Regeringens proposition 2012/13:73

Dataskydd vid europeiskt polissamarbete och	Prop.
straffrättsligt samarbete	2012/13:73

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 21 februari 2013

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (EU). Därmed genomförs de återstående delarna av det s.k. dataskyddsrambeslutet.

Lagen ska tillämpas på uppgifter som överförs från eller till en annan EU-medlemsstat eller Island, Norge, Schweiz eller Liechtenstein i verk- samheter som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder. Även uppgifter från ett EU-informations- system som avser polissamarbete eller straffrättsligt samarbete omfattas av lagen. Sådant informationsutbyte som reglerats tidigare, exempelvis utbyte med stöd av det s.k. Prümrådsbeslutet, undantas dock. Behandling av personuppgifter som rör nationell säkerhet omfattas inte heller av lagen.

I lagen regleras bl.a. för vilka ändamål uppgifterna får behandlas och vad som gäller för den fortsatta behandlingen. Lagen anger vidare i vilka situationer personuppgifter får överföras till enskilda, till tredjeland och till internationella organ.

Svenska myndigheter åläggs att följa de villkor om användningen som ställts upp av den som överfört uppgifterna eller gjort dem tillgängliga. En svensk myndighet får ange villkor som innebär användningsbegräns- ningar för utländska mottagare.

Propositionen innehåller även förslag till en ny lag om tystnadsplikt för anställda vid Europol. Brott mot tystnadsplikten bestraffas enligt 20 kap. 3 § brottsbalken.

De nya lagarna föreslås träda i kraft den 1 juli 2013.

1

Prop. 2012/13:73 Innehållsförteckning
1	Förslag till riksdagsbeslut .................................................................	6
2	Lagtext ..............................................................................................	7

	2.1	Förslag till lag med vissa bestämmelser om skydd för
		personuppgifter vid polissamarbete och straffrättsligt
		samarbete inom Europeiska unionen..................................		7
	2.2	Förslag till lag om tystnadsplikt för anställda vid
		Europeiska polisbyrån ......................................................		11
	2.3	Förslag till lag om ändring i lagen (1998:620) om
		belastningsregister............................................................		12
	2.4	Förslag till lag om ändring i lagen (1998:621) om
		misstankeregister..............................................................		14
	2.5	Förslag till lag om ändring i lagen (1999:90) om
		behandling av personuppgifter vid Skatteverkets
		medverkan i brottsutredningar..........................................		15
	2.6	Förslag till lag om ändring i lagen (2000:343) om
		internationellt polisiärt samarbete ....................................		16
	2.7	Förslag till lag om ändring i lagen (2011:1175) om ändring
		i lagen (2000:344) om Schengens informationssystem ....		17
	2.8	Förslag till lag om ändring i lagen (2001:184) om
		behandling av personuppgifter i Kronofogdemyndighetens
		verksamhet .......................................................................		18
	2.9	Förslag till lag om ändring i lagen (2001:617) om
		behandling av personuppgifter inom kriminalvården.......		19
	2.10	Förslag till lag om ändring i lagen (2005:787) om
		behandling av uppgifter i Tullverkets brottsbekämpande
		verksamhet .......................................................................		20
	2.11	Förslag till lag om ändring i offentlighets- och
		sekretesslagen (2009:400) ................................................		23
	2.12	Förslag till lag om ändring i polisdatalagen (2010:361)...		24
	2.13	Förslag till lag om ändring i lagen (2010:362) om polisens
		allmänna spaningsregister ................................................		25
	2.14	Förslag till lag om ändring i kustbevakningsdatalagen
		(2012:145)........................................................................		26
3	Ärendet och dess beredning ............................................................			27
4	Regleringen rörande dataskydd.......................................................			29
	4.1	Inledning	..........................................................................	29
	4.2	Europarådets dataskyddsreglering....................................		29
	4.3	EU:s dataskyddsreglering.................................................		29
	4.4	OECD:s riktlinjer .............................................................		30
	4.5	Grundläggande bestämmelser om behandling av
		personuppgifter.................................................................		30
	4.6	Personuppgiftslagen .........................................................		31
		4.6.1 .............................	Lagens tillämpningsområde	31
		4.6.2 ............	Grundläggande krav för behandlingen	32
		4.6.3 ..........................................	Tillåten behandling	32
		4.6.4 ...................................	Information och rättelse	33
2		4.6.5 ..............................	Säkerhet vid behandlingen	34

Prop. 2012/13:73

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag med vissa bestämmelser om skydd för personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen,

2.lag om tystnadsplikt för anställda vid Europeiska polisbyrån,

3.lag om ändring i lagen (1998:620) om belastningsregister,

4.lag om ändring i lagen (1998:621) om misstankeregister,

5.lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

6.lag om ändring i lagen (2000:343) om internationellt polisiärt sam- arbete,

7.lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem,

8.lag om ändring i lagen (2001:184) om behandling av personuppgif- ter i Kronofogdemyndighetens verksamhet,

9.lag om ändring i lagen (2001:617) om behandling av personuppgif- ter inom kriminalvården,

10.lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

11.lag om ändring i offentlighets- och sekretesslagen (2009:400),

12.lag om ändring i polisdatalagen (2010:361),

13.lag om ändring i lagen (2010:362) om polisens allmänna spanings- register,

14.lag om ändring i kustbevakningsdatalagen (2012:145).

6

Prop. 2012/13:73

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens syfte

1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete1 (dataskydds- rambeslutet).

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om upp- gifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

1 EUT L 350, 30.12.2008, s. 60 (Celex 32008F0977).

7

Prop. 2012/13:73 4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.

Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom

1.informationsutbyte som hänför sig till Schengens informationssy- stem (SIS),

2.informationsutbyte genom Tullinformationssystemet (TIS),

3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet2 (Prüm- rådsbeslutet), eller

4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att före- bygga, upptäcka och utreda terroristbrott och andra grova brott3.

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

2.vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

3.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får även behandlas för andra ändamål än dem som

anges i första stycket, om den som överfört eller gjort uppgifterna till- gängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överfö- ras till enskilda om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.överföringen är nödvändig för att

a)myndigheten ska kunna fullgöra en författningsreglerad uppgift,

b)förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

2EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615).

3EUT L 218, 13.8.2008, s. 129 (Celex 32008D0633).

8

d) förhindra att enskildas rättigheter allvarligt kränks, och	Prop. 2012/13:73
3. inga berättigade intressen hos den som uppgifterna avser hindrar att
de överförs.
Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda
vid handläggning av brottmål.

Överföring av personuppgifter till tredjeland eller inter- nationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, för- utom till dem som anges i 2 § första stycket 1–4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.det är nödvändigt för att förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

3.mottagaren har ansvar för sådan verksamhet som anges i 2, och

4.den stat där den mottagande myndigheten eller det mottagande in- ternationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är upp- fyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.

Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvän- digt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan med- lemsstat i Europeiska unionen.

Villkor om användningsbegränsningar

Villkor som ställs upp av andra stater eller EU-organ

8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda upp- gifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beiv- rande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

9

Prop. 2012/13:73

2.2Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån

Härigenom föreskrivs följande.

1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)4, får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.

I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.

Denna lag träder i kraft den 1 juli 2013.

4 EUT L 121, 15.5.2009, s. 37 (Celex 32009D0371).

11

uppgifter ur kriminalregistret och Prop. 2012/13:73 uppgifternas innehåll5. Bestäm-

melsen i 10 § lagen med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behand- ling.

Denna lag träder i kraft den 1 juli 2013.

5 EUT L 93, 7.4.2009, s. 23 (Celex 32009F0315).

13

2.5	Förslag till lag om ändring i lagen (1999:90)		Prop. 2012/13:73
	om behandling av personuppgifter vid
	Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att det i lagen (1999:90) om behandling av per-
sonuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas
en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

1 a §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller

Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmelser- na i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

15

Prop. 2012/13:73

2.6Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 b §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de til- lämpas i stället för bestämmel- serna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte vid behandling av per- sonuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskri- dande samarbete, särskilt för be- kämpning av terrorism och gräns- överskridande brottslighet6.

Denna lag träder i kraft den 1 juli 2013.

6 EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615).

16

Prop. 2012/13:73

2.9Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra be- stämmelser om personuppgiftsbehandling”.

Nuvarande lydelse

Föreslagen lydelse

2 a §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de tilläm- pas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

19

Prop. 2012/13:73 11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också före- kommer, samt

12. upplysningar som avses i 16 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdata- basen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.

21 §

Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid	Första stycket gäller inte vid
sökning bara i ett visst ärende	sökning
eller en viss handling. Första	1. i ett visst ärende eller en viss
stycket gäller inte heller vid sök-	handling,
ning efter den som en handling	2. efter den som en handling
kommit in från eller expedierats	kommit in från eller expedierats
till i ett ärende.	till i ett ärende, eller
	3. för att Tullverket ska kunna
	fullgöra förpliktelser som följer av
	internationella åtaganden.

Denna lag träder i kraft den 1 juli 2013.

22

2.11	Förslag till lag om ändring i offentlighets- och		Prop. 2012/13:73
	sekretesslagen (2009:400)
Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen
(2009:400) ska ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

9 kap.

2 §8

Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2000:343) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,

8. lagen (1998:620) om belast-	8. lagen (1998:620) om belast-
ningsregister, och	ningsregister,
9. lagen (2012:843) om admi-	9. lagen (2012:843) om admi-
nistrativt samarbete inom Euro-	nistrativt samarbete inom Euro-
peiska unionen i fråga om beskatt-	peiska unionen i fråga om beskatt-
ning.	ning, och
	10. lagen (2013:000) med vissa
	bestämmelser om skydd för per-
	sonuppgifter vid polissamarbete
	och straffrättsligt samarbete inom
	Europeiska unionen.

Denna lag träder i kraft den 1 juli 2013.

8 Senaste lydelse 2012:850.

23

Prop. 2012/13:73

2.12Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

2 b §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmelser- na i denna lag.

Denna lag träder i kraft den 1 juli 2013.

24

Prop. 2012/13:73

2.13Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Härigenom föreskrivs i fråga om lagen (2010:362) om polisens all- männa spaningsregister

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra be- stämmelser om personuppgiftsbehandling”.

Nuvarande lydelse

Föreslagen lydelse

2 a §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmel- serna i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

25

Prop. 2012/13:73

3	Ärendet och dess beredning
Dataskyddsrambeslutet
Den 4 november 2004 antog Europeiska rådet det s.k. Haagprogrammet
för stärkt frihet, säkerhet och rättvisa i Europeiska unionen (EU). Rådet
uttalade där att en förstärkning av frihet, säkerhet och rättvisa kräver en
innovativ strategi i fråga om gränsöverskridande utbyte av information
om brottsbekämpning. En princip bör vara att en tjänsteman vid en
brottsbekämpande myndighet i en medlemsstat ska göra befintlig infor-
mation tillgänglig för motsvarande befattningshavare i en annan stat om
han eller hon behöver informationen för att utföra sina uppgifter.
Ett effektivare polissamarbete och rättsligt samarbete måste emellertid
balanseras mot grundläggande rättigheter, bl.a. rätten till ett privatliv och
rätten till skydd av personuppgifter. Den 4 oktober 2005 presenterade
kommissionen därför ett förslag till rambeslut om skydd av personupp-
gifter som behandlas inom ramen för polissamarbete och straffrättsligt
samarbete. Förutom medlemsstaterna inom Europeiska unionen deltog
även Island, Norge och Schweiz i förhandlingarna om utkastet till rambe-
slut, som ett led i det utvidgade Schengensamarbetet. I slutet av år 2007
nåddes en politisk principöverenskommelse om innehållet i utkastet till
rambeslut (dataskyddsrambeslutet). I propositionen Godkännande av
dataskyddsrambeslutet (prop. 2008/09:16) föreslog regeringen att riksda-
gen skulle godkänna utkastet till rambeslut. Några lagförslag presentera-
des inte. Däremot lämnades i anslutning till genomgången av innehållet i
rådsbeslutet en kort beskrivning av i vilka avseenden beslutet bedömdes
kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU7,
rskr. 2008/09:41). Rådets rambeslut 2008/977/RIF av den 27 november
2008 om skydd för personuppgifter som behandlas inom ramen för polis-
samarbete	och straffrättsligt samarbete antogs därefter (EUT L 350,
30.12.2008, s. 60, Celex 32008F0977). Dataskyddsrambeslutet återges i
bilaga 1.
Den 25 februari 2010 gav regeringen en särskild utredare i uppdrag
bl.a. att analysera hur svensk rätt förhåller sig till bestämmelserna i data-
skyddsrambeslutet och att utarbeta nödvändiga författningsförslag för att
Sverige ska kunna leva upp till bestämmelserna i rambeslutet (dir.
2010:17).
I februari 2011 överlämnade utredningen betänkandet Dataskydd vid
europeiskt polisiärt och straffrättsligt samarbete. Dataskyddsrambeslutet.
Europolanställdas befattning med hemliga uppgifter (SOU 2011:20). En
sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag
finns i bilaga 4. Betänkandet har remissbehandlats. En förteckning över
remissinstanserna finns i bilaga 5. En remissammanställning finns till-
gänglig i Justitiedepartementet (dnr Ju2011/2232/L4).
För att komplettera beredningsunderlaget remitterades ett utkast till
lagrådsremiss. Utkastet till lagrådsremiss, vars förslag till lagtext finns i
bilaga 6, överensstämmer i allt väsentligt med den slutliga lagrådsremis-
sen. Utkastet till lagrådsremiss och remissyttrandena finns tillgängliga i		27

i vissa delar gjort en annan bedömning än Lagrådet. Lagrådets synpunk- Prop. 2012/13:73 ter behandlas i avsnitten 6.4.1, 6.6.4, 6.6.5, 6.7.2, 6.13, 6.14, 6.16, 7.5

och 8.2 samt i författningskommentaren. Dessutom har vissa språkliga och redaktionella ändringar gjorts.

4 Regleringen rörande dataskydd

4.1Inledning

Regler om personuppgiftsbehandling och skydd av personuppgifter finns såväl på internationell som på nationell nivå. På internationell nivå har både Europarådet och EU utformat regleringar. I detta avsnitt finns en översiktlig redogörelse för olika regelverk om behandling av personupp- gifter, dvs. dataskydd. Först behandlas de generella internationella och nationella regelverken. Därefter behandlas de olika registerförfattningar som berörs av dataskyddsrambeslutet. Redogörelsen fokuserar särskilt på sådana bestämmelser som har relevans för analysen av hur svensk rätt förhåller sig till rambeslutet.

4.2Europarådets dataskyddsreglering

Vissa bestämmelser i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har betydelse för myndigheters rätt att behandla personuppgifter. Artikel 8 föreskriver att var och en har rätt till respekt för bl.a. sitt privat- och familjeliv och att en offentlig myndighet inte får inskränka denna rättighet annat än med stöd av lag och med hänsyn till vissa angivna intressen. I artikel 13 föreskrivs att var och en, vars i kon- ventionen angivna fri- och rättigheter har kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet.

Europakonventionens regler om skydd av personuppgifter preciseras genom reglerna i den europeiska konventionen från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konven- tionen kompletteras av ett antal av ministerkommittén antagna rekom- mendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet har under år 2010 inlett en översyn av konventionen och rekommendationerna.

4.3	EU:s dataskyddsreglering
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheter-
na (EUT C 83, 30.3.2010, s. 389) reglerar skydd av personuppgifter.
Enligt artikeln har var och en rätt till skydd av de personuppgifter som		29

Prop. 2012/13:73 rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efter- levs.

EU har antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31), ofta kallat dataskyddsdirektivet. Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och förstärks Europarådets dataskyddskonvention genom data- skyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.

Det nu aktuella rambeslutet kompletterar dataskyddsdirektivet genom att det reglerar ett område som inte täcks av direktivet, nämligen polisiärt och straffrättsligt samarbete (se närmare om detta i avsnitt 5).

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. För- handlingar om reformen inleddes under våren 2012.

4.4OECD:s riktlinjer

Organisationen för ekonomiskt samarbete och utveckling (OECD) har också arbetat fram internationella riktlinjer för integritetsskydd och flöde av persondata. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskydds- direktivet.

4.5Grundläggande bestämmelser om behandling av personuppgifter

Tidigare föreskrevs i 2 kap. 3 § andra stycket regeringsformen att varje medborgare, i den utsträckning som närmare angavs i lag, skulle skyddas mot att hans eller hennes personliga integritet kränktes genom att upp- gifter om honom eller henne registrerades med hjälp av automatisk data- behandling. Bestämmelsen utgjorde inte något individuellt rättighets- skydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad

behandling av personuppgifter.

30

Den 1 januari 2011 upphävdes nämnda bestämmelse. Samtidigt inför- Prop. 2012/13:73 des ett andra stycke i 2 kap. 6 § regeringsformen enligt vilket var och en

gentemot det allmänna är skyddad mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkning i denna fri- och rättighet får enligt 2 kap. 20 § första stycket 2 regerings- formen under vissa förutsättningar göras i lag.

I Sverige har dataskyddsdirektivet genomförts generellt genom person- uppgiftslagen (1998:204). Denna lösning valdes i stället för att begränsa lagstiftningen till de områden inom vilka direktivet är tvingande. Person- uppgiftslagen gäller således i princip även för de områden som data- skyddsrambeslutet är tillämpligt på. Dataskyddsrambeslutets förpliktelser för medlemsstaterna överensstämmer i många avseenden med de för- pliktelser som gäller enligt dataskyddsdirektivet. Detta innebär att svensk lagstiftning till största delen redan uppfyller kraven i rambeslutet.

Vid sidan av personuppgiftslagen finns det också författningar som reglerar personuppgiftsbehandlingen inom olika verksamhetsområden. Personuppgiftsbehandlingen inom de verksamhetsområden som berörs av rambeslutets tillämpningsområde är därför redan författningsreglerad. Något förenklat kan man säga att det rör sig om tre olika typer av författ- ningsreglering; för det första författningar som reglerar ett eller flera en- skilda register, för det andra generella författningar för en viss sektor av samhället (som i sig kan reglera ett eller flera register), för det tredje personuppgiftslagen som tillämpas helt eller delvis för olika verksam- hetsområden. De författningar som gäller vid sidan av personuppgiftsla- gen brukar betecknas registerförfattningar. Inom vissa verksamheter, bl.a. de här aktuella, ska ibland personuppgiftslagen, en särskild register- författning för den sektorn och särbestämmelser för ett visst register tillämpas samtidigt. Regleringen på området är således mycket komplex.

4.6Personuppgiftslagen

4.6.1 Lagens tillämpningsområde

Personuppgiftslagen (1998:204) är generellt tillämplig och innehåller
allmänna riktlinjer för behandling av personuppgifter, oavsett ändamålet
med behandlingen. Lagen ersatte den tidigare datalagen (1973:289) när
dataskyddsdirektivet genomfördes i svensk rätt.
Personuppgiftslagen är subsidiär i förhållande till annan författnings-
reglering. Samtidigt som personuppgiftslagen infördes skapades sär-
skilda lagar och förordningar som reglerar behandlingen av personupp-
gifter för ett visst verksamhetsområde, för en viss typ av register eller för
ett särskilt register. Utgångspunkten har varit att myndighetsregister med
ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras
särskilt i lag (prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11).
För personuppgiftsbehandlingen inom åklagarväsendet, de allmänna
domstolarna och de allmänna förvaltningsdomstolarna samt kriminalvår-
den finns särreglering som i stor utsträckning ersätter personuppgiftsla-
gen. Motsvarande gäller registerförfattningen för Skatteverkets brottsbe-
kämpande verksamhet. För polisen, Kustbevakningen och Tullverket har	31

Prop. 2012/13:73 en annan lagstiftningsmodell valts, men resultatet är detsamma, nämligen att personuppgiftslagens bestämmelser delvis gäller.

Personuppgiftslagen reglerar hur personuppgifter får hanteras. Lagen ska tillämpas på all helt eller delvis automatiserad behandling av person- uppgifter. Dessutom är den tillämplig på manuell behandling av sådana personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier.

Kompletterande bestämmelser till personuppgiftslagen finns i person- uppgiftsförordningen (1998:1191).

4.6.2Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås vissa grundläggande krav fast för all be- handling av personuppgifter. Sådana uppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. Personuppgifter ska samlas in och behandlas för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara riktiga och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ända- målen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna inte uppfyller dessa krav, ska den per- sonuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter ska de avidentifieras eller för- störas. Behandling som sker för att bevara uppgifter för historiska, statis- tiska eller vetenskapliga ändamål får dock ske under längre tid än vad som är nödvändigt för de ursprungliga ändamålen. Det möjliggör t.ex. behandling i form av elektronisk arkivering av personuppgifter.

	4.6.3	Tillåten behandling
	Personuppgiftslagen innehåller en uttömmande uppräkning av under
	vilka	förutsättningar behandling av personuppgifter är tillåten (10–
	12 §§ personuppgiftslagen). Av särskilt intresse i detta sammanhang är
	13 § som förbjuder behandling av känsliga personuppgifter. Känsliga
	personuppgifter definieras i lagen som uppgifter som avslöjar ras eller
	etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,
	medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
	Förbudet mot behandling av känsliga uppgifter är inte undantagslöst. Det
	omfattar enligt 5 a § personuppgiftslagen inte personuppgifter som inte
	ingår i eller är avsedda att ingå i strukturerat material, dvs. en samling av
	personuppgifter som är tillgänglig för sökning eller sammanställning
	enligt särskilda kriterier. I 14–19 §§ personuppgiftslagen anges under
	vilka förutsättningar känsliga uppgifter får behandlas trots förbudet i
	13 §. Känsliga personuppgifter får således behandlas om det är nödvän-
32	digt med hänsyn till vissa särskilt angivna ändamål, t.ex. för att den regi-

strerades eller någon annans vitala intressen ska kunna skyddas och den Prop. 2012/13:73 registrerade inte kan lämna samtycke till behandlingen. Det finns också

utrymme för regeringen, eller den myndighet regeringen bestämmer, att enligt 20 § personuppgiftslagen meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana föreskrifter finns i 8 § personuppgiftsförord- ningen. Enligt den bestämmelsen får myndigheter generellt behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.

Enligt 21 § personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om per- sonnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

4.6.4Information och rättelse

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behand- ling av personuppgifter om honom eller henne pågår. Har uppgifterna samlats in från någon annan än den enskilde, ska han eller hon informe- ras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 § personuppgiftslagen). Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnande av uppgifterna i författning eller om det skulle vara omöjligt eller kräva en opro- portionerligt stor arbetsinsats att informera. Informationen ska omfatta uppgift om vem som är personuppgiftsansvarig, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen (25 § personuppgiftslagen). Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 § personuppgiftslagen). Det bör anmärkas att uppgiftsskyldigheten inte omfattar alla uppgifter, bl.a. inte uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 § personuppgiftslagen).

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgifts- ansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen (28 § personupp- giftslagen).

33

Prop. 2012/13:73 4.6.5

Säkerhet vid behandlingen

I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.

4.6.6Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att föra över personupp- gifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överfö- ringen. I paragrafen anges vilka omständigheter som ska tillmätas sär- skild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § finns be- myndiganden som framför allt ger regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsför- ordningen anges vissa länder som enligt särskilt beslut av Europeiska gemenskapernas kommission anses ha en adekvat skyddsnivå för be- handlingen av personuppgifter eller som har slutit avtal med EU om överföring av vissa uppgifter om flygpassagerare.

4.6.7 Tillsyn

	Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyn-
	dighet enligt personuppgiftslagen. De registerförfattningar som gäller
	utöver personuppgiftslagen och som är aktuella i detta sammanhang
	innehåller inte några avvikande bestämmelser i fråga om tillsynsmyndig-
	het. Datainspektionen är således tillsynsmyndighet även enligt dessa
	författningar (se t.ex. prop. 2004/05:164 s. 53 f.). Detsamma gäller för
	andra särskilda registerförfattningar som berörs av dataskyddsrambeslu-
	tet.
	Datainspektionen har enligt 43 § personuppgiftslagen för sin tillsyn rätt
	att på begäran få tillgång till de personuppgifter som behandlas och upp-
	lysningar och dokumentation av behandlingen och säkerheten vid denna
	samt tillträde till sådana lokaler som har anknytning till behandlingen av
	personuppgifter. Om tillsynsmyndigheten inte efter begäran kan få till-
	räckligt underlag för att konstatera att behandlingen är laglig, får myn-
	digheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att
	behandla personuppgifter på annat sätt än att lagra dem. Det anses dock
	vara en allmän rättsgrundsats att vite inte bör användas mot statliga myn-
	digheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105).
	Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten, om den kon-
34	staterar att uppgifter behandlas eller kan komma att behandlas på ett

olagligt sätt, genom påpekanden eller liknande förfaranden försöka Prop. 2012/13:73 åstadkomma rättelse. Går det inte att få rättelse på annat sätt, eller om

saken är brådskande, får myndigheten på motsvarande sätt förbjuda annan behandling än lagring. Tillsynsmyndigheten får också, enligt 47 §, ansöka hos förvaltningsrätten om att sådana uppgifter som har behandlats på olagligt sätt ska utplånas.

4.6.8Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsa- kar skada för den registrerade har vederbörande, enligt 48 § personupp- giftslagen, rätt till skadestånd från den personuppgiftsansvarige. Skade- ståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne. Ersättningen kan dock i skälig utsträckning jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Lagen innehåller också en straffbestämmelse i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§ personuppgiftsla- gen.

4.7Polisens behandling av personuppgifter

4.7.1Regleringen i stort

Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Utgångspunkten för lagstift- ningen har varit att skapa en modern, flexibel och teknikneutral lag, som i så liten utsträckning som möjligt reglerar detaljer och enskilda register.

Polisdatalagen gäller i stället för personuppgiftslagen (1 kap. 1 § polis- datalagen). I lagen hänvisas dock till ett antal bestämmelser i personupp- giftslagen som gäller vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet (2 kap. 2 § polisdatalagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.

Polisen har, något förenklat, tre kategorier av register vilket hör sam- man med vilka bestämmelser som styr behandlingen. Dessa kategorier är

–register som förs med stöd av allmänna bestämmelser i polisdatala- gen och personuppgiftslagen,

–register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan särskild registerlagstiftning, och

–register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den numera upphävda datalagen och Datainspektionens tillstånd.

Andra registerförfattningar som är av intresse i detta sammanhang är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstan-

35

Prop. 2012/13:73 keregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2010:362) om polisens allmänna spaningsregister.

	4.7.2	Polisdatalagen
	Lagens tillämpningsområde
	Den nuvarande polisdatalagen trädde i kraft den 1 mars 2012. Lagen
	gäller vid behandling av personuppgifter i polisens brottsbekämpande
	verksamhet vid Rikspolisstyrelsen och polismyndigheterna samt i Eko-
	brottsmyndighetens polisiära verksamhet.
	Den personuppgiftsbehandling som sker med stöd av de särskilda
	lagarna om belastningsregister, misstankeregister, Schengens informa-
	tionssystem, passagerarregister samt polisens allmänna spaningsregister
	undantas från polisdatalagens tillämpningsområde. Lagen gäller inte
	heller när personuppgifter behandlas i polisens vapenregister enligt
	vapenlagen (1996:67), om inte annat anges i den lagen.
	Ändamål
	I polisdatalagen anges för vilka ändamål personuppgifter får behandlas i
	polisens brottsbekämpande verksamhet. Ändamålen delas in i primära
	och sekundära ändamål. De primära ändamålen avser behandling av
	personuppgifter för att tillgodose de behov som finns inom polisens
	brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i
	2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna bestämmelse
	behandlas om det behövs för att förebygga, förhindra eller upptäcka
	brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser
	som följer av internationella åtaganden.
	De sekundära ändamålen aktualiseras när personuppgifter som får be-
	handlas i polisens brottsbekämpande verksamhet lämnas ut till andra
	myndigheter eller organisationer för dessas behov. Enligt de sekundära
	ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgiftsbe-
	handling genom sådant utlämnande ske när det är nödvändigt för att
	tillhandahålla information som behövs i brottsbekämpande verksamhet
	hos Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
	eller hos utländsk myndighet eller mellanfolklig organisation. Person-
	uppgiftsbehandling genom utlämnande får vidare ske om det är nödvän-
	digt för att tillhandahålla information som behövs i polisens handräck-
	ningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla
	informationen i annan verksamhet som polisen svarar för. Sådan person-
	uppgiftsbehandling får även ske om det är nödvändigt för att tillhanda-
	hålla information som behövs i verksamhet hos Kriminalvården för att
	förebygga brott och upprätthålla säkerheten, eller i en myndighets verk-
	samhet i övrigt, om det åligger polisen att bistå myndigheten med viss
	uppgift, eller informationen tillhandahålls inom ramen för myndighets-
	överskridande samverkan mot brott. Uppgifter som behandlas för ett
	primärt ändamål får även behandlas om det är nödvändigt för att lämna
	information till riksdagen och regeringen samt, i den utsträckning upp-
	giftsskyldighet följer av lag eller förordning, till andra. I ett enskilt fall
36	får personuppgifter behandlas genom att lämnas ut även för något annat

Prop. 2012/13:73 känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldig- het gäller samma bestämmelser som för polisen i övrigt.

Skadestånd, rättelse och överklagande

Personuppgiftslagens regler om skadestånd och rättelse gäller vid be- handling med stöd av polisdatalagen (2 kap. 2 § första stycket punkterna 12 och 13 polisdatalagen). I fråga om överklagande hänvisas till överkla- ganderegler i personuppgiftslagen (2 kap. 2 § första stycket punkt 13 polisdatalagen).

4.7.3Andra registerförfattningar

Som tidigare nämnts finns det också några registerförfattningar som reglerar enskilda register som förs helt eller delvis inom ramen för poli- sens brottsbekämpande verksamhet, men som har undantagits från polis- datalagens tillämpningsområde. Detta gäller lagen om belastningsregis- ter, lagen om misstankeregister, lagen om polisens allmänna spaningsre- gister, lagen om Schengens informationssystem och lagen om passage- rarregister. I var och en av författningarna regleras bl.a. ändamålet med registret, vilka uppgifter som får finnas i registret och när de ska gallras. Motsvarande bestämmelser finns i vapenlagen (1996:67) när det gäller vapenregister.

4.8Andra myndigheters behandling av personuppgifter för brottsbekämpning

4.8.1Tullverket

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet behandlar i stort sett samma frågor som polisdatala- gen. Den gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som ska tillämpas på personupp- giftsbehandling inom Tullverkets brottsbekämpande verksamhet. Till lagen hör förordningen (2005:791) om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet. Tullverket har också en registerlag med tillhörande förordning som gäller i den s.k. fiskala verksamheten, lagen (2001:185) och förordningen (2001:646) om behandling av upp- gifter i Tullverkets verksamhet. Författningarna i fråga är inte tillämpliga i detta lagstiftningsärende och kommer därför inte att beröras närmare här. När det i det följande talas om ”Tullverkets registerförfattning” avses alltså regleringen för Tullverkets brottsbekämpande verksamhet.

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller dels allmänna regler om behandling av personupp- gifter, dels bestämmelser om en särskild databas, tullbrottsdatabasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer.

38

Prop. 2012/13:73 I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen och i 20–22 §§ anges vilka sökbegrepp som får an- vändas. Lagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). I 27 § finns ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att upp- gifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersök- ning ska inledas.

Lagen innehåller även bestämmelser om information till den registre- rade och överklagande. I fråga om skadestånd och rättelse gäller be- stämmelserna i personuppgiftslagen.

4.8.2Kustbevakningen

För Kustbevakningens behandling av personuppgifter gäller kustbevak- ningsdatalagen (2012:145) som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet.

Lagen gäller i stället för personuppgiftslagen, men innehåller hänvis- ningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid personuppgiftsbehandling i Kustbevakningens verksamhet (2 kap. 1 och 2 §§ lagen). Som exempel kan nämnas personuppgiftslagens be- stämmelser om definitioner och om förhållandet till offentlighetsprinci- pen.

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen. De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § kustbevakningsdatalagen. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åta- ganden.

De sekundära ändamålen är aktuella när personuppgifter som får be- handlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de se- kundära ändamålen, som anges i 3 kap. 3 § kustbevakningsdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekäm- pande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrotts- myndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behand-

ling får vidare ske om det är nödvändigt för att tillhandahålla information

40

som behövs i annan verksamhet hos Kustbevakningen för utredning och Prop. 2012/13:73 beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll

enligt lag eller förordning. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla informa- tion till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för annat ända- mål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Kustbevakningsdatalagen innehåller också bestämmelser om behand- ling av känsliga personuppgifter (2 kap. 7 §). Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga per- sonuppgifter om det är absolut nödvändigt för syftet med behandlingen.

Lagen innehåller vidare särskilda bestämmelser om i vilka fall utläm- nande av personuppgifter får ske till Interpol och Europol, polismyndig- het eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § kustbevakningsdatalagen). Personuppgifter får lämnas ut till dessa om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upp- täcka, utreda eller beivra brott.

Uppgifter får vidare lämnas ut till utländsk myndighet eller mellan- folklig organisation om utlämnandet följer av en internationell överens- kommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § kustbevakningsdatalagen). Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §).

Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 § och 4 kap. 8–14 §§ kustbevakningsda- talagen).

Personuppgiftslagens regler om skadestånd och rättelse gäller vid be- handling med stöd av kustbevakningsdatalagen. I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen.

4.8.3Skatteverket

I lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) i samma ämne regleras behandlingen av personuppgifter i verkets brottsbekäm- pande verksamhet. Lagen – som gäller dels för spaning vid och utredning

av brott, dels för att förebygga brott – gäller utöver personuppgiftslagen.

41

Prop. 2012/13:73 Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter.

Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det (1 § lagen om Skatteverkets medverkan i brottsutredningar), omfattar tillämpningsområdet för författningarna avseende Skatteverkets personuppgiftsbehandling även sådana brott.

I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (8 §). Lagen innehåller en uttöm- mande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Ett underrättelseregister får som huvudregel innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för denna verksamhet. Känsliga personuppgifter, dvs. upp- gifter om en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sex- ualliv, får inte behandlas enbart på grund av vad som är känt om en per- sons sådana förhållanden (4 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar). Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga per- sonuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverk- samhet.

Lagen innehåller också regler om utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).

Regeringen gav den 15 november 2012 Skatteverket i uppdrag att ut- reda behovet av författningsändringar i lagen och förordningen om be- handling av personuppgifter vid Skatteverkets medverkan i brottsutred- ningar. Syftet är att mot bakgrund av ikraftträdandet av den nya polisda- talagen (2010:361) utreda vilka författningsändringar som behövs för att underlätta ett modernt och effektivt brottsbekämpande arbete där hänsyn tas till den personliga integriteten för de registrerade. Skatteverket ska också analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser. I uppdraget, som ska redovisas den 1 mars 2014, ingår att lämna författningsförslag.

42

Prop. 2012/13:73 anges vilka sökbegrepp som får användas vid sökning i registren. För- ordningen innehåller inga bestämmelser om rättelse av felaktiga uppgif- ter eller om skadestånd för otillåten behandling av personuppgifter.

Inom Regeringskansliet pågår arbete med att utarbeta en ny reglering för behandlingen av personuppgifter inom åklagarväsendet. Arbetet utgår från Åklagardatautredningens betänkande Åklagarväsendets brottsbe- kämpning Integritet – Effektivitet (SOU 2008:87). I betänkandet föreslås en ny lag om behandling av uppgifter i åklagarväsendets brottsbekäm- pande verksamhet som ska ersätta den nu gällande förordningen. Lagen föreslås gälla i stället för personuppgiftslagen och utgå från personupp- giftslagens tillämpningsområde, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till person- uppgiftslagen som utredningen anser vara motiverade. Förslaget inne- håller också allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, bl.a. regler om person- uppgiftsansvar, ändamålet för behandlingen, behandling av känsliga personuppgifter, gallring samt utlämnande av personuppgifter och upp- giftsskyldighet.

4.9Behandling av personuppgifter vid andra myndigheter i rättskedjan

4.9.1Allmänna utgångspunkter

Tillämpningsområdet för dataskyddsrambeslutet omfattar även interna- tionellt straffrättsligt samarbete (bl.a. rättslig hjälp) och verkställighet av straffrättsliga påföljder.

Straffrättsligt samarbete hanteras framförallt av åklagarväsendet och de allmänna domstolarna. Åklagarnas roll är att ta emot framställningar om rättslig hjälp av olika slag och att begära rättslig hjälp av en annan stat inom ramen för brottmålsförfarandet. Enligt vissa författningar ska dom- stol i varierande utsträckning pröva frågor om rättslig hjälp eller meddela beslut som krävs för handläggningen av exempelvis överlämnanden enligt den europeiska arresteringsordern eller ärenden om rättslig hjälp. Vidare ska domstol besluta i vissa frågor som rör övertagande av straff- verkställighet. På verkställighetsstadiet berörs framför allt kriminalvår- den.

Som exempel på lagstiftning om rättsligt samarbete inom EU kan, för- utom den lagstiftning som redovisas i det följande, nämnas bl.a. lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arreste- ringsorder, lagen (2005:500) om verkställighet inom Europeiska unionen av frysningsbeslut, lagen (2009:1427) om verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Vi- dare kan nämnas lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Här lämnas inte någon redogörelse för dessa författningar, eftersom de varken innehåller några bestämmelser om personuppgiftsbehandling eller om användningsbegränsningar.

44

Prop. 2012/13:73 Personuppgifter som behandlas i löpande text eller i ljud- och bildupp- tagningar gallras enligt bestämmelserna i personuppgiftslagen. Det innebär att de ska gallras när de inte länge behövs.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förord- ningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans inom de allmänna domstolarna och de allmänna förvaltningsdomstolarna.

Inom Regeringskansliet pågår arbete med att ta fram förslag till ny reglering av behandlingen av personuppgifter vid domstolarna.

4.9.3 Kriminalvården

	Allmänt om regleringen
	Behandlingen av personuppgifter inom Kriminalvården regleras i lagen
	(2001:617) om behandling av personuppgifter inom kriminalvården och
	förordningen (2001:682) i samma ämne.
	Lagen innehåller vissa särbestämmelser i förhållande till personupp-
	giftslagen, som i övrigt gäller för Kriminalvårdens verksamhet. Lagen
	innehåller endast övergripande bestämmelser för behandlingen, medan
	förordningen bl.a. innehåller bestämmelser om de register som ska föras
	(centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade
	regler om vilka typer av uppgifter som får behandlas om olika
	personkategorier.
	Lagen gäller vid behandling av personuppgifter i fråga om personer
	som
	– är föremål för personutredning,
	– är häktade,
	– är dömda till fängelse, skyddstillsyn eller villkorlig dom med före-
	skrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff
	för böter eller vite, eller som på grund av utländsk dom ska verkställa
	någon av dessa påföljder i Sverige,
	– har ålagts förvandlingsstraff för böter eller vite,
	– på annan grund är intagna i häkte eller fängelse, eller
	– som annars transporteras av kriminalvårdens transporttjänst.
	Personuppgifter får behandlas enligt lagen bara om det är nödvändigt
	för att
	– Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag
	eller förordning,
	– underlätta tillgången till sådana uppgifter om verkställighet av på-
	följd eller häktning som rättsväsendets myndigheter behöver, eller
	– upprätthålla säkerheten och förebygga brott under häktning, verk-
	ställighet av påföljd, intagning av annat skäl eller transport.
	Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etni-
	ska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse,
	medlemskap i fackförening, hälsa eller sexualliv får inte behandlas enbart
	på grund av vad som är känt om personens sådana förhållanden. Om
	känsliga personuppgifter behandlas på annan grund, får uppgifterna kom-
46	pletteras med sådana personuppgifter om det är oundgängligen nödvän-

digt för syftet med behandlingen. Sådana uppgifter får inte användas som Prop. 2012/13:73 sökbegrepp, om inte regeringen har föreskrivit det.

Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om infor- mation enligt 26 § personuppgiftslagen får överklagas hos allmän för- valtningsdomstol. Beslutet ska dock först omprövas av Kriminalvården.

Register som regleras särskilt

I förordningen om behandling av personuppgifter inom kriminalvården finns bl.a. bestämmelser om vissa särskilda register. Det centrala krimi- nalvårdsregistret regleras i 34–36 §§ i förordningen. Ändamålet med re- gistret är dels att möjliggöra för myndigheten att fullgöra sina författ- ningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Registret omfattar endast personer som har dömts till fängelse, skydds- tillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av ut- ländsk dom ska verkställa en sådan påföljd i Sverige.

Säkerhetsregistret regleras i 39–41 och 43–46 §§. Ändamålet med re- gistret är att upprätthålla ordningen och att förebygga brott. Registret omfattar endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering förutsätter därutöver att vissa särskilda omständig- heter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).

4.9.4Kronofogdemyndigheten

Kronofogdemyndigheten har bl.a. till uppgift att driva in böter och så- dana ekonomiska förpliktelser som utgör särskild rättsverkan av brott.

Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet innehåller bestämmelser om behandling av person- uppgifter i myndighetens verksamhet. I 1 kap. 1 § anges att den verk- samhet som lagen tillämpas på är

–utsökning och indrivning,

–skuldsanering,

–betalningsföreläggande och handräckning,

–europeiskt betalningsföreläggande,

–tillsyn i konkurs, samt

–annan verksamhet som särskilt åligger Kronofogdemyndigheten. Lagen gäller i stället för personuppgiftslagen, om inte annat särskilt

anges i lagen.

47

Prop. 2012/13:73 Lagen består av tre kapitel, varav 1 kap. innehåller allmänna bestäm- melser och 2 kap. bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1–6 §§), betalningsföreläggande- och handräckningsdatabasen (7–12 §§), skuldsaneringsdatabasen (13– 18 §§), konkurstillsynsdatabasen (19–23 §§) och gemensamma bestäm- melser om databaserna (24–31 §§). I 3 kap. finns bestämmelser om en- skildas rättigheter.

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).

I 1 kap. 6 § regleras behandlingen av känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, reli- giösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får behandlas endast om uppgifterna har läm- nats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Lagen innehåller en allmän bestämmelse om gallring (1 kap. 7 §). För de olika databaserna finns specifika bestämmelser om ändamål, innehåll och gallring.

I 3 kap. finns regler om information till den registrerade (1 och 2 §§), rättelse och skadestånd (3 och 3 a §§) och överklagande (4 §).

4.10Lagstiftning om internationellt samarbete

4.10.1Allmänna utgångspunkter

Dataskyddsrambeslutets tillämpningsområde omfattar endast sådana uppgifter som överförs eller görs tillgängliga mellan stater inom EU, EU- organ eller EU-informationssystem. I rambeslutet regleras bl.a. överfö- ring till enskilda samt till tredjeland och internationella organ som sysslar med brottsbekämpning. I detta avsnitt redogörs för sådan lagstiftning som särskilt tar sikte på internationellt samarbete inom de verksam- hetsområden som berörs av rambeslutet och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.

För en mer allmän beskrivning av den lagstiftning som reglerar inter- nationellt samarbete, bl.a. avseende straffverkställighet, och det samar- bete som sker mellan medlemsstaterna och de viktigaste internationella organ som sysslar med brottsbekämpning hänvisas till avsnitt 4.9.1 och 5 i departementspromemorian Antagande av rambeslut om skydd av per- sonuppgifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (Ds 2008:30).

4.10.2 Lagstiftning om samarbete i den brottsbekämpande verksamheten

	Lagen om internationellt polisiärt samarbete
	I lagen (2000:343) om internationellt polisiärt samarbete regleras sam-
	arbete mellan svenska brottsbekämpande myndigheter och motsvarande
	myndigheter i andra medlemsstater i EU samt Norge och Island. Lagen
	reglerar bl.a. Schengensamarbetet och Prümsamarbetet, men även annat
48	polissamarbete som är konventionsbundet. I lagen anges vilka svenska

underrätta denne om vart uppgiften har sänts och för vilket ändamål Prop. 2012/13:73 (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller

om det kan befaras att underrättelsen skulle försvåra den utländska utred- ningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §).

Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som inne- håller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskri- vet i lag eller annan författning (4 kap. 2 §). Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av ut- ländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).

4.10.3Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begä- ran vidta åtgärder som exempelvis förhör under förundersökning, bevis- upptagning, kvarstad, husrannsakan och användning av hemliga tvångs- medel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om inter- nationell rättslig hjälp i brottmål.

Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlems- stater i Europeiska unionen samt Norge, Island, Schweiz och Liechten- stein.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rätts- lig hjälp beviljas även om den misstänkta gärningen inte utgör brott en- ligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §). Åklagaren får begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma utsträckning som för en motsvarande svensk förundersökningsåtgärd.

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgif- ter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som be- gränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller be- träffande villkor som en stat har ställt upp när den på eget initiativ lämnat

sådana uppgifter.

51

Prop. 2012/13:73 På motsvarande sätt får rättslig hjälp som lämnas av en svensk myn- dighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

5 Dataskyddsrambeslutet

5.1Bakgrund

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, (EUT L 350, 30.12.2008, s. 60, dataskyddsram- beslutet) utgör ett komplement till olika instrument om utvidgat polisiärt samarbete och rättsligt samarbete inom Europeiska unionen med inrikt- ning på utökat gränsöverskridande informationsutbyte.

I dataskyddsrambeslutets inledning framhålls att gemensamma insatser inom polissamarbete och straffrättsligt samarbete gör det nödvändigt att behandla information, men att det samtidigt måste finnas regler om skydd för personuppgifter. Gemensamma normer för behandling och skydd av personuppgifter kan både bidra till ett effektivare samarbete och värna grundläggande rättigheter, som rätten till ett privatliv och rätten till skydd för personuppgifter. I dataskyddsrambeslutet uttalas vidare att befintliga instrument på europeisk nivå inte är tillräckliga. Bakom detta uttalande ligger att dataskyddsdirektivet (se avsnitt 4.3) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.

5.2 Rambeslutets innehåll

	Syftet med dataskyddsrambeslutet, vilket framgår av artikel 1, är att
	säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter
	när det gäller behandling av personuppgifter inom ramen för polissamar-
	bete och straffrättsligt samarbete. Dataskyddsrambeslutet är endast till-
	lämpligt på uppgifter som överförs eller har överförts eller görs eller har
	gjorts tillgängliga mellan medlemsstater eller mellan medlemsstater och
	EU-organ samt informationssystem som har inrättats i enlighet med
	avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samar-
	bete. Det framgår av skäl 8 att det är medlemsstaternas avsikt att den nivå
	på dataskydd som fastställs för nationell behandling ska motsvara vad
	som föreskrivs i dataskyddsrambeslutet. Dataskyddsrambeslutet hindrar
	inte medlemsstaterna från att ha ett starkare skydd för behandling av
	personuppgifter än vad som anges i rambeslutet. Tillnärmningen av
	medlemsstaternas lagstiftningar bör inte leda till ett svagare skydd för
	personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger
	utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen
	(skäl 10).
	På samma sätt som när det gäller EU:s reglering av behandling av per-
	sonuppgifter inom ramen för den inre marknaden (dvs. dataskyddsdirek-
52	tivet) hindrar rambeslutet inte att principen om allmänhetens tillgång till

Prop. 2012/13:73 uppgifter mellan behöriga myndigheter inom medlemsstaten. Mottagaren ska i sådana fall se till att begränsningarna följs.

I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland och internationella organ respektive till privata subjekt i eller utanför medlemsstaterna. Överföring till tredjeland och internationella organ kräver som huvudregel samtycke av den behöriga myndigheten i den stat varifrån uppgifterna härrör och får ske bl.a. om det är nödvändigt för utredning eller lagföring av brott och förutsätter enligt artikel 13 som huvudregel dels att det finns en adekvat skyddsnivå för behandlingen av uppgifter i den mottagande staten, dels att den medlemsstat från vilken uppgifterna härrör har gett sitt samtycke till överföringen. Också överföring till privata subjekt enligt artikel 14 kräver att den behöriga myndigheten i den medlemsstat från vilken uppgifterna har erhållits samtycker till överföring i enlighet med sin nationella lagstiftning. Vidare krävs att överföringen är absolut nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller förhindra att enskildas rättigheter lider allvarlig skada. Det sagda gäller dock enligt skäl 18 inte vid utlämnande till privata parter i samband med brottmål.

Enligt artikel 15 ska mottagaren på begäran informera den behöriga myndighet som har överfört uppgifterna om hur dessa behandlas.

Artiklarna 16–20 reglerar den registrerades rättigheter i olika avseen- den, bl.a. rätten till information om behandlingen, rättelse av uppgifter, skadestånd till följd av otillåten personuppgiftsbehandling och tillgång till domstolsprövning vid kränkning.

Artiklarna 21 och 22 reglerar tystnadsplikt för den som får tillgång till personuppgifter enligt rambeslutet samt föreskriver krav på säkerhet i samband med behandlingen av uppgifter.

Enligt artikel 25 ska varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av be- handlingen av uppgifter som omfattas av beslutet. Den nationella till- synsmyndigheten ska enligt artikel 23 rådfrågas före behandling av per- sonuppgifter när nya personuppgiftsbehandlingssystem införs som an- tingen innefattar nya kategorier av känsliga uppgifter eller innebär sär- skilda risker för den registrerades grundläggande fri- och rättigheter.

För att säkerställa genomförandet av dataskyddsrambeslutet ska med- lemsstaterna enligt artikel 24 föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.

Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra avtal och överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga EU-rättsakter. Slutligen finns bestämmelser om genomförande av rambeslutet i artikel 27, om ut- värdering i artikel 29 och om ikraftträdande i artikel 30.

54

6	Genomförande av dataskyddsrambeslutet Prop. 2012/13:73

6.1Förbättrat integritetsskydd vid polissamarbete och straffrättsligt samarbete

När dataskyddsdirektivet i slutet av 1990-talet genomfördes i svensk rätt gjordes det i princip tillämpligt även på polisen och andra brottsbekäm- pande myndigheter, domstolarna och de myndigheter som verkställer straffrättsliga påföljder. Den generella regleringen i personuppgiftslagen kompletterades med särskilda registerförfattningar antingen för olika sektorer eller för enskilda register. Som exempel kan nämnas att den tidigare gällande polisdatalagen härrör från det lagstiftningsarbete som var ett led i genomförandet av en generell reglering av skyddet för personuppgifter. Detsamma gäller den lagstiftning om personupp- giftsbehandling som alltjämt gäller för domstolarna och kriminalvården.

Eftersom dataskyddsdirektivet formellt inte gäller för bl.a. statens verksamhet på straffrättens område, så varierar skyddet för sådana upp- gifter som överförs över gränserna. Vissa stater införde, i likhet med Sve- rige, även på straffrättens område i större eller mindre utsträckning data- skyddsregler som motsvarar direktivets förpliktelser.

När informationsutbytet inom EU inom ramen för polisiärt och straff- rättsligt samarbete intensifierades under början av 2000-talet, identifie- rade man ett ökat behov av dataskydd inom dessa båda områden, efter- som de faller utanför dataskyddsdirektivets tillämpningsområde. Data- skyddsrambeslutet innebär en generell förstärkning av integritetsskyddet för uppgifter som överförs över gränserna inom ramen för sådant samar- bete. Rambeslutet är dessutom tillämpligt på uppgifter som härrör från eller tillförs EU-datasystem och EU-organ. De gemensamma strävandena att förbättra dataskyddet inom EU innebär att svenska uppgifter som överlämnas inom ramen för EU-samarbete hänförligt till polisiärt och straffrättsligt samarbete generellt sett har ett starkare skydd i dag än tidigare. Ett stärkt integritetsskydd är ett viktigt svenskt intresse. Som framgår av avsnitt 4.3 pågår förhandlingar inom EU i syfte att stärka skyddet ytterligare.

6.2I vilken utsträckning kräver genomförandet av dataskyddsrambeslutet författningsreglering?

Regeringens bedömning: Artikel 1.2–4 om tillämpningsområdet, artikel 9.1 om tidsfrister för gallring, artiklarna 11–14 om bl.a. överfö- ring till tredjeland och till enskilda, artikel 16.2 om information, arti- kel 19.2 om jämkning av skadestånd och artikel 28 om förhållandet till tidigare rättsakter kräver författningsreglering.

Utredningens bedömning överensstämmer i huvudsak med regering- ens. Utredningen anser inte att delar av artikel 1.2 samt artiklarna 13.3, 19.2 och 28 kräver någon författningsreglering.

55

Prop. 2012/13:73	Remissinstanserna: Ingen av remissinstanserna invänder mot utred-
	ningens bedömning av vilka artiklar i dataskyddsrambeslutet som kräver
	författningsreglering.
	Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-
	ning.
	Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i
	denna del, utom Sveriges advokatsamfund som ställer sig bakom utred-
	ningens bedömning i fråga om artikel 13.3.
	Skälen för regeringens bedömning: Vid tillkomsten av dataskydds-
	rambeslutet utgjorde dataskyddsdirektivet en viktig inspirationskälla.
	Som tidigare nämnts innehåller regleringen för de myndigheter som
	berörs av rambeslutet i stor utsträckning redan bestämmelser som mot-
	svarar flertalet av artiklarna i dataskyddsrambeslutet. Genom att Sverige
	genomförde dataskyddsdirektivet i väsentliga delar även inom de sek-
	torer som dataskyddsrambeslutet reglerar, trots att de inte omfattades av
	direktivets tillämpningsområde, finns det redan ett välutvecklat data-
	skydd inom dessa sektorer. Reglerna behöver dock i några delar justeras
	eller kompletteras med anledning av dataskyddsrambeslutet. I proposi-
	tionen 2008/09:16 om godkännande av dataskyddsrambeslutet görs en
	översiktlig bedömning av vilka artiklar i rambeslutet som kan kräva ny
	lagstiftning i Sverige. Där uttalas att artikel 6 om behandling av känsliga
	personuppgifter, artikel 9 om iakttagande av överförande stats tidsfrister
	och artikel 20 om rättsmedel (i fråga om Skatteverkets behandling av
	personuppgifter) kan komma att kräva lagändring. I propositionen fram-
	hålls vidare att det behöver tydliggöras vilka delar av Säkerhetspolisens
	personuppgiftsbehandling som faller utanför rambeslutets tillämpnings-
	område.
	Vidare behöver enligt godkännandepropositionen vissa andra artiklar i
	rambeslutet analyseras närmare för att ge underlag att bedöma om det i
	något annat avseende behövs lagändringar eller kompletterande bestäm-
	melser för att svensk rätt ska uppfylla kraven i rambeslutet.
	Utredningen finner att artiklarna 1.2 a, 1.3 och 1.4 (om tillämpnings-
	området) samt artiklarna 3.2 (om vidarebehandling för annat ändamål), 9
	(om tidsfrister), 11–14 (om bl.a. överföring till tredjeland och till enskil-
	da) och 16.2 (om information till den registrerade) kräver lagstiftnings-
	åtgärder och föreslår att det införs en ny lag om användningsbegräns-
	ningar. Utredningen anser vidare att artikel 6, som behandlar känsliga
	personuppgifter, bör föranleda ändringar i befintliga registerförfattningar
	för de berörda myndigheterna. Utredningen anser också att det i alla
	myndigheters registerförfattningar bör anges att personuppgiftsbehand-
	ling får ske för att fullgöra förpliktelser som följer av internationella åta-
	ganden. Dessutom krävs det enligt utredningen följdändringar i form av
	hänvisningar till den nya lagen i myndigheternas registerförfattningar. I
	övrigt anser utredningen att dataskyddsrambeslutets bestämmelser inte
	kräver några lagstiftningsåtgärder.
	Regeringen instämmer i stora delar i de bedömningar utredningen gör
	när det gäller behovet av författningsändringar och återkommer i det
	följande till hur dessa bör genomföras. Till skillnad från utredningen
	anser dock regeringen att vissa delar av artikel 3.2 och artikel 9 inte krä-
	ver någon lagstiftningsåtgärd. Detsamma gäller artikel 6, vilket rege-
56	ringen återkommer till. Däremot kräver ett par artiklar, utöver de som

utredningen har angett, författningsreglering. Det gäller ytterligare delar Prop. 2012/13:73 av artikel 1.2 (om tillämpningsområdet), artikel 13.3 (om överföring i

vissa fall till tredjeland och internationella organ), artikel 19.2 (om ska- destånd) och artikel 28 (om förhållandet till tidigare rättsakter).

Även innehållet i skälen 45–47 (om förhållandet till Island, Norge, Schweiz och Liechtenstein) och skäl 18 (överföring till enskilda i sam- band med brottmål) bör återspeglas i den nya lagen. Utöver detta krävs det inte någon författningsreglering.

6.3Normgivningsnivån

Regeringens förslag: De återstående delarna av dataskyddsrambe- slutet genomförs i huvudsak genom en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har något att invända

mot utredningens förslag. Kriminalvården delar utredningens slutsats att det finns anledning att införa en ny lag med generella bestämmelser om användningsbegränsningar. Lunds universitet anser att för överskådlig- hetens skull är en särskild lag att föredra framför ändringar i de olika lagar som reglerar behandlingen av personuppgifter. Tullverket har inget att invända mot att rambeslutet genomförs på det sätt som föreslagits, men framhåller att på sikt bör aktuella användningsbegränsningar regle- ras i registerförfattningarna för att underlätta tillämpningen.

Uppsala universitet anser dock att den föreslagna regleringen kommer att fortsätta att bidra till att området blir svåröverskådligt. Skilda regler för personuppgiftsbehandling beroende på om det handlar om rent natio- nell behandling eller om gränsöverskridande personuppgiftsbehandling kan leda till tillämpningsproblem, eftersom samma uppgifter och infor- mation kan förekomma i skilda sammanhang och en uppgift som härrör från en stat kan blandas med och kompletteras av uppgifter från andra stater. Vidare är det enligt universitetet en brist att flera av de gällande regleringarna på området har formen av förordning, trots att skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen jämförd med 2 kap. 20 § regeringsformen motiverar att lagform används. Enligt universitetet framstår det som angeläget att dessa brister beaktas i lagstiftningsarbetet.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden tillstyr- ker den utformning lagen fått i utkastet till lagrådsremiss men framhåller att regleringen blir komplex och svåröverskådlig. Nämnden anser vidare att en mer precis benämning på lagen bör övervägas eftersom den före- slagna benämningen ger intryck av att lagen har ett vidare tillämpnings- område än den faktiskt har.

57

författning med samma regler är en mindre lyckad lösning. Det är därför Prop. 2012/13:73 bättre att införa en ny, sektorsgemensam lag. Som redovisas i avsnitt 4

pågår för närvarande lagstiftningsarbete för att utforma nya eller ändrade registerförfattningar inom flera av de aktuella områdena. Det mer omfat- tande lagstiftningsarbete som Uppsala universitet efterlyst för att komma till rätta med att vissa av registerförfattningarna endast har förordnings- form är varken lämpligt eller möjligt att genomföra inom ramen för detta lagstiftningsärende. Tullverket tar upp frågan hur regleringen bör se ut på längre sikt. Mot bakgrund av det reformarbete som pågår inom EU och Europarådet (se avsnitt 4.2 och 4.3) finns det inte anledning att nu binda sig för hur regleringen bör se ut i framtiden.

Lagens benämning

Utredningen föreslår att den nya lagen ska benämnas ”lag om använd- ningsbegränsningar vid behandling av personuppgifter vid polissamar- bete och straffrättsligt samarbete inom Europeiska unionen”. Regeringen anser att en annan benämning bör väljas och instämmer i Säkerhets- och integritetsskyddsnämndens uppfattning om behovet av en preciserad rubrik. Skälen för att utredningens förslag inte bör väljas är dels att lagen reglerar även annat än användningsbegränsningar, dels att benämningen bör spegla lagens huvudsyfte. Regeringen anser att den nya lagen bör benämnas ”Lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unio- nen".

6.4Den nya lagens tillämpningsområde

6.4.1Allmänt om tillämpningsområdet

Regeringens förslag: Den nya lagen ska gälla för behandling av per- sonuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för po- lissamarbete och straffrättsligt samarbete görs eller har gjorts tillgäng- liga eller överförs eller har överförts mellan en svensk myndighet och en stat som är medlem i EU, eller Island, Norge, Schweiz eller Liech- tenstein, eller ett EU-organ eller ett EU-informationssystem.

Lagen ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling, om uppgifterna som be- handlas ingår i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen ska i viss utsträckning också gälla när svenska myndigheter överför till eller gör personuppgifter tillgängliga för en annan stat som är medlem i EU, Island, Norge, Schweiz eller Liechtenstein, ett EU- organ eller ett EU-informationssystem.

En justering av de tillåtna ändamålen för behandling görs i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den tydliggör att Tullverket, i likhet med andra brottsbekämpande

59

Prop. 2012/13:73 myndigheter, får behandla personuppgifter också i syfte att förebygga brottslig verksamhet.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen, som anser att lagens tillämpningsområde ska knytas till de myn- digheter som kommer att tillämpa lagen, behandlar inte frågan om ram- beslutets tillämpning på personuppgifter som överförs till eller från Island, Norge, Schweiz eller Liechtenstein. Vidare lämnar utredningen inget förslag om lagens tillämpning på svenska myndigheters överföring av personuppgifter till andra stater. Eftersom utredningen inte bedömer det vara nödvändigt att reglera behandling av personuppgifter som över- förs till eller från ett EU-organ eller ett EU-informationssystem lämnar utredningen inte något förslag i denna del. Utredningen tar inte heller upp frågan om tillämpningsområdet bör påverkas av tidigare beslutade rättsakter.

Remissinstanserna: Den övervägande delen av remissinstanserna till- styrker förslaget eller lämnar det utan invändningar. Ett antal remissin- stanser anser att begränsningen till helt eller delvis automatiserad be- handling medför otydligheter. Förvaltningsrätten i Linköping framhåller att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form av överklaganden, yttranden och andra skrivelser.

Uppsala universitet anser att avgränsningen av lagen till att inte om- fatta personuppgifter som överförs från EU-myndigheter, EU-organ eller EU-gemensamma informationssystem framstår som omotiverad. Univer- sitetet menar också att det faktum att olika regler gäller för rent nationell personuppgiftsbehandling och gränsöverskridande personuppgiftsbe- handling kan leda till vissa tillämpningsproblem. Även Tullverket anser att det skulle underlätta för tillämparen om det direkt av lagtexten fram- gick att personuppgifter också kan ha tagits emot från eller gjorts till- gängliga av aktuella informationssystem och inte enbart direkt från medlemsstater. Tullverket välkomnar förslaget att lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga eftersom detta både förtydligar bestämmelsen och harmoniserar den i förhållande till vad som gäller för polisen enligt polisdatalagen (2010:361). Ekobrottsmyndigheten framhåller att de i den föreslagna bestämmelsen om tillämpningsområdet uppräknade myndig- heterna bör anges i den ordning som är vedertagen i författningstext. Svea hovrätt påpekar att utredningen inte anger hur uppgifter som Sve- rige har tagit emot från bl.a. en EES-stat ska behandlas.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: Svea hovrätt konstaterar att den i det tidigare ytt- randet framförda synpunkten att en så enhetlig reglering som möjligt inom EU och Norden bör eftersträvas är helt tillgodosedd genom ut- formningen av 2 § i utkastet till lagrådsremiss. Säkerhets- och integritets- skyddsnämnden tillstyrker den utvidgning av lagens tillämpningsområde som förslaget i utkastet till lagrådsremiss innebär i förhållande till utred- ningens förslag. Nämnden anser dock att en erinran om att det finns andra författningar som också innehåller bestämmelser om skydd för

60

personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU Prop. 2012/13:73 bör införas i den föreslagna lagen. Rättsmedicinalverket framhåller att

verket faller utanför lagens tillämpningsområde. Om regeringens avsikt är att myndigheten ska omfattas av den föreslagna lagen, anser verket att detta behöver analyseras ytterligare i lagstiftningsärendet.

Skälen för regeringens förslag

Allmänna utgångspunkter

Rambeslutet syftar till att stärka skyddet för personuppgifter som över- förs inom ramen för polissamarbete och straffrättsligt samarbete. Därmed är det endast vissa myndigheter som berörs. Begreppet polissamarbete omfattar inte bara polisens verksamhet utan tar sikte på all brottsbekäm- pande verksamhet oavsett vilken myndighet som bedriver den. I Sverige bedrivs brottsbekämpning av såväl polisen som av Tullverket, Kustbe- vakningen och i viss utsträckning Skatteverket samt av åklagare. Straff- rättsligt samarbete involverar åklagare och domstolar samt, när det gäller verkställighet av straffrättsliga påföljder, Kriminalvården och Kronofog- demyndigheten.

Mot bakgrund av att regleringen i rambeslutet endast omfattar uppgif- ter som överförts inom ramen för nyssnämnda samarbete – och därmed också bara berör ett fåtal myndigheter och endast delar av deras verk- samhet – är avgränsningen av den nya lagens tillämpningsområde en vital fråga. Utredningen väljer att knyta tillämpningsområdet till vissa namngivna myndigheter. Regeringen anser, av skäl som utvecklas när- mare i det följande, att rambeslutet förutsätter en djupare analys när det gäller tillämpningsområdet.

Artikel 1 i rambeslutet, som reglerar rambeslutets syfte och tillämp- ningsområde, innehåller inte några bestämmelser som i sig kräver lag- stiftningsåtgärder. Olika delar av artikeln, framför allt punkterna 2, 3 och 4, har dock betydelse för hur den nya lagens tillämpningsområde bör avgränsas. De behandlas därför i det följande.

Förebygga, utreda, avslöja eller lagföra brott samt verkställa påföljder

Enligt den inledande delen av artikel 1.2 omfattar rambeslutet bara sådan personuppgiftsbehandling som sker när personuppgifter överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Utredningen föreslår att lagen endast ska gälla för vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samar- bete och att lagen ska innehålla en uppräkning av de myndigheter som ska tillämpa den.

Syftet med rambeslutet är att skapa ett enhetligt skydd för personupp- gifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Rambeslutet utgår från att det ska tillämpas av myndigheter som bedriver sådan verksamhet och på informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller för- draget om upprättande av Europeiska gemenskapen. Detta framgår av

artikel 1.1. Rambeslutet innehåller bestämmelser både om hur sådana

61

Prop. 2012/13:73	uppgifter får samlas in för vissa ändamål och hur de får vidarebehandlas
	för andra ändamål. Regleringen får indirekt betydelse även för behand-
	lingen nationellt genom att svenska uppgifter som ska överföras till en
	annan medlemsstat måste hanteras så att kraven i rambeslutet kan upp-
	fyllas. Lagens tillämpningsområde bör därför inte, som utredningen före-
	slår, begränsas till vidarebehandling av sådana uppgifter som svenska
	myndigheter har tagit emot.
	Den närmare avgränsningen av vilka typer av uppgifter som rambe-
	slutet omfattar regleras i artikel 1.2, av vilken framgår att rambeslutet ska
	tillämpas på uppgifter som överförs i syfte att förebygga, utreda, avslöja
	eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen
	anser att det är en bättre lagteknisk lösning att knyta an till uppräkningen
	av verksamhetsuppgifter i rambeslutet än att, som utredningen föreslår, i
	lag räkna upp de myndigheter som ska tillämpa lagen. En uppräkning av
	det slaget riskerar snabbt att bli inaktuell. Dessutom kan en sådan upp-
	räkning ge intryck av att den är uttömmande och att lagen således inte
	gäller för andra myndigheter som eventuellt kan komma att få tillgång till
	uppgifter som har överförts enligt rambeslutets bestämmelser, t.ex. myn-
	digheter som endast i liten utsträckning fullgör åklagaruppgifter eller
	verkställer straffrättsliga påföljder. Eftersom det inte finns någon defi-
	nition av begreppet ”polisiärt samarbete”, medför utredningens förslag
	dessutom en risk för att informationsutbyte av annat slag som sker via
	framför allt polisiära kanaler kan komma att träffas av regleringen trots
	att det inte är avsikten.
	Utöver polisen och åklagarväsendet är det som nyss nämnts framförallt
	Kustbevakningen, Skatteverket, Tullverket, Kriminalvården, Kronofog-
	demyndigheten och de allmänna domstolarna som kommer att utföra
	personuppgiftsbehandlingar som träffas av rambeslutets tillämpningsom-
	råde och som därför bör omfattas av den nya lagen. Även andra myndig-
	heter, t.ex. Statens institutionsstyrelse, kan i undantagsfall komma att
	utföra sådana personuppgiftsbehandlingar som bör omfattas av lagen för
	att rambeslutets krav ska tillgodoses. Denna myndighet kan exempelvis
	komma att få del av överförda personuppgifter i samband med verkstäl-
	lighet av sluten ungdomsvård. Det kan inte heller uteslutas att även andra
	myndigheter i något fall kan komma att få del av personuppgifter som
	omfattas av den föreslagna lagen. Som Rättsmedicinalverket framhåller
	kommer verket inte att direkt omfattas av lagen eftersom myndighetens
	verksamhet inte utgör brottsbekämpning eller verkställighet av påföljder.
	Även om andra myndigheter inte får sådana uppgifter som omfattas av
	lagen direkt från en annan medlemsstat eller ett EU-organ, så kan de få
	dem via någon av de myndigheter som är det primära målet för regle-
	ringen. Rambeslutet förutsätter att personuppgifterna ska vara skyddade
	hos alla myndigheter, om uppgifterna och behandlingen omfattas av
	rambeslutets tillämpningsområde. Enligt regeringens mening bör den
	föreslagna lagen därför inte begränsas till att gälla enbart hos vissa upp-
	räknade myndigheter utan gälla generellt för personuppgiftsbehandling i
	verksamhet som har till syfte att förebygga, utreda, avslöja eller lagföra
	brott eller verkställa påföljder, oavsett hos vilken myndighet behand-
	lingen sker. Genom att myndigheterna inte namnges så saknar den av
	Ekobrottsmyndigheten framförda synpunkten om hur myndigheterna bör
62	räknas upp betydelse.

Prop. 2012/13:73 pelvis personuppgifter som kommer att flyta in i belastningsregistret, misstankeregistret, strafförelägganderegistret och ordningsbotsregistret, om uppgifterna är av den arten att rambeslutet är tillämpligt.

Förenklat kan man säga att den föreslagna lagen kommer att innehålla vissa särskilda dataskyddsregler som gäller när personuppgifter som förts över medlemsstatsgränserna behandlas i exempelvis brottsbekämpande verksamhet. Bestämmelserna i t.ex. polisdatalagen och kustbevaknings- datalagen utgör dock fortfarande grunden för den behandling som äger rum när uppgifterna har mottagits. Exempelvis krävs det att polisdatala- gen ger stöd för att polisen behandlar personuppgifterna för ett visst ändamål. Säkerhets- och integritetsskyddsnämnden anser att detta för- hållande bör tydliggöras genom att det i den föreslagna lagen införs en bestämmelse som erinrar om att det finns andra författningar som inne- håller bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Enligt regeringens mening är det tillräckligt att det i myndigheternas registerförfattningar införs bestäm- melser om hur dessa förhåller sig till den nya lagen.

Personuppgifter från andra medlemsstater, EU-organ och EU-informa- tionssystem

Enligt artikel 1.2 ska rambeslutet tillämpas på uppgifter som förs över eller görs tillgängliga, eller har överförts eller gjorts tillgängliga,

a)mellan medlemsstater,

b)av medlemsstater till EU-organ eller EU-informationssystem, eller

c)av EU-organ eller EU-informationssystem till medlemsstater. Utredningen anser att det är tillräckligt om den nya lagens tillämp-

ningsområde omfattar uppgifter som en myndighet har tagit emot från en annan medlemsstat, eller som har gjorts tillgängliga av en annan med- lemsstat. Skälet för detta är att de uppgifter som är aktuella enligt utred- ningens mening alltid kan sägas ha sitt ursprung i en medlemsstat, även i en situation där uppgiften senare överförs från ett EU-organ eller ett EU- informationssystem.

Tullverket invänder mot utredningens förslag i denna del och framhål- ler att tillämpningen av lagen skulle underlättas om det direkt av lagtex- ten framgår att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem. Även Uppsala universitet invänder mot utredningens resonemang. Enligt universitetet kan det knappast uteslutas att uppgifter som behandlas av EU-organen samman- förs och kompletteras med andra uppgifter, så att ny information fram- träder. Regeringen delar universitetets uppfattning. Utredningens förslag kan resultera i att vissa personuppgifter, som är tänkta att omfattas av rambeslutets skyddsregler, faller utanför lagens tillämpningsområde. Detta gäller exempelvis sådana uppgifter som inhämtats inom ramen för Europols samarbete med Interpol, där uppgifterna inte härrör från en annan medlemsstat i EU (jfr prop. 2008/09:14 s. 6). Vidare är en av Europols huvuduppgifter att – med hjälp av information som erhålls från medlemsstaterna – bearbeta, analysera och vidareutveckla kunskaperna om gränsöverskridande, grov organiserad brottslighet. Med utredningens förslag skulle uppgifter som härrör från sådan bearbetning inte ha samma

skydd som motsvarande uppgifter som bearbetats i en medlemsstat. En-

64

Utredningen behandlar inte denna fråga. Inte heller remissinstanserna Prop. 2012/13:73 berör frågan.

Svensk lagstiftning om behandling av personuppgifter skyddar i viss utsträckning även juridiska personer (se t.ex. 1 kap. 3 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen). Med tanke på att den lag som nu föreslås har som enda syfte att genomföra dataskyddsrambeslutet, framstår det enligt regeringens mening som mindre lämpligt att låta lagen ha ett annat tillämpningsområde än rambeslutet. Det innebär att lagen i likhet med rambeslutet bara bör skydda uppgifter om fysiska personer.

Helt eller delvis automatiserad personuppgiftsbehandling

Enligt artikel 1.3 gäller rambeslutet bara för sådan behandling av person- uppgifter som helt eller delvis utförs automatiskt samt för annan behand- ling av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

Utredningen föreslår att den nya lagen ska tillämpas också på annan personuppgiftsbehandling än automatiserad, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Remissinstanserna fram- för inga invändningar mot utredningens förslag i denna del. Några re- missinstanser efterlyser dock en definition av begreppet automatiserad. Förvaltningsrätten i Linköping anser att en definition av begreppet auto- matiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form för överklaganden, yttranden och andra skrivelser.

Regeringen instämmer i utredningens förslag till hur bestämmelsen bör formuleras. Begreppet ”automatiserad” är att föredra framför det i ram- beslutet använda begreppet ”automatiskt”. Förslaget motsvarar regle- ringen i 5 § personuppgiftslagen. Vad beträffar den av Förvaltningsrät- ten i Linköping framförda synpunkten noterar regeringen att begreppet automatiserad förekommer både i personuppgiftslagen och i olika regis- terförfattningar. Begreppet är således allmänt vedertaget. Någon defi- nition av begreppet är enligt regeringens mening därför inte nödvändig.

Att lagen görs tillämplig på manuellt behandlade uppgifter som kom- mer att ingå i ett register innebär att det inte bara är uppgifter som över- förs och behandlas elektroniskt som kan komma att omfattas. Motsva- rande reglering i personuppgiftslagen har varit utgångspunkt vid utform- ningen av den särlagstiftning som gäller för de myndigheter som regle- ringen i huvudsak riktar sig till. Exempelvis har författningarna om per- sonuppgiftsbehandling inom polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och Kriminalvården alla samma reglering i detta avseende.

Som tidigare nämnts faller också uppgifter i vissa register som regleras i andra författningar än myndigheternas generella registerförfattningar under lagens tillämpningsområde.

67

Prop. 2012/13:73 verksamhet som bedrivs inom området. Denna formulering omfattar i stort sett hela Säkerhetspolisens nuvarande verksamhet men innebär inte att myndigheten som sådan är undantagen från lagens tillämpningsom- råde. Självfallet är begreppet inte avsett att innefatta mera än vad som följer av artikel 1.4, vilket Sveriges advokatsamfund hyser farhågor för.

Med anledning av Lunds universitets synpunkt att begreppet ”nationell säkerhet” inte har ett klart och tydligt innehåll i gällande svensk straffrätt och även Sveriges advokatsamfunds åsikt att begreppet inte är vederta- get, vill regeringen framhålla att det valda begreppet är avsett att genom- föra en bestämmelse i ett EU-instrument. Det är inte självklart att ett begrepp som används i ett EU-instrument alltid har en direkt svensk motsvarighet. Vidare är det enligt regeringens mening viktigt att undan- taget i lagen inte görs snävare än undantaget i rambeslutet. Mot den bak- grunden anser regeringen att nationell säkerhet är ett lämpligt begrepp.

Regeringen återkommer i författningskommentaren närmare till vad uttrycket nationell säkerhet omfattar.

6.5Definitioner

Regeringens bedömning: Artikel 2 i rambeslutet om definitioner kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser har inte någon

invändning mot utredningens bedömning i denna del. Åklagarmyndig- heten menar dock att centrala begrepp som ”vidarebehandling av person- uppgifter” och ”automatiserad spridning”, som inte förekommer i per- sonuppgiftslagen, bör definieras för att undvika oklarheter och otydlig- heter. Ekobrottsmyndigheten och Kriminalvården framför liknande syn- punkter. Ekobrottsmyndigheten ifrågasätter också om begreppet vidare- behandling överhuvudtaget bör användas i lagregleringen då det inte är ett vedertaget begrepp. Myndigheten föreslår att enbart ordet behandling ska användas, tillsammans med en beskrivning av den behandling som avses. Förvaltningsrätten i Linköping påpekar att det varken i lagen eller i delbetänkandet redovisats hur begreppet automatiserad definieras och att en definition av begreppet är av stor vikt.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Regeringen delar utredningens uppfattning att rambeslutets artikel 2, som innehåller definitioner, inte kräver någon lagstiftningsåtgärd. Några av remissinstanserna, däribland

Åklagarmyndigheten och Kriminalvården, efterlyser en definition av begreppet vidarebehandling. Ekobrottsmyndigheten går ett steg längre och ifrågasätter om begreppet vidarebehandling överhuvudtaget bör användas i den nya lagen, eftersom det inte är ett vedertaget begrepp. Regeringen delar uppfattningen att det är svårt att förutse effekterna av

att använda begreppet vidarebehandling i den nya lagen. Som framgår av

70

avsnitt 6.4.1 är det inte heller nödvändigt att använda detta begrepp. Prop. 2012/13:73 Därmed finns det inget behov av att införa en definition av begreppet

vidarebehandling. Detsamma gäller det av utredningen föreslagna ut- trycket ”automatiserad spridning”.

Några remissinstanser, bl.a. Förvaltningsrätten i Linköping, anser att begreppet automatiserad bör definieras i den nya lagen. Den frågan be- handlas i avsnitt 6.4.1.

6.6Ändamål med behandlingen

6.6.1Allmänt om ändamålen

Regeringens bedömning: Rambeslutets bestämmelser om grundläg- gande principer kräver ingen lagstiftning.

Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna kommenterar inte frågan.
Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-
ning.
Remissinstanserna har inga invändningar mot utkastet till lagråds-
remiss i denna del.
Skälen för regeringens bedömning: Rambeslutet ska, som tidigare
nämnts, bara tillämpas på personuppgiftsbehandling som sker för de
verksamheter som anges i rambeslutet (polissamarbete och straffrättsligt
samarbete; artikel 1). Regleringen kan därför sägas syfta till att skydda
enskilda från att deras personuppgifter sprids eller hanteras på ett felak-
tigt sätt av framför allt de brottsbekämpande myndigheterna. Artikel 3
anger de grundläggande principer som ska gälla vid myndigheternas
hantering av personuppgifter. Utgångspunkten är att brottsbekämpande
och verkställande myndigheter får behandla personuppgifter i den verk-
samheten.
I artikel 3.1 föreskrivs att personuppgifter får samlas in endast för sär-
skilda, uttryckligt angivna och berättigade ändamål. Behandlingen ska
vara lagenlig, adekvat, relevant och inte orimlig i förhållande till det
ändamål för vilket uppgifterna samlades in.
I 9 § första stycket personuppgiftslagen anges att personuppgifter får
samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål
(punkt c). Uppgifterna ska också vara adekvata och relevanta i förhål-
lande till ändamålen med behandlingen (punkt e). Dessa regler motsvarar
således reglerna i artikel 3.1 i rambeslutet.
Bestämmelserna i 9 § första stycket c och e personuppgiftslagen gäller
för alla de aktuella myndigheterna (9 § c gäller dock inte för Tullverket),
antingen på grund av att registerförfattningarna hänvisar till den bestäm-
melsen eller genom att de registerförfattningar som gäller utöver person-
uppgiftslagen saknar bestämmelser i frågan. Lagen (2005:787) om
behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning
till 9 § första stycket c personuppgiftslagen. Däremot anges i 7 och 8 §§ i
förstnämnda lag för vilka ändamål personuppgiftsbehandling får ske. I
9 § samma lag föreskrivs att uppgifter i Tullverkets brottsbekämpande	71

Prop. 2012/13:73 verksamhet inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Regleringen är alltså uttömmande, vilket är skälet till att det inte hänvisas till 9 § första stycket c personuppgiftslagen, se propositio- nen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50). Enligt regeringens mening får de aktuella bestämmelserna i Tullverkets registerförfattning anses uppfylla de krav som ställs i artikel 3.1 i rambeslutet på särskilda, uttryckligt angivna och berättigade ändamål. Regeringen bedömer mot denna bakgrund i likhet med utredningen att några nya bestämmelser inte behöver införas med anledning av artikel 3.1 i rambeslutet.

6.6.2Behandling för andra ändamål än de ursprungliga

Regeringens förslag: Personuppgifter som har överförts eller gjorts tillgängliga för visst ändamål får – förutom för det ursprungliga ända- mål för vilka uppgifterna överfördes eller gjordes tillgängliga – be- handlas bara för vissa i lagen särskilt angivna andra ändamål. Dessa ändamål är sådana där syftet med behandlingen är att

–förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

–vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

–avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får behandlas även för andra ändamål, om den som

överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

	Utredningens förslag överensstämmer delvis med regeringens. Utred-
	ningen föreslår att det i den nya lagen också ska föreskrivas att vidarebe-
	handling för ett nytt ändamål inte får vara oförenlig med det ursprungliga
	ändamålet samt att vidarebehandlingen måste vara nödvändig och pro-
	portionerlig.
	Remissinstanserna: Remissinstanserna framför inga invändningar mot
	utredningens förslag i denna del.
	Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
	Remissinstanserna: Tullverket framför att det för Tullverkets del är
	nödvändigt med en bestämmelse om att vidarebehandling bara får ske
	om den inte är oförenlig med det ändamål för vilket uppgifterna ur-
	sprungligen samlades in (finalitetsprincipen), eftersom 9 § d personupp-
	giftslagen (1998:204) inte gäller i Tullverkets brottsbekämpande verk-
	samhet. Tullverket förespråkar i första hand att en ändring görs i 6 § 3
	lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm-
	pande verksamhet, så att personuppgiftslagens bestämmelse om finali-
	tetsprincipen blir tillämplig i verkets verksamhet, i andra hand att en
	bestämmelse om finalitetsprincipen förs in i den föreslagna lagen.
	Kronofogdemyndigheten efterlyser ett klargörande av vad som gäller
	för den överlämnade informationen vid handläggning av andra mål hos
72	myndigheten. Myndigheten hänvisar till att det av 4 kap. 11 § UB följer

att samordning ska ske av samtliga hos myndigheten inneliggande mål, Prop. 2012/13:73 vilket innebär att myndigheten ska använda sig av den information som

den har tillgång till. Samtidigt menar myndigheten att handläggning av andra mål inte kan anses rymmas inom de undantag som räknas upp i utkastet, i och med att de inte behöver ha med vare sig brottslighet eller allmän säkerhet att göra.

Skälen för regeringens förslag: Enligt artikel 3.1 i rambeslutet är, som nyss nämnts, utgångspunkten att en myndighet får behandla en personuppgift endast för det ändamål, dvs. det brott, den straffrättsliga påföljd etc., som uppgiften ursprungligen överfördes för. Om en myn- dighet vill använda en personuppgift för ett annat ändamål än det ur- sprungliga sätter de grundläggande principerna i artikel 3.2 och reglerna i artikel 11 gränserna för myndighetens möjligheter att göra detta.

Utredningen föreslår att artikel 11 och delar av artikel 3.2 ska genom- föras genom en särskild bestämmelse i den nya lagen.

Artikel 11 i rambeslutet föreskriver att personuppgifter, i enlighet med kraven i artikel 3.2, får vidarebehandlas endast för vissa särskilt angivna ändamål utöver dem för vilka de överfördes eller gjordes tillgängliga. Ändamålen kan sammanfattningsvis sägas ha anknytning till polisiärt och straffrättsligt samarbete. Enligt artikel 11 får således vidarebehand- ling av personuppgifter ske

a)för att förebygga, utreda, avslöja, eller lagföra andra brott eller verk- ställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b)för andra rättsliga eller administrativa förfaranden med direkt an- knytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten,

d)för varje annat syfte endast med förhandsmedgivande från den över- förande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.

Bestämmelserna i artikel 11 saknar motsvarighet i svensk lag. Rege- ringen delar därför utredningens bedömning att artikel 11 bör genomfö- ras genom en särskild bestämmelse i den nya lagen.

Artikel 3.2 a i rambeslutet föreskriver att vidarebehandling för annat ändamål än det för vilket uppgifterna ursprungligen samlades in är tillå- ten om behandlingen inte är oförenlig med de ändamål för vilka uppgif- terna samlades in (finalitetsprincipen). Denna del av artikel 3.2 får anses uttolkad i artikel 11, som handlar just om för vilka ändamål vidarebe- handling av överförda uppgifter generellt får ske i brottsbekämpande verksamhet. Något behov av en särskild reglering för att genomföra arti- kel 3.2 a finns därför inte enligt regeringens mening. Det kan ändå note- ras att artikeln i denna del motsvarar 9 § första stycket d personuppgifts- lagen, som bygger på dataskyddsdirektivet. Artikel 5 b i Europarådets dataskyddskonvention innehåller en motsvarande bestämmelse. Bestäm- melserna i 9 § första stycket d personuppgiftslagen gäller för alla de

aktuella myndigheterna utom Tullverket, antingen på grund av att regis-
terförfattningarna hänvisar till den bestämmelsen eller genom att de
registerförfattningar som gäller utöver personuppgiftslagen saknar be-
stämmelser i frågan. Lagen om behandling av uppgifter i Tullverkets	73

Prop. 2012/13:73 brottsbekämpande verksamhet, som gäller i stället för personuppgiftsla- gen, innehåller ingen hänvisning till 9 § första stycket d personuppgifts- lagen. Enligt Tullverket bör därför i första hand en ändring göras i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet, så att finalitetsprincipen blir tillämplig i hela verkets verksamhet. I andra hand bör enligt verket en bestämmelse om finalitets- principen föras in i den föreslagna lagen. Det är inte möjligt att inom ramen för detta lagstiftningsprojekt genomföra de ändringar i Tullverkets registerförfattning som verket efterlyser. Som nyss nämnts finns det enligt regeringens mening heller ingen anledning att införa en särskild reglering av finalitetsprincipen i den nya lagen.

Hänvisningen till artikel 3.2 i artikel 11, innebär bl.a. att vidarebe- handling för de i artikel 11 angivna ändamålen endast får ske om myn- digheten har laglig behörighet att behandla uppgifter för det nya ända- målet (artikel 3.2 b) och behandlingen är nödvändig och proportionerlig i förhållande till det nya ändamålet (artikel 3.2 c). Artikel 3.2 b kan sägas ha sin motsvarighet i 9 § första stycket a i personuppgiftslagen, som föreskriver att personuppgifter bara får behandlas om det är lagligt och som är en grundläggande princip som gäller för alla berörda myndig- heter. Ytterst är det myndighetens instruktion och andra författningar som avgör om myndigheten är behörig att behandla personuppgifter för det aktuella ändamålet. Artikel 3.2 c motsvaras av bl.a. 9 § första stycket e och f personuppgiftslagen. Mot bakgrund av dessa regler anser rege- ringen att rambeslutet i dessa delar är uppfyllt.

Den bestämmelse som införs i den nya lagen för att genomföra artikel 11 innebär att brottsbekämpande och verkställande myndigheter fram- förallt får behandla överförda personuppgifter i verksamhet som har mer eller mindre direkt anknytning till brottsbekämpning, rättsliga förfaran- den och verkställighet av påföljder. Vad beträffar Kronofogdemyndig- heten får myndigheten således använda sig av den information myndig- heten fått tillgång till genom nu aktuellt samarbete i andra mål, men endast i den mån dessa avser rättsliga eller administrativa förfaranden med direkt anknytning till straffverkställighet, t.ex. för att driva in böter. Behandling utan sådan anknytning, t.ex. samordning med annan exekutiv verksamhet, är således inte tillåten beträffande uppgifter som överförts eller gjorts tillgängliga med stöd av rambeslutet.

6.6.3Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål

Regeringens förslag: Det ska framgå av lagen att behandling av upp- gifter för historiska, statistiska eller vetenskapliga ändamål är tillåten.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Flertalet remissinstanser kommenterar inte för-
	slaget i denna del. Uppsala universitet påpekar att vidarebehandling av
	personuppgifter för historiska, statistiska eller vetenskapliga ändamål
	enligt rambeslutet är tillåten om medlemsstaterna föreskriver lämpliga
	skyddsåtgärder. Enligt utredningen finns tillräckliga skyddsregler i per-
74	sonuppgiftslagen (1998:204). I den föreslagna lagen anges därför enbart

upplysningsvis att personuppgifter får vidarebehandlas för historiska, Prop. 2012/13:73 statistiska eller vetenskapliga ändamål. Någon hänvisning till de skydds-

åtgärder som finns i personuppgiftslagen ges dock inte. Eftersom person- uppgiftslagen är subsidiär till annan lagstiftning, kan enligt universitetet en sådan lagstiftningsteknik vara missledande.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: Av artikel 3 sista stycket tillsammans med artikel 11 sista stycket framgår att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål alltid är tillåten, oavsett medgivande från den överförande staten, under förutsättning att den nationella lagstiftningen innehåller bestämmelser om tillräckliga skydds- åtgärder. Exempel på sådana skyddsåtgärder anges i artiklarna vara av- identifiering av uppgifterna. Även om rambeslutets bestämmelser är mer detaljerade, finns en bestämmelse med samma innebörd i artikel 6 i data- skyddsdirektivet. Enligt denna artikel ska behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål inte anses vara oför- enlig med de ursprungliga ändamål för vilka uppgifterna samlades in, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Be- stämmelsen i dataskyddsdirektivet har genomförts genom 9 § andra stycket personuppgiftslagen. Av förarbetena till personuppgiftslagen framgår att den svenska arkivlagstiftningen ansågs uppfylla kraven på tillräckliga skyddsåtgärder enligt dataskyddsdirektivet (prop. 1997/98:44 s. 47 f.). I propositionen om antagande av dataskyddsrambeslutet gjordes bedömningen att rambeslutet, med några enstaka undantag, inte kräver några lagändringar när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål.

Utredningen anser att det för tydlighetens skull bör införas en upplys- ningsbestämmelse i den nya lagen om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål. Utöver Uppsala universitet har remissinstanserna inga invändningar mot utredningens förslag i denna del.

Regleringen i 9 § andra stycket personuppgiftslagen gäller visserligen för samtliga berörda myndigheter utom Tullverket. Eftersom ändamåls- bestämmelsen i den nya lagen kommer att omfatta all vidarebehandling måste frågan om behandling för historiska, statistiska och vetenskapliga ändamål ändå regleras i lagen. Regeringen delar därför utredningens uppfattning att en bestämmelse om vidarebehandling för sådana ändamål bör införas. I motsats till utredningen anser dock regeringen att det bör vara en materiell bestämmelse. Den kritik som Uppsala universitet fram- för har således visst fog. Den svenska arkivlagstiftningen uppfyller enligt regeringens mening de krav på skyddsåtgärder som ställs upp i rambe- slutet. Genom den lösning som regeringen föreslår kommer möjligheten att behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål att vara desamma för alla myndigheter, inkluderande Tullverket.

75

Prop. 2012/13:73 Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyser en särskild bestämmelse i den nya lagen som anger att reglerna i lagen inte hindrar den personuppgiftsbehandling som krävs när all- männa handlingar lämnas ut i enlighet med offentlighetsprincipen. Enligt regeringens mening är en sådan bestämmelse onödig, eftersom det redan av den rådande normhierarkin följer att den nya lagen inte kan tillämpas i strid med grundlag. Dessutom finns i 8 § personuppgiftslagen en upplys- ningsbestämmelse som klargör att regleringen i lagen inte hindrar utläm- nande av allmänna handlingar med stöd av 2 kap. tryckfrihetsförord- ningen. Denna paragraf gäller för alla de myndigheter som är aktuella i detta sammanhang, antingen på grund av uttryckliga hänvisningar i myn- digheternas registerförfattningar eller på grund av att registerförfattning- arna gäller utöver personuppgiftslagen. Regeringen anser därför att det saknas skäl att i den nya lagen införa en sådan bestämmelse som Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyst.

Lagrådet anser att eftersom personuppgiftslagen är subsidiär till annan lag och förordning skulle den föreslagna regleringen om överföring till enskilda kunna läsas så att 8 § personuppgiftslagen inte skulle ”gälla” i förhållande till den nya lagen. För att undvika detta förordar Lagrådet att det i den aktuella paragrafen införs en hänvisning till 8 § personupp- giftslagen. Regeringen har förståelse för Lagrådets synpunkter men kon- staterar att den typ av bestämmelse som föreslås i den nya lagen även finns i andra författningar som inte innehåller någon hänvisning till 8 § personuppgiftslagen. En sådan hänvisning i den föreslagna lagen som Lagrådet efterfrågar skulle därför kunna ge upphov till osäkerhet om vad som gäller i de författningar där en motsvarande hänvisning saknas. En hänvisning skulle även kunna förmedla det felaktiga intrycket att det endast är 8 § och inte andra bestämmelser i personuppgiftslagen som kan komma att aktualiseras vid behandling av uppgifter enligt den nya lagen. Regeringen anser därför att någon sådan hänvisning inte bör införas men att det kan göras tydligare att bestämmelsen inte uttömmande reglerar allt utlämnande. Bestämmelsen bör i övrigt i allt väsentligt utformas i enlighet med Lagrådets förslag.

Vad gäller Kammarrätten i Sundsvalls fråga om hur villkor om an- vändningsbegränsningar förhåller sig till meddelarfriheten bör framhållas att frågan om meddelarfrihet råder beträffande en viss uppgift är något som regleras i tryckfrihetsförordningen, yttrandefrihetsgrundlagen och offentlighets- och sekretesslagen. Eftersom frågan om meddelarfrihet inte har någon direkt anknytning till frågan om personuppgiftsbehandling finns det inget skäl att gå in på den här.

	6.6.5	Ska internationella åtaganden vara ett särskilt
		ändamål?
	Regeringens förslag: I lagen om behandling av uppgifter i Tullver-
	kets brottsbekämpande verksamhet införs en generell bestämmelse om
	att Tullverket får behandla uppgifter för att fullgöra förpliktelser som
	följer av internationella åtaganden. Detta kräver vissa följdändringar i
78	lagen.

Prop. 2012/13:73	tullsamarbete. Denna begränsning innebär att bl.a. samarbete inom ramen
	för Tullverkets polisiära befogenheter faller utanför, eftersom lagen
	(2000:343) om internationellt polisiärt samarbete då tillämpas i stället
	(prop. 1999/2000:122 s. 28 f.). Även sådant samarbete som regleras i
	lagen (2000:562) om internationell rättslig hjälp i brottmål (se 2 kap.
	11 § lagen om internationellt tullsamarbete) och samarbetet enligt lagen
	(2003:1174) om vissa former av internationellt samarbete i brottsutred-
	ningar faller, med den nuvarande formuleringen, utanför. Vidare kan en
	internationell förpliktelse ha sin grund i annat än samarbete och även av
	det skälet falla utanför tillämpningsområdet för lagen om internationellt
	tullsamarbete (se 1 kap. 1 § nämnda lag). Eftersom Tullverkets register-
	författning gäller i stället för personuppgiftslagen och innehåller en ut-
	tömmande uppräkning av för vilka ändamål personuppgifter får behand-
	las, är det nödvändigt att ändra 7 § 3 lagen om behandling av uppgifter i
	Tullverkets brottsbekämpande verksamhet om informationsutbyte över
	gränserna ska kunna utvecklas. Tullverket välkomnar också det tydliggö-
	rande av bestämmelsen som utredningen föreslår. Regeringen instämmer
	således i utredningens bedömning att det i lagen om behandling av per-
	sonuppgifter i Tullverkets brottsbekämpande verksamhet bör införas en
	generell bestämmelse om personuppgiftsbehandling för att fullgöra inter-
	nationella åtaganden.
	Vissa ytterligare förändringar är nödvändiga för att ge ändringen i
	7 § 3 genomslag i resten av lagen, men behovet av sådana följdändringar
	berörs inte av utredningen. Ändringar bör enligt regeringens mening
	göras i 15 § (behandling av uppgifter som har samband med internatio-
	nella åtaganden), 19 § (vad som får behandlas i tullbrottsdatabasen) och
	21 § (tillåtna sökningar). Anpassningar av 15 och 19 §§ bör göras genom
	att man ändrar hänvisningarna till tullsamarbete till hänvisningar till
	internationella åtaganden. I 21 § regleras vilka sökbegrepp som får
	användas och för vilka syften. Andra stycket föreskriver vissa undantag
	från begränsningarna i första stycket. Det bör framgå att första stycket
	inte heller gäller vid sökning som krävs för att Tullverket ska kunna
	fullgöra förpliktelser som följer av internationella åtaganden. Genom
	dessa ändringar ges uttryckligt stöd för den behandling som Tullverket
	kan vara förpliktat att utföra genom internationella åtaganden.
	Lagrådet anser att en snävare avgränsning av den personkrets som
	föreslås i 15 § andra stycket lagen bör övervägas, eftersom förslaget
	innebär att en vidare personkrets än den som ansvarar för verksamhet
	enligt 7 § 3 får tillgång till överförda eller tillgängliggjorda uppgifter.
	Förslaget i lagrådsremissen innebär att personkretsen ändras från ”perso-
	ner som arbetar med tullsamarbete” till ”personer som arbetar med inter-
	nationella åtaganden”. Inledningsvis kan noteras att 15 § redan i dag har
	en vidare lydelse än 7 § 3. Bestämmelserna kan dock sägas höra ihop
	med varandra då de båda snävar in möjligheten att behandla eller få till-
	gång till uppgifter för nu aktuellt syfte. Skälet till att 7 § 3 bör ändras är
	att den nuvarande ändamålsbestämmelsen är så snävt utformad att den
	inte ens täcker hela det internationella samarbete som Tullverket är för-
	pliktat att medverka i genom bl.a. Sveriges medlemskap i EU. Syftet med
	den följdändring som görs i 15 § är endast att åstadkomma samma för-
	hållande mellan 7 § 3 och 15 § som dessa bestämmelser har i dag. Per-
80	sonkretsen i 15 § utvidgas således inte i förhållande till 7 § 3. Regeringen

Prop. 2012/13:73 och oberoende av om informationsöverföringen är ett svenskt intresse eller inte. Ett exempel är det samarbete som sker med stöd av lagen om internationellt tullsamarbete. Inom ramen för det nu aktuella ändamålet kan även mer informella kontakter tas, om dessa har stöd i internationella åtaganden. Regleringen begränsar inte hur informations- utbytet får ske.

6.7Villkor för användningen av uppgifter

6.7.1Villkor som ställs upp av utländska organ

Regeringens förslag: Svenska myndigheter ska följa villkor som ställts upp av den som överför uppgifterna eller gör dem tillgängliga, oavsett vad som annars är föreskrivet i lag eller annan författning.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår även att villkor om att den enskilde inte får informeras om behandlingen samt att alla villkor om gallringsfrister ska regleras i lag.

Remissinstanserna: Utredningens förslag i denna del kommenteras inte av remissinstanserna, med undantag för Svea hovrätt som instämmer i bedömningen att det finns anledning att införa bestämmelser om an- vändningsbegränsningar i den nya lagen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Sveriges advokatsamfund delar inte regeringens bedömning att en reglering som rör uppställda villkor för hur länge upp- gifter får behandlas kan placeras i förordning, utan anser att samtliga frågor ska regleras i lag.

	Skälen för regeringens förslag
	Bakgrund
	När en utländsk myndighet överför personuppgifter till en svensk myn-
	dighet är det inte ovanligt att den utländska myndigheten ställer upp vissa
	villkor för hur personuppgifterna får användas. Det kan handla om för
	vilka ändamål uppgifterna får användas, till vilka personer, myndigheter
	och organ som uppgifterna får överföras och under hur lång tid uppgif-
	terna får bevaras etc.
	Det finns flera författningar som innehåller regler om vad som gäller
	när en svensk myndighet erhåller uppgifter från en utländsk myndighet
	och det ställs villkor för hur uppgifterna får användas. Dessa författ-
	ningar är bl.a. lagen (2000:343) om internationellt polisiärt samarbete,
	lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen
	(2000:1174) om vissa former av internationellt samarbete i brottsutred-
	ningar och lagen (2000:1219) om internationellt tullsamarbete. Enligt
	alla dessa lagar är svenska myndigheter skyldiga att följa de villkor som
	ställs av en utländsk myndighet (eller mellanfolklig organisation) i fråga
	om hur lämnad information få användas, även om villkoren skulle stå i
	strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående till-
82	lämpningen).

Prop. 2012/13:73 villkor som ställs upp av svenska myndigheter får ha, återkommer rege- ringen till frågan i avsnitt 6.7.2.

Villkor för hur länge uppgifterna får behandlas

Enligt artikel 9.1 i rambeslutet får den som överför eller gör en uppgift tillgänglig meddela tidsfrister för lagring av uppgifterna efter vilka mot- tagaren ska radera eller blockera uppgifterna, eller kontrollera om upp- gifterna fortfarande behövs. Detta ska dock inte gälla om uppgifterna vid utgången av tidsfristen behövs för pågående utredning, lagföring av brott eller verkställighet av straffrättslig påföljd. Om den överförande myndig- heten inte har angett någon specifik tidsfrist, ska de principer för hur länge uppgifter får behandlas som anges i artiklarna 4 och 5 tillämpas.

Utredningen föreslår att artikel 9.1 ska genomföras genom en särskild bestämmelse i den nya lagen. Av integritetsskyddsskäl anser utredningen att skyldigheten att följa av andra stater angivna frister bara ska gälla om fristen är kortare än den frist som annars skulle gälla enligt svensk lag. I övrigt bedömer utredningen att artikeln inte kräver några författningsänd- ringar.

Regeringen instämmer i huvudsak i utredningens bedömning vad gäller behovet av att reglera villkor för hur länge uppgifter får behandlas, men anser att det till viss del kan göras i förordning. Av lagen bör framgå att en svensk myndighet – trots villkor om gallring – får fortsätta att be- handla uppgifter som behövs för pågående utredning, lagföring eller verkställighet. Sveriges advokatsamfund anser att alla regler som rör villkor för hur länge uppgifter får behandlas bör placeras i lag. Gallrings- regler av motsvarande slag finns i dag såväl i lag som i förordning. Enligt regeringens uppfattning bör mer detaljerade regler om hur uppställda frister ska iakttas regleras i förordning i stället för i lag, vilket regeringen avser att göra.

Villkor om att den registrerade inte ska informeras

Artikel 16, som reglerar den enskildes rätt till information om person- uppgiftsbehandling rörande honom eller henne, föreskriver i punkt 2 att den som överför personuppgifter får kräva att den registrerade inte ska informeras om behandlingen. Om ett sådant villkor har ställts upp får mottagaren av de överförda uppgifterna inte informera den registrerade utan medgivande från den som överförde uppgifterna.

Utredningen föreslår att en bestämmelse om detta ska införas i den nya lagen. Remissinstanserna framför inte några invändningar mot förslaget i denna del.

Regeringen instämmer i utredningens bedömning av behovet av regle- ring. Enligt regeringens uppfattning är dock bestämmelsen av sådant slag att den bör regleras i förordning, vilket regeringen avser att göra.

84

Prop. 2012/13:73 Ett exempel på när behov av villkor kan föreligga är när materialet som överlämnas är aktuellt i en pågående svensk förundersökning. Om utred- ningen är i ett känsligt skede kan åklagaren vilja ha garantier för att materialet inte används på ett sätt som kan skada utredningen, dvs. att den förundersökningssekretess som gäller ska respekteras av mottagaren. Ett annat exempel är att handlingar som ett svenskt företag åläggs eller är berett att förete innehåller affärshemligheter, för vilka sekretess gäller enligt svensk rätt och vilkas röjande skulle kunna skada företaget. I så- dana fall bör villkor ställas upp för att skydda den till vars skydd sek- retessen gäller. Ett tredje exempel är när material överlämnas som in- hämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Enligt svenska regler ska sådant material förstöras senast när domen vunnit laga kraft. Om material av det slaget överlämnas finns det skäl att ställa villkor om att det ska förstöras när det rättsliga förfarandet är avslutat i den andra staten.

Rambeslutet föreskriver att villkor som ställts vid överföring till en ut- ländsk mottagare inte får innehålla andra begränsningar än sådana som gäller vid motsvarande nationella överföringar. Detta får förstås så att det inte är tillåtet att ställa upp andra villkor än sådana som finns i det svenska regelsystemet om bl.a. sekretess och gallring. Denna begräns- ning bör för tydlighetens skull framgå direkt av lagen. Villkoren får givetvis inte heller stå i strid med Sveriges internationella åtaganden. Så kan t.ex. vara fallet om informationen härrör från tredjeland och det gäl- ler särskilda villkor för svenska myndigheters rätt att använda informa- tionen i fråga. I sådana fall torde det, även om överföringen godtas av ursprungsstaten, stå i strid med åtagandet att inte ställa upp samma vill- kor i förhållande till den nya mottagaren.

Lagrådet framför uppfattningen att frågan om användningsbegräns- ningar och den praktiska hanteringen av dem kan vara värda en grundli- gare analys och närmare överväganden, men att det aktuella lagstift- ningsärendet inte är den naturliga platsen för det. Regeringen delar Lagrådets uppfattning att principiella frågor om användningsbegräns- ningar inte bör behandlas i detta sammanhang.

6.8Behandling av känsliga personuppgifter

Regeringens bedömning: Några lagstiftningsåtgärder bör inte vidtas med anledning av rambeslutets bestämmelser om behandling av käns- liga personuppgifter.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen föreslår att regleringen om behandling av känsliga personuppgifter i myndigheternas registerförfattningar görs enhetlig, vilket utredningen betecknar som enbart en språklig justering. Den for- mulering utredningen föreslår ska väljas är att behandling av känsliga personuppgifter får ske endast om den är absolut nödvändig.

Remissinstanserna: Flertalet remissinstanser har inga invändningar mot utredningens förslag i denna del. Svea hovrätt avstyrker dock de

föreslagna ändringarna i registerförfattningarna när det gäller införandet

86

Prop. 2012/13:73	Utredningen bedömer att några ändringar inte behöver göras i person-
	uppgiftslagen med anledning av rambeslutets bestämmelser om känsliga
	personuppgifter. Utredningen föreslår däremot att regleringen i myndig-
	heternas registerförfattningar görs enhetlig så att det i alla registerförfatt-
	ningar uppställs samma krav, nämligen krav på att behandlingen ska vara
	”absolut nödvändig” för att känsliga personuppgifter ska få behandlas.
	I all lagstiftning om behandling av personuppgifter har behandling av
	känsliga personuppgifter getts en särställning. Enligt 13 § personupp-
	giftslagen (1998:204) är det i princip förbjudet att behandla känsliga
	personuppgifter utan enskildas samtycke. Definitionen av vad som är
	känsliga personuppgifter är densamma i personuppgiftslagen som i ram-
	beslutet. Om sådana uppgifter måste behandlas i offentlig verksamhet
	utan samtycke, behövs det särskilda och avvikande bestämmelser för i
	vilka fall detta får göras. De olika registerförfattningar som gäller för nu
	aktuella verksamhetsområden innehåller särskilda regler om behandling
	av känsliga personuppgifter. I vissa av författningarna föreskrivs att om
	personuppgifter om en person behandlas på annan grund så får känsliga
	personuppgifter behandlas om det är nödvändigt för syftet med behand-
	lingen. I andra registerförfattningar föreskrivs att känsliga uppgifter i
	motsvarande situation får behandlas endast om det är oundgängligen eller
	absolut nödvändigt. Registerförfattningarna för domstolarna anger att
	känsliga personuppgifter får behandlas om de behövs för handläggningen
	av målet eller ärendet, medan 2 kap. 10 § polisdatalagen och 2 kap. 7 §
	kustbevakningsdatalagen är generellt formulerade och föreskriver att
	känsliga personuppgifter får behandlas om det är ”absolut nödvändigt”.
	Några remissinstanser, däribland Uppsala universitet och Göteborgs
	tingsrätt, ifrågasätter om inte en ändring från ”nödvändig” till ”absolut
	nödvändig” i vissa författningar innebär en skärpning. Uppsala universi-
	tet anser att de föreslagna ändringarna är bra eftersom de medför en en-
	hetlig terminologi, medan Göteborgs tingsrätt ifrågasätter om den före-
	slagna ändringen är nödvändig för att uppfylla kraven i rambeslutet.
	Som framgår av redogörelsen ovan är bestämmelserna om behandling
	av känsliga personuppgifter formulerade på något olika sätt i registerför-
	fattningarna. Gemensamt för dem alla är dock att de är avsedda att ge ett
	extra starkt skydd för känsliga personuppgifter. Den fråga som först
	måste besvaras är om rambeslutet kräver en ändring av befintliga be-
	stämmelser om känsliga personuppgifter för att artikel 6 i rambeslutet
	ska vara uppfylld. Regeringen anser att så inte är fallet. Unionsrätten
	kräver inte att rambeslut införlivas ordagrant i nationell rätt utan enbart
	att ändamålet med regleringen uppfylls. Vissa registerförfattningar
	använder inte exakt samma formulering som rambeslutet utan föreskriver
	att känsliga personuppgifter får behandlas om det är ”nödvändigt” i stäl-
	let för om det är ”absolut nödvändigt”. Även om inte rambeslutets exakta
	formulering används, framgår det tydligt av författningarna att behand-
	ling av känsliga personuppgifter aldrig får ske om det inte finns tillräck-
	liga sakliga skäl som gör behandlingen nödvändig i det enskilda fallet.
	Härtill kommer att flera av bestämmelserna i registerförfattningarna
	ställer upp som extra krav att behandling inte får ske enbart på grundval
	av känsliga personuppgifter. Enligt regeringens mening uppfyller därför
	svensk rätt redan i dag kraven i artikel 6, en uppfattning som delas av
88	Svea hovrätt och Göteborgs tingsrätt. Eftersom såväl domstolarnas som

Prop. 2012/13:73 förarbetena till diskrimineringslagen (2008:567) bedömde regeringen att betänkandet inte gav tillräckligt stöd för att ta bort begreppet ras ur alla författningar (prop. 2007/08:95 s. 120). Regeringen ansåg emellertid att bruket av begreppet i lagtext skulle kunna ge legitimitet åt rasistiska föreställningar och kunna befästa ras som en existerande kategori. Det ansågs därför inte önskvärt att använda begreppet i diskrimineringslagen. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen. Riksdagen antog förslaget (bet. 2009/10:KU19, rskr. 2009/10:304.). I regeringsformen används i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (2 kap. 12 och 24 §§ regeringsformen). Med ”annat liknande förhållande” avses främst sådana föreställningar om ras som omfattades av tidigare reglering (prop. 2009/10:80 s. 152).

Eftersom unionsrätten inte kräver att ett direktiv eller rambeslut inför- livas ordagrant i nationell rätt utan bara att ändamålet med regleringen uppfylls, finns det inte något hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med något annat begrepp som har samma innebörd. Regeringen anser dock att det inte är lämpligt att, utan särskild utredning, i detta lagstiftningsärende utmönstra ordet ras endast i vissa registerförfattningar och därmed rubba den vedertagna beskriv- ningen av känsliga personuppgifter som finns bl.a. i 13 § personupp- giftslagen. Regeringen har dock för avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning (jfr prop. 2011/12:45 s. 94).

6.9Rätten till information

Regeringens bedömning: Rambeslutets bestämmelser om enskildas rätt till information kräver inte några ändringar eller kompletteringar av lagar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över förslaget i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Artikel 16 i rambeslutet innehål- ler bestämmelser om den registrerades rätt till information vid person- uppgiftsbehandling rörande henne eller honom. Artikel 16.2, som regle- rar villkor om att någon information inte ska lämnas till den registrerade, behandlas i avsnitt 6.7.1. Enligt artikel 16.1 ska medlemsstaterna se till att den registrerade informeras i enlighet med nationell lagstiftning när personuppgifter samlas in eller behandlas. Av skäl 27 framgår att de närmare villkoren för den registrerades rätt att bli informerad ska fast- ställas i nationell lagstiftning. Där framgår vidare att den information som avses kan lämnas på ett generellt sätt, t.ex. genom lagstiftning eller genom offentliggörande av en förteckning över olika typer av uppgiftsbe-

handling.

90

Prop. 2012/13:73 ning, eller i beslut som har meddelats med stöd av författning, är före- skrivet att uppgifter inte får lämnas ut till den registrerade. I förarbetena till 27 § personuppgiftslagen sägs bl.a. att bestämmelser om sekretess och tystnadsplikt får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i dataskyddsdirektivet (prop. 1997/98:44 s. 84 f.).

Enligt 8 a § personuppgiftslagen, som bygger på artikel 13 i data- skyddsdirektivet, får regeringen meddela föreskrifter om undantag bl.a. från bestämmelserna om rätt till information, om det är nödvändigt med hänsyn till

a)rikets säkerhet,

b)försvaret,

c)allmän säkerhet,

d)förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,

e)åtal för brott,

f)ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,

g)myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c–f, eller

h)skyddet av fri- och rättigheter.

	Undantagsgrunderna i 8 a och 27 §§ personuppgiftslagen motsvarar i
	allt väsentligt de undantagsgrunder som anges i artikel 17.2 rambeslutet.
	Enligt regeringens mening uppfyller således svensk rätt kraven i artikeln.
	Utöver registerförfattningarna för de olika myndigheterna och person-
	uppgiftslagen, finns det ett antal författningar som innehåller särskilda
	bestämmelser för vissa register. Dessa är bl.a. lagen (1998:620) om be-
	lastningsregister och lagen (1998:621) om misstankeregister med tillhö-
	rande förordningar, förordningen (1997:902) om register över strafföre-
	läggande och förordningen (1998:903) om register över förelägganden av
	ordningsbot. Även lagen (2000:344) om Schengens informationssystem
	kan räknas till denna kategori. Lagen om belastningsregister innehåller
	detaljerade bestämmelser om den enskildes rätt till information om per-
	sonuppgiftsbehandling i registret, som uppfyller rambeslutets bestäm-
	melser. Lagen om misstankeregister innehåller också särskilda bestäm-
	melser om den enskildes rätt till information, men rätten till information
	är enligt denna författning mer begränsad än motsvarande rätt enligt
	personuppgiftslagen. Skälet till begränsningarna är att information om
	misstankar skulle kunna skada den brottsbekämpande verksamheten, ett
	skäl som överensstämmer med de i artikel 17.2 i rambeslutet angivna
	undantagen. De övriga författningarna innehåller inga särskilda bestäm-
	melser om rätt till information. I stället är bestämmelserna i personupp-
	giftslagen tillämpliga. Som angetts tidigare bedömer regeringen att detta
	innebär att svensk rätt väl uppfyller kraven i rambeslutet och att det inte
	finns något behov av lagstiftningsåtgärder när det gäller nu aktuella för-
	fattningar.
	Artikel 17.3 i rambeslutet föreskriver att en vägran att lämna informa-
	tion till den enskilde enligt huvudregeln ska vara skriftlig och innehålla
	skälen för vägran. Om vägran att lämna information grundas på något av
	undantagen i artikel 17 behöver några skäl inte anges. Den registrerade
	ska underrättas om möjligheten att överklaga till den nationella tillsyns-
92	myndigheten, en rättslig myndighet eller till domstol. Bestämmelserna i

artikel 17.3 i rambeslutet kräver inte några lagstiftningsåtgärder. Rege- Prop. 2012/13:73 ringen återkommer i avsnitt 6.11 till rätten att överklaga en myndighets

beslut om information.

6.10Skadestånd, rättelse och sanktioner

6.10.1Skadestånd

Regeringens förslag: Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen ska inte tillämpas på uppgifter som omfattas av den nya lagen.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen berör inte frågan om regleringen i 48 § personuppgiftslagen är förenlig med artikel 19.2 i rambeslutet.

Remissinstanserna yttrar sig inte över förslaget i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag

Skadestånd

Enligt artikel 19.1 i rambeslutet ska var och en som lidit skada till följd av en otillåten personuppgiftsbehandling ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada han eller hon har lidit. Det är inte möjligt att undgå skadeståndsansvar genom att åberopa att behandlingen avser uppgifter som har överförts från annat land och som var felaktiga redan vid överföringen. Däremot kan den skadeståndsskyldige ha rätt till regressvis ersättning från den som över- förde de felaktiga uppgifterna.

Utredningen anser att artikeln inte kräver några ändringar eller tillägg i svensk rätt, med undantag för förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över före- lägganden av ordningsbot. I fråga om dessa författningar föreslår utred- ningen att de kompletteras med hänvisningar till 48 § personuppgiftsla- gen. Som stöd för bedömningen åberopar utredningen regleringen i 48 § personuppgiftslagen. I 48 § personuppgiftslagen föreskrivs att den per- sonuppgiftsansvarige ska ersätta den registrerade för skada och kränk- ning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat.

Regeringen delar utredningens bedömning att 48 § personuppgiftslagen uppfyller kraven i artikel 19.1 i rambeslutet. Eftersom registerförfattning- arna för de myndigheter som är berörda av dataskyddsrambeslutet inne- håller hänvisningar till personuppgiftslagens skadeståndsbestämmelser uppfyller svensk lagstiftning rambeslutets krav i denna del. Förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot, som saknar hänvisningar till personupp- giftslagens bestämmelse om skadestånd, bör som utredningen föreslår

93

Prop. 2012/13:73 kompletteras med sådana hänvisningar. Regeringen avser att vidta dessa förordningsändringar.

Enligt 48 § andra stycket personuppgiftslagen kan ersättningsskyldig- heten jämkas i den utsträckning det är skäligt, om den personuppgiftsan- svarige visar att felet inte berodde på honom eller henne. Någon motsva- rande möjlighet till jämkning av uppkommen skadeståndsskyldighet finns inte enligt dataskyddsrambeslutet. Tvärtom anges i artikel 19.2 att det inte går att undkomma skadeståndsansvar genom att åberopa att felet fanns redan när uppgiften i fråga överfördes. Frågan om jämkningsregeln i 48 § andra stycket personuppgiftslagen är förenlig med rambeslutet diskuterades i propositionen om godkännande av dataskyddsrambeslutet. Där sägs bl.a. att den omständigheten att en myndighet har möjlighet att göra gällande regressansvar mot en utländsk myndighet regelmässigt torde medföra att jämkning inte kommer i fråga (prop. 2008/09:16 s. 56). I propositionen framhölls dock att frågan om den svenska regleringen är förenlig med rambeslutet borde utredas närmare. Utredningen anser – utan någon närmare analys – att det inte finns skäl att ändra reglerna om jämkning av skadestånd.

Regeringen anser att jämkningsmöjligheten i 48 § andra stycket per- sonuppgiftslagen inte är förenlig med artikel 19.2 i rambeslutet. Mot den bakgrunden bör det i den nya lagen föreskrivas att 48 § andra stycket personuppgiftslagen inte gäller för uppgifter som har överförts vid sådant polisiärt eller straffrättsligt samarbete som rambeslutet omfattar. En hänvisning till den bestämmelsen bör införas i lagen (1998:620) om belastningsregister, eftersom avvikande regler i den lagen har företräde framför den nya lagen.

Regressrätt mellan stater

Det andra ledet i artikel 19.2 i rambeslutet reglerar möjligheten till regressrätt mellan stater när skadeståndsansvar har uppkommit på grund av en uppgift som var felaktig redan vid överföringen från en annan stat. Regeringen framhöll i propositionen om godkännande av dataskyddsram- beslutet att staternas regressanspråk är att se som ett folkrättsligt åta- gande som inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att i ett lämpligt sammanhang överväga en reglering av for- merna för handläggningen av sådana regresskrav. Utredningen lämnar inget förslag i frågan under hänvisning till att den bör ses över i ett större sammanhang.

Regeringen instämmer i utredningens bedömning.

6.10.2Rättelse

Regeringens bedömning: Rambeslutets bestämmelser om rättelse kräver inga lagändringar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

94

Prop. 2012/13:73 verket, Kriminalvården och domstolarna, innehåller bestämmelser med denna innebörd. Svensk rätt uppfyller därför artiklarna 4, 8 och 18 i ram- beslutet såvitt gäller berörda myndigheters registerförfattningar.

Däremot saknar förordningen (1997:902) om register över strafföre- lägganden och förordningen (1997:903) om register över förelägganden av ordningsbot hänvisningar till personuppgiftslagens bestämmelse om rättelse. Dessa författningar innehåller inte heller några särskilda regler om rättelse. För att svensk rätt fullt ut ska leva upp till dataskyddsrambe- slutets artikel 18 bör nämnda förordningar förses med bestämmelser om rättelse. Regeringen avser att genomföra dessa förordningsändringar.

6.10.3Sanktioner

Regeringens bedömning: Rambeslutets regler om sanktioner kräver inga lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 24 i rambeslutet ska medlemsstaterna föreskriva effektiva, proportionella och avskräck- ande påföljder för överträdelse av bestämmelser som antagits i enlighet med rambeslutet. I skäl 30 anges bl.a. att det ankommer på varje med- lemsstat att själv fastställa vilka påföljder som ska tillämpas vid överträ- delse av de nationella dataskyddsbestämmelserna.

Utredningen bedömer att artikel 24 inte kräver några ändringar eller tillägg i svensk rätt. Som skäl för bedömningen hänvisar utredningen till tidigare bedömningar av samma fråga.

Regeringen delar utredningens bedömning. Frågor om sanktioner för brott mot dataskyddsbestämmelser har diskuterats dels vid genomföran- det av dataskyddsdirektivet (prop. 1997/98:44 s. 108), dels vid genomfö- randet av rådets beslut 2007/533 av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), prop. 2009/10:86 s. 53 f, dels inför godkännandet av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssy- stemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132 s. 17). I dessa sammanhang konstaterade regeringen att straffbestämmelserna i brotts- balken om dataintrång, tjänstefel och brott mot tystnadsplikt är tillräck- liga för att uppfylla de krav på sanktioner som har ställts. Regeringen gör ingen annan bedömning i detta fall. Artikel 24 i rambeslutet kräver såle- des inte några lagstiftningsåtgärder.

96

Prop. 2012/13:73 av personuppgiftsansvarig i personuppgiftslagen. Numera finns dock en sådan bestämmelse i 52 § personuppgiftslagen. Mot denna bakgrund är det enligt regeringens mening inte nödvändigt att införa en bestämmelse om rätt att överklaga beslut om att inte lämna ut information i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsut- redningar.

6.12Överföring av personuppgifter till tredjeland

Regeringens förslag: Personuppgifter får föras över till tredjeland eller ett internationellt organ endast om

–den som överfört eller gjort uppgifterna tillgängliga för svensk myndighet medgett att de överförs,

–det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straff- rättsliga påföljder,

–mottagaren har ansvar för sådan verksamhet, och

–den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den av- sedda personuppgiftsbehandlingen.

Om det generella kravet på adekvat skyddsnivå inte är uppfyllt, kan uppgifter ändå få överföras i ett enskilt fall om överföringen är moti- verad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse, eller om mottagaren tillhandahåller tillräckliga skyddsåtgärder i det enskilda fallet.

Om medgivande på grund av tidsbrist inte kan utverkas i förväg, får överföring ändå ske om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att överföring ska få ske utan medgivande endast om det är absolut nödvändigt. Utredningen föreslår ingen reglering av möjlig- heterna att överföra uppgifter till tredjeland eller internationellt organ om det inte finns en adekvat skyddsnivå och inte heller någon reglering av underrättelse till den som överfört eller gjort en personuppgift tillgänglig, vid vidareöverföring till tredjeland eller internationellt organ.

Remissinstanserna framför inga synpunkter på förslaget i denna del. Utkastet till lagrådsremiss överensstämmer i sak med regeringens

förslag.

Remissinstanserna: Lunds universitet anser att den föreslagna lydel- sen av 7 § lämnar ett betydande utrymme för myndighetsskön och saknar den precision som är en förutsättning för en rättssäker tillämpning med tillräcklig förutsebarhet för de involverade personerna. Sveriges advokat- samfund menar att det ur ett integritetsskyddsperspektiv inte framstår som lämpligt med en så generellt utformad undantagsbestämmelse som den föreslagna bestämmelsen i 7 § andra stycket. Samfundet menar också

att det av rättssäkerhetsskäl inte är acceptabelt att utan närmare preci-

98

Prop. 2012/13:73 b) om tredje staten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mottagaren har en adekvat skyddsnivå. Dessa faktorer behöver enligt regeringens mening inte återspeglas i lagtexten.

Utredningen berör inte denna del av artikel 13 på annat sätt än att det anges att det inte finns skäl att reglera ytterligare delar av artikel 13. Sveriges advokatsamfund delar utredningens uppfattning på denna punkt.

Enligt regeringens mening är det av stor vikt att det regleras vad som gäller i de fall där ett visst tredjeland eller ett internationellt organ inte generellt kan anses ha en adekvat skyddsnivå, men där det i det enskilda fallet är angeläget att, trots detta, kunna föra över vissa uppgifter. Ett exempel på när bestämmelsen kan vara tillämplig är om en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern och denne lyckas fly från lagföring eller verkställighet av straff och kan antas befinna sig i tredjeland från vilket svenska myndigheter begär denne utlämnad. Ett annat exempel är att svenska myndigheter fått uppgifter från en annan EU-stat om att en misstänkt terrorist befinner sig här i landet och att denne identifieras först när han begett sig till tredjeland. Av bestämmelsen om överföring till tredjeland eller internationellt organ bör därför framgå att personuppgifter ska kunna överföras i ett enskilt fall också om ett berättigat intresse hos den som uppgifterna avser eller ett särskilt viktigt allmänt intresse föranleder det, eller om den motta- gande staten eller det internationella organet i det enskilda fallet tillhan- dahåller tillräckliga skyddsåtgärder.

Sveriges advokatsamfund menar vidare att bestämmelsen i den före- slagna 7 § andra stycket är för oprecis och generellt utformad. Lunds uni- versitet framför liknande synpunkter. Regeringen delar inte denna upp- fattning. Det handlar om en begränsad mottagarkrets där endast vissa typer av mottagare ingår. Detta underlättar bedömningen av vilken skyddsnivå som kommer att gälla för uppgifter som överförs. Mot denna bakgrund är den föreslagna preciseringsnivån tillräcklig. Regeringen an- ser dock att det bör tydliggöras att kravet på en adekvat skyddsnivå avser mottagande stat.

6.13Överföring av personuppgifter till enskilda

Regeringens förslag: Personuppgifter får föras över till enskilda om

–den som fört över eller gjort uppgifterna tillgängliga har medgett att de förs över,

–överföringen är nödvändig för att

a)myndigheten ska kunna fullgöra en författningsenlig uppgift,

b)förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

d)förhindra att enskildas rättigheter allvarligt kränks, och

– inga berättigade intressen hos den som uppgifterna avser hindrar

att de förs över.

100

Prop. 2012/13:73	Flertalet av remissinstanserna framför inte några invändningar mot ut-
	redningens förslag i denna del. Ekobrottsmyndigheten menar dock att de
	undantag som anges i skälen till rambeslutet bör komma till uttryck i
	lagbestämmelsen. Datainspektionen ifrågasätter om utredningens förslag
	är förenligt med rambeslutets intentioner.
	Regeringen delar utredningens åsikt att artikel 14 behöver genomföras
	i den nya lagen. Regeringen anser dock att artikeln sätter gränser för
	överföring till enskilda, oavsett om dessa befinner sig i Sverige eller i
	någon annan medlemsstat. Detta överensstämmer också med Datain-
	spektionens tolkning. Regleringen bör därför vara generell.
	Bestämmelsen bör också i övrigt formuleras på ett något annorlunda
	sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den
	riktar sig till berörda svenska myndigheter och den bör utformas på lik-
	nande sätt som regeln om överföring till tredjeland och internationella
	organ (se avsnitt 6.12).
	Artikel 14 handlar enligt sin ordalydelse om privata parter (i den engel-
	ska versionen ”private parties”). Utredningen föreslår samma formule-
	ring. Enligt regeringens mening leder begreppet parter tanken till parter i
	ett avtalsförhållande eller i ett rättegångsförfarande. Det är emellertid inte
	vad som åsyftas i artikel 14. Enligt regeringens mening bör regleringen i
	denna del i stället avse överföringar som sker till enskilda. Detta är också
	– i motsats till ”privat part” – ett vedertaget begrepp i svensk lagstiftning.
	Av skäl 18 framgår att rambeslutets bestämmelser om överföring av
	information till privata parter inte omfattar personuppgifter som lämnas
	från domstolar, polisen eller tullmyndighet till privata parter i brottmål.
	Som exempel på sådana nämns försvarsadvokater och brottsoffer. Utred-
	ningen gör bedömningen att detta är en självklar förutsättning i svensk
	rätt och att det därför inte är nödvändigt att ta in en bestämmelse av den
	innebörden i den nya lagen. Ekobrottsmyndigheten anser att undantaget
	bör komma till uttryck i den nya lagen.
	Även om begreppet privat part byts ut mot begreppet enskild kan den
	nya bestämmelsens ordalydelse tolkas som att den begränsar möjlighe-
	terna att lämna ut uppgifter till exempelvis parter och ombud i brottmåls-
	rättegångar. Regeringen instämmer därför i Ekobrottsmyndighetens be-
	dömning att det uttryckligen bör framgå av lagen att reglerna om över-
	föring till enskild inte hindrar utlämnande till bl.a. målsägande och för-
	svarare i brottmål.
	Som nämns ovan (avsnitt 6.6.4) ska artikel 14 inte tolkas så att den
	förhindrar ett utlämnande av överförda uppgifter med stöd av offent-
	lighetsprincipen. Den typ av uppgifter som avses i rambeslutet är dock
	som regel sekretessreglerade genom bestämmelserna i 18 kap. och
	35 kap. offentlighets- och sekretesslagen.
	I likhet med vad som sägs angående artikel 13 anser regeringen att den
	bestämmelse som genomför artikel 14 blir tillräckligt tydlig även om den
	inte förstärks genom begreppet absolut. Det är således enligt regeringens
	mening tillräckligt att bestämmelsen anger att överföring får ske om det
	är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verk-
	samhet, avvärja en omedelbar och allvarlig fara för den allmänna säker-
	heten eller andra liknande skäl.
	Lagrådet anser att ett av villkoren i bestämmelsen om överföring till
102	enskilda bör utformas på ett något annorlunda sätt än i lagrådsremissen.

Lagrådet menar att det bör framgå att överföringen är nödvändig för att Prop. 2012/13:73 myndigheten ska kunna fullgöra en författningsreglerad skyldighet. Med

en sådan formulering snävas bestämmelsen in. I den svenska översätt- ningen talas om en uppgift som myndigheten ”lagenligen tilldelats” och i den engelska versionen om ”a task lawfully assigned”. Villkoret bör allt- så även täcka sådana uppgifter som en myndighet kan utföra utan att vara direkt specificerade som skyldigheter i en författning. Uttrycket ”författ- ningsreglerad skyldighet” blir enligt regeringens mening snävare än vad som är avsett. Däremot anser regeringen att den i lagrådsremissen an- vända formuleringen bör ändras så att villkoret omfattar ”författningsreg- lerad uppgift”. I övrigt bör bestämmelsen utformas i enlighet med Lagrå- dets förslag.

6.14Dataskyddsbestämmelser i tidigare antagna rättsakter

Regeringens förslag: Från lagens tillämpningsområde undantas så- dant informationsutbyte som regleras i vissa tidigare EU-rättsakter där det redan införts svenska regler om dataskydd.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår att artikel 28, som reglerar rambeslutets förhållande till tidigare antagna EU-rättsakter, ska genomföras genom en övergångsbe- stämmelse till den nya lagen.

Remissinstanserna: Flertalet remissinstanserna berör inte denna fråga. Svea hovrätt påpekar dock att det i betänkandet inte redogörs för vilka rättsakter som är aktuella eller hur tillämparen ska ta reda på detta.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen instämmer i regeringens bedömning att det är nödvändigt med ett undantag för sådana särskilda bestämmelser som avser dataskydd inom ramen för informationsutbyte enligt SIS, TIS, Prümrådsbeslutet och VIS, mot bakgrund av artikel 28 i rambeslutet. Inspektionen påpekar att artikel 28 anger att om sådana rättsakter innehåller särskilda villkor, ska dessa ha företräde framför rambeslutet. Enligt inspektionen bör undantaget i den föreslagna lagen på motsvarande sätt knyta an till om det finns särskilda dataskyddsbestäm- melser i regleringen av SIS m.m. och den föreslagna bestämmelsen i 3 § andra stycket därför formuleras så att den anger att lagen inte gäller i den mån det finns särskilda dataskyddsbestämmelser i regleringen av in-

formationsutbyte genom SIS, TIS m.m.

Skälen för regeringens förslag

Allmänna utgångspunkter

Enligt artikel 28 ska sådana EU-rättsakter som reglerar utbyte av person- uppgifter mellan medlemsstaterna eller tillgång till EU-informationssys- tem – och som har antagits före rambeslutets ikraftträdande – ha företrä- de framför bestämmelserna i dataskyddsrambeslutet i de delar de först-

103

Prop. 2012/13:73 nämnda innehåller särskilda villkor för hur mottagaren får använda upp- gifterna.

Skäl 39 och 40 i rambeslutet förtydligar innehållet i artikeln. I skäl 39 framhålls att flera tidigare antagna EU-rättsakter innehåller särskilda be- stämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa bestämmelser en komplett uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som reglerar dessa frågor mer detaljerat än rambeslutet. Dataskyddsbestämmelserna i dessa rättsakter, särskilt de som reglerar funktionssättet för Europol, Eurojust, Schengens informa- tionssystem (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör enligt skäl 39 inte påverkas av rambeslutet. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och uppgifter ur nationella fordonsregister i enlighet med det s.k. Prümråds- beslutet.

Enligt skäl 40 är i andra fall räckvidden för dataskyddsbestämmelserna i olika äldre EU-rättsakter mer begränsad. Ofta fastställs det i dessa rätts- akter särskilda villkor för vilka ändamål som en medlemsstat som tar emot personuppgifter får använda uppgifterna, medan det beträffande övriga dataskyddsaspekter hänvisas till dataskyddskonventionen eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för användning eller vidareöverföring av personuppgif- ter som är strängare än villkoren i rambeslutet, ska de förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i rambeslutet gälla.

Utredningen föreslår att regleringen i artikel 28 ska genomföras i form av en övergångsbestämmelse till den nya lagen.

Som Svea hovrätt påpekar redogör utredningen inte för vilka rättsakter som skulle kunna omfattas av den föreslagna övergångsbestämmelsen. Detta framgår inte heller av den föreslagna övergångsbestämmelsen.

Rättsakter inom den f.d. tredje pelaren är inte direkt tillämpliga i med- lemsstaterna, utan ska vid behov genomföras i nationell lagstiftning. Redan av det skälet är det inte möjligt att utforma regleringen på det sätt som utredningen föreslår. Den fråga som aktualiseras är således på vilket sätt de aktuella rättsakterna har genomförts i svensk rätt och vilka even- tuella lagstiftningsåtgärder som krävs för att klarlägga förhållandet mel- lan den föreslagna nya lagen och redan genomförda regleringar.

De EU-rättsakter som har antagits före rambeslutets ikraftträdande och som inom det aktuella området reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem kan något förenklat delas in i sådana som har direkt betydelse för svenska myndig- heter och som har genomförts (eller planeras genomföras) i svensk lag- stiftning och sådana som endast rör EU:s organ eller interna arbete och som inte har medfört några lagstiftningsåtgärder i Sverige.

104

Prop. 2012/13:73 rativa och tekniska bestämmelserna för genomförandet av Prümrådsbe- slutet och har därför inte föranlett någon lagstiftning.

8. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om för- enklat informations- och underrättelseutbyte mellan de brottsbekäm- pande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89). Rambeslutet har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myn- digheter i Europeiska unionen. Förordningen är även tillämplig på in- formationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott (EUT L 332, 18.12.2007, s. 103).

9. Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till in- formationssystemet för viseringar (VIS) för sökningar för medlemsstater- nas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (EUT L 218, 13.8.2008, s. 129). Arbetet med att genomföra rådsbeslutet i svensk rätt pågår (se Ds 2011:27 angående förslag till genomförande).

De nu aktuella EU-rättsakterna har i huvudsak genomförts i följande författningar:

–lagen och förordningen om internationell rättslig hjälp i brottmål,

–lagen och förordningen om internationellt polisiärt samarbete,

–lagen och förordningen om Schengens informationssystem,

–lagen och förordningen om vissa former av internationellt samarbete i brottsutredningar, och

–lagen och förordningen om internationellt tullsamarbete.

Dessa författningar innehåller, som tidigare redovisats, framför allt

dataskyddsbestämmelser i form av bestämmelser om användningsbe- gränsningar. Lagen om internationellt polisiärt samarbete och lagen om Schengens informationssystem innehåller vissa ytterligare dataskyddsbe- stämmelser i form av bl.a. ändamålsbegränsningar och gallringsregler.

EU-rättsakter som inte har krävt svensk lagstiftning

Följande EU-rättsakter har antagits före dataskyddsrambeslutet, men har inte krävt någon svensk lagstiftning.

1.Rådets beslut av den 17 oktober 2000 om inrättande av ett sekreta- riat för de gemensamma tillsynsorgan för dataskydd som bildades genom konventionen om upprättandet av en europeisk polisbyrå; Europolkon- ventionen, konventionen om användning av informationsteknologi för tulländamål och konventionen om tillämpning av Schengenavtalet om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna; Schengenkonventionen (EUT L 271, 24.10.2000, s. 1).

2.Rådets beslut av den 17 oktober 2000 om en samarbetsordning för medlemsstaternas finansunderrättelseenheter avseende utbyte av infor- mation (EUT L 271, 24.10.2000, s. 4).

3.Rådets beslut 2009/426/RIF av den 16 december 2008 om förstärk- ning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 138, 4.6.2009, s. 14).

106

Prop. 2012/13:73 Lagrådet föreslår att bestämmelsen om undantag för informationsut- byte som regleras i tidigare antagna EU-rättsakter formuleras annorlunda än i lagrådsremissen. Regeringen delar Lagrådets uppfattning att det tydligare bör framgå att undantaget inte bara omfattar det initiala infor- mationsutbytet utan också den efterföljande behandlingen av sådana uppgifter. Eftersom undantagen bör tillämpas även på uppgifter som en svensk myndighet överför eller gör tillgängliga bör bestämmelsen dock utformas något annorlunda än vad Lagrådet föreslår. Lagrådets förslag till skrivning angående de enskilda punkterna innebär att undantaget i fråga om visst informationsutbyte (punkterna 3 och 4) blir missvisande och att regleringen i fråga om punkt 1 snävas in på ett sätt som inte är avsett. Regeringen anser därför att Lagrådets förslag inte bör följas i denna del.

6.15Avtal med tredjeland

Regeringens bedömning: Rambeslutets bestämmelse om förhållandet till avtal med tredjeland kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 26 ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala eller multilaterala avtal med tredje stater som förelåg när rambeslutet antogs. När sådana avtal tillämpas ska överföringen till en tredje stat av personuppgifter som har erhållits från en annan med- lemsstat genomföras med respekt för innehållet i artikel 13.1 och 13.2.

Utredningen bedömer att artikeln inte kräver någon lagstiftningsåtgärd. Samma bedömning gjordes i godkännandepropositionen. Regeringen in- stämmer i bedömningen. Att ingen lagstiftningsåtgärd vidtas får till följd att den nya lagen ska tillämpas när det blir fråga om att föra över uppgif- ter som omfattas av lagen till ett tredjeland. Detta skulle visserligen i undantagsfall kunna resultera i en situation där ett äldre avtal med ett tredjeland ålägger en svensk myndighet att överföra en viss uppgift som kommer från en annan EU-stat eller ett EU-informationssystem, och där den nya lagen föreskriver att uppgiften inte får överföras på grund av att den stat varifrån uppgiften ursprungligen kommer inte medger överföring till det tredjelandet, eller på grund av att mottagaren inte anses ha en adekvat skyddsnivå. Eftersom äldre avtal sannolikt inte ger samma data- skydd som den nya lagen anser regeringen dock att det rimligt att lagen görs tillämplig i sådana situationer. Rambeslutet hindrar, som tidigare nämnts, inte en sådan lösning.

108

Prop. 2012/13:73 ningssystem som nämns i avsnitt 6.18 kommer då att fungera som en påminnelse om att den nya lagen ska tillämpas på uppgifterna. Mot den bakgrunden finner regeringen inte skäl att föreslå hänvisningar till den nya lagen i några andra registerförfattningar för myndigheter än de som utredningen föreslagit.

I lagen (1998:621) om misstankeregister och lagen (2010:362) om po- lisens allmänna spaningsregister bör det införas hänvisningar som klar- gör att den nya lagen har företräde framför respektive registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från regi- sterförfattningen.

Riksdagen har antagit förslagen i propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater (prop. 2011/12:163, bet. 2012/13:JuU4, rskr. 2012/13:59) att det i lagen (1998:620) om belast- ningsregister ska införas särskilda dataskyddsbestämmelser. Ändringarna är ett led i genomförandet av rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och uppgifternas innehåll. Eftersom dessa särbestämmelser bl.a. innehåller för denna rättsakt specifika ändamålsbe- stämmelser, bör de ha företräde framför bestämmelserna i den nya lagen. Detta bör framgå av hänvisningen i lagen om belastningsregister.

Lagen (2000:343) om internationellt polisiärt samarbete, som innehål- ler generella regler om samarbete inkluderande informationsutbyte, bör fortsätta att gälla vid sidan av den nya lagen. I 3 och 3 a §§ lagen om internationellt polisiärt samarbete finns det bestämmelser om använd- ningsbegränsningar. Regeringens förslag till ny lag innehåller också bestämmelser om användningsbegränsningar, vilket leder till en viss överlappande reglering. Eftersom det är fråga om bestämmelser som dels till stor del är likalydande, dels är till skydd för enskildas integritet bör det enligt regeringens mening inte uppstå några tillämpningsproblem.

Hänvisningar till den nya lagen bör också införas i de myndigheters registerförfattningar som har formen av förordning och i de förordningar som reglerar behandling av personuppgifter i vissa register. Regeringen avser att genomföra dessa förordningsändringar senare.

Lagrådet anser att de bestämmelser som beskriver förhållandet mellan personuppgiftslagen och lagen om misstankeregister respektive lagen om belastningsregister bör utformas annorlunda än i lagrådsremissen och föreslår en formulering som efterliknar 2 § personuppgiftslagen. Den av Lagrådet föreslagna formuleringen hänvisar emellertid till avvikande bestämmelser i samma lag, medan de avvikande bestämmelser i dessa fall även finns i annan lag. Den i lagrådsremissen använda formuleringen för att beskriva förhållandet mellan en registerförfattning och personupp- giftslagen förekommer dessutom i närmare 20-talet författningar och får därför anses vara vedertagen. Enligt regeringens bedömning bör därför den föreslagna hänvisningen behållas.

110

Prop. 2012/13:73 del av uppgifterna enligt rambeslutet (jfr prop. 1990/91:131 s. 24 f. och 2011/12:163 s. 50 f.).

6.18System för märkning

Regeringens bedömning: Frågan om märkning av uppgifter som överförts från eller gjorts tillgängliga av en annan stat, ett EU-organ eller ett EU-informationssystem bör inte regleras i lag eller förord- ning.

Utredningens bedömning överensstämmer med regeringens. Utred- ningen anser att en märkning av varifrån uppgifter härstammar är nöd- vändig, men att den frågan bör överlämnas till myndigheterna att be- stämma.

Remissinstanserna: Flera remissinstanser invänder mot utredningens bedömning, däribland Ekobrottsmyndigheten och Åklagarmyndigheten.

Åklagarmyndigheten menar att frågan om hur ett system för märkning av uppgifter ska utformas och genomföras bör regleras av statsmakterna i stället för att överlåtas till berörda myndigheter. Åklagarmyndigheten framhåller vidare att märkning av uppgifter skulle kunna jämföras med det system som i dag finns för sekretessmarkering av personuppgifter. I myndighetens verksamhetssystem är det i dag möjligt att elektroniskt sekretessmarkera personuppgifter, men möjligheten att överföra en sådan sekretessmarkering till andra myndigheter är ytterst begränsad beroende på organisatoriska och tekniska hinder. En märkning av uppgifter på det sätt som föreslås i betänkandet bör enligt myndigheten vara tydlig och enhetlig för alla de myndigheter som hanterar den markerade informa- tionen. Uppsala universitet ser det som en brist att utredningen har ute- lämnat en så central del som frågan om märkning. Göteborgs tingsrätt instämmer i utredningens bedömning att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig. Samtidigt anser tingsrätten att frågan om att utarbeta ett system med märkning av uppgifter inte bör lösas på myndighetsnivå, utan kräver en samordning inom rättskedjan.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Kriminalvården menar att införande av ett system för märkning i befintligt datastöd kan vara förenat med betydande tek- niska svårigheter. Domstolsverket betonar vikten av att ett system för märkning har implementerats och drifttestats innan den föreslagna lag- stiftningen träder i kraft. Verket förutsätter att regeringen kommer att i samråd med berörda myndigheter följa upp när så kan ske. Säkerhets- och integritetsskyddsnämnden påpekar att eftersom ett system för märk- ning kan komma att kräva relativt stora insatser från myndigheternas sida vad gäller samarbete över myndighetsgränserna, utbildning och anpass- ning av IT-system, det finns en risk att frågan inte prioriteras av myndig- heterna utan författningsstöd. Mot denna bakgrund bör en författnings- reglering övervägas ytterligare. Uppsala universitet instämmer i att myn- digheternas möjlighet att välja tekniska lösningar inte bör begränsas, men

anser att det är lämpligt att det framgår av lag eller åtminstone förordning

112

Prop. 2012/13:73	Remissinstanserna: Flertalet remissinstanser berör inte frågan om till-
	syn. Uppsala universitet påtalar dock behovet av att Datainspektionen
	tillförsäkras tillräckliga resurser och kompetens inom det aktuella områ-
	det för att kunna bedriva en effektiv tillsyn.
	Utkastet till lagrådsremiss behandlade inte frågan om tillsyn närmare.
	Remissinstanserna: Uppsala universitet vidhåller sin tidigare fram-
	förda synpunkt. Säkerhets- och integritetsskyddsnämnden påpekar att den
	valda lagstiftningstekniken, där avvikande bestämmelser i den föreslagna
	lagen ska tillämpas i stället för bestämmelserna i exempelvis polisdatala-
	gen, leder till oklarhet om hur långt nämndens tillsynsskyldighet sträcker
	sig. Det framstår bl.a. som oklart om vidarebehandling är tillåten när en
	polismyndighet har skyldighet att bistå annan myndighet – såsom en
	tillsynsmyndighet – med uppgifter. Om nämnden i sin tillsyn av en upp-
	giftsamling uppmärksammar att uppgifter där har behandlats i strid med
	den föreslagna lagen synes det formellt som om felaktigheterna ligger
	utanför nämndens tillsynsområde enligt polisdatalagen. Det kan dock
	ifrågasättas om detta är en rimlig konsekvens av den föreslagna lagstift-
	ningstekniken. Regeringen kunde likaväl ha valt att reglera frågorna i
	polisdatalagen. Eftersom den föreslagna lagen inte utgör någon heltäck-
	ande reglering, exempelvis när det gäller behandling av känsliga person-
	uppgifter, kan även andra oklarheter uppstå kring gränserna för nämn-
	dens tillsynsområde när det gäller personuppgifter som omfattas av den
	föreslagna lagen. Det är önskvärt att denna fråga uppmärksammas i det
	fortsatta lagstiftningsarbetet.
	Skälen för regeringens bedömning: Rambeslutet förutsätter att det
	ska finnas en tillsynsmyndighet i varje medlemsstat (artikel 25). Enligt
	artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och
	tillgång till alla de uppgifter som behövs för tillsynen. Vidare ska enskil-
	da kunna vända sig till tillsynsmyndigheten med klagomål över person-
	uppgiftsbehandlingen.
	Det finns bestämmelser om tillsynsmyndighetens befogenheter i 43–
	47 §§ personuppgiftslagen (1998:204). I dessa bestämmelser föreskrivs
	bl.a. att tillsynsmyndigheten har rätt att för sin tillsyn få tillträde till lo-
	kaler samt tillgång till de personuppgifter som behandlas och doku-
	mentation rörande behandlingen. Vidare finns det regler om vilka åt-
	gärder tillsynsmyndigheten får vidta om myndigheten vid sin tillsyn
	finner att personuppgifter behandlas på ett felaktigt sätt. Utredningen
	anser att bestämmelserna i personuppgiftslagen uppfyller bestämmel-
	serna i rambeslutet. Regeringen instämmer i denna bedömning. Rege-
	ringen avser att utse Datainspektionen till nationell tillsynsmyndighet
	enligt rambeslutet.
	När det gäller polisen så har också Säkerhets- och integritetsskydds-
	nämnden ett visst tillsynsansvar. Enligt 1 § lagen (2007:980) om tillsyn
	över viss brottsbekämpande verksamhet ska nämnden bl.a. utöva tillsyn
	över polisens behandling av personuppgifter enligt polisdatalagen
	(2010:361) och lagen (2010:362) om polisens allmänna spaningsregister.
	Med anledning av vad Säkerhets- och integritetsskyddsnämnden anför
	om oklarheter i nämndens tillsynsansvar, bör påpekas att även om en
	uppgift faller inom tillämpningsområdet för den nya lagen, så innehåller
	lagen bara kompletterande regler som på visst sätt inskränker eller preci-
114	serar möjligheterna att behandla personuppgifter. Själva behandlingen av

uppgifterna sker även när lagen är tillämplig med stöd av de grundläg- Prop. 2012/13:73 gande reglerna i relevant registerförfattning, t.ex. polisdatalagen. Visser-

ligen införs i polisdatalagen en bestämmelse som anger att i den mån den nya lagen innehåller bestämmelser som avviker från polisdatalagen, ska bestämmelserna i den nya lagen tillämpas i stället för bestämmelserna i polisdatalagen (se avsnitt 6.16). Hänvisningen innebär dock inte att Sä- kerhets- och integritetsskyddsnämndens tillsynsansvar enligt polisdatala- gen faller bort. Det ingår alltså i nämndens tillsynsansvar att påpeka om nämnden vid sin granskning finner att bestämmelserna i den nya lagen borde ha, men inte har, iakttagits. Myndigheternas skyldighet att bistå nämnden med handlingar framgår av lagen om tillsyn över viss brottsbe- kämpande verksamhet. I den nya lagen regleras varken tillsynsmyndig- heternas uppgifter eller deras rätt att få tillgång till handlingar. Samman- fattningsvis är den nya lagen alltså inte avsedd att innebära någon föränd- ring i tillsynen över den personuppgiftsbehandling som förekommer vid berörda myndigheter. Frågan om huruvida Säkerhets- och integritets- skyddsnämndens tillsynsansvar bör vara utformat på annat sätt än i dag finns det inte möjlighet att behandla inom ramen för detta lagstiftnings- ärende.

Regeringen återkommer till frågan om Datainspektionens resurser i av- snitt 9.

7Kompletterande lagstiftning med anledning av Europolrådsbeslutet

7.1Något om Europol och dess verksamhet

Europol är medlemsstaternas i EU gemensamma polisbyrå. Europol arbetar med behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen. Syftet med Europol är att öka effektiviteten hos de nationella myndigheterna och förbättra deras inbördes samarbete i den brottsförebyggande och brottsbekämpande verksamheten.

Europols behörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera med- lemsstater på ett sådant sätt att det krävs en gemensam åtgärd från med- lemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder. Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Dessa tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Uppgifterna sammanställs och bearbetas av Europol samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som genom detta får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Euro-

115

Prop. 2012/13:73 pol medlemsstaterna med rådgivning och specialkunskaper vid utred- ningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsstaterna.

I varje medlemsstat finns det en nationell enhet som är förbindelselänk mellan Europol och medlemsstatens myndigheter. I Sverige är Rikspolis- styrelsen nationell enhet. Den nationella enheten har till huvudsaklig uppgift att förse Europol med uppgifter som ska tillföras Europols olika dataregister från de nationella polisregistren eller motsvarande. De natio- nella enheterna tar emot uppgifter som kommer från Europol och vidare- befordrar dem till behörig svensk myndighet och vidarebefordrar svenska myndighetens förfrågningar till Europol. Personalen som arbetar vid den nationella enheten är anställd av Rikspolisstyrelsen. Offentlighets- och sekretesslagen är tillämplig när den nationella enhetens personal hanterar uppgifter.

Europols verksamhet byggde tidigare på Europolkonventionen. Kon- ventionen öppnades för undertecknande år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömningen att tillträdet till kon- ventionen endast i mycket begränsad omfattning krävde lagändringar. Såvitt gällde konventionens bestämmelser om tystnadsplikt konstaterades dock att det fanns ett område där sekretess och tystnadsplikt rådde enligt Europolkonventionens bestämmelser och där Sverige hade åtagit sig att lagföra brott mot bestämmelserna som om de vore inhemska regler, men där motsvarande svenska regler om sekretess och tystnadsplikt saknades, nämligen Europolanställdas befattning med hemliga uppgifter. Rege- ringen angav i propositionen att denna fråga borde lösas i annat sam- manhang, eftersom den hade vidare räckvidd än Europolkonventionen och rymde komplicerade rättsfrågor (prop. 1996/97:164 s. 53).

7.2Europolrådsbeslutet

Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolråds- beslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informa- tionsbehandling och dataskydd.

En konsekvens av att Europol numera är en EU-myndighet är att Euro- pols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom förordning, enligt det ordinarie lag- stiftningsförfarandet inom EU. Av övergångsbestämmelserna till Lissa- bonfördraget följer emellertid att rättsakter som antagits före ikraftträ- dandet av Lissabonfördraget ska bestå så länge de inte upphävs, ogiltig- förklaras eller ändras med tillämpning av EG- eller EU-fördragen (proto- koll om övergångsbestämmelser, EUT C 306, 17.12.2007, s. 159). Råds- beslutet om Europol kommer alltså att gälla till dess att nya rättsakter om Europol tas fram.

I propositionen Godkännande av rådets beslut om inrättande av Euro- peiska polisbyrån (Europol), prop. 2008/09:14, fann regeringen att änd-

116

ringen av den rättsliga grunden för Europol inte i sig krävde några lag- Prop. 2012/13:73 ändringar, men att vissa hänvisningar till Europolkonventionen och de

olika tilläggsprotokollen i lag eller förordning behövde ändras. Dessa ändringar har genomförts. Beträffande frågan om Europolanställdas be- fattning med hemliga uppgifter angavs att den behövde övervägas i det fortsatta lagstiftningsarbetet (prop. s. 39).

Europol leds av en styrelse bestående av representanter från alla med- lemsstater och kommissionen (artikel 37 Europolrådsbeslutet). Den dag- liga verksamheten leds av en direktör, som assisteras av tre biträdande direktörer (artikel 38).

Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkon- toret finns personal som är direkt anställd av Europol (Europolanställda). Det är fråga om experter och analytiker inom olika områden som exem- pelvis kriminalunderrättelse- och analysverksamhet. De Europolanställda bearbetar och analyserar bl.a. den information som kommer in till Euro- pol från medlemsstaterna och från andra källor. De Europolanställda lyder under de EU-bestämmelser som gäller för anställda vid EU:s insti- tutioner, däribland reglerna om tystnadsplikt.

Vid Europols huvudkontor arbetar också särskilda sambandsmän som är utsända från medlemsstaterna. Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Euro- pol och de nationella enheterna samt att samverka med Europols an- ställda i bl.a. analysarbetet. Sambandsmännen är inte anställda av Euro- pol utan av myndigheter i respektive medlemsstat. De är utsända att arbeta vid Europol inom ramen för sina anställningar i medlemsstaten. Vid arbetet för Europol lyder de under sin medlemsstats nationella enhet och under medlemsstatens nationella lagstiftning (artikel 9.1 Europol- rådsbeslutet). Sverige har för närvarande tre sambandsmän vid Europol, två från polisen och en från Tullverket. Eftersom de är offentliganställda är offentlighets- och sekretesslagen tillämplig vid deras hantering av uppgifter.

7.3Tystnadsplikt inom EU

7.3.1 Allmänt om tystnadsplikten

Tjänstemän som är anställda av Europol och andra EU-organ lyder under
EU:s särskilda bestämmelser, bl.a. EU:s allmänna tjänsteföreskrifter som
föreskriver tystnadsplikt. Undantag gäller i vissa situationer där Europol-
anställda verkar både inom och utanför Europa (t.ex. i s.k. gemensamma
utredningsgrupper enligt lagen [2003:1174] om vissa former av inter-
nationellt samarbete i brottsutredningar).
I artikel 339 i fördraget om Europeiska unionens funktionssätt (EUT
C 83, 30.3.2010, s. 193, EUF-fördraget) finns en allmän bestämmelse om
att unionens tjänstemän och befattningshavare, även efter det att deras
uppdrag upphört, är skyldiga att inte avslöja upplysningar som omfattas
av tystnadsplikt, särskilt uppgifter om företag, deras affärsförbindelser
eller deras kostnadsförhållanden.
Den allmänna bestämmelsen i EUF-fördraget kompletteras genom
regler i de särskilda tjänsteföreskrifterna för de olika EU-institutionerna.	117

Prop. 2012/13:73 Tjänsteföreskrifterna innehåller bestämmelser om att en tjänsteman inte utan tillstånd får lämna ut information som han eller hon fått tillgång till i tjänsten, och att detta gäller även efter det att han eller hon har lämnat tjänsten. Beträffande Europol gäller EU:s tjänsteföreskrifter för tjänste- männen i Europeiska gemenskapen och anställningsvillkor för övriga anställda inom Europeiska gemenskaperna i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (14) och de bestämmelser som har antagits för tillämpningen av tjänsteföreskrifterna och anställningsvillkoren (arti- kel 39 Europolrådsbeslutet). Enligt dessa föreskrifter får en tjänsteman inte utan tillstånd lämna ut information som han fått tillgång till i tjäns- ten, om inte denna information redan har offentliggjorts eller är tillgäng- lig för allmänheten. Skyldigheten kvarstår även efter det att tjänsteman- nen har lämnat tjänsten (artikel 17 i tjänsteföreskrifterna och artikel 11 i anställningsvillkoren).

7.3.2Tystnadsplikt i Europol

Det finns en särskild bestämmelse om tystnadsplikt i Europolrådsbeslu- tet. Enligt artikel 41.2 får de som arbetar för Europol inte till obehöriga personer sprida information om sakförhållanden eller upplysningar som de får kännedom om i sin tjänsteutövning eller vid utövandet av verk- samheten. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekretesskrav. Denna bestämmelse skiljer sig från bestämmelserna om tystnadsplikt i tjänsteföreskrifterna och anställningsvillkoren i och med att den inte gör något undantag för information som redan har offentliggjorts eller är tillgänglig för allmän- heten. Tystnadsplikten kvarstår även efter det att tjänsten, anställnings- avtalet eller verksamheten har avslutats. När tystnadsplikt föreligger för en anställd eller annars verksam person ska Europol meddela detta sär- skilt. I samband med ett sådant meddelande, som ska vara skriftligt, ska Europol påpeka de rättsliga följderna om tystnadsplikten bryts. Bestäm- melsen har överförts med i princip oförändrat innehåll från artikel 32 i Europolkonventionen.

Enligt artikel 41.4 i Europolrådsbeslutet ska varje medlemsstat be- handla alla överträdelser av tystnadsplikten som överträdelser av skyl- digheter i medlemsstatens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Bestämmelsen motsvarar artikel 32.4 i Euro- polkonventionen.

7.3.3Sanktioner inom EU

Om en EU-rättslig tystnadsplikt åsidosätts kan enligt EU:s tjänsteföre- skrifter disciplinära åtgärder i form av varning, degradering, avstängning från tjänsten, avskedande m.m. vidtas gentemot tjänstemän som är an- ställda av gemenskapen. Några straffrättsliga påföljder för åsidosättande av tystnadsplikt finns inte inom EU-rätten. Från gemenskapens sida för- väntas i stället att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

118

Prop. 2012/13:73 förbuden. Dessa förbjuder myndigheter och andra offentliga organ att efterforska de uppgiftslämnare som har valt att vara anonyma och att vidta åtgärder som medför negativa konsekvenser för sådana personer med anledning av att de har utnyttjat sin meddelarfrihet.

Meddelarfriheten är dock inte absolut. Av offentlighets- och sekre- tesslagen framgår i vilken utsträckning sekretessen inskränker meddelar- friheten. Sekretessregleringen medger således i vissa fall att sekretessbe- lagda uppgifter lämnas ut för publicering i ett medium som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen medan den i andra fall, helt eller delvis, inskränker meddelarfriheten för uppgifter i den offentliga verksamheten. Denna reglering har direkt betydelse för tillämpningen av straffbestämmelsen om brott mot tystnadsplikten, efter- som den påverkar i vilken mån den enskilde är skyldig att hemlighålla uppgifterna.

7.4.2Straffansvar enligt brottsbalken

Brott mot tystnadsplikt är straffbelagt i 20 kap. 3 § brottsbalken. Om någon röjer eller utnyttjar en uppgift i strid med sin tystnadsplikt kan han eller hon dömas till böter eller fängelse i högst ett år för brott mot tyst- nadsplikt. I ringa fall ska straff inte dömas ut. Om brottet begås av oakt- samhet är straffet böter.

Bestämmelserna i 20 kap. 3 § brottsbalken är den centrala straffrätts- liga regleringen av överträdelser mot författningsreglerade tystnadsplik- ter. Regleringen innebär en inskränkning i både yttrandefriheten och rätten att få ta del av allmänna handlingar. De bestämmelser om tyst- nadsplikt och sekretess som straffbudet sanktionerar utgör undantag från de konstitutionella huvudregler som sammanfattas med begreppen ytt- randefrihet och offentlighet. Straffansvaret är utformat så att det balanse- rar dessa två intressen mot intresset av att begränsa kännedomen om vissa förhållanden.

Tystnadsplikten måste, som nyss nämnts, ha stöd i lag eller annan för- fattning eller gälla enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning för att brott mot den ska kunna läggas till grund för ansvar enligt 20 kap. 3 § brottsbalken. Bestämmelser om tystnadsplikt i lag som gör straffbestämmelsen tillämplig finns, som nyss nämnts, framför allt i offentlighets- och sekretesslagen.

I propositionen Lagstiftning med anledning av Sveriges anslutning till Europeiska atomenergigemenskapen konstaterade regeringen att straffbe- stämmelsen i 20 kap. 3 § brottsbalken inte kan anses omfatta gemen- skapsrättsliga tystnadsplikter (prop. 1994/95:118 s. 11 f.). I det lagstift- ningsärendet ansågs någon ändring av bestämmelsen inte behöva göras eftersom de gemenskapsrättsliga tystnadsplikterna hade sin motsvarighet i den då gällande sekretesslagens föreskrifter.

120

7.5

En ny lag om tystnadsplikt

Prop. 2012/13:73

Regeringens förslag: En ny lag om tystnadsplikt för anställda vid Europeiska polisbyrån (Europol) införs. Enligt lagen får den som är eller har varit verksam vid Europol inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av sin verksamhet där. I fråga om den som fått del av sådana uppgifter inom ramen för anställ- ning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen tillämpas.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag omfattar dock endast svenska medborgare som är eller har varit anställda vid Europol. Utredningen föreslår inte någon regel om den nya lagens förhållande till offentlighets- och sekretesslagen (2009:400).

Remissinstanserna: Flertalet remissinstanser kommenterar inte för- slaget.

Svea hovrätt anser att en ny lag är att föredra framför ändringar i 20 kap. 3 § brottsbalken. Hovrätten ifrågasätter dock om det är lämpligt att bestämmelsen utformas så att den endast omfattar svenska medbor- gare, eftersom frågan om jurisdiktion normalt regleras genom bestäm- melserna i 2 kap. brottsbalken och det är tveksamt om en sådan begräns- ning är förenlig med artikel 41 i Europolrådsbeslutet. Ekobrottsmyndig- heten lämnar liknande synpunkter. Lunds universitet påpekar att det av lagförslaget inte framgår huruvida en f.d. svensk Europolanställd som efter tjänstgöringen har blivit medborgare i annan stat omfattas av be- stämmelserna.

Tidningsutgivarna invänder att ett resultat av den nya lagen är att en svensk tjänsteman vid Europol har en längre gående tystnadsplikt och mer inskränkt meddelarfrihet än en person som är utsänd av Sverige. Detta kan i förlängningen innebära att två tjänstemän som varit verk- samma vid Europol under samma tid och som spridit samma uppgifter i strid mot tystnadsplikten kan lagföras på olika sätt beroende på sin tidi- gare anställningsform. Svenska journalistförbundet har inget att invända mot förslaget, under förutsättning att inga förändringar genomförs i med- delarfriheten.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: De flesta av remissinstanserna uttalar sig inte i denna del. Tullverket delar regeringens bedömning när det gäller lagens benämning. Journalistförbundet framför att förbundet inte har något att invända mot utkastet till lagrådsremiss då det inte innebär några princi- piella förändringar jämfört med utredningens förslag.

Skälen för regeringens förslag

Behovet av en särskild reglering

Regeringen fann i propositionen Godkännande av rådets beslut om in- rättande av Europeiska polisbyrån (Europol) att Sverige får anses leva

upp till de krav på tystnadsplikt som ställs i rådsbeslutet vad gäller

121

Prop. 2012/13:73 offentligt anställda i Sverige vid deras befattning med uppgifter från Europol, liksom de svenska Europolsambandsmännens befattning med sådana uppgifter (prop. 2008/09:14 s. 39). Regeringen gör inte nu någon annan bedömning.

Vad gäller den personal som är anställd av Europol är situationen emellertid en annan. För att straffbestämmelsen om brott mot tystnads- plikt i 20 kap. 3 § brottsbalken ska kunna tillämpas krävs att tystnads- plikten har stöd i lag eller annan författning, eller i förordnande eller förbehåll meddelat med stöd av lag eller annan författning. Kravet är en följd av att tystnadsplikt utgör en begränsning av den grundlagsfästa yttrandefriheten. Av bestämmelserna i regeringsformen följer att sådana begränsningar endast får göras genom lag eller, i vissa fall, efter bemyn- digande i lag (2 kap. 1 § första stycket 1 och 20 § samt 8 kap. 2 § första stycket 2, 3 § och 19 § regeringsformen). De regler i Europolrådsbeslutet som föreskriver tystnadsplikt kan alltså inte läggas till grund för en till- lämpning av 20 kap. 3 § brottsbalken. Tystnadsplikten för anställda vid Europol måste också ha täckning i en svensk reglering.

En sådan reglering är offentlighets- och sekretesslagen. Denna gäller för svenska myndigheter och för personer som för det allmännas räkning deltar i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller annan liknande grund. Rätten att ta del av allmänna handlingar och reglerna om meddelarskydd gäller också hos vissa privaträttsliga organ som finns angivna i bilagan till offentlig- hets- och sekretesslagen samt för aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser i vilka kommuner, landsting eller kommunalför- bund har ett rättsligt bestämmande inflytande (2 kap. 3 § och 13 kap. 2 § offentlighets- och sekretesslagen). Lagen är, som tidigare nämnts, til- lämplig på svenska sambandsmän som tjänstgör vid Europol. Tjänstemän som är anställda av Europol omfattas däremot inte av regleringen i offentlighets- och sekretesslagen.

Några andra svenska regler om tystnadsplikt som täcker tjänstemän som är anställda av Europol finns inte. Regeringen delar därför utred- ningens bedömning att det finns behov av en särskild reglering av tyst- nadsplikt för Europolanställda för att svensk rätt ska uppfylla rådsbeslu- tets krav.

Eftersom bestämmelsen i 20 kap. 3 § brottsbalken innehåller fängelse i straffskalan krävs att föreskriften om tystnadsplikt är grundad på lag eller på ett i lag lämnat bemyndigande (8 kap. 3 § regeringsformen). I likhet med utredningen anser därför regeringen att frågan om tystnadsplikt för anställda vid Europol bör regleras i lag. Eftersom det fåtal regler som finns i svensk lagstiftning om Europol är spridda på flera författningar och det inte finns någon befintlig lag där en bestämmelse om tystnads- plikt för nu aktuell kategori lämpligen kan placeras bör en ny lag införas.

Den nya lagens tillämpningsområde

I artikel 41.4 i rådsbeslutet anges att medlemsstaterna ska behandla ”alla överträdelser” av den tystnadsplikt som föreskrivs i artikeln, som över- trädelser av skyldigheter i statens egen lagstiftning om t.ex. tystnadsplikt. Utredningen anser att det inte är rimligt att i svensk lagstiftning reglera

överträdelse av tystnadsplikt begången av exempelvis en spansk med-

122

Prop. 2012/13:73	och sekretesslagen och innebär enligt regeringens bedömning att tyst-
	nadsplikten är i huvudsak densamma för Europolanställda som för ut-
	sända svenska sambandsmän.
	Som utredningen föreslår bör tystnadsplikt enligt den nya lagen gälla
	både under tiden den berörda personens verksamhet vid Europol pågår
	och efter det att verksamheten har upphört. Huruvida brottet mot tyst-
	nadsplikten begås av en f.d. svensk Europolanställd som har blivit med-
	borgare i annan stat, dvs. den situation som Lunds universitet refererar
	till, saknar betydelse för frågan om ett brott mot svensk lag begåtts. Det
	nya medborgarskapet kan däremot få betydelse för frågan om svensk
	domsrätt.
	När uppgifter som omfattas av sekretess eller tystnadsplikt lämnas ut i
	strid med sekretessen eller tystnadsplikten, dvs. utan att det finns stöd för
	utlämnandet i sekretessbrytande bestämmelser, kan frågan om meddelar-
	frihet också aktualiseras, beroende på vem uppgifterna lämnas till. Med-
	delarfriheten innebär, som tidigare nämnts, en rätt att lämna uppgifter –
	som huvudregel även sekretessbelagda sådana – för offentliggörande i
	massmedia utan att kunna straffas för det. Det kompletterande meddelar-
	skyddet, bl.a. efterforsknings- och repressalieförbuden, ska tillämpas av
	det allmänna, dvs. myndigheter och andra offentliga organ, i förhållande
	till enskilda. Detta innebär att alla som är offentligt anställda omfattas av
	meddelarskydd gentemot sin arbetsgivare. Genom särskilda regler i of-
	fentlighets- och sekretesslagen omfattas även anställda i vissa pri-
	vaträttsliga organ på samma sätt av meddelarskydd. Övriga anställda har
	inte detta skydd.
	Tidningsutgivarna invänder att den nya lagen strider mot grundläg-
	gande svenska rättsprinciper i och med att en svensk tjänsteman anställd
	vid Europol har en längre gående tystnadsplikt och en mer inskränkt
	meddelarfrihet än en person som är utsänd som svensk sambandsman.
	Innebörden av förslaget är att de som arbetar vid Europol kommer att
	ha olika möjligheter att utan negativa följder meddela sig med media
	beroende på vilken arbetsgivare de har. Reglerna om ensamansvar, dvs.
	att ansvaret för en publicering ligger hos en enda person, ger skydd åt
	den som lämnar meddelanden för publicering gentemot svenska myndig-
	heter och allmänna organ. Reglerna om meddelarskydd är dock inte till-
	lämpliga på en svensk som har anställning i ett annat land. Han eller hon
	kan således inte åberopa de svenska reglerna om meddelarskydd gente-
	mot sin utländska arbetsgivare. Exempelvis gäller inte något efterforsk-
	nings- och repressalieförbud. I detta avseende är det, såsom Tidningsut-
	givarna påpekar, en skillnad mellan de svenskar som är utsända att arbeta
	som sambandsmän vid Europol och de som är anställda av Europol.
	Skillnaderna är dock inte unika för Europol. Motsvarande gäller i alla
	situationer där svenska medborgare tar anställning i annat land. Rege-
	ringen finner därför ingen anledning att vidta någon åtgärd med anled-
	ning av Tidningsutgivarnas invändning.
	Lagrådet anser att regleringen avseende personer som har tystnadsplikt
	enligt offentlighets- och sekretesslagen bör formuleras på annat sätt än i
	lagrådsremissen, för att tydliggöra att regleringen inte avser enskild
	respektive offentlig verksamhet. Regeringen delar Lagrådets uppfattning
	att bestämmelsen bör utformas så att den i stället knyter an till den tyst-
124	nadsplikt som följer av tjänstgöringen eller uppdraget. Bestämmelsen bör