Regeringens proposition 2012/13:73

Dataskydd vid europeiskt polissamarbete och

Prop.

straffrättsligt samarbete

2012/13:73

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 21 februari 2013

Fredrik Reinfeldt

Beatrice Ask

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (EU). Därmed genomförs de återstående delarna av det s.k. dataskyddsrambeslutet.

Lagen ska tillämpas på uppgifter som överförs från eller till en annan EU-medlemsstat eller Island, Norge, Schweiz eller Liechtenstein i verk- samheter som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder. Även uppgifter från ett EU-informations- system som avser polissamarbete eller straffrättsligt samarbete omfattas av lagen. Sådant informationsutbyte som reglerats tidigare, exempelvis utbyte med stöd av det s.k. Prümrådsbeslutet, undantas dock. Behandling av personuppgifter som rör nationell säkerhet omfattas inte heller av lagen.

I lagen regleras bl.a. för vilka ändamål uppgifterna får behandlas och vad som gäller för den fortsatta behandlingen. Lagen anger vidare i vilka situationer personuppgifter får överföras till enskilda, till tredjeland och till internationella organ.

Svenska myndigheter åläggs att följa de villkor om användningen som ställts upp av den som överfört uppgifterna eller gjort dem tillgängliga. En svensk myndighet får ange villkor som innebär användningsbegräns- ningar för utländska mottagare.

Propositionen innehåller även förslag till en ny lag om tystnadsplikt för anställda vid Europol. Brott mot tystnadsplikten bestraffas enligt 20 kap. 3 § brottsbalken.

De nya lagarna föreslås träda i kraft den 1 juli 2013.

1

Prop. 2012/13:73 Innehållsförteckning

 

1

Förslag till riksdagsbeslut .................................................................

6

2

Lagtext ..............................................................................................

7

 

2.1

Förslag till lag med vissa bestämmelser om skydd för

 

 

 

personuppgifter vid polissamarbete och straffrättsligt

 

 

 

samarbete inom Europeiska unionen..................................

7

 

2.2

Förslag till lag om tystnadsplikt för anställda vid

 

 

 

Europeiska polisbyrån ......................................................

11

 

2.3

Förslag till lag om ändring i lagen (1998:620) om

 

 

 

belastningsregister............................................................

12

 

2.4

Förslag till lag om ändring i lagen (1998:621) om

 

 

 

misstankeregister..............................................................

14

 

2.5

Förslag till lag om ändring i lagen (1999:90) om

 

 

 

behandling av personuppgifter vid Skatteverkets

 

 

 

medverkan i brottsutredningar..........................................

15

 

2.6

Förslag till lag om ändring i lagen (2000:343) om

 

 

 

internationellt polisiärt samarbete ....................................

16

 

2.7

Förslag till lag om ändring i lagen (2011:1175) om ändring

 

 

i lagen (2000:344) om Schengens informationssystem ....

17

 

2.8

Förslag till lag om ändring i lagen (2001:184) om

 

 

 

behandling av personuppgifter i Kronofogdemyndighetens

 

 

verksamhet .......................................................................

18

 

2.9

Förslag till lag om ändring i lagen (2001:617) om

 

 

 

behandling av personuppgifter inom kriminalvården.......

19

 

2.10

Förslag till lag om ändring i lagen (2005:787) om

 

 

 

behandling av uppgifter i Tullverkets brottsbekämpande

 

 

 

verksamhet .......................................................................

20

 

2.11

Förslag till lag om ändring i offentlighets- och

 

 

 

sekretesslagen (2009:400) ................................................

23

 

2.12

Förslag till lag om ändring i polisdatalagen (2010:361)...

24

 

2.13

Förslag till lag om ändring i lagen (2010:362) om polisens

 

 

allmänna spaningsregister ................................................

25

 

2.14

Förslag till lag om ändring i kustbevakningsdatalagen

 

 

 

(2012:145)........................................................................

26

3

Ärendet och dess beredning ............................................................

27

4

Regleringen rörande dataskydd.......................................................

29

 

4.1

Inledning

..........................................................................

29

 

4.2

Europarådets dataskyddsreglering....................................

29

 

4.3

EU:s dataskyddsreglering.................................................

29

 

4.4

OECD:s riktlinjer .............................................................

30

 

4.5

Grundläggande bestämmelser om behandling av

 

 

 

personuppgifter.................................................................

30

 

4.6

Personuppgiftslagen .........................................................

31

 

 

4.6.1 .............................

Lagens tillämpningsområde

31

 

 

4.6.2 ............

Grundläggande krav för behandlingen

32

 

 

4.6.3 ..........................................

Tillåten behandling

32

 

 

4.6.4 ...................................

Information och rättelse

33

2

 

4.6.5 ..............................

Säkerhet vid behandlingen

34

4.6.6Överföring av personuppgifter till tredjeland . 34

 

4.6.7

Tillsyn.............................................................

34

 

4.6.8

Sanktioner.......................................................

35

4.7

Polisens behandling av personuppgifter ..........................

35

 

4.7.1

Regleringen i stort ..........................................

35

 

4.7.2

Polisdatalagen.................................................

36

 

4.7.3

Andra registerförfattningar .............................

38

4.8Andra myndigheters behandling av personuppgifter för

brottsbekämpning ............................................................

38

4.8.1

Tullverket .......................................................

38

4.8.2

Kustbevakningen ............................................

40

4.8.3

Skatteverket ....................................................

41

4.8.4

Åklagarväsendet .............................................

43

4.9Behandling av personuppgifter vid andra myndigheter i

 

 

rättskedjan .......................................................................

44

 

 

4.9.1

Allmänna utgångspunkter ...............................

44

 

 

4.9.2

Domstolarna ...................................................

45

 

 

4.9.3

Kriminalvården ...............................................

46

 

 

4.9.4

Kronofogdemyndigheten ................................

47

 

4.10

Lagstiftning om internationellt samarbete .......................

48

 

 

4.10.1

Allmänna utgångspunkter ...............................

48

 

 

4.10.2

Lagstiftning om samarbete i den

 

 

 

 

brottsbekämpande verksamheten ....................

48

 

 

4.10.3

Lagen om internationell rättslig hjälp i

 

 

 

 

brottmål ..........................................................

51

5

Dataskyddsrambeslutet ..................................................................

52

 

5.1

Bakgrund

.........................................................................

52

 

5.2

Rambeslutets ......................................................innehåll

52

6

Genomförande av dataskyddsrambeslutet......................................

55

6.1Förbättrat integritetsskydd vid polissamarbete och

straffrättsligt samarbete ...................................................

55

6.2I vilken utsträckning kräver genomförandet av data-

 

skyddsrambeslutet författningsreglering?........................

55

6.3

Normgivningsnivån .........................................................

57

6.4

Den nya lagens tillämpningsområde................................

59

 

6.4.1

Allmänt om tillämpningsområdet...................

59

 

6.4.2

Undantag för nationella säkerhetsintressen ....

68

6.5

Definitioner .....................................................................

70

6.6

Ändamål med behandlingen ............................................

71

 

6.6.1

Allmänt om ändamålen...................................

71

 

6.6.2

Behandling för andra ändamål än de

 

 

 

ursprungliga....................................................

72

6.6.3Vidarebehandling av uppgifter för historiska,

 

statistiska eller vetenskapliga ändamål ...........

74

6.6.4

Tillämpningen av offentlighetsprincipen........

76

6.6.5Ska internationella åtaganden vara ett särskilt

 

 

ändamål?.........................................................

78

6.7

Villkor för användningen av uppgifter ............................

82

 

6.7.1

Villkor som ställs upp av utländska organ......

82

Prop. 2012/13:73

3

Prop. 2012/13:73

4

6.7.2Uppgifter som överförs av svenska myndigheter

 

 

till en annan medlemsstat m.m. .......................

85

6.8

Behandling av känsliga personuppgifter ..........................

86

6.9

Rätten till information ......................................................

90

6.10

Skadestånd, rättelse och sanktioner..................................

93

 

6.10.1

Skadestånd.......................................................

93

 

6.10.2

Rättelse ............................................................

94

 

6.10.3

Sanktioner........................................................

96

6.11

Överklagande ...................................................................

97

6.12

Överföring av personuppgifter till tredjeland...................

98

6.13

Överföring av personuppgifter till enskilda....................

100

6.14

Dataskyddsbestämmelser i tidigare antagna rättsakter ...

103

6.15

Avtal med tredjeland ......................................................

108

6.16Förhållandet mellan den nya lagen och myndigheternas

 

 

registerförfattningar ........................................................

109

 

6.17

Ändring i offentlighets - och sekretesslagen ...................

111

 

6.18

System för märkning ......................................................

112

 

6.19

Tillsyn

............................................................................

113

7

Kompletterande lagstiftning med anledning av Europolråds

 

 

beslutet

..........................................................................................

 

115

 

7.1

Något om ........................Europol och dess verksamhet

115

 

7.2 ........................................................

Europolrådsbeslutet

116

 

7.3 ...................................................

Tystnadsplikt inom EU

117

 

...........................

7.3.1

Allmänt om tystnadsplikten

117

 

.................................

7.3.2

Tystnadsplikt i Europol

118

 

......................................

7.3.3

Sanktioner inom EU

118

 

7.4 ......

Den svenska regleringen av frågor om tystnadsplikt

119

 

................................................

7.4.1

Yttrandefrihet

119

 

.....................

7.4.2

Straffansvar enligt brottsbalken

120

 

7.5 .............................................

En ny lag om tystnadsplikt

121

8

Ikraftträdande ..................................och övergångsbestämmelser

125

 

8.1 .................................................................

Ikraftträdande

125

 

8.2 .................................................

Övergångsbestämmelser

126

9

Konsekvenserna ........................................................av förslagen

127

10

Författningskommentar.................................................................

129

10.1Förslaget till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt

samarbete inom Europeiska unionen..............................

129

10.2Förslaget till lag om tystnadsplikt för anställda vid

Europeiska polisbyrån ....................................................

139

10.3Förslaget till lag om ändring i lagen (1998:620) om

belastningsregister..........................................................

140

10.4Förslaget till lag om ändring i lagen (1998:621) om

misstankeregister............................................................

141

10.5Förslaget till lag om ändring i lagen (1999:90) om

behandling av personuppgifter vid Skatteverkets

 

medverkan i brottsutredningar........................................

142

10.6Förslaget till lag om ändring i lagen (2000:343) om

internationellt polisiärt samarbete ..................................

142

10.7Förslaget till ändring i lagen (2011:1175) om ändring i

lagen (2000:344) om Schengens informationssystem ... 143

10.8Förslaget till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens

verksamhet.....................................................................

144

10.9Förslaget till lag om ändring i lagen (2001:617) om

behandling av personuppgifter inom kriminalvården.... 144

10.10Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande

verksamhet.....................................................................

145

10.11Förslaget till lag om ändring i offentlighets- och

sekretesslagen (2009:400) .............................................

147

10.12Förslaget till lag om ändring i polisdatalagen

(2010:361) .....................................................................

148

10.13Förslaget till lag om ändring i lagen (2010:362) om

polisens allmänna spaningsregister................................

148

10.14Förslaget till lag om ändring i kustbevakningsdatalagen

 

(2012:145) .....................................................................

149

Bilaga 1

Rådets rambeslut 2008/977/RIF av den 27 november 2008

 

om skydd av personuppgifter som behandlas inom ramen

 

för polissamarbete och straffrättsligt samarbete ............

150

Bilaga 2

Rådets beslut av den 6 april 2009 om inrättande av

 

 

Europeiska polisbyrån (Europol)...................................

162

Bilaga 3

Sammanfattning av betänkandet....................................

192

Bilaga 4

Utredningens lagförslag.................................................

199

Bilaga 5

Förteckning över remissinstanserna (betänkandet)........

215

Bilaga 6

Lagförslagen i utkastet till lagrådsremiss ......................

216

Bilaga 7

Förteckning över remissinstanserna (utkastet till

 

 

lagrådsremiss)................................................................

236

Bilaga 8

Lagrådsremissens lagförslag..........................................

237

Bilaga 9

Lagrådets yttrande .........................................................

257

Utdrag ur protokoll vid regeringssammanträde den 21 februari 2013 . 265

Rättsdatablad........................................................................................

266

Prop. 2012/13:73

5

Prop. 2012/13:73

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag med vissa bestämmelser om skydd för personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen,

2.lag om tystnadsplikt för anställda vid Europeiska polisbyrån,

3.lag om ändring i lagen (1998:620) om belastningsregister,

4.lag om ändring i lagen (1998:621) om misstankeregister,

5.lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

6.lag om ändring i lagen (2000:343) om internationellt polisiärt sam- arbete,

7.lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem,

8.lag om ändring i lagen (2001:184) om behandling av personuppgif- ter i Kronofogdemyndighetens verksamhet,

9.lag om ändring i lagen (2001:617) om behandling av personuppgif- ter inom kriminalvården,

10.lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

11.lag om ändring i offentlighets- och sekretesslagen (2009:400),

12.lag om ändring i polisdatalagen (2010:361),

13.lag om ändring i lagen (2010:362) om polisens allmänna spanings- register,

14.lag om ändring i kustbevakningsdatalagen (2012:145).

6

Prop. 2012/13:73

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Härigenom föreskrivs följande.

Lagens syfte

1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete1 (dataskydds- rambeslutet).

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om upp- gifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

1 EUT L 350, 30.12.2008, s. 60 (Celex 32008F0977).

7

Prop. 2012/13:73 4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.

Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom

1.informationsutbyte som hänför sig till Schengens informationssy- stem (SIS),

2.informationsutbyte genom Tullinformationssystemet (TIS),

3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet2 (Prüm- rådsbeslutet), eller

4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att före- bygga, upptäcka och utreda terroristbrott och andra grova brott3.

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

2.vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

3.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får även behandlas för andra ändamål än dem som

anges i första stycket, om den som överfört eller gjort uppgifterna till- gängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överfö- ras till enskilda om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.överföringen är nödvändig för att

a)myndigheten ska kunna fullgöra en författningsreglerad uppgift,

b)förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

2EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615).

3EUT L 218, 13.8.2008, s. 129 (Celex 32008D0633).

8

d) förhindra att enskildas rättigheter allvarligt kränks, och

Prop. 2012/13:73

3. inga berättigade intressen hos den som uppgifterna avser hindrar att

 

de överförs.

 

Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda

 

vid handläggning av brottmål.

 

Överföring av personuppgifter till tredjeland eller inter- nationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, för- utom till dem som anges i 2 § första stycket 1–4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.det är nödvändigt för att förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

3.mottagaren har ansvar för sådan verksamhet som anges i 2, och

4.den stat där den mottagande myndigheten eller det mottagande in- ternationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är upp- fyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.

Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvän- digt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan med- lemsstat i Europeiska unionen.

Villkor om användningsbegränsningar

Villkor som ställs upp av andra stater eller EU-organ

8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda upp- gifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beiv- rande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

9

Prop. 2012/13:73

10

Villkor när svenska myndigheter överför uppgifter eller gör uppgif- ter tillgängliga

9 § Om en svensk myndighet överför personuppgifter till eller gör per- sonuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1–4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Övriga bestämmelser

10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket per- sonuppgiftslagen (1998:204) gäller inte vid behandling av personuppgif- ter enligt denna lag.

11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.

Denna lag träder i kraft den 1 juli 2013, men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.

Prop. 2012/13:73

2.2Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån

Härigenom föreskrivs följande.

1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)4, får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.

I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.

Denna lag träder i kraft den 1 juli 2013.

4 EUT L 121, 15.5.2009, s. 37 (Celex 32009D0371).

11

Prop. 2012/13:73

12

2.3Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att det i lagen (1998:620) om belastningsregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a §

Denna lag gäller utöver person- uppgiftslagen (1998:204).

1 b §

I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamar- bete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestäm- melser om behandling av person- uppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmel- serna i denna lag och personupp- giftslagen (1998:204). Detta gäller dock inte vid behandling av per- sonuppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av med- lemsstaternas utbyte av person-

uppgifter ur kriminalregistret och Prop. 2012/13:73 uppgifternas innehåll5. Bestäm-

melsen i 10 § lagen med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behand- ling.

Denna lag träder i kraft den 1 juli 2013.

5 EUT L 93, 7.4.2009, s. 23 (Celex 32009F0315).

13

Prop. 2012/13:73

14

2.4Förslag till lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a §

Denna lag gäller utöver person- uppgiftslagen (1998:204).

1 b §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de tillämpas i stället för bestämmel- serna i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

2.5

Förslag till lag om ändring i lagen (1999:90)

Prop. 2012/13:73

 

om behandling av personuppgifter vid

 

 

Skatteverkets medverkan i brottsutredningar

 

Härigenom föreskrivs att det i lagen (1999:90) om behandling av per-

 

sonuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas

 

en ny paragraf, 1 a §, av följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

 

1 a §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller

Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmelser- na i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

15

Prop. 2012/13:73

2.6Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 b §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de til- lämpas i stället för bestämmel- serna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte vid behandling av per- sonuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskri- dande samarbete, särskilt för be- kämpning av terrorism och gräns- överskridande brottslighet6.

Denna lag träder i kraft den 1 juli 2013.

6 EUT L 210, 6.8.2008, s. 1 (Celex 32008D0615).

16

2.7

Förslag till lag om ändring i lagen (2011:1175) Prop. 2012/13:73

 

om ändring i lagen (2000:344) om Schengens

 

informationssystem

Härigenom föreskrivs att 4 § lagen (2000:344) om Schengens informa- tionssystem i stället för dess lydelse enligt lagen (2011:1175) om ändring i nämnda lag ska ha följande lydelse.

Lydelse enligt SFS 2011:1175

Föreslagen lydelse

4 §

När det gäller framställningar som rör personer får endast följande uppgifter registreras:

1.efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,

2.särskilda bestående fysiska kännetecken,

3.fotografier och fingeravtryck,

4.födelsedatum och födelseort,

5.kön,

6.medborgarskap,

7.om personen kan vara beväpnad eller kan tillgripa våld,

8.om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,

9.syftet med framställningen,

10.begärd åtgärd,

11. om en förvunnen person be- höver omhändertas eller inte,

11. om en försvunnen person behöver omhändertas eller inte,

12.den myndighet som har lagt in registreringen,

13.en hänvisning till det beslut som har föranlett registreringen,

14.typ av brott som avses i framställningen, samt

15.övriga uppgifter som ska anges i en europeisk eller nordisk arreste- ringsorder.

Därutöver får det, om det behövs, förekomma länkar till andra registre- ringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.

Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1–6 samt uppgifter om nummer och datum för personens identitetshandlingar.

17

Prop. 2012/13:73

18

2.8Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet

dels att det i lagen ska införas en ny paragraf, 1 kap. 3 a §, av följande lydelse,

dels att rubriken närmast före 1 kap. 2 § ska lyda ”Förhållandet till andra bestämmelser om personuppgiftsbehandling”.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

3 a §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmel- serna i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

Prop. 2012/13:73

2.9Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra be- stämmelser om personuppgiftsbehandling”.

Nuvarande lydelse

Föreslagen lydelse

2 a §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de tilläm- pas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

19

Prop. 2012/13:73

20

2.10Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att 1 a, 7, 15, 19 och 21 §§ samt rubriken närmast före 15 § ska ha följande lydelse.

Nuvarande lydelse

 

 

Föreslagen lydelse

 

 

 

 

1 a §7

 

I lagen (2000:343) om interna-

I lagen (2000:343) om interna-

tionellt polisiärt samarbete och i

tionellt polisiärt samarbete och i

föreskrifter

som

regeringen

har

föreskrifter som regeringen

har

meddelat i anslutning till den

meddelat i anslutning till den

lagen, finns det särskilda bestäm-

lagen, finns det särskilda bestäm-

melser om behandling av person-

melser om behandling av person-

uppgifter som följer av interna-

uppgifter som följer av interna-

tionella överenskommelser

om

tionella överenskommelser

om

polisiärt samarbete. Om det i dessa

polisiärt samarbete.

 

författningar finns avvikande be-

 

 

stämmelser,

ska

de tillämpas i

 

 

stället för bestämmelserna i denna lag.

I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamar- bete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestäm- melser om behandling av person- uppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestäm-

7 Senaste lydelse SFS 2011:903.

melserna i denna lag. Prop. 2012/13:73

7 §

Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet

om det behövs för att

1. förebygga, förhindra eller

1. förhindra eller upptäcka

brottslig verksamhet,

upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

3. fullgöra det arbete som Tull-

3. fullgöra förpliktelser som föl-

verket är skyldigt att utföra enligt

jer av internationella åtaganden.

lagen (2000:1219) om interna-

 

tionellt tullsamarbete.

 

Behandling av uppgifter för

Behandling av uppgifter som rör

internationellt tullsamarbete

internationella åtaganden

15 §

Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.

Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.

19 §

Om förutsättningarna för behandling enligt 1, 7, 8 och 11–18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:

1.uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2.uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3.upplysningar om varifrån en uppgift kommer och om uppgiftslämna- rens trovärdighet,

4.de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

5.uppgifter om särskilda fysiska kännetecken,

6.uppgifter om varor, brottshjälpmedel och transportmedel,

7.varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

8.ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

9.administrativa åtgärder i ett ärende,

10. uppgifter som är nödvändiga för att Tullverket skall kunna full- göra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete,

10. uppgifter som är nödvändiga för att Tullverket ska kunna full- göra förpliktelser som följer av internationella åtaganden,

21

Prop. 2012/13:73 11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också före- kommer, samt

12. upplysningar som avses i 16 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdata- basen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.

21 §

Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid

Första stycket gäller inte vid

sökning bara i ett visst ärende

sökning

eller en viss handling. Första

1. i ett visst ärende eller en viss

stycket gäller inte heller vid sök-

handling,

ning efter den som en handling

2. efter den som en handling

kommit in från eller expedierats

kommit in från eller expedierats

till i ett ärende.

till i ett ärende, eller

 

3. för att Tullverket ska kunna

 

fullgöra förpliktelser som följer av

 

internationella åtaganden.

Denna lag träder i kraft den 1 juli 2013.

22

2.11

Förslag till lag om ändring i offentlighets- och

Prop. 2012/13:73

 

sekretesslagen (2009:400)

 

Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen

 

(2009:400) ska ha följande lydelse.

 

 

Nuvarande lydelse

Föreslagen lydelse

 

9 kap.

2 §8

Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2000:343) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,

8. lagen (1998:620) om belast-

8. lagen (1998:620) om belast-

ningsregister, och

ningsregister,

9. lagen (2012:843) om admi-

9. lagen (2012:843) om admi-

nistrativt samarbete inom Euro-

nistrativt samarbete inom Euro-

peiska unionen i fråga om beskatt-

peiska unionen i fråga om beskatt-

ning.

ning, och

 

10. lagen (2013:000) med vissa

 

bestämmelser om skydd för per-

 

sonuppgifter vid polissamarbete

 

och straffrättsligt samarbete inom

 

Europeiska unionen.

Denna lag träder i kraft den 1 juli 2013.

8 Senaste lydelse 2012:850.

23

Prop. 2012/13:73

2.12Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

2 b §

I lagen (2013:000) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmelser- na i denna lag.

Denna lag träder i kraft den 1 juli 2013.

24

Prop. 2012/13:73

2.13Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

Härigenom föreskrivs i fråga om lagen (2010:362) om polisens all- männa spaningsregister

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,

dels att rubriken närmast före 2 § ska lyda ”Förhållandet till andra be- stämmelser om personuppgiftsbehandling”.

Nuvarande lydelse

Föreslagen lydelse

2 a §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Euro- peiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmel- serna i denna lag och personupp- giftslagen (1998:204).

Denna lag träder i kraft den 1 juli 2013.

25

Prop. 2012/13:73

26

2.14Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)

Härigenom föreskrivs att det i kustbevakningsdatalagen (2012:145) ska införas en ny paragraf, 1 kap. 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

2 a §

I lagen (2013:000) med vissa be- stämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i före- skrifter som regeringen har med- delat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamar- bete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1. en stat som är medlem i Euro- peiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvi- kande bestämmelser, ska de till- lämpas i stället för bestämmel- serna i denna lag.

Denna lag träder i kraft den 1 juli 2013.

Prop. 2012/13:73

3

Ärendet och dess beredning

 

Dataskyddsrambeslutet

 

Den 4 november 2004 antog Europeiska rådet det s.k. Haagprogrammet

 

för stärkt frihet, säkerhet och rättvisa i Europeiska unionen (EU). Rådet

 

uttalade där att en förstärkning av frihet, säkerhet och rättvisa kräver en

 

innovativ strategi i fråga om gränsöverskridande utbyte av information

 

om brottsbekämpning. En princip bör vara att en tjänsteman vid en

 

brottsbekämpande myndighet i en medlemsstat ska göra befintlig infor-

 

mation tillgänglig för motsvarande befattningshavare i en annan stat om

 

han eller hon behöver informationen för att utföra sina uppgifter.

 

Ett effektivare polissamarbete och rättsligt samarbete måste emellertid

 

balanseras mot grundläggande rättigheter, bl.a. rätten till ett privatliv och

 

rätten till skydd av personuppgifter. Den 4 oktober 2005 presenterade

 

kommissionen därför ett förslag till rambeslut om skydd av personupp-

 

gifter som behandlas inom ramen för polissamarbete och straffrättsligt

 

samarbete. Förutom medlemsstaterna inom Europeiska unionen deltog

 

även Island, Norge och Schweiz i förhandlingarna om utkastet till rambe-

 

slut, som ett led i det utvidgade Schengensamarbetet. I slutet av år 2007

 

nåddes en politisk principöverenskommelse om innehållet i utkastet till

 

rambeslut (dataskyddsrambeslutet). I propositionen Godkännande av

 

dataskyddsrambeslutet (prop. 2008/09:16) föreslog regeringen att riksda-

 

gen skulle godkänna utkastet till rambeslut. Några lagförslag presentera-

 

des inte. Däremot lämnades i anslutning till genomgången av innehållet i

 

rådsbeslutet en kort beskrivning av i vilka avseenden beslutet bedömdes

 

kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU7,

 

rskr. 2008/09:41). Rådets rambeslut 2008/977/RIF av den 27 november

 

2008 om skydd för personuppgifter som behandlas inom ramen för polis-

 

samarbete

och straffrättsligt samarbete antogs därefter (EUT L 350,

 

30.12.2008, s. 60, Celex 32008F0977). Dataskyddsrambeslutet återges i

 

bilaga 1.

 

 

Den 25 februari 2010 gav regeringen en särskild utredare i uppdrag

 

bl.a. att analysera hur svensk rätt förhåller sig till bestämmelserna i data-

 

skyddsrambeslutet och att utarbeta nödvändiga författningsförslag för att

 

Sverige ska kunna leva upp till bestämmelserna i rambeslutet (dir.

 

2010:17).

 

 

I februari 2011 överlämnade utredningen betänkandet Dataskydd vid

 

europeiskt polisiärt och straffrättsligt samarbete. Dataskyddsrambeslutet.

 

Europolanställdas befattning med hemliga uppgifter (SOU 2011:20). En

 

sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag

 

finns i bilaga 4. Betänkandet har remissbehandlats. En förteckning över

 

remissinstanserna finns i bilaga 5. En remissammanställning finns till-

 

gänglig i Justitiedepartementet (dnr Ju2011/2232/L4).

 

För att komplettera beredningsunderlaget remitterades ett utkast till

 

lagrådsremiss. Utkastet till lagrådsremiss, vars förslag till lagtext finns i

 

bilaga 6, överensstämmer i allt väsentligt med den slutliga lagrådsremis-

 

sen. Utkastet till lagrådsremiss och remissyttrandena finns tillgängliga i

27

Prop. 2012/13:73

28

Justitiedepartementet (dnr Ju2012/6465/L4). En förteckning över re- missinstanserna finns i bilaga 7.

Europolrådsbeslutet

Europeiska polisbyrån (Europol) är EU:s gemensamma polisbyrå. Mål- sättningen med Europol är att förbättra effektiviteten hos de behöriga myndigheterna i medlemsstaterna och deras samarbete för att förebygga och motverka viss definierad brottslighet, bl.a. grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europolkonventionen öppnades för undertecknande år 1995. Sverige tillträdde konventionen år 1997 (prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 1997/98:22). Europols verksamhet inleddes år 1999.

I december 2006 enades rådet för rättsliga och inrikes frågor (RIF- rådet) om att Europolkonventionen skulle ersättas av ett rådsbeslut. Den grundläggande orsaken var att konventionsformen innebar långdragna och omständliga processer varje gång det fanns behov av att förändra och utveckla Europols verksamhet och arbetsformer. Den 18 april 2008 träf- fades en politisk överenskommelse i RIF-rådet om ett utkast till rådsbe- slut om inrättande av Europeiska polisbyrån (Europol). I propositionen Godkännande av rådets beslut att inrätta Europeiska polisbyrån (Euro- pol), prop. 2008/09:14, föreslog regeringen att riksdagen skulle godkänna utkastet till rådsbeslut. Några lagförslag presenterades inte. Däremot lämnades i anslutning till genomgången av innehållet i rådsbeslutet en beskrivning av i vilka avseenden beslutet bedömdes kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU6, rskr. 2008/09:63). Därefter antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrät- tande av Europeiska polisbyrån (Europol), EUT L 121, 15.5.2009, s. 37, Celex 32009D0371. Den 1 januari 2010 ersatte rådsbeslutet Europol- konventionen. Europolrådsbeslutet återges i bilaga 2.

Som ett led i arbetet med att genomföra Europolrådsbeslutet föreslog regeringen i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) en ändring i lagen (1976:661) om immunitet och privilegier i vissa fall. Ändringen trädde i kraft den 1 januari 2010. Vidare gjordes en ändring i förordningen (2007:975) med instruktion för Datainspek- tionen. Denna ändring trädde i kraft den 11 oktober 2011.

I uppdraget till den särskilde utredaren ingick att analysera behovet av särskilda regler om Europolanställdas befattning med hemliga uppgifter, för att svensk rätt ska vara förenlig med Europolrådsbeslutet, och att vid behov utarbeta nödvändiga författningsförslag. Utredningens lagförslag finns i bilaga 4. Förslaget har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissynpunkterna framgår av tidi- gare nämnda remissammanställning avseende betänkandet. Som nämnts ovan remitterades ett utkast till lagrådsremiss för att komplettera beredningsunderlaget. Utkastet till lagrådsremiss innehöll även förslaget rörande Europolrådsbeslutet.

Lagrådet

Regeringen beslutade den 10 januari 2013 att inhämta Lagrådets ytt- rande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Regeringen har i allt väsentligt följt Lagrådets förslag, men har

i vissa delar gjort en annan bedömning än Lagrådet. Lagrådets synpunk- Prop. 2012/13:73 ter behandlas i avsnitten 6.4.1, 6.6.4, 6.6.5, 6.7.2, 6.13, 6.14, 6.16, 7.5

och 8.2 samt i författningskommentaren. Dessutom har vissa språkliga och redaktionella ändringar gjorts.

4 Regleringen rörande dataskydd

4.1Inledning

Regler om personuppgiftsbehandling och skydd av personuppgifter finns såväl på internationell som på nationell nivå. På internationell nivå har både Europarådet och EU utformat regleringar. I detta avsnitt finns en översiktlig redogörelse för olika regelverk om behandling av personupp- gifter, dvs. dataskydd. Först behandlas de generella internationella och nationella regelverken. Därefter behandlas de olika registerförfattningar som berörs av dataskyddsrambeslutet. Redogörelsen fokuserar särskilt på sådana bestämmelser som har relevans för analysen av hur svensk rätt förhåller sig till rambeslutet.

4.2Europarådets dataskyddsreglering

Vissa bestämmelser i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har betydelse för myndigheters rätt att behandla personuppgifter. Artikel 8 föreskriver att var och en har rätt till respekt för bl.a. sitt privat- och familjeliv och att en offentlig myndighet inte får inskränka denna rättighet annat än med stöd av lag och med hänsyn till vissa angivna intressen. I artikel 13 föreskrivs att var och en, vars i kon- ventionen angivna fri- och rättigheter har kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet.

Europakonventionens regler om skydd av personuppgifter preciseras genom reglerna i den europeiska konventionen från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konven- tionen kompletteras av ett antal av ministerkommittén antagna rekom- mendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet har under år 2010 inlett en översyn av konventionen och rekommendationerna.

4.3

EU:s dataskyddsreglering

 

Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheter-

 

na (EUT C 83, 30.3.2010, s. 389) reglerar skydd av personuppgifter.

 

Enligt artikeln har var och en rätt till skydd av de personuppgifter som

29

Prop. 2012/13:73 rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efter- levs.

EU har antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31), ofta kallat dataskyddsdirektivet. Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och förstärks Europarådets dataskyddskonvention genom data- skyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.

Det nu aktuella rambeslutet kompletterar dataskyddsdirektivet genom att det reglerar ett område som inte täcks av direktivet, nämligen polisiärt och straffrättsligt samarbete (se närmare om detta i avsnitt 5).

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. För- handlingar om reformen inleddes under våren 2012.

4.4OECD:s riktlinjer

Organisationen för ekonomiskt samarbete och utveckling (OECD) har också arbetat fram internationella riktlinjer för integritetsskydd och flöde av persondata. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskydds- direktivet.

4.5Grundläggande bestämmelser om behandling av personuppgifter

Tidigare föreskrevs i 2 kap. 3 § andra stycket regeringsformen att varje medborgare, i den utsträckning som närmare angavs i lag, skulle skyddas mot att hans eller hennes personliga integritet kränktes genom att upp- gifter om honom eller henne registrerades med hjälp av automatisk data- behandling. Bestämmelsen utgjorde inte något individuellt rättighets- skydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad

behandling av personuppgifter.

30

Den 1 januari 2011 upphävdes nämnda bestämmelse. Samtidigt inför- Prop. 2012/13:73 des ett andra stycke i 2 kap. 6 § regeringsformen enligt vilket var och en

gentemot det allmänna är skyddad mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkning i denna fri- och rättighet får enligt 2 kap. 20 § första stycket 2 regerings- formen under vissa förutsättningar göras i lag.

I Sverige har dataskyddsdirektivet genomförts generellt genom person- uppgiftslagen (1998:204). Denna lösning valdes i stället för att begränsa lagstiftningen till de områden inom vilka direktivet är tvingande. Person- uppgiftslagen gäller således i princip även för de områden som data- skyddsrambeslutet är tillämpligt på. Dataskyddsrambeslutets förpliktelser för medlemsstaterna överensstämmer i många avseenden med de för- pliktelser som gäller enligt dataskyddsdirektivet. Detta innebär att svensk lagstiftning till största delen redan uppfyller kraven i rambeslutet.

Vid sidan av personuppgiftslagen finns det också författningar som reglerar personuppgiftsbehandlingen inom olika verksamhetsområden. Personuppgiftsbehandlingen inom de verksamhetsområden som berörs av rambeslutets tillämpningsområde är därför redan författningsreglerad. Något förenklat kan man säga att det rör sig om tre olika typer av författ- ningsreglering; för det första författningar som reglerar ett eller flera en- skilda register, för det andra generella författningar för en viss sektor av samhället (som i sig kan reglera ett eller flera register), för det tredje personuppgiftslagen som tillämpas helt eller delvis för olika verksam- hetsområden. De författningar som gäller vid sidan av personuppgiftsla- gen brukar betecknas registerförfattningar. Inom vissa verksamheter, bl.a. de här aktuella, ska ibland personuppgiftslagen, en särskild register- författning för den sektorn och särbestämmelser för ett visst register tillämpas samtidigt. Regleringen på området är således mycket komplex.

4.6Personuppgiftslagen

4.6.1 Lagens tillämpningsområde

Personuppgiftslagen (1998:204) är generellt tillämplig och innehåller

 

allmänna riktlinjer för behandling av personuppgifter, oavsett ändamålet

 

med behandlingen. Lagen ersatte den tidigare datalagen (1973:289) när

 

dataskyddsdirektivet genomfördes i svensk rätt.

 

Personuppgiftslagen är subsidiär i förhållande till annan författnings-

 

reglering. Samtidigt som personuppgiftslagen infördes skapades sär-

 

skilda lagar och förordningar som reglerar behandlingen av personupp-

 

gifter för ett visst verksamhetsområde, för en viss typ av register eller för

 

ett särskilt register. Utgångspunkten har varit att myndighetsregister med

 

ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras

 

särskilt i lag (prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11).

 

För personuppgiftsbehandlingen inom åklagarväsendet, de allmänna

 

domstolarna och de allmänna förvaltningsdomstolarna samt kriminalvår-

 

den finns särreglering som i stor utsträckning ersätter personuppgiftsla-

 

gen. Motsvarande gäller registerförfattningen för Skatteverkets brottsbe-

 

kämpande verksamhet. För polisen, Kustbevakningen och Tullverket har

31

 

Prop. 2012/13:73 en annan lagstiftningsmodell valts, men resultatet är detsamma, nämligen att personuppgiftslagens bestämmelser delvis gäller.

Personuppgiftslagen reglerar hur personuppgifter får hanteras. Lagen ska tillämpas på all helt eller delvis automatiserad behandling av person- uppgifter. Dessutom är den tillämplig på manuell behandling av sådana personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier.

Kompletterande bestämmelser till personuppgiftslagen finns i person- uppgiftsförordningen (1998:1191).

4.6.2Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås vissa grundläggande krav fast för all be- handling av personuppgifter. Sådana uppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. Personuppgifter ska samlas in och behandlas för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara riktiga och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ända- målen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna inte uppfyller dessa krav, ska den per- sonuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter ska de avidentifieras eller för- störas. Behandling som sker för att bevara uppgifter för historiska, statis- tiska eller vetenskapliga ändamål får dock ske under längre tid än vad som är nödvändigt för de ursprungliga ändamålen. Det möjliggör t.ex. behandling i form av elektronisk arkivering av personuppgifter.

 

4.6.3

Tillåten behandling

 

Personuppgiftslagen innehåller en uttömmande uppräkning av under

 

vilka

förutsättningar behandling av personuppgifter är tillåten (10–

 

12 §§ personuppgiftslagen). Av särskilt intresse i detta sammanhang är

 

13 § som förbjuder behandling av känsliga personuppgifter. Känsliga

 

personuppgifter definieras i lagen som uppgifter som avslöjar ras eller

 

etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,

 

medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

 

Förbudet mot behandling av känsliga uppgifter är inte undantagslöst. Det

 

omfattar enligt 5 a § personuppgiftslagen inte personuppgifter som inte

 

ingår i eller är avsedda att ingå i strukturerat material, dvs. en samling av

 

personuppgifter som är tillgänglig för sökning eller sammanställning

 

enligt särskilda kriterier. I 14–19 §§ personuppgiftslagen anges under

 

vilka förutsättningar känsliga uppgifter får behandlas trots förbudet i

 

13 §. Känsliga personuppgifter får således behandlas om det är nödvän-

32

digt med hänsyn till vissa särskilt angivna ändamål, t.ex. för att den regi-

strerades eller någon annans vitala intressen ska kunna skyddas och den Prop. 2012/13:73 registrerade inte kan lämna samtycke till behandlingen. Det finns också

utrymme för regeringen, eller den myndighet regeringen bestämmer, att enligt 20 § personuppgiftslagen meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana föreskrifter finns i 8 § personuppgiftsförord- ningen. Enligt den bestämmelsen får myndigheter generellt behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.

Enligt 21 § personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om per- sonnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

4.6.4Information och rättelse

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behand- ling av personuppgifter om honom eller henne pågår. Har uppgifterna samlats in från någon annan än den enskilde, ska han eller hon informe- ras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 § personuppgiftslagen). Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnande av uppgifterna i författning eller om det skulle vara omöjligt eller kräva en opro- portionerligt stor arbetsinsats att informera. Informationen ska omfatta uppgift om vem som är personuppgiftsansvarig, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen (25 § personuppgiftslagen). Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 § personuppgiftslagen). Det bör anmärkas att uppgiftsskyldigheten inte omfattar alla uppgifter, bl.a. inte uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 § personuppgiftslagen).

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgifts- ansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen (28 § personupp- giftslagen).

33

Prop. 2012/13:73 4.6.5

Säkerhet vid behandlingen

I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.

4.6.6Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att föra över personupp- gifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överfö- ringen. I paragrafen anges vilka omständigheter som ska tillmätas sär- skild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § finns be- myndiganden som framför allt ger regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsför- ordningen anges vissa länder som enligt särskilt beslut av Europeiska gemenskapernas kommission anses ha en adekvat skyddsnivå för be- handlingen av personuppgifter eller som har slutit avtal med EU om överföring av vissa uppgifter om flygpassagerare.

4.6.7 Tillsyn

 

Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyn-

 

dighet enligt personuppgiftslagen. De registerförfattningar som gäller

 

utöver personuppgiftslagen och som är aktuella i detta sammanhang

 

innehåller inte några avvikande bestämmelser i fråga om tillsynsmyndig-

 

het. Datainspektionen är således tillsynsmyndighet även enligt dessa

 

författningar (se t.ex. prop. 2004/05:164 s. 53 f.). Detsamma gäller för

 

andra särskilda registerförfattningar som berörs av dataskyddsrambeslu-

 

tet.

 

Datainspektionen har enligt 43 § personuppgiftslagen för sin tillsyn rätt

 

att på begäran få tillgång till de personuppgifter som behandlas och upp-

 

lysningar och dokumentation av behandlingen och säkerheten vid denna

 

samt tillträde till sådana lokaler som har anknytning till behandlingen av

 

personuppgifter. Om tillsynsmyndigheten inte efter begäran kan få till-

 

räckligt underlag för att konstatera att behandlingen är laglig, får myn-

 

digheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att

 

behandla personuppgifter på annat sätt än att lagra dem. Det anses dock

 

vara en allmän rättsgrundsats att vite inte bör användas mot statliga myn-

 

digheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105).

 

Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten, om den kon-

34

staterar att uppgifter behandlas eller kan komma att behandlas på ett

 

olagligt sätt, genom påpekanden eller liknande förfaranden försöka Prop. 2012/13:73 åstadkomma rättelse. Går det inte att få rättelse på annat sätt, eller om

saken är brådskande, får myndigheten på motsvarande sätt förbjuda annan behandling än lagring. Tillsynsmyndigheten får också, enligt 47 §, ansöka hos förvaltningsrätten om att sådana uppgifter som har behandlats på olagligt sätt ska utplånas.

4.6.8Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsa- kar skada för den registrerade har vederbörande, enligt 48 § personupp- giftslagen, rätt till skadestånd från den personuppgiftsansvarige. Skade- ståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne. Ersättningen kan dock i skälig utsträckning jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Lagen innehåller också en straffbestämmelse i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§ personuppgiftsla- gen.

4.7Polisens behandling av personuppgifter

4.7.1Regleringen i stort

Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Utgångspunkten för lagstift- ningen har varit att skapa en modern, flexibel och teknikneutral lag, som i så liten utsträckning som möjligt reglerar detaljer och enskilda register.

Polisdatalagen gäller i stället för personuppgiftslagen (1 kap. 1 § polis- datalagen). I lagen hänvisas dock till ett antal bestämmelser i personupp- giftslagen som gäller vid behandling av personuppgifter i polisens brotts- bekämpande verksamhet (2 kap. 2 § polisdatalagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.

Polisen har, något förenklat, tre kategorier av register vilket hör sam- man med vilka bestämmelser som styr behandlingen. Dessa kategorier är

register som förs med stöd av allmänna bestämmelser i polisdatala- gen och personuppgiftslagen,

register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan särskild registerlagstiftning, och

register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den numera upphävda datalagen och Datainspektionens tillstånd.

Andra registerförfattningar som är av intresse i detta sammanhang är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstan-

35

Prop. 2012/13:73 keregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2010:362) om polisens allmänna spaningsregister.

 

4.7.2

Polisdatalagen

 

Lagens tillämpningsområde

 

Den nuvarande polisdatalagen trädde i kraft den 1 mars 2012. Lagen

 

gäller vid behandling av personuppgifter i polisens brottsbekämpande

 

verksamhet vid Rikspolisstyrelsen och polismyndigheterna samt i Eko-

 

brottsmyndighetens polisiära verksamhet.

 

Den personuppgiftsbehandling som sker med stöd av de särskilda

 

lagarna om belastningsregister, misstankeregister, Schengens informa-

 

tionssystem, passagerarregister samt polisens allmänna spaningsregister

 

undantas från polisdatalagens tillämpningsområde. Lagen gäller inte

 

heller när personuppgifter behandlas i polisens vapenregister enligt

 

vapenlagen (1996:67), om inte annat anges i den lagen.

 

Ändamål

 

 

I polisdatalagen anges för vilka ändamål personuppgifter får behandlas i

 

polisens brottsbekämpande verksamhet. Ändamålen delas in i primära

 

och sekundära ändamål. De primära ändamålen avser behandling av

 

personuppgifter för att tillgodose de behov som finns inom polisens

 

brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i

 

2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna bestämmelse

 

behandlas om det behövs för att förebygga, förhindra eller upptäcka

 

brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser

 

som följer av internationella åtaganden.

 

De sekundära ändamålen aktualiseras när personuppgifter som får be-

 

handlas i polisens brottsbekämpande verksamhet lämnas ut till andra

 

myndigheter eller organisationer för dessas behov. Enligt de sekundära

 

ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgiftsbe-

 

handling genom sådant utlämnande ske när det är nödvändigt för att

 

tillhandahålla information som behövs i brottsbekämpande verksamhet

 

hos Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

 

eller hos utländsk myndighet eller mellanfolklig organisation. Person-

 

uppgiftsbehandling genom utlämnande får vidare ske om det är nödvän-

 

digt för att tillhandahålla information som behövs i polisens handräck-

 

ningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla

 

informationen i annan verksamhet som polisen svarar för. Sådan person-

 

uppgiftsbehandling får även ske om det är nödvändigt för att tillhanda-

 

hålla information som behövs i verksamhet hos Kriminalvården för att

 

förebygga brott och upprätthålla säkerheten, eller i en myndighets verk-

 

samhet i övrigt, om det åligger polisen att bistå myndigheten med viss

 

uppgift, eller informationen tillhandahålls inom ramen för myndighets-

 

överskridande samverkan mot brott. Uppgifter som behandlas för ett

 

primärt ändamål får även behandlas om det är nödvändigt för att lämna

 

information till riksdagen och regeringen samt, i den utsträckning upp-

 

giftsskyldighet följer av lag eller förordning, till andra. I ett enskilt fall

36

får personuppgifter behandlas genom att lämnas ut även för något annat

ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Slutligen anges att personuppgifter får behandlas om det är nödvändigt för diarie- föring, eller uppgifterna har lämnats till polisen i en anmälan eller lik- nande och behandlingen är nödvändig för handläggningen (2 kap. 9 § polisdatalagen).

Det finns vidare särskilda sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- och säkerhetstjänst samt utländsk myn- dighet eller mellanfolklig organisation (2 kap. 15 § polisdatalagen). Per- sonuppgifter får lämnas ut till Interpol eller Europol, eller till en polis- myndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det är förenligt med svenska intressen och det behövs för att myndig- heten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Personuppgifter får även lämnas till utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Det finns även sekretessbrytande bestämmelser som gäller i förhållande till svenska myndigheter (2 kap. 16–18 §§ polis- datalagen).

Lagen innehåller också bestämmelser om elektroniskt utlämnande av, tillgång till, bevarande och gallring av personuppgifter (2 kap. 20–21 §§ polisdatalagen).

Behandling av känsliga personuppgifter

Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdata- lagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårre- gistret, fingertrycks- och signalementsregister, penningtvättsregister samt det internationella registret. För dessa register finns särskilda bestämmel- ser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Polisdatalagen har ett särskilt kapitel med bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (5 kap. polisdatalagen). Dessa bestämmelser reglerar framförallt ända- målen för Säkerhetspolisens personuppgiftsbehandling, som delvis avvi- ker från regleringen för den övriga polisen. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller behandlingen av

Prop. 2012/13:73

37

Prop. 2012/13:73 känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldig- het gäller samma bestämmelser som för polisen i övrigt.

Skadestånd, rättelse och överklagande

Personuppgiftslagens regler om skadestånd och rättelse gäller vid be- handling med stöd av polisdatalagen (2 kap. 2 § första stycket punkterna 12 och 13 polisdatalagen). I fråga om överklagande hänvisas till överkla- ganderegler i personuppgiftslagen (2 kap. 2 § första stycket punkt 13 polisdatalagen).

4.7.3Andra registerförfattningar

Som tidigare nämnts finns det också några registerförfattningar som reglerar enskilda register som förs helt eller delvis inom ramen för poli- sens brottsbekämpande verksamhet, men som har undantagits från polis- datalagens tillämpningsområde. Detta gäller lagen om belastningsregis- ter, lagen om misstankeregister, lagen om polisens allmänna spaningsre- gister, lagen om Schengens informationssystem och lagen om passage- rarregister. I var och en av författningarna regleras bl.a. ändamålet med registret, vilka uppgifter som får finnas i registret och när de ska gallras. Motsvarande bestämmelser finns i vapenlagen (1996:67) när det gäller vapenregister.

4.8Andra myndigheters behandling av personuppgifter för brottsbekämpning

4.8.1Tullverket

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet behandlar i stort sett samma frågor som polisdatala- gen. Den gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som ska tillämpas på personupp- giftsbehandling inom Tullverkets brottsbekämpande verksamhet. Till lagen hör förordningen (2005:791) om behandling av uppgifter i Tullver- kets brottsbekämpande verksamhet. Tullverket har också en registerlag med tillhörande förordning som gäller i den s.k. fiskala verksamheten, lagen (2001:185) och förordningen (2001:646) om behandling av upp- gifter i Tullverkets verksamhet. Författningarna i fråga är inte tillämpliga i detta lagstiftningsärende och kommer därför inte att beröras närmare här. När det i det följande talas om ”Tullverkets registerförfattning” avses alltså regleringen för Tullverkets brottsbekämpande verksamhet.

Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller dels allmänna regler om behandling av personupp- gifter, dels bestämmelser om en särskild databas, tullbrottsdatabasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer.

38

De ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära (7 §) och sekun- dära (8 §) ändamål. Personuppgifter får behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete (7 §). Vidare får personuppgifter behandlas när det är nödvändigt för att till- handahålla information som behövs hos andra, i bestämmelsen uppräk- nade, svenska brottsbekämpande myndigheter (8 §). Uppgifter får som huvudregel inte behandlas för några andra ändamål än de som anges i 7 och 8 §§ (jfr 9 § d personuppgiftslagen, som inte gäller i denna verk- samhet). Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra (9 §).

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller et- niska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas en- bart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock komplette- ras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (11 §).

I 12–15 §§ anges de närmare förutsättningarna för behandling av upp- gifter för de tre huvudsyften som anges i 7 §.

För ändamålet att förhindra eller upptäcka brottslig verksamhet får en- ligt 12 § uppgifter behandlas i följande fall

om uppgifterna dels ger anledning att anta att brottslig verksamhet, som innefattar brott för vilket är föreskrivet fängelse i minst två år har utövats eller kan komma att utövas, eller som innefattar andra brott om verksamheten sker systematiskt, dels kan hänföras till en person som skäligen kan misstänkas för verksamheten i fråga,

om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som nyss sagts och inte kan hänföras till en person, eller

om uppgifterna avser en person som, utan att vara skäligen misstänkt, kan antas ha samband med sådan verksamhet.

Dessutom får uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt i syfte att förhindra eller upptäcka brottslig verksamhet (13 §).

För ändamålet att utreda och beivra brott får enligt 14 § uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet.

Enligt 15 § får Tullverket, utöver vad som följer av 12–14 §§, behandla uppgifter för sådant ändamål som anges i 7 § 3, dvs. för att fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.

Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdig-

het och uppgifternas riktighet i sak (16 §).

Prop. 2012/13:73

39

Prop. 2012/13:73 I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen och i 20–22 §§ anges vilka sökbegrepp som får an- vändas. Lagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). I 27 § finns ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att upp- gifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersök- ning ska inledas.

Lagen innehåller även bestämmelser om information till den registre- rade och överklagande. I fråga om skadestånd och rättelse gäller be- stämmelserna i personuppgiftslagen.

4.8.2Kustbevakningen

För Kustbevakningens behandling av personuppgifter gäller kustbevak- ningsdatalagen (2012:145) som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet.

Lagen gäller i stället för personuppgiftslagen, men innehåller hänvis- ningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid personuppgiftsbehandling i Kustbevakningens verksamhet (2 kap. 1 och 2 §§ lagen). Som exempel kan nämnas personuppgiftslagens be- stämmelser om definitioner och om förhållandet till offentlighetsprinci- pen.

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen. De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § kustbevakningsdatalagen. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åta- ganden.

De sekundära ändamålen är aktuella när personuppgifter som får be- handlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de se- kundära ändamålen, som anges i 3 kap. 3 § kustbevakningsdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekäm- pande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrotts- myndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behand-

ling får vidare ske om det är nödvändigt för att tillhandahålla information

40

som behövs i annan verksamhet hos Kustbevakningen för utredning och Prop. 2012/13:73 beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll

enligt lag eller förordning. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla informa- tion till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för annat ända- mål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Kustbevakningsdatalagen innehåller också bestämmelser om behand- ling av känsliga personuppgifter (2 kap. 7 §). Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga per- sonuppgifter om det är absolut nödvändigt för syftet med behandlingen.

Lagen innehåller vidare särskilda bestämmelser om i vilka fall utläm- nande av personuppgifter får ske till Interpol och Europol, polismyndig- het eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § kustbevakningsdatalagen). Personuppgifter får lämnas ut till dessa om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upp- täcka, utreda eller beivra brott.

Uppgifter får vidare lämnas ut till utländsk myndighet eller mellan- folklig organisation om utlämnandet följer av en internationell överens- kommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § kustbevakningsdatalagen). Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §).

Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 § och 4 kap. 8–14 §§ kustbevakningsda- talagen).

Personuppgiftslagens regler om skadestånd och rättelse gäller vid be- handling med stöd av kustbevakningsdatalagen. I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen.

4.8.3Skatteverket

I lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) i samma ämne regleras behandlingen av personuppgifter i verkets brottsbekäm- pande verksamhet. Lagen – som gäller dels för spaning vid och utredning

av brott, dels för att förebygga brott – gäller utöver personuppgiftslagen.

41

Prop. 2012/13:73 Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter.

Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det (1 § lagen om Skatteverkets medverkan i brottsutredningar), omfattar tillämpningsområdet för författningarna avseende Skatteverkets personuppgiftsbehandling även sådana brott.

I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (8 §). Lagen innehåller en uttöm- mande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Ett underrättelseregister får som huvudregel innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för denna verksamhet. Känsliga personuppgifter, dvs. upp- gifter om en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sex- ualliv, får inte behandlas enbart på grund av vad som är känt om en per- sons sådana förhållanden (4 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar). Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga per- sonuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverk- samhet.

Lagen innehåller också regler om utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).

Regeringen gav den 15 november 2012 Skatteverket i uppdrag att ut- reda behovet av författningsändringar i lagen och förordningen om be- handling av personuppgifter vid Skatteverkets medverkan i brottsutred- ningar. Syftet är att mot bakgrund av ikraftträdandet av den nya polisda- talagen (2010:361) utreda vilka författningsändringar som behövs för att underlätta ett modernt och effektivt brottsbekämpande arbete där hänsyn tas till den personliga integriteten för de registrerade. Skatteverket ska också analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser. I uppdraget, som ska redovisas den 1 mars 2014, ingår att lämna författningsförslag.

42

4.8.4Åklagarväsendet

Förordningen (2006:937) om behandling av personuppgifter inom åkla- garväsendet gäller utöver personuppgiftslagen (1 §). Förordningen är tillämplig på Åklagarmyndigheten och på Ekobrottsmyndighetens åkla- garverksamhet, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Sådan behandling av person- uppgifter som regleras i förordningen (1997:902) om register över straf- förelägganden undantas från tillämpningsområdet.

I förordningen anges uttömmande vilken behandling av personuppgif- ter som är tillåten. Huvudregeln är att uppgifter om den som kan miss- tänkas för brott och om andra personer får behandlas, när det behövs för att en åklagare ska kunna utföra de uppgifter som enligt rättegångsbalken eller annan författning ankommer på åklagare (7 §). Vidare får person- uppgifter behandlas för tillsyn, planering, uppföljning eller framställning av statistik. Dessutom får uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verk- samhet hos en brottsbekämpande eller brottsbeivrande myndighet eller för att lämna uppgifter till andra, om uppgiftsskyldighet följer av lag eller förordning (8 och 9 §§). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filoso- fiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden (10 §). Om uppgifterna finns i en handling som kommit in till myndigheten får de dock behandlas. Om uppgifter om en person be- handlas på annan grund får de kompletteras med känsliga personupp- gifter om det är absolut nödvändigt för syftet med behandlingen.

Inom åklagarväsendet förs en ärendedatabas, vars ändamål och inne- håll regleras i förordningen. I 13 § anges vilka personuppgifter som ärendedatabasen får innehålla. Det rör sig bl.a. om uppgifter som behövs för kommunikation med personen, uppgifter om en fysisk eller juridisk persons ställning och koppling till andra personer i ett ärende samt upp- gifter om fysiska personers personliga och ekonomiska förhållanden, om juridiska personers ekonomiska förhållanden, uppgifter om brottshjälp- medel och transportmedel samt om beslut, händelser och åtgärder i ett ärende. Förordningen reglerar också vilka sökbegrepp som får användas vid sökning i ärendedatabasen (14–16 §§) samt gallring (21 §) och ut- lämnande av uppgifter (17 och 18 §§). Uppgifter får som huvudregel lämnas ut till en utländsk myndighet eller en mellanfolklig organisation endast om utlämnandet sker inom ramen för ett samarbete som är reglerat i en internationell överenskommelse som är bindande för Sverige. Be- stämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen (19 §).

Åklagarmyndigheten får enligt 3 § förordningen (1997:902) om regis- ter över strafförelägganden föra ett centralt register för strafföreläggan- den. Vidare får Åklagarmyndigheten, Ekobrottsmyndigheten och Tull- verket enligt 2 § föra lokala register över strafförelägganden. I 9 § finns bestämmelser om vilka uppgifter som registren får innehålla. Det rör sig bl.a. om uppgifter om den misstänkte och om målsägande samt om gär- ningen, påföljden, beslut i ärendet och underrättelser. I 17 och 18 §§

Prop. 2012/13:73

43

Prop. 2012/13:73 anges vilka sökbegrepp som får användas vid sökning i registren. För- ordningen innehåller inga bestämmelser om rättelse av felaktiga uppgif- ter eller om skadestånd för otillåten behandling av personuppgifter.

Inom Regeringskansliet pågår arbete med att utarbeta en ny reglering för behandlingen av personuppgifter inom åklagarväsendet. Arbetet utgår från Åklagardatautredningens betänkande Åklagarväsendets brottsbe- kämpning Integritet – Effektivitet (SOU 2008:87). I betänkandet föreslås en ny lag om behandling av uppgifter i åklagarväsendets brottsbekäm- pande verksamhet som ska ersätta den nu gällande förordningen. Lagen föreslås gälla i stället för personuppgiftslagen och utgå från personupp- giftslagens tillämpningsområde, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till person- uppgiftslagen som utredningen anser vara motiverade. Förslaget inne- håller också allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, bl.a. regler om person- uppgiftsansvar, ändamålet för behandlingen, behandling av känsliga personuppgifter, gallring samt utlämnande av personuppgifter och upp- giftsskyldighet.

4.9Behandling av personuppgifter vid andra myndigheter i rättskedjan

4.9.1Allmänna utgångspunkter

Tillämpningsområdet för dataskyddsrambeslutet omfattar även interna- tionellt straffrättsligt samarbete (bl.a. rättslig hjälp) och verkställighet av straffrättsliga påföljder.

Straffrättsligt samarbete hanteras framförallt av åklagarväsendet och de allmänna domstolarna. Åklagarnas roll är att ta emot framställningar om rättslig hjälp av olika slag och att begära rättslig hjälp av en annan stat inom ramen för brottmålsförfarandet. Enligt vissa författningar ska dom- stol i varierande utsträckning pröva frågor om rättslig hjälp eller meddela beslut som krävs för handläggningen av exempelvis överlämnanden enligt den europeiska arresteringsordern eller ärenden om rättslig hjälp. Vidare ska domstol besluta i vissa frågor som rör övertagande av straff- verkställighet. På verkställighetsstadiet berörs framför allt kriminalvår- den.

Som exempel på lagstiftning om rättsligt samarbete inom EU kan, för- utom den lagstiftning som redovisas i det följande, nämnas bl.a. lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arreste- ringsorder, lagen (2005:500) om verkställighet inom Europeiska unionen av frysningsbeslut, lagen (2009:1427) om verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Vi- dare kan nämnas lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Här lämnas inte någon redogörelse för dessa författningar, eftersom de varken innehåller några bestämmelser om personuppgiftsbehandling eller om användningsbegränsningar.

44

4.9.2Domstolarna

Behandlingen av personuppgifter vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna regleras, såvitt nu är av intresse, i tre olika förordningar. Förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller vid automatiserad behandling av personuppgifter i Högsta domstolens, hov- rätternas och tingsrätternas rättskipande och rättsvårdande verksamhet. Vid de allmänna förvaltningsdomstolarna tillämpas förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling respektive förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling.

De tre förordningarna är uppbyggda på samma sätt och innehåller i stor utsträckning likalydande bestämmelser. Den följande redogörelsen om- fattar alla tre förordningarna, om inte annat anges.

Förordningarna gäller utöver personuppgiftslagen, som således i övrigt gäller för personuppgiftsbehandlingen vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna. Förordningarna innehåller be- stämmelser om två typer av register, nämligen verksamhetsregister och rättsfallsregister.

Domstolarna får föra verksamhetsregister, vilkas övergripande ända- mål är att vara ett hjälpmedel vid handläggningen av mål och ärenden. Registren får användas för handläggning av mål och ärenden, planering, uppföljning och utvärdering av verksamheten och framställning av sta- tistik. För andra domstolar än förvaltningsrätter finns ett fjärde ändamål, nämligen att fullgöra författningsenlig underrättelseskyldighet. Ett verk- samhetsregister får endast innehålla de uppgifter som anges i en detalje- rad uppräkning i en bilaga till respektive förordning. Det rör sig om upp- gifter om bl.a. mål eller ärenden, om parter och andra aktörer, om perso- ner som ska höras eller yttra sig, om förhandling, om handläggningen i övrigt och om rättegångskostnader.

Vid angivande av vad saken gäller (ärendemening) får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ända- målsenligt sätt. I övrigt får sådana uppgifter behandlas endast om upp- gifterna har lämnats i ett mål eller ärende eller om de behövs för hand- läggningen av målet eller ärendet. Känsliga personuppgifter får inte användas som sökbegrepp. Samtliga förordningar innehåller regler om gallring i verksamhetsregister.

Domstolarna får vidare föra rättsfallsregister för återsökning av vägle- dande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant rättsfallsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål- och ärendenummer, avgörandenummer, av- görandedatum, sökord och fullföljd. Personuppgiftslagens regler om gallring tillämpas på registren.

Vid sidan av behandlingen i register innehåller förordningarna också bestämmelser om att domstolarna får behandla personuppgifter automati- serat i löpande text, ljudupptagningar eller ljud- och bildupptagningar.

Prop. 2012/13:73

45

Prop. 2012/13:73 Personuppgifter som behandlas i löpande text eller i ljud- och bildupp- tagningar gallras enligt bestämmelserna i personuppgiftslagen. Det innebär att de ska gallras när de inte länge behövs.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förord- ningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans inom de allmänna domstolarna och de allmänna förvaltningsdomstolarna.

Inom Regeringskansliet pågår arbete med att ta fram förslag till ny reglering av behandlingen av personuppgifter vid domstolarna.

4.9.3 Kriminalvården

 

Allmänt om regleringen

 

Behandlingen av personuppgifter inom Kriminalvården regleras i lagen

 

(2001:617) om behandling av personuppgifter inom kriminalvården och

 

förordningen (2001:682) i samma ämne.

 

Lagen innehåller vissa särbestämmelser i förhållande till personupp-

 

giftslagen, som i övrigt gäller för Kriminalvårdens verksamhet. Lagen

 

innehåller endast övergripande bestämmelser för behandlingen, medan

 

förordningen bl.a. innehåller bestämmelser om de register som ska föras

 

(centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade

 

regler om vilka typer av uppgifter som får behandlas om olika

 

personkategorier.

 

Lagen gäller vid behandling av personuppgifter i fråga om personer

 

som

 

– är föremål för personutredning,

 

– är häktade,

 

– är dömda till fängelse, skyddstillsyn eller villkorlig dom med före-

 

skrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff

 

för böter eller vite, eller som på grund av utländsk dom ska verkställa

 

någon av dessa påföljder i Sverige,

 

– har ålagts förvandlingsstraff för böter eller vite,

 

– på annan grund är intagna i häkte eller fängelse, eller

 

– som annars transporteras av kriminalvårdens transporttjänst.

 

Personuppgifter får behandlas enligt lagen bara om det är nödvändigt

 

för att

 

– Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag

 

eller förordning,

 

– underlätta tillgången till sådana uppgifter om verkställighet av på-

 

följd eller häktning som rättsväsendets myndigheter behöver, eller

 

– upprätthålla säkerheten och förebygga brott under häktning, verk-

 

ställighet av påföljd, intagning av annat skäl eller transport.

 

Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etni-

 

ska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse,

 

medlemskap i fackförening, hälsa eller sexualliv får inte behandlas enbart

 

på grund av vad som är känt om personens sådana förhållanden. Om

 

känsliga personuppgifter behandlas på annan grund, får uppgifterna kom-

46

pletteras med sådana personuppgifter om det är oundgängligen nödvän-

 

digt för syftet med behandlingen. Sådana uppgifter får inte användas som Prop. 2012/13:73 sökbegrepp, om inte regeringen har föreskrivit det.

Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om infor- mation enligt 26 § personuppgiftslagen får överklagas hos allmän för- valtningsdomstol. Beslutet ska dock först omprövas av Kriminalvården.

Register som regleras särskilt

I förordningen om behandling av personuppgifter inom kriminalvården finns bl.a. bestämmelser om vissa särskilda register. Det centrala krimi- nalvårdsregistret regleras i 34–36 §§ i förordningen. Ändamålet med re- gistret är dels att möjliggöra för myndigheten att fullgöra sina författ- ningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Registret omfattar endast personer som har dömts till fängelse, skydds- tillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av ut- ländsk dom ska verkställa en sådan påföljd i Sverige.

Säkerhetsregistret regleras i 39–41 och 43–46 §§. Ändamålet med re- gistret är att upprätthålla ordningen och att förebygga brott. Registret omfattar endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering förutsätter därutöver att vissa särskilda omständig- heter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).

4.9.4Kronofogdemyndigheten

Kronofogdemyndigheten har bl.a. till uppgift att driva in böter och så- dana ekonomiska förpliktelser som utgör särskild rättsverkan av brott.

Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet innehåller bestämmelser om behandling av person- uppgifter i myndighetens verksamhet. I 1 kap. 1 § anges att den verk- samhet som lagen tillämpas på är

utsökning och indrivning,

skuldsanering,

betalningsföreläggande och handräckning,

europeiskt betalningsföreläggande,

tillsyn i konkurs, samt

annan verksamhet som särskilt åligger Kronofogdemyndigheten. Lagen gäller i stället för personuppgiftslagen, om inte annat särskilt

anges i lagen.

47

Prop. 2012/13:73 Lagen består av tre kapitel, varav 1 kap. innehåller allmänna bestäm- melser och 2 kap. bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1–6 §§), betalningsföreläggande- och handräckningsdatabasen (7–12 §§), skuldsaneringsdatabasen (13– 18 §§), konkurstillsynsdatabasen (19–23 §§) och gemensamma bestäm- melser om databaserna (24–31 §§). I 3 kap. finns bestämmelser om en- skildas rättigheter.

I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).

I 1 kap. 6 § regleras behandlingen av känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, reli- giösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får behandlas endast om uppgifterna har läm- nats i ett mål eller ärende eller är nödvändiga för handläggningen av det.

Lagen innehåller en allmän bestämmelse om gallring (1 kap. 7 §). För de olika databaserna finns specifika bestämmelser om ändamål, innehåll och gallring.

I 3 kap. finns regler om information till den registrerade (1 och 2 §§), rättelse och skadestånd (3 och 3 a §§) och överklagande (4 §).

4.10Lagstiftning om internationellt samarbete

4.10.1Allmänna utgångspunkter

Dataskyddsrambeslutets tillämpningsområde omfattar endast sådana uppgifter som överförs eller görs tillgängliga mellan stater inom EU, EU- organ eller EU-informationssystem. I rambeslutet regleras bl.a. överfö- ring till enskilda samt till tredjeland och internationella organ som sysslar med brottsbekämpning. I detta avsnitt redogörs för sådan lagstiftning som särskilt tar sikte på internationellt samarbete inom de verksam- hetsområden som berörs av rambeslutet och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.

För en mer allmän beskrivning av den lagstiftning som reglerar inter- nationellt samarbete, bl.a. avseende straffverkställighet, och det samar- bete som sker mellan medlemsstaterna och de viktigaste internationella organ som sysslar med brottsbekämpning hänvisas till avsnitt 4.9.1 och 5 i departementspromemorian Antagande av rambeslut om skydd av per- sonuppgifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (Ds 2008:30).

4.10.2 Lagstiftning om samarbete i den brottsbekämpande verksamheten

 

Lagen om internationellt polisiärt samarbete

 

I lagen (2000:343) om internationellt polisiärt samarbete regleras sam-

 

arbete mellan svenska brottsbekämpande myndigheter och motsvarande

 

myndigheter i andra medlemsstater i EU samt Norge och Island. Lagen

 

reglerar bl.a. Schengensamarbetet och Prümsamarbetet, men även annat

48

polissamarbete som är konventionsbundet. I lagen anges vilka svenska

 

tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän samt tulltjänstemän och kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter. Den mest frekventa delen av informationsutbytet inom Schengensamarbetet regleras dock i lagen om Schengens informationssystem. Den lagen reglerar informa- tionsutbyte som utnyttjar en särskild databas som alla stater som deltar i Schengensamarbetet har tillgång till.

I lagen om internationellt polisiärt samarbete, som är mera inriktad på samarbete i enskilda fall, finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Har en svensk myndighet fått uppgifter eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av över- enskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författ- ning. Vad som nu har sagts gäller även för överenskommelser med mel- lanfolkliga organisationer.

På motsvarande sätt föreskriver lagen att svenska myndigheter får ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. Detta gäller också i fråga om uppgifter eller bevisning som lämnas till en mel- lanfolklig organisation.

Lagen om vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brotts- utredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrätts- liga samarbetet mellan medlemsstaterna inom EU i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överens- kommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utrednings- grupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författ- ning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leve- ranser (10–14 §§) och om brottsutredningar med användning av skydds- identitet (15–17 §§). Med kontrollerad leverans avses att en viss förbju-

Prop. 2012/13:73

49

Prop. 2012/13:73

50

den vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutred- ningar med användning av skyddsidentitet ska reglerna om användnings- begränsning i 5–7 §§ tillämpas (13 respektive 16 §).

Lagen om Schengens informationssystem

I datasystemet Schengens informationssystem (SIS) kan varje medlems- stat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks med en begäran om att en viss åtgärd ska vidtas, om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av personuppgifter i den na- tionella delen av SIS. Lagen, som gäller utöver personuppgiftslagen (prop. 1999/2000:64 s. 135), innehåller bl.a. regler om vilka uppgifter som får registreras och för vilka syften (3 och 4 §§), en särskild bestäm- melse om att känsliga personuppgifter inte får registreras (7 §) och be- stämmelser om gallring, rättelse och skadestånd (11–13 §§).

Lagen innehåller också en regel om användningsbegränsning (10 §) enligt vilken en svensk myndighet inte får utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.

Inom kort tas en ny generation av SIS i bruk. Därmed kommer infor- mationsutbytet enligt lagen även att omfatta vissa uppgifter som inte registreras i SIS, s.k. tilläggsinformation.

Lagen om internationellt tullsamarbete

Syftet med det internationella tullsamarbetet, som regleras i lagen (2000:1219) om internationellt tullsamarbete, är att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser. Denna lag träffar inte bara Tullverkets brottsbekämpande verksamhet utan även verkets fiskala verksamhet. Tullverket eller annan behörig svensk myndighet ska enligt lagen bistå utländsk myndighet och mellanfolklig organisation. Behöriga myndigheter är, förutom Tullverket, Rikspolisstyrelsen, polis- myndigheter, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.

Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt svensk lagstiftning (1 kap. 3 §). Samarbetet består bl.a. i att länderna självmant eller på be- gäran ska delge varandra uppgifter som behövs för tullsamarbetet.

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verk- samhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med vill- kor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 §).

Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten i princip skyldig att på begäran av den som uppgiften avser

underrätta denne om vart uppgiften har sänts och för vilket ändamål Prop. 2012/13:73 (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller

om det kan befaras att underrättelsen skulle försvåra den utländska utred- ningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §).

Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som inne- håller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskri- vet i lag eller annan författning (4 kap. 2 §). Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av ut- ländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).

4.10.3Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begä- ran vidta åtgärder som exempelvis förhör under förundersökning, bevis- upptagning, kvarstad, husrannsakan och användning av hemliga tvångs- medel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om inter- nationell rättslig hjälp i brottmål.

Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlems- stater i Europeiska unionen samt Norge, Island, Schweiz och Liechten- stein.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rätts- lig hjälp beviljas även om den misstänkta gärningen inte utgör brott en- ligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §). Åklagaren får begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma utsträckning som för en motsvarande svensk förundersökningsåtgärd.

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgif- ter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som be- gränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller be- träffande villkor som en stat har ställt upp när den på eget initiativ lämnat

sådana uppgifter.

51

Prop. 2012/13:73 På motsvarande sätt får rättslig hjälp som lämnas av en svensk myn- dighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

5 Dataskyddsrambeslutet

5.1Bakgrund

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, (EUT L 350, 30.12.2008, s. 60, dataskyddsram- beslutet) utgör ett komplement till olika instrument om utvidgat polisiärt samarbete och rättsligt samarbete inom Europeiska unionen med inrikt- ning på utökat gränsöverskridande informationsutbyte.

I dataskyddsrambeslutets inledning framhålls att gemensamma insatser inom polissamarbete och straffrättsligt samarbete gör det nödvändigt att behandla information, men att det samtidigt måste finnas regler om skydd för personuppgifter. Gemensamma normer för behandling och skydd av personuppgifter kan både bidra till ett effektivare samarbete och värna grundläggande rättigheter, som rätten till ett privatliv och rätten till skydd för personuppgifter. I dataskyddsrambeslutet uttalas vidare att befintliga instrument på europeisk nivå inte är tillräckliga. Bakom detta uttalande ligger att dataskyddsdirektivet (se avsnitt 4.3) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.

5.2 Rambeslutets innehåll

 

Syftet med dataskyddsrambeslutet, vilket framgår av artikel 1, är att

 

säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter

 

när det gäller behandling av personuppgifter inom ramen för polissamar-

 

bete och straffrättsligt samarbete. Dataskyddsrambeslutet är endast till-

 

lämpligt på uppgifter som överförs eller har överförts eller görs eller har

 

gjorts tillgängliga mellan medlemsstater eller mellan medlemsstater och

 

EU-organ samt informationssystem som har inrättats i enlighet med

 

avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samar-

 

bete. Det framgår av skäl 8 att det är medlemsstaternas avsikt att den nivå

 

på dataskydd som fastställs för nationell behandling ska motsvara vad

 

som föreskrivs i dataskyddsrambeslutet. Dataskyddsrambeslutet hindrar

 

inte medlemsstaterna från att ha ett starkare skydd för behandling av

 

personuppgifter än vad som anges i rambeslutet. Tillnärmningen av

 

medlemsstaternas lagstiftningar bör inte leda till ett svagare skydd för

 

personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger

 

utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen

 

(skäl 10).

 

På samma sätt som när det gäller EU:s reglering av behandling av per-

 

sonuppgifter inom ramen för den inre marknaden (dvs. dataskyddsdirek-

52

tivet) hindrar rambeslutet inte att principen om allmänhetens tillgång till

 

offentliga handlingar kan tillgodoses vid tillämpningen av principerna i det (skäl 31).

Dataskyddsrambeslutet ska endast tillämpas på behandling av person- uppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Från tillämpningsområdet undantas viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.

Artikel 2 anger vilka definitioner som tillämpas i rambeslutet. Med per- sonuppgift avses varje upplysning som rör en identifierbar fysisk person.

I artikel 3 läggs vissa grundläggande principer för personuppgiftsbe- handlingen fast, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de samlades in. Personuppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, t.ex. avidentifiering av uppgifterna. Vidarebehandling för något annat ändamål än det som uppgifterna överfördes för är bara tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver som huvud- regel enligt artikel 11 den registrerades samtycke eller den överförande statens medgivande. Vidarebehandling får dock enligt den artikeln alltid ske – om kraven i artikel 3 är uppfyllda – för att förebygga, utreda, av- slöja eller lagföra andra brott eller verkställa andra straffrättsliga påfölj- der än de för vilka uppgifterna överfördes. Likaså får vidarebehandling ske för vissa administrativa uppgifter eller för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

Artiklarna 4 och 5 innehåller bestämmelser om rättelse, radering och blockering av personuppgifter och om regelbunden kontroll av om lag- ringen av uppgifterna är nödvändig. Personuppgifter ska rättas om de är felaktiga och raderas när de inte längre behövs för de ändamål de lagli- gen samlades in eller bearbetades för. Om en radering skulle påverka den registrerades intressen ska uppgifterna blockeras i stället för att raderas. Artikel 4 är kopplad till artikel 8, som ålägger de behöriga myndighe- terna att vidta alla rimliga åtgärder för att se till att de personuppgifter som överförs är korrekta. Om uppgifter har överförts olovligen eller varit felaktiga ska mottagaren omedelbart underrättas.

Artikel 6 reglerar rätten att behandla s.k. känsliga personuppgifter, dvs. uppgifter om bl.a. etniskt ursprung, politiska åsikter och religiös eller filosofisk övertygelse. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhan- dahålls tillräckliga skyddsåtgärder. I artikel 7 anges att ett automatiserat beslutsförfarande som innefattar behandling av uppgifter som omfattas av dataskyddsrambeslutet är tillåtet endast om det föreskrivs i en lag där det även finns bestämmelser till skydd för den registrerades legitima intressen. Även artiklarna 9 och 12 innehåller bestämmelser om be- gränsningar av rätten att behandla uppgifter. Enligt artikel 9 får den över- förande myndigheten meddela tidsfrister inom vilka den mottagande staten ska radera eller blockera uppgifterna eller kontrollera om de fortfa- rande behövs. Artikel 12 anger att den överförande myndigheten ska informera mottagaren om det enligt den överförande medlemsstatens nationella lagstiftning gäller särskilda begränsningar i fråga om utbyte av

Prop. 2012/13:73

53

Prop. 2012/13:73 uppgifter mellan behöriga myndigheter inom medlemsstaten. Mottagaren ska i sådana fall se till att begränsningarna följs.

I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland och internationella organ respektive till privata subjekt i eller utanför medlemsstaterna. Överföring till tredjeland och internationella organ kräver som huvudregel samtycke av den behöriga myndigheten i den stat varifrån uppgifterna härrör och får ske bl.a. om det är nödvändigt för utredning eller lagföring av brott och förutsätter enligt artikel 13 som huvudregel dels att det finns en adekvat skyddsnivå för behandlingen av uppgifter i den mottagande staten, dels att den medlemsstat från vilken uppgifterna härrör har gett sitt samtycke till överföringen. Också överföring till privata subjekt enligt artikel 14 kräver att den behöriga myndigheten i den medlemsstat från vilken uppgifterna har erhållits samtycker till överföring i enlighet med sin nationella lagstiftning. Vidare krävs att överföringen är absolut nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller förhindra att enskildas rättigheter lider allvarlig skada. Det sagda gäller dock enligt skäl 18 inte vid utlämnande till privata parter i samband med brottmål.

Enligt artikel 15 ska mottagaren på begäran informera den behöriga myndighet som har överfört uppgifterna om hur dessa behandlas.

Artiklarna 16–20 reglerar den registrerades rättigheter i olika avseen- den, bl.a. rätten till information om behandlingen, rättelse av uppgifter, skadestånd till följd av otillåten personuppgiftsbehandling och tillgång till domstolsprövning vid kränkning.

Artiklarna 21 och 22 reglerar tystnadsplikt för den som får tillgång till personuppgifter enligt rambeslutet samt föreskriver krav på säkerhet i samband med behandlingen av uppgifter.

Enligt artikel 25 ska varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av be- handlingen av uppgifter som omfattas av beslutet. Den nationella till- synsmyndigheten ska enligt artikel 23 rådfrågas före behandling av per- sonuppgifter när nya personuppgiftsbehandlingssystem införs som an- tingen innefattar nya kategorier av känsliga uppgifter eller innebär sär- skilda risker för den registrerades grundläggande fri- och rättigheter.

För att säkerställa genomförandet av dataskyddsrambeslutet ska med- lemsstaterna enligt artikel 24 föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.

Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra avtal och överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga EU-rättsakter. Slutligen finns bestämmelser om genomförande av rambeslutet i artikel 27, om ut- värdering i artikel 29 och om ikraftträdande i artikel 30.

54

6

Genomförande av dataskyddsrambeslutet Prop. 2012/13:73

6.1Förbättrat integritetsskydd vid polissamarbete och straffrättsligt samarbete

När dataskyddsdirektivet i slutet av 1990-talet genomfördes i svensk rätt gjordes det i princip tillämpligt även på polisen och andra brottsbekäm- pande myndigheter, domstolarna och de myndigheter som verkställer straffrättsliga påföljder. Den generella regleringen i personuppgiftslagen kompletterades med särskilda registerförfattningar antingen för olika sektorer eller för enskilda register. Som exempel kan nämnas att den tidigare gällande polisdatalagen härrör från det lagstiftningsarbete som var ett led i genomförandet av en generell reglering av skyddet för personuppgifter. Detsamma gäller den lagstiftning om personupp- giftsbehandling som alltjämt gäller för domstolarna och kriminalvården.

Eftersom dataskyddsdirektivet formellt inte gäller för bl.a. statens verksamhet på straffrättens område, så varierar skyddet för sådana upp- gifter som överförs över gränserna. Vissa stater införde, i likhet med Sve- rige, även på straffrättens område i större eller mindre utsträckning data- skyddsregler som motsvarar direktivets förpliktelser.

När informationsutbytet inom EU inom ramen för polisiärt och straff- rättsligt samarbete intensifierades under början av 2000-talet, identifie- rade man ett ökat behov av dataskydd inom dessa båda områden, efter- som de faller utanför dataskyddsdirektivets tillämpningsområde. Data- skyddsrambeslutet innebär en generell förstärkning av integritetsskyddet för uppgifter som överförs över gränserna inom ramen för sådant samar- bete. Rambeslutet är dessutom tillämpligt på uppgifter som härrör från eller tillförs EU-datasystem och EU-organ. De gemensamma strävandena att förbättra dataskyddet inom EU innebär att svenska uppgifter som överlämnas inom ramen för EU-samarbete hänförligt till polisiärt och straffrättsligt samarbete generellt sett har ett starkare skydd i dag än tidigare. Ett stärkt integritetsskydd är ett viktigt svenskt intresse. Som framgår av avsnitt 4.3 pågår förhandlingar inom EU i syfte att stärka skyddet ytterligare.

6.2I vilken utsträckning kräver genomförandet av dataskyddsrambeslutet författningsreglering?

Regeringens bedömning: Artikel 1.2–4 om tillämpningsområdet, artikel 9.1 om tidsfrister för gallring, artiklarna 11–14 om bl.a. överfö- ring till tredjeland och till enskilda, artikel 16.2 om information, arti- kel 19.2 om jämkning av skadestånd och artikel 28 om förhållandet till tidigare rättsakter kräver författningsreglering.

Utredningens bedömning överensstämmer i huvudsak med regering- ens. Utredningen anser inte att delar av artikel 1.2 samt artiklarna 13.3, 19.2 och 28 kräver någon författningsreglering.

55

Prop. 2012/13:73

Remissinstanserna: Ingen av remissinstanserna invänder mot utred-

 

ningens bedömning av vilka artiklar i dataskyddsrambeslutet som kräver

 

författningsreglering.

 

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

 

denna del, utom Sveriges advokatsamfund som ställer sig bakom utred-

 

ningens bedömning i fråga om artikel 13.3.

 

Skälen för regeringens bedömning: Vid tillkomsten av dataskydds-

 

rambeslutet utgjorde dataskyddsdirektivet en viktig inspirationskälla.

 

Som tidigare nämnts innehåller regleringen för de myndigheter som

 

berörs av rambeslutet i stor utsträckning redan bestämmelser som mot-

 

svarar flertalet av artiklarna i dataskyddsrambeslutet. Genom att Sverige

 

genomförde dataskyddsdirektivet i väsentliga delar även inom de sek-

 

torer som dataskyddsrambeslutet reglerar, trots att de inte omfattades av

 

direktivets tillämpningsområde, finns det redan ett välutvecklat data-

 

skydd inom dessa sektorer. Reglerna behöver dock i några delar justeras

 

eller kompletteras med anledning av dataskyddsrambeslutet. I proposi-

 

tionen 2008/09:16 om godkännande av dataskyddsrambeslutet görs en

 

översiktlig bedömning av vilka artiklar i rambeslutet som kan kräva ny

 

lagstiftning i Sverige. Där uttalas att artikel 6 om behandling av känsliga

 

personuppgifter, artikel 9 om iakttagande av överförande stats tidsfrister

 

och artikel 20 om rättsmedel (i fråga om Skatteverkets behandling av

 

personuppgifter) kan komma att kräva lagändring. I propositionen fram-

 

hålls vidare att det behöver tydliggöras vilka delar av Säkerhetspolisens

 

personuppgiftsbehandling som faller utanför rambeslutets tillämpnings-

 

område.

 

Vidare behöver enligt godkännandepropositionen vissa andra artiklar i

 

rambeslutet analyseras närmare för att ge underlag att bedöma om det i

 

något annat avseende behövs lagändringar eller kompletterande bestäm-

 

melser för att svensk rätt ska uppfylla kraven i rambeslutet.

 

Utredningen finner att artiklarna 1.2 a, 1.3 och 1.4 (om tillämpnings-

 

området) samt artiklarna 3.2 (om vidarebehandling för annat ändamål), 9

 

(om tidsfrister), 11–14 (om bl.a. överföring till tredjeland och till enskil-

 

da) och 16.2 (om information till den registrerade) kräver lagstiftnings-

 

åtgärder och föreslår att det införs en ny lag om användningsbegräns-

 

ningar. Utredningen anser vidare att artikel 6, som behandlar känsliga

 

personuppgifter, bör föranleda ändringar i befintliga registerförfattningar

 

för de berörda myndigheterna. Utredningen anser också att det i alla

 

myndigheters registerförfattningar bör anges att personuppgiftsbehand-

 

ling får ske för att fullgöra förpliktelser som följer av internationella åta-

 

ganden. Dessutom krävs det enligt utredningen följdändringar i form av

 

hänvisningar till den nya lagen i myndigheternas registerförfattningar. I

 

övrigt anser utredningen att dataskyddsrambeslutets bestämmelser inte

 

kräver några lagstiftningsåtgärder.

 

Regeringen instämmer i stora delar i de bedömningar utredningen gör

 

när det gäller behovet av författningsändringar och återkommer i det

 

följande till hur dessa bör genomföras. Till skillnad från utredningen

 

anser dock regeringen att vissa delar av artikel 3.2 och artikel 9 inte krä-

 

ver någon lagstiftningsåtgärd. Detsamma gäller artikel 6, vilket rege-

56

ringen återkommer till. Däremot kräver ett par artiklar, utöver de som

utredningen har angett, författningsreglering. Det gäller ytterligare delar Prop. 2012/13:73 av artikel 1.2 (om tillämpningsområdet), artikel 13.3 (om överföring i

vissa fall till tredjeland och internationella organ), artikel 19.2 (om ska- destånd) och artikel 28 (om förhållandet till tidigare rättsakter).

Även innehållet i skälen 45–47 (om förhållandet till Island, Norge, Schweiz och Liechtenstein) och skäl 18 (överföring till enskilda i sam- band med brottmål) bör återspeglas i den nya lagen. Utöver detta krävs det inte någon författningsreglering.

6.3Normgivningsnivån

Regeringens förslag: De återstående delarna av dataskyddsrambe- slutet genomförs i huvudsak genom en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har något att invända

mot utredningens förslag. Kriminalvården delar utredningens slutsats att det finns anledning att införa en ny lag med generella bestämmelser om användningsbegränsningar. Lunds universitet anser att för överskådlig- hetens skull är en särskild lag att föredra framför ändringar i de olika lagar som reglerar behandlingen av personuppgifter. Tullverket har inget att invända mot att rambeslutet genomförs på det sätt som föreslagits, men framhåller att på sikt bör aktuella användningsbegränsningar regle- ras i registerförfattningarna för att underlätta tillämpningen.

Uppsala universitet anser dock att den föreslagna regleringen kommer att fortsätta att bidra till att området blir svåröverskådligt. Skilda regler för personuppgiftsbehandling beroende på om det handlar om rent natio- nell behandling eller om gränsöverskridande personuppgiftsbehandling kan leda till tillämpningsproblem, eftersom samma uppgifter och infor- mation kan förekomma i skilda sammanhang och en uppgift som härrör från en stat kan blandas med och kompletteras av uppgifter från andra stater. Vidare är det enligt universitetet en brist att flera av de gällande regleringarna på området har formen av förordning, trots att skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen jämförd med 2 kap. 20 § regeringsformen motiverar att lagform används. Enligt universitetet framstår det som angeläget att dessa brister beaktas i lagstiftningsarbetet.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden tillstyr- ker den utformning lagen fått i utkastet till lagrådsremiss men framhåller att regleringen blir komplex och svåröverskådlig. Nämnden anser vidare att en mer precis benämning på lagen bör övervägas eftersom den före- slagna benämningen ger intryck av att lagen har ett vidare tillämpnings- område än den faktiskt har.

57

Prop. 2012/13:73

58

Skälen för regeringens förslag

En ny lag bör införas

Sverige har åtagit sig att genomföra dataskyddsrambeslutet i nationell rätt. En grundläggande fråga är om de delar av dataskyddsrambeslutet som återstår att genomföra bör regleras i befintlig lagstiftning, framför- allt i berörda myndigheters registerförfattningar och i de författningar som rör internationellt samarbete, eller om de ska sammanföras i en sepa- rat, ny reglering. En annan viktig fråga är i vilken utsträckning regle- ringen kräver lagform.

Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga för- hållanden (2 kap. 6 § andra stycket regeringsformen). Inskränkningar i detta skydd kan enbart ske genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ rege- ringsformen). Dataskyddsrambeslutets bestämmelser innebär inte några inskränkningar i enskildas personliga integritet utan är tvärtom avsedda att stärka den enskildes integritetsskydd. Även om genomförandet av dataskyddsrambeslutet inte i sig innebär något utökat informationsutbyte anser regeringen att regleringen är av den arten att den lämpligen bör ha lagform. Av betydelse i sammanhanget är att de författningar som styr myndigheternas hantering av sådana personuppgifter som kan komma att utbytas inom ramen för dataskyddsrambeslutet i stor utsträckning redan finns i lag (bl.a. registerförfattningarna för polisen, Tullverket, Kustbe- vakningen, Skatteverket och i viss utsträckning Kriminalvården) eller är föremål för översyn med sikte på framtida lagreglering (bl.a. registerför- fattningarna för åklagarväsendet och domstolarna).

Dataskyddsrambeslutet innehåller en generell reglering, men har bara relevans för vissa myndigheter. Personuppgiftslagen (1998:204) gäller för all behandling av personuppgifter, om inte avvikande bestämmelser har meddelats i lag eller förordning. Som nyss nämnts finns det särskilda registerförfattningar inom de områden som dataskyddsrambeslutet om- fattar. Att införa de ytterligare lagbestämmelser som krävs för att genom- föra dataskyddsrambeslutet i personuppgiftslagen bör därför inte komma i fråga, även om reglerna till viss del anknyter till sådana bestämmelser i personuppgiftslagen som gäller för de berörda myndigheterna.

Ett alternativ skulle kunna vara att föra in de nya bestämmelserna i myndigheternas registerförfattningar. Ett skäl som talar för en sådan lösning är det som Uppsala universitet tar upp, nämligen att man bör undvika att göra personuppgiftsregleringen ännu mer komplicerad än den är i dag. Utredningen anger som skäl för att införa en särskild lag att be- stämmelserna ska tillämpas av flera olika myndigheter. Regeringen, som delar utredningens uppfattning att det bör införas en ny sektorsgemensam lag, anser att ett tungt vägande skäl för en ny lag är rambeslutets tillämp- ningsområde. Rambeslutet gäller för överföring av uppgifter från och till andra stater, EU-organ och EU-informationssystem. De myndigheter som berörs av regleringen kommer att tillämpa den i varierande utsträckning. Polisen kommer troligen att tillämpa lagen i betydligt större utsträckning än exempelvis Kriminalvården. Att då tynga varje myndighets register-

författning med samma regler är en mindre lyckad lösning. Det är därför Prop. 2012/13:73 bättre att införa en ny, sektorsgemensam lag. Som redovisas i avsnitt 4

pågår för närvarande lagstiftningsarbete för att utforma nya eller ändrade registerförfattningar inom flera av de aktuella områdena. Det mer omfat- tande lagstiftningsarbete som Uppsala universitet efterlyst för att komma till rätta med att vissa av registerförfattningarna endast har förordnings- form är varken lämpligt eller möjligt att genomföra inom ramen för detta lagstiftningsärende. Tullverket tar upp frågan hur regleringen bör se ut på längre sikt. Mot bakgrund av det reformarbete som pågår inom EU och Europarådet (se avsnitt 4.2 och 4.3) finns det inte anledning att nu binda sig för hur regleringen bör se ut i framtiden.

Lagens benämning

Utredningen föreslår att den nya lagen ska benämnas ”lag om använd- ningsbegränsningar vid behandling av personuppgifter vid polissamar- bete och straffrättsligt samarbete inom Europeiska unionen”. Regeringen anser att en annan benämning bör väljas och instämmer i Säkerhets- och integritetsskyddsnämndens uppfattning om behovet av en preciserad rubrik. Skälen för att utredningens förslag inte bör väljas är dels att lagen reglerar även annat än användningsbegränsningar, dels att benämningen bör spegla lagens huvudsyfte. Regeringen anser att den nya lagen bör benämnas ”Lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unio- nen".

6.4Den nya lagens tillämpningsområde

6.4.1Allmänt om tillämpningsområdet

Regeringens förslag: Den nya lagen ska gälla för behandling av per- sonuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för po- lissamarbete och straffrättsligt samarbete görs eller har gjorts tillgäng- liga eller överförs eller har överförts mellan en svensk myndighet och en stat som är medlem i EU, eller Island, Norge, Schweiz eller Liech- tenstein, eller ett EU-organ eller ett EU-informationssystem.

Lagen ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling, om uppgifterna som be- handlas ingår i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen ska i viss utsträckning också gälla när svenska myndigheter överför till eller gör personuppgifter tillgängliga för en annan stat som är medlem i EU, Island, Norge, Schweiz eller Liechtenstein, ett EU- organ eller ett EU-informationssystem.

En justering av de tillåtna ändamålen för behandling görs i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den tydliggör att Tullverket, i likhet med andra brottsbekämpande

59

Prop. 2012/13:73 myndigheter, får behandla personuppgifter också i syfte att förebygga brottslig verksamhet.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen, som anser att lagens tillämpningsområde ska knytas till de myn- digheter som kommer att tillämpa lagen, behandlar inte frågan om ram- beslutets tillämpning på personuppgifter som överförs till eller från Island, Norge, Schweiz eller Liechtenstein. Vidare lämnar utredningen inget förslag om lagens tillämpning på svenska myndigheters överföring av personuppgifter till andra stater. Eftersom utredningen inte bedömer det vara nödvändigt att reglera behandling av personuppgifter som över- förs till eller från ett EU-organ eller ett EU-informationssystem lämnar utredningen inte något förslag i denna del. Utredningen tar inte heller upp frågan om tillämpningsområdet bör påverkas av tidigare beslutade rättsakter.

Remissinstanserna: Den övervägande delen av remissinstanserna till- styrker förslaget eller lämnar det utan invändningar. Ett antal remissin- stanser anser att begränsningen till helt eller delvis automatiserad be- handling medför otydligheter. Förvaltningsrätten i Linköping framhåller att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form av överklaganden, yttranden och andra skrivelser.

Uppsala universitet anser att avgränsningen av lagen till att inte om- fatta personuppgifter som överförs från EU-myndigheter, EU-organ eller EU-gemensamma informationssystem framstår som omotiverad. Univer- sitetet menar också att det faktum att olika regler gäller för rent nationell personuppgiftsbehandling och gränsöverskridande personuppgiftsbe- handling kan leda till vissa tillämpningsproblem. Även Tullverket anser att det skulle underlätta för tillämparen om det direkt av lagtexten fram- gick att personuppgifter också kan ha tagits emot från eller gjorts till- gängliga av aktuella informationssystem och inte enbart direkt från medlemsstater. Tullverket välkomnar förslaget att lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga eftersom detta både förtydligar bestämmelsen och harmoniserar den i förhållande till vad som gäller för polisen enligt polisdatalagen (2010:361). Ekobrottsmyndigheten framhåller att de i den föreslagna bestämmelsen om tillämpningsområdet uppräknade myndig- heterna bör anges i den ordning som är vedertagen i författningstext. Svea hovrätt påpekar att utredningen inte anger hur uppgifter som Sve- rige har tagit emot från bl.a. en EES-stat ska behandlas.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: Svea hovrätt konstaterar att den i det tidigare ytt- randet framförda synpunkten att en så enhetlig reglering som möjligt inom EU och Norden bör eftersträvas är helt tillgodosedd genom ut- formningen av 2 § i utkastet till lagrådsremiss. Säkerhets- och integritets- skyddsnämnden tillstyrker den utvidgning av lagens tillämpningsområde som förslaget i utkastet till lagrådsremiss innebär i förhållande till utred- ningens förslag. Nämnden anser dock att en erinran om att det finns andra författningar som också innehåller bestämmelser om skydd för

60

personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU Prop. 2012/13:73 bör införas i den föreslagna lagen. Rättsmedicinalverket framhåller att

verket faller utanför lagens tillämpningsområde. Om regeringens avsikt är att myndigheten ska omfattas av den föreslagna lagen, anser verket att detta behöver analyseras ytterligare i lagstiftningsärendet.

Skälen för regeringens förslag

Allmänna utgångspunkter

Rambeslutet syftar till att stärka skyddet för personuppgifter som över- förs inom ramen för polissamarbete och straffrättsligt samarbete. Därmed är det endast vissa myndigheter som berörs. Begreppet polissamarbete omfattar inte bara polisens verksamhet utan tar sikte på all brottsbekäm- pande verksamhet oavsett vilken myndighet som bedriver den. I Sverige bedrivs brottsbekämpning av såväl polisen som av Tullverket, Kustbe- vakningen och i viss utsträckning Skatteverket samt av åklagare. Straff- rättsligt samarbete involverar åklagare och domstolar samt, när det gäller verkställighet av straffrättsliga påföljder, Kriminalvården och Kronofog- demyndigheten.

Mot bakgrund av att regleringen i rambeslutet endast omfattar uppgif- ter som överförts inom ramen för nyssnämnda samarbete – och därmed också bara berör ett fåtal myndigheter och endast delar av deras verk- samhet – är avgränsningen av den nya lagens tillämpningsområde en vital fråga. Utredningen väljer att knyta tillämpningsområdet till vissa namngivna myndigheter. Regeringen anser, av skäl som utvecklas när- mare i det följande, att rambeslutet förutsätter en djupare analys när det gäller tillämpningsområdet.

Artikel 1 i rambeslutet, som reglerar rambeslutets syfte och tillämp- ningsområde, innehåller inte några bestämmelser som i sig kräver lag- stiftningsåtgärder. Olika delar av artikeln, framför allt punkterna 2, 3 och 4, har dock betydelse för hur den nya lagens tillämpningsområde bör avgränsas. De behandlas därför i det följande.

Förebygga, utreda, avslöja eller lagföra brott samt verkställa påföljder

Enligt den inledande delen av artikel 1.2 omfattar rambeslutet bara sådan personuppgiftsbehandling som sker när personuppgifter överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Utredningen föreslår att lagen endast ska gälla för vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samar- bete och att lagen ska innehålla en uppräkning av de myndigheter som ska tillämpa den.

Syftet med rambeslutet är att skapa ett enhetligt skydd för personupp- gifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Rambeslutet utgår från att det ska tillämpas av myndigheter som bedriver sådan verksamhet och på informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller för- draget om upprättande av Europeiska gemenskapen. Detta framgår av

artikel 1.1. Rambeslutet innehåller bestämmelser både om hur sådana

61

Prop. 2012/13:73

uppgifter får samlas in för vissa ändamål och hur de får vidarebehandlas

 

för andra ändamål. Regleringen får indirekt betydelse även för behand-

 

lingen nationellt genom att svenska uppgifter som ska överföras till en

 

annan medlemsstat måste hanteras så att kraven i rambeslutet kan upp-

 

fyllas. Lagens tillämpningsområde bör därför inte, som utredningen före-

 

slår, begränsas till vidarebehandling av sådana uppgifter som svenska

 

myndigheter har tagit emot.

 

Den närmare avgränsningen av vilka typer av uppgifter som rambe-

 

slutet omfattar regleras i artikel 1.2, av vilken framgår att rambeslutet ska

 

tillämpas på uppgifter som överförs i syfte att förebygga, utreda, avslöja

 

eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen

 

anser att det är en bättre lagteknisk lösning att knyta an till uppräkningen

 

av verksamhetsuppgifter i rambeslutet än att, som utredningen föreslår, i

 

lag räkna upp de myndigheter som ska tillämpa lagen. En uppräkning av

 

det slaget riskerar snabbt att bli inaktuell. Dessutom kan en sådan upp-

 

räkning ge intryck av att den är uttömmande och att lagen således inte

 

gäller för andra myndigheter som eventuellt kan komma att få tillgång till

 

uppgifter som har överförts enligt rambeslutets bestämmelser, t.ex. myn-

 

digheter som endast i liten utsträckning fullgör åklagaruppgifter eller

 

verkställer straffrättsliga påföljder. Eftersom det inte finns någon defi-

 

nition av begreppet ”polisiärt samarbete”, medför utredningens förslag

 

dessutom en risk för att informationsutbyte av annat slag som sker via

 

framför allt polisiära kanaler kan komma att träffas av regleringen trots

 

att det inte är avsikten.

 

Utöver polisen och åklagarväsendet är det som nyss nämnts framförallt

 

Kustbevakningen, Skatteverket, Tullverket, Kriminalvården, Kronofog-

 

demyndigheten och de allmänna domstolarna som kommer att utföra

 

personuppgiftsbehandlingar som träffas av rambeslutets tillämpningsom-

 

råde och som därför bör omfattas av den nya lagen. Även andra myndig-

 

heter, t.ex. Statens institutionsstyrelse, kan i undantagsfall komma att

 

utföra sådana personuppgiftsbehandlingar som bör omfattas av lagen för

 

att rambeslutets krav ska tillgodoses. Denna myndighet kan exempelvis

 

komma att få del av överförda personuppgifter i samband med verkstäl-

 

lighet av sluten ungdomsvård. Det kan inte heller uteslutas att även andra

 

myndigheter i något fall kan komma att få del av personuppgifter som

 

omfattas av den föreslagna lagen. Som Rättsmedicinalverket framhåller

 

kommer verket inte att direkt omfattas av lagen eftersom myndighetens

 

verksamhet inte utgör brottsbekämpning eller verkställighet av påföljder.

 

Även om andra myndigheter inte får sådana uppgifter som omfattas av

 

lagen direkt från en annan medlemsstat eller ett EU-organ, så kan de få

 

dem via någon av de myndigheter som är det primära målet för regle-

 

ringen. Rambeslutet förutsätter att personuppgifterna ska vara skyddade

 

hos alla myndigheter, om uppgifterna och behandlingen omfattas av

 

rambeslutets tillämpningsområde. Enligt regeringens mening bör den

 

föreslagna lagen därför inte begränsas till att gälla enbart hos vissa upp-

 

räknade myndigheter utan gälla generellt för personuppgiftsbehandling i

 

verksamhet som har till syfte att förebygga, utreda, avslöja eller lagföra

 

brott eller verkställa påföljder, oavsett hos vilken myndighet behand-

 

lingen sker. Genom att myndigheterna inte namnges så saknar den av

 

Ekobrottsmyndigheten framförda synpunkten om hur myndigheterna bör

62

räknas upp betydelse.

I sammanhanget kan noteras att rambeslutet i flera bestämmelser an- vänder uttrycket behörig myndighet. Även utredningens förslag innehål- ler detta uttryck. Enligt svensk rätt är det en grundläggande förutsättning för rätten att behandla personuppgifter att behandlingen ryms inom myn- dighetens uppdrag. Utgångspunkten måste ur svenskt perspektiv vara densamma när det gäller myndigheter i andra länder. Svenska myndig- heter ska således inte behöva ta ställning till om den myndighet som överför personuppgifter är att betrakta som behörig i sin hemstat. Rege- ringen anser mot denna bakgrund att det inte är nödvändigt att använda uttrycket behörig myndighet i lagtexten.

När det gäller den närmare avgränsningen kan vidare konstateras att man i svensk lagstiftning brukar skilja mellan underrättelseverksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och verk- samhet som går ut på att utreda och beivra konkreta brott. Då begreppet brott i rambeslutet bör tolkas så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som är föremål för underrät- telseverksamhet, anser regeringen att avgränsningen av den nya lagen bör formuleras på motsvarande sätt. Vidare anser regeringen att begreppen upptäcka och beivra stämmer bättre överens med språkbruket i svensk lagstiftning än begreppen ”avslöja” och ”lagföra” som används i rambe- slutet. Sammanfattningsvis anser således regeringen att lagen bör gälla när personuppgifter som överförs eller har överförts eller görs eller har gjorts tillgängliga behandlas i verksamhet som har till syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

Att den nya lagens tillämpningsområde avgränsas på det sätt som rege- ringen föreslår innebär att lagen kan bli tillämplig i såväl underrättelse- arbete, förundersökning och brottmålsrättegång som vid verkställighet av påföljd. Samtidigt innebär avgränsningen att personuppgiftsbehandling för andra ändamål faller utanför tillämpningsområdet. Exempelvis faller rättslig hjälp i civilmål utanför, liksom t.ex. informationsutbyte som rör offer för olyckshändelser (även om informationen förmedlas via polisiära kanaler).

I detta sammanhang bör framhållas att Tullverkets lagstiftning skiljer sig från övriga brottsbekämpande myndigheters på det sättet att det inte tydligt framgår att myndigheten också får behandla personuppgifter i syfte att förebygga brott, trots att det får anses ingå i dess uppgifter. För att åstadkomma likformighet i förhållande till övriga brottsbekämpande myndigheter föreslår utredningen att 7 § 1 lagen (2005:787) om behand- ling av uppgifter i Tullverkets brottsbekämpande verksamhet komplette- ras med begreppet förebygga. Det är angeläget att Tullverket, vars verk- samhet bland annat innefattar brottsbekämpning, har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter. Regeringen instämmer därför i utredningens bedömning att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör tydliggöras att regleringen också omfattar behandling i syfte att före- bygga brottslig verksamhet.

Även uppgifter som tillförs register som regleras i andra författningar än myndigheternas generella registerförfattningar kommer att omfattas av lagens tillämpningsområde, om registren i fråga har brottsbekämp- ning, lagföring eller straffverkställighet som ändamål. Detta gäller exem-

Prop. 2012/13:73

63

Prop. 2012/13:73 pelvis personuppgifter som kommer att flyta in i belastningsregistret, misstankeregistret, strafförelägganderegistret och ordningsbotsregistret, om uppgifterna är av den arten att rambeslutet är tillämpligt.

Förenklat kan man säga att den föreslagna lagen kommer att innehålla vissa särskilda dataskyddsregler som gäller när personuppgifter som förts över medlemsstatsgränserna behandlas i exempelvis brottsbekämpande verksamhet. Bestämmelserna i t.ex. polisdatalagen och kustbevaknings- datalagen utgör dock fortfarande grunden för den behandling som äger rum när uppgifterna har mottagits. Exempelvis krävs det att polisdatala- gen ger stöd för att polisen behandlar personuppgifterna för ett visst ändamål. Säkerhets- och integritetsskyddsnämnden anser att detta för- hållande bör tydliggöras genom att det i den föreslagna lagen införs en bestämmelse som erinrar om att det finns andra författningar som inne- håller bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Enligt regeringens mening är det tillräckligt att det i myndigheternas registerförfattningar införs bestäm- melser om hur dessa förhåller sig till den nya lagen.

Personuppgifter från andra medlemsstater, EU-organ och EU-informa- tionssystem

Enligt artikel 1.2 ska rambeslutet tillämpas på uppgifter som förs över eller görs tillgängliga, eller har överförts eller gjorts tillgängliga,

a)mellan medlemsstater,

b)av medlemsstater till EU-organ eller EU-informationssystem, eller

c)av EU-organ eller EU-informationssystem till medlemsstater. Utredningen anser att det är tillräckligt om den nya lagens tillämp-

ningsområde omfattar uppgifter som en myndighet har tagit emot från en annan medlemsstat, eller som har gjorts tillgängliga av en annan med- lemsstat. Skälet för detta är att de uppgifter som är aktuella enligt utred- ningens mening alltid kan sägas ha sitt ursprung i en medlemsstat, även i en situation där uppgiften senare överförs från ett EU-organ eller ett EU- informationssystem.

Tullverket invänder mot utredningens förslag i denna del och framhål- ler att tillämpningen av lagen skulle underlättas om det direkt av lagtex- ten framgår att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem. Även Uppsala universitet invänder mot utredningens resonemang. Enligt universitetet kan det knappast uteslutas att uppgifter som behandlas av EU-organen samman- förs och kompletteras med andra uppgifter, så att ny information fram- träder. Regeringen delar universitetets uppfattning. Utredningens förslag kan resultera i att vissa personuppgifter, som är tänkta att omfattas av rambeslutets skyddsregler, faller utanför lagens tillämpningsområde. Detta gäller exempelvis sådana uppgifter som inhämtats inom ramen för Europols samarbete med Interpol, där uppgifterna inte härrör från en annan medlemsstat i EU (jfr prop. 2008/09:14 s. 6). Vidare är en av Europols huvuduppgifter att – med hjälp av information som erhålls från medlemsstaterna – bearbeta, analysera och vidareutveckla kunskaperna om gränsöverskridande, grov organiserad brottslighet. Med utredningens förslag skulle uppgifter som härrör från sådan bearbetning inte ha samma

skydd som motsvarande uppgifter som bearbetats i en medlemsstat. En-

64

ligt regeringens mening är detta inte rimligt. Därför bör det av den nya lagen framgå att den gäller även i fråga om personuppgifter som har tagits emot från ett EU-organ eller ett EU-informationssystem. Härige- nom tillgodoses också Tullverkets önskemål om en mer lättillämpad reglering.

När det gäller EU-informationssystem omfattar rambeslutets tillämp- ningsområde enbart system som har inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, dvs. regleringen om polissamarbete och straffrättsligt samarbete. Någon risk för missförstånd om vilka sys- tem som avses finns knappast, eftersom det bara är ett fåtal infor- mationssystem som berörs. Lagen bör därför inte tyngas med en hänvis- ning till fördraget.

Uppsala universitet påpekar också att det förhållandet att olika regler kommer att gälla för rent nationell personuppgiftsbehandling respektive gränsöverskridande personuppgiftsbehandling kan leda till vissa tillämp- ningsproblem. Regeringen ifrågasätter inte detta. Frågan är emellertid om det i sig utgör ett hinder mot att utforma regleringen i huvudsak på det sätt som utredningen har föreslagit och remissinstanserna ställt sig bakom. Eftersom det gränsöverskridande samarbetet bara genererar en mycket liten del av den totala mängd personuppgifter som behandlas av de nu aktuella myndigheterna anser regeringen att det för närvarande inte finns skäl att välja någon annan lösning. Det bör emellertid anmärkas att kommissionen den 25 januari 2012 presenterade ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. I reformförslaget ingår dels en förordning med en reglering som ska ersätta dataskyddsdirektivet, dels ett direktiv som är avsett att ersätta data- skyddsrambeslutet (se avsnitt 4.3). Det nya direktivet föreslås omfatta även nationell behandling. På sikt kan således frågan om en mer heltäck- ande reglering aktualiseras.

Den av regeringen valda lösningen förutsätter att sådana uppgifter som omfattas av rambeslutet på något sätt kan urskiljas och vid behov särbe- handlas. Den frågan behandlas vidare i avsnitt 6.18.

Regeringen återkommer i avsnitt 6.14 till frågan om hur förekomsten av dataskyddsbestämmelser i tidigare beslutade EU-rättsakter återverkar på lagens tillämpningsområde.

Svenska myndigheters överföring av uppgifter

Utgångspunkten är att den nya lagen framför allt ska reglera integritets- skyddet för personuppgifter som svenska myndigheter tar emot från andra EU-stater, EU-organ och EU-informationssystem och behandlar i de syften som anges i rambeslutet. Artikel 1.2 i rambeslutet innebär emellertid att rambeslutets bestämmelser ska tillämpas även när svenska myndigheter överför uppgifter till andra medlemsstater eller till EU- organ eller EU-informationssystem. Enligt artikel 12.1 finns en skyldig- het för medlemsstaterna att ange om särskilda användningsbegränsningar gäller för uppgifterna.

Vad som främst är aktuellt är att svenska myndigheter ska kunna, när svenska intressen så kräver och rambeslutet medger det, ange villkor för hur de personuppgifter som myndigheterna överför till andra EU-stater, EU-organ och EU-informationssystem får användas. Svenska myndighe-

Prop. 2012/13:73

65

Prop. 2012/13:73

66

ter bör också ha möjlighet att, i enlighet med artikel 9.1, kunna ange när uppgifterna ska gallras, se vidare avsnitt 6.7.2.

Utredningen lägger inte fram något förslag i denna del. Remissinstan- serna yttrar sig inte heller i frågan.

Redan i dag finns det, som framgår av avsnitt 4.10, ett flertal bestäm- melser som reglerar svenska myndigheters möjlighet att ställa upp villkor vid informationsutbyte med andra stater. Dessa bestämmelser täcker emellertid inte rambeslutets hela tillämpningsområde. Som exempel kan nämnas att informationsutbyte via EU-informationssystem och informa- tionsutbyte via EU-organ inte omfattas.

Det är enligt regeringens mening givetvis lika viktigt att upprätthålla ett starkt integritetsskydd för de uppgifter som svenska myndigheter överför eller gör tillgängliga för andra stater eller EU-organ eller EU- informationssystem som för de uppgifter som tas emot. Den nya lagstift- ningen bör därför även i relevanta delar tillämpas på svenska myndig- heters överföring av uppgifter. För att underlätta för tillämparna bör skyldigheten att följa utländska villkor och möjligheten för svenska myndigheter att ange villkor regleras i samma författning.

Lagrådet ifrågasätter behovet av en bestämmelse som tydliggör i vil- ken utsträckning svenska myndigheter ska tillämpa den nya lagen när de inom ramen för polisiärt eller straffrättsligt samarbete överför uppgifter till mottagare utomlands. Regleringen på området är, som Lagrådet framhåller, komplicerad och svåröverblickbar. Mot den bakgrunden är det viktigt att tillämparen får ledning när det gäller frågan om lagen över huvud taget ska tillämpas, vilket den aktuella bestämmelsen syftar till. Regeringen anser därför att bestämmelsen bör finnas kvar. Den bör dock formuleras om och utformas i linje med Lagrådets synpunkter.

Regeringen återkommer till frågan om svenska myndigheters överfö- ring av uppgifter till andra medlemsstater i avsnitt 6.7.2.

Informationsutbyte med Island, Norge, Schweiz och Liechtenstein

Av skäl 45–47 i rambeslutet framgår att rambeslutet beträffande Island, Norge, Schweiz och Liechtenstein utgör en utveckling av Schengenre- gelverket. Detta innebär att rambeslutets bestämmelser ska tillämpas också i fråga om uppgifter som görs tillgängliga mellan eller överförs till och från dessa stater.

Utredningen belyser inte denna fråga. Den enda remissinstans som be- rör frågan är Svea hovrätt som pekar på att utredningen inte anger hur uppgifter som Sverige har tagit emot från bl.a. en EES-stat ska behand- las.

Regeringen anser att det i den nya lagen bör klargöras att lagen gäller även i förhållande till de nu nämnda staterna. I författningsförslaget bör detta återspeglas i regleringen av den nya lagens tillämpningsområde. Härigenom tillgodoses den av Svea hovrätt framförda synpunkten.

Bara uppgifter om fysiska personer

Rambeslutet reglerar bara skydd för uppgifter om fysiska personer (arti- kel 1.1). En fråga som väcks vid genomförandet av rambeslutet är om den nya lagen bör skydda endast uppgifter om fysiska personer eller om den bör innehålla skyddsregler även för juridiska personer.

Utredningen behandlar inte denna fråga. Inte heller remissinstanserna Prop. 2012/13:73 berör frågan.

Svensk lagstiftning om behandling av personuppgifter skyddar i viss utsträckning även juridiska personer (se t.ex. 1 kap. 3 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen). Med tanke på att den lag som nu föreslås har som enda syfte att genomföra dataskyddsrambeslutet, framstår det enligt regeringens mening som mindre lämpligt att låta lagen ha ett annat tillämpningsområde än rambeslutet. Det innebär att lagen i likhet med rambeslutet bara bör skydda uppgifter om fysiska personer.

Helt eller delvis automatiserad personuppgiftsbehandling

Enligt artikel 1.3 gäller rambeslutet bara för sådan behandling av person- uppgifter som helt eller delvis utförs automatiskt samt för annan behand- ling av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

Utredningen föreslår att den nya lagen ska tillämpas också på annan personuppgiftsbehandling än automatiserad, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Remissinstanserna fram- för inga invändningar mot utredningens förslag i denna del. Några re- missinstanser efterlyser dock en definition av begreppet automatiserad. Förvaltningsrätten i Linköping anser att en definition av begreppet auto- matiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form för överklaganden, yttranden och andra skrivelser.

Regeringen instämmer i utredningens förslag till hur bestämmelsen bör formuleras. Begreppet ”automatiserad” är att föredra framför det i ram- beslutet använda begreppet ”automatiskt”. Förslaget motsvarar regle- ringen i 5 § personuppgiftslagen. Vad beträffar den av Förvaltningsrät- ten i Linköping framförda synpunkten noterar regeringen att begreppet automatiserad förekommer både i personuppgiftslagen och i olika regis- terförfattningar. Begreppet är således allmänt vedertaget. Någon defi- nition av begreppet är enligt regeringens mening därför inte nödvändig.

Att lagen görs tillämplig på manuellt behandlade uppgifter som kom- mer att ingå i ett register innebär att det inte bara är uppgifter som över- förs och behandlas elektroniskt som kan komma att omfattas. Motsva- rande reglering i personuppgiftslagen har varit utgångspunkt vid utform- ningen av den särlagstiftning som gäller för de myndigheter som regle- ringen i huvudsak riktar sig till. Exempelvis har författningarna om per- sonuppgiftsbehandling inom polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och Kriminalvården alla samma reglering i detta avseende.

Som tidigare nämnts faller också uppgifter i vissa register som regleras i andra författningar än myndigheternas generella registerförfattningar under lagens tillämpningsområde.

67

Prop. 2012/13:73

68

6.4.2Undantag för nationella säkerhetsintressen

Regeringens förslag: Lagen ska inte gälla för sådan behandling av personuppgifter som rör nationell säkerhet.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår att Säkerhetspolisen helt ska undantas från lagens till- lämpningsområde, men inte någon annan verksamhet.

Remissinstanserna: Åklagarmyndigheten påpekar att åklagare vid åklagarkammaren för säkerhetsmål tar emot och hanterar uppgifter som rör såväl nationella säkerhetsintressen som uppgifter som härrör från särskild underrättelseverksamhet. Allmän åklagare kan som förundersök- ningsledare hantera uppgifter som faller under området nationell säker- het. Åklagarmyndigheten menar därför att ett mer generellt undantag för nationell säkerhet bör övervägas. Också Ekobrottsmyndigheten anser att ett generellt undantag bör göras i den nya lagen. Ekobrottsmyndigheten anser vidare att begreppet rikets säkerhet bör användas i stället för natio- nell säkerhet, eftersom det är ett vedertaget begrepp. Uppsala universitet invänder mot utredningens uppfattning att hela Säkerhetspolisens verk- samhet avser nationell säkerhet och därmed faller utanför beslutets till- lämpningsområde. Meningen med rambeslutet är delvis att förbättra integritetsskyddet i europeisk polisärt och straffrättsligt samarbete varför det enligt universitetet är rimligt att inta en utgångspunkt om att undantag ska tolkas snävt. Likväl kan utredningens förslag vara acceptabelt om den nuvarande regleringen och tillsyn av Säkerhetspolisens verksamhet såvitt gäller dataskydd i internationellt samarbete är tillfredställande.

Säkerhets- och integritetsskyddsnämnden framhåller att även om mer- parten av Säkerhetspolisens verksamhet rör nationell säkerhet så kan vissa delar av myndighetens verksamhet varken anses utgöra viktiga nationella säkerhetsintressen eller särskild underrättelseverksamhet inom området nationell säkerhet. En möjlighet skulle därför enligt nämnden kunna vara att, trots undantaget för verksamhet som rör nationell säker- het, göra rambeslutet tillämpligt även på Säkerhetspolisens verksamhet.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Säkerhetspolisens bedömning är att hela myndig- hetens verksamhet omfattas av begreppet ”nationell säkerhet” i rambe- slutets mening och att den således faller utanför rambeslutets tillämp- ningsområde. Lunds universitet anser att begreppet ”nationell säkerhet” inte har ett klart och tydligt innehåll i gällande svensk straffrätt och att dess tillämpningsområde kan bli diffust och oförutsebart. Sveriges advo- katsamfund menar att undantagets föreslagna lydelse medför att ett mer vidsträckt område kommer att undantas än vad som följer av artikel 1.4. Vidare framhåller samfundet att begreppet nationell säkerhet inte är ve- dertaget inom svensk lagstiftning, vilket kan leda till tillämpningssvårig- heter. Slutligen anser samfundet att det är mindre lämpligt att införa ett nytt begrepp som skiljer sig från det begrepp som används i personupp-

giftslagen.

Skälen för regeringens förslag: I artikel 1.4 görs ett uttryckligt undantag för viktiga nationella säkerhetsintressen och särskild underrät- telseverksamhet som rör nationell säkerhet. Personuppgiftsbehandling i sådan verksamhet faller utanför rambeslutets tillämpningsområde.

Undantaget gäller inte för en viss myndighet eller organisation utan för verksamhet som rör nationella säkerhetsintressen.

Utredningen finner att den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet och att det varken är möjligt eller lämpligt att exakt ange vilka delar av myndighetens verk- samhet som inte gör det. Utredningen drar slutsatsen att Säkerhetspoli- sens verksamhet i sin helhet bör undantas från tillämpningsområdet för den nya lagen. Däremot ska enligt utredningen ingen annan verksamhet än Säkerhetspolisens undantas.

Så som undantaget i artikel 1.4 i rambeslutet är utformat faller, som ut- redningen framhåller, Säkerhetspolisens verksamhet i allt väsentligt utan- för rambeslutets tillämpningsområde. Det finns emellertid andra myn- digheter än Säkerhetspolisen som hanterar personuppgifter rörande na- tionell säkerhet. Som Åklagarmyndigheten påpekar gäller detta bl.a. åklagare. Även allmänna domstolar behandlar personuppgifter hänförliga till mål och ärenden som rör nationell säkerhet. Det kan inte uteslutas att även andra myndigheter kan komma att hantera sådana personuppgifter. Regeringen anser därför att undantaget från den nya lagens tillämpnings- område inte bör begränsas till en viss utpekad myndighet utan gälla gene- rellt. Denna lösning ligger också i linje med vad bl.a. Säkerhets- och integritetsskyddsnämnden och Uppsala universitet framför. I den ut- sträckning som Säkerhetspolisen och andra berörda myndigheter har – eller kommer att få – uppgifter som rör annat än nationell säkerhet om- fattas således uppgifterna av rambeslutets tillämpningsområde.

Ekobrottsmyndigheten, som också anser att undantaget bör göras mer generellt, föreslår att begreppet rikets säkerhet ska användas i stället för nationell säkerhet eftersom det är ett vedertaget begrepp i svensk lagstift- ning.

Regeringen gör följande bedömning. Undantaget i rambeslutet omfat- tar ”viktiga nationella säkerhetsintressen och särskild underrättelseverk- samhet som rör nationell säkerhet”. I den engelska versionen av rambe- slutet är formuleringen ”essential national security interests and specific intelligence activities in the field of national security”. Begreppet ”natio- nal security” används också i den engelska versionen av dataskyddsdi- rektivet. I personuppgiftslagen avses ”rikets säkerhet” i 8 a § svara mot begreppet ”national security”. Uttrycket ”rikets säkerhet” är väl inarbetat och förekommer i såväl straffrättslig som i annan lagstiftning. Det finns således skäl som talar för den av Ekobrottsmyndigheten och Sveriges advokatsamfund föreslagna formuleringen. Mot den lösningen talar emellertid att uttrycket ”rikets säkerhet” normalt används i en snävare bemärkelse än vad rambeslutet får anses täcka. Verksamheten med att förebygga, förhindra och utreda brott mot rikets säkerhet är till exempel bara en del av Säkerhetspolisens verksamhet. Ett exempel som visar detta är regleringen av Säkerhetspolisens personuppgiftsbehandling i polisda- talagen (2010:361), där rikets säkerhet och terrorismbekämpning om- nämns som olika aktiviteter (5 kap. 1 §), trots att den sistnämnda kan ha betydelse såväl för rikets säkerhet som för allmän ordning och säkerhet inom landet. Rambeslutets formulering skiljer sig också från dataskydds- direktivets på det sättet att den är vidare. Regeringen anser därför att en formulering som liknar den i rambeslutet bör väljas. Undantaget bör således omfatta nationell säkerhet, vari även innefattas den underrättelse-

Prop. 2012/13:73

69

Prop. 2012/13:73 verksamhet som bedrivs inom området. Denna formulering omfattar i stort sett hela Säkerhetspolisens nuvarande verksamhet men innebär inte att myndigheten som sådan är undantagen från lagens tillämpningsom- råde. Självfallet är begreppet inte avsett att innefatta mera än vad som följer av artikel 1.4, vilket Sveriges advokatsamfund hyser farhågor för.

Med anledning av Lunds universitets synpunkt att begreppet ”nationell säkerhet” inte har ett klart och tydligt innehåll i gällande svensk straffrätt och även Sveriges advokatsamfunds åsikt att begreppet inte är vederta- get, vill regeringen framhålla att det valda begreppet är avsett att genom- föra en bestämmelse i ett EU-instrument. Det är inte självklart att ett begrepp som används i ett EU-instrument alltid har en direkt svensk motsvarighet. Vidare är det enligt regeringens mening viktigt att undan- taget i lagen inte görs snävare än undantaget i rambeslutet. Mot den bak- grunden anser regeringen att nationell säkerhet är ett lämpligt begrepp.

Regeringen återkommer i författningskommentaren närmare till vad uttrycket nationell säkerhet omfattar.

6.5Definitioner

Regeringens bedömning: Artikel 2 i rambeslutet om definitioner kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser har inte någon

invändning mot utredningens bedömning i denna del. Åklagarmyndig- heten menar dock att centrala begrepp som ”vidarebehandling av person- uppgifter” och ”automatiserad spridning”, som inte förekommer i per- sonuppgiftslagen, bör definieras för att undvika oklarheter och otydlig- heter. Ekobrottsmyndigheten och Kriminalvården framför liknande syn- punkter. Ekobrottsmyndigheten ifrågasätter också om begreppet vidare- behandling överhuvudtaget bör användas i lagregleringen då det inte är ett vedertaget begrepp. Myndigheten föreslår att enbart ordet behandling ska användas, tillsammans med en beskrivning av den behandling som avses. Förvaltningsrätten i Linköping påpekar att det varken i lagen eller i delbetänkandet redovisats hur begreppet automatiserad definieras och att en definition av begreppet är av stor vikt.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Regeringen delar utredningens uppfattning att rambeslutets artikel 2, som innehåller definitioner, inte kräver någon lagstiftningsåtgärd. Några av remissinstanserna, däribland

Åklagarmyndigheten och Kriminalvården, efterlyser en definition av begreppet vidarebehandling. Ekobrottsmyndigheten går ett steg längre och ifrågasätter om begreppet vidarebehandling överhuvudtaget bör användas i den nya lagen, eftersom det inte är ett vedertaget begrepp. Regeringen delar uppfattningen att det är svårt att förutse effekterna av

att använda begreppet vidarebehandling i den nya lagen. Som framgår av

70

avsnitt 6.4.1 är det inte heller nödvändigt att använda detta begrepp. Prop. 2012/13:73 Därmed finns det inget behov av att införa en definition av begreppet

vidarebehandling. Detsamma gäller det av utredningen föreslagna ut- trycket ”automatiserad spridning”.

Några remissinstanser, bl.a. Förvaltningsrätten i Linköping, anser att begreppet automatiserad bör definieras i den nya lagen. Den frågan be- handlas i avsnitt 6.4.1.

6.6Ändamål med behandlingen

6.6.1Allmänt om ändamålen

Regeringens bedömning: Rambeslutets bestämmelser om grundläg- gande principer kräver ingen lagstiftning.

Utredningens bedömning överensstämmer med regeringens.

 

Remissinstanserna kommenterar inte frågan.

 

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna har inga invändningar mot utkastet till lagråds-

 

remiss i denna del.

 

Skälen för regeringens bedömning: Rambeslutet ska, som tidigare

 

nämnts, bara tillämpas på personuppgiftsbehandling som sker för de

 

verksamheter som anges i rambeslutet (polissamarbete och straffrättsligt

 

samarbete; artikel 1). Regleringen kan därför sägas syfta till att skydda

 

enskilda från att deras personuppgifter sprids eller hanteras på ett felak-

 

tigt sätt av framför allt de brottsbekämpande myndigheterna. Artikel 3

 

anger de grundläggande principer som ska gälla vid myndigheternas

 

hantering av personuppgifter. Utgångspunkten är att brottsbekämpande

 

och verkställande myndigheter får behandla personuppgifter i den verk-

 

samheten.

 

I artikel 3.1 föreskrivs att personuppgifter får samlas in endast för sär-

 

skilda, uttryckligt angivna och berättigade ändamål. Behandlingen ska

 

vara lagenlig, adekvat, relevant och inte orimlig i förhållande till det

 

ändamål för vilket uppgifterna samlades in.

 

I 9 § första stycket personuppgiftslagen anges att personuppgifter får

 

samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål

 

(punkt c). Uppgifterna ska också vara adekvata och relevanta i förhål-

 

lande till ändamålen med behandlingen (punkt e). Dessa regler motsvarar

 

således reglerna i artikel 3.1 i rambeslutet.

 

Bestämmelserna i 9 § första stycket c och e personuppgiftslagen gäller

 

för alla de aktuella myndigheterna (9 § c gäller dock inte för Tullverket),

 

antingen på grund av att registerförfattningarna hänvisar till den bestäm-

 

melsen eller genom att de registerförfattningar som gäller utöver person-

 

uppgiftslagen saknar bestämmelser i frågan. Lagen (2005:787) om

 

behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

 

som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning

 

till 9 § första stycket c personuppgiftslagen. Däremot anges i 7 och 8 §§ i

 

förstnämnda lag för vilka ändamål personuppgiftsbehandling får ske. I

 

9 § samma lag föreskrivs att uppgifter i Tullverkets brottsbekämpande

71

Prop. 2012/13:73 verksamhet inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Regleringen är alltså uttömmande, vilket är skälet till att det inte hänvisas till 9 § första stycket c personuppgiftslagen, se propositio- nen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50). Enligt regeringens mening får de aktuella bestämmelserna i Tullverkets registerförfattning anses uppfylla de krav som ställs i artikel 3.1 i rambeslutet på särskilda, uttryckligt angivna och berättigade ändamål. Regeringen bedömer mot denna bakgrund i likhet med utredningen att några nya bestämmelser inte behöver införas med anledning av artikel 3.1 i rambeslutet.

6.6.2Behandling för andra ändamål än de ursprungliga

Regeringens förslag: Personuppgifter som har överförts eller gjorts tillgängliga för visst ändamål får – förutom för det ursprungliga ända- mål för vilka uppgifterna överfördes eller gjordes tillgängliga – be- handlas bara för vissa i lagen särskilt angivna andra ändamål. Dessa ändamål är sådana där syftet med behandlingen är att

förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får behandlas även för andra ändamål, om den som

överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

 

Utredningens förslag överensstämmer delvis med regeringens. Utred-

 

ningen föreslår att det i den nya lagen också ska föreskrivas att vidarebe-

 

handling för ett nytt ändamål inte får vara oförenlig med det ursprungliga

 

ändamålet samt att vidarebehandlingen måste vara nödvändig och pro-

 

portionerlig.

 

Remissinstanserna: Remissinstanserna framför inga invändningar mot

 

utredningens förslag i denna del.

 

Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

 

Remissinstanserna: Tullverket framför att det för Tullverkets del är

 

nödvändigt med en bestämmelse om att vidarebehandling bara får ske

 

om den inte är oförenlig med det ändamål för vilket uppgifterna ur-

 

sprungligen samlades in (finalitetsprincipen), eftersom 9 § d personupp-

 

giftslagen (1998:204) inte gäller i Tullverkets brottsbekämpande verk-

 

samhet. Tullverket förespråkar i första hand att en ändring görs i 6 § 3

 

lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm-

 

pande verksamhet, så att personuppgiftslagens bestämmelse om finali-

 

tetsprincipen blir tillämplig i verkets verksamhet, i andra hand att en

 

bestämmelse om finalitetsprincipen förs in i den föreslagna lagen.

 

Kronofogdemyndigheten efterlyser ett klargörande av vad som gäller

 

för den överlämnade informationen vid handläggning av andra mål hos

72

myndigheten. Myndigheten hänvisar till att det av 4 kap. 11 § UB följer

 

att samordning ska ske av samtliga hos myndigheten inneliggande mål, Prop. 2012/13:73 vilket innebär att myndigheten ska använda sig av den information som

den har tillgång till. Samtidigt menar myndigheten att handläggning av andra mål inte kan anses rymmas inom de undantag som räknas upp i utkastet, i och med att de inte behöver ha med vare sig brottslighet eller allmän säkerhet att göra.

Skälen för regeringens förslag: Enligt artikel 3.1 i rambeslutet är, som nyss nämnts, utgångspunkten att en myndighet får behandla en personuppgift endast för det ändamål, dvs. det brott, den straffrättsliga påföljd etc., som uppgiften ursprungligen överfördes för. Om en myn- dighet vill använda en personuppgift för ett annat ändamål än det ur- sprungliga sätter de grundläggande principerna i artikel 3.2 och reglerna i artikel 11 gränserna för myndighetens möjligheter att göra detta.

Utredningen föreslår att artikel 11 och delar av artikel 3.2 ska genom- föras genom en särskild bestämmelse i den nya lagen.

Artikel 11 i rambeslutet föreskriver att personuppgifter, i enlighet med kraven i artikel 3.2, får vidarebehandlas endast för vissa särskilt angivna ändamål utöver dem för vilka de överfördes eller gjordes tillgängliga. Ändamålen kan sammanfattningsvis sägas ha anknytning till polisiärt och straffrättsligt samarbete. Enligt artikel 11 får således vidarebehand- ling av personuppgifter ske

a)för att förebygga, utreda, avslöja, eller lagföra andra brott eller verk- ställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,

b)för andra rättsliga eller administrativa förfaranden med direkt an- knytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten,

d)för varje annat syfte endast med förhandsmedgivande från den över- förande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.

Bestämmelserna i artikel 11 saknar motsvarighet i svensk lag. Rege- ringen delar därför utredningens bedömning att artikel 11 bör genomfö- ras genom en särskild bestämmelse i den nya lagen.

Artikel 3.2 a i rambeslutet föreskriver att vidarebehandling för annat ändamål än det för vilket uppgifterna ursprungligen samlades in är tillå- ten om behandlingen inte är oförenlig med de ändamål för vilka uppgif- terna samlades in (finalitetsprincipen). Denna del av artikel 3.2 får anses uttolkad i artikel 11, som handlar just om för vilka ändamål vidarebe- handling av överförda uppgifter generellt får ske i brottsbekämpande verksamhet. Något behov av en särskild reglering för att genomföra arti- kel 3.2 a finns därför inte enligt regeringens mening. Det kan ändå note- ras att artikeln i denna del motsvarar 9 § första stycket d personuppgifts- lagen, som bygger på dataskyddsdirektivet. Artikel 5 b i Europarådets dataskyddskonvention innehåller en motsvarande bestämmelse. Bestäm- melserna i 9 § första stycket d personuppgiftslagen gäller för alla de

aktuella myndigheterna utom Tullverket, antingen på grund av att regis-

 

terförfattningarna hänvisar till den bestämmelsen eller genom att de

 

registerförfattningar som gäller utöver personuppgiftslagen saknar be-

 

stämmelser i frågan. Lagen om behandling av uppgifter i Tullverkets

73

Prop. 2012/13:73 brottsbekämpande verksamhet, som gäller i stället för personuppgiftsla- gen, innehåller ingen hänvisning till 9 § första stycket d personuppgifts- lagen. Enligt Tullverket bör därför i första hand en ändring göras i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet, så att finalitetsprincipen blir tillämplig i hela verkets verksamhet. I andra hand bör enligt verket en bestämmelse om finalitets- principen föras in i den föreslagna lagen. Det är inte möjligt att inom ramen för detta lagstiftningsprojekt genomföra de ändringar i Tullverkets registerförfattning som verket efterlyser. Som nyss nämnts finns det enligt regeringens mening heller ingen anledning att införa en särskild reglering av finalitetsprincipen i den nya lagen.

Hänvisningen till artikel 3.2 i artikel 11, innebär bl.a. att vidarebe- handling för de i artikel 11 angivna ändamålen endast får ske om myn- digheten har laglig behörighet att behandla uppgifter för det nya ända- målet (artikel 3.2 b) och behandlingen är nödvändig och proportionerlig i förhållande till det nya ändamålet (artikel 3.2 c). Artikel 3.2 b kan sägas ha sin motsvarighet i 9 § första stycket a i personuppgiftslagen, som föreskriver att personuppgifter bara får behandlas om det är lagligt och som är en grundläggande princip som gäller för alla berörda myndig- heter. Ytterst är det myndighetens instruktion och andra författningar som avgör om myndigheten är behörig att behandla personuppgifter för det aktuella ändamålet. Artikel 3.2 c motsvaras av bl.a. 9 § första stycket e och f personuppgiftslagen. Mot bakgrund av dessa regler anser rege- ringen att rambeslutet i dessa delar är uppfyllt.

Den bestämmelse som införs i den nya lagen för att genomföra artikel 11 innebär att brottsbekämpande och verkställande myndigheter fram- förallt får behandla överförda personuppgifter i verksamhet som har mer eller mindre direkt anknytning till brottsbekämpning, rättsliga förfaran- den och verkställighet av påföljder. Vad beträffar Kronofogdemyndig- heten får myndigheten således använda sig av den information myndig- heten fått tillgång till genom nu aktuellt samarbete i andra mål, men endast i den mån dessa avser rättsliga eller administrativa förfaranden med direkt anknytning till straffverkställighet, t.ex. för att driva in böter. Behandling utan sådan anknytning, t.ex. samordning med annan exekutiv verksamhet, är således inte tillåten beträffande uppgifter som överförts eller gjorts tillgängliga med stöd av rambeslutet.

6.6.3Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål

Regeringens förslag: Det ska framgå av lagen att behandling av upp- gifter för historiska, statistiska eller vetenskapliga ändamål är tillåten.

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: Flertalet remissinstanser kommenterar inte för-

 

slaget i denna del. Uppsala universitet påpekar att vidarebehandling av

 

personuppgifter för historiska, statistiska eller vetenskapliga ändamål

 

enligt rambeslutet är tillåten om medlemsstaterna föreskriver lämpliga

 

skyddsåtgärder. Enligt utredningen finns tillräckliga skyddsregler i per-

74

sonuppgiftslagen (1998:204). I den föreslagna lagen anges därför enbart

upplysningsvis att personuppgifter får vidarebehandlas för historiska, Prop. 2012/13:73 statistiska eller vetenskapliga ändamål. Någon hänvisning till de skydds-

åtgärder som finns i personuppgiftslagen ges dock inte. Eftersom person- uppgiftslagen är subsidiär till annan lagstiftning, kan enligt universitetet en sådan lagstiftningsteknik vara missledande.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: Av artikel 3 sista stycket tillsammans med artikel 11 sista stycket framgår att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål alltid är tillåten, oavsett medgivande från den överförande staten, under förutsättning att den nationella lagstiftningen innehåller bestämmelser om tillräckliga skydds- åtgärder. Exempel på sådana skyddsåtgärder anges i artiklarna vara av- identifiering av uppgifterna. Även om rambeslutets bestämmelser är mer detaljerade, finns en bestämmelse med samma innebörd i artikel 6 i data- skyddsdirektivet. Enligt denna artikel ska behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål inte anses vara oför- enlig med de ursprungliga ändamål för vilka uppgifterna samlades in, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Be- stämmelsen i dataskyddsdirektivet har genomförts genom 9 § andra stycket personuppgiftslagen. Av förarbetena till personuppgiftslagen framgår att den svenska arkivlagstiftningen ansågs uppfylla kraven på tillräckliga skyddsåtgärder enligt dataskyddsdirektivet (prop. 1997/98:44 s. 47 f.). I propositionen om antagande av dataskyddsrambeslutet gjordes bedömningen att rambeslutet, med några enstaka undantag, inte kräver några lagändringar när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål.

Utredningen anser att det för tydlighetens skull bör införas en upplys- ningsbestämmelse i den nya lagen om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål. Utöver Uppsala universitet har remissinstanserna inga invändningar mot utredningens förslag i denna del.

Regleringen i 9 § andra stycket personuppgiftslagen gäller visserligen för samtliga berörda myndigheter utom Tullverket. Eftersom ändamåls- bestämmelsen i den nya lagen kommer att omfatta all vidarebehandling måste frågan om behandling för historiska, statistiska och vetenskapliga ändamål ändå regleras i lagen. Regeringen delar därför utredningens uppfattning att en bestämmelse om vidarebehandling för sådana ändamål bör införas. I motsats till utredningen anser dock regeringen att det bör vara en materiell bestämmelse. Den kritik som Uppsala universitet fram- för har således visst fog. Den svenska arkivlagstiftningen uppfyller enligt regeringens mening de krav på skyddsåtgärder som ställs upp i rambe- slutet. Genom den lösning som regeringen föreslår kommer möjligheten att behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål att vara desamma för alla myndigheter, inkluderande Tullverket.

75

Prop. 2012/13:73

76

6.6.4Tillämpningen av offentlighetsprincipen

Regeringens bedömning: Rambeslutet hindrar inte utlämnande av allmänna handlingar med stöd av offentlighetsprincipen.

Utredningens bedömning överensstämmer med regeringens. Utred- ningen stöder dock sin bedömning på att rätten att få tillgång till all- männa handlingar inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. elektroniskt.

Remissinstanserna: Flertalet av remissinstanserna kommenterar inte utredningens bedömning. Ekobrottsmyndigheten, Säkerhets- och integri- tetsskyddsnämnden och Åklagarmyndigheten ifrågasätter dock utredning- ens bedömning när det gäller rambeslutets förhållande till offentlighets- principen. De efterlyser en närmare analys av hur offentlighetsprincipen påverkas av rambeslutets bestämmelser. Enligt Säkerhets- och integri- tetsskyddsnämnden gör utredningen en felaktig bedömning i frågan om rambeslutets bestämmelser strider mot allmänhetens rätt att ta del av allmänna handlingar när man hänvisar till att denna rätt inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. automatise- rat. Enligt nämndens bedömning är denna slutsats inte korrekt när det gäller uppgifter som ingår i en strukturerad samling av personuppgifter, t.ex. i ett pappersregister, eftersom vidarebehandling av personuppgifter i ett sådant pappersregister omfattas av rambeslutets bestämmelser och den av utredningen föreslagna lagen. Enligt nämndens uppfattning bör det övervägas att i den föreslagna lagen införa en upplysning i förtydligande syfte om att bestämmelserna i lagen inte inskränker allmänhetens rätt att ta del av allmänna handlingar. Ekobrottsmyndigheten anser också att det av den nya lagen bör framgå hur lagen förhåller sig till offentlighetsprin- cipen.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden uppre- par den tidigare framförda synpunkten att det mot bakgrund av kom- plexiteten på området bör införas en särskild bestämmelse i lagen som anger att reglerna i den föreslagna lagen inte hindrar den personuppgifts- behandling som krävs när allmänna handlingar lämnas ut i enlighet med offentlighetsprincipen. Kammarrätten i Sundsvall påpekar att frågan om hur villkor som begränsar möjligheterna att använda uppgifterna förhåller sig till meddelarfriheten inte närmare har berörts och förtjänar att ut- vecklas.

Skälen för regeringens bedömning: Offentlighetsprincipen, som kommer till uttryck i 2 kap. tryckfrihetsförordningen, innebär att en myn- dighet är skyldig att – i den utsträckning sekretess inte hindrar det – läm- na ut allmänna handlingar till den som begär det. Utlämnande av person- uppgifter är en form av personuppgiftsbehandling. I 8 § personuppgifts- lagen har en upplysningsbestämmelse tagits in som klargör att reglering- en i lagen inte hindrar utlämnande av allmänna handlingar.

En fråga som väcks när det gäller rambeslutets regler om vidarebe- handling, är hur dessa förhåller sig till den svenska offentlighetsprin- cipen. Utredningen bedömer att rambeslutet inte utgör något hinder mot rätten att ta del av allmänna handlingar och hänvisar till att rätten att få

tillgång till allmänna handlingar inte innebär en rätt att kräva att uppgif- terna lämnas ut på ett visst sätt, t.ex. automatiserat.

Regeringen kan först konstatera att, även om rambeslutet har störst betydelse när det gäller elektronisk överföring av personuppgifter, rambeslutet gäller också ifråga om manuell behandling av personuppgif- ter, om uppgifterna ingår i ett register. Regleringen är tillämplig även i fråga om andra manuella åtgärder som vidtas med överförda uppgifter om dessa behandlas automatiserat eller i ett register, t.ex. ett utlämnande i pappersform av sådana uppgifter. Motsatsvis är rambeslutet inte till- lämpligt på sådan behandling av överförda uppgifter som är helt manuell och som inte innebär att uppgifterna fogas in i ett register. I likhet med

Ekobrottsmyndigheten, Säkerhets- och integritetsskyddsnämnden och

Åklagarmyndigheten anser regeringen att frågan om rambeslutets förhål- lande till offentlighetsprincipen behöver analyseras närmare.

Rambeslutet omfattar behandling av personuppgifter som överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Om personuppgifter som har erhållits från t.ex. en annan EU- stat i brottsbekämpande syfte, behandlas för andra ändamål än de för vilka de överfördes, är det rambeslutets bestämmelser om vidarebehand- ling som aktualiseras, närmare bestämt artiklarna 3.2 och 11. Vid ett eventuellt utlämnande enligt offentlighetsprincipen av en sådan uppgift, skulle även bestämmelserna om överföring i artiklarna 13 och 14 kunna ha relevans. Samtliga dessa bestämmelser ska emellertid tolkas i ljuset av bl.a. skäl 31, som har tagits in på svenskt initiativ och som anger att prin- cipen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i rambeslutet. Rambeslutet ska således tolkas på ett sätt som innebär att det är förenligt med offentlighetsprinci- pen.

Det kan i sammanhanget nämnas att det även i ingressen till data- skyddsdirektivet finns en klausul som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser genomförs i nationell rätt (skäl 72). Vid genomförandet av dataskyddsdirektivet gjordes be- dömningen att offentlighetsprincipen var förenlig med direktivet (prop. 1997/98:44 s. 47). Vidare följer det av artikel 42 i Europeiska unionens stadga om de grundläggande rättigheterna att rätten till tillgång till hand- lingar, precis som rätten till skydd för den personliga integriteten, är en av unionen erkänd medborgerlig rättighet. Även dessa omständigheter måste beaktas vid tolkningen av rambeslutets bestämmelser.

Mot bakgrund av det anförda är regeringens slutsats att ett utlämnande av allmänna handlingar, som innehåller överförda personuppgifter, i enlighet med offentlighetsprincipen inte strider mot rambeslutet. I sam- manhanget kan det dock noteras att ett sådant utlämnande ofta skulle hindras av det sekretesskydd som denna typ av uppgifter har genom reglerna i offentlighets- och sekretesslagen (2009:400). Dessa bestäm- melser har tillkommit efter en noggrann avvägning mellan intresset av insyn i myndigheternas verksamhet och behovet av skydd för intresset av att förebygga eller beivra brott respektive behovet av skydd för den en- skildes personliga integritet. Av de skäl som anges ovan föranleder ram- beslutet inte något behov av ytterligare inskränkningar av allmänhetens rätt att få ta del av allmänna handlingar.

Prop. 2012/13:73

77

Prop. 2012/13:73 Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyser en särskild bestämmelse i den nya lagen som anger att reglerna i lagen inte hindrar den personuppgiftsbehandling som krävs när all- männa handlingar lämnas ut i enlighet med offentlighetsprincipen. Enligt regeringens mening är en sådan bestämmelse onödig, eftersom det redan av den rådande normhierarkin följer att den nya lagen inte kan tillämpas i strid med grundlag. Dessutom finns i 8 § personuppgiftslagen en upplys- ningsbestämmelse som klargör att regleringen i lagen inte hindrar utläm- nande av allmänna handlingar med stöd av 2 kap. tryckfrihetsförord- ningen. Denna paragraf gäller för alla de myndigheter som är aktuella i detta sammanhang, antingen på grund av uttryckliga hänvisningar i myn- digheternas registerförfattningar eller på grund av att registerförfattning- arna gäller utöver personuppgiftslagen. Regeringen anser därför att det saknas skäl att i den nya lagen införa en sådan bestämmelse som Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyst.

Lagrådet anser att eftersom personuppgiftslagen är subsidiär till annan lag och förordning skulle den föreslagna regleringen om överföring till enskilda kunna läsas så att 8 § personuppgiftslagen inte skulle ”gälla” i förhållande till den nya lagen. För att undvika detta förordar Lagrådet att det i den aktuella paragrafen införs en hänvisning till 8 § personupp- giftslagen. Regeringen har förståelse för Lagrådets synpunkter men kon- staterar att den typ av bestämmelse som föreslås i den nya lagen även finns i andra författningar som inte innehåller någon hänvisning till 8 § personuppgiftslagen. En sådan hänvisning i den föreslagna lagen som Lagrådet efterfrågar skulle därför kunna ge upphov till osäkerhet om vad som gäller i de författningar där en motsvarande hänvisning saknas. En hänvisning skulle även kunna förmedla det felaktiga intrycket att det endast är 8 § och inte andra bestämmelser i personuppgiftslagen som kan komma att aktualiseras vid behandling av uppgifter enligt den nya lagen. Regeringen anser därför att någon sådan hänvisning inte bör införas men att det kan göras tydligare att bestämmelsen inte uttömmande reglerar allt utlämnande. Bestämmelsen bör i övrigt i allt väsentligt utformas i enlighet med Lagrådets förslag.

Vad gäller Kammarrätten i Sundsvalls fråga om hur villkor om an- vändningsbegränsningar förhåller sig till meddelarfriheten bör framhållas att frågan om meddelarfrihet råder beträffande en viss uppgift är något som regleras i tryckfrihetsförordningen, yttrandefrihetsgrundlagen och offentlighets- och sekretesslagen. Eftersom frågan om meddelarfrihet inte har någon direkt anknytning till frågan om personuppgiftsbehandling finns det inget skäl att gå in på den här.

 

6.6.5

Ska internationella åtaganden vara ett särskilt

 

 

ändamål?

 

 

 

Regeringens förslag: I lagen om behandling av uppgifter i Tullver-

 

kets brottsbekämpande verksamhet införs en generell bestämmelse om

 

att Tullverket får behandla uppgifter för att fullgöra förpliktelser som

 

följer av internationella åtaganden. Detta kräver vissa följdändringar i

78

lagen.

 

 

 

Regeringens bedömning: Några andra lagändringar för att förtydliga att uppgifter får behandlas om det följer av internationella åtaganden behövs inte.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår inte några följdändringar i Tullverkets registerförfattning. Däremot föreslår utredningen att internationella åtaganden ska anges som ett särskilt ändamål för behandling även i Kronofogdemyndighetens, Kustbevakningens (då gällande), Skatteverkets och åklagarväsendets registerförfattningar.

Remissinstanserna: Det stora flertalet remissinstanser berör inte ut- redningens förslag i denna del. Tullverket välkomnar dock att den nuva- rande snäva begränsningen till internationellt tullsamarbete i 7 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet ersätts med en generell bestämmelse om förpliktelser som följer av internationella åtaganden. Datainspektionen välkomnar att det i registerförfattningarna införs uttryckliga ändamålsbestämmelser som sär- skilt reglerar behandling av personuppgifter för internationellt samarbete och utbyte av uppgifter. Med utredningens förslag, enligt vilket person- uppgifter får behandlas för att fullgöra förpliktelser som följer av interna- tionella åtaganden, drar Datainspektionen slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Datainspektionen önskar att räck- vidden av de föreslagna ändamålsbestämmelserna förklaras tydligare.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del, utom Datainspektionen som välkomnar förtydligandet att allt informationsutbyte måste ha stöd i en internationell överenskommelse.

Skälen för regeringens förslag och bedömning: Utredningen föreslår att det i Kronofogdemyndighetens, Kustbevakningens, Skatteverkets, Tullverkets och åklagarväsendets registerförfattningar införs bestämmel- ser om personuppgiftsbehandling som följer av myndigheternas inter- nationella åtaganden. Som skäl för detta anger utredningen att det, främst med hänsyn till den enskildes integritet, är angeläget att förtydliga det som redan gäller, nämligen att myndigheterna får behandla personupp- gifter som en följd av internationella åtaganden.

Som utredningen påpekar innehåller polisdatalagen (2010:361) redan en regel av denna innebörd (2 kap. 7 § 3 polisdatalagen). I 3 kap. 2 § 3 kustbevakningsdatalagen (2012:145) finns också en sådan bestämmelse. Både polisen och Kustbevakningen bedriver verksamhet som till stor del innefattar internationellt samarbete. Beträffande dessa myndigheter finns därför ett tydligt behov av att klargöra om personuppgiftsbehandling får ske för att fullgöra internationella förpliktelser. Även Tullverkets verk- samhet består till stor del av internationellt samarbete. Tullverket har därför samma behov som polisen och Kustbevakningen av en tydlig regel som anger att personuppgiftsbehandling får ske för att fullgöra interna- tionella förpliktelser. Den aktuella bestämmelsen i Tullverkets register- författning, 7 § 3 lagen om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet, är emellertid begränsad till uppgifter som Tull- verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt

Prop. 2012/13:73

79

Prop. 2012/13:73

tullsamarbete. Denna begränsning innebär att bl.a. samarbete inom ramen

 

för Tullverkets polisiära befogenheter faller utanför, eftersom lagen

 

(2000:343) om internationellt polisiärt samarbete då tillämpas i stället

 

(prop. 1999/2000:122 s. 28 f.). Även sådant samarbete som regleras i

 

lagen (2000:562) om internationell rättslig hjälp i brottmål (se 2 kap.

 

11 § lagen om internationellt tullsamarbete) och samarbetet enligt lagen

 

(2003:1174) om vissa former av internationellt samarbete i brottsutred-

 

ningar faller, med den nuvarande formuleringen, utanför. Vidare kan en

 

internationell förpliktelse ha sin grund i annat än samarbete och även av

 

det skälet falla utanför tillämpningsområdet för lagen om internationellt

 

tullsamarbete (se 1 kap. 1 § nämnda lag). Eftersom Tullverkets register-

 

författning gäller i stället för personuppgiftslagen och innehåller en ut-

 

tömmande uppräkning av för vilka ändamål personuppgifter får behand-

 

las, är det nödvändigt att ändra 7 § 3 lagen om behandling av uppgifter i

 

Tullverkets brottsbekämpande verksamhet om informationsutbyte över

 

gränserna ska kunna utvecklas. Tullverket välkomnar också det tydliggö-

 

rande av bestämmelsen som utredningen föreslår. Regeringen instämmer

 

således i utredningens bedömning att det i lagen om behandling av per-

 

sonuppgifter i Tullverkets brottsbekämpande verksamhet bör införas en

 

generell bestämmelse om personuppgiftsbehandling för att fullgöra inter-

 

nationella åtaganden.

 

Vissa ytterligare förändringar är nödvändiga för att ge ändringen i

 

7 § 3 genomslag i resten av lagen, men behovet av sådana följdändringar

 

berörs inte av utredningen. Ändringar bör enligt regeringens mening

 

göras i 15 § (behandling av uppgifter som har samband med internatio-

 

nella åtaganden), 19 § (vad som får behandlas i tullbrottsdatabasen) och

 

21 § (tillåtna sökningar). Anpassningar av 15 och 19 §§ bör göras genom

 

att man ändrar hänvisningarna till tullsamarbete till hänvisningar till

 

internationella åtaganden. I 21 § regleras vilka sökbegrepp som får

 

användas och för vilka syften. Andra stycket föreskriver vissa undantag

 

från begränsningarna i första stycket. Det bör framgå att första stycket

 

inte heller gäller vid sökning som krävs för att Tullverket ska kunna

 

fullgöra förpliktelser som följer av internationella åtaganden. Genom

 

dessa ändringar ges uttryckligt stöd för den behandling som Tullverket

 

kan vara förpliktat att utföra genom internationella åtaganden.

 

Lagrådet anser att en snävare avgränsning av den personkrets som

 

föreslås i 15 § andra stycket lagen bör övervägas, eftersom förslaget

 

innebär att en vidare personkrets än den som ansvarar för verksamhet

 

enligt 7 § 3 får tillgång till överförda eller tillgängliggjorda uppgifter.

 

Förslaget i lagrådsremissen innebär att personkretsen ändras från ”perso-

 

ner som arbetar med tullsamarbete” till ”personer som arbetar med inter-

 

nationella åtaganden”. Inledningsvis kan noteras att 15 § redan i dag har

 

en vidare lydelse än 7 § 3. Bestämmelserna kan dock sägas höra ihop

 

med varandra då de båda snävar in möjligheten att behandla eller få till-

 

gång till uppgifter för nu aktuellt syfte. Skälet till att 7 § 3 bör ändras är

 

att den nuvarande ändamålsbestämmelsen är så snävt utformad att den

 

inte ens täcker hela det internationella samarbete som Tullverket är för-

 

pliktat att medverka i genom bl.a. Sveriges medlemskap i EU. Syftet med

 

den följdändring som görs i 15 § är endast att åstadkomma samma för-

 

hållande mellan 7 § 3 och 15 § som dessa bestämmelser har i dag. Per-

80

sonkretsen i 15 § utvidgas således inte i förhållande till 7 § 3. Regeringen

anser därför inte att det finns något skäl att avgränsa personkretsen på annat sätt än vad som föreslås i lagrådsremissen.

När det gäller övriga myndigheters registerförfattningar gör regeringen en annan bedömning än utredningen. Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet har redan komplet- terats med en ändamålsbestämmelse om fullgörande av åliggande som följer av ett för Sverige bindande internationellt åtagande (2 kap. 2 §; se prop. 2011/12:15 s. 33 f.). Detsamma gäller, som nyss nämnts, Kustbe- vakningens registerförfattning.

Åklagarväsendets registerförfattningar och registerförfattningarna för domstolarna har formen av förordningar. Regeringen kommer att över- väga om det ska införas motsvarande förändringar i dessa förordningar.

Vad beträffar Skatteverket, gör regeringen följande bedömning. Skat- teverkets brottsbekämpande verksamhet är av begränsad omfattning. Utredningens förslag bygger inte på någon närmare analys av i vilken ut- sträckning myndigheten har ett faktiskt behov av att i sin brottsbekäm- pande verksamhet kunna behandla uppgifter på grund av internationella förpliktelser. Den analys som görs i betänkandet är enligt regeringens mening inte tillräcklig för att i detta sammanhang kunna läggas till grund för ändring av Skatteverkets registerförfattning. Regeringen har som tidigare nämnts (avsnitt 4.8.3) gett Skatteverket i uppdrag att se över lagen i fråga och att då bl.a. analysera verkets behov av att kunna be- handla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser.

Datainspektionen önskar att räckvidden av de ändamålsbestämmelser som föreslås ska förklaras tydligare. Datainspektionen drar av utredning- ens förslag slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Inspektionen återkommer med samma synpunkt i remissvaret över utkastet till lagrådsremiss. Regeringens avsikt är inte att den före- slagna regleringen ska tolkas på detta sätt. För det första är inte alla inter- nationella åtaganden formaliserade. Det stämmer alltså inte att regle- ringen utesluter informellt samarbete. Vilka former av samarbete som förekommer styrs inte av dataskyddsregler. Informationsutbyte kan tvärtom ske på många olika grunder och tekniska sätt. För det andra innehåller ett flertal internationella överenskommelser bestämmelser såväl om obligatoriskt som spontant informationsutbyte. Endast vissa av dessa reglerar förutsättningarna och formerna för informationsutbytet. I förarbetena till polisdatalagen (2010:361) anges som exempel på inter- nationella åtaganden som omfattas av den lagen dels folkrättsliga för- pliktelser i form av multilaterala och bilaterala överenskommelser, dels det samarbete som äger rum inom ramen för Interpol (prop. 2009/10:85 s. 109 f.). Om informationsutbytet utgör ett led i fullgörande av interna- tionella åtaganden ger således generellt utformade ändamålsbestämmel- ser stöd för personuppgiftsbehandlingen även om det inte finns någon formell överenskommelse om att just den särskilda informationen får överföras.

Det förtydligande som nu föreslås i 7 § 3 lagen (2005:787) om be- handling av uppgifter i Tullverkets brottsbekämpande verksamhet, medför en generell rätt för Tullverket att behandla personuppgifter en- bart på grund av förpliktelser som följer av internationella åtaganden, oavsett om informationsutbytet avser brott eller brottslig verksamhet

Prop. 2012/13:73

81

Prop. 2012/13:73 och oberoende av om informationsöverföringen är ett svenskt intresse eller inte. Ett exempel är det samarbete som sker med stöd av lagen om internationellt tullsamarbete. Inom ramen för det nu aktuella ändamålet kan även mer informella kontakter tas, om dessa har stöd i internationella åtaganden. Regleringen begränsar inte hur informations- utbytet får ske.

6.7Villkor för användningen av uppgifter

6.7.1Villkor som ställs upp av utländska organ

Regeringens förslag: Svenska myndigheter ska följa villkor som ställts upp av den som överför uppgifterna eller gör dem tillgängliga, oavsett vad som annars är föreskrivet i lag eller annan författning.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår även att villkor om att den enskilde inte får informeras om behandlingen samt att alla villkor om gallringsfrister ska regleras i lag.

Remissinstanserna: Utredningens förslag i denna del kommenteras inte av remissinstanserna, med undantag för Svea hovrätt som instämmer i bedömningen att det finns anledning att införa bestämmelser om an- vändningsbegränsningar i den nya lagen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Sveriges advokatsamfund delar inte regeringens bedömning att en reglering som rör uppställda villkor för hur länge upp- gifter får behandlas kan placeras i förordning, utan anser att samtliga frågor ska regleras i lag.

 

Skälen för regeringens förslag

 

Bakgrund

 

När en utländsk myndighet överför personuppgifter till en svensk myn-

 

dighet är det inte ovanligt att den utländska myndigheten ställer upp vissa

 

villkor för hur personuppgifterna får användas. Det kan handla om för

 

vilka ändamål uppgifterna får användas, till vilka personer, myndigheter

 

och organ som uppgifterna får överföras och under hur lång tid uppgif-

 

terna får bevaras etc.

 

Det finns flera författningar som innehåller regler om vad som gäller

 

när en svensk myndighet erhåller uppgifter från en utländsk myndighet

 

och det ställs villkor för hur uppgifterna får användas. Dessa författ-

 

ningar är bl.a. lagen (2000:343) om internationellt polisiärt samarbete,

 

lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen

 

(2000:1174) om vissa former av internationellt samarbete i brottsutred-

 

ningar och lagen (2000:1219) om internationellt tullsamarbete. Enligt

 

alla dessa lagar är svenska myndigheter skyldiga att följa de villkor som

 

ställs av en utländsk myndighet (eller mellanfolklig organisation) i fråga

 

om hur lämnad information få användas, även om villkoren skulle stå i

 

strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående till-

82

lämpningen).

Allmänna utgångspunkter för regleringen

I artikel 12.1 i rambeslutet föreskrivs en skyldighet för den överförande staten att informera mottagaren av personuppgifterna om eventuella sär- skilda begränsningar enligt den överförande statens lagstiftning i fråga om utbyte av personuppgifter mellan nationella myndigheter. Mottagaren är skyldig att se till att dessa begränsningar för behandling följs. Enligt artikel 12.2 får den överförande medlemsstaten inte tillämpa några andra begränsningar än de som gäller motsvarande nationella överföringar.

Utredningen föreslår att både punkt 1 och 2 ska genomföras genom en särskild bestämmelse i den nya lagen.

I dag finns det, inom det nu aktuella området, bestämmelser om att svenska myndigheter ska följa villkor som ställts upp av annan stat i 5 kap. 1 § lagen om internationell rättslig hjälp i brottmål, 3 § lagen om internationellt polisiärt samarbete, 4 kap. 2 § lagen om internationellt tullsamarbete och 5 § lagen om vissa former av internationellt samarbete i brottsutredningar. Författningarna i fråga reglerar också svenska myn- digheters möjlighet att ställa villkor för användningen när svenska upp- gifter överförs. Frågan är då om artikel 12 kan genomföras genom an- passning av dessa bestämmelser.

De nu aktuella författningarna reglerar i och för sig samarbete över gränserna, men gäller gentemot alla stater, alltså inte bara EU-stater. Författningarna ålägger inte heller svenska myndigheter att ställa villkor, i motsats till rambeslutet. Lagarna tillämpas dessutom bara av vissa myndigheter. Lagen om internationell rättslig hjälp i brottmål tillämpas i huvudsak av åklagarväsendet och domstolarna, medan lagen om inter- nationellt polisiärt och straffrättsligt samarbete främst tillämpas av poli- sen, Tullverket och Kustbevakningen. Rambeslutet gäller generellt för uppgifter som behandlas för polisiärt eller straffrättsligt samarbete, oav- sett vilken myndighet som utför behandlingen. Detta medför att t.ex. Kronofogdemyndigheten och Skatteverket, vilka normalt inte tillämpar någon av de nämnda lagarna, omfattas av rambeslutets tillämpningsom- råde. Vidare är lagen om internationell rättslig hjälp i brottmål begränsad till överföring som sker mellan stater, medan rambeslutet även omfattar överföring från och till EU-organ och EU-informationssystem.

Detta medför enligt regeringens mening att artikel 12 i rambeslutet bör genomföras i den nya lagen. Liksom Svea hovrätt instämmer regeringen således i utredningens bedömning att det behövs en reglering i den nya lagen av vilka användningsbegränsningar som ska gälla i fråga om upp- gifter som en svensk myndighet har erhållit från en annan medlemsstat, ett EU-organ eller ett EU-informationssystem.

Regleringen bör dock utformas på annat sätt än vad utredningen har föreslagit. För det första bör det framgå av bestämmelsen att den riktar sig till svenska myndigheter. Vidare bör bestämmelsen utformas på samma sätt som bestämmelsen om lagens tillämpningsområde, dvs. den bör knyta an till verksamheterna att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrätts- liga påföljder (jfr avsnitt 6.3), inte till vissa utpekade myndigheter.

Artikel 12.2 sätter gränser för vilket innehåll sådana villkor som ställs upp av den som överför personuppgifter får ha. Eftersom denna del av artikeln, såvitt gäller svenska myndigheter, handlar om vilket innehåll

Prop. 2012/13:73

83

Prop. 2012/13:73 villkor som ställs upp av svenska myndigheter får ha, återkommer rege- ringen till frågan i avsnitt 6.7.2.

Villkor för hur länge uppgifterna får behandlas

Enligt artikel 9.1 i rambeslutet får den som överför eller gör en uppgift tillgänglig meddela tidsfrister för lagring av uppgifterna efter vilka mot- tagaren ska radera eller blockera uppgifterna, eller kontrollera om upp- gifterna fortfarande behövs. Detta ska dock inte gälla om uppgifterna vid utgången av tidsfristen behövs för pågående utredning, lagföring av brott eller verkställighet av straffrättslig påföljd. Om den överförande myndig- heten inte har angett någon specifik tidsfrist, ska de principer för hur länge uppgifter får behandlas som anges i artiklarna 4 och 5 tillämpas.

Utredningen föreslår att artikel 9.1 ska genomföras genom en särskild bestämmelse i den nya lagen. Av integritetsskyddsskäl anser utredningen att skyldigheten att följa av andra stater angivna frister bara ska gälla om fristen är kortare än den frist som annars skulle gälla enligt svensk lag. I övrigt bedömer utredningen att artikeln inte kräver några författningsänd- ringar.

Regeringen instämmer i huvudsak i utredningens bedömning vad gäller behovet av att reglera villkor för hur länge uppgifter får behandlas, men anser att det till viss del kan göras i förordning. Av lagen bör framgå att en svensk myndighet – trots villkor om gallring – får fortsätta att be- handla uppgifter som behövs för pågående utredning, lagföring eller verkställighet. Sveriges advokatsamfund anser att alla regler som rör villkor för hur länge uppgifter får behandlas bör placeras i lag. Gallrings- regler av motsvarande slag finns i dag såväl i lag som i förordning. Enligt regeringens uppfattning bör mer detaljerade regler om hur uppställda frister ska iakttas regleras i förordning i stället för i lag, vilket regeringen avser att göra.

Villkor om att den registrerade inte ska informeras

Artikel 16, som reglerar den enskildes rätt till information om person- uppgiftsbehandling rörande honom eller henne, föreskriver i punkt 2 att den som överför personuppgifter får kräva att den registrerade inte ska informeras om behandlingen. Om ett sådant villkor har ställts upp får mottagaren av de överförda uppgifterna inte informera den registrerade utan medgivande från den som överförde uppgifterna.

Utredningen föreslår att en bestämmelse om detta ska införas i den nya lagen. Remissinstanserna framför inte några invändningar mot förslaget i denna del.

Regeringen instämmer i utredningens bedömning av behovet av regle- ring. Enligt regeringens uppfattning är dock bestämmelsen av sådant slag att den bör regleras i förordning, vilket regeringen avser att göra.

84

6.7.2Uppgifter som överförs av svenska myndigheter till en annan medlemsstat m.m.

Regeringens förslag: En svensk myndighet får, vid överföring eller tillgängliggörande av personuppgifter som omfattas av rambeslutets tillämpningsområde, ange villkor för hur personuppgifterna får använ- das av mottagaren. Ett sådant villkor får inte innehålla andra begräns- ningar än sådana som får föreskrivas vid överföring inom Sverige. Villkoren får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen redovisar inget förslag om att svenska myndigheter ska kunna ställa upp villkor till skydd för personuppgifter som överförs till en annan medlemsstat i EU eller annan stat som omfattas av rambeslutets tillämp- ningsområde eller till ett EU-organ eller ett EU-informationssystem.

Remissinstanserna: Uppsala universitet påpekar att utredningen utan att lämna någon närmare motivering har bedömt att frågan om vilka villkor som kan ställas upp av svenska myndigheter vid överföring av data till andra stater ligger utanför utredningens uppdrag. Universitetet påpekar vidare att utredningen konstaterar att det redan i dag är möjligt att meddela användningsbegränsningar generellt, och hänvisar till prop. 2009/10:177 om genomförande av delar av Prümrådsbeslutet, utan att diskutera huruvida den befintliga regleringen skiljer sig från den regle- ring som utredningen föreslår. Universitetet framhåller även att frågan om vad som gäller när en svensk myndighet har erhållit uppgifter från en medlemsstat och i sin tur överför uppgifterna till en annan medlemsstat inte behandlas av utredningen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: Artikel 12 i rambeslutet, som ålägger den överförande staten att underrätta mottagaren om begränsningar i fråga om behandlingen av de överförda personuppgifterna, är avsedd att gälla också för svenska myndigheter. Skyldigheten att underrätta motta- garen om begränsningar som gäller är enligt regeringens mening viktig från integritetssynpunkt, eftersom den bidrar till att begränsa behand- lingen av personuppgifter.

När en svensk myndighet överför uppgifter till en myndighet i en annan stat finns det ibland skäl att ange villkor som begränsar använd- ningen av uppgifterna, t.ex. hur länge uppgifterna får användas. Samma behov kan föreligga när uppgifter överförs till ett EU-organ. Nu gällande reglering täcker, som framgår av avsnitt 6.7.1, inte rambeslutets hela tillämpningsområde. Dessutom ställer rambeslutet – i motsats till den befintliga regleringen – krav på att eventuella villkor inte får vara dis- kriminerande för en utländsk mottagare (artikel 12.2). Möjligheterna att ange villkor är således mer begränsade enligt rambeslutet än enligt den befintliga lagstiftningen. Av bl.a. nu angivna skäl bör den nya lagen enligt regeringens mening även reglera svenska myndigheters rätt att ange villkor.

Prop. 2012/13:73

85

Prop. 2012/13:73 Ett exempel på när behov av villkor kan föreligga är när materialet som överlämnas är aktuellt i en pågående svensk förundersökning. Om utred- ningen är i ett känsligt skede kan åklagaren vilja ha garantier för att materialet inte används på ett sätt som kan skada utredningen, dvs. att den förundersökningssekretess som gäller ska respekteras av mottagaren. Ett annat exempel är att handlingar som ett svenskt företag åläggs eller är berett att förete innehåller affärshemligheter, för vilka sekretess gäller enligt svensk rätt och vilkas röjande skulle kunna skada företaget. I så- dana fall bör villkor ställas upp för att skydda den till vars skydd sek- retessen gäller. Ett tredje exempel är när material överlämnas som in- hämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Enligt svenska regler ska sådant material förstöras senast när domen vunnit laga kraft. Om material av det slaget överlämnas finns det skäl att ställa villkor om att det ska förstöras när det rättsliga förfarandet är avslutat i den andra staten.

Rambeslutet föreskriver att villkor som ställts vid överföring till en ut- ländsk mottagare inte får innehålla andra begränsningar än sådana som gäller vid motsvarande nationella överföringar. Detta får förstås så att det inte är tillåtet att ställa upp andra villkor än sådana som finns i det svenska regelsystemet om bl.a. sekretess och gallring. Denna begräns- ning bör för tydlighetens skull framgå direkt av lagen. Villkoren får givetvis inte heller stå i strid med Sveriges internationella åtaganden. Så kan t.ex. vara fallet om informationen härrör från tredjeland och det gäl- ler särskilda villkor för svenska myndigheters rätt att använda informa- tionen i fråga. I sådana fall torde det, även om överföringen godtas av ursprungsstaten, stå i strid med åtagandet att inte ställa upp samma vill- kor i förhållande till den nya mottagaren.

Lagrådet framför uppfattningen att frågan om användningsbegräns- ningar och den praktiska hanteringen av dem kan vara värda en grundli- gare analys och närmare överväganden, men att det aktuella lagstift- ningsärendet inte är den naturliga platsen för det. Regeringen delar Lagrådets uppfattning att principiella frågor om användningsbegräns- ningar inte bör behandlas i detta sammanhang.

6.8Behandling av känsliga personuppgifter

Regeringens bedömning: Några lagstiftningsåtgärder bör inte vidtas med anledning av rambeslutets bestämmelser om behandling av käns- liga personuppgifter.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen föreslår att regleringen om behandling av känsliga personuppgifter i myndigheternas registerförfattningar görs enhetlig, vilket utredningen betecknar som enbart en språklig justering. Den for- mulering utredningen föreslår ska väljas är att behandling av känsliga personuppgifter får ske endast om den är absolut nödvändig.

Remissinstanserna: Flertalet remissinstanser har inga invändningar mot utredningens förslag i denna del. Svea hovrätt avstyrker dock de

föreslagna ändringarna i registerförfattningarna när det gäller införandet

86

av ordet ”absolut” och anser att ordet ”absolut” framför ordet ”nödvän- digt” inte behövs för att svensk rätt ska uppfylla kraven i dataskyddsram- beslutet. Domstolsverket avstyrker också den generella ändring som föreslås i domstolarnas registerförordningar när det gäller behandling av känsliga personuppgifter. Verket påpekar att ändringen från ”nödvän- digt” till ”absolut nödvändigt” synes innebära en skärpning som även kommer att träffa uppgifter som inte omfattas av dataskyddsrambeslutet. Skatteverket framhåller att känsliga personuppgifter som inkommer till samverkande brottsbekämpande myndigheter bör kunna behandlas på likartat sätt hos dessa myndigheter, eftersom det kan vara förenat med praktiska svårigheter om reglerna skiljer sig åt eller är otydliga. Skatte- verket anser därför att de brottsbekämpande enheterna hos verket ska ha samma förutsättningar att behandla känsliga personuppgifter som polis och åklagare och att lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar bör ändras i detta avse- ende. Göteborgs tingsrätt efterlyser ett klargörande av huruvida den före- slagna ändringen av 7 § andra stycket förordningen (2001:639) om regi- sterföring m.m. vid de allmänna domstolarna med hjälp av automatiserad behandling innebär en skärpning av när känsliga personuppgifter får behandlas vid handläggningen av mål. Tingsrätten ifrågasätter också om den skärpning som föreslås när det gäller hanteringen av känsliga per- sonuppgifter är nödvändig för att Sverige ska leva upp till bestämmel- serna i dataskyddsrambeslutet. Uppsala universitet anser att det är bra att språkliga justeringar görs för att få till stånd en enhetlig terminologi i de skilda registerförfattningarna som överensstämmer med rambeslutets krav (oundgängligen nödvändigt ändras till absolut nödvändigt). Univer- sitetet delar utredningens bedömning att detta medför en förstärkning av integritetsskyddet. Förslaget att ändra nödvändigt till absolut nödvändigt, får däremot anses innebära mer än enbart en språklig justering. Änd- ringen medför en skärpning av reglerna, och kan även leda till att rutiner behöver ändras hos myndigheterna. Universitetet anser också att det är en brist att utredningen inte tydligt redovisar vilka bestämmelser i svensk lagstiftning som kan anses uppfylla kravet i dataskyddsrambeslutet på att känsliga personuppgifter bara får behandlas om den nationella lagstift- ningen ställer upp tillräckliga skyddsåtgärder.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning

Inget behov av ändringar

Artikel 6 i rambeslutet innehåller regler om hur s.k. känsliga personupp- gifter får behandlas. Som känsliga personuppgifter räknas uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filoso- fisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt artikel 6 får sådana uppgifter bara behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga och adekvata skyddsåtgärder.

Prop. 2012/13:73

87

Prop. 2012/13:73

Utredningen bedömer att några ändringar inte behöver göras i person-

 

uppgiftslagen med anledning av rambeslutets bestämmelser om känsliga

 

personuppgifter. Utredningen föreslår däremot att regleringen i myndig-

 

heternas registerförfattningar görs enhetlig så att det i alla registerförfatt-

 

ningar uppställs samma krav, nämligen krav på att behandlingen ska vara

 

”absolut nödvändig” för att känsliga personuppgifter ska få behandlas.

 

I all lagstiftning om behandling av personuppgifter har behandling av

 

känsliga personuppgifter getts en särställning. Enligt 13 § personupp-

 

giftslagen (1998:204) är det i princip förbjudet att behandla känsliga

 

personuppgifter utan enskildas samtycke. Definitionen av vad som är

 

känsliga personuppgifter är densamma i personuppgiftslagen som i ram-

 

beslutet. Om sådana uppgifter måste behandlas i offentlig verksamhet

 

utan samtycke, behövs det särskilda och avvikande bestämmelser för i

 

vilka fall detta får göras. De olika registerförfattningar som gäller för nu

 

aktuella verksamhetsområden innehåller särskilda regler om behandling

 

av känsliga personuppgifter. I vissa av författningarna föreskrivs att om

 

personuppgifter om en person behandlas på annan grund så får känsliga

 

personuppgifter behandlas om det är nödvändigt för syftet med behand-

 

lingen. I andra registerförfattningar föreskrivs att känsliga uppgifter i

 

motsvarande situation får behandlas endast om det är oundgängligen eller

 

absolut nödvändigt. Registerförfattningarna för domstolarna anger att

 

känsliga personuppgifter får behandlas om de behövs för handläggningen

 

av målet eller ärendet, medan 2 kap. 10 § polisdatalagen och 2 kap. 7 §

 

kustbevakningsdatalagen är generellt formulerade och föreskriver att

 

känsliga personuppgifter får behandlas om det är ”absolut nödvändigt”.

 

Några remissinstanser, däribland Uppsala universitet och Göteborgs

 

tingsrätt, ifrågasätter om inte en ändring från ”nödvändig” till ”absolut

 

nödvändig” i vissa författningar innebär en skärpning. Uppsala universi-

 

tet anser att de föreslagna ändringarna är bra eftersom de medför en en-

 

hetlig terminologi, medan Göteborgs tingsrätt ifrågasätter om den före-

 

slagna ändringen är nödvändig för att uppfylla kraven i rambeslutet.

 

Som framgår av redogörelsen ovan är bestämmelserna om behandling

 

av känsliga personuppgifter formulerade på något olika sätt i registerför-

 

fattningarna. Gemensamt för dem alla är dock att de är avsedda att ge ett

 

extra starkt skydd för känsliga personuppgifter. Den fråga som först

 

måste besvaras är om rambeslutet kräver en ändring av befintliga be-

 

stämmelser om känsliga personuppgifter för att artikel 6 i rambeslutet

 

ska vara uppfylld. Regeringen anser att så inte är fallet. Unionsrätten

 

kräver inte att rambeslut införlivas ordagrant i nationell rätt utan enbart

 

att ändamålet med regleringen uppfylls. Vissa registerförfattningar

 

använder inte exakt samma formulering som rambeslutet utan föreskriver

 

att känsliga personuppgifter får behandlas om det är ”nödvändigt” i stäl-

 

let för om det är ”absolut nödvändigt”. Även om inte rambeslutets exakta

 

formulering används, framgår det tydligt av författningarna att behand-

 

ling av känsliga personuppgifter aldrig får ske om det inte finns tillräck-

 

liga sakliga skäl som gör behandlingen nödvändig i det enskilda fallet.

 

Härtill kommer att flera av bestämmelserna i registerförfattningarna

 

ställer upp som extra krav att behandling inte får ske enbart på grundval

 

av känsliga personuppgifter. Enligt regeringens mening uppfyller därför

 

svensk rätt redan i dag kraven i artikel 6, en uppfattning som delas av

88

Svea hovrätt och Göteborgs tingsrätt. Eftersom såväl domstolarnas som

åklagarväsendets registerförfattningar är föremål för översyn finns det inte någon anledning att inom ramen för detta lagstiftningsärende genom- föra ändringar som enbart syftar till att skapa en enhetlig reglering. De av utredningen föreslagna justeringarna av vissa paragrafer som reglerar behandlingen av känsliga personuppgifter bör därför enligt regeringens mening inte genomföras.

I sammanhanget bör också framhållas att EU-kommissionen nyligen har lagt fram ett förslag till dataskyddsreform som, om det antas, kom- mer att kräva en översyn av nu aktuella registerförfattningar. Även om regeringen har förståelse för Uppsala universitets synpunkt att det är en fördel med ett enhetligt språkbruk i registerförfattningarna bör således den frågan lösas i ett större sammanhang.

Uppsala universitet har också efterlyst en redovisning av vilka be- stämmelser i svensk lagstiftning som kan anses uppfylla dataskyddsram- beslutets krav på att känsliga personuppgifter bara får behandlas om den nationella lagstiftningen ställer upp tillräckliga skyddsåtgärder. Rege- ringen vill i detta sammanhang framhålla att kravet på tillräckliga skyddsåtgärder i den nationella lagstiftningen avser regelsystemet i stort. I en stat som saknar ett tillfredsställande regelsystem för behandling av personuppgifter ska det alltså inte vara tillåtet att behandla känsliga per- sonuppgifter, även om det i det enskilda fallet kan vara nödvändigt. Sverige har med personuppgiftslagen och de omkring 200 registerförfatt- ningarna ett väl utvecklat system för skydd av personuppgifter, där käns- liga personuppgifter har ett särskilt starkt skydd. Exempel på regler i detta system som bidrar till skydd är bl.a. regler om sökbegränsningar och åtkomstbegränsningar, krav på loggning samt gallringsregler.

Användningen av begreppet ras

Enligt artikel 6 räknas som känslig personuppgift bl.a. ”uppgifter som avslöjar ras eller etniskt ursprung”. Användningen av begreppet ras i bl.a. dataskyddsförfattningar har varit föremål för diskussioner i olika sam- manhang.

Enligt EU:s officiella ståndpunkt (EGT C 152, 27.05.1996, s. 57) bör begreppet ras undvikas i alla offentliga texter. Ståndpunkten har dock inte iakttagits konsekvent i de av EU antagna rättsakterna. Direktivet mot etnisk diskriminering (direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung) omfattar t.ex. diskrimineringsgrunderna ras och etniskt ursprung. Begreppet ras används också i artikel 21 i Euro- peiska unionens stadga om de grundläggande rättigheterna, som blev rättsligt bindande i samband med att Lissabonfördraget undertecknades.

Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Använd- ningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv (bet. 1997/98:KU29 s. 7). I

Prop. 2012/13:73

89

Prop. 2012/13:73 förarbetena till diskrimineringslagen (2008:567) bedömde regeringen att betänkandet inte gav tillräckligt stöd för att ta bort begreppet ras ur alla författningar (prop. 2007/08:95 s. 120). Regeringen ansåg emellertid att bruket av begreppet i lagtext skulle kunna ge legitimitet åt rasistiska föreställningar och kunna befästa ras som en existerande kategori. Det ansågs därför inte önskvärt att använda begreppet i diskrimineringslagen. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen. Riksdagen antog förslaget (bet. 2009/10:KU19, rskr. 2009/10:304.). I regeringsformen används i stället uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” (2 kap. 12 och 24 §§ regeringsformen). Med ”annat liknande förhållande” avses främst sådana föreställningar om ras som omfattades av tidigare reglering (prop. 2009/10:80 s. 152).

Eftersom unionsrätten inte kräver att ett direktiv eller rambeslut inför- livas ordagrant i nationell rätt utan bara att ändamålet med regleringen uppfylls, finns det inte något hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med något annat begrepp som har samma innebörd. Regeringen anser dock att det inte är lämpligt att, utan särskild utredning, i detta lagstiftningsärende utmönstra ordet ras endast i vissa registerförfattningar och därmed rubba den vedertagna beskriv- ningen av känsliga personuppgifter som finns bl.a. i 13 § personupp- giftslagen. Regeringen har dock för avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning (jfr prop. 2011/12:45 s. 94).

6.9Rätten till information

Regeringens bedömning: Rambeslutets bestämmelser om enskildas rätt till information kräver inte några ändringar eller kompletteringar av lagar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över förslaget i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Artikel 16 i rambeslutet innehål- ler bestämmelser om den registrerades rätt till information vid person- uppgiftsbehandling rörande henne eller honom. Artikel 16.2, som regle- rar villkor om att någon information inte ska lämnas till den registrerade, behandlas i avsnitt 6.7.1. Enligt artikel 16.1 ska medlemsstaterna se till att den registrerade informeras i enlighet med nationell lagstiftning när personuppgifter samlas in eller behandlas. Av skäl 27 framgår att de närmare villkoren för den registrerades rätt att bli informerad ska fast- ställas i nationell lagstiftning. Där framgår vidare att den information som avses kan lämnas på ett generellt sätt, t.ex. genom lagstiftning eller genom offentliggörande av en förteckning över olika typer av uppgiftsbe-

handling.

90

Enligt artikel 17 har den registrerade rätt att på begäran åtminstone få bekräftat av den registeransvarige eller den nationella tillsynsmyndig- heten om uppgifter rörande honom eller henne har överförts eller gjorts tillgängliga och i så fall till vilka mottagare eller mottagarkategorier (artikel 17.1.a), eller en bekräftelse från tillsynsmyndigheten att alla nöd- vändiga kontroller har utförts (artikel 17.1.b).

I svensk rätt finns bestämmelser om rätt för den registrerade att få in- formation om personuppgiftsbehandling i 23–27 §§ personuppgiftslagen, där motsvarande bestämmelser i dataskyddsdirektivet har genomförts. I nämnda bestämmelser anges när information ska lämnas självmant av den som behandlar personuppgifterna, när information ska lämnas efter ansökan av den registrerade, vilken typ av uppgifter som omfattas av informationsskyldigheten och när undantag kan göras från informations- skyldigheten.

Utredningen anser att i den mån 23–27 §§ personuppgiftslagen är till- lämpliga hos de berörda myndigheterna, så kräver artiklarna i rambe- slutet om information till den registrerade inte någon lagstiftningsåtgärd.

Regeringen instämmer i utredningens bedömning. Artikel 16.1 motsva- ras av 23–25 §§ personuppgiftslagen. Dessa paragrafer innehåller fler krav och mer detaljerade bestämmelser beträffande den personuppgifts- ansvariges skyldighet att lämna information än artikel 16.1 i rambeslutet. Artikel 17.1 i rambeslutet motsvaras av 26 § personuppgiftslagen som ställer mer långtgående krav på vilken information som ska lämnas. Om det finns särskild reglering gäller inte 24 § personuppgiftslagen, som ålägger den personuppgiftsansvarige att självmant informera den regi- strerade om behandling som sker när uppgifter har samlats in från någon annan än den registrerade. Sådan särskild reglering finns i myndigheter- nas registerförfattningar. Paragraferna 23, 25 och 26 §§ personuppgifts- lagen är tillämpliga beträffande de myndigheter som berörs av rambe- slutet, antingen genom uttryckliga hänvisningar i registerförfattningarna eller genom att de registerförfattningar som gäller utöver person- uppgiftslagen saknar motsvarande bestämmelser. Svensk rätt uppfyller därför mer än väl kraven i artikel 16.1 och 17.1 rambeslutet. Några lagstiftningsåtgärder är därför inte nödvändiga i dessa delar.

Artikel 17.2 i rambeslutet, som anger för vilka syften undantag får göras från reglerna om den registrerades rätt till information, berörs inte av utredningen. Artikeln föreskriver att medlemsstaterna får anta lagstift- ning som begränsar tillgången till information enligt artikel 17.1 om be- gränsningen är nödvändig för att

a)hindra obstruktion mot officiella eller rättsliga utredningar, förun- dersökningar eller förfaranden,

b)inte inverka menligt på förebyggande, upptäckt, utredning och lag- föring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda allmän säkerhet,

d)skydda nationell säkerhet, eller

e)skydda den registrerades eller andra personers fri- och rättigheter. Frågan är om de regler som enligt svensk lagstiftning ger möjlighet att

göra undantag från skyldigheten att informera den registrerade, är fören- liga med artikel 17.2.

I 27 § personuppgiftslagen föreskrivs att 23–26 §§ samma lag, som reglerar rätten till information, inte gäller om det i lag eller annan författ-

Prop. 2012/13:73

91

Prop. 2012/13:73 ning, eller i beslut som har meddelats med stöd av författning, är före- skrivet att uppgifter inte får lämnas ut till den registrerade. I förarbetena till 27 § personuppgiftslagen sägs bl.a. att bestämmelser om sekretess och tystnadsplikt får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i dataskyddsdirektivet (prop. 1997/98:44 s. 84 f.).

Enligt 8 a § personuppgiftslagen, som bygger på artikel 13 i data- skyddsdirektivet, får regeringen meddela föreskrifter om undantag bl.a. från bestämmelserna om rätt till information, om det är nödvändigt med hänsyn till

a)rikets säkerhet,

b)försvaret,

c)allmän säkerhet,

d)förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,

e)åtal för brott,

f)ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,

g)myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c–f, eller

h)skyddet av fri- och rättigheter.

 

Undantagsgrunderna i 8 a och 27 §§ personuppgiftslagen motsvarar i

 

allt väsentligt de undantagsgrunder som anges i artikel 17.2 rambeslutet.

 

Enligt regeringens mening uppfyller således svensk rätt kraven i artikeln.

 

Utöver registerförfattningarna för de olika myndigheterna och person-

 

uppgiftslagen, finns det ett antal författningar som innehåller särskilda

 

bestämmelser för vissa register. Dessa är bl.a. lagen (1998:620) om be-

 

lastningsregister och lagen (1998:621) om misstankeregister med tillhö-

 

rande förordningar, förordningen (1997:902) om register över strafföre-

 

läggande och förordningen (1998:903) om register över förelägganden av

 

ordningsbot. Även lagen (2000:344) om Schengens informationssystem

 

kan räknas till denna kategori. Lagen om belastningsregister innehåller

 

detaljerade bestämmelser om den enskildes rätt till information om per-

 

sonuppgiftsbehandling i registret, som uppfyller rambeslutets bestäm-

 

melser. Lagen om misstankeregister innehåller också särskilda bestäm-

 

melser om den enskildes rätt till information, men rätten till information

 

är enligt denna författning mer begränsad än motsvarande rätt enligt

 

personuppgiftslagen. Skälet till begränsningarna är att information om

 

misstankar skulle kunna skada den brottsbekämpande verksamheten, ett

 

skäl som överensstämmer med de i artikel 17.2 i rambeslutet angivna

 

undantagen. De övriga författningarna innehåller inga särskilda bestäm-

 

melser om rätt till information. I stället är bestämmelserna i personupp-

 

giftslagen tillämpliga. Som angetts tidigare bedömer regeringen att detta

 

innebär att svensk rätt väl uppfyller kraven i rambeslutet och att det inte

 

finns något behov av lagstiftningsåtgärder när det gäller nu aktuella för-

 

fattningar.

 

Artikel 17.3 i rambeslutet föreskriver att en vägran att lämna informa-

 

tion till den enskilde enligt huvudregeln ska vara skriftlig och innehålla

 

skälen för vägran. Om vägran att lämna information grundas på något av

 

undantagen i artikel 17 behöver några skäl inte anges. Den registrerade

 

ska underrättas om möjligheten att överklaga till den nationella tillsyns-

92

myndigheten, en rättslig myndighet eller till domstol. Bestämmelserna i

artikel 17.3 i rambeslutet kräver inte några lagstiftningsåtgärder. Rege- Prop. 2012/13:73 ringen återkommer i avsnitt 6.11 till rätten att överklaga en myndighets

beslut om information.

6.10Skadestånd, rättelse och sanktioner

6.10.1Skadestånd

Regeringens förslag: Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen ska inte tillämpas på uppgifter som omfattas av den nya lagen.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen berör inte frågan om regleringen i 48 § personuppgiftslagen är förenlig med artikel 19.2 i rambeslutet.

Remissinstanserna yttrar sig inte över förslaget i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag

Skadestånd

Enligt artikel 19.1 i rambeslutet ska var och en som lidit skada till följd av en otillåten personuppgiftsbehandling ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada han eller hon har lidit. Det är inte möjligt att undgå skadeståndsansvar genom att åberopa att behandlingen avser uppgifter som har överförts från annat land och som var felaktiga redan vid överföringen. Däremot kan den skadeståndsskyldige ha rätt till regressvis ersättning från den som över- förde de felaktiga uppgifterna.

Utredningen anser att artikeln inte kräver några ändringar eller tillägg i svensk rätt, med undantag för förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över före- lägganden av ordningsbot. I fråga om dessa författningar föreslår utred- ningen att de kompletteras med hänvisningar till 48 § personuppgiftsla- gen. Som stöd för bedömningen åberopar utredningen regleringen i 48 § personuppgiftslagen. I 48 § personuppgiftslagen föreskrivs att den per- sonuppgiftsansvarige ska ersätta den registrerade för skada och kränk- ning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat.

Regeringen delar utredningens bedömning att 48 § personuppgiftslagen uppfyller kraven i artikel 19.1 i rambeslutet. Eftersom registerförfattning- arna för de myndigheter som är berörda av dataskyddsrambeslutet inne- håller hänvisningar till personuppgiftslagens skadeståndsbestämmelser uppfyller svensk lagstiftning rambeslutets krav i denna del. Förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot, som saknar hänvisningar till personupp- giftslagens bestämmelse om skadestånd, bör som utredningen föreslår

93

Prop. 2012/13:73 kompletteras med sådana hänvisningar. Regeringen avser att vidta dessa förordningsändringar.

Enligt 48 § andra stycket personuppgiftslagen kan ersättningsskyldig- heten jämkas i den utsträckning det är skäligt, om den personuppgiftsan- svarige visar att felet inte berodde på honom eller henne. Någon motsva- rande möjlighet till jämkning av uppkommen skadeståndsskyldighet finns inte enligt dataskyddsrambeslutet. Tvärtom anges i artikel 19.2 att det inte går att undkomma skadeståndsansvar genom att åberopa att felet fanns redan när uppgiften i fråga överfördes. Frågan om jämkningsregeln i 48 § andra stycket personuppgiftslagen är förenlig med rambeslutet diskuterades i propositionen om godkännande av dataskyddsrambeslutet. Där sägs bl.a. att den omständigheten att en myndighet har möjlighet att göra gällande regressansvar mot en utländsk myndighet regelmässigt torde medföra att jämkning inte kommer i fråga (prop. 2008/09:16 s. 56). I propositionen framhölls dock att frågan om den svenska regleringen är förenlig med rambeslutet borde utredas närmare. Utredningen anser – utan någon närmare analys – att det inte finns skäl att ändra reglerna om jämkning av skadestånd.

Regeringen anser att jämkningsmöjligheten i 48 § andra stycket per- sonuppgiftslagen inte är förenlig med artikel 19.2 i rambeslutet. Mot den bakgrunden bör det i den nya lagen föreskrivas att 48 § andra stycket personuppgiftslagen inte gäller för uppgifter som har överförts vid sådant polisiärt eller straffrättsligt samarbete som rambeslutet omfattar. En hänvisning till den bestämmelsen bör införas i lagen (1998:620) om belastningsregister, eftersom avvikande regler i den lagen har företräde framför den nya lagen.

Regressrätt mellan stater

Det andra ledet i artikel 19.2 i rambeslutet reglerar möjligheten till regressrätt mellan stater när skadeståndsansvar har uppkommit på grund av en uppgift som var felaktig redan vid överföringen från en annan stat. Regeringen framhöll i propositionen om godkännande av dataskyddsram- beslutet att staternas regressanspråk är att se som ett folkrättsligt åta- gande som inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att i ett lämpligt sammanhang överväga en reglering av for- merna för handläggningen av sådana regresskrav. Utredningen lämnar inget förslag i frågan under hänvisning till att den bör ses över i ett större sammanhang.

Regeringen instämmer i utredningens bedömning.

6.10.2Rättelse

Regeringens bedömning: Rambeslutets bestämmelser om rättelse kräver inga lagändringar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

94

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Artikel 4 i rambeslutet föreskri- ver som huvudregel att personuppgifter ska rättas om de är felaktiga och raderas eller avidentifieras när de inte längre behövs. I stället för att rade- ra personuppgifterna ska dessa blockeras om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima in- tressen. När det gäller personuppgifter som ingår i ett domstolsbeslut eller akten i samband med utfärdande av ett rättsligt beslut görs i arti- kel 4.4 undantag från dessa regler. Då ska i stället rättelse, radering eller blockering ske i enlighet med de nationella reglerna om rättsliga förfa- randen. I artikel 8 föreskrivs att de behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofull- ständiga eller inaktuella inte överförs eller görs tillgängliga. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovligen ska mottagaren omedelbart underrättas om detta. Enligt arti- kel 18 ska medlemsstaterna fastställa hur den registrerade ska kunna göra anspråk på rätten till rättelse, kontroll av kvaliteten och gallring.

Utredningen anser att artiklarna 4, 8 och 18 inte kräver några ändringar eller tillägg i svensk rätt. Regeringen delar i huvudsak denna bedömning. I 9 § personuppgiftslagen ställs bl.a. krav på att den personuppgiftsansva- rige vidtar alla rimliga åtgärder för att rätta, blockera eller utplåna fel- aktiga eller ofullständiga uppgifter (9 § första stycket h) och ser till att de uppgifter som behandlas är adekvata och relevanta i förhållande till än- damålen med behandlingen (9 § första stycket e) samt att uppgifterna är riktiga och, om det är nödvändigt, aktuella (9 § första stycket g). Härut- över föreskrivs i 28 § personuppgiftslagen att den registrerade har rätt att kräva att den personuppgiftsansvarige agerar i dessa avseenden, t.ex. vidtar rättelse. Personuppgiftslagen innehåller således bestämmelser som till stor del uppfyller kraven enligt artiklarna 4, 8 och 18 i rambeslutet.

I ett avseende saknar dock personuppgiftslagen reglering som motsva- rar den som finns i artikel 8. Det handlar om den del av artikeln som föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovli- gen. Utredningen lämnar inte något förslag i denna del. Enligt regering- ens mening är detta en regel som kräver genomförande för att rambeslu- tet ska anses vara uppfyllt, men regleringen kan göras på förordnings- nivå. Regeringen avser att genomföra den förordningsreglering som krävs.

Regleringen i 28 § personuppgiftslagen omfattar i och för sig även be- handling av personuppgifter som överförts eller gjorts tillgängliga av utländska myndigheter eller EU-organ. Paragrafen gäller dock enligt sin ordalydelse bara när personuppgifter har behandlats i strid med person- uppgiftslagen eller föreskrifter som har utfärdats med stöd av personupp- giftslagen. Detta innebär att personuppgiftsbehandling i strid med be- stämmelser i särskilda registerförfattningar inte omfattas av bestämmel- sen om rättelse i 28 § personuppgiftslagen, om inte registerförfattningen genom en hänvisning uttryckligen anger att 28 § personuppgiftslagen ska gälla (prop. 1997/98:136 s. 78 och 97). Registerförfattningarna för de myndigheter som framförallt berörs av rambeslutet, polisen, åklagarvä- sendet, Tullverket, Kustbevakningen, Kronofogdemyndigheten, Skatte-

Prop. 2012/13:73

95

Prop. 2012/13:73 verket, Kriminalvården och domstolarna, innehåller bestämmelser med denna innebörd. Svensk rätt uppfyller därför artiklarna 4, 8 och 18 i ram- beslutet såvitt gäller berörda myndigheters registerförfattningar.

Däremot saknar förordningen (1997:902) om register över strafföre- lägganden och förordningen (1997:903) om register över förelägganden av ordningsbot hänvisningar till personuppgiftslagens bestämmelse om rättelse. Dessa författningar innehåller inte heller några särskilda regler om rättelse. För att svensk rätt fullt ut ska leva upp till dataskyddsrambe- slutets artikel 18 bör nämnda förordningar förses med bestämmelser om rättelse. Regeringen avser att genomföra dessa förordningsändringar.

6.10.3Sanktioner

Regeringens bedömning: Rambeslutets regler om sanktioner kräver inga lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 24 i rambeslutet ska medlemsstaterna föreskriva effektiva, proportionella och avskräck- ande påföljder för överträdelse av bestämmelser som antagits i enlighet med rambeslutet. I skäl 30 anges bl.a. att det ankommer på varje med- lemsstat att själv fastställa vilka påföljder som ska tillämpas vid överträ- delse av de nationella dataskyddsbestämmelserna.

Utredningen bedömer att artikel 24 inte kräver några ändringar eller tillägg i svensk rätt. Som skäl för bedömningen hänvisar utredningen till tidigare bedömningar av samma fråga.

Regeringen delar utredningens bedömning. Frågor om sanktioner för brott mot dataskyddsbestämmelser har diskuterats dels vid genomföran- det av dataskyddsdirektivet (prop. 1997/98:44 s. 108), dels vid genomfö- randet av rådets beslut 2007/533 av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), prop. 2009/10:86 s. 53 f, dels inför godkännandet av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssy- stemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132 s. 17). I dessa sammanhang konstaterade regeringen att straffbestämmelserna i brotts- balken om dataintrång, tjänstefel och brott mot tystnadsplikt är tillräck- liga för att uppfylla de krav på sanktioner som har ställts. Regeringen gör ingen annan bedömning i detta fall. Artikel 24 i rambeslutet kräver såle- des inte några lagstiftningsåtgärder.

96

6.11Överklagande

Regeringens bedömning: Rambeslutets bestämmelser om överkla- gande kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 20 i rambeslutet ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga nationella lagstift- ningen.

I 52 § första stycket personuppgiftslagen anges att beslut om informa- tion, rättelse och vissa andra beslut får överklagas hos allmän förvalt- ningsdomstol. I registerförfattningarna har frågan om rätt att överklaga en myndighets beslut rörande myndighetens personuppgiftsbehandling hanterats på olika sätt. Polisdatalagen och kustbevakningsdatalagen före- skriver att 52 § första stycket personuppgiftslagen ska gälla vid person- uppgiftsbehandling enligt dessa lagar. Kronofogdemyndighetens, Krimi- nalvårdens och Tullverkets registerförfattningar föreskriver att myndig- hetens beslut om rättelse och om information som ska lämnas enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Registerförfattningen för åklagarväsendet innehåller en hänvisning till förvaltningslagens (1986:223) bestämmelser om överklagande hos all- män förvaltningsdomstol. Beträffande domstolarna föreskrivs att beslut om rättelse eller om att inte lämna information får överklagas. Dessa registerförfattningar innehåller hänvisningar till 33 § förvaltningspro- cesslagen (1971:291) för beslut av domstol. Nu nämnda författningar innehåller således redan regler som uppfyller kraven i rambeslutet.

I 17 § lagen (1999:90) om behandling av personuppgifter vid Skatte- verkets medverkan i brottsutredningar föreskrivs att Skatteverkets beslut om rättelse får överklagas hos allmän förvaltningsdomstol. Bestämmel- sen reglerar således enbart överklagande av beslut om rättelse, men inte beslut om att inte lämna ut information. Utredningen gör bedömningen att det trots detta inte finns någon anledning att föreslå något tillägg i paragrafen och anger som skäl för bedömningen att personuppgiftslagen gäller utöver Skatteverkets registerförfattning.

Regeringen instämmer i bedömningen att det inte finns något behov av att ändra bestämmelsen om överklagande i lagen om behandling av per- sonuppgifter vid Skatteverkets medverkan i brottsutredningar. Visserli- gen skulle den aktuella bestämmelsen kunna betraktas som en special- reglering som gäller i stället för 52 § personuppgiftslagen. Vid antagan- det av lagen om behandling av personuppgifter vid Skatteverkets med- verkan i brottsutredningar uttalades dock att när det gäller andra beslut rörande personuppgiftsbehandling än beslut om rättelse, ska personupp- giftslagens regler om överklagande gälla (prop. 1998/99:34 s. 56 f.). Vid den tidpunkten fanns det inga särskilda regler om överklagande av beslut

Prop. 2012/13:73

97

Prop. 2012/13:73 av personuppgiftsansvarig i personuppgiftslagen. Numera finns dock en sådan bestämmelse i 52 § personuppgiftslagen. Mot denna bakgrund är det enligt regeringens mening inte nödvändigt att införa en bestämmelse om rätt att överklaga beslut om att inte lämna ut information i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsut- redningar.

6.12Överföring av personuppgifter till tredjeland

Regeringens förslag: Personuppgifter får föras över till tredjeland eller ett internationellt organ endast om

den som överfört eller gjort uppgifterna tillgängliga för svensk myndighet medgett att de överförs,

det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straff- rättsliga påföljder,

mottagaren har ansvar för sådan verksamhet, och

den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den av- sedda personuppgiftsbehandlingen.

Om det generella kravet på adekvat skyddsnivå inte är uppfyllt, kan uppgifter ändå få överföras i ett enskilt fall om överföringen är moti- verad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse, eller om mottagaren tillhandahåller tillräckliga skyddsåtgärder i det enskilda fallet.

Om medgivande på grund av tidsbrist inte kan utverkas i förväg, får överföring ändå ske om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att överföring ska få ske utan medgivande endast om det är absolut nödvändigt. Utredningen föreslår ingen reglering av möjlig- heterna att överföra uppgifter till tredjeland eller internationellt organ om det inte finns en adekvat skyddsnivå och inte heller någon reglering av underrättelse till den som överfört eller gjort en personuppgift tillgänglig, vid vidareöverföring till tredjeland eller internationellt organ.

Remissinstanserna framför inga synpunkter på förslaget i denna del. Utkastet till lagrådsremiss överensstämmer i sak med regeringens

förslag.

Remissinstanserna: Lunds universitet anser att den föreslagna lydel- sen av 7 § lämnar ett betydande utrymme för myndighetsskön och saknar den precision som är en förutsättning för en rättssäker tillämpning med tillräcklig förutsebarhet för de involverade personerna. Sveriges advokat- samfund menar att det ur ett integritetsskyddsperspektiv inte framstår som lämpligt med en så generellt utformad undantagsbestämmelse som den föreslagna bestämmelsen i 7 § andra stycket. Samfundet menar också

att det av rättssäkerhetsskäl inte är acceptabelt att utan närmare preci-

98

sering i lag överlämna till rättstillämpningen att avgöra vilka situationer som ska kunna medföra avsteg från krav på adekvat skyddsnivå för över- föring av personuppgifter. Samfundet delar vidare utredningens uppfatt- ning om att det inte finns skäl att införa bestämmelsen i artikel 13.3 i den nya lagen och ansluter sig därför till det förslag som lagts fram av utred- ningen.

Skälen för regeringens förslag: Enligt artikel 13.1 gäller särskilda regler för när personuppgifter, som har erhållits i enlighet med rambe- slutet, överförs till ett tredjeland eller till ett internationellt organ. En sådan överföring får göras bara om den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, överföringen är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställig- het av en straffrättslig påföljd och om mottagaren har ansvar för sådan verksamhet, samt det finns en adekvat skyddsnivå för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det ska vara tillåtet att föra över uppgifter eller göra dessa tillgängliga måste samtliga dessa villkor som huvudregel vara uppfyllda.

Enligt artikel 13.2 finns dock möjlighet att överföra personuppgifter utan ett medgivande i förväg. Enligt artikeln krävs då att överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats väsentliga intressen samt att ett för- handsmedgivande inte hinner utverkas i tid. Om överföring sker utan medgivande ska enligt artikel 13.2 sista meningen den myndighet, vars medgivande till överföring krävs, underrättas utan dröjsmål.

Utredningen föreslår att artikel 13 ska genomföras genom en bestäm- melse i den nya lagen. Utredningens förslag innehåller dock ingen regle- ring som motsvarar artikel 13.2 sista meningen.

Regeringen instämmer i utredningens bedömning att artikel 13 bör genomföras genom en bestämmelse i den nya lagen. Regleringen bör dock utformas på ett något annorlunda sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den riktar sig till berörda svenska myndigheter. Regeringen anser vidare att det är tillräckligt att bestäm- melsen anger att överföring i en akut situation får ske utan medgivande om det är nödvändigt för de i rambeslutet angivna syftena. Bestämmelsen bör också formuleras på motsvarande sätt som regleringen av lagens tillämpningsområde (förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, jfr vad som sägs i avsnitt 6.4.1). Slutligen bör det även finnas en regel om att den som överfört eller gjort en personuppgift tillgänglig ska underrättas om överföringen så snart som möjligt. Det sistnämnda kan dock regleras i förordning.

Artikel 13.3 i rambeslutet innehåller en möjlighet till undantag från kravet på adekvat skyddsnivå. Personuppgifter får i vissa fall överföras trots att kravet på adekvat skyddsnivå inte är uppfyllt. Detta gäller om

a) den nationella lagstiftningen i den medlemsstat som överför uppgif- terna föreskriver detta på grund av

i)den registrerades legitima specifika intressen, eller

ii)legitima faktiska intressen, främst viktiga allmänna intressen, eller

Prop. 2012/13:73

99

Prop. 2012/13:73 b) om tredje staten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mottagaren har en adekvat skyddsnivå. Dessa faktorer behöver enligt regeringens mening inte återspeglas i lagtexten.

Utredningen berör inte denna del av artikel 13 på annat sätt än att det anges att det inte finns skäl att reglera ytterligare delar av artikel 13. Sveriges advokatsamfund delar utredningens uppfattning på denna punkt.

Enligt regeringens mening är det av stor vikt att det regleras vad som gäller i de fall där ett visst tredjeland eller ett internationellt organ inte generellt kan anses ha en adekvat skyddsnivå, men där det i det enskilda fallet är angeläget att, trots detta, kunna föra över vissa uppgifter. Ett exempel på när bestämmelsen kan vara tillämplig är om en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern och denne lyckas fly från lagföring eller verkställighet av straff och kan antas befinna sig i tredjeland från vilket svenska myndigheter begär denne utlämnad. Ett annat exempel är att svenska myndigheter fått uppgifter från en annan EU-stat om att en misstänkt terrorist befinner sig här i landet och att denne identifieras först när han begett sig till tredjeland. Av bestämmelsen om överföring till tredjeland eller internationellt organ bör därför framgå att personuppgifter ska kunna överföras i ett enskilt fall också om ett berättigat intresse hos den som uppgifterna avser eller ett särskilt viktigt allmänt intresse föranleder det, eller om den motta- gande staten eller det internationella organet i det enskilda fallet tillhan- dahåller tillräckliga skyddsåtgärder.

Sveriges advokatsamfund menar vidare att bestämmelsen i den före- slagna 7 § andra stycket är för oprecis och generellt utformad. Lunds uni- versitet framför liknande synpunkter. Regeringen delar inte denna upp- fattning. Det handlar om en begränsad mottagarkrets där endast vissa typer av mottagare ingår. Detta underlättar bedömningen av vilken skyddsnivå som kommer att gälla för uppgifter som överförs. Mot denna bakgrund är den föreslagna preciseringsnivån tillräcklig. Regeringen an- ser dock att det bör tydliggöras att kravet på en adekvat skyddsnivå avser mottagande stat.

6.13Överföring av personuppgifter till enskilda

Regeringens förslag: Personuppgifter får föras över till enskilda om

den som fört över eller gjort uppgifterna tillgängliga har medgett att de förs över,

överföringen är nödvändig för att

a)myndigheten ska kunna fullgöra en författningsenlig uppgift,

b)förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

d)förhindra att enskildas rättigheter allvarligt kränks, och

– inga berättigade intressen hos den som uppgifterna avser hindrar

att de förs över.

100

Det sagda ska dock inte gälla i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen bedömer att det inte är nödvändigt att göra undantag för parter i brottmål. Utredningen föreslår även att regleringen ska begränsas till att gälla överföring till privat part i annan medlemsstat.

Remissinstanserna: Flertalet av remissinstanserna framför inga syn- punkter på förslaget i denna del. Ekobrottsmyndigheten anser att benäm- ningen part inte bör användas i regleringen och att de undantag som anges i skäl 18 i rambeslutet, dvs. att privata parter i brottmål inte om- fattas, bör komma till uttryck i lagen. Datainspektionen anser att avsikten med artikel 14 är att generellt förhindra att uppgifter som härrör från en medlemsstat lämnas ut till privata parter (dvs. varken till den mottagande staten eller till andra medlemsstater) utan att den överförande staten ges tillfälle att samtycka till detta. Utredningen föreslår att det i lagen om användningsbegränsningar införs en bestämmelse som begränsar överfö- ring av uppgifter till en privat part i en annan medlemsstat än Sverige. Det kan enligt Datainspektionens mening ifrågasättas om den formule- ring som utredningen valt för att genomföra artikel 14 är förenlig med rambeslutets intentioner.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens förslag: Enligt artikel 14 i rambeslutet får personuppgifter som överförts från eller gjorts tillgängliga av en behörig myndighet i en annan medlemsstat, eller som annars omfattas av rambe- slutets tillämpningsområde, överföras till enskilda (”privata parter”) endast under vissa förutsättningar. För att överföring av sådana uppgifter ska få ske till enskilda krävs att

a)den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföringen,

b)inga legitima intressen för den registrerade personen hindrar överfö- ringen, och

c)överföringen är absolut nödvändig för att den som överför uppgif- terna till en enskild ska kunna

i)utföra en lagenlig uppgift,

ii)förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,

iii)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iv) förhindra att enskilda personers rättigheter lider allvarlig skada.

I artikel 14 föreskrivs vidare att den som överför uppgifterna till en privat part ska underrätta mottagaren om vilka ändamål uppgifterna ute- slutande får användas för.

Utredningen föreslår att den paragraf som genomför artikel 14 ska vara tillämplig endast när uppgifter som har överförts eller gjort tillgängliga av en annan medlemsstat inom EU förs över till enskild person i en annan medlemsstat.

Prop. 2012/13:73

101

Prop. 2012/13:73

Flertalet av remissinstanserna framför inte några invändningar mot ut-

 

redningens förslag i denna del. Ekobrottsmyndigheten menar dock att de

 

undantag som anges i skälen till rambeslutet bör komma till uttryck i

 

lagbestämmelsen. Datainspektionen ifrågasätter om utredningens förslag

 

är förenligt med rambeslutets intentioner.

 

Regeringen delar utredningens åsikt att artikel 14 behöver genomföras

 

i den nya lagen. Regeringen anser dock att artikeln sätter gränser för

 

överföring till enskilda, oavsett om dessa befinner sig i Sverige eller i

 

någon annan medlemsstat. Detta överensstämmer också med Datain-

 

spektionens tolkning. Regleringen bör därför vara generell.

 

Bestämmelsen bör också i övrigt formuleras på ett något annorlunda

 

sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den

 

riktar sig till berörda svenska myndigheter och den bör utformas på lik-

 

nande sätt som regeln om överföring till tredjeland och internationella

 

organ (se avsnitt 6.12).

 

Artikel 14 handlar enligt sin ordalydelse om privata parter (i den engel-

 

ska versionen ”private parties”). Utredningen föreslår samma formule-

 

ring. Enligt regeringens mening leder begreppet parter tanken till parter i

 

ett avtalsförhållande eller i ett rättegångsförfarande. Det är emellertid inte

 

vad som åsyftas i artikel 14. Enligt regeringens mening bör regleringen i

 

denna del i stället avse överföringar som sker till enskilda. Detta är också

 

– i motsats till ”privat part” – ett vedertaget begrepp i svensk lagstiftning.

 

Av skäl 18 framgår att rambeslutets bestämmelser om överföring av

 

information till privata parter inte omfattar personuppgifter som lämnas

 

från domstolar, polisen eller tullmyndighet till privata parter i brottmål.

 

Som exempel på sådana nämns försvarsadvokater och brottsoffer. Utred-

 

ningen gör bedömningen att detta är en självklar förutsättning i svensk

 

rätt och att det därför inte är nödvändigt att ta in en bestämmelse av den

 

innebörden i den nya lagen. Ekobrottsmyndigheten anser att undantaget

 

bör komma till uttryck i den nya lagen.

 

Även om begreppet privat part byts ut mot begreppet enskild kan den

 

nya bestämmelsens ordalydelse tolkas som att den begränsar möjlighe-

 

terna att lämna ut uppgifter till exempelvis parter och ombud i brottmåls-

 

rättegångar. Regeringen instämmer därför i Ekobrottsmyndighetens be-

 

dömning att det uttryckligen bör framgå av lagen att reglerna om över-

 

föring till enskild inte hindrar utlämnande till bl.a. målsägande och för-

 

svarare i brottmål.

 

Som nämns ovan (avsnitt 6.6.4) ska artikel 14 inte tolkas så att den

 

förhindrar ett utlämnande av överförda uppgifter med stöd av offent-

 

lighetsprincipen. Den typ av uppgifter som avses i rambeslutet är dock

 

som regel sekretessreglerade genom bestämmelserna i 18 kap. och

 

35 kap. offentlighets- och sekretesslagen.

 

I likhet med vad som sägs angående artikel 13 anser regeringen att den

 

bestämmelse som genomför artikel 14 blir tillräckligt tydlig även om den

 

inte förstärks genom begreppet absolut. Det är således enligt regeringens

 

mening tillräckligt att bestämmelsen anger att överföring får ske om det

 

är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verk-

 

samhet, avvärja en omedelbar och allvarlig fara för den allmänna säker-

 

heten eller andra liknande skäl.

 

Lagrådet anser att ett av villkoren i bestämmelsen om överföring till

102

enskilda bör utformas på ett något annorlunda sätt än i lagrådsremissen.

Lagrådet menar att det bör framgå att överföringen är nödvändig för att Prop. 2012/13:73 myndigheten ska kunna fullgöra en författningsreglerad skyldighet. Med

en sådan formulering snävas bestämmelsen in. I den svenska översätt- ningen talas om en uppgift som myndigheten ”lagenligen tilldelats” och i den engelska versionen om ”a task lawfully assigned”. Villkoret bör allt- så även täcka sådana uppgifter som en myndighet kan utföra utan att vara direkt specificerade som skyldigheter i en författning. Uttrycket ”författ- ningsreglerad skyldighet” blir enligt regeringens mening snävare än vad som är avsett. Däremot anser regeringen att den i lagrådsremissen an- vända formuleringen bör ändras så att villkoret omfattar ”författningsreg- lerad uppgift”. I övrigt bör bestämmelsen utformas i enlighet med Lagrå- dets förslag.

6.14Dataskyddsbestämmelser i tidigare antagna rättsakter

Regeringens förslag: Från lagens tillämpningsområde undantas så- dant informationsutbyte som regleras i vissa tidigare EU-rättsakter där det redan införts svenska regler om dataskydd.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår att artikel 28, som reglerar rambeslutets förhållande till tidigare antagna EU-rättsakter, ska genomföras genom en övergångsbe- stämmelse till den nya lagen.

Remissinstanserna: Flertalet remissinstanserna berör inte denna fråga. Svea hovrätt påpekar dock att det i betänkandet inte redogörs för vilka rättsakter som är aktuella eller hur tillämparen ska ta reda på detta.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen instämmer i regeringens bedömning att det är nödvändigt med ett undantag för sådana särskilda bestämmelser som avser dataskydd inom ramen för informationsutbyte enligt SIS, TIS, Prümrådsbeslutet och VIS, mot bakgrund av artikel 28 i rambeslutet. Inspektionen påpekar att artikel 28 anger att om sådana rättsakter innehåller särskilda villkor, ska dessa ha företräde framför rambeslutet. Enligt inspektionen bör undantaget i den föreslagna lagen på motsvarande sätt knyta an till om det finns särskilda dataskyddsbestäm- melser i regleringen av SIS m.m. och den föreslagna bestämmelsen i 3 § andra stycket därför formuleras så att den anger att lagen inte gäller i den mån det finns särskilda dataskyddsbestämmelser i regleringen av in-

formationsutbyte genom SIS, TIS m.m.

Skälen för regeringens förslag

Allmänna utgångspunkter

Enligt artikel 28 ska sådana EU-rättsakter som reglerar utbyte av person- uppgifter mellan medlemsstaterna eller tillgång till EU-informationssys- tem – och som har antagits före rambeslutets ikraftträdande – ha företrä- de framför bestämmelserna i dataskyddsrambeslutet i de delar de först-

103

Prop. 2012/13:73 nämnda innehåller särskilda villkor för hur mottagaren får använda upp- gifterna.

Skäl 39 och 40 i rambeslutet förtydligar innehållet i artikeln. I skäl 39 framhålls att flera tidigare antagna EU-rättsakter innehåller särskilda be- stämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa bestämmelser en komplett uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som reglerar dessa frågor mer detaljerat än rambeslutet. Dataskyddsbestämmelserna i dessa rättsakter, särskilt de som reglerar funktionssättet för Europol, Eurojust, Schengens informa- tionssystem (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör enligt skäl 39 inte påverkas av rambeslutet. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och uppgifter ur nationella fordonsregister i enlighet med det s.k. Prümråds- beslutet.

Enligt skäl 40 är i andra fall räckvidden för dataskyddsbestämmelserna i olika äldre EU-rättsakter mer begränsad. Ofta fastställs det i dessa rätts- akter särskilda villkor för vilka ändamål som en medlemsstat som tar emot personuppgifter får använda uppgifterna, medan det beträffande övriga dataskyddsaspekter hänvisas till dataskyddskonventionen eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för användning eller vidareöverföring av personuppgif- ter som är strängare än villkoren i rambeslutet, ska de förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i rambeslutet gälla.

Utredningen föreslår att regleringen i artikel 28 ska genomföras i form av en övergångsbestämmelse till den nya lagen.

Som Svea hovrätt påpekar redogör utredningen inte för vilka rättsakter som skulle kunna omfattas av den föreslagna övergångsbestämmelsen. Detta framgår inte heller av den föreslagna övergångsbestämmelsen.

Rättsakter inom den f.d. tredje pelaren är inte direkt tillämpliga i med- lemsstaterna, utan ska vid behov genomföras i nationell lagstiftning. Redan av det skälet är det inte möjligt att utforma regleringen på det sätt som utredningen föreslår. Den fråga som aktualiseras är således på vilket sätt de aktuella rättsakterna har genomförts i svensk rätt och vilka even- tuella lagstiftningsåtgärder som krävs för att klarlägga förhållandet mel- lan den föreslagna nya lagen och redan genomförda regleringar.

De EU-rättsakter som har antagits före rambeslutets ikraftträdande och som inom det aktuella området reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem kan något förenklat delas in i sådana som har direkt betydelse för svenska myndig- heter och som har genomförts (eller planeras genomföras) i svensk lag- stiftning och sådana som endast rör EU:s organ eller interna arbete och som inte har medfört några lagstiftningsåtgärder i Sverige.

104

EU-rättsakter som har genomförts eller ska genomföras i svensk lagstift- ning

De EU-rättsakter, antagna före rambeslutets ikraftträdande, som har genomförts eller ska genomföras i svensk lagstiftning och som reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU- informationssystem inom det aktuella området, dvs. rättsakter om poli- siärt och straffrättsligt samarbete inom EU, är följande (underlaget till redovisningen är hämtat från kommissionens material rörande den nya dataskyddsreformen, se Impact assessment on the reform of personal data protection in the EU, Annex III).

1.Konventionen av den 19 juni 1990 om tillämpning av Schengenav- talet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Tysk- land och Frankrike om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna (EUT L 239, 22.9.2000, s. 19; se prop. 1999/2000:61 s. 144 f. och prop. 1999/2000:64 s. 158 f.).

2.Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63; se prop. 2009/10:86). Beslutet har genomförts men lagändringarna börjar gälla först den dag regeringen bestämmer, eftersom systemet ännu inte tagits i drift. Rådets beslut 2005/211/RIF av den 24 februari 2005 om införande av ett antal nya funktioner för Schengens informationssystem, bland annat i kampen mot terrorism (EUT L 68, 15.3.2005, s. 44). Beslutet genomfördes inte på grund av det arbete som kommissionen sedermera inledde med SIS II (se prop. 2006/07:37 s. 5).

3.Konventionen upprättad på grundval av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullför- valtningar (EUT C 24, 23.1.1998, s. 2). Konventionen reglerar sådana uppgifter som utväxlas utanför tullinformationssystemet (TIS). För en närmare redogörelse se prop. 1999/2000:122 s. 45 f.

4.Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (EUT C 197, 12.7.2000, s. 1; se prop. 1999/2000:61 och prop. 2004/05:144).

5.Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europe- isk arresteringsorder och överlämnande mellan medlemsstaterna (EUT L 190, 18.7.2002, s. 1; prop. 2003/04:7). Regleringen innehåller inga bestämmelser om dataskydd, varför dataskyddsrambeslutets bestämmel- ser ska tillämpas.

6.Rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 63, 6.3.2002, s. 1; prop. 2001/02:86).

7.Det s.k. Prümrådsbeslutet, rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för be- kämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1; prop. 2009/10:177 och prop. 2010/11:129).

Rådets beslut 2008/616/RIF av den 23 juni 2008 om genomförande av beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 12), fastställer endast de nödvändiga administ-

Prop. 2012/13:73

105

Prop. 2012/13:73 rativa och tekniska bestämmelserna för genomförandet av Prümrådsbe- slutet och har därför inte föranlett någon lagstiftning.

8. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om för- enklat informations- och underrättelseutbyte mellan de brottsbekäm- pande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89). Rambeslutet har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myn- digheter i Europeiska unionen. Förordningen är även tillämplig på in- formationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott (EUT L 332, 18.12.2007, s. 103).

9. Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till in- formationssystemet för viseringar (VIS) för sökningar för medlemsstater- nas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (EUT L 218, 13.8.2008, s. 129). Arbetet med att genomföra rådsbeslutet i svensk rätt pågår (se Ds 2011:27 angående förslag till genomförande).

De nu aktuella EU-rättsakterna har i huvudsak genomförts i följande författningar:

lagen och förordningen om internationell rättslig hjälp i brottmål,

lagen och förordningen om internationellt polisiärt samarbete,

lagen och förordningen om Schengens informationssystem,

lagen och förordningen om vissa former av internationellt samarbete i brottsutredningar, och

lagen och förordningen om internationellt tullsamarbete.

Dessa författningar innehåller, som tidigare redovisats, framför allt

dataskyddsbestämmelser i form av bestämmelser om användningsbe- gränsningar. Lagen om internationellt polisiärt samarbete och lagen om Schengens informationssystem innehåller vissa ytterligare dataskyddsbe- stämmelser i form av bl.a. ändamålsbegränsningar och gallringsregler.

EU-rättsakter som inte har krävt svensk lagstiftning

Följande EU-rättsakter har antagits före dataskyddsrambeslutet, men har inte krävt någon svensk lagstiftning.

1.Rådets beslut av den 17 oktober 2000 om inrättande av ett sekreta- riat för de gemensamma tillsynsorgan för dataskydd som bildades genom konventionen om upprättandet av en europeisk polisbyrå; Europolkon- ventionen, konventionen om användning av informationsteknologi för tulländamål och konventionen om tillämpning av Schengenavtalet om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna; Schengenkonventionen (EUT L 271, 24.10.2000, s. 1).

2.Rådets beslut av den 17 oktober 2000 om en samarbetsordning för medlemsstaternas finansunderrättelseenheter avseende utbyte av infor- mation (EUT L 271, 24.10.2000, s. 4).

3.Rådets beslut 2009/426/RIF av den 16 december 2008 om förstärk- ning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 138, 4.6.2009, s. 14).

106

Slutsatser

För sådana äldre EU-rättsakter som inte innehåller några dataskyddsbe- stämmelser alls, exempelvis rambeslutet om en europeisk arresteringsor- der, kommer den nya lagen att vara tillämplig.

De tidigare antagna EU-rättsakter som är av den arten att de enligt rambeslutet ska ha företräde framför rambeslutet har, med något enstaka undantag, genomförts i svensk rätt. De speciella dataskyddsregler som dessa rättsakter har gett upphov till förutsätts i dataskyddsrambeslutet kunna fortsätta att tillämpas, om de ingår i ett genomtänkt system för dataskydd. I rambeslutet nämns särskilt informationsutbyte genom Euro- pol, Eurojust, SIS och TIS samt Prümrådsbeslutet.

När det gäller informationsutbyte genom SIS, TIS och Prümrådsbeslu- tet har det införts dataskyddsbestämmelser i svensk rätt. Något skäl att ändra dessa regler med anledning av dataskyddsrambeslutet finns enligt regeringens mening inte. Däremot krävs det att det i den nya lagen anges att den inte ska tillämpas på informationsutbyte som sker genom SIS eller TIS eller med stöd av Prümrådsbeslutet.

Rådsbeslutet om åtkomst till informationssystemet för viseringar (VIS), som är ett EU-informationssystem, innehåller också särskilda dataskyddsregler. Rådsbeslutet har ännu inte börjat tillämpas. Arbetet med att genomföra rådsbeslutet i svensk rätt pågår och det finns därför skäl att redan nu anpassa den nya lagen till regleringen i denna EU-rätts- akt. Av skäl 9 i VIS-rådsbeslutet framgår att man tänkte sig att data- skyddsrambeslutet skulle komma att göras tillämpligt på uppgiftsutbyte med stöd av rådsbeslutet. VIS-rådsbeslutet innehåller emellertid en sådan uppsättning regler om dataskydd som åsyftas i skäl 39. De specifika regler som krävs för att genomföra den EU-rättsakten kan svårligen för- enas med den generella reglering som nu föreslås. Regeringen anser därför att uppgiftsutbyte med stöd av VIS-rådsbeslutet bör undantas från den nya lagens tillämpningsområde.

Om man bortser från informationsutbytet via SIS – som enligt rege- ringens förslag ska undantas från lagens tillämpningsområde – finns det inte några dataskyddsbestämmelser för informationsutbyte med Europol och Eurojust utöver de generella reglerna i lagen om internationellt poli- siärt samarbete och lagen om internationell rättslig hjälp i brottmål. Både Europol och Eurojust är numera EU-myndigheter. Den nya lagen bör gälla för informationsutbyte med dessa EU-organ.

Datainspektionen anser att undantagen i den nya lagen inte bör gälla generellt för informationsutbyte genom SIS, TIS etc., utan endast i den mån det finns särskilda dataskyddsbestämmelser i den reglering som avser sådant informationsutbyte. Även om en sådan lösning i teorin vore att föredra, skulle den enligt regeringens mening leda till en ännu mer komplex lagstiftning. Regleringen av nämnda informationsutbyten har byggts upp utifrån vissa särskilda dataskyddsregler som kompletteras av de vanliga dataskyddsreglerna. Ett fullgott skydd finns således redan när det gäller dessa informationsutbyten. Med hänsyn härtill och då data- skyddsrambeslutet inte ställer krav på att alla dataskyddsregler ska sam- las i en och samma reglering, anser regeringen att den valda lösningen är lämpligare.

Prop. 2012/13:73

107

Prop. 2012/13:73 Lagrådet föreslår att bestämmelsen om undantag för informationsut- byte som regleras i tidigare antagna EU-rättsakter formuleras annorlunda än i lagrådsremissen. Regeringen delar Lagrådets uppfattning att det tydligare bör framgå att undantaget inte bara omfattar det initiala infor- mationsutbytet utan också den efterföljande behandlingen av sådana uppgifter. Eftersom undantagen bör tillämpas även på uppgifter som en svensk myndighet överför eller gör tillgängliga bör bestämmelsen dock utformas något annorlunda än vad Lagrådet föreslår. Lagrådets förslag till skrivning angående de enskilda punkterna innebär att undantaget i fråga om visst informationsutbyte (punkterna 3 och 4) blir missvisande och att regleringen i fråga om punkt 1 snävas in på ett sätt som inte är avsett. Regeringen anser därför att Lagrådets förslag inte bör följas i denna del.

6.15Avtal med tredjeland

Regeringens bedömning: Rambeslutets bestämmelse om förhållandet till avtal med tredjeland kräver inte några lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte över betänkandet i denna del. Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

ning.

Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.

Skälen för regeringens bedömning: Enligt artikel 26 ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala eller multilaterala avtal med tredje stater som förelåg när rambeslutet antogs. När sådana avtal tillämpas ska överföringen till en tredje stat av personuppgifter som har erhållits från en annan med- lemsstat genomföras med respekt för innehållet i artikel 13.1 och 13.2.

Utredningen bedömer att artikeln inte kräver någon lagstiftningsåtgärd. Samma bedömning gjordes i godkännandepropositionen. Regeringen in- stämmer i bedömningen. Att ingen lagstiftningsåtgärd vidtas får till följd att den nya lagen ska tillämpas när det blir fråga om att föra över uppgif- ter som omfattas av lagen till ett tredjeland. Detta skulle visserligen i undantagsfall kunna resultera i en situation där ett äldre avtal med ett tredjeland ålägger en svensk myndighet att överföra en viss uppgift som kommer från en annan EU-stat eller ett EU-informationssystem, och där den nya lagen föreskriver att uppgiften inte får överföras på grund av att den stat varifrån uppgiften ursprungligen kommer inte medger överföring till det tredjelandet, eller på grund av att mottagaren inte anses ha en adekvat skyddsnivå. Eftersom äldre avtal sannolikt inte ger samma data- skydd som den nya lagen anser regeringen dock att det rimligt att lagen görs tillämplig i sådana situationer. Rambeslutet hindrar, som tidigare nämnts, inte en sådan lösning.

108

6.16Förhållandet mellan den nya lagen och myndigheternas registerförfattningar

Regeringens förslag: Hänvisningar till den nya lagen införs i myn- digheternas registerförfattningar och i berörda författningar som regle- rar vissa särskilda register. Hänvisningarna klargör i förekommande fall vilken lagstiftning som har företräde.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningens förslag anger inte i vilken utsträckning den nya lagen har före- träde framför befintliga författningar om personuppgiftsbehandling. Ut- redningen föreslår inte heller någon hänvisning i lagen (2000:343) om internationellt polisiärt samarbete.

Remissinstanserna: Ingen av remissinstanserna har invändningar mot utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är tillämplig på all behandling av personuppgifter, om det inte finns avvi- kande regler i någon annan författning. Sådana avvikande regler finns för de aktuella myndigheterna i deras respektive registerförfattningar och i vissa andra författningar som reglerar särskilda register. Den lag som nu föreslås innehåller bestämmelser som i sin tur delvis avviker från regis- terförfattningarna.

Det bör enligt utredningen införas hänvisningar till den nya lagen i myndigheternas registerförfattningar och i vissa av de lagar som be- handlar särskilda register inom lagens tillämpningsområde. Utredningen föreslår att hänvisningar ska göras i form av rena upplysningsbestämmel- ser. Regeringen instämmer i utredningens bedömning av behovet av hänvisningar. Regeringen anser dock dels att hänvisningarna bör utfor- mas på ett annat sätt än vad utredningen föreslår, dels att ytterligare hän- visningar krävs. Regeringen bedömer vidare, av de skäl som anges i avsnitt 6.14, att det inte ska göras någon hänvisning till den nya lagen i lagen om Schengens informationssystem.

Hänvisningarna i myndigheternas registerförfattningar bör utformas så att det framgår huruvida den nya lagen har företräde framför myndighe- tens registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från registerförfattningen. En sådan reglering underlättar för tillämparen.

Som framgår i avsnitt 6.4.1 kan undantagsvis även vissa andra myn- digheter än de som primärt berörs komma att bli skyldiga att tillämpa den nya lagen. Regeringen gör bedömningen att det inte är möjligt att förutse alla de situationer i vilka en myndighet teoretiskt sett skulle kunna få uppgifter som omfattas av lagens tillämpningsområde. Så som det poli- siära och straffrättsliga samarbetet inom EU är uppbyggt kommer emel- lertid informationsutbytet att äga rum mellan de svenska myndigheter vilkas registerförfattningar föreslås ändrade, medan de andra myndig- heter som eventuellt kan komma att få uppgifter, får dem vidarebeford- rade till sig från någon av de förstnämnda myndigheterna. Det märk-

Prop. 2012/13:73

109

Prop. 2012/13:73 ningssystem som nämns i avsnitt 6.18 kommer då att fungera som en påminnelse om att den nya lagen ska tillämpas på uppgifterna. Mot den bakgrunden finner regeringen inte skäl att föreslå hänvisningar till den nya lagen i några andra registerförfattningar för myndigheter än de som utredningen föreslagit.

I lagen (1998:621) om misstankeregister och lagen (2010:362) om po- lisens allmänna spaningsregister bör det införas hänvisningar som klar- gör att den nya lagen har företräde framför respektive registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från regi- sterförfattningen.

Riksdagen har antagit förslagen i propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater (prop. 2011/12:163, bet. 2012/13:JuU4, rskr. 2012/13:59) att det i lagen (1998:620) om belast- ningsregister ska införas särskilda dataskyddsbestämmelser. Ändringarna är ett led i genomförandet av rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och uppgifternas innehåll. Eftersom dessa särbestämmelser bl.a. innehåller för denna rättsakt specifika ändamålsbe- stämmelser, bör de ha företräde framför bestämmelserna i den nya lagen. Detta bör framgå av hänvisningen i lagen om belastningsregister.

Lagen (2000:343) om internationellt polisiärt samarbete, som innehål- ler generella regler om samarbete inkluderande informationsutbyte, bör fortsätta att gälla vid sidan av den nya lagen. I 3 och 3 a §§ lagen om internationellt polisiärt samarbete finns det bestämmelser om använd- ningsbegränsningar. Regeringens förslag till ny lag innehåller också bestämmelser om användningsbegränsningar, vilket leder till en viss överlappande reglering. Eftersom det är fråga om bestämmelser som dels till stor del är likalydande, dels är till skydd för enskildas integritet bör det enligt regeringens mening inte uppstå några tillämpningsproblem.

Hänvisningar till den nya lagen bör också införas i de myndigheters registerförfattningar som har formen av förordning och i de förordningar som reglerar behandling av personuppgifter i vissa register. Regeringen avser att genomföra dessa förordningsändringar senare.

Lagrådet anser att de bestämmelser som beskriver förhållandet mellan personuppgiftslagen och lagen om misstankeregister respektive lagen om belastningsregister bör utformas annorlunda än i lagrådsremissen och föreslår en formulering som efterliknar 2 § personuppgiftslagen. Den av Lagrådet föreslagna formuleringen hänvisar emellertid till avvikande bestämmelser i samma lag, medan de avvikande bestämmelser i dessa fall även finns i annan lag. Den i lagrådsremissen använda formuleringen för att beskriva förhållandet mellan en registerförfattning och personupp- giftslagen förekommer dessutom i närmare 20-talet författningar och får därför anses vara vedertagen. Enligt regeringens bedömning bör därför den föreslagna hänvisningen behållas.

110

6.17Ändring i offentlighets- och sekretesslagen

Regeringens förslag: I offentlighets- och sekretesslagen införs en hänvisning till den nya lagen.

Utredningen lämnar inget förslag i denna del.

Remissinstanserna: Några remissinstanser, bl.a. Åklagarmyndigheten och Kammarrätten i Sundsvall, anser att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: I prop. 2008/09:16 anförde rege- ringen att frågan om rambeslutet kräver en mer omfattande sekretessreg- lering än den som gäller i dag bör analyseras vidare i det fortsatta lag- stiftningsarbetet (prop. s. 39). Utredningen anser att det inte finns något skäl att ändra offentlighets- och sekretesslagen (2009:400), men anger inga skäl för denna bedömning.

Den nya lagen innebär inte någon begränsning i enskildas rätt enligt tryckfrihetsförordningen att ta del av eller använda sig av allmänna handlingar, jfr. avsnitt 6.6.4.

När det gäller frågan om en myndighets möjligheter att lämna uppgif- ter som omfattas av lagen till en annan myndighet är läget ett annat på grund av rambeslutets bestämmelse om villkor om användningsbegräns- ningar. Rambeslutets reglering om användningsbegränsningar, som före- slås införas genom en bestämmelse i den nya lagen (se avsnitt 6.7), är tvingande. I 9 kap. 2 § offentlighets- och sekretesslagen finns hänvis- ningar till bestämmelser som begränsar möjligheten att använda uppgif- ter som en svensk myndighet har fått från en annan stat. Regeringen anser, i likhet med de remissinstanser som har uttalat sig i frågan, att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.

De uppgifter som den nya lagen kommer att tillämpas på omfattas i stor utsträckning av bestämmelserna om sekretess till skydd för intresset av att förebygga eller beivra brott i 18 kap. och bestämmelserna om sek- retess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. i 35 kap. offentlighets- och sekretesslagen. Trots att sekretessbestämmelserna gäller även mellan myndigheter, kan sekre- tessen brytas genom sekretessbrytande bestämmelser i lag och förord- ning, se bl.a. 10 kap. offentlighets- och sekretesslagen. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte upp- giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen i 6 kap. 5 § innebär att en myndighet är skyldig att lämna en uppgift till en annan myndighet som begär det, om en sekretessbry- tande bestämmelse är tillämplig på uppgiften. Den bestämmelse om användningsbegränsningar som föreslås i den nya lagen får emellertid till följd att en myndighet inte får utnyttja uppgifterna i sin verksamhet i andra fall än som anges i den lagen. Detta innebär att sekretessbrytande regler i praktiken bara torde aktualiseras när en myndighet har rätt att ta

Prop. 2012/13:73

111

Prop. 2012/13:73 del av uppgifterna enligt rambeslutet (jfr prop. 1990/91:131 s. 24 f. och 2011/12:163 s. 50 f.).

6.18System för märkning

Regeringens bedömning: Frågan om märkning av uppgifter som överförts från eller gjorts tillgängliga av en annan stat, ett EU-organ eller ett EU-informationssystem bör inte regleras i lag eller förord- ning.

Utredningens bedömning överensstämmer med regeringens. Utred- ningen anser att en märkning av varifrån uppgifter härstammar är nöd- vändig, men att den frågan bör överlämnas till myndigheterna att be- stämma.

Remissinstanserna: Flera remissinstanser invänder mot utredningens bedömning, däribland Ekobrottsmyndigheten och Åklagarmyndigheten.

Åklagarmyndigheten menar att frågan om hur ett system för märkning av uppgifter ska utformas och genomföras bör regleras av statsmakterna i stället för att överlåtas till berörda myndigheter. Åklagarmyndigheten framhåller vidare att märkning av uppgifter skulle kunna jämföras med det system som i dag finns för sekretessmarkering av personuppgifter. I myndighetens verksamhetssystem är det i dag möjligt att elektroniskt sekretessmarkera personuppgifter, men möjligheten att överföra en sådan sekretessmarkering till andra myndigheter är ytterst begränsad beroende på organisatoriska och tekniska hinder. En märkning av uppgifter på det sätt som föreslås i betänkandet bör enligt myndigheten vara tydlig och enhetlig för alla de myndigheter som hanterar den markerade informa- tionen. Uppsala universitet ser det som en brist att utredningen har ute- lämnat en så central del som frågan om märkning. Göteborgs tingsrätt instämmer i utredningens bedömning att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig. Samtidigt anser tingsrätten att frågan om att utarbeta ett system med märkning av uppgifter inte bör lösas på myndighetsnivå, utan kräver en samordning inom rättskedjan.

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Kriminalvården menar att införande av ett system för märkning i befintligt datastöd kan vara förenat med betydande tek- niska svårigheter. Domstolsverket betonar vikten av att ett system för märkning har implementerats och drifttestats innan den föreslagna lag- stiftningen träder i kraft. Verket förutsätter att regeringen kommer att i samråd med berörda myndigheter följa upp när så kan ske. Säkerhets- och integritetsskyddsnämnden påpekar att eftersom ett system för märk- ning kan komma att kräva relativt stora insatser från myndigheternas sida vad gäller samarbete över myndighetsgränserna, utbildning och anpass- ning av IT-system, det finns en risk att frågan inte prioriteras av myndig- heterna utan författningsstöd. Mot denna bakgrund bör en författnings- reglering övervägas ytterligare. Uppsala universitet instämmer i att myn- digheternas möjlighet att välja tekniska lösningar inte bör begränsas, men

anser att det är lämpligt att det framgår av lag eller åtminstone förordning

112

att ett system för märkning ska finnas som uppfyller de syften som ram- beslutet avser att skydda. Det kan därefter delegeras till de aktuella myn- digheterna att genomföra märkningen på lämpligt sätt.

Skälen för regeringens bedömning: För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar uppgifter som omfat- tas av den nya lagen är medvetna om uppgifternas ursprung och att det på grund av ursprunget kan gälla särskilda begränsningar för behandlingen. Utredningen anser att frågan om att utarbeta ett system med märkning av uppgifter ska överlämnas till de myndigheter som utbyter uppgifterna och att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig.

Regeringen instämmer i utredningens bedömning att det, för att säker- ställa att dataskyddet fungerar, kan vara lämpligt att uppgifterna förses med någon form av märkning redan i samband med att de erhålls från en annan stat eller från ett EU-organ eller EU-informationssystem. En sådan märkning skulle göra det enklare att leva upp till de krav beträffande hanteringen som ställs upp i den nya lagen. Regeringen har därför förstå- else för de synpunkter rörande reglering som i denna del förs fram av

Ekobrottsmyndigheten, Åklagarmyndigheten, Uppsala universitet och Säkerhets- och integritetsskyddsnämnden. En reglering på lag- eller för- ordningsnivå skulle emellertid kunna innebära en onödig begränsning i myndigheternas arbete med att utveckla moderna tekniklösningar, sär- skilt som teknikutvecklingen och den ökade elektroniska hanteringen i sig skapar bättre förutsättningar för en praktisk och genomtänkt märk- ning. Mot denna bakgrund anser regeringen att frågan om hur eventuell märkning ska utformas inte bör regleras på lag- eller förordningsnivå.

Som Göteborgs tingsrätt framför är det lämpligt med en samverkan mellan berörda myndigheter när det gäller frågan om hur märkningen ska hanteras. Det finns redan i dag områden för samverkan mellan myndig- heter i den pågående utvecklingen, såsom arbetet med e-förvaltning och arbetet med rättsväsendets informationsförsörjning. Det är naturligt att de myndigheter som har behov av att märka uppgifter tar om hand frågan gemensamt i ett sådant sammanhang. Regeringen ser för närvarande inget behov av att reglera frågan. Skulle det visa sig svårt för myndig- heterna att samordna sig i frågan om märkning kan det närmast bli ak- tuellt att återkomma med uppdrag till en eller flera myndigheter att ta fram ett förslag till system för märkning.

De tekniska svårigheter som Kriminalvården och Domstolsverket befa- rar ska enligt regeringens mening inte överdrivas. För det första rör det sig troligen hos de flesta myndigheter om ett litet antal uppgifter. För det andra krävs det inte med nödvändighet ett nytt tekniskt system för märk- ningen.

6.19Tillsyn

Regeringens bedömning: Rambeslutets regler om tillsyn kräver inga lagstiftningsåtgärder.

Utredningens bedömning överensstämmer med regeringens.

Prop. 2012/13:73

113

Prop. 2012/13:73

Remissinstanserna: Flertalet remissinstanser berör inte frågan om till-

 

syn. Uppsala universitet påtalar dock behovet av att Datainspektionen

 

tillförsäkras tillräckliga resurser och kompetens inom det aktuella områ-

 

det för att kunna bedriva en effektiv tillsyn.

 

Utkastet till lagrådsremiss behandlade inte frågan om tillsyn närmare.

 

Remissinstanserna: Uppsala universitet vidhåller sin tidigare fram-

 

förda synpunkt. Säkerhets- och integritetsskyddsnämnden påpekar att den

 

valda lagstiftningstekniken, där avvikande bestämmelser i den föreslagna

 

lagen ska tillämpas i stället för bestämmelserna i exempelvis polisdatala-

 

gen, leder till oklarhet om hur långt nämndens tillsynsskyldighet sträcker

 

sig. Det framstår bl.a. som oklart om vidarebehandling är tillåten när en

 

polismyndighet har skyldighet att bistå annan myndighet – såsom en

 

tillsynsmyndighet – med uppgifter. Om nämnden i sin tillsyn av en upp-

 

giftsamling uppmärksammar att uppgifter där har behandlats i strid med

 

den föreslagna lagen synes det formellt som om felaktigheterna ligger

 

utanför nämndens tillsynsområde enligt polisdatalagen. Det kan dock

 

ifrågasättas om detta är en rimlig konsekvens av den föreslagna lagstift-

 

ningstekniken. Regeringen kunde likaväl ha valt att reglera frågorna i

 

polisdatalagen. Eftersom den föreslagna lagen inte utgör någon heltäck-

 

ande reglering, exempelvis när det gäller behandling av känsliga person-

 

uppgifter, kan även andra oklarheter uppstå kring gränserna för nämn-

 

dens tillsynsområde när det gäller personuppgifter som omfattas av den

 

föreslagna lagen. Det är önskvärt att denna fråga uppmärksammas i det

 

fortsatta lagstiftningsarbetet.

 

Skälen för regeringens bedömning: Rambeslutet förutsätter att det

 

ska finnas en tillsynsmyndighet i varje medlemsstat (artikel 25). Enligt

 

artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och

 

tillgång till alla de uppgifter som behövs för tillsynen. Vidare ska enskil-

 

da kunna vända sig till tillsynsmyndigheten med klagomål över person-

 

uppgiftsbehandlingen.

 

Det finns bestämmelser om tillsynsmyndighetens befogenheter i 43–

 

47 §§ personuppgiftslagen (1998:204). I dessa bestämmelser föreskrivs

 

bl.a. att tillsynsmyndigheten har rätt att för sin tillsyn få tillträde till lo-

 

kaler samt tillgång till de personuppgifter som behandlas och doku-

 

mentation rörande behandlingen. Vidare finns det regler om vilka åt-

 

gärder tillsynsmyndigheten får vidta om myndigheten vid sin tillsyn

 

finner att personuppgifter behandlas på ett felaktigt sätt. Utredningen

 

anser att bestämmelserna i personuppgiftslagen uppfyller bestämmel-

 

serna i rambeslutet. Regeringen instämmer i denna bedömning. Rege-

 

ringen avser att utse Datainspektionen till nationell tillsynsmyndighet

 

enligt rambeslutet.

 

När det gäller polisen så har också Säkerhets- och integritetsskydds-

 

nämnden ett visst tillsynsansvar. Enligt 1 § lagen (2007:980) om tillsyn

 

över viss brottsbekämpande verksamhet ska nämnden bl.a. utöva tillsyn

 

över polisens behandling av personuppgifter enligt polisdatalagen

 

(2010:361) och lagen (2010:362) om polisens allmänna spaningsregister.

 

Med anledning av vad Säkerhets- och integritetsskyddsnämnden anför

 

om oklarheter i nämndens tillsynsansvar, bör påpekas att även om en

 

uppgift faller inom tillämpningsområdet för den nya lagen, så innehåller

 

lagen bara kompletterande regler som på visst sätt inskränker eller preci-

114

serar möjligheterna att behandla personuppgifter. Själva behandlingen av

uppgifterna sker även när lagen är tillämplig med stöd av de grundläg- Prop. 2012/13:73 gande reglerna i relevant registerförfattning, t.ex. polisdatalagen. Visser-

ligen införs i polisdatalagen en bestämmelse som anger att i den mån den nya lagen innehåller bestämmelser som avviker från polisdatalagen, ska bestämmelserna i den nya lagen tillämpas i stället för bestämmelserna i polisdatalagen (se avsnitt 6.16). Hänvisningen innebär dock inte att Sä- kerhets- och integritetsskyddsnämndens tillsynsansvar enligt polisdatala- gen faller bort. Det ingår alltså i nämndens tillsynsansvar att påpeka om nämnden vid sin granskning finner att bestämmelserna i den nya lagen borde ha, men inte har, iakttagits. Myndigheternas skyldighet att bistå nämnden med handlingar framgår av lagen om tillsyn över viss brottsbe- kämpande verksamhet. I den nya lagen regleras varken tillsynsmyndig- heternas uppgifter eller deras rätt att få tillgång till handlingar. Samman- fattningsvis är den nya lagen alltså inte avsedd att innebära någon föränd- ring i tillsynen över den personuppgiftsbehandling som förekommer vid berörda myndigheter. Frågan om huruvida Säkerhets- och integritets- skyddsnämndens tillsynsansvar bör vara utformat på annat sätt än i dag finns det inte möjlighet att behandla inom ramen för detta lagstiftnings- ärende.

Regeringen återkommer till frågan om Datainspektionens resurser i av- snitt 9.

7Kompletterande lagstiftning med anledning av Europolrådsbeslutet

7.1Något om Europol och dess verksamhet

Europol är medlemsstaternas i EU gemensamma polisbyrå. Europol arbetar med behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen. Syftet med Europol är att öka effektiviteten hos de nationella myndigheterna och förbättra deras inbördes samarbete i den brottsförebyggande och brottsbekämpande verksamheten.

Europols behörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera med- lemsstater på ett sådant sätt att det krävs en gemensam åtgärd från med- lemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder. Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.

Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Dessa tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Uppgifterna sammanställs och bearbetas av Europol samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som genom detta får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Euro-

115

Prop. 2012/13:73 pol medlemsstaterna med rådgivning och specialkunskaper vid utred- ningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsstaterna.

I varje medlemsstat finns det en nationell enhet som är förbindelselänk mellan Europol och medlemsstatens myndigheter. I Sverige är Rikspolis- styrelsen nationell enhet. Den nationella enheten har till huvudsaklig uppgift att förse Europol med uppgifter som ska tillföras Europols olika dataregister från de nationella polisregistren eller motsvarande. De natio- nella enheterna tar emot uppgifter som kommer från Europol och vidare- befordrar dem till behörig svensk myndighet och vidarebefordrar svenska myndighetens förfrågningar till Europol. Personalen som arbetar vid den nationella enheten är anställd av Rikspolisstyrelsen. Offentlighets- och sekretesslagen är tillämplig när den nationella enhetens personal hanterar uppgifter.

Europols verksamhet byggde tidigare på Europolkonventionen. Kon- ventionen öppnades för undertecknande år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömningen att tillträdet till kon- ventionen endast i mycket begränsad omfattning krävde lagändringar. Såvitt gällde konventionens bestämmelser om tystnadsplikt konstaterades dock att det fanns ett område där sekretess och tystnadsplikt rådde enligt Europolkonventionens bestämmelser och där Sverige hade åtagit sig att lagföra brott mot bestämmelserna som om de vore inhemska regler, men där motsvarande svenska regler om sekretess och tystnadsplikt saknades, nämligen Europolanställdas befattning med hemliga uppgifter. Rege- ringen angav i propositionen att denna fråga borde lösas i annat sam- manhang, eftersom den hade vidare räckvidd än Europolkonventionen och rymde komplicerade rättsfrågor (prop. 1996/97:164 s. 53).

7.2Europolrådsbeslutet

Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolråds- beslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informa- tionsbehandling och dataskydd.

En konsekvens av att Europol numera är en EU-myndighet är att Euro- pols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom förordning, enligt det ordinarie lag- stiftningsförfarandet inom EU. Av övergångsbestämmelserna till Lissa- bonfördraget följer emellertid att rättsakter som antagits före ikraftträ- dandet av Lissabonfördraget ska bestå så länge de inte upphävs, ogiltig- förklaras eller ändras med tillämpning av EG- eller EU-fördragen (proto- koll om övergångsbestämmelser, EUT C 306, 17.12.2007, s. 159). Råds- beslutet om Europol kommer alltså att gälla till dess att nya rättsakter om Europol tas fram.

I propositionen Godkännande av rådets beslut om inrättande av Euro- peiska polisbyrån (Europol), prop. 2008/09:14, fann regeringen att änd-

116

ringen av den rättsliga grunden för Europol inte i sig krävde några lag- Prop. 2012/13:73 ändringar, men att vissa hänvisningar till Europolkonventionen och de

olika tilläggsprotokollen i lag eller förordning behövde ändras. Dessa ändringar har genomförts. Beträffande frågan om Europolanställdas be- fattning med hemliga uppgifter angavs att den behövde övervägas i det fortsatta lagstiftningsarbetet (prop. s. 39).

Europol leds av en styrelse bestående av representanter från alla med- lemsstater och kommissionen (artikel 37 Europolrådsbeslutet). Den dag- liga verksamheten leds av en direktör, som assisteras av tre biträdande direktörer (artikel 38).

Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkon- toret finns personal som är direkt anställd av Europol (Europolanställda). Det är fråga om experter och analytiker inom olika områden som exem- pelvis kriminalunderrättelse- och analysverksamhet. De Europolanställda bearbetar och analyserar bl.a. den information som kommer in till Euro- pol från medlemsstaterna och från andra källor. De Europolanställda lyder under de EU-bestämmelser som gäller för anställda vid EU:s insti- tutioner, däribland reglerna om tystnadsplikt.

Vid Europols huvudkontor arbetar också särskilda sambandsmän som är utsända från medlemsstaterna. Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Euro- pol och de nationella enheterna samt att samverka med Europols an- ställda i bl.a. analysarbetet. Sambandsmännen är inte anställda av Euro- pol utan av myndigheter i respektive medlemsstat. De är utsända att arbeta vid Europol inom ramen för sina anställningar i medlemsstaten. Vid arbetet för Europol lyder de under sin medlemsstats nationella enhet och under medlemsstatens nationella lagstiftning (artikel 9.1 Europol- rådsbeslutet). Sverige har för närvarande tre sambandsmän vid Europol, två från polisen och en från Tullverket. Eftersom de är offentliganställda är offentlighets- och sekretesslagen tillämplig vid deras hantering av uppgifter.

7.3Tystnadsplikt inom EU

7.3.1 Allmänt om tystnadsplikten

Tjänstemän som är anställda av Europol och andra EU-organ lyder under

 

EU:s särskilda bestämmelser, bl.a. EU:s allmänna tjänsteföreskrifter som

 

föreskriver tystnadsplikt. Undantag gäller i vissa situationer där Europol-

 

anställda verkar både inom och utanför Europa (t.ex. i s.k. gemensamma

 

utredningsgrupper enligt lagen [2003:1174] om vissa former av inter-

 

nationellt samarbete i brottsutredningar).

 

I artikel 339 i fördraget om Europeiska unionens funktionssätt (EUT

 

C 83, 30.3.2010, s. 193, EUF-fördraget) finns en allmän bestämmelse om

 

att unionens tjänstemän och befattningshavare, även efter det att deras

 

uppdrag upphört, är skyldiga att inte avslöja upplysningar som omfattas

 

av tystnadsplikt, särskilt uppgifter om företag, deras affärsförbindelser

 

eller deras kostnadsförhållanden.

 

Den allmänna bestämmelsen i EUF-fördraget kompletteras genom

 

regler i de särskilda tjänsteföreskrifterna för de olika EU-institutionerna.

117

 

Prop. 2012/13:73 Tjänsteföreskrifterna innehåller bestämmelser om att en tjänsteman inte utan tillstånd får lämna ut information som han eller hon fått tillgång till i tjänsten, och att detta gäller även efter det att han eller hon har lämnat tjänsten. Beträffande Europol gäller EU:s tjänsteföreskrifter för tjänste- männen i Europeiska gemenskapen och anställningsvillkor för övriga anställda inom Europeiska gemenskaperna i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (14) och de bestämmelser som har antagits för tillämpningen av tjänsteföreskrifterna och anställningsvillkoren (arti- kel 39 Europolrådsbeslutet). Enligt dessa föreskrifter får en tjänsteman inte utan tillstånd lämna ut information som han fått tillgång till i tjäns- ten, om inte denna information redan har offentliggjorts eller är tillgäng- lig för allmänheten. Skyldigheten kvarstår även efter det att tjänsteman- nen har lämnat tjänsten (artikel 17 i tjänsteföreskrifterna och artikel 11 i anställningsvillkoren).

7.3.2Tystnadsplikt i Europol

Det finns en särskild bestämmelse om tystnadsplikt i Europolrådsbeslu- tet. Enligt artikel 41.2 får de som arbetar för Europol inte till obehöriga personer sprida information om sakförhållanden eller upplysningar som de får kännedom om i sin tjänsteutövning eller vid utövandet av verk- samheten. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekretesskrav. Denna bestämmelse skiljer sig från bestämmelserna om tystnadsplikt i tjänsteföreskrifterna och anställningsvillkoren i och med att den inte gör något undantag för information som redan har offentliggjorts eller är tillgänglig för allmän- heten. Tystnadsplikten kvarstår även efter det att tjänsten, anställnings- avtalet eller verksamheten har avslutats. När tystnadsplikt föreligger för en anställd eller annars verksam person ska Europol meddela detta sär- skilt. I samband med ett sådant meddelande, som ska vara skriftligt, ska Europol påpeka de rättsliga följderna om tystnadsplikten bryts. Bestäm- melsen har överförts med i princip oförändrat innehåll från artikel 32 i Europolkonventionen.

Enligt artikel 41.4 i Europolrådsbeslutet ska varje medlemsstat be- handla alla överträdelser av tystnadsplikten som överträdelser av skyl- digheter i medlemsstatens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Bestämmelsen motsvarar artikel 32.4 i Euro- polkonventionen.

7.3.3Sanktioner inom EU

Om en EU-rättslig tystnadsplikt åsidosätts kan enligt EU:s tjänsteföre- skrifter disciplinära åtgärder i form av varning, degradering, avstängning från tjänsten, avskedande m.m. vidtas gentemot tjänstemän som är an- ställda av gemenskapen. Några straffrättsliga påföljder för åsidosättande av tystnadsplikt finns inte inom EU-rätten. Från gemenskapens sida för- väntas i stället att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.

118

7.4Den svenska regleringen av frågor om tystnadsplikt

7.4.1Yttrandefrihet

Rätten till yttrandefrihet slås fast i 2 kap. 1 § första stycket 1 regerings- formen som föreskriver att var och en gentemot det allmänna är tillför- säkrad frihet att i tal, skrift eller bild eller på annat sätt meddela upplys- ningar samt uttrycka tankar, åsikter och känslor.

Enligt 2 kap. 20 § regeringsformen får yttrandefriheten begränsas bara genom lag eller, när det gäller tystnadsplikt för offentliga funktionärer, efter bemyndigande i lag. Detta innebär att föreskrifter om tystnadsplikt måste vara föreskrivna i lag eller föreskrifter som meddelas på lägre nivå efter bemyndigande av riksdagen. I 2 kap. 21–25 §§ regeringsformen anges under vilka förutsättningar fri- och rättigheterna får begränsas. När det gäller yttrandefriheten får denna begränsas med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskildas anse- ende, privatlivets helgd eller förebyggandet och beivrandet av brott. Yttrandefriheten får i övrigt även begränsas i näringsverksamhet samt om särskilt viktiga skäl föranleder det. En begränsning får dock inte sträcka sig längre än vad som är nödvändigt med hänsyn till det ändamål som den avser att tillgodose och får aldrig gå så långt att den utgör ett hot mot den fria åsiktsbildningen. I det nu aktuella fallet är grunden för att be- gränsa yttrandefriheten främst förebyggande och beivrande av brott.

Den lag som framför allt innehåller begränsningar avseende yttrande- friheten är offentlighets- och sekretesslagen (2009:400). Uppgifter som omfattas av sekretess enligt den lagen får inte röjas eller utnyttjas, vare sig muntligen eller skriftligen. Lagen reglerar således också tystnadsplikt beträffande de områden som omfattas av lagen. Det finns även regler om tystnadsplikt i vissa andra lagar. Det finns särskilda regler om tystnads- plikt för bl.a. präster, advokater och personal inom den privata hälso- och sjukvården. Regler om tystnadsplikt finns också i bl.a. rättegångsbalken.

I 44 kap. offentlighets- och sekretesslagen regleras i vilken mån tyst- nadsplikter, som följer av bestämmelser i andra författningar än den lagen, inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ ytt- randefrihetsgrundlagen.

Principen om meddelarfrihet, som är fastslagen i 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen är av grundläggande betydelse för frågan om straffansvar med anledning av brott mot tystnadsplikt. Bestämmelserna om meddelarfrihet slår fast att var och en är tillförsäkrad rätten att till bl.a. författare och andra upp- hovsmän, redaktioner och nyhetsbyråer lämna uppgifter i vilket ämne som helst för offentliggörande i tryckta skrifter, radio- och tv-program, filmer m.m. Meddelarfriheten innebär att meddelaren inte bär något straffansvar för dessa uppgifter. Det är i stället den ansvariga utgivaren som i första hand bär ansvaret för det fall ett tryck- eller yttrandefrihets- brott begås (s.k. ensamansvar). Meddelarfriheten innebär en rätt för dem som är offentligt anställda att i publiceringssyfte straffritt lämna uppgif- ter som är sekretessbelagda. Meddelarfriheten är förenad med en rätt till anonymitet. Den kompletteras av de s.k. efterforsknings- och repressalie-

Prop. 2012/13:73

119

Prop. 2012/13:73 förbuden. Dessa förbjuder myndigheter och andra offentliga organ att efterforska de uppgiftslämnare som har valt att vara anonyma och att vidta åtgärder som medför negativa konsekvenser för sådana personer med anledning av att de har utnyttjat sin meddelarfrihet.

Meddelarfriheten är dock inte absolut. Av offentlighets- och sekre- tesslagen framgår i vilken utsträckning sekretessen inskränker meddelar- friheten. Sekretessregleringen medger således i vissa fall att sekretessbe- lagda uppgifter lämnas ut för publicering i ett medium som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen medan den i andra fall, helt eller delvis, inskränker meddelarfriheten för uppgifter i den offentliga verksamheten. Denna reglering har direkt betydelse för tillämpningen av straffbestämmelsen om brott mot tystnadsplikten, efter- som den påverkar i vilken mån den enskilde är skyldig att hemlighålla uppgifterna.

7.4.2Straffansvar enligt brottsbalken

Brott mot tystnadsplikt är straffbelagt i 20 kap. 3 § brottsbalken. Om någon röjer eller utnyttjar en uppgift i strid med sin tystnadsplikt kan han eller hon dömas till böter eller fängelse i högst ett år för brott mot tyst- nadsplikt. I ringa fall ska straff inte dömas ut. Om brottet begås av oakt- samhet är straffet böter.

Bestämmelserna i 20 kap. 3 § brottsbalken är den centrala straffrätts- liga regleringen av överträdelser mot författningsreglerade tystnadsplik- ter. Regleringen innebär en inskränkning i både yttrandefriheten och rätten att få ta del av allmänna handlingar. De bestämmelser om tyst- nadsplikt och sekretess som straffbudet sanktionerar utgör undantag från de konstitutionella huvudregler som sammanfattas med begreppen ytt- randefrihet och offentlighet. Straffansvaret är utformat så att det balanse- rar dessa två intressen mot intresset av att begränsa kännedomen om vissa förhållanden.

Tystnadsplikten måste, som nyss nämnts, ha stöd i lag eller annan för- fattning eller gälla enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning för att brott mot den ska kunna läggas till grund för ansvar enligt 20 kap. 3 § brottsbalken. Bestämmelser om tystnadsplikt i lag som gör straffbestämmelsen tillämplig finns, som nyss nämnts, framför allt i offentlighets- och sekretesslagen.

I propositionen Lagstiftning med anledning av Sveriges anslutning till Europeiska atomenergigemenskapen konstaterade regeringen att straffbe- stämmelsen i 20 kap. 3 § brottsbalken inte kan anses omfatta gemen- skapsrättsliga tystnadsplikter (prop. 1994/95:118 s. 11 f.). I det lagstift- ningsärendet ansågs någon ändring av bestämmelsen inte behöva göras eftersom de gemenskapsrättsliga tystnadsplikterna hade sin motsvarighet i den då gällande sekretesslagens föreskrifter.

120

7.5

En ny lag om tystnadsplikt

Prop. 2012/13:73

Regeringens förslag: En ny lag om tystnadsplikt för anställda vid Europeiska polisbyrån (Europol) införs. Enligt lagen får den som är eller har varit verksam vid Europol inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av sin verksamhet där. I fråga om den som fått del av sådana uppgifter inom ramen för anställ- ning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen tillämpas.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag omfattar dock endast svenska medborgare som är eller har varit anställda vid Europol. Utredningen föreslår inte någon regel om den nya lagens förhållande till offentlighets- och sekretesslagen (2009:400).

Remissinstanserna: Flertalet remissinstanser kommenterar inte för- slaget.

Svea hovrätt anser att en ny lag är att föredra framför ändringar i 20 kap. 3 § brottsbalken. Hovrätten ifrågasätter dock om det är lämpligt att bestämmelsen utformas så att den endast omfattar svenska medbor- gare, eftersom frågan om jurisdiktion normalt regleras genom bestäm- melserna i 2 kap. brottsbalken och det är tveksamt om en sådan begräns- ning är förenlig med artikel 41 i Europolrådsbeslutet. Ekobrottsmyndig- heten lämnar liknande synpunkter. Lunds universitet påpekar att det av lagförslaget inte framgår huruvida en f.d. svensk Europolanställd som efter tjänstgöringen har blivit medborgare i annan stat omfattas av be- stämmelserna.

Tidningsutgivarna invänder att ett resultat av den nya lagen är att en svensk tjänsteman vid Europol har en längre gående tystnadsplikt och mer inskränkt meddelarfrihet än en person som är utsänd av Sverige. Detta kan i förlängningen innebära att två tjänstemän som varit verk- samma vid Europol under samma tid och som spridit samma uppgifter i strid mot tystnadsplikten kan lagföras på olika sätt beroende på sin tidi- gare anställningsform. Svenska journalistförbundet har inget att invända mot förslaget, under förutsättning att inga förändringar genomförs i med- delarfriheten.

Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna: De flesta av remissinstanserna uttalar sig inte i denna del. Tullverket delar regeringens bedömning när det gäller lagens benämning. Journalistförbundet framför att förbundet inte har något att invända mot utkastet till lagrådsremiss då det inte innebär några princi- piella förändringar jämfört med utredningens förslag.

Skälen för regeringens förslag

Behovet av en särskild reglering

Regeringen fann i propositionen Godkännande av rådets beslut om in- rättande av Europeiska polisbyrån (Europol) att Sverige får anses leva

upp till de krav på tystnadsplikt som ställs i rådsbeslutet vad gäller

121

Prop. 2012/13:73 offentligt anställda i Sverige vid deras befattning med uppgifter från Europol, liksom de svenska Europolsambandsmännens befattning med sådana uppgifter (prop. 2008/09:14 s. 39). Regeringen gör inte nu någon annan bedömning.

Vad gäller den personal som är anställd av Europol är situationen emellertid en annan. För att straffbestämmelsen om brott mot tystnads- plikt i 20 kap. 3 § brottsbalken ska kunna tillämpas krävs att tystnads- plikten har stöd i lag eller annan författning, eller i förordnande eller förbehåll meddelat med stöd av lag eller annan författning. Kravet är en följd av att tystnadsplikt utgör en begränsning av den grundlagsfästa yttrandefriheten. Av bestämmelserna i regeringsformen följer att sådana begränsningar endast får göras genom lag eller, i vissa fall, efter bemyn- digande i lag (2 kap. 1 § första stycket 1 och 20 § samt 8 kap. 2 § första stycket 2, 3 § och 19 § regeringsformen). De regler i Europolrådsbeslutet som föreskriver tystnadsplikt kan alltså inte läggas till grund för en till- lämpning av 20 kap. 3 § brottsbalken. Tystnadsplikten för anställda vid Europol måste också ha täckning i en svensk reglering.

En sådan reglering är offentlighets- och sekretesslagen. Denna gäller för svenska myndigheter och för personer som för det allmännas räkning deltar i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller annan liknande grund. Rätten att ta del av allmänna handlingar och reglerna om meddelarskydd gäller också hos vissa privaträttsliga organ som finns angivna i bilagan till offentlig- hets- och sekretesslagen samt för aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser i vilka kommuner, landsting eller kommunalför- bund har ett rättsligt bestämmande inflytande (2 kap. 3 § och 13 kap. 2 § offentlighets- och sekretesslagen). Lagen är, som tidigare nämnts, til- lämplig på svenska sambandsmän som tjänstgör vid Europol. Tjänstemän som är anställda av Europol omfattas däremot inte av regleringen i offentlighets- och sekretesslagen.

Några andra svenska regler om tystnadsplikt som täcker tjänstemän som är anställda av Europol finns inte. Regeringen delar därför utred- ningens bedömning att det finns behov av en särskild reglering av tyst- nadsplikt för Europolanställda för att svensk rätt ska uppfylla rådsbeslu- tets krav.

Eftersom bestämmelsen i 20 kap. 3 § brottsbalken innehåller fängelse i straffskalan krävs att föreskriften om tystnadsplikt är grundad på lag eller på ett i lag lämnat bemyndigande (8 kap. 3 § regeringsformen). I likhet med utredningen anser därför regeringen att frågan om tystnadsplikt för anställda vid Europol bör regleras i lag. Eftersom det fåtal regler som finns i svensk lagstiftning om Europol är spridda på flera författningar och det inte finns någon befintlig lag där en bestämmelse om tystnads- plikt för nu aktuell kategori lämpligen kan placeras bör en ny lag införas.

Den nya lagens tillämpningsområde

I artikel 41.4 i rådsbeslutet anges att medlemsstaterna ska behandla ”alla överträdelser” av den tystnadsplikt som föreskrivs i artikeln, som över- trädelser av skyldigheter i statens egen lagstiftning om t.ex. tystnadsplikt. Utredningen anser att det inte är rimligt att i svensk lagstiftning reglera

överträdelse av tystnadsplikt begången av exempelvis en spansk med-

122

borgare bosatt i Bryssel. Utredningen begränsar därför den föreslagna lagen till att omfatta svenska medborgare. Svea hovrätt och Ekobrotts- myndigheten ifrågasätter om en sådan begränsning är förenlig med råds- beslutet. Svea hovrätt framhåller vidare att frågor om jurisdiktion nor- malt hanteras genom bestämmelserna i 2 kap. brottsbalken.

Enligt rådsbeslutet ska medlemsstaterna behandla alla överträdelser av tystnadsplikten som överträdelser av statens egen lagstiftning om tyst- nadsplikt eller skydd av sekretessbelagt material. Någon begränsning i straffbarheten till gärningar som begås av svenska medborgare finns inte i den svenska lagstiftningen om tystnadsplikt. Regeringen anser att det inte heller i detta sammanhang finns skäl att begränsa tystnadsplikten till att gälla enbart svenska medborgare. Om en utländsk Europoltjänsteman obehörigen åsidosätter sin tystnadsplikt enligt den föreslagna lagen, kommer det alltså att utgöra ett brott mot svensk lag oavsett vilket med- borgarskap gärningsmannen har. Frågan om ett brott mot tystnadsplikten som begås av en person med medborgarskap i annat land än Sverige kan bestraffas enligt svensk lag vid svensk domstol bör i stället avgöras uti- från den generella regleringen av domsrättsfrågor i 2 kap. brottsbalken. Det innebär normalt, för sådana brott mot tystnadsplikten som begås utomlands, att svensk domsrätt enligt 2 kap. 2 § brottsbalken kommer att finnas om brottet begås av en svensk medborgare eller av en utlänning som befinner sig i riket. Som ett ytterligare krav gäller också att gärning- en ska vara straffbar även på gärningsorten (dubbel straffbarhet).

Utredningen föreslår vidare att den nya lagen endast ska omfatta an- ställda vid Europol. Av rådsbeslutet följer emellertid att straffansvaret ska omfatta ledamöterna i styrelsen, direktören, de biträdande direktö- rerna, Europols anställda och sambandsmännen. Dessutom ska det om- fatta varje annan person som uttryckligen har ålagts diskretions- och tystnadsplikt enligt artikel 41. Utgångspunkten bör därför vara att inte bara de anställda vid Europol, till vilka också direktören och de biträ- dande direktörerna räknas, utan även ledamot i Europols styrelse ut- tryckligen ska omfattas av den nya lagen. Regleringen bör också omfatta uppdragstagare och andra som av Europol har ålagts tystnadsplikt enligt artikel 41. Däremot saknas det anledning att låta de svenska sambands- männen omfattas av tillämpningsområdet för den nya lagen. Skälet till detta är att dessa omfattas av reglerna om tystnadsplikt i offentlighets- och sekretesslagen, vilket bör gälla även i fortsättningen. Detsamma bör gälla andra personer som inom ramen för anställning eller uppdrag hos en svensk myndighet får del av sådana uppgifter som avses med den nya bestämmelsen. Genom regleringen i offentlighets- och sekretesslagen uppfyller Sverige redan rådsbeslutets krav på straffbarhet när det gäller dem.

För enkelhetens skull kallas de kategorier som regeringen föreslår ska omfattas av den nya lagens tillämpningsområde i fortsättningen för Europolanställda.

Den föreslagna lagen bör föreskriva förbud mot att obehörigen röja eller utnyttja uppgifter som erhållits på grund av verksamhet vid Europol. Att tystnadsplikten endast föreslås omfatta röjande som sker obehörigen, ger utrymme för sådant behörigt utlämnande av uppgifter som arbetet vid Europol kräver. Detta utrymme torde i allt väsentligt motsvara det ut- rymme som ges i de sekretessbrytande bestämmelserna i offentlighets-

Prop. 2012/13:73

123

Prop. 2012/13:73

och sekretesslagen och innebär enligt regeringens bedömning att tyst-

 

nadsplikten är i huvudsak densamma för Europolanställda som för ut-

 

sända svenska sambandsmän.

 

Som utredningen föreslår bör tystnadsplikt enligt den nya lagen gälla

 

både under tiden den berörda personens verksamhet vid Europol pågår

 

och efter det att verksamheten har upphört. Huruvida brottet mot tyst-

 

nadsplikten begås av en f.d. svensk Europolanställd som har blivit med-

 

borgare i annan stat, dvs. den situation som Lunds universitet refererar

 

till, saknar betydelse för frågan om ett brott mot svensk lag begåtts. Det

 

nya medborgarskapet kan däremot få betydelse för frågan om svensk

 

domsrätt.

 

När uppgifter som omfattas av sekretess eller tystnadsplikt lämnas ut i

 

strid med sekretessen eller tystnadsplikten, dvs. utan att det finns stöd för

 

utlämnandet i sekretessbrytande bestämmelser, kan frågan om meddelar-

 

frihet också aktualiseras, beroende på vem uppgifterna lämnas till. Med-

 

delarfriheten innebär, som tidigare nämnts, en rätt att lämna uppgifter –

 

som huvudregel även sekretessbelagda sådana – för offentliggörande i

 

massmedia utan att kunna straffas för det. Det kompletterande meddelar-

 

skyddet, bl.a. efterforsknings- och repressalieförbuden, ska tillämpas av

 

det allmänna, dvs. myndigheter och andra offentliga organ, i förhållande

 

till enskilda. Detta innebär att alla som är offentligt anställda omfattas av

 

meddelarskydd gentemot sin arbetsgivare. Genom särskilda regler i of-

 

fentlighets- och sekretesslagen omfattas även anställda i vissa pri-

 

vaträttsliga organ på samma sätt av meddelarskydd. Övriga anställda har

 

inte detta skydd.

 

Tidningsutgivarna invänder att den nya lagen strider mot grundläg-

 

gande svenska rättsprinciper i och med att en svensk tjänsteman anställd

 

vid Europol har en längre gående tystnadsplikt och en mer inskränkt

 

meddelarfrihet än en person som är utsänd som svensk sambandsman.

 

Innebörden av förslaget är att de som arbetar vid Europol kommer att

 

ha olika möjligheter att utan negativa följder meddela sig med media

 

beroende på vilken arbetsgivare de har. Reglerna om ensamansvar, dvs.

 

att ansvaret för en publicering ligger hos en enda person, ger skydd åt

 

den som lämnar meddelanden för publicering gentemot svenska myndig-

 

heter och allmänna organ. Reglerna om meddelarskydd är dock inte till-

 

lämpliga på en svensk som har anställning i ett annat land. Han eller hon

 

kan således inte åberopa de svenska reglerna om meddelarskydd gente-

 

mot sin utländska arbetsgivare. Exempelvis gäller inte något efterforsk-

 

nings- och repressalieförbud. I detta avseende är det, såsom Tidningsut-

 

givarna påpekar, en skillnad mellan de svenskar som är utsända att arbeta

 

som sambandsmän vid Europol och de som är anställda av Europol.

 

Skillnaderna är dock inte unika för Europol. Motsvarande gäller i alla

 

situationer där svenska medborgare tar anställning i annat land. Rege-

 

ringen finner därför ingen anledning att vidta någon åtgärd med anled-

 

ning av Tidningsutgivarnas invändning.

 

Lagrådet anser att regleringen avseende personer som har tystnadsplikt

 

enligt offentlighets- och sekretesslagen bör formuleras på annat sätt än i

 

lagrådsremissen, för att tydliggöra att regleringen inte avser enskild

 

respektive offentlig verksamhet. Regeringen delar Lagrådets uppfattning

 

att bestämmelsen bör utformas så att den i stället knyter an till den tyst-

124

nadsplikt som följer av tjänstgöringen eller uppdraget. Bestämmelsen bör

dock utformas på ett något annorlunda sätt än vad Lagrådet föreslår, så Prop. 2012/13:73 att den träffar den som inom ramen för anställning eller uppdrag hos en

svensk myndighet har fått del av uppgifter som är hemliga hos Europol.

Lagens benämning

Utredningen föreslår att den nya lagen ska benämnas ”Lag om Europol- anställdas befattning med hemliga uppgifter”. Mot bakgrund av att hem- liga uppgifter i säkerhetsskyddslagen (1996:627) getts en särskild defi- nition – som inte sammanfaller med de uppgifter som kan vara aktuella i Europol – anser regeringen att en annan benämning på den nya lagen bör väljas. Regeringens bedömning, som delas av Tullverket, är att den nya lagen bör benämnas ”Lag om tystnadsplikt för anställda vid Europeiska polisbyrån”.

8Ikraftträdande och övergångsbestämmelser

8.1Ikraftträdande

Regeringens förslag: De nya lagarna och ändringarna i befintliga la- gar ska träda i kraft den 1 juli 2013.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår att de nya lagarna och lagändringarna ska träda i kraft samtidigt som polisdatalagen, dvs. den 1 mars 2012.

Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i

denna del.

Skälen för regeringens förslag: Enligt artikel 29.1 i dataskyddsram- beslutet ska medlemsstaterna vidta de åtgärder som är nödvändiga för att följa bestämmelserna i rambeslutet före den 27 november 2010. Europol- rådsbeslutet tillämpas från den 1 januari 2010 (artikel 64.2).

Bestämmelserna i dataskyddsrambeslutet motsvarade till övervägande del gällande rätt i Sverige när rambeslutet trädde i kraft. Den ytterligare lagstiftning som föreslås nu i syfte att förstärka skyddet vid behandling av personuppgifter som överförts över gränserna som ett led i polisiärt och straffrättsligt samarbete bör enligt regeringens mening träda i kraft så snart som möjligt. Detsamma gäller föreslagna följdändringar och den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån.

125

Prop. 2012/13:73 8.2

Övergångsbestämmelser

Regeringens förslag: Den nya lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt sam- arbete ska inte tillämpas på uppgifter som överförts eller gjorts till- gängliga före ikraftträdandet.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare EU-rättsakter ska gälla i stället för den föreslagna lagen om användningsbegränsningar.

Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.

Utkastet till lagrådsremiss överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen anser att det föreslagna undan- taget i övergångsbestämmelserna är alltför generellt och ifrågasätter om

det är förenligt med rambeslutet.

Skälen för regeringens förslag: I fråga om vissa typer av lagstiftning är utgångspunkten att de gäller i sin helhet vid ikraftträdandet. Utred- ningen berör inte frågan om den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska kunna tillämpas på uppgifter som har överförts eller gjorts tillgäng- liga redan innan lagen trätt i kraft.

Utredningen föreslår däremot en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare beslutade EU-rättsak- ter ska gälla i stället för den föreslagna lagen om användningsbegräns- ningar. Den frågan behandlar regeringen i avsnitt 6.14.

Lagens syfte, förstärkt dataskydd, kan sägas tala för att den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt sam- arbete inom Europeiska unionen ska tillämpas omedelbart, dvs. även på uppgifter som har överförts före lagens ikraftträdande. Praktiska skäl talar emellertid med styrka mot en sådan tillämpning. Regeringen före- slår därför att lagen ska tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft. Datainspektio- nen ifrågasätter om en sådan lösning är förenlig med rambeslutet.

Regeringen gör följande bedömning. Det kan vara förenat med bety- dande svårigheter att identifiera alla uppgifter som kan ha överförts tidi- gare, eftersom de redan kan ha sammanblandats med andra uppgifter. Dessutom måste man då klarlägga när de överfördes eller gjordes till- gängliga och för vilka ändamål. Vidare kan uppgifterna redan ha använts på ett sätt som inte i alla detaljer överensstämmer med rambeslutets krav. Syftet med rambeslutet är att förstärka det framtida dataskyddet som en motvikt till det ökade informationsutbytet, vilket inte innebär att tidigare överförda uppgifter saknar dataskydd. Regeringen anser därför att den föreslagna lösningen är väl förenlig med rambeslutet.

Lagrådet anser att den föreslagna övergångsbestämmelsen bör utgå och menar att tillämpningsproblem av det slag regeringen redovisar inte är något unikt för den aktuella lagen. Lagrådet framhåller att den nya lagen åtminstone bör kunna tillämpas i de fall där uppgifternas ursprung

och karaktär står klar. Regeringen har respekt för Lagrådets synsätt och

126

instämmer i att dataskyddet naturligtvis så långt det är möjligt ska tillgo- Prop. 2012/13:73 doses. Enligt regeringens mening får det dock inte råda oklarhet i fråga

om vilka uppgifter som omfattas av den nya lagen. Även om både ursprunget och bakgrunden till överföringen av en äldre uppgift i vissa fall är känd, kan det vara svårt att i efterhand klarlägga för vilket eller vilka närmare ändamål uppgiften överfördes. Före lagens tillkomst har det sällan funnits anledning att diskutera den frågan närmare eller dokumentera detta. På motsvarande sätt kan det vara svårt att i efterhand få ett sådant medgivande som krävs för att en uppgift ska få föras vidare till exempelvis ett tredjeland eller enskild. En retroaktiv tillämpning av lagen väcker dessutom frågan hur långt tillbaka i tiden regleringen sträcker sig. Ju äldre uppgiften är desto svårare blir det för både myndigheter och tillsynsorgan att avgöra om uppgiften behandlas i enlighet med lagen. Av dessa skäl anser regeringen att lagen bör tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft.

Den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån innehåller en straffbestämmelse. Förslaget innebär en kriminalisering av något som tidigare inte varit straffbelagt. Enligt 5 § andra stycket lagen (1964:163) om införande av brottsbalken ska straff bestämmas efter den lag som gällde när gärningen företogs. Gäller annan lag när dom medde- las ska den lagen, enligt samma lagrum, tillämpas om den leder till frihet från straff eller till lindrigare straff. Bestämmelsen anses generellt till- lämplig vid ändringar i strafflagstiftningen och nykriminalisering och innebär att i valet mellan äldre och ny lag ska den lag väljas som för den tilltalade är minst ingripande. Några särskilda övergångsbestämmelser behövs därför inte till den nu aktuella lagen.

Övriga lagändringar kräver inga övergångsbestämmelser.

9

Konsekvenserna av förslagen

 

 

 

Regeringens bedömning: De eventuella merkostnader som förslagen

 

kan ge upphov till kan finansieras inom befintliga anslag.

 

 

Utredningens bedömning överensstämmer med regeringens.

 

 

Remissinstanserna: Det övervägande antalet remissinstanser yttrar sig

 

inte i fråga om ekonomiska konsekvenser av utredningens förslag.

 

Ekobrottsmyndigheten anser dock att bedömningen av hur omfattande

 

kostnaderna för framtagande av ett system för märkning kommer att bli

 

kräver en närmare analys av hur märkningen kan genomföras. Att införa

 

ett sådant system kräver både tid och resurser. Det är viktigt att kravet på

 

märkningssystem, både i omfattning och i tid, överensstämmer med vad

 

som är möjligt för myndigheterna att realisera. Att märkningen dessutom

 

bör följa med från myndighet till myndighet medför att systemet blir än

 

mer komplicerat. Kriminalvården framför liknande synpunkter. Krono-

 

fogdemyndigheten anser att det utan fördjupade analyser av förslagets

 

effekter inte är möjligt att fullt ut bedöma de tekniska anpassningar av

 

datastödet som märkningen kräver. Om märkningen av uppgifter inte går

127

Prop. 2012/13:73

att genomföra inom ramen för befintligt datastöd, kommer det dock att

 

krävas ett omfattande utvecklingsarbete vars kostnadsmässiga konse-

 

kvenser uppskattas till ca 1,7–4,3 miljoner kr. Kronofogdemyndigheten

 

bedömer, i motsats till utredningen, att den kostnaden inte ryms inom

 

befintliga budgetramar. Uppsala universitet påpekar, mot bakgrund av

 

den svåröverskådliga reglering som numera gäller för internationellt

 

samarbete och informationsutbyte inom rättsväsendet och de ofta mycket

 

känsliga och integritetskränkande uppgifter som aktualiseras, att förut-

 

sättningarna för Datainspektionen att bedriva en effektiv tillsyn är av

 

central betydelse. Frågan om Datainspektionen har tillräckliga resurser

 

och kompetens inom det aktuella området för att faktiskt kunna bedriva

 

en effektiv tillsyn har inte berörts.

 

Utkastet till lagrådsremiss överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Kriminalvården och Uppsala universitet vid-

 

håller sina i tidigare remissyttranden redovisade synpunkter. Domstols-

 

verket delar inte bedömningen att anpassningskostnaderna för ett märk-

 

ningssystem bör bli begränsade mot bakgrund av att det totalt sett kom-

 

mer att röra sig om en mindre mängd uppgifter som överförs i enlighet

 

med den nya lagstiftningen och menar att det står klart att det kommer att

 

bli nödvändigt med ett resurstillskott för verkets utvecklingsverksamhet.

 

Kronofogdemyndigheten framhåller att utvecklingskostnaden torde vara

 

oberoende av om det är en större eller mindre mängd uppgifter som ska

 

hanteras i det nya systemet.

 

Skälen för regeringens bedömning: Genomförandet av återstående

 

delar av dataskyddsrambeslutet innebär inte någon utökning av informa-

 

tionsutbytet. Rambeslutet och de föreslagna författningsändringarna

 

påverkar ändå alla myndigheter vars verksamhet helt eller delvis inne-

 

fattar brottsbekämpning, lagföring eller verkställighet av påföljder. Även

 

om myndigheterna i fråga utbyter information över gränserna i olika stor

 

utsträckning, kräver dataskyddsrambeslutet att det vid alla myndigheter

 

ska vara möjligt att särbehandla sådana uppgifter som omfattas av de nya

 

reglerna. De föreslagna författningsändringarna förutsätter således någon

 

form av märkning. Det är dock inte nödvändigt att skapa några nya data-

 

system för detta ändamål. Några kostnader för nya databaser behöver

 

därför inte beräknas. En märkning av elektroniska uppgifter kan dock,

 

beroende på hur den utformas, kräva viss anpassning av befintliga regis-

 

ter och databaser. Eftersom det endast handlar om sådana uppgifter som

 

skickas över gränserna, rör det sig totalt sett om en mindre mängd upp-

 

gifter. Beroende på mängden uppgifter som hos en myndighet omfattas

 

av den nya lagen, kan det inte ens uteslutas att märkningen kan ske

 

manuellt. Anpassningskostnaderna bör därför bli begränsade. Merparten

 

av kostnaderna kan förväntas uppstå i samband med den initiala tekniska

 

översynen och vid eventuell anpassning av befintliga system. Farhågorna

 

som Kriminalvården och Kronofogdemyndigheten hyser bör därför inte

 

överdrivas. Utgångspunkten är således, trots vad Domstolsverket och

 

Kronofogdemyndigheten anför, att kostnaderna kan hanteras inom ramen

 

för befintlig budget.

 

Dataskyddsrambeslutet och de föreslagna författningsändringarna in-

 

nebär, som nyss nämnts, inte i sig något utökat informationsutbyte hos de

128

berörda myndigheterna. Av samma skäl torde inte Datainspektionens

tillsynsuppgifter öka. Några kostnader för ökad arbetsbelastning som Prop. 2012/13:73 Uppsala universitet befarar torde därför inte uppkomma hos myndig-

heterna.

Genomförandet av återstående delar av Europolrådsbeslutet bedöms inte leda till några kostnadsökningar.

Inte heller i övrigt kommer enligt regeringens mening förslagen att få några konsekvenser som bör redovisas här.

10

Författningskommentar

 

10.1

Förslaget till lag med vissa bestämmelser om

 

 

skydd för personuppgifter vid polissamarbete

 

 

och straffrättsligt samarbete inom Europeiska

 

 

unionen

 

Lagens syfte

 

Rubriken har utformats i enlighet med Lagrådets förslag.

 

1 § Genom

denna lag genomförs rådets rambeslut 2008/977/RIF av den

 

27 november 2008 om skydd av personuppgifter som behandlas inom ramen för

 

polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

 

Lagen är ny. Genom lagen genomförs de sista delarna av rådets rambe-

 

slut 2008/977/RIF av den 27 november 2008 om skydd av personupp-

 

gifter som behandlas inom ramen för polissamarbete och straffrättsligt

 

samarbete (dataskyddsrambeslutet). Lagen innehåller framförallt bestäm-

 

melser om tillåtna ändamål för vidarebehandling och villkor om använd-

 

ningsbegränsningar samt särskilda bestämmelser om överföring av upp-

 

gifter till enskilda, till tredjeland och till internationella organ.

 

I paragrafen upplyses om att lagen genomför dataskyddsrambeslutet.

 

Lagens tillämpningsområde

 

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till

 

syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller

 

beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen

 

för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgäng-

 

liga eller överförs eller har överförts mellan en svensk myndighet och

 

1. en stat som är medlem i Europeiska unionen (EU),

 

2. Island, Norge, Schweiz eller Liechtenstein,

 

3. ett EU-organ, eller

 

4. ett EU-informationssystem.

 

När svenska myndigheter överför personuppgifter till eller gör sådana uppgif-

 

ter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmel-

 

serna i 3 och 9 §§, med de begränsningar som följer av 4 §.

 

Paragrafen, som genomför artikel 1.2 a–c i rambeslutet, innehåller be-

 

stämmelser om vilka uppgifter som lagen ska tillämpas på. Den reglerar

129

Prop. 2012/13:73

tillsammans med 3 och 4 §§ lagens tillämpningsområde. Paragrafen

 

behandlas i avsnitt 6.4.1.

 

Med personuppgifter avses här detsamma som i 3 § personuppgiftsla-

 

gen (1998:204), dvs. all slags information som direkt eller indirekt kan

 

hänföras till en fysisk person som är i livet. Med behandling avses också

 

detsamma som i 3 § personuppgiftslagen, dvs. varje åtgärd eller serie av

 

åtgärder som vidtas i fråga om personuppgifter. Det kan röra sig om t.ex.

 

registrering, organisering, lagring, bearbetning, utlämnande och förstö-

 

ring.

 

Första stycket, som utformats i enlighet med Lagrådets synpunkter,

 

anger att lagen gäller vid behandling av sådana personuppgifter som

 

överförs inom ramen för polissamarbete eller straffrättsligt samarbete och

 

behandlas i verksamhet som har till syfte att förebygga, förhindra eller

 

upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa

 

straffrättsliga påföljder. Vidare anges varifrån uppgifterna ska härröra

 

eller vart de ska skickas för att lagen ska vara tillämplig. Lagen är till-

 

lämplig på uppgifter som en svensk myndighet erhåller från eller skickar

 

till en annan EU-medlemsstat (punkt 1) eller Island, Norge, Schweiz eller

 

Liechtenstein (punkt 2). Enligt rambeslutet ska det vidare tillämpas på

 

uppgifter från och till EU-organ eller informationssystem som inrättats i

 

enlighet med avdelning VI i fördraget om Europeiska unionen eller för-

 

draget om upprättande av Europeiska gemenskapen. Detta innebär att

 

även uppgifter som en svensk myndighet erhåller från eller skickar till ett

 

EU-organ, t.ex. Europol, eller ett EU-informationssystem som avser

 

polissamarbete eller straffrättsligt samarbete, t.ex. Europol Information

 

System (EIS), omfattas av lagen. En slagning i EIS som resulterar i per-

 

sonuppgifter omfattas alltså av lagens tillämpningsområde. Det sagda

 

gäller dock bara när uppgifterna behandlas i verksamhet som har till syfte

 

att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller

 

beivra brott, eller verkställa straffrättsliga påföljder. Begreppen ”över-

 

förs” och ”görs tillgängliga” används i dataskyddsrambeslutet och inne-

 

börden av begreppen ska förstås utifrån rambeslutets syfte och samman-

 

hang.

 

Lagen ska tillämpas bl.a. på uppgifter som polisen får från polismyn-

 

digheter i andra stater eller från Europol. Som exempel kan nämnas upp-

 

gifter om misstänkta brottslingar som tillhandahålls av en polismyndig-

 

het i en annan EU-stat. Lagen är också tillämplig exempelvis på uppgif-

 

ter som Tullverket mottar vid europeiskt samarbete mot gränsöverskri-

 

dande brottslighet, såsom tips om en misstänkt narkotikakurir eller sådan

 

information om en kontrollerad leverans av narkotika som innefattar

 

personuppgifter. Lagen är vidare tillämplig när en svensk brottsbekäm-

 

pande myndighet begärt personinformation från en motsvarande euro-

 

peisk myndighet. Lagen ska också tillämpas på personuppgifter i en

 

framställning från en myndighet i en annan medlemsstat om förhör i

 

Sverige med en viss utpekad person.

 

Lagen reglerar även vidarebehandling av uppgifter som erhållits för det

 

primära syftet att förebygga, förhindra eller upptäcka brottslig verksam-

 

het, utreda eller beivra brott, eller verkställa straffrättsliga påföljder. Det

 

innebär att lagen även kommer att kunna påverka i vilken utsträckning

 

uppgifter som omfattas av lagens tillämpningsområde kan användas för

130

annan polisiär verksamhet än brottsbekämpning och för administrativa

förfaranden med anknytning till brottsbekämpning, t.ex. indragning av körkort. Behandling för historiska, statistiska och vetenskapliga ändamål är ett annat exempel på vidarebehandling. Dessa frågor behandlas när- mare i kommentaren till 5 §.

Visst informationsutbyte undantas genom bestämmelser i 4 §. Som framgår av 3 § omfattar regleringen bara sådan behandling av personupp- gifter som är helt eller delvis automatiserad eller som ingår i register.

Det andra stycket anger att när svenska myndigheter gör tillgängliga eller överför sådana personuppgifter som omfattas av lagens tillämp- ningsområde till en annan EU-stat eller annan mottagare som anges i lagen, gäller endast bestämmelserna i 3och 9 §§, med de begränsningar som följer av 4 §. Som exempel kan nämnas att en svensk polisman sän- der över personuppgifter som underlag för ett förhör som på svensk be- gäran ska hållas i en annan medlemsstat, eller när en svensk åklagare sänder personuppgifter i syfte att en tjänsteman i en annan stat ska kunna bedöma om man kan ta över lagföringen för ett visst brott. Ett annat exempel är att Kriminalvården begär att en annan stat som omfattas av rambeslutet ska ta över verkställigheten av ett straff som har utdömts i Sverige. Stycket har utformats med beaktande av Lagrådets synpunkter.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen, som genomför artikel 1.3 i rambeslutet, preciserar vilka per- sonuppgifter som omfattas av lagen. Paragrafen kommenteras i avsnitt 6.4.1.

Paragrafen, som är utformad efter mönster av 5 § personuppgiftslagen (1998:204), har samma innebörd som den paragrafen. Lagen gäller såle- des framförallt sådana personuppgifter som behandlas helt eller delvis automatiserat. Det avgörande är om uppgifterna behandlas helt eller delvis automatiserat hos svenska myndigheter. Numera är automatiserad behandling oftast elektronisk. Om uppgifterna överförs eller görs till- gängliga i elektronisk form ska lagen således tillämpas. Det innebär exempelvis att uppgifter som lämnas i ett e-postmeddelande eller som vidarebefordras som bilaga i ett sådant meddelande faller under tillämp- ningsområdet. Även uppgifter i annan form, t.ex. uppgifter i pappers- form, omfattas av lagens tillämpningsområde, under förutsättning att uppgifterna hos den svenska myndigheten ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen är också tillämplig på uppgifter som överförs i pappersform men som därefter behandlas elektroniskt.

4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.

Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom

1.informationsutbyte som hänför sig till Schengens informationssystem (SIS),

2.informationsutbyte genom Tullinformationssystemet (TIS),

Prop. 2012/13:73

131

Prop. 2012/13:73

132

3.uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller

4.åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.

Paragrafen, som genomför artikel 1.4 och artikel 28 i rambeslutet, regle- rar undantag från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 6.4.2 och 6.14.

I det första stycket, som utformats enligt Lagrådets förslag, undantas från lagens tillämpningsområde sådan behandling av personuppgifter som rör nationell säkerhet. Undantaget för nationell säkerhet omfattar dels underrättelseverksamhet, dels brottsutredande verksamhet och lagfö- ring av sådana brott som kan anses hota nationell säkerhet samt verkstäl- lighet av påföljder för sådana brott.

Med nationell säkerhet avses här framför allt verksamhet till skydd för rikets säkerhet, men också exempelvis terrorismbekämpning och person- skydd för framför allt centrala statsledningen. Även bekämpning av andra brott där uppgifter om nationell säkerhet ingår kan omfattas av undantaget.

Undantaget har framförallt betydelse för Säkerhetspolisen, vars nuva- rande verksamhet i allt väsentligt faller utanför lagens tillämpningsom- råde. Även andra myndigheter kan dock träffas av undantaget. Som exempel kan nämnas viss verksamhet vid åklagarkammaren för säker- hetsmål. Även andra åklagare kan komma att beröras av undantaget vid hantering av en förundersökning eller annan åklagarfråga där uppgifter om nationell säkerhet ingår. Likaså kan undantaget vara tillämpligt när en domstol handlägger bl.a. mål om brott mot rikets säkerhet eller tvångsmedelsfrågor med sådan anknytning. Det är således inte vissa myndigheter som undantas utan viss verksamhet.

I andra stycket undantas från lagens tillämpningsområde sådant infor- mationsutbyte som hänför sig till Schengens informationssystem (SIS) eller sker genom Tullinformationssystemet (TIS) eller med stöd av Prüm- rådsbeslutet. Nu nämnda informationsutbyten regleras i stället i andra författningar. Undantaget för Schengens informationssystem omfattar, förutom de uppgifter som registreras i SIS, även s.k. tilläggsinformation enligt 12 § lagen (2000:344) om Schengens informationssystem. Undan- tag görs också för brottsbekämpande myndigheters åtkomst till VIS med stöd av VIS-rådsbeslutet.

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behand- las för andra ändamål än det som uppgifterna först överfördes eller gjordes till- gängliga för, om syftet med behandlingen är att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller be- ivra brott eller verkställa straffrättsliga påföljder,

2.vidta åtgärder i rättsliga eller administrativa förfaranden med direkt an-

knytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller

3. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får även behandlas för andra ändamål än dem som anges i

första stycket, om den som överfört eller gjort uppgifterna tillgängliga har läm- nat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Personuppgifter får också behandlas för historiska, vetenskapliga och statis- tiska ändamål.

Paragrafen, som genomför artikel 11 a–d i rambeslutet, anger för vilka ändamål en svensk myndighet får vidarebehandla uppgifter som omfattas av lagen. Den kommenteras i avsnitt 6.6.2. Paragrafen har utformats i enlighet med Lagrådets förslag.

En självklar utgångspunkt i lagen är att personuppgifter alltid får be- handlas för det ändamål för vilket de ursprungligen överfördes eller gjor- des tillgängliga. För att frågan om vidarebehandling, vilket denna para- graf reglerar, över huvud taget ska aktualiseras måste självfallet behand- lingen i fråga vara nödvändig och tillåten enligt den svenska lagstiftning- en om personuppgiftsbehandling. Eventuell vidarebehandling får inte heller strida mot villkor enligt 8 §.

Av första stycket framgår att vidarebehandling alltid är tillåten – utöver för det ändamål för vilket personuppgifterna ursprungligen överfördes eller gjordes tillgängliga – för vissa andra i paragrafen angivna ändamål.

Första stycket första punkten ger generell möjlighet att behandla per- sonuppgifter som omfattas av lagen i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, i andra fall än det för vilka uppgifterna över- fördes eller gjordes tillgängliga. Härigenom skapas bl.a. förutsättningar för att använda överförda uppgifter för i princip all brottsbekämpande verksamhet. För åklagarväsendets del innebär regleringen att uppgifter får användas för förundersökning och lagföring beträffande andra brott. Kriminalvården och andra myndigheter som verkställer påföljder får använda uppgifterna för verkställighet av andra påföljder. Det sagda gäller dock inte om den som översänt eller gjort uppgifterna tillgängliga i ett enskilt fall har ställt som villkor att användningen av uppgifterna begränsas på visst sätt, se kommentaren till 8 §.

Första stycket andra punkten ger möjlighet att behandla personuppgif- ter som omfattas av lagen i syfte att fatta beslut och vidta åtgärder i rätts- liga eller administrativa förfaranden med direkt anknytning till att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Punkten kan vara tillämplig exempelvis vid handläggning av frågor om disciplinansvar, körkorts- återkallelse, kontakt- eller tillträdesförbud och indragning av legitimation som grundas på sådana uppgifter om brott eller brottslig verksamhet som överförts eller gjorts tillgängliga med stöd av rambeslutet.

Första stycket tredje punkten ger även möjlighet att behandla person- uppgifter i syfte att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Exempel på situationer som kan föranleda behandling med stöd av denna punkt är omedelbar och allvarlig fara för allmän säkerhet som uppkommer i samband med kapning av flygplan eller andra kommuni- kationsmedel eller vid vissa idrottsevenemang av högriskkaraktär.

I andra stycket anges att vidarebehandling av personuppgifter som om- fattas av lagen får ske också för andra ändamål, under förutsättning att

Prop. 2012/13:73

133

Prop. 2012/13:73

134

den som överfört eller gjort uppgifterna tillgängliga lämnar sitt medgi- vande till den nya behandlingen. Detsamma gäller om den enskilde själv samtycker till behandlingen. Om den överförande staten inte har varit villig att ge sitt medgivande, ligger det dock nära till hands att avstå från den nya behandlingen även om den enskilde skulle samtycka till den. Den som överfört uppgifterna kan ju nämligen ha verksamhetsskäl för att inte acceptera vidarebehandling.

I tredje stycket anges att det alltid är tillåtet att behandla personuppgif- ter för historiska, vetenskapliga och statistiska ändamål.

Den aktuella paragrafen utgör den yttre ramen för vidarebehandling av uppgifter som omfattas av lagens tillämpningsområde. Om det i annan lagstiftning finns avvikande bestämmelser som inskränker möjligheterna till behandling ska även de beaktas.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.överföringen är nödvändig för att

a)myndigheten ska kunna fullgöra en författningsreglerad uppgift,

b)förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

c)avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller

d)förhindra att enskildas rättigheter allvarligt kränks, och

3.inga berättigade intressen hos den som uppgifterna avser hindrar att de

överförs.

Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Paragrafen, som genomför artikel 14 i rambeslutet, innehåller särskilda bestämmelser som måste iakttas om uppgifter som omfattas av lagen ska överföras till enskild. Paragrafen, som har utformats med beaktande av Lagrådets synpunkter, behandlas i avsnitt 6.13.

Regleringen i paragrafen hindrar inte ett utlämnande av allmänna hand- lingar enligt tryckfrihetsförordningen (se avsnitt 6.6.4). Jfr också 8 § personuppgiftslagen.

Enligt första stycket får överföring till enskild bara ske om de i punkt 1–3 angivna förutsättningarna samtidigt är uppfyllda. Punkterna 2 a–d är alternativa. Med enskild avses här t.ex. enskilda personer och företag, i motsats till myndigheter och andra offentliga organ. Som exempel på när andra punkten a kan vara tillämplig kan nämnas en författningsreglerad underrättelseskyldighet. Ett exempel på när det kan vara nödvändigt att lämna uppgifter enligt andra punkten c är om det finns uppgifter om förestående allvarliga störningar i samhällslivet som har samband med brott eller andra särskilda händelser som kan vålla omfattande ordnings- störningar. Andra punkten d kan vara tillämplig t.ex. om det är nödvän- digt att varna banker eller kreditinstitut för förekomsten av förfalskade sedlar eller värdepapper. Ett annat exempel på tillåten överföring enligt denna punkt är när uppgifter om fordonsstölder lämnas till försäkringsbo- lag för att förhindra olaglig handel över gränserna med stulna motorfor-

don eller för att kunna återföra stulna motorfordon från utlandet. Den Prop. 2012/13:73 tredje punkten innebär att den som vill överföra uppgifter måste försäkra

sig om att en sådan överföring inte hindras av några berättigade intressen hos den som uppgifterna rör. Om det skulle ligga i den enskildes eget intresse att uppgifterna överförs, exempelvis för att ett brottsoffer ska kunna återfå egendom, bör en överföring alltid kunna ske, även om det inte finns ett formellt samtycke från honom eller henne.

I andra stycket, som återspeglar skäl 17 och 18 i rambeslutet, finns ett viktigt undantag. Begränsningarna i första stycket gäller inte vid överfö- ring av uppgifter till enskilda vid handläggningen av brottmål. Bestäm- melsen begränsar således inte möjligheterna för bl.a. parter, målsägande- ombud och offentliga försvarare att få del av uppgifter i samband med förundersökning och åtal. Regleringen hindrar inte heller att exempelvis Kriminalvården vidarebefordrar uppgifter till enskilda i enlighet med den lagstiftning som gäller för behandling i häkte. Eftersom sådant utläm- nande ofta sker i pappersform används här formuleringen lämnas i stället för överförs.

Överföring av personuppgifter till tredjeland eller internationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1–4, överföras till tredjeland eller interna- tionella organ. Uppgifterna får dock endast överföras om

1.den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,

2.det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,

3.mottagaren har ansvar för sådan verksamhet som anges i 2, och

4.den stat där den mottagande myndigheten eller det mottagande internatio- nella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbe- handlingen.

Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräck- liga skyddsåtgärder för personuppgifterna.

Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.

Paragrafen, som genomför artikel 13.1–3, anger vilka särskilda regler som måste iakttas om uppgifter som omfattas av lagen ska överföras till tredjeland eller ett internationellt organ. Paragrafen behandlas i avsnitt 6.12. Paragrafen har utformats med beaktande av Lagrådets synpunkter.

Av första stycket framgår att uppgifter som omfattas av lagen får över- föras till eller göras tillgängliga för, förutom dem som anges i 2 § första stycket 1–4, tredjeland och internationella organ. Överföring till tredje-

135

Prop. 2012/13:73

land eller internationella organ får dock endast ske om de i punkterna 1–4

 

i denna paragraf angivna förutsättningarna samtidigt är uppfyllda.

 

En grundläggande förutsättning, som anges i den första punkten, är att

 

den som från början överförde eller gjorde uppgifterna tillgängliga med-

 

ger att överföring sker. Kravet i andra punkten innebär en generell be-

 

gränsning av de ändamål för vilka personuppgifter som omfattas av lagen

 

får skickas vidare till tredjeland och internationella organ. Överföringen

 

av uppgifterna måste vara nödvändig för att förebygga, förhindra eller

 

upptäcka brottslig verksamhet eller för att utreda eller beivra brott eller

 

verkställa straffrättsliga påföljder.

 

Den tredje punkten innebär en begränsning av vilka utländska motta-

 

gare som kan få del av personuppgifter som omfattas av lagen. Motta-

 

garen behöver inte ha samma uppgifter som den svenska myndighet som

 

överför uppgifterna eller gör dem tillgängliga. Det finns således inget

 

som hindrar att exempelvis en svensk åklagare lämnar uppgifter till en

 

utländsk polismyndighet eller en utländsk domstol. När det gäller inter-

 

nationella organ är det framför allt Interpol som är av intresse. Även

 

vissa utredningsorgan under FN torde kunna ha sådana uppgifter som

 

anges i punkt 2 och därmed omfattas av förevarande punkt.

 

Enligt fjärde punkten krävs slutligen att den stat där den myndighet

 

eller det internationella organ finns som ska ta emot personuppgifterna

 

har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

 

Bedömningen av om mottagaren har en adekvat skyddsnivå får avgöras

 

med hänsyn till samtliga omständigheter. Särskild hänsyn bör tas till

 

uppgifternas art, den avsedda behandlingen och dess ändamål och varak-

 

tighet, vem mottagaren är och vilken lagstiftning som gäller för motta-

 

garen. Hänsyn kan även tas till de säkerhetsbestämmelser som finns och

 

eventuella etiska regler för behandlingen. Generellt sett torde bl.a. Inter-

 

pol och utredningsorgan under FN uppfylla kraven. Bestämmelsen har

 

viss motsvarighet i 35 § personuppgiftslagen (1998:204).

 

I andra stycket finns en ventil som ger möjlighet att göra undantag från

 

kravet på adekvat skyddsnivå. Enligt detta stycke får i ett enskilt fall per-

 

sonuppgifter överföras trots att en adekvat skyddsnivå inte kunnat fast-

 

ställas, om ett berättigat intresse hos den som uppgifterna avser eller ett

 

viktigt allmänt intresse föranleder det, eller om mottagaren i det tredje-

 

landet eller det internationella organet i det enskilda fallet garanterar

 

tillräckliga skyddsåtgärder för personuppgifterna. Exempel på skyddsåt-

 

gärder är bl.a. åtagande att inte sprida uppgifterna vidare eller att gallra

 

uppgifterna vid viss tidpunkt.

 

Om det på grund av tidsbrist inte är möjligt i förväg inhämta medgi-

 

vande från den som överfört uppgifterna till Sverige finns det enligt

 

tredje stycket möjlighet att överföra personuppgifter utan medgivande.

 

För att detta ska vara tillåtet krävs dock att åtgärden är nödvändig för att

 

avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige

 

eller utomlands eller för att tillgodose andra väsentliga intressen för

 

Sverige eller en annan medlemsstat i EU. Möjligheten att överföra upp-

 

gifter utan medgivande i förväg ska betraktas som en nödlösning. En

 

konkret och akut risk för terrorattentat eller flygplanskapning kan vara

 

exempel på situationer där det kan vara nödvändigt att utnyttja denna

 

möjlighet. Ett annat exempel kan vara en plötslig omdestinering av ett

136

större parti narkotika.

Villkor om användningsbegränsningar

Prop. 2012/13:73

Villkor som ställs upp av andra stater eller EU-organ

 

8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan för- fattning.

Det som sägs i första stycket hindrar inte att uppgifter behandlas efter ut- gången av en sådan tidsfrist för gallring som angetts som villkor vid överfö- ringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.

I första stycket, som tillsammans med 9 § genomför artikel 12 i rambe- slutet, anges vad som gäller om en svensk myndighet erhållit uppgifter som omfattas av lagen och överföringen eller tillgängliggörandet förenats med villkor för användningen av uppgifterna. Paragrafen behandlas i avsnitt 6.7.1.

Om den som överfört eller gjort uppgifter tillgängliga har ställt upp

 

särskilda villkor för hur en viss uppgift får behandlas, t.ex. för vilka

 

ändamål detta får ske, när uppgiften tidigast får användas eller hur länge

 

uppgiften får bevaras, ska enligt paragrafen villkoren följas av svenska

 

myndigheter. Detta gäller oavsett vad som annars är föreskrivet i lag eller

 

annan författning. Förundersökningsplikten och åtalsplikten kan alltså få

 

vika för ett villkor om användningsbegränsning. Som Lagrådet påpekar

 

avses med ”svenska myndigheter” också domstolar. Ett begränsande

 

villkor följer med uppgiften om den lämnas vidare till en annan myndig-

 

het (se prop. 1990/91:131 s. 15 f. och JO 2007/08 s. 57 f.). Bestämmelser

 

om användningsbegränsningar med likartad innebörd finns bl.a. i 3 §

 

lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 1 §

 

lagen (2000:562) om internationell rättslig hjälp i brottmål.

 

Enligt andra stycket får under vissa förutsättningar uppgifterna använ-

 

das, trots att de skulle ha gallrats enligt meddelade villkor om gallrings-

 

frist. Undantaget omfattar bara uppgifter som behövs för en redan på-

 

börjad utredning eller för pågående beivrande av brott eller verkställighet

 

av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre

 

behövs för ett sådant ändamål.

 

Villkor när svenska myndigheter överför uppgifter eller gör uppgif-

 

ter tillgängliga

 

9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgif-

 

ter tillgängliga för någon av dem som anges i 2 § första stycket 1–4, ska myndig-

 

heten underrätta mottagaren om de särskilda villkor som gäller för använd-

 

ningen av uppgifterna. Villkoren får inte innebära andra begränsningar än

 

sådana som gäller vid överföring inom Sverige och får inte heller strida mot en

 

internationell överenskommelse som är bindande för Sverige.

 

Paragrafen genomför tillsammans med 8 § artikel 12 i rambeslutet. Para-

 

grafen behandlas i avsnitt 6.7.2.

 

Enligt paragrafen åligger det den svenska myndighet som överför per-

 

sonuppgifter till någon av dem som anges i 2 § första stycket 1–4 att

 

underrätta mottagaren om de särskilda villkor som gäller för användning-

137

Prop. 2012/13:73 en av uppgifterna. Sådana villkor får inte innebära andra begränsningar än de som gäller för överföring inom Sverige. Andra villkor än sådana som hade kunnat ställas upp gentemot en svensk mottagare, t.ex. med hänsyn till sekretess, får alltså inte ställas upp gentemot den utländska mottagaren. Ett villkor får inte heller innebära strängare krav på gallring än vad som kunnat ställas gentemot en svensk mottagare.

Som exempel på när det kan vara aktuellt att ange villkor kan nämnas att användningen av uppgifterna kan påverka en pågående svensk förun- dersökning som är i ett känsligt utredningsskede. Då kan det finnas skäl att ange villkor om hur och när uppgifterna får användas för att skydda den svenska brottsutredningen; jfr 18 kap. 1 § offentlighets- och sekre- tesslagen (2009:400). Ett annat exempel är att det är fråga om uppgifter för vilka det gäller sekretess enligt svensk rätt och vilkas röjande skulle kunna innebära skada för enskild. I sådana fall kan villkor ställas upp för att skydda den till vars förmån sekretessen gäller. Ytterligare ett exempel är att uppgifterna har inhämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Om sådana uppgifter överlämnas finns det skäl att ställa villkor om att materialet ska förstöras när det rättsliga förfarandet är avslutat i den andra staten, eftersom sådant material enligt svenska regler ska förstöras när domen vunnit laga kraft.

Även sådana särskilda begränsningar som föranleds av en internatio- nell överenskommelse som är bindande för Sverige kan aktualisera vill- kor. Som exempel kan nämnas att det är fråga om uppgifter som en svensk myndighet har fått från en annan stat med villkor om begräns- ningar för användningen. Om den svenska myndigheten med ursprungs- statens medgivande sänder uppgifterna vidare till tredjeland framstår det som självklart att den svenska myndigheten måste ange motsvarande villkor för den nya mottagarens användning.

Bestämmelser av likartat slag finns bl.a. i 3 a § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål.

Övriga bestämmelser

Rubriken har utformats i enlighet med Lagrådets förslag.

10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personupp- giftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.

Paragrafen, som genomför artikel 19.2 i rambeslutet, behandlas i avsnitt 6.10.1. I paragrafen föreskrivs att bestämmelsen om jämkning i 48 § andra stycket personuppgiftslagen (1998:204) inte gäller för uppgifter som överförts till eller gjorts tillgängliga för svenska myndigheter med stöd av förevarande lag.

I fråga om uppgifter som behandlas av svenska myndigheter och som därefter överförs till t.ex. en annan medlemsstat – och som således var- ken har erhållits från ett EU-organ, en annan medlemsstat eller någon annan med tillämpning av rambeslutet – gäller dock personuppgiftsla-

138

gens jämkningsregel som vid annan nationell behandling (se 2 § andra Prop. 2012/13:73 stycket).

11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.

Paragrafen upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om skyddet av personuppgifter som omfattas av lagen. Sådana föreskrifter kan avse exempelvis gall- ringsbestämmelser (jfr avsnitt 6.7.2). Paragrafen har utformats i enlighet med Lagrådets förslag.

10.2Förslaget till lag om tystnadsplikt för anställda vid Europeiska polisbyrån

1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrät- tande av Europeiska polisbyrån (Europol), får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.

I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.

Lagen är ny. Den behandlas i avsnitt 7.5.

Lagens tillämpningsområde, som anges i paragrafens första stycke, omfattar vissa personer verksamma vid Europol. Lagen gäller både för personer som fortfarande tjänstgör vid Europol och personer vilkas tjänstgöring har upphört. En förutsättning för att lagen ska vara tillämplig är att personen i fråga har ålagts tystnadsplikt enligt artikel 41.2 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolrådsbeslutet. Tystnadsplikt kan åläggas de som är anställda vid Europol. Det kan vara fråga bl.a. om direktören och de biträdande direktörerna och andra anställda i Europol. Tystnadsplikt kan också åläggas ledamöter i styrelsen för Europol. Även andra perso- ner kan åläggas tystnadsplikt enligt nämnda artikel. Externa konsulter är exempel på sådana andra personer. Rådsbeslutet förutsätter att den som åläggs tystnadsplikt skriftligen informeras om detta.

Lagen förbjuder bara sådant uppgiftslämnande som sker obehörigen. Uppgiftslämnande som utgör ett led i arbetet vid Europol omfattas såle- des inte av förbudet. Som obehörigt röjande anses inte heller att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Om utlämnandet av en motsvarande uppgift skulle stå i överensstämmelse med regleringen i offentlighets- och sekretesslagen (2009:400), om upp- giften lämnades av en offentliganställd, får uppgiftslämnandet anses vara behörigt vid tillämpningen av denna lag. Rådsbeslutet undantar även ”sakförhållanden eller upplysning som är för obetydlig för att omfattas av sekretesskrav”. Detta kan närmast jämföras med uppgifter som an- tingen är allmänt kända eller vilkas röjande inte skulle anses innebära

139

Prop. 2012/13:73 något men i offentlighets- och sekretesslagens mening. Det kan således inte anses vara obehörigt att röja sådana uppgifter.

Röjande av uppgifter i strid med tystnadsplikten enligt denna lag be- straffas som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Reg- lerna om jurisdiktion i 2 kap. brottsbalken avgör möjligheterna att vid svensk domstol lagföra en person som begått brott mot förevarande lag. En person som är verksam vid Europol som sambandsman utsänd av en svensk myndighet har också tystnadsplikt enligt nyss nämnda artikel i Europolrådsbeslutet. Eftersom sådana sambandsmän är offentligt an- ställda i Sverige regleras deras tystnadsplikt inte i den nu aktuella lagen utan i offentlighets- och sekretesslagen vilket framgår av andra stycket, som har utformats med beaktande av Lagrådets synpunkter. Andra stycket upplyser vidare om att offentlighets- och sekretesslagen också gäller i fråga om den som inom ramen för ett uppdrag för en svensk myndighet har fått del av uppgifter som anges i första stycket.

10.3Förslaget till lag om ändring i lagen (1998:620) om belastningsregister

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a § Denna lag gäller utöver personuppgiftslagen (1998:204).

Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller ut- över personuppgiftslagen (1998:204).

1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp- giftslagen (1998:204). Detta gäller dock inte vid behandling av uppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kri- minalregistret och uppgifternas innehåll. Bestämmelsen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behand- ling.

Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid

140

polissamarbete och straffrättsligt samarbete inom Europeiska unionen Prop. 2012/13:73 finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av per- sonuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att föreva- rande lag gäller utöver personuppgiftslagen. Ett generellt undantag görs dock för behandling av personuppgifter som härrör från uppgiftsutbyte med stöd av rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalre- gistret och uppgifternas innehåll. Regleringen i 10 § lagen med vissa be- stämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, som undantar möjlig- heten att jämka skadeståndsersättning, ska dock tillämpas även på sådan behandling.

10.4Förslaget till lag om ändring i lagen (1998:621) om misstankeregister

Förhållandet till andra bestämmelser om personuppgiftsbehandling

1 a § Denna lag gäller utöver personuppgiftslagen (1998:204).

Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller ut- över personuppgiftslagen (1998:204).

1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp- giftslagen (1998:204).

Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets för- slag. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av per-

sonuppgifter som avviker från bestämmelserna i förevarande lag eller i

141

Prop. 2012/13:73 personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att föreva- rande lag gäller utöver personuppgiftslagen.

10.5Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar

1 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp- giftslagen (1998:204).

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.6Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrif- ter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte behandling av personuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.

Paragrafen, som behandlar förhållandet till andra bestämmelser om per- sonuppgiftsbehandling, är ny. Den kommenteras i avsnitt 6.16. Para- grafen har utformats i enlighet med Lagrådets förslag.

142

Första stycket innehåller en hänvisning till att det i den nya lagen Prop. 2012/13:73 (2013:000) med vissa bestämmelser om skydd för personuppgifter vid

polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

Första meningen i andra stycket klargör att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behan- dling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i förordningen till denna lag, ska bestämmelserna i den nya lagen tillämpas. Av sista meningen i stycket framgår att detta dock inte gäller uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümråds- beslutet).

10.7Förslaget till ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem

4 § När det gäller framställningar som rör personer får endast följande uppgifter registreras:

1.efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,

2.särskilda bestående fysiska kännetecken,

3.fotografier och fingeravtryck,

4.födelsedatum och födelseort,

5.kön,

6.medborgarskap,

7.om personen kan vara beväpnad eller kan tillgripa våld,

8.om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,

9.syftet med framställningen,

10.begärd åtgärd,

11.om en försvunnen person behöver omhändertas eller inte,

12.den myndighet som har lagt in registreringen,

13.en hänvisning till det beslut som har föranlett registreringen,

14.typ av brott som avses i framställningen, samt

15.övriga uppgifter som ska anges i en europeisk eller nordisk arresteringsor-

der.

Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.

Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om per- sonen som anges i första stycket 1–6 samt uppgifter om nummer och datum för personens identitetshandlingar.

I paragrafens första stycke punkten 11 har av förbiseende ett stavfel upp- kommit under tidigare lagstiftningsarbete. Ändringen består i att detta fel rättas till. I övrigt är paragrafen oförändrad.

143

Prop. 2012/13:73 10.8

Förslaget till lag om ändring i lagen (2001:184)

 

om behandling av personuppgifter i

 

Kronofogdemyndighetens verksamhet

1 kap.

3 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts till- gängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp- giftslagen (1998:204).

Paragrafen är ny. Den behandlas i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av per- sonuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att föreva- rande lag gäller utöver personuppgiftslagen.

Exempel på verksamhet hos Kronofogdemyndigheten där bestämmel- serna i den nya lagen kan behöva tillämpas är myndighetens uppgifter enligt lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen. Ett annat exempel är myndighetens uppgifter inom ramen för bl.a. tillsyn över näringsförbud; jfr 24 § tredje stycket lagen (1986:436) om näringsförbud.

 

10.9

Förslaget till lag om ändring i lagen (2001:617)

 

 

om behandling av personuppgifter inom

 

 

kriminalvården

 

2 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter

 

vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i

 

föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det

 

särskilda bestämmelser om behandling av personuppgifter som inom ramen för

 

polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts till-

 

gängliga av

 

 

1. en stat som är medlem i Europeiska unionen (EU),

 

2. Island, Norge, Schweiz eller Liechtenstein,

 

3. ett EU-organ, eller

144

4. ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- Prop. 2012/13:73 melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp-

giftslagen (1998:204).

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.10Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

1 a § I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda be- stämmelser om behandling av personuppgifter som följer av internationella över- enskommelser om polisiärt samarbete.

I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första och andra styckena finns avvi- kande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen reglerar förhållandet till andra bestämmelser om person- uppgiftsbehandling. Ändringen kommenteras i avsnitt 6.16.

Sista meningen i första stycket har brutits ut och placerats i ett nytt tredje stycke. I övrigt är första stycket oförändrat.

Det andra stycket är nytt och innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personupp- gifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

Det tredje stycket är också nytt, men motsvarar delvis den tidigare sista meningen i första stycket. Regleringen omfattar nu även lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att i den utsträckning det i de i första eller andra stycket angivna lagarna, eller i föreskrifter som regeringen har meddelat i anslutning till dessa, finns bestämmelser om personuppgiftsbehandling som saknar motsvarig- het i eller som avviker från vad som föreskrivs i förevarande lag, ska den andra författningens bestämmelser tillämpas i stället.

7 § Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra visst brott, eller

145

Prop. 2012/13:73

146

3. fullgöra förpliktelser som följer av internationella åtaganden.

Paragrafen reglerar de primära ändamålen för behandling av personupp- gifter i Tullverkets brottsbekämpande verksamhet. Ändringarna kom- menteras i avsnitt 6.4.1 och 6.6.5.

I förtydligande syfte har ordet ”förebygga” lagts till i den första punk- ten. Härigenom uppnås likformighet med hur motsvarande bestämmelser för andra brottsbekämpande myndigheter är utformade. Tillägget innebär att det görs tydligt att Tullverket får behandla personuppgifter i sin underrättelseverksamhet och annan verksamhet för att förebygga brott och brottslig verksamhet.

Den andra punkten är oförändrad.

I den tredje punkten har förtydligats att Tullverket generellt får be- handla personuppgifter i sin brottsbekämpande verksamhet i den ut- sträckning som krävs för att fullgöra internationella åtaganden.

Behandling av uppgifter som rör internationella åtaganden

15 § Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.

Paragrafen reglerar behandling av personuppgifter för att fullgöra inter- nationella åtaganden.

Det första stycket är oförändrat. I paragrafens andra stycke har en följdändring gjorts med anledning av att regleringen i 7 § 3 angående internationellt samarbete har gjorts generell. Ändringen kommenteras i avsnitt 6.6.5.

19 § Om förutsättningarna för behandling enligt 1, 7, 8 och 11–18 §§ är upp- fyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:

1.uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2.uppgifter om en juridisk persons identitet, firmatecknare, säte och verksam- het samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3.upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens tro- värdighet,

4.de omständigheter och händelser som är orsaken till att uppgifter om en per- son behandlas,

5.uppgifter om särskilda fysiska kännetecken,

6.uppgifter om varor, brottshjälpmedel och transportmedel,

7.varning om att en person tidigare varit beväpnad, våldsam eller flyktbenä-

gen,

8.ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskri- ver ett ärende,

9.administrativa åtgärder i ett ärende,

10.uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förplik- telser som följer av internationella åtaganden,

11. hänvisning till andra brottsbekämpande myndigheters databaser eller regi- Prop. 2012/13:73 ster i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är

skäligen misstänkt för ett visst brott också förekommer, samt 12. upplysningar som avses i 16 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tull- brottsdatabasen.

Paragrafen reglerar vilka uppgifter som får behandlas i tullbrottsdataba- sen. Ändringen är en följdändring till ändringen i 7 § 3.

I första stycket punkten 10 har hänvisningen till lagen om internatio- nellt tullsamarbete ändrats till en generell bestämmelse som anger att uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra sina internationella förpliktelser får behandlas i databasen. Ändringen kom- menteras i avsnitt 6.6.5. Vidare har språket moderniserats.

Både det andra och tredje stycket är oförändrade.

21 § Namn, personnummer och samordningsnummer får användas som sökbe- grepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid sökning

1.i ett visst ärende eller en viss handling,

2.efter den som en handling kommit in från eller expedierats till i ett ärende,

eller

3.för att Tullverket ska kunna fullgöra förpliktelser som följer av internatio- nella åtaganden.

Paragrafen reglerar villkor för sökning. Ändringen hör samman med änd- ringen i 7 § 3. Det första stycket är oförändrat.

I andra stycket har ytterligare ett undantag från bestämmelserna i första stycket gjorts (punkten 3). Undantaget innebär att sådana sökningar som krävs för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden får göras utan den begränsning som anges i första stycket. Stycket har också omarbetats redaktionellt. Ändringen kommenteras i avsnitt 6.6.5.

10.11Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

9 kap.

2 § Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2000:343) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsut- redningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom

Europeiska unionen,

147

 

Prop. 2012/13:73 8. lagen (1998:620) om belastningsregister,

9.lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och

10.lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

I paragrafen räknas upp bestämmelser som begränsar svenska myndig- heters rätt att fritt använda uppgifter som de fått från utlandet.

Paragrafen kompletteras med en ny punkt 10, vilken hänvisar till lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att det tydliggörs att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns även i nämnda lag.

Ändringen behandlas i avsnitt 6.17.

10.12Förslaget till lag om ändring i polisdatalagen (2010:361)

1kap.

2b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det

särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.13Förslaget till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister

2 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

148

Om det i de författningar som anges i första stycket finns avvikande bestäm- Prop. 2012/13:73 melser, ska de tillämpas i stället för bestämmelserna i denna lag och personupp-

giftslagen (1998:204).

Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.

10.14Förslaget till lag om ändring i kustbevakningsdatalagen (2012:145)

1kap.

2a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter

vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första stycket finns avvikande bestäm- melser, ska de tillämpas i stället för bestämmelserna i denna lag.

Paragrafen är ny. Bestämmelsen kommenteras i avsnitt 6.16.

Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.

I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av per- sonuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas.

I 1 kap. 4 § och 3 kap. 6 § kustbevakningsdatalagen definieras och anges vissa begrepp som rör hanteringen av personuppgifter (”gemen- samt tillgängliga” och ”får lämnas till”) som skiljer sig åt i förhållande till 2 § förslaget till den nya lagen (”har överförts” och ”gjorts tillgäng- liga”). De begrepp som föreslås i den nya lagen påverkar inte tillämp- ningen av begreppen i kustbevakningsdatalagen.

149

L 350/60

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I

FÖRDRAGET OM EUROPEISKA UNIONEN

RÅDETS RAMBESLUT 2008/977/RIF

av den 27 november 2008

om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionen, särskilt artiklarna 30, 31 och artikel 34.2 b,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1), och

av följande skäl:

(1)Europeiska unionen har som mål att bevara och utveckla unionen som ett område med frihet, säkerhet och rättvisa inom vilket en hög säkerhetsnivå ska uppnås genom gemensamma insatser från medlemsstaternas sida när det gäller polissamarbete och straffrättsligt samarbete.

(2)Gemensamma insatser på polissamarbetets område i en­ lighet med artikel 30.1 b i fördraget om Europeiska uni­ onen och gemensamma insatser rörande straffrättsligt samarbete i enlighet med artikel 31.1 a i samma fördrag innebär att det blir nödvändigt att behandla relevant in­ formation, vilket bör omfattas av lämpliga bestämmelser om skydd av personuppgifter.

(3)Lagstiftning som omfattas av avdelning VI i fördraget om Europeiska unionen syftar till att främja polissamarbete och rättsligt samarbete med avseende på såväl samarbe­ tets effektivitet som dess lagenlighet och överensstäm­ melse med grundläggande rättigheter, särskilt rätten till ett privatliv och rätten till skydd av personuppgifter. Ge­

(1) EUT C 125 E, 22.5.2008, s. 154.

mensamma normer för behandling och skydd av person­ uppgifter i syfte att förebygga och bekämpa brott kan bidra till att uppnå dessa båda mål.

(4)I Haagprogrammet för ett stärkt område med frihet, sä­ kerhet och rättvisa i Europeiska unionen, som antogs av Europeiska rådet den 4 november 2004, understryks be­ hovet av en innovativ strategi i fråga om gränsöverskri­ dande utbyte av information om brottsbekämpning, un­ der noggrant iakttagande av centrala villkor på området skydd av personuppgifter. Kommissionen uppmanades att senast i slutet av 2005 lägga fram förslag om detta. Detta återspeglas i rådets och kommissionens handlings­ plan för genomförande av Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa (2).

(5)Utbytet av personuppgifter inom ramen för polissamar­ betet och det straffrättsliga samarbetet, särskilt enligt den princip om tillgänglighet som tas upp i Haagprogrammet, bör bygga på klara regler som stärker det ömsesidiga förtroendet mellan behöriga myndigheter och garanterar att den relevanta informationen skyddas på ett sätt som utesluter all diskriminering med avseende på sådant sam­ arbete mellan medlemsstaterna samtidigt som enskildas grundläggande rättigheter respekteras fullt ut. Befintliga instrument på europeisk nivå är inte tillräckliga; Europa­ parlamentets och rådets direktiv 95/46/EG av den 24 ok­ tober 1995 om skydd för enskilda personer med avse­ ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (3) är inte tillämpligt i fråga om behandling av personuppgifter i samband med verksam­ heter som faller utanför gemenskapsrättens tillämpnings­ område, till exempel sådana som anges i avdelning VI i fördraget om Europeiska unionen, och under inga om­ ständigheter på uppgiftsbehandling som rör allmän säker­ het, försvar, nationell säkerhet eller statlig verksamhet på det straffrättsliga området.

(2) EUT C 198, 12.8.2005, s. 1. (3) EGT L 281, 23.11.1995, s. 31.

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/61

 

 

 

 

(6)Detta rambeslut är endast tillämpligt på uppgifter som de behöriga myndigheterna samlar in eller behandlar för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I detta rambeslut bör det överlåtas till medlemsstaterna att på nationell nivå mer exakt besluta vilka andra ändamål som ska anses oförenliga med det ändamål för vilket personuppgifterna ursprungligen insamlades. I allmänhet bör vidarebehand­ ling för historiska, statistiska eller vetenskapliga ändamål inte anses vara oförenlig med det ursprungliga ändamålet för behandlingen.

(7)Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna. Inga slut­ satser bör dras av denna begränsning beträffande unio­ nens behörighet att anta rättsakter om insamling och

behandling av personuppgifter på nationell nivå eller det lämpliga i att unionen gör detta i framtiden.

(8)I syfte att underlätta informationsutbytet inom unionen vill medlemsstaterna säkerställa att den standard i fråga om dataskydd som fastställs inom nationell databehand­ ling ska motsvara den som föreskrivs i rambeslutet. När det gäller nationell databehandling hindrar detta rambe­ slut inte medlemsstaterna från att föreskriva garantier för skydd av personuppgifter högre än dem som fastställs i detta rambeslut.

(9)Detta rambeslut bör inte tillämpas på personuppgifter som en medlemsstat erhållit inom tillämpningsområdet för detta rambeslut och som härrör från denna medlems­ stat.

(10)Tillnärmningen av medlemsstaternas lagstiftningar bör inte leda till några försämringar i det dataskydd de ger utan i stället syfta till att garantera en hög skyddsnivå inom unionen.

(11)Det är nödvändigt att precisera målen med skyddet av personuppgifter inom ramen för polisens och rättsväsen­ dets verksamheter och att införa bestämmelser om vilken behandling av personuppgifter som är tillåten i syfte att säkerställa att uppgifter som kan komma att utbytas har behandlats på lagligt sätt och i enlighet med grundläg­ gande principer i fråga om uppgifters kvalitet. Samtidigt är det viktigt att inte polisens, tullens, domstolarnas eller andra behöriga myndigheters legitima verksamheter även­ tyras.

(12)Principen om uppgifters korrekthet ska tillämpas med beaktande av den aktuella behandlingens art och syfte. Så grundar sig exempelvis uppgifterna inom framför allt rättsliga förfaranden på enskilda personers subjektiva uppfattning och kan i vissa fall omöjligen kontrolleras.

Följaktligen kan inte korrekthetskravet röra korrektheten i ett uttalande utan blott och bart det faktum att ett visst uttalande har gjorts.

(13)Arkivering i ett separat dataset bör tillåtas endast om uppgifterna inte längre krävs eller används för förebyg­ gande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Arkivering i ett separat dataset bör även tillåtas om de arkiverade upp­ gifterna lagras i en databas tillsammans med andra upp­ gifter på ett sådant sätt att de inte längre kan användas för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Lämp­ lig längd av arkiveringsperioden bör vara avhängig av syftet med arkiveringen och de registrerade personernas legitima intressen. I fråga om arkivering för historiska ändamål kan man fastställa en mycket lång period.

(14)Uppgifter får också raderas genom att datamediet för­ störs.

(15)När det gäller icke korrekta, ofullständiga eller inte längre aktuella uppgifter som överförts eller gjorts tillgängliga för en annan medlemsstat och vidarebehandlas av dom­ stolsliknande myndigheter, med vilket avses myndigheter med behörighet att fatta rättsligen bindande beslut, bör rättelse, strykning eller blockerande utföras enligt natio­ nell lagstiftning.

(16)För att kunna garantera en hög skyddsnivå för person­ uppgifter om enskilda personer krävs det gemensamma bestämmelser för att fastställa om de uppgifter som be­ handlas av behöriga myndigheter i medlemsstaterna upp­ fyller laglighets- och kvalitetskraven.

(17)Därför bör man på europeisk nivå fastställa de villkor som ska vara uppfyllda för att medlemsstaternas behöriga myndigheter ska ha rätt att till myndigheter och privata parter i medlemsstater överföra och göra tillgängliga per­ sonuppgifter som erhållits från andra medlemsstater. I många fall är överföring av personuppgifter från dom­ stolsväsendet, polisen eller tullen till privata parter nöd­ vändig för att lagföra brott eller för att avvärja en ome­ delbar och allvarlig fara för allmän säkerhet eller för­ hindra att enskilda personers rättigheter lider allvarlig skada, till exempel genom att utfärda varningar avseende förfalskningar av värdepapper till banker och kreditinsti­ tut eller, i fråga om fordonsstölder, genom att överföra personuppgifter till försäkringsbolag för att förhindra olaglig handel med stulna motorfordon eller för att för­ bättra villkoren för återförande av stulna motorfordon från utlandet. Detta innebär inte överföring av arbetsupp­ gifter från polis och domstolar till privata parter.

L 350/62

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

(18)Reglerna i detta rambeslut avseende överföring av per­ sonuppgifter från domstolsväsendet, polisen eller tullen till privata parter tillämpas inte på utlämnandet av upp­ gifter till privata parter (såsom försvarsadvokater och brottsoffer) i samband med brottmål.

(19)Den vidare behandlingen av personuppgifter som erhål­ lits från eller gjorts tillgängliga av den behöriga myndig­ heten i en annan medlemsstat, särskilt det att vidarebe­ fordra sådana uppgifter eller göra dem tillgängliga på nytt, bör omfattas av gemensamma bestämmelser på eu­ ropeisk nivå.

(20)När personuppgifter får vidarebehandlas efter det att den medlemsstat från vilken uppgifterna erhållits har givit sitt samtycke bör varje medlemsstat ha möjlighet att fastställa de närmare villkoren för att ge sådant samtycke, inbegri­ pet exempelvis allmänt samtycke för kategorier av infor­ mation och kategorier av ytterligare behandling.

(21)När personuppgifter får vidarebehandlas för administra­ tiva förfaranden inbegriper dessa förfaranden också åtgär­ der av reglerings- och tillsynsorgan.

(22)Polisens, tullens, domstolarnas eller andra behöriga myn­ digheters legitima verksamheter kan kräva att uppgifter sänds till myndigheter i tredjestater eller internationella organ som har skyldigheter i fråga om att förebygga, utreda, avslöja eller lagföra brott eller verkställa straff­ rättsliga påföljder.

(23)Om uppgifter överförs från en medlemsstat till tredjesta­ ter eller internationella organ ska uppgifterna i princip omfattas av ett adekvat skydd.

(24)Om personuppgifter överförs från en medlemsstat till tredjestater eller internationella organ bör en sådan över­ föring i princip ske först efter det att den medlemsstat som har lämnat uppgifterna har gett sitt samtycke till överföringen. Varje medlemsstat bör få bestämma de när­ mare villkoren för att ge sådant samtycke, till exempel genom ett generellt samtycke för kategorier av uppgifter eller för vissa angivna tredjestater.

(25)För ett effektivt samarbete i fråga om brottsbekämpning krävs att om ett hot mot en medlemsstats eller en tred­ jestats allmänna säkerhet är så överhängande att det är omöjligt att i tid inhämta ett förhandsmedgivande bör den behöriga myndigheten få överföra de relevanta per­ sonuppgifterna till den berörda tredjestaten utan sådant förhandsmedgivande. Detsamma kan gälla om andra vä­ sentliga, lika betydelsefulla, intressen i en medlemsstat står på spel, exempelvis om en medlemsstats kritiska infrastruktur kan bli föremål för ett överhängande hot

eller om en medlemsstats finansiella system kan drabbas av allvarliga störningar.

(26)För att tillförsäkra den registrerade personen ett effektivt

rättsskydd kan det bli nödvändigt att informera denne om behandlingen av dennes personuppgifter, särskilt vid synnerligen allvarlig kränkning av dennes rättigheter som ett resultat av hemlig insamling av uppgifter.

(27)Medlemsstaterna bör se till att den registrerade personen informeras om att personuppgifter kan eller håller på att samlas in, behandlas eller kan överföras till en annan medlemsstat för att förebygga, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. De närmare villkoren för den registrerade personens rätt att bli infor­ merad och undantag från denna rätt bör fastställas i den nationella lagstiftningen. Detta kan genomföras på ett generellt sätt, t.ex. genom lagstiftning eller offentliggö­ rande av en förteckning över olika typer av uppgiftsbe­ handling.

(28)För att kunna garantera skyddet av personuppgifter utan att äventyra ändamålet med brottsutredningar måste man fastställa den registrerades rättigheter.

(29)Några medlemsstater har gett den berörda personen rätt till tillgång till uppgifter i brottmål genom ett system där det nationella tillsynsorganet, i den berörda personens ställe, utan någon restriktion har tillgång till alla person­ uppgifter som rör den berörda personen och även får rätta, stryka eller uppdatera icke korrekta uppgifter. I sådana fall med indirekt tillgång får det i den nationella lagstiftningen i dessa medlemsstater föreskrivas att det nationella tillsynsorganet endast kommer att informera den berörda personen om att alla nödvändiga kontroller har utförts. Dessa medlemsstater tillhandahåller emellertid i särskilda fall även möjligheter till direkt tillgång för den berörda personen, såsom tillgång till rättsliga register för att erhålla kopior av egna kriminalregisteruppgifter eller handlingar avseende egna förhör hos polismyndigheterna.

(30)Det bör införas gemensamma bestämmelser om konfi­ dentiell och säker uppgiftsbehandling, om ansvar och påföljder när uppgifterna används på otillåtet sätt av de behöriga myndigheterna samt om möjligheter för den registrerade till rättslig prövning. Det ankommer dock på varje medlemsstat att själv fastställa utformningen av bestämmelserna om skadeståndsgrundande överträdelser och om vilka påföljder som ska tillämpas vid överträdelse av de nationella dataskyddsbestämmelserna.

(31)Detta rambeslut gör att principen om allmänhetens till­ gång till offentliga handlingar kan tillgodoses vid tillämp­ ningen av principerna i detta.

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/63

 

 

 

 

(32)När så behövs för att skydda personuppgifter med avse­ ende på behandling som genom sin omfattning eller typ innebär särskilda risker för grundläggande rättigheter och friheter, till exempel behandling med ny teknik, nya me­ kanismer eller förfaranden, bör man säkerställa att den behöriga nationella tillsynsmyndigheten rådfrågas före upprättandet av behandlingssystem för dessa uppgifter.

(33)Inrättandet i medlemsstaterna av tillsynsmyndigheter,

som fullständigt oberoende genomför sina åligganden, är en mycket viktig del av skyddet av personuppgifter som behandlas inom ramen för polissamarbetet och det straffrättsliga samarbetet mellan medlemsstaterna.

(34)De tillsynsmyndigheter som redan inrättats i medlemssta­ terna i enlighet med direktiv 95/46/EG bör också kunna axla ansvaret för de uppgifter som ska utföras av de nationella tillsynsmyndigheter som ska inrättas i enlighet med detta rambeslut.

(35)Dessa tillsynsmyndigheter bör ha nödvändiga resurser för att kunna genomföra sina uppgifter, inklusive befogenhet att – särskilt när det gäller klagomål från enskilda per­ soner – undersöka och ingripa eller befogenhet att inleda rättsliga förfaranden. Dessa tillsynsmyndigheter bör även bidra till att sörja för insyn i behandlingen av uppgifter i sina respektive medlemsstater. Emellertid bör deras befo­ genheter inte inkräkta på särskilda regler som fastställts för brottmål eller domstolsväsendets oberoende.

(36)I artikel 47 i fördraget om Europeiska unionen föreskrivs det att ingenting i det fördraget ska inverka på fördragen om upprättandet av Europeiska gemenskaperna eller på senare fördrag och rättsakter om ändring eller komplet­ tering av dessa. Följaktligen påverkar detta rambeslut inte skyddet av personuppgifter enligt gemenskapsrätten, sär­ skilt inte det skydd som föreskrivs i direktiv 95/46/EG, Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för en­ skilda då gemenskapsinstitutionerna och gemenskapsor­ ganen behandlar personuppgifter och om den fria rörlig­ heten för sådana uppgifter (1) och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (2).

(37)Detta rambeslut påverkar inte bestämmelserna om sådan olaglig tillgång till uppgifter som avses i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem (3).

(1) EGT L 8, 12.1.2001, s. 1.

(2) EGT L 201, 31.7.2002, s. 37. (3) EUT L 69, 16.3.2005, s. 67.

(38)Detta rambeslut påverkar inte medlemsstaternas eller uni­ onens gällande skyldigheter och åtaganden enligt bilate­ rala och/eller multilaterala avtal med tredjestater. Fram­ tida avtal bör följa bestämmelserna om utbyte med tred­ jestater.

(39)Flera rättsakter som antagits på grundval av avdelning VI i fördraget om Europeiska unionen innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med de rättsakterna. I några fall utgör dessa bestämmelser en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd (principer om upp­ gifternas kvalitet, regler om datasäkerhet, reglering av de registrerades rättigheter och skydd, organisation av tillsyn och ansvar) och i dessa regleras frågor mer detaljerat än i detta rambeslut. De tillämpliga dataskyddsbestämmel­ serna i dessa rättsakter, särskilt de som reglerar funk­ tionssättet för Europol, Eurojust, Schengens informations­ system (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör inte påverkas av detta rambeslut. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk över­ föring av DNA-profiler, fingeravtrycksuppgifter och upp­ gifter ur nationella fordonsregister i enlighet med rådets beslut 2008/615/RIF av den 23 juni 2008 om ett för­ djupat gränsöverskridande samarbete, särskilt för be­ kämpning av terrorism och gränsöverskridande brottslig­ het (4).

(40)I andra fall är räckvidden för dataskyddsbestämmelser i rättsakter som antagits i enlighet med avdelning VI i fördraget om Europeiska unionen mer begränsade. Ofta fastställs det i dessa rättsakter särskilda villkor för den medlemsstat som från en annan medlemsstat tar emot information innehållande personuppgifter i fråga om de ändamål för vilka mottagaren kan använda uppgifterna, medan det i fråga om övriga dataskyddsaspekter hänvisas till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter av den 28 januari 1981 eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för mottagande medlemsstater för användning el­ ler vidare överföring av personuppgifter vilka är strängare än villkoren i motsvarande bestämmelser i detta rambe­ slut, ska dessa förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i detta ram­ beslut gälla.

(41)Detta rambeslut påverkar inte Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter eller tilläggsprotokollet av den 8 novem­ ber 2001 till denna konvention eller Europarådets kon­ ventioner om straffrättsligt samarbete.

(4) EUT L 210, 6.8.2008, s. 1.

L 350/64

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

(42)Eftersom målet för detta rambeslut, nämligen att fastställa gemensamma bestämmelser om skydd av personupp­ gifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och det därför, på grund av åtgärdens omfattning och verkningar, bättre kan upp­ nås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om upprättandet av Europeiska gemenskapen, till vilken det hänvisas i artikel 2 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i artikel 5 i för­ draget om upprättandet av Europeiska gemenskapen går detta rambeslut inte utöver vad som är nödvändigt för att uppnå detta mål.

(43)Förenade kungariket deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengen­ regelverket inom Europeiska unionens ramar, fogat till fördraget om Europeiska unionen och fördraget om upp­ rättandet av Europeiska gemenskapen, och i enlighet med artikel 8.2 i rådets beslut 2000/365/EG av den 29 maj 2000 om en begäran från Förenade konungariket Stor­ britannien och Nordirland om att få delta i vissa bestäm­ melser i Schengenregelverket (1).

(44)Irland deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengenregelverket inom Europeiska unionens ramar, fogat till fördraget om Euro­ peiska unionen och fördraget om upprättandet av Euro­ peiska gemenskapen, och i enlighet med artikel 6.2 i rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket (2).

(45)När det gäller Island och Norge utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (3), en utveckling av bestämmelser i Schengenregelverket vilka rör det område

som avses i artikel 1.H och 1.I i rådets beslut 1999/437/EG (4) om vissa tillämpningsföreskrifter för det avtalet.

(46)När det gäller Schweiz utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionen, Europeiska ge­ menskapen och Schweiziska edsförbundet om Schwei­ ziska edsförbundets associering till genomförandet, till­ ämpningen och utvecklingen av Schengenregelverket (5),

(1) EGT L 131, 1.6.2000, s. 43. (2) EGT L 64, 7.3.2002, s. 20. (3) EGT L 176, 10.7.1999, s. 36. (4) EGT L 176, 10.7.1999, s. 31. (5) EUT L 53, 27.2.2008, s. 52.

en utveckling av de bestämmelser i Schengenregelverket vilka rör det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets be­ slut 2008/149/RIF (6), om ingående av det avtalet på Europeiska unionens vägnar.

(47)När det gäller Liechtenstein utgör detta rambeslut, i en­ lighet med protokollet mellan Europeiska unionen, Euro­ peiska gemenskapen, Schweiziska edsförbundet och Fur­ stendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Euro­ peiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomföran­ det, tillämpningen och utvecklingen av Schengenregelver­ ket, en utveckling av bestämmelser i Schengenregelverket vilka omfattas av det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/262/RIF (7), om undertecknande av det pro­ tokollet på Europeiska unionens vägnar.

(48)Detta rambeslut står i överensstämmelse med de grund­ läggande rättigheter och principer som erkänns framför allt i Europeiska unionens stadga om de grundläggande rättigheterna (8). Detta rambeslut syftar till att garantera full respekt för rätten till det skydd för privatlivet och det skydd av personuppgifter som kommer till uttryck i ar­ tiklarna 7 och 8 i stadgan.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1.Syftet med detta rambeslut är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättig­ heter, särskilt när det gäller deras rätt till privatliv, med avseende på behandling av personuppgifter inom ramen för polissamar­ bete och straffrättsligt samarbete enligt avdelning VI i fördraget om Europeiska unionen och samtidigt garantera en allmän sä­ kerhet på hög nivå.

2.I enlighet med detta rambeslut ska medlemsstaterna

skydda fysiska personers grundläggande fri- och rättigheter, och särskilt deras rätt till privatliv, när personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder

a)överförs, har överförts, görs eller har gjorts tillgängliga mel­ lan medlemsstaterna,

(6) EUT L 53, 27.2.2008, s. 50. (7) EUT L 83, 26.3.2008, s. 5. (8) EUT C 303, 14.12.2007, s. 1.

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/65

 

 

 

 

b)överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller

c)överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättandet av Europeiska gemenskapen.

3.Detta rambeslut gäller för sådan behandling av personupp­ gifter som helt eller delvis utförs automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.

4.Detta rambeslut påverkar inte viktiga nationella säkerhets­ intressen och särskild underrättelseverksamhet inom området nationell säkerhet.

5.Detta rambeslut hindrar inte medlemsstaterna från att fö­ reskriva strängare säkerhetsåtgärder för skydd av personupp­ gifter som samlas in eller behandlas på nationell nivå än de som fastställs i detta rambeslut.

Artikel 2

Definitioner

I detta rambeslut gäller följande definitioner:

a)personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identi­ fierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifierings­ nummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

b)behandling av personuppgifter och behandling: varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom överför­ ing, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, radering eller förstöring.

c)blockering: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

d)register med personuppgifter och register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentralise­ rad eller spridd på grundval av funktionella eller geografiska förhållanden.

e)registerförare: varje organ som behandlar personuppgifter för den registeransvariges räkning.

f)mottagare: varje organ till vilken uppgifterna utlämnas.

g)den registrerades samtycke: varje slag av frivillig, uttrycklig och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.

h)behöriga myndigheter: byråer eller organ som inrättats genom rättsakter antagna av rådet enligt avdelning VI i fördraget om Europeiska unionen, samt polismyndigheter, tullmyndig­ heter, domstolar eller andra behöriga myndigheter i med­ lemsstaterna som genom nationell lagstiftning är bemyndi­ gade att behandla personuppgifter inom tillämpningsområ­ det för detta rambeslut.

i)registeransvarig: en fysisk eller en juridisk person, en myndig­ het, en byrå eller varje annat organ som ensamt eller till­ sammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

j)markering: markering av lagrade personuppgifter utan syfte att begränsa behandlingen av dessa i framtiden.

k)avidentifiering: att ändra personuppgifter på ett sådant sätt att detaljerna beträffande personliga eller sakliga förhållanden inte längre eller endast med oproportionerligt stor insats i fråga om tid, kostnader och arbete kan tillskrivas en identi­ fierad eller identifierbar fysisk person.

Artikel 3

Principerna om lagenlighet, proportionalitet och ändamål

1. De behöriga myndigheterna får inom ramen för sina upp­ gifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.

2. Vidare behandling för ett annat ändamål är tillåten om

a)denna vidare behandling inte är oförenlig med de ändamål för vilket uppgifterna samlades in,

b)de behöriga myndigheterna i enlighet med tillämpliga rätts­ liga bestämmelser är bemyndigade att behandla sådana upp­ gifter för ett sådant annat ändamål, och

c)denna behandling är nödvändig och står i proportion till det andra ändamålet.

Dessutom får de överförda personuppgifterna behandlas vidare av den behöriga myndigheten för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, som avidentifiering av uppgifterna.

L 350/66

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

Artikel 4

Rättelse, radering och blockering

1.Personuppgifter ska rättas om de är felaktiga samt, om så är möjligt och nödvändigt, kompletteras eller aktualiseras.

2.Personuppgifter ska raderas eller avidentifieras när dessa inte längre behövs för de ändamål för vilka de lagligen insam­ lades eller lagligen vidare bearbetas. Arkivering av de uppgifter som införts i ett separat dataset under en lämplig period i över­ ensstämmelse med national lagstiftning ska inte påverkas av denna bestämmelse.

3.Personuppgifter ska inte raderas utan blockeras, om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. Blockerade uppgifter får endast behandlas för det ändamål som hindrade att de radera­ des.

4.Om personuppgifterna ingår i ett domstolsbeslut eller ak­ ten i samband med utfärdandet av ett rättsligt beslut ska rät­ telse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.

Artikel 5

Fastställande av tidsfrister för radering och kontroll

För radering av personuppgifter eller en regelbunden kontroll av nödvändigheten av lagringen av uppgifterna ska lämpliga tids­ frister fastställas. Genom föreskrifter om förfarandena ska det garanteras att tidsfristerna efterlevs.

Artikel 6

Behandling av särskilda kategorier av uppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när detta är absolut nöd­ vändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.

Artikel 7

Datoriserade beslut

Ett beslut som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter avsedd att bedöma vissa personliga egenskaper hos den registrerade ska endast vara tillåtet om detta föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen.

Artikel 8

Kontroll av kvaliteten på de uppgifter som överförs eller görs tillgängliga

1. De behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga

eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt detta är möjligt, sådan tillgänglig information läggas till som gör att den motta­ gande medlemsstaten kan bedöma graden av korrekthet, full­ ständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.

2. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Uppgifterna måste ofördröjligen rättas, raderas eller blockeras i enlighet med artikel 4.

Artikel 9

Tidsfrister

1.När den överförande myndigheten överför uppgifter eller gör dessa tillgängliga, får den enligt nationell lagstiftning och i enlighet med artiklarna 4 och 5 meddela de tidsfrister för lag­ ring av uppgifterna efter vilka mottagaren ska radera eller block­ era uppgifterna eller kontrollera om dessa fortfarande behövs. Denna skyldighet ska inte tillämpas, om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lag­ föring av brott eller verkställighet av straffrättsliga påföljder.

2.Om den överförande myndigheten inte har angivit en tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna 4 och 5 för lagring av uppgifterna enligt de mottagande med­ lemsstaternas nationella lagstiftning tillämpas.

Artikel 10

Registrering och dokumentation

1.Varje överföring av personuppgifter ska registreras eller dokumenteras för att man ska kunna kontrollera om behand­ lingen av uppgifterna är lagenlig, utföra egenkontroll samt ga­ rantera integritet och säkerhet för uppgifterna.

2.Registrering och dokumentation enligt punkt 1 ska på begäran översändas till den för skydd av uppgifter behöriga tillsynsmyndigheten. Den behöriga tillsynsmyndigheten får an­ vända dessa uppgifter endast för att kontrollera skyddet av personuppgifter, för att se till att behandlingen fungerar tillfreds­ ställande och för att sörja för uppgifternas integritet och säker uppgiftsbehandling.

Artikel 11

Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat

Personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får, i enlig­ het med kraven i artikel 3.2, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes till­ gängliga:

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/67

 

 

 

 

a)För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga.

b)För andra rättsliga eller administrativa förfaranden med di­ rekt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påfölj­ der.

c)För att avvärja en omedelbar och allvarlig fara för den all­ männa säkerheten.

d)För varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstift­ ning.

Dessutom får de överförda personuppgifterna behandlas vidare av de behöriga myndigheterna för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder som exempelvis avidenti­ fiering av uppgifterna.

Artikel 12

Iakttagande av nationella restriktioner för behandling av uppgifter

1.Om det, enligt den överförande medlemsstatens nationella lagstiftning, under särskilda omständigheter gäller särskilda be­ gränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.

2.Vid tillämpning av punkt 1 ska medlemsstaterna inte till­ ämpa några andra begränsningar när det gäller överföringen av uppgifter till andra medlemsstater eller till byråer eller organ som inrättats i enlighet med avdelning VI i fördraget om Euro­ peiska unionen än de som gäller motsvarande nationella över­ föringar av uppgifter.

Artikel 13

Överföring till behöriga myndigheter i tredjestater eller till internationella organ

1.Medlemsstaterna ska föreskriva att personuppgifter som

överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får överföras till tredjestater eller inter­ nationella organ endast om

a)detta är nödvändigt för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

b)den mottagande myndigheten i tredjestaten eller det motta­ gande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verk­ ställigheten av straffrättsliga påföljder,

c)den medlemsstat från vilken uppgifterna erhölls har gett sitt samtycke till överföringen i enlighet med sin nationella lag­ stiftning, och om

d)berörd tredjestat eller internationellt organ sörjer för en ade­ kvat skyddsnivå för den avsedda databehandlingen.

2.Överföring utan förhandsmedgivande enligt punkt 1 c ska tillåtas endast om överföringen av uppgifter är absolut nödvän­ dig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för en medlemsstat väsentliga intressen och ett förhandsmedgivande inte kan erhållas i tid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.

3.Med avvikelse från punkt 1 d får personuppgifter över­ föras om

a)den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

i)den registrerades legitima specifika intressen, eller

ii)legitima faktiska intressen, främst viktiga allmänna intres­ sen, eller

b)tredjestaten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.

4. Bedömningen av om den skyddsnivå som avses i punkt 1 d är adekvat ska ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn ska tas till uppgifternas art, den föreslagna be­ handlingens eller behandlingarnas ändamål och varaktighet, ur­ sprungsstaten och den stat eller internationella organ som utgör slutdestination för uppgifterna, den lagstiftning, både allmän och sektoriell, som gäller i den berörda tredjestaten eller för det berörda internationella organet samt de yrkesregler och säkerhetsbestämmelser som ska tillämpas.

Artikel 14

Överföring till privata parter i medlemsstaterna

1. Medlemsstaterna ska föreskriva att personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndig­ heten i en annan medlemsstat endast får överföras till privata parter om

L 350/68

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

a)den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,

b)inga legitima specifika intressen för den registrerade perso­ nen hindrar överföringen, och om

c)överföringen i särskilda fall är absolut nödvändig för att den behöriga myndighet som överför uppgifterna till en privat part ska kunna

i)utföra en uppgift den lagenligen tilldelats,

ii)förebygga, utreda, avslöja eller lagföra brott eller verk­ ställa straffrättsliga påföljder,

iii)avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iv)förhindra att enskilda personers rättigheter lider allvarlig skada.

2. Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål upp­ gifterna uteslutande får användas.

Artikel 15

Information på begäran av den behöriga myndigheten

Mottagaren ska på begäran informera den behöriga myndighet som har överfört uppgifter eller gjort dem tillgängliga om hur dessa behandlas.

Artikel 16

Information till den registrerade

1.Medlemsstaterna ska se till att den registrerade informeras om insamling eller behandling av personuppgifter av deras be­ höriga myndigheter i enlighet med nationell lagstiftning.

2.Om personuppgifter har överförts eller gjorts tillgängliga mellan medlemsstaterna, får varje medlemsstat i enlighet med bestämmelserna i sin nationella lagstiftning enligt punkt 1, be­ gära att den andra medlemsstaten inte informerar den registre­ rade. I sådana fall ska den senare medlemsstaten inte informera den registrerade utan förhandsmedgivande från den andra med­ lemsstaten.

Artikel 17

Rätt till tillgång

1. Varje registrerad ska ha rätt att på begäran, med rimliga intervall, utan hinder och utan större tidsutdräkt eller kostnader erhålla

a)åtminstone en bekräftelse från den registeransvarige eller från den behöriga nationella tillsynsmyndigheten på huruvida

uppgifter som rör honom eller henne har överförts eller gjorts tillgängliga samt information om till vilka mottagare eller mottagarkategorier uppgifterna har lämnats ut och in­ formation om vilka uppgifter som behandlas, eller

b)åtminstone en bekräftelse från den behöriga nationella till­ synsmyndigheten på att alla nödvändiga kontroller har ut­ förts.

2. Medlemsstaterna får anta lagstiftning som begränsar till­ gången till information enligt punkt 1 a, om denna begränsning med vederbörligt beaktande av vederbörandes legitima intressen är en nödvändig och rimlig åtgärd för att

a)hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b)inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda allmän säkerhet,

d)skydda nationell säkerhet,

e)skydda den registrerade eller andra personers fri- och rättig­ heter.

3. Varje vägran till tillgång eller begränsning av denna ska skriftligen meddelas den registrerade. De sakliga och rättsliga skäl som beslutet grundar sig på ska därvid också meddelas. Det sistnämnda meddelandet kan underlåtas om skäl enligt punkt 2 a-e föreligger. I samtliga dessa fall ska den registrerade meddelas att han eller hon kan överklaga till den behöriga nationella tillsynsmyndigheten, en rättslig myndighet eller dom­ stol.

Artikel 18

Rätt till rättelse, radering eller blockering av uppgifter

1. Den registrerade ska ha rätt att förvänta sig att den regis­ teransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att rätta, radera eller blockera personuppgifter som registrerats inom ramen för detta rambeslut. Medlemsstaterna ska fastställa huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om den registeransvarige vägrar att rätta, radera eller blockera måste vägran meddelas skriftligen och den registrerade måste informeras om de möjligheter som tillhandahålls inom den nationella lagstiftningen att anföra kla­ gomål eller begära prövning. När klagomålet eller begäran om prövning behandlats ska den registrerade informeras om huru­ vida den registeransvarige handlat korrekt eller ej. Medlemssta­ terna får även föreskriva att den registrerade ska informeras av den behöriga nationella tillsynsmyndigheten om att en översyn har utförts.

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/69

 

 

 

 

2. Om den registrerade bestrider korrektheten av en perso­ nuppgift och det inte kan fastställas huruvida denna är korrekt får denna uppgift markeras.

Artikel 19

Rätt till ersättning

1.Var och en som lidit skada till följd av en otillåten be­ handling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta rambeslut ska ha rätt till ersättning för den skada han lidit av den registeransvarige eller av en annan ansvarig myndig­ het enligt nationell lagstiftning.

2.Om den behöriga myndigheten i en medlemsstat överför personuppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skadelidande. Om mottagaren utbetalar skade­ stånd för en skada som vållats av att felaktigt överförda upp­ gifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren det skadestånd som utbetalats men därvid ta med i beräkningen eventuella felaktigheter som kan ha begåtts av mottagaren.

Artikel 20

Rättsmedel

Utan att det påverkar något administrativt förfarande som kan användas innan ett ärende anhängiggörs vid en rättslig instans ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämp­ liga nationella lagstiftningen.

Artikel 21

Sekretess i samband med behandlingen av uppgifter

1.Var och en som får tillgång till personuppgifter som faller under tillämpningsområdet för detta rambeslut får endast be­ handla dessa i sin egenskap av anställd vid den behöriga myn­ digheten eller efter instruktioner från denna, såvida det inte föreligger rättsliga skyldigheter till annan behandling.

2.Var och en som arbetar för en behörig myndighet i en medlemsstat ska vara bunden av samtliga dataskyddsbestämmel­ ser som gäller för respektive behörig myndighet.

Artikel 22

Säkerhet i samband med behandlingen av uppgifter

1. Medlemsstaterna ska se till att de behöriga myndigheterna vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från att utplånas genom olyckshändelse eller otillåtna handlingar och från att gå förlorade genom olyckshändelse samt från ändringar, otillåten spridning av eller

otillåten tillgång till uppgifter, särskilt om behandlingen innefat­ tar överföring av uppgifter i ett nätverk och/eller om uppgif­ terna gjorts tillgängliga genom direkt automatisk åtkomst, samt mot varje annat slag av otillåten behandling, varvid hänsyn särskilt ska tas till de risker som behandlingen innebär och arten av de uppgifter som ska skyddas. Dessa åtgärder ska med be­ aktande av den befintliga tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande leda till att en lämplig säkerhetsnivå uppnås i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas.

2. När det gäller automatisk databehandling ska varje med­ lemsstat vidta lämpliga åtgärder för att

a)förhindra att obehöriga kommer åt datorutrustning som an­ vänds för behandling av personuppgifter (åtkomstskydd för utrustning),

b)förhindra att databärare läses, kopieras, ändras eller avlägsnas av obehöriga (databärarkontroll),

c)förhindra obehörig införing av uppgifter och obehörig granskning, ändring eller radering av lagrade personuppgifter (lagringskontroll),

d)förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

e)se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till upp­

gifter som omfattas av deras behörighet (åtkomstkontroll),

f)se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kom­ munikationskontroll),

g)se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

h)förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkont­ roll),

i)se till att de system som används kan återställas vid stör­ ningar (återställande),

j)se till att system fungerar, att funktionsfel rapporteras (drift­ säkerhet) och att de lagrade uppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

L 350/70

SV

Europeiska unionens officiella tidning

30.12.2008

 

 

 

 

3.Medlemsstaternas ska sörja för att endast sådana personer får utses till registerförare som kan ge garantier för att vidta de nödvändiga tekniska och organisatoriska åtgärderna enligt punkt 1 och beaktar anvisningarna i artikel 21. Den behöriga myndigheten ska övervaka registerföraren i dessa avseenden.

4.Personuppgifter får endast behandlas av en registerförare på grundval av en rättsakt eller ett skriftligt avtal.

Artikel 23

Föregående samråd

Medlemsstaterna ska sörja för att de behöriga nationella tillsyn­ smyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om

a)särskilda uppgiftskategorier enligt artikel 6 behandlas, eller om

b)behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda ris­ ker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.

Artikel 24

Påföljder

Medlemsstaterna ska anta lämpliga bestämmelser för att säker­ ställa att detta rambeslut genomförs fullt ut och framför allt föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med detta rambeslut.

Artikel 25

Nationella tillsynsmyndigheter

1.Varje medlemsstat ska se till att det utses en eller flera myndigheter med uppgift att inom dess territorium vägleda och övervaka tillämpningen av de bestämmelser som medlemssta­ terna antagit i enlighet med detta rambeslut. Dessa myndigheter ska vara fullt oberoende när de fullgör sina åligganden.

2.Varje tillsynsmyndighet ska framför allt ha

a)utredande befogenheter, som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,

b)faktisk befogenhet att ingripa, som till exempel att kunna avge yttranden innan en behandling äger rum, att se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, radering eller förstöring av

uppgifter, att kunna besluta om tillfälligt eller definitivt för­ bud mot behandling, att kunna ge den registeransvarige en varning eller tillrättavisning eller att kunna hänskjuta frågor till nationella parlament eller andra politiska institutioner,

c)befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta rambeslut har överträtts eller att uppmärksamma de rättsliga myndighe­ terna på dessa överträdelser. Beslut av tillsynsmyndigheten, som ger upphov till klagomål bör kunna överklagas till dom­ stol.

3.Var och en ska kunna vända sig till tillsynsmyndigheten med en begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda per­ sonen ska informeras om vilka följder hans begäran har fått.

4.Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal ska vara bundna av de för respektive behörig myndighet gällande dataskyddsbestämmelserna och ha tystnadsplikt med avseende på konfidentiell information som de har tillgång till även sedan deras uppdrag eller anställning upp­ hört.

Artikel 26

Förhållande till avtal med tredjestater

Detta rambeslut ska inte påverka medlemsstaternas eller unio­ nens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtal med tredjestater som förelåg när detta ram­ beslut antogs.

När dessa avtal tillämpas ska överföringen till en tredjestat av personuppgifter som erhållits från en annan medlemsstat ge­ nomföras med respekt för artikel 13.1 c eller 13.2, i tillämpliga fall.

Artikel 27

Utvärdering

1.Medlemsstaterna ska senast den 27 november 2013 rap­ portera till kommissionen om de nationella åtgärder som de har vidtagit för att säkerställa fullständig efterlevnad av detta ram­ beslut, framför allt när det gäller de bestämmelser som redan ska följas när uppgifter samlas in. Kommissionen ska särskilt undersöka konsekvenserna av dessa bestämmelser för tillämp­ ningsområdet för detta rambeslut i enlighet med i artikel 1.2.

2.Kommissionen ska inom ett år lämna rapport till Europa­ parlamentet och rådet om resultatet av den utvärdering som avses i punkt 1 och tillsammans med rapporten lämna lämpliga förslag till ändringar av detta rambeslut.

30.12.2008

SV

Europeiska unionens officiella tidning

L 350/71

 

 

 

 

Artikel 28

Förhållande till tidigare antagna unionsakter

Om rättsakter som antagits enligt avdelning VI i fördraget om Europeiska unionen före den dag då detta rambeslut träder i kraft och som reglerar utbytet av personuppgifter mellan med­ lemsstaterna eller tillgång för medlemsstaternas utsedda myndig­ heter till informationssystem som inrättats enligt fördraget om upprättandet av Europeiska gemenskapen innehåller särskilda villkor för den mottagande medlemsstatens användning av så­ dana uppgifter, ska dessa villkor ha företräde framför bestäm­ melserna i rambeslutet när det gäller användning av uppgifter som tagits emot eller gjorts tillgängliga av en annan medlems­ stat.

Artikel 29

Genomförande

1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i detta rambeslut före den 27 no­ vember 2010.

2. Senast vid denna tidpunkt ska medlemsstaterna till rådets generalsekretariat och kommissionen överlämna texten till de bestämmelser genom vilka skyldigheterna enligt detta rambeslut införlivas med deras nationella lagstiftning samt upplysningar om de tillsynsmyndigheter som avses i artikel 25. På grundval av denna information och en skriftlig rapport som kommissio­ nen utarbetar med hjälp av denna information ska rådet före den 27 november 2011 bedöma i vilken utsträckning medlems­ staterna har följt bestämmelserna i detta rambeslut.

Artikel 30

Ikraftträdande

Detta rambeslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 27 november 2008.

På rådets vägnar

M. ALLIOT-MARIE

Ordförande

15.5.2009

 

SV

Europeiska unionens officiella tidning

L 121/37

 

 

 

 

 

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I

FÖRDRAGET OM EUROPEISKA UNIONEN

RÅDETS BESLUT av den 6 april 2009

om inrättande av Europeiska polisbyrån (Europol)

(2009/371/RIF)

EUROPEISKA UNIONENS RÅD HAR BESLUTAT FÖLJANDE

med beaktande av fördraget om upprättandet av Europeiska unionen, särskilt artiklarna 30.1 b, 30.2 och 34.2 c,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1), och

av följande skäl:

(1)Inrättandet av en europeisk polisbyrå (Europol) besluta­ des inom ramen för fördraget om Europeiska unionen av den 7 februari 1992 och reglerades i en konvention om inrättandet av en europeisk polisbyrå (nedan kallad Euro­ polkonventionen) som utarbetats på grundval av artikel K.3 i fördraget om Europeiska unionen (2).

(2)Europolkonventionen har varit föremål för ett antal änd­ ringar fastlagda i tre protokoll som trätt i kraft efter en långdragen ratifikationsprocess. När konventionen ersätts med ett beslut kommer det därför att bli lättare att vid behov införa ytterligare ändringar.

(3)En förenkling och förbättring av Europols rättsliga ram kan delvis uppnås genom att Europol inrättas som en EU-enhet, finansierad genom Europeiska unionens all­ männa budget, eftersom de generella reglerna och förfar­ andena då kommer att vara tillämpliga.

(4)De rättsliga instrument om inrättande av liknande EU- enheter som antagits på senare tid på områden som omfattas av avdelning VI i fördraget om Europeiska uni­ onen (rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (3) och rådets beslut 2005/681/RIF av den 20 september 2005 om inrättande av Europeiska

(1) Yttrande av den 17 januari 2008 (ännu ej offentliggjort i EUT). (2) EGT C 316, 27.11.1995, s. 1.

(3) EGT L 63, 6.3.2002, s. 1.

polisakademin (Cepol) (4) har haft formen av rådsbeslut, eftersom sådana beslut lättare kan anpassas efter ändrade förutsättningar och nya politiska prioriteringar.

(5)Ett inrättande av Europol som en EU-enhet, finansierad genom Europeiska unionens allmänna budget, kommer att stärka Europaparlamentets roll i kontrollen av Euro­ pol, genom att Europarlamentet deltar i antagandet av budgeten, inbegripet tjänsteförteckningen och förfarandet för beviljande av ansvarsfrihet.

(6)Att låta Europol omfattas av de generella regler och för­ faranden som gäller för liknande EU-enheter kommer att medföra en administrativ förenkling, med följden att Eu­ ropol kan ägna mer av sina resurser åt sina huvudupp­ gifter.

(7)En ytterligare förenkling och förbättring av Europols funktion kan uppnås genom åtgärder som syftar till att öka Europols möjligheter att bistå och stödja medlems­ staternas brottsbekämpande myndigheter utan att ge Eu­ ropols personal verkställande befogenheter.

(8)En sådan förbättring är att säkerställa att Europol kan bistå medlemsstaternas behöriga myndigheter när det gäl­ ler att bekämpa särskilda former av allvarlig brottslighet, utan den nuvarande begränsningen