med Europol med tillämpning av detta beslut. För detta ändamål ska rådet med kvalificerad majoritet efter att ha hört Europaparlamentet anta av styrelsen utarbetade lämpliga regler för sekretesskydd. Dessa regler ska innehålla bestämmelser om i vilka situationer Europol kan utbyta sekretessbelagd information med tredje parter.

2.När Europol avser att anförtro personer verksamheter som är känsliga ur säkerhetssynpunkt, ska medlemsstaterna åta sig att på begäran av direktören utföra säkerhetskontroller av sina egna berörda medborgare, i enlighet med sina nationella be stämmelser, och att bistå varandra vid utförandet av denna uppgift. Den myndighet som med stöd av nationella bestäm melser är behörig, ska endast informera Europol om resultaten av säkerhetskontrollen. Resultaten ska vara bindande för Euro pol.

3.Varje medlemsstat och Europol får endast utse personer som är särskilt kvalificerade och underkastade säkerhetskontroll att behandla uppgifter vid Europol. Styrelsen ska anta regler för säkerhetskontroll av Europols personal. Direktören ska regel bundet informera styrelsen om hur säkerhetskontrollen av Euro pols personal fortskrider.

Artikel 41

Diskretions- och tystnadsplikt

1.Ledamöterna i styrelsen, direktören, de biträdande direktö rerna, Europols anställda och sambandsmännen ska avhålla sig från varje handling och varje uttalande som skulle kunna skada Europols anseende eller dess verksamhet.

2.Ledamöterna i styrelsen, direktören, de biträdande direktö rerna, Europols anställda och sambandsmännen samt varje an nan person, som uttryckligen har ålagts diskretions- och tyst nadsplikt, får inte till någon obehörig person eller till allmän heten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekre tesskrav. Diskretions- och tystnadsplikten ska kvarstå även efter att de har avslutat sin tjänst, sitt anställningsavtal eller sin verk samhet. Den särskilda skyldighet som avses i första meningen ska meddelas särskilt av Europol, varvid de rättsliga följderna av en överträdelse ska påpekas. Meddelandet ska vara skriftligt.

3.Ledamöterna i styrelsen, direktören, de biträdande direktö rerna, Europols anställda och sambandsmännen samt andra per soner som är underkastade den skyldighet som anges i punkt 2 får inte utan hänvändelse till direktören eller, om det rör sig om direktören, till styrelsen, avlägga vittnesmål i eller utom domstol eller uttala sig om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.

15.5.2009		SV	Europeiska unionens officiella tidning	L 121/59

Om det enligt en medlemsstats lagstiftning finns en rätt att vägra vittna, ska personer som avses i punkt 2 som kallats att vittna vara skyldiga att skaffa tillstånd att vittna. Tillståndet ska beviljas av direktören eller, om det är denne som är kallad att vittna, av styrelsen. Om en sambandsman kallas att vittna med anledning av uppgifter denne mottagit från Europol, får tillstån det inte ges förrän den medlemsstat som sänt den berörde sam bandsmannen har givit sitt samtycke till detta. Skyldigheten att ansöka om tillstånd att vittna ska kvarstå även efter att de har avslutat sin tjänst, sitt anställningsavtal eller sin verksamhet.

Tillstånd att vittna får vägras endast i den mån det är nödvän digt för att skydda överordnade skyddsvärda intressen för Euro pol eller den eller de berörda medlemsstaterna.

De ska säkerställa att dessa regler och bestämmelser är tillämp liga även på deras egna tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.

KAPITEL VIII

BUDGETBESTÄMMELSER

Artikel 42

Budget

1. Europols intäkter ska, utan att det påverkar andra typer av inkomster, bestå av ett bidrag från gemenskapen som anslås i

Europeiska unionens allmänna budget (kommissionens avsnitt) från och med den dag då detta beslut börjar tillämpas. Finansie ringen av Europol ska godkännas av Europaparlamentet och rådet (nedan kallad budgetmyndigheten) i enlighet med det inter institutionella avtalet av den 17 maj 2006 mellan Europaparla mentet, rådet och kommissionen om budgetdisciplin och sund ekonomisk förvaltning (1).

2.Europols utgifter ska omfatta kostnader för personal, ad ministration, infrastruktur och drift.

3.Direktören ska göra en preliminär beräkning av Europols intäkter och utgifter för påföljande budgetår, inklusive en pre liminär tjänsteförteckning, och överlämna denna till styrelsen. Den preliminära tjänsteförteckningen ska omfatta fasta eller till fälliga tjänster samt uppgift om utstationerade nationella exper ter och ska ange antal, lönegrad och anställningskategori för den personal som är anställd vid Europol under det aktuella budgetåret.

4.Inkomster och utgifter ska balansera varandra.

5.Styrelsen ska anta utkastet till beräkning av intäkter och utgifter, inklusive utkastet till tjänsteförteckning och det preli minära arbetsprogrammet, och överlämna detta underlag till kommissionen senast den 31 mars varje år. Om kommissionen har invändningar mot den preliminära beräkningen, ska den underrätta styrelsen om detta inom 30 dagar efter mottagandet av den preliminära beräkningen.

6.Kommissionen ska vidarebefordra beräkningen till budget myndigheten, tillsammans med det preliminära förslaget till Europeiska gemenskapernas allmänna budget.

7.På grundval av denna beräkning ska kommissionen i det preliminära förslaget till Europeiska gemenskapernas allmänna budget, som den ska förelägga budgetmyndigheten i enlighet med artikel 272 i fördraget om upprättandet av Europeiska gemenskapen, ta upp de medel som den bedömer vara nödvän diga med avseende på tjänsteförteckningen samt det bidragsbe lopp som ska belasta den budgeten.

8.Budgetmyndigheten ska, när den antar Europeiska gemen skapernas allmänna budget, bevilja de anslag som utgör bidraget till Europol och Europols tjänsteförteckning.

9.Styrelsen ska anta Europols budget och tjänsteförteck ningen. De ska vara slutligt antagna efter det slutliga antagandet av Europeiska gemenskapernas allmänna budget. I förekom mande fall ska de anpassas i enlighet därmed genom antagandet av en reviderad budget.

10.Alla eventuella ändringar av budgeten, inklusive tjänste förteckningen, ska göras i enlighet med förfarandet i punkterna 5–9.

(1) EUT C 139, 14.6.2006, s. 1.

Statens offentliga utredningar 2011

Kronologisk förteckning

1.Svart på vitt – om jämställdhet i akademin. U.

2.Välfärdsstaten i arbete. Inkomsttrygghet och omfördelning med incitament till arbete. Fi.

3.Sanktionsavgifter på trygghetsområdet. S.

4.Genomförande av EU:s regelverk om inre vattenvägar i svensk rätt. N.

5.Bemanningsdirektivets genomförande i Sverige. A.

6.Missbruket, Kunskapen, Vården. Missbruksutredningens forskningsbilaga. S.

7.Transporter av frihetsberövade. Ju.

8.Den framtida gymnasiesärskolan

– en likvärdig utbildning för ungdomar med utvecklingsstörning. U.

9.Barnen som samhället svek.

Åtgärder med anledning av övergrepp och allvarliga försummelser i samhällsvården. S.

10.Antidopning Sverige.

En ny väg för arbetet mot dopning. Ku.

11.Långtidsutredningen 2011. Huvud- betänkande. Fi.

12.Medfinansiering av transportinfrastruktur

– utvärdering av förhandlingsarbetet jämte överväganden om brukaravgifter och lånevillkor. N.

13.Uppföljning av signalspaningslagen. Fö.

14.Kunskapsläget på kärnavfalls- området 2011 – geologin, barriärerna, alternativen. M.

15.Rehabiliteringsrådets slutbetänkande. S.

16.Allmän skyldighet att hjälpa nödställda? Ju.

17.Förvar. Ju.

18.Strålsäkerhet – gällande rätt i ny form. M.

19.Tid för snabb flexibel inlärning. U.

20.Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete. Dataskyddsrambeslutet, Europolanställdas befattning med hemliga uppgifter. Ju.

Statens offentliga utredningar 2011

Systematisk förteckning

Justitiedepartementet

Transporter av frihetsberövade. [7]

Allmän skyldighet att hjälpa nödställda? [16] Förvar. [17]

Dataskydd vid europeiskt polisiärt och straff- rättsligt samarbete. Dataskyddsrambeslutet, Europolanställdas befattning med hemliga uppgifter. [20]

Försvarsdepartementet

Uppföljning av signalspaningslagen. [13]

Socialdepartementet

Sanktionsavgifter på trygghetsområdet. [3]

Missbruket, Kunskapen, Vården. Missbruksutredningens forskningsbilaga. [6]

Barnen som samhället svek.

Åtgärder med anledning av övergrepp och allvarliga försummelser i samhällsvården. [9]

Rehabiliteringsrådets slutbetänkande. [15]

Finansdepartementet

Välfärdsstaten i arbete.

Inkomsttrygghet och omfördelning med incitament till arbete. [2]

Långtidsutredningen 2011. Huvudbetänkande. [11]

Utbildningsdepartementet

Svart på vitt – om jämställdhet i akademin. [1]

Den framtida gymnasiesärskolan

– en likvärdig utbildning för ungdomar med utvecklingsstörning. [8]

Tid för snabb flexibel inlärning. [19]

Miljödepartementet

Kunskapsläget på kärnavfallsområdet 2011

– geologin, barriärerna, alternativen. [14] Strålsäkerhet – gällande rätt i ny form. [18]

Näringsdepartementet

Genomförande av EU:s regelverk om inre vattenvägar i svensk rätt. [4]

Medfinansiering av transportinfrastruktur

– utvärdering av förhandlingsarbetet jämte överväganden om brukaravgifter och lånevillkor. [12]

Kulturdepartementet

Antidopning Sverige.

En ny väg för arbetet mot dopning. [10]

Arbetsmarknadsdepartementet

Bemanningsdirektivets genomförande i Sverige. [5]