Regeringens proposition 2017/18:232

Brottsdatalag

Prop.

 

2017/18:232

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 19 april 2018

Stefan Löfven

Morgan Johansson

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att EU:s nya dataskyddsdirektiv i huvudsak genom- förs genom en ny ramlag, brottsdatalagen. Syftet med den föreslagna lagen är både att skydda fysiska personers grundläggande rättigheter och friheter och att säkerställa att behöriga myndigheter kan behandla och ut- byta personuppgifter med varandra på ett ändamålsenligt sätt.

Lagen ska vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerför- fattningar.

Regeringen föreslår också vissa ändringar i offentlighets- och sekre- tesslagen, lagen om belastningsregister, lagen om misstankeregister, domstolsdatalagen och lagen om internationellt polisiärt samarbete.

Lagändringarna föreslås träda i kraft den 1 augusti 2018.

1

Prop. 2017/18:232

Innehållsförteckning

1

Förslag till riksdagsbeslut ...............................................................

12

2

Lagtext

............................................................................................

13

 

2.1 ...................................................

Förslag till brottsdatalag

13

2.2Förslag till lag om ändring i lagen (1998:620) om

belastningsregister ............................................................

32

2.3Förslag till lag om ändring i lagen (1998:621) om

misstankeregister ..............................................................

33

2.4Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400) ................................................

34

2.5Förslag till lag om ändring i domstolsdatalagen

(2015:728) ........................................................................

36

2.6Förslag till lag om ändring i lagen (2017:496) om

internationellt polisiärt samarbete ....................................

37

2.7Förslag till lag om ändring i lagen (2018:000) med

kompletterande bestämmelser till EU:s

 

dataskyddsförordning .......................................................

38

2.8Förslag till lag om ändring i brottsdatalagen

 

(2018:000) ........................................................................

39

3 Ärendet och dess beredning ............................................................

40

4 Dagens reglering och reformer på dataskyddsområdet ...................

41

4.1

Huvuddragen i dagens personuppgiftsreglering ...............

41

 

4.1.1

Regeringsformen och

 

 

 

Europakonventionen........................................

41

 

4.1.2

Personuppgiftslagen ........................................

42

 

4.1.3

Personuppgiftslagens förhållande till

 

 

 

annan lagstiftning ............................................

46

4.2

Särregler för brottsbekämpande verksamhet ....................

47

 

4.2.1

Polisen .............................................................

47

 

4.2.2

Tullverket ........................................................

49

 

4.2.3

Kustbevakningen .............................................

51

 

4.2.4

Skatteverket .....................................................

52

 

4.2.5

Åklagarväsendet ..............................................

54

 

4.2.6

Lagen om internationellt polisiärt

 

 

 

samarbete.........................................................

54

 

4.2.7

Lagen om internationellt tullsamarbete ...........

54

 

4.2.8

Lagen om register över tillträdesförbud

 

 

 

vid idrottsarrangemang ....................................

54

4.3

Särregler för lagföring ......................................................

55

 

4.3.1

Åklagarväsendet ..............................................

55

 

4.3.2

Domstolsväsendet............................................

56

 

4.3.3

Register över ordningsbot och

 

 

 

strafföreläggande .............................................

57

4.4

Särregler för verkställighet av straff .................................

58

2

4.4.1

Särreglering bara för vissa former av

Prop. 2017/18:232

 

verkställighet ..................................................

58

4.4.2Verkställighet av fängelse, skyddstillsyn

 

och villkorlig dom med samhällstjänst ...........

59

4.4.3

Verkställighet av bötesstraff ...........................

61

4.4.4Verkställighet av rättspsykiatrisk vård,

vård enligt socialtjänstlagen,

 

ungdomsvård och ungdomstjänst ...................

62

4.4.5Internationellt samarbete rörande

 

 

verkställighet av straffrättsliga påföljder ........

62

4.5

Regler om personuppgiftsbehandling hos andra

 

 

aktörer än myndigheter ....................................................

63

 

4.5.1

Uppgifter om brottsbekämpning,

 

 

 

lagföring eller straffverkställighet ..................

63

4.5.2Offentliga försvarare och annat juridiskt

 

biträde.............................................................

63

4.5.3

Idrottsorganisationer .......................................

64

4.6Lagen med vissa bestämmelser om skydd för

 

 

personuppgifter vid polissamarbete och straffrättsligt

 

 

 

samarbete inom Europeiska unionen ...............................

64

 

4.7

Gällande unionsrättsakter ................................................

65

 

 

4.7.1

Rättighetsstadgan............................................

65

 

 

4.7.2

Dataskyddsdirektivet från 1995 ......................

66

 

 

4.7.3

Dataskyddsrambeslutet ...................................

66

 

4.8

Europeiska unionens dataskyddsreform ..........................

66

 

 

4.8.1

Två nya rättsliga instrument ...........................

66

 

 

4.8.2

En dataskyddsförordning ................................

67

 

 

4.8.3

Ett nytt dataskyddsdirektiv .............................

68

 

 

4.8.4

Viss personuppgiftsbehandling ligger

 

 

 

 

utanför båda instrumenten ..............................

68

 

4.9

Dataskyddskonventionen.................................................

68

5

Det nya dataskyddsdirektivet .........................................................

69

 

5.1

Allmänt om direktivet......................................................

69

 

5.2

Innehållet i direktivet.......................................................

69

6

En ny ramlag och dess tillämpningsområde ...................................

77

6.1En ramlag för personuppgiftsbehandling vid

 

brottsbekämpning, lagföring och straffverkställighet

 

 

bör införas........................................................................

77

 

6.1.1

En ny reglering behövs ...................................

77

 

6.1.2

En generellt tillämplig men subsidiär lag .......

78

 

6.1.3

Ramlagens syfte..............................................

82

 

6.1.4

2013 års lag bör upphävas ..............................

83

6.2

Definitioner .....................................................................

84

6.3Dataskyddsbestämmelser i tidigare rättsakter och

 

avtal

.................................................................................

89

6.4

Utformningen ............................av tillämpningsområdet

91

 

6.4.1

Personuppgiftsbehandling som behöriga

 

 

..................

myndigheter utför för vissa syften

91

3

Prop. 2017/18:232

6.4.2

Personuppgiftsbehandling som rör

 

 

 

brottsbekämpning, lagföring och

 

 

 

straffverkställighet ...........................................

92

 

6.4.3

Personuppgiftsbehandling som rör allmän

 

 

 

ordning och säkerhet .......................................

94

 

6.4.4

Vad är en behörig myndighet? ........................

98

 

6.4.5

Helt eller delvis automatiserad behandling....

101

6.5

Undantag från tillämpningsområdet ...............................

102

 

6.5.1

Personuppgiftsbehandling som rör

 

 

 

nationell säkerhet...........................................

102

 

6.5.2

Den gemensamma utrikes- och

 

 

 

säkerhetspolitiken ..........................................

106

6.6

Förhållandet till offentlighetsprincipen och till tryck-

 

 

och yttrandefriheten........................................................

107

6.7

Gränsdragningsfrågor som rör tillämpningsområdet ......

109

 

6.7.1

Bedömningen av gränsdragningsfrågor .........

109

 

6.7.2

Utgångspunkter .............................................

111

7 Rättslig grund och ändamål för behandling av personuppgifter ...114

 

7.1

Skillnad mellan bestämmelser om rättslig grund för

 

 

 

behandling och ändamålsbestämmelser..........................

114

 

7.2

Rättslig grund för behandling – huvudregeln .................

116

 

7.3

Rättslig grund i undantagsfall för diarieföring och

 

 

 

handläggning ..................................................................

119

 

7.4

Behandling bara för särskilda, uttryckligt angivna

 

 

 

och berättigade ändamål .................................................

120

 

7.5

Är dagens primära och sekundära

 

 

 

ändamålsbestämmelser snarare bestämmelser om

 

 

 

rättslig grund?.................................................................

123

 

7.6

Behandling för nya ändamål...........................................

124

 

 

7.6.1

Nuvarande reglering av behandling för

 

 

 

 

nya ändamål...................................................

124

 

 

7.6.2

Nya ändamål inom ramlagens

 

 

 

 

tillämpningsområde .......................................

125

 

 

7.6.3

Nya ändamål utanför ramlagens

 

 

 

 

tillämpningsområde –

 

 

 

 

dataskyddsförordningen är tillämplig ............

131

 

 

7.6.4

Nya ändamål utanför ramlagens

 

 

 

 

tillämpningsområde – en prövning ska

 

 

 

 

göras innan personuppgifter behandlas för

 

 

 

 

nya ändamål...................................................

133

 

 

7.6.5

Uppgiftsskyldighet ersätter prövningen.........

137

 

7.7

Behandling för vetenskapliga, statistiska och

 

 

 

historiska ändamål inom ramlagens

 

 

 

tillämpningsområde ........................................................

139

8

Övriga principer för behandling av personuppgifter .....................

141

 

8.1

Grundläggande krav på behandlingen ............................

141

 

 

8.1.1

Ingen generell bestämmelse om

 

 

 

 

grundläggande principer ................................

141

 

 

8.1.2

Personuppgifter ska vara korrekta och

 

4

 

 

adekvata.........................................................

143

 

8.1.3

Olika typer av personuppgifter ska skiljas

 

 

 

från varandra.................................................

145

 

8.1.4

Känsliga personuppgifter..............................

148

 

8.1.5

Inga ytterligare regler om vilka

 

 

 

personuppgifter som får behandlas ...............

157

 

8.1.6

Åtgärder för att säkerställa

 

 

 

personuppgifternas kvalitet...........................

159

8.2

Längsta tid som personuppgifter får behandlas .............

163

 

8.2.1

Terminologin bör renodlas ...........................

163

8.2.2Hur länge får personuppgifter behandlas? .... 164

 

8.3

Automatiserade beslut ...................................................

167

 

8.4

Användningsbegränsning ..............................................

168

 

8.5

Uppgifter till rättsstatistiken ..........................................

170

9

Personuppgiftsansvariga och personuppgiftsbiträden ..................

170

 

9.1

Vad innebär personuppgiftsansvar?...............................

170

 

 

9.1.1

Definition av personuppgiftsansvarig ...........

170

 

 

9.1.2

Personuppgiftsansvarets omfattning .............

171

9.2Skyldigheten att säkerställa författningsenlig

 

behandling .....................................................................

172

 

9.2.1

Tekniska och organisatoriska åtgärder .........

172

 

9.2.2

Loggning ......................................................

176

 

9.2.3

Tillgången till personuppgifter .....................

180

 

9.2.4

Konsekvensbedömning.................................

181

 

9.2.5

Förhandssamråd med tillsynsmyndigheten...

182

 

9.2.6

Samarbete med tillsynsmyndigheten ............

185

 

9.2.7

Skyldighet att förteckna behandlingar ..........

186

 

9.2.8

Anmälan av överträdelser .............................

188

9.3

Säkerheten för personuppgifter .....................................

189

9.4

Personuppgiftsincidenter ...............................................

191

 

9.4.1

Vad är en personuppgiftsincident? ...............

191

 

9.4.2

Anmälan till tillsynsmyndigheten.................

192

 

9.4.3

Underrättelse till den registrerade.................

195

 

9.4.4

Dokumentations- och

 

 

 

underrättelseskyldighet .................................

198

9.5

Dataskyddsombud .........................................................

199

 

9.5.1

Definition av dataskyddsombud ...................

199

 

9.5.2

Krav på dataskyddsombud............................

200

 

9.5.3

Dataskyddsombudens arbetsuppgifter ..........

202

9.6

Personuppgiftsbiträden ..................................................

206

 

9.6.1

Definition av personuppgiftsbiträde .............

206

 

9.6.2

Anlitande av personuppgiftsbiträden ............

206

 

9.6.3

Behandling enligt den

 

 

 

personuppgiftsansvariges instruktioner ........

209

 

9.6.4

Skyldighet att förteckna behandlingar ..........

211

 

9.6.5

Övriga skyldigheter för

 

 

 

personuppgiftsbiträden .................................

212

9.7

Gemensamt personuppgiftsansvar .................................

213

 

9.7.1

Gemensamt personuppgiftsansvar i dag .......

213

 

9.7.2

En reglering av gemensamt

 

 

 

personuppgiftsansvar ....................................

214

Prop. 2017/18:232

5

Prop. 2017/18:232

9.8

Föreskriftsrätt .................................................................

216

10

Enskildas rättigheter......................................................................

217

 

10.1

Tydligare reglering av enskildas rättigheter ...................

217

 

10.2

Rätten till information ....................................................

218

 

 

10.2.1

Allmänt om rätten till information.................

218

 

 

10.2.2

Reglerna om information i straffrättsliga

 

 

 

 

förfaranden har företräde ...............................

219

 

 

10.2.3

Innehållet i direktivet.....................................

220

 

 

10.2.4

Nuvarande reglering ......................................

221

 

 

10.2.5

Innebörden av artiklarna om information ......

222

 

 

10.2.6

Allmän information som ska göras

 

 

 

 

tillgänglig ......................................................

224

 

 

10.2.7

Information som ska lämnas i ett enskilt

 

 

 

 

fall ............................................................

226

 

 

10.2.8

Information som ska lämnas på begäran .......

229

 

 

10.2.9

Information om automatiserade beslut ..........

235

 

10.3

Begränsning av rätten till information ............................

235

 

 

10.3.1

Rätten till information får begränsas .............

235

 

 

10.3.2

Kategorier av behandling ..............................

240

 

 

10.3.3

Ofärdig text och minnesanteckningar ............

241

 

 

10.3.4

Orimliga eller uppenbart ogrundade

 

 

 

 

framställningar...............................................

244

 

10.4

Rättelse, radering och begränsning av behandlingen .....

246

 

 

10.4.1

Rätten till rättelse och komplettering.............

246

 

 

10.4.2

Rätten till radering.........................................

248

 

 

10.4.3

Begränsning av behandlingen........................

250

 

 

10.4.4

Val av åtgärd .................................................

253

 

10.5

Hur informationen ska begäras och lämnas ....................

254

 

 

10.5.1

Kraven på informationen och på den som

 

 

 

 

begär den .......................................................

254

 

 

10.5.2

Kraven på begäran.........................................

254

 

 

10.5.3

Åtgärder för att säkerställa att begäran

 

 

 

 

görs av en behörig person..............................

255

 

 

10.5.4

Lättbegriplig information i lämplig form ......

255

 

 

10.5.5

Åtgärder som underlättar utövandet av

 

 

 

 

rättigheterna...................................................

257

 

 

10.5.6

Skyldighet att informera om

 

 

 

 

handläggningen .............................................

257

 

 

10.5.7

Beslut ska vara skriftliga och motiverade......

258

 

 

10.5.8

Underrättelseskyldighet .................................

259

 

 

10.5.9

Information ska inte avgiftsbeläggas .............

261

11

Tillsyn

...........................................................................................

 

262

 

11.1 ...............

Dagens tillsyn över personuppgiftsbehandling

262

 

...........................................

11.1.1

Datainspektionen

262

 

.....

11.1.2

Säkerhets- och integritetsskyddsnämnden

263

 

 

11.1.3

Riksdagens ombudsmän och

 

 

..............................................

 

Justitiekanslern

264

 

11.2 ................

Utgångspunkter för överväganden om tillsyn

264

 

11.3 ..............................................................

Tillsynsområdet

267

6

 

 

 

 

11.3.1Tillsynsområdet bör slås fast i en

 

definition ......................................................

267

11.3.2

Undantag för dömande verksamhet ..............

268

11.4Tillsynsmyndighet enligt direktivet och den fortsatta

 

tillsynen över Polismyndighetens

 

 

personuppgiftsbehandling..............................................

270

11.5

Tillsynsmyndighetens uppdrag......................................

273

 

11.5.1

Tillsynsmyndighetens oberoende ska

 

 

 

värnas ...........................................................

273

 

11.5.2

Tillsynsmyndigheten ska ha dubbla

 

 

 

perspektiv .....................................................

275

11.6

Tillsynsmyndighetens uppgifter ....................................

277

 

11.6.1

Huvuduppgifterna bör regleras i ramlagen ...

277

 

11.6.2

Klagomål från enskilda.................................

278

 

11.6.3

Kontroll av om behandling är

 

 

 

författningsenlig ...........................................

280

 

11.6.4

Information och rådgivning ..........................

285

11.7

Tillsynsmyndighetens befogenheter ..............................

288

 

11.7.1

Hur bör tillsynen bedrivas?...........................

288

 

11.7.2

Utgångspunkterna för regleringen ................

289

 

11.7.3

Undersökningsbefogenheter .........................

290

 

11.7.4

Skillnad mellan förebyggande och

 

 

 

korrigerande befogenheter ............................

292

 

11.7.5

Förebyggande befogenheter .........................

294

 

11.7.6

Korrigerande befogenheter ...........................

295

11.8

Handläggningen av tillsynsfrågor..................................

298

 

11.8.1

Förvaltningslagens tillämplighet ..................

298

 

11.8.2

Kommunikationsskyldighet ..........................

298

 

11.8.3

Beslut ska gälla när de fått laga kraft............

299

 

11.8.4

Befogenhet att göra rättsliga myndigheter

 

 

 

uppmärksamma på felaktigheter...................

300

11.9

Möjlighet att ifrågasätta giltigheten av

 

 

unionsrättsakter .............................................................

301

11.10

Internationellt samarbete ...............................................

302

 

11.10.1

Skyldighet att bistå en tillsynsmyndighet i

 

 

 

en annan medlemsstat ...................................

302

 

11.10.2

Svensk begäran om bistånd av en annan

 

 

 

medlemsstat ..................................................

304

11.11

Tillsyn ska vara avgiftsfri ..............................................

305

 

11.11.1

Tillsynsmyndigheten ska inte kunna ta ut

 

 

 

avgifter..........................................................

305

 

11.11.2

Ersättning för bistånd till en annan

 

 

 

medlemsstat ..................................................

306

11.12

Övriga frågor om tillsyn ................................................

308

12 Sanktioner ....................................................................................

 

309

12.1

Utgångspunkter för valet av sanktionssystem ...............

309

 

12.1.1

Olika typer av sanktioner..............................

309

 

12.1.2

Innehållet i direktivet och nuvarande

 

 

 

reglering........................................................

309

 

12.1.3

Ett sammanhållet sanktionssystem ...............

310

Prop. 2017/18:232

7

Prop. 2017/18:232

12.2

Vilket sanktionssystem bör väljas? ................................

311

 

 

12.2.1

Ingen straffbestämmelse i ramlagen ..............

311

 

 

12.2.2

En ny administrativ sanktion ska införas .......

313

 

12.3

Utformningen av sanktionsavgiftssystemet ....................

317

 

12.4

Vem ska betala sanktionsavgift? ....................................

319

 

12.5

Vad ska leda till en sanktionsavgift? ..............................

320

 

 

12.5.1

Utgångspunkter .............................................

320

 

 

12.5.2

Överträdelser som kan leda till en

 

 

 

 

sanktionsavgift ...............................................

321

 

 

12.5.3

Ska sanktionsavgift alltid tas ut? ...................

324

 

12.6

Hur sanktionsavgiften ska bestämmas............................

325

 

 

12.6.1

Sanktionsavgiftens storlek .............................

325

 

 

12.6.2

Hur avgiften ska bestämmas i det enskilda

 

 

 

 

fallet ............................................................

329

 

12.7

Beslut om sanktionsavgift ..............................................

332

 

 

12.7.1

Vem ska besluta om sanktionsavgift? ...........

332

 

 

12.7.2

Förfarandet vid beslut om sanktionsavgift ....

333

 

 

12.7.3

Betalning och verkställighet ..........................

334

 

 

12.7.4

Överklagande .................................................

335

 

12.8

Sanktionsavgift och Europakonventionen ......................

335

 

 

12.8.1

Konventionens krav på

 

 

 

 

rättssäkerhetsgarantier ...................................

335

 

 

12.8.2

Konventionens förbud mot

 

 

 

 

dubbelprövning ..............................................

336

13

Skadestånd och överklagande .......................................................

337

 

13.1

Krav på effektiva rättsmedel vid felaktig

 

 

 

personuppgiftsbehandling ..............................................

337

 

13.2

Talerätt för registrerade ..................................................

338

 

13.3

Skadestånd......................................................................

339

 

 

13.3.1

Det allmännas skadeståndsansvar ..................

339

 

 

13.3.2

Skadeståndsskyldighet för

 

 

 

 

personuppgiftsansvariga ................................

340

 

13.4

Överklagande av personuppgiftsansvariga

 

 

 

myndigheters beslut........................................................

344

 

13.5

Klagomål

........................................................................

347

 

13.6

En effektiv ...........................handläggning av klagomål

350

 

13.7

Överklagande ...............av tillsynsmyndighetens beslut

351

 

 

13.7.1

Tillsynsmyndighetens beslut ska kunna

 

 

 

......................................................

överklagas

351

 

 

13.7.2 ...................

Det behövs ingen ny forumregel

355

 

13.8

Rättsmedlen ...........................är oberoende av varandra

356

 

13.9

Rätt för ideella organisationer att företräda

 

 

 

registrerade .....................................................................

356

14 Överföring till tredjeland ........och internationella organisationer

359

 

14.1

Bakgrund ........................................................................

 

359

 

 

14.1.1 ...................................................

2013 års lag

359

 

 

14.1.2 ......................................

Personuppgiftslagen

359

 

 

14.1.3 .....................................

Innehållet i direktivet

360

 

14.2

Några grundläggande ........................................begrepp

361

8

 

14.2.1 .....................................................

Överföring

361

14.2.2

Medlemsstat..................................................

363

14.2.3

Tredjeland.....................................................

365

14.2.4

Internationell organisation ............................

365

14.2.5

Internationella avtal ......................................

366

14.3Allmänna principer för överföring av

 

personuppgifter..............................................................

367

 

14.3.1

Förutsättningar för överföring ......................

367

 

14.3.2

Överföringen ska vara nödvändig för ett

 

 

 

visst ändamål och riktas till en behörig

 

 

 

myndighet .....................................................

370

 

14.3.3

Viss skyddsnivå ska vara säkerställd ............

371

 

14.3.4

Överföring av uppgifter från andra

 

 

 

medlemsstater ska vara medgiven ................

372

14.4

Beslut om adekvat skyddsnivå ......................................

374

14.5

Tillräckliga skyddsåtgärder ...........................................

376

14.6

Undantag i särskilda situationer ....................................

379

 

14.6.1

Överföringen ska vara nödvändig i en

 

 

 

särskild situation ...........................................

379

 

14.6.2

Enskildas vitala intressen..............................

381

 

14.6.3

Registrerades berättigade intressen...............

383

 

14.6.4

Myndigheters intresse i enskilda fall ............

384

 

14.6.5

Rättsliga anspråk i enskilda fall ....................

385

 

14.6.6

Allvarlig fara för allmän säkerhet .................

386

 

14.6.7

En intresseavvägning ska göras i vissa fall...

387

14.7

Vidareöverföring ...........................................................

388

14.8

Överföring till andra än behöriga myndigheter .............

391

 

14.8.1

Förutsättningarna för överföring till andra

 

 

 

än behöriga myndigheter ..............................

391

 

14.8.2

Överföringen ska vara absolut nödvändig ....

393

 

14.8.3

Om överföring till behörig myndighet blir

 

 

 

ineffektiv eller är olämplig ...........................

394

 

14.8.4

En intresseavvägning ska göras ....................

395

14.9

Villkor för användningen av personuppgifter................

396

 

14.9.1

Villkor som ställs upp av utländska

 

 

 

myndigheter eller organ................................

396

 

14.9.2

Villkor när personuppgifter överförs av

 

 

 

svenska myndigheter ....................................

397

14.10

Dokumentationskrav och informationsskyldighet .........

398

14.11

Internationellt samarbete ...............................................

399

14.12

Sekretess vid överföring till tredjeland..........................

400

 

14.12.1

Överföring innebär utlämnande ....................

400

 

14.12.2

Utlämnande av offentliga allmänna

 

 

 

handlingar till tredjeland...............................

400

 

14.12.3

Uppgifter som inte är sekretessbelagda ........

400

 

14.12.4

Uppgifter som är sekretessbelagda ...............

401

15 Sekretessfrågor.............................................................................

 

402

15.1

Inledande om offentlighet och sekretess........................

402

 

15.1.1

Rätten att ta del av allmänna handlingar.......

402

 

15.1.2

Huvuddragen i sekretessregleringen .............

402

15.2

Sekretess i tillsynsverksamheten ...................................

403

Prop. 2017/18:232

9

Prop. 2017/18:232

15.2.1

Nuvarande reglering ......................................

403

 

15.2.2

Behovet av en ny sekretessbestämmelse .......

405

 

15.2.3

Utformningen av sekretessbestämmelsen......

408

 

15.2.4

En sekretessbrytande regel för

 

 

 

tillsynsverksamheten .....................................

410

 

15.2.5

Sekretess för rapporter om

 

 

 

personuppgiftsincidenter ...............................

412

 

15.2.6

En hänvisningsbestämmelse bör införas........

413

 

 

15.3

Tystnadsplikt för dataskyddsombud ...............................

414

 

 

15.4

Sekretess för sammanställningar av känsliga

 

 

 

 

personuppgifter...............................................................

416

 

16

Konsekvenser ................................................................................

 

417

 

 

16.1

Ett fåtal helt nya krav eller arbetsuppgifter men

 

 

 

 

skärpta krav i vissa fall ...................................................

417

 

 

16.2

Ekonomiska konsekvenser .............................................

419

 

 

 

16.2.1

Konsekvenser för staten ................................

419

 

 

 

16.2.2

Konsekvenser för kommuner och

 

 

 

 

 

landsting ........................................................

420

 

 

 

16.2.3

Konsekvenser för enskilda ............................

421

 

 

16.3

Konsekvenser för brottsligheten och det

 

 

 

 

brottsförebyggande arbetet .............................................

421

 

 

16.4

Konsekvenser i övrigt.....................................................

422

 

17

Ikraftträdande- och övergångsbestämmelser.................................

422

 

 

17.1

Ikraftträdande .................................................................

422

 

 

17.2

Övergångsbestämmelser.................................................

423

 

 

 

17.2.1

Ärendehandläggning m.m. ............................

423

 

 

 

17.2.2

Övergångsbestämmelser till det nya

 

 

 

 

 

sanktionssystemet ..........................................

425

 

 

 

17.2.3

Övergångsbestämmelser i övrigt ...................

427

 

18

Författningskommentar .................................................................

429

 

 

18.1

Förslaget till brottsdatalag ..............................................

429

 

 

18.2

Förslaget till lag om ändring i offentlighets- och

 

 

 

 

sekretesslagen (2009:400) ..............................................

500

 

 

18.3

Förslaget till lag om ändring i domstolsdatalagen

 

 

 

 

(2015:728) ......................................................................

501

 

 

18.4

Förslaget till lag om ändring i lagen (2018:000) med

 

 

 

 

kompletterande bestämmelser till EU:s

 

 

 

 

dataskyddsförordning .....................................................

501

 

 

18.5

Förslaget till lag om ändring i brottsdatalagen

 

 

 

 

(2018:000) ......................................................................

501

 

Bilaga 1

Europaparlamentets och rådets direktiv (EU)

 

 

 

 

2016/680.........................................................................

 

503

 

Bilaga 2

Sammanfattning SOU 2017:29 ......................................

546

 

Bilaga 3

Lagförslag i SOU 2017:29 .............................................

553

 

Bilaga 4

Förteckning över remissinstanserna (SOU 2017:29)......

580

 

Bilaga 5

Sammanfattning SOU 2017:74 ......................................

581

10

Bilaga 6

Lagförslag i SOU 2017:74 .............................................

587

Prop. 2017/18:232

11

Prop. 2017/18:232

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.brottsdatalag,

2.lag om ändring i lagen (1998:620) om belastningsregister,

3.lag om ändring i lagen (1998:621) om misstankeregister,

4.lag om ändring i offentlighets- och sekretesslagen (2009:400),

5.lag om ändring i domstolsdatalagen (2015:728),

6.lag om ändring i lagen (2017:496) om internationellt polisiärt sam- arbete.

7.lag om ändring i lagen (2018:000) med kompletterande bestämmel- ser till EU:s dataskyddsförordning,

8.lag om ändring i brottsdatalagen (2018:000).

12

2

Lagtext

Prop. 2017/18:232

 

Regeringen har följande förslag till lagtext.

2.1Förslag till brottsdatalag

Härigenom föreskrivs1 följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här benämnt dataskydds- direktivet.

Syftet med lagen är att skydda fysiska personers grundläggande rättig- heter och friheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personupp- gifter med varandra på ett ändamålsenligt sätt.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter som utförs av be- höriga myndigheter i syfte att förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Lagen gäller inte vid Säkerhetspolisens behandling av personuppgif- ter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgif- ter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrätts- liga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambe-

slut 2008/977/RIF, i den ursprungliga lydelsen.

13

Prop. 2017/18:232 Lagen gäller inte heller i sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens för- svarsunderrättelseverksamhet och militära säkerhetstjänst.

Avvikande bestämmelser i annan författning

5 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Definitioner

6 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck

Betydelse

 

 

 

 

 

 

Behandling av personuppgifter

En åtgärd eller kombination av åt-

 

gärder som vidtas i fråga om per-

 

sonuppgifter eller uppsättningar av

 

personuppgifter,

oavsett

om

det

 

görs automatiserat eller inte, t.ex.

 

insamling,

registrering,

organise-

 

ring, strukturering, lagring, bear-

 

betning eller ändring, framtagning,

 

läsning,

användning,

utlämnande,

 

spridning eller tillhandahållande på

 

annat sätt, justering, sammanfö-

 

ring,

begränsning, radering

eller

 

förstöring.

 

 

 

 

 

 

Behörig myndighet

1. En

myndighet

som

har

till

 

uppgift

att

förebygga,

förhindra

 

eller upptäcka brottslig verksam-

 

het, utreda eller lagföra brott, verk-

 

ställa straffrättsliga påföljder, eller

 

upprätthålla

allmän

ordning

och

 

säkerhet, när den behandlar per-

 

sonuppgifter för ett sådant syfte,

 

eller

 

 

 

 

 

 

 

 

 

2. en annan aktör som har anför-

 

trotts

myndighetsutövning för ett

 

syfte som anges i 1, när den be-

 

handlar personuppgifter för ett så-

 

dant syfte.

 

 

 

 

 

 

Biometriska uppgifter

Personuppgifter

som

rör en

per-

 

sons fysiska, fysiologiska eller be-

 

teendemässiga

kännetecken,

som

 

tagits fram genom särskild teknisk

 

behandling

och

som

möjliggör

 

eller bekräftar unik identifiering av

 

personen.

 

 

 

 

 

 

Dataskyddsombud

Den som utses av den person-

 

uppgiftsansvarige för att självstän-

digt kontrollera att personuppgifter

14

 

behandlas författningsenligt och på

 

ett korrekt sätt enligt vad som när-

 

mare anges i lagen.

 

 

 

Genetiska uppgifter

Personuppgifter som rör en per-

 

sons

nedärvda

eller

förvärvade

 

genetiska

kännetecken

och

som

 

härrör från analys av ett spår av

 

eller ett prov från personen.

 

Internationell organisation

En organisation och dess under-

 

ställda organ som lyder under folk-

 

rätten eller ett annat organ som in-

 

rättats genom eller på grundval av

 

en överenskommelse mellan två

 

eller flera stater.

 

 

 

 

Medlemsstat

En stat som är medlem i Euro-

 

peiska unionen samt Island, Liech-

 

tenstein, Norge och Schweiz.

 

Mottagare

Den

till

vilken

personuppgifter

 

lämnas ut, med undantag av en

 

myndighet som med stöd av för-

 

fattning

utövar

tillsyn,

kontroll

 

eller revision.

 

 

 

 

Personuppgift

Varje upplysning om en identi-

 

fierad eller identifierbar fysisk per-

 

son som är i livet.

 

 

 

 

Personuppgiftsansvarig

Den

behöriga

myndighet

som

 

ensam eller tillsammans med andra

 

bestämmer

ändamålen

med

och

 

medlen för behandlingen av per-

 

sonuppgifter.

 

 

 

 

Personuppgiftsbiträde

Den som behandlar personupp-

 

gifter för den personuppgiftsansva-

 

riges räkning.

 

 

 

 

Personuppgiftsincident

En säkerhetsincident som leder till

 

oavsiktlig

eller olaglig

förstöring,

 

förlust eller ändring eller obehörigt

 

röjande av eller obehörig åtkomst

 

till personuppgifter.

 

 

 

Registrerad

Den fysiska person som person-

 

uppgiften gäller.

 

 

 

 

Tillsynsmyndigheten

Myndighet

som

regeringen

utser

 

enligt

dataskyddsdirektivet

för att

 

utöva tillsyn över behandling av

 

personuppgifter som utförs av be-

 

höriga myndigheter i syfte att före-

 

bygga,

förhindra

eller

upptäcka

 

brottslig

verksamhet, utreda

eller

 

lagföra brott, verkställa straffrätts-

 

liga påföljder eller upprätthålla all-

 

män ordning och säkerhet.

 

 

Tredjeland

En stat som inte är en medlemsstat.

Prop. 2017/18:232

15

Prop. 2017/18:232

Tredje man

Någon annan än den registrerade,

 

 

den personuppgiftsansvarige, data-

 

 

skyddsombudet, personuppgiftsbi-

 

 

trädet och sådana personer som

 

 

under

den

personuppgiftsansva-

 

 

riges

eller

personuppgiftsbiträdets

 

 

direkta ansvar har rätt att behandla

 

 

personuppgifter.

 

Uppgift som rör hälsa

Personuppgift som rör en persons

 

 

fysiska eller psykiska hälsa, inklu-

 

 

sive information om tillhandahål-

 

 

lande av hälso- och sjukvårdstjän-

 

 

ster som ger upplysning om perso-

 

 

nens hälsostatus.

2 kap. Behandling av personuppgifter

Grundläggande krav på behandlingen

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straff- rättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Ändamål

3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.

Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.

4 § Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att

1.det finns en rättslig grund enligt 1 § för den nya behandlingen, och

2.det är nödvändigt och proportionerligt att personuppgifterna behand- las för det nya ändamålet.

I den utsträckning skyldighet att lämna uppgifter följer av lag eller för- ordning ska någon prövning enligt första stycket inte göras.

16

5 § En behörig myndighet får behandla personuppgifter för vetenskap- liga, statistiska eller historiska ändamål inom denna lags tillämpnings- område.

Författningsenlig och korrekt behandling

6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nöd- vändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i för- hållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med be- handlingen.

Åtskillnad mellan olika slag av personuppgifter

9 § Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.

10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta särskiljas från personuppgifter som grundar sig på personliga bedöm- ningar. Om det inte framgår av sammanhanget eller på annat sätt vad uppgiften grundas på ska det tydliggöras genom en särskild upplysning.

Känsliga personuppgifter

11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.

12 § Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

13 § Personuppgifter som avses i 11 och 12 §§ (känsliga personuppgif- ter) får alltid behandlas med stöd av 2 §.

14 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Prop. 2017/18:232

17

Prop. 2017/18:232

18

Rättelse, uppdatering och radering

15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

När personuppgifter lämnas ut till en behörig myndighet ska motta- garen så långt det är möjligt ges information som gör att det går att be- döma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdate- rade och tillförlitliga.

16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behand- las i strid med 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Det- samma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behand- lingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

Längsta tid som personuppgifter får behandlas

17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom denna lags tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsätta behandla personuppgifterna.

Automatiserade beslut

19 § Om ett beslut har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne och beslutet enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet prövat på nytt av någon person.

Automatiserade beslut får inte enbart grundas på känsliga personupp- gifter.

Överföring av personuppgifter till en annan medlemsstat

20 § Om det inte är särskilt föreskrivet får villkor för behandling av per- sonuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare.

Uppgiftslämnande för rättsstatistik

Prop. 2017/18:232

21 § Personuppgifter som är nödvändiga för att framställa rättsstatistik

 

ska lämnas till den myndighet som ansvarar för att framställa sådan sta-

 

tistik.

 

Behandling för ändamål utanför denna lags tillämpningsområde

 

22 § Innan personuppgifter som behandlas med stöd av denna lag be-

 

handlas för ett ändamål utanför lagens tillämpningsområde ska det säker-

 

ställas att det är nödvändigt och proportionerligt att personuppgifterna

 

behandlas för det ändamålet.

 

I den utsträckning skyldighet att lämna uppgifter följer av lag eller för-

 

ordning ska någon prövning enligt första stycket inte göras.

 

3 kap. Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

1 § Den personuppgiftsansvarige är ansvarig för all behandling av per- sonuppgifter som utförs under dennes ledning eller på dennes vägnar.

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och orga- nisatoriska åtgärder, säkerställa och kunna visa att behandlingen av per- sonuppgifter är författningsenlig och att den registrerades rättigheter skyddas.

3 § Den personuppgiftsansvarige ska när medlen för behandlingen be- stäms och vid behandlingen, genom lämpliga tekniska och organisato- riska åtgärder, se till att nödvändiga skyddsåtgärder integreras i behand- lingen (inbyggt dataskydd).

4 § Den personuppgiftsansvarige ska se till att det i automatiserade be- handlingssystem som regel inte är möjligt att behandla andra person- uppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

5 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den ut- sträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

6 § Den personuppgiftsansvarige ska se till att tillgången till personupp- gifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

19

Prop. 2017/18:232

20

Konsekvensbedömning och förhandssamråd

7 § Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekven- serna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller bety- dande förändringar genomförs (förhandssamråd).

Säkerheten för personuppgifter

Säkerhetsåtgärder

8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och organi- satoriska åtgärder för att skydda de personuppgifter som behandlas, sär- skilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Personuppgiftsincidenter

9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kän- nedom om en personuppgiftsincident ska den anmälas till tillsynsmyn- digheten, utom i de fall där incidenten ska rapporteras enligt säkerhets- skyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.

Anmälan behöver inte göras om det är osannolikt att personuppgifts- incidenten har medfört eller kommer att medföra någon risk för otillbör- ligt intrång i registrerades personliga integritet.

10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansva- rige utan onödigt dröjsmål underrätta den registrerade om incidenten.

Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige

1.har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,

2.har säkerställt att det inte längre finns särskild risk för otillbörligt in- trång i registrerades personliga integritet, eller

3.skulle behöva göra oproportionerliga ansträngningar för att under- rätta alla berörda.

I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig infor- mation.

11 § Den personuppgiftsansvarige får avstå från att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller Prop. 2017/18:232 lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän

ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.någon annans rättigheter och friheter skyddas.

Om den personuppgiftsansvarige inte är en myndighet, gäller undanta- get i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Samarbete med tillsynsmyndigheten

12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyndig- heten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Dataskyddsombud

13 § Den personuppgiftsansvarige ska utse ett eller flera dataskyddsom- bud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

14 § Dataskyddsombud ska

1.självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt full- gör sina skyldigheter,

2.informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter,

3.på begäran ge den personuppgiftsansvarige råd vid en konsekvens- bedömning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör behandling av per- sonuppgifter, och

5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personupp- gifter.

15 § Den som fullgör uppgift som dataskyddsombud får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått känne- dom om.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

Personuppgiftsbiträden

16 § Den personuppgiftsansvarige får, om det är lämpligt, anlita person- uppgiftsbiträden för behandling av personuppgifter på den personupp- giftsansvariges vägnar. Innan ett personuppgiftsbiträde anlitas ska den personuppgiftsansvarige försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behand-

21

Prop. 2017/18:232 lingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

17 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbi- träde utan skriftligt tillstånd från den personuppgiftsansvarige.

18 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från den per- sonuppgiftsansvarige.

Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.

19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvar

20 § Två eller flera behöriga myndigheter är gemensamt personuppgifts- ansvariga om de gemensamt bestämmer ändamålen med och medlen för personuppgiftsbehandlingen.

Den registrerade får utöva sina rättigheter enligt lagen mot var och en av de gemensamt personuppgiftsansvariga.

Bemyndigande

21 § Regeringen får meddela föreskrifter om skyldighet att föra register över kategorier av behandling av personuppgifter och skyldighet att in- föra interna rutiner för anmälan av överträdelser.

4 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Den personuppgiftsansvarige ska göra följande allmänna information tillgänglig för den registrerade:

1.den personuppgiftsansvariges identitet och kontaktuppgifter,

2.dataskyddsombudets kontaktuppgifter,

3.kategorier av ändamål för behandlingen,

4.rätten enligt 3 § att begära att få information om behandling av per- sonuppgifter och att få del av uppgifterna,

5.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och

6.möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.

22

Personrelaterad information

2 § Den personuppgiftsansvarige ska i ett enskilt fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta till vara sina rättigheter:

1.den rättsliga grunden för behandlingen,

2.kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,

3.hur länge personuppgifterna får behandlas eller, om det inte är möj- ligt att ange, kriterierna för att fastställa det, och

4.övrig nödvändig information.

Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den regi- strerades vetskap.

3 § Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och få följande skriftliga information:

1.vilka personuppgifter om sökanden som behandlas,

2.varifrån personuppgifterna kommer,

3.den rättsliga grunden för behandlingen,

4.ändamålen med behandlingen,

5.mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,

6.hur länge personuppgifterna får behandlas eller, om det inte är möj- ligt att ange, kriterierna för att fastställa det,

7.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och

8.möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.

Utlämnande av personuppgifter enligt första stycket behöver inte om- fatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personupp- gifterna i fråga behandlas.

4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § har rätt att på begäran få närmare information om beslutet av den personuppgiftsansvarige.

Begränsning av rätten till information

5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4. någon annans rättigheter och friheter skyddas.

Prop. 2017/18:232

23

Prop. 2017/18:232 Om förutsättningarna i första stycket är uppfyllda, är den personupp- giftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av be- handlingen enligt 9 eller 10 §.

Om den personuppgiftsansvarige inte är en myndighet, gäller undanta- gen i första och andra styckena även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna

1.har lämnats ut till tredje man, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision,

2.behandlas enbart för vetenskapliga, statistiska eller historiska ända- mål, eller

3.har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.

Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.

Möjligheten att begära kontroll genom tillsynsmyndigheten

8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.

Rätten till rättelse, radering och begränsning av behandlingen

9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne, om de är felaktiga eller ofullständiga med hänsyn till ända- målet med behandlingen.

Om den personuppgiftsansvarige inte kan fastställa att personuppgif- terna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne, om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om det krävs radering för att den personuppgiftsansvarige ska utföra en rätts- lig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska den per- sonuppgiftsansvarige på begäran av den registrerade i stället utan onödigt

dröjsmål begränsa behandlingen av uppgifterna.

24

11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas Prop. 2017/18:232 med anledning av en begäran om rättelse, radering eller begränsning av

behandlingen.

Avgiftsfri information

12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.

5 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 § Tillsynsmyndigheten ska verka både för att fysiska personers grund- läggande rättigheter och friheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.

Tillsynsmyndighetens uppgifter 2 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling,

2.handlägga klagomål från registrerade,

3.utföra kontroll enligt 3 §, och

4.på begäran bistå en tillsynsmyndighet i en annan medlemsstat. Tillsynen ska inte omfatta behandling av personuppgifter inom ramen

för domstolarnas dömande verksamhet.

3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär en sådan kon- troll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.

Myndigheten får vägra att utföra kontrollen om begäran är orimlig eller uppenbart ogrundad.

4 § Tillsynsmyndigheten ska vid förhandssamråd enligt 3 kap. 7 § och när det i övrigt är påkallat ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och per- sonuppgiftsbiträden på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av personupp- gifter och säkerhets- och skyddsåtgärder,

25

Prop. 2017/18:232 3. tillträde till lokaler som den personuppgiftsansvarige eller per- sonuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

4. den hjälp och den information som behövs för tillsynen.

Förebyggande befogenheter

6 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

7 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldig- heter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgär- der för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,

2.förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

3.förbjuda fortsatt behandling om bristen är allvarlig, eller

4.besluta om en sanktionsavgift enligt 6 kap.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åt- gärderna senast ska vara genomförda och, om det är lämpligt, vilka åt- gärder som ska vidtas.

 

Verkställighet av beslut

 

8 § Tillsynsmyndighetens beslut får inte verkställas omedelbart.

 

Samarbete med tillsynsmyndigheter i andra medlemsstater

 

9 § Tillsynsmyndigheten får vägra en begäran om bistånd från en till-

 

synsmyndighet i en annan medlemsstat endast om det skulle strida mot

 

en lag eller en förordning att tillmötesgå den.

 

10 § När tillsynsmyndigheten på begäran bistår en tillsynsmyndighet i en

 

annan medlemsstat har den de befogenheter som anges i 5–7 §§.

 

11 § Tillsynsmyndigheten får, om det är förenligt med svenska intressen,

 

lämna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat,

 

även om uppgiften är sekretessbelagd enligt offentlighets- och sekretess-

26

lagen (2009:400).

12 § Information som tillsynsmyndigheten efter begäran har fått från en Prop. 2017/18:232 tillsynsmyndighet i en annan medlemsstat får inte användas för något

annat ändamål än det för vilket informationen begärdes.

6 kap. Administrativa sanktionsavgifter

Överträdelser som kan leda till en sanktionsavgift

1 § En sanktionsavgift får tas ut av en personuppgiftsansvarig vid över- trädelse av någon av

1.2 kap. 1–5, 7–12 eller 14–18 §§, 19 § andra stycket eller 22 §,

2.3 kap. 2–8 §§, eller

3.8 kap. 1–6 §§ eller 8 §.

En sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar en sådan incident, låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

2 § En sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträ- delse av 3 kap. 5, 6 eller 8 §.

En sanktionsavgift får också tas ut om ett personuppgiftsbiträde låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsyns- myndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Hur sanktionsavgiften ska bestämmas

3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor.

Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften bestämmas till högst 10 000 000 kronor.

Om flera bestämmelser har överträtts genom samma personuppgiftsbe- handling, eller om en eller flera bestämmelser har överträtts genom sam- mankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestäm- mas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

4 § Vid bedömningen av om någon sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till

1.om överträdelsen varit uppsåtlig eller berott på oaktsamhet,

2.den skada, fara eller kränkning som överträdelsen inneburit,

3.överträdelsens karaktär, svårhetsgrad och varaktighet,

4.vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa verkningarna av överträdelsen, och

5.om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala en sanktionsavgift.

5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle

vara oskäligt att ta ut en avgift.

27

Prop. 2017/18:232 Beslut om sanktionsavgift

6 § Tillsynsmyndigheten beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten.

7 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdel- sen ägde rum.

Ett beslut om sanktionsavgift ska delges.

Betalning av sanktionsavgift

8 § En sanktionsavgift ska betalas till den myndighet som regeringen be- stämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Be- stämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt ut- sökningsbalken.

Bemyndigande

9 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt denna lag.

7 kap. Skadestånd och överklagande

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av be- handling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Överklagande

Överklagande av personuppgiftsansvariga myndigheters beslut

2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket, eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.

28

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till all- män förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndighe- ten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

4 § Andra beslut enligt denna lag än de som avses i 2 och 3 §§ får inte överklagas.

8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Förutsättningar för överföring

1 § En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en interna- tionell organisation. Personuppgifterna får dock endast överföras om överföringen

1.är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.riktas till en behörig myndighet i ett tredjeland eller till en interna- tionell organisation som är en behörig myndighet, och

3.omfattas av

a)ett beslut om adekvat skyddsnivå enligt 3 §,

b)tillräckliga skyddsåtgärder enligt 4 §, eller

c)ett undantag för särskilda situationer enligt 5 §.

En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation, ska särskilt beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter.

2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organi- sation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.

Om medgivandet på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller någon annan medlemsstat.

Beslut om adekvat skyddsnivå

3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geogra- fisk eller på annat sätt angiven del av det, får personuppgifter överföras dit under de förutsättningar som anges i 1 och 2 §§. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Prop. 2017/18:232

29

Prop. 2017/18:232

30

Tillräckliga skyddsåtgärder

4 § Om det inte finns något beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter, under de förutsättningar som anges i 1 och 2 §§, ändå överföras till ett tredjeland eller en internationell organisation om

1.skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller

2.den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

5 § Om det inte finns något beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en samling av överföringar, av personuppgifter, under de förutsättningar som anges i 1 och 2 §§, göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

1.värna den registrerades eller någon annan fysisk persons vitala in- tressen, eller andra berättigade intressen som den registrerade har,

2.i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

3.i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rätts- ligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en internatio-

nell organisation om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Vidareöverföring

6 § En svensk behörig myndighet får inte tillåta att sådana personuppgif- ter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte någon behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.

7 § När en svensk behörig myndighet ska ta ställning till om personupp- gifter som har överförts från Sverige till en annan medlemsstat, som har överfört dem till ett tredjeland eller en internationell organisation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av person- uppgifter i tredjelandet eller hos den internationella organisationen som uppgifterna ska vidareöverföras till.

Överföring till andra än behöriga myndigheter

8 § En svensk behörig myndighet får i ett enskilt fall överföra personupp- gifter till någon som inte är en behörig myndighet i ett tredjeland. Per- sonuppgifterna får överföras endast om de övriga förutsättningarna i 1 och 2 §§ är uppfyllda och om

1.det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en uppgift enligt 1 kap. 2 § som den har ansvar för,

2.den svenska myndigheten informerar den som ska ta emot person- uppgifterna om det eller de specifika ändamål för vilket eller vilka upp- gifterna får behandlas, och

3.det skulle vara ineffektivt eller olämpligt att överföra dem till en be- hörig myndighet i tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registre- rades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs.

Första och andra styckena gäller inte en sådan annan aktör som är be- hörig myndighet enligt definitionen i 1 kap. 6 §.

Villkor om användningsbegränsning

9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med tredjelandet eller den internationella organisa- tionen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

10 § En svensk behörig myndighet får vid överföring av personuppgifter till ett tredjeland eller en internationell organisation i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildes rätt eller från allmän synpunkt. Så- dana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.

1.Denna lag träder i kraft den 1 augusti 2018.

2.Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samar- bete inom Europeiska unionen.

3.Bestämmelsen i 3 kap. 5 § om loggning tillämpas från och med den 6 maj 2023 i fråga om automatiserade behandlingssystem som inrättats före den 6 maj 2016.

4.En sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har skett efter ikraftträdandet.

5.Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

6.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

Prop. 2017/18:232

31

Prop. 2017/18:232 2.2

Förslag till lag om ändring i lagen (1998:620)

 

om belastningsregister

Härigenom föreskrivs att 1 b § lagen (1998:620) om belastnings- register1 ska upphöra att gälla vid utgången av juli 2018.

1 Senaste lydelse av 1 b § 2013:331.

32

2.3

Förslag till lag om ändring i lagen (1998:621)

Prop. 2017/18:232

 

om misstankeregister

 

Härigenom föreskrivs att 1 b § lagen (1998:621) om misstankeregister1 ska upphöra att gälla vid utgången av juli 2018.

1 Senaste lydelse av 1 b § 2013:332.

33

Prop. 2017/18:232 2.4

Förslag till lag om ändring i offentlighets- och

 

sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 9 kap. 2 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 17 kap. 7 c §, och när- mast före 17 kap. 7 c § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

2 §1

Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2017:496) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,

8.lagen (1998:620) om belastningsregister,

9.lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,

10.lagen (2013:329) med vissa

bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,

11. lagen (2015:63) om utbyte av upplysningar med anledning av FATCA-avtalet,

12. lagen (2015:912) om auto- matiskt utbyte av upplysningar om finansiella konton,

13. lagen (2017:182) om auto- matiskt utbyte av land-för-land- rapporter på skatteområdet, och

14. lagen (2017:1000) om en europeisk utredningsorder.

10. lagen (2015:63) om utbyte av upplysningar med anledning av FATCA-avtalet,

11. lagen (2015:912) om auto- matiskt utbyte av upplysningar om finansiella konton,

12. lagen (2017:182) om auto- matiskt utbyte av land-för-land- rapporter på skatteområdet,

13. lagen (2017:1000) om en europeisk utredningsorder, och

14. brottsdatalagen (2018:000).

1 Senaste lydelse 2017:1012.

34

17 kap.

Prop. 2017/18:232

Internationellt samarbete avse- ende behandling av personupp- gifter

7 c §

Sekretess gäller i tillsynsmyn- dighetens verksamhet enligt 5 kap. brottsdatalagen (2018:000) för uppgift som, utan samband med en svensk begäran, har lämnats av en tillsynsmyndighet i en stat inom Europeiska ekonomiska sam- arbetsområdet (EES) eller i Schweiz, om det kan antas att den svenska tillsynsmyndighetens möj- lighet att bedriva tillsyn motverkas om uppgiften röjs.

För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.

Denna lag träder i kraft den 1 augusti 2018.

35

Prop. 2017/18:232

36

2.5Förslag till lag om ändring i domstolsdatalagen (2015:728)

Härigenom föreskrivs att 5 § domstolsdatalagen (2015:728) ska ha föl- jande lydelse.

Lydelse enligt prop. 2017/18:113

Föreslagen lydelse

 

 

 

 

5 §

 

 

 

De avvikande bestämmelser som

De avvikande bestämmelser som

finns i lagen (2013:329) med vissa

finns i

Europaparlamentets

och

bestämmelser om skydd för per-

rådets

förordning

(EU)

nr

sonuppgifter vid polissamarbete

655/2014 av den 15 maj 2014 om

och straffrättsligt samarbete inom

inrättande av ett europeiskt för-

Europeiska unionen eller i före-

farande för kvarstad på bankmedel

skrifter som regeringen har med-

för att underlätta gränsöver-

delat i anslutning till den lagen,

skridande

skuldindrivning i

mål

ska tillämpas i stället för bestäm-

och ärenden av privaträttslig natur,

melserna i denna lag. Detsamma

ska tillämpas i stället för bestäm-

gäller i fråga om Europaparlamen-

melserna i denna lag.

 

 

tets och rådets förordning (EU) nr

 

 

 

 

655/2014 av den 15 maj 2014 om

 

 

 

 

inrättande av ett europeiskt förfa-

 

 

 

 

rande för kvarstad på bankmedel

 

 

 

 

för att underlätta gränsöverskri-

 

 

 

 

dande skuldindrivning i mål och

 

 

 

 

ärenden av privaträttslig natur.

 

 

 

 

 

 

 

 

 

 

Denna lag träder i kraft den 1 augusti 2018.

2.6Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete

Härigenom föreskrivs att 6 kap. 2 § lagen (2017:496) om internatio- nellt polisiärt samarbete ska upphöra att gälla vid utgången av juli 2018.

Prop. 2017/18:232

37

Prop. 2017/18:232 2.7

Förslag till lag om ändring i lagen (2018:000)

 

med kompletterande bestämmelser till EU:s

 

dataskyddsförordning

Härigenom föreskrivs i fråga om lagen (2018:000) med komplette- rande bestämmelser till EU:s dataskyddsförordning

dels att punkt 4 i ikraftträdande- och övergångsbestämmelserna ska upphöra att gälla,

dels att 1 kap. 4 § ska ha följande lydelse.

Lydelse enligt prop. 2017/18:105 Föreslagen lydelse

1 kap.

4 §

Artiklarna 33 och 34 i EU:s data-

Artiklarna 33 och 34 i EU:s data-

skyddsförordning tillämpas inte i

skyddsförordning tillämpas inte i

fråga om personuppgiftsincidenter

fråga om personuppgiftsincidenter

som ska rapporteras enligt säker-

som ska rapporteras enligt säker-

hetsskyddslagen (1996:627) eller

hetsskyddslagen (2018:000) eller

föreskrifter som har meddelats i

föreskrifter som har meddelats i

anslutning till den lagen.

anslutning till den lagen.

 

 

 

Denna lag träder i kraft den 1 april 2019 i fråga om 1 kap. 4 § och i övrigt den 1 augusti 2018.

38

2.8

 

Förslag till lag om ändring i brottsdatalagen

Prop. 2017/18:232

 

 

(2018:000)

 

 

 

 

 

 

Härigenom föreskrivs att 3 kap. 9 § brottsdatalagen (2018:000) ska ha

följande lydelse.

 

 

 

 

 

 

 

 

 

Lydelse enligt lagförslag 2.1

 

Föreslagen lydelse

 

 

 

 

 

 

 

 

3 kap.

 

 

 

 

 

 

 

 

 

 

9 §

 

 

 

 

Senast

72 timmar

efter det att

Senast 72 timmar

efter det att

den

personuppgiftsansvarige

fått

den

personuppgiftsansvarige

fått

kännedom om en personuppgifts-

kännedom om en personuppgifts-

incident ska den anmälas till till-

incident ska den anmälas till till-

synsmyndigheten, utom i de fall

synsmyndigheten, utom i de fall

där

incidenten

ska

 

rapporteras

där

incidenten

ska

rapporteras

enligt

säkerhetsskyddslagen

enligt

säkerhetsskyddslagen

(1996:627) eller

föreskrifter

som

(2018:000) eller

föreskrifter

som

har meddelats i anslutning till den

har meddelats i anslutning till den

lagen.

 

 

 

 

 

lagen.

 

 

 

Anmälan behöver inte göras om

Anmälan behöver inte göras om

det är osannolikt att personupp-

det är osannolikt att personupp-

giftsincidenten har medfört

eller

giftsincidenten har medfört

eller

kommer att medföra någon risk för

kommer att medföra någon risk för

otillbörligt intrång i den regi-

otillbörligt intrång i den regi-

strerades personliga integritet.

 

strerades personliga integritet.

 

 

 

 

 

 

 

 

 

 

 

 

 

Denna lag träder i kraft den 1 april 2019.

39

Prop. 2017/18:232 3

Ärendet och dess beredning

 

Europeiska unionen har enats om en genomgripande dataskyddsreform

 

som ska vara genomförd under våren 2018. Reformen omfattar dels

 

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april

 

2016 om skydd för fysiska personer med avseende på behandling av per-

 

sonuppgifter och om det fria flödet av sådana uppgifter och om upp-

 

hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad

 

dataskyddsförordningen, dels Europaparlamentets och rådets direktiv

 

(EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med

 

avseende på behöriga myndigheters behandling av personuppgifter för att

 

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa

 

straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om

 

upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskydds-

 

direktivet. Dataskyddsdirektivet bifogas som bilaga 1.

 

Regeringen beslutade den 17 mars 2016 kommittédirektiv om genom-

 

förande av dataskyddsdirektivet (dir. 2016:21). Utredningen om 2016 års

 

dataskyddsdirektiv redovisade den 5 april 2017 delbetänkandet Brotts-

 

datalag (SOU 2017:29), i vilket utredningen föreslår att direktivet i

 

huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Lagen

 

ska gälla för myndigheters behandling av personuppgifter vid bl.a. brotts-

 

bekämpning, lagföring och straffverkställighet. Delbetänkandets lagför-

 

slag behandlas i denna proposition. En sammanfattning av delbe-

 

tänkandet och dess lagförslag finns i bilaga 2 och 3. Delbetänkandet har

 

remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4.

 

Remissvaren

finns

tillgängliga

i

Justitiedepartementet

 

(Ju2017/03283/L4).

 

 

 

 

Utredningens slutbetänkande redovisades den 4 oktober 2017 (SOU

 

2017:74). I detta föreslås de anpassningar som krävs i rättsväsendets cen-

 

trala registerförfattningar. Det föreslås också vissa ändringar i den före-

 

slagna brottsdatalagen och följdändringar med anledning av det i delbe-

 

tänkandet lämnade förslaget att lagen (2013:329) med vissa bestämmel-

 

ser om skydd för personuppgifter vid polissamarbete och straffrättsligt

 

samarbete inom Europeiska unionen (2013 års lag) ska upphävas. Lag-

 

förslagen som rör brottsdatalagen och 2013 års lag behandlas i denna

 

proposition. Slutbetänkandets övriga lagförslag kommer att tas om hand i

 

två kommande propositioner. En sammanfattning av slutbetänkandet och

 

dess lagförslag som behandlas i denna proposition finns i bilaga 5 och 6.

 

Slutbetänkandet har remissbehandlats. En förteckning över remissinstan-

 

serna finns i bilaga 7. Remissvaren finns tillgängliga i Justitiedeparte-

 

mentet (Ju2017/07698/L4). Utredningens uppdrag innefattar inte vilken

 

myndighet som ska utses till tillsynsmyndighet eller hur tillsynsverksam-

 

heten ska organiseras.

 

 

 

 

Regeringen beslutade den 22 december 2014 att tillkalla en särskild ut-

 

redare med uppdrag att överväga hur ett i högre grad samlat integritets-

 

skydd kan fungera inom en och samma myndighetsstruktur genom att

 

tillsynen över behandling av personuppgifter samlas hos en myndighet

 

(dir. 2014:164). Genom tilläggsdirektiv den 17 december 2015 beslutade

 

regeringen

om

förlängd

utredningstid

(dir. 2015:139). Utredningen

40

(Ju 2015:02) redovisade sitt uppdrag i betänkandet Ett samlat ansvar för

 

 

 

 

 

 

tillsyn över den personliga integriteten (SOU 2016:65). Betänkandet Prop. 2017/18:232 innehåller bl.a. en kartläggning över vilken tillsyn över behandling av

personuppgifter som bedrivs i dag och överväganden om den i större utsträckning kan samlas hos en myndighet. Det behandlar också frågor om vilken eller vilka myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive dataskyddsdirektivet och som ska representera Sverige i Europeiska dataskyddsstyrelsen. Även frågor om hur företrädare för tillsynsmyndigheten ska utses och hur verksamheten ska organiseras behandlas i betänkandet. I denna proposition behandlas de delar av betänkandet som är nödvändiga för genomförandet av data- skyddsdirektivet. En sammanfattning av betänkandet och dess lagförslag finns i bilaga 8 och 9. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 10. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2016/06793/Å).

Lagrådet

Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 11. Lagrådets yttrande finns i bilaga 12. Lagrådets synpunkter och förslag behandlas i avsnitt 6.1.3, 6.4.4, 6.6, 7.6.4, 8.1.3, 8.1.4, 10.2.7, 11.3.1, 12.6.2, 12.7.2 och 15.2.3 samt i författningskommentaren. I förhållande till lagrådsremissens lag- förslag har vissa språkliga och redaktionella ändringar gjorts. Vidare har, efter förslag från Lagrådet, de bestämmelser som upplyser om regering- ens föreskriftsrätt tagits bort.

4Dagens reglering och reformer på dataskyddsområdet

4.1Huvuddragen i dagens personuppgiftsreglering

4.1.1Regeringsformen och Europakonventionen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det all- männa mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskil- des personliga förhållanden.

Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgif- ternas karaktär vid bedömningen av hur ingripande intrånget i den per- sonliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga för- hållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär.

Vid bedömningen av intrångets karaktär är det också naturligt att stor

41

Prop. 2017/18:232 vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

Den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00).

Även Europeiska unionens (EU) stadga om de grundläggande rättighe- terna (rättighetsstadgan) innehåller bestämmelser om behandling av per- sonuppgifter (se avsnitt 4.7.1).

4.1.2Personuppgiftslagen

Grundläggande begrepp

Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgif- ter. Med personregister avsågs register, förteckning eller andra anteck- ningar som förs med hjälp av automatisk databehandling och som inne- håller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen register den allmänt använda termen för datoriserade uppgiftssamlingar. Termen register används fortfarande i vissa författningar.

Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. I personupp- giftslagen (1998:204) nämns inte register utan det talas i stället om be- handling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas benämns dock alltjämt den registrerade.

Lagens tillämpningsområde

Genom personuppgiftslagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda perso- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, här kallat 1995 års dataskyddsdirektiv. Lagen innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av

42

personuppgifter omfattar i stort sett allt man kan göra med sådana upp- gifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.

Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad be- handling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.

Behandling av uppgifter om juridiska personer (som definitionsmässigt inte utgör personuppgifter) omfattas inte av personuppgiftslagen.

Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås fast vissa grundläggande krav för behand- ling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som be- handlas ska vidare vara adekvata och relevanta i förhållande till ändamå- len med behandlingen och får inte heller vara fler än vad som är nödvän- digt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna är felaktiga eller ofullständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas.

Tillåten och otillåten behandling

I 10–12 §§ finns en uttömmande uppräkning av de fall där behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. Återkallar personen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.

I vissa fall får personuppgifter behandlas även om den registrerade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.

Personuppgifter får behandlas i samband med ett avtal med den regi- strerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsan- svarige ska kunna fullgöra en rättslig skyldighet. Dessutom får person- uppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighets- utövning. Slutligen får personuppgifter behandlas om en avvägning ger

Prop. 2017/18:232

43

Prop. 2017/18:232 vid handen att den personuppgiftsansvariges berättigade intresse av be- handling väger tyngre än den registrerades intresse av skydd.

Behandling av känsliga personuppgifter

I 13 § personuppgiftslagen förbjuds behandling av känsliga personupp- gifter. Med det avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fack- förening och uppgifter som rör hälsa eller sexualliv.

Förbudet mot behandling av känsliga personuppgifter är inte undan- tagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifter- na får de enligt 15 § behandlas. Vidare görs i 16 § undantag för nödvän- dig behandling, bl.a. för att den personuppgiftsansvarige ska kunna full- göra skyldigheter eller utöva rättigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.

Undantag görs också i 17 § för ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.

Likaså finns det undantag i 18 § för behandlingen av känsliga person- uppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott och behandling av personnummer

Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndighe- ter att behandla sådana personuppgifter om lagöverträdelser som innefat- tar brott, domar i brottmål, straffprocessuella tvångsmedel eller administ- rativa frihetsberövanden. Sådana uppgifter får dock behandlas för forsk- ningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.

Uppgifter om personnummer och samordningsnummer får enligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Automatiserade beslut

Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följ- der för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos per- sonen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.

44

Information till den registrerade

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personuppgiftsansvariges skyl- dighet att självmant lämna information till registrerade gäller enligt 23 § i första hand uppgifter som den registrerade själv har lämnat. Har uppgif- terna samlats in från annan källa, föreskrivs i 24 § att den personuppgifts- ansvarige självmant ska informera den registrerade när uppgifterna regi- streras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnan- det av uppgifterna i lag eller annan författning. Information behöver hel- ler inte lämnas om det skulle vara omöjligt eller kräva en oproportioner- ligt stor arbetsinsats.

Informationen ska enligt 25 § omfatta uppgift om vem som är person- uppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen. Informationsskyldigheten omfattar bara så- dana uppgifter som den registrerade inte redan känner till.

Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansö- kan, en gång per år, gratis informera om uppgifter om sökanden behand- las, ändamålen med behandlingen, vilka uppgifter som behandlas, vari- från dessa kommer och till vem de lämnas ut. Någon information behö- ver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteck- ning, utom i de fall där uppgifterna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.

Informationsskyldigheten gäller enligt 27 § inte heller om uppgifterna omfattas av sekretess eller tystnadsplikt.

Rättelse

Personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begä- ran av den registrerade rättas, utplånas eller blockeras av den personupp- giftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.

Säkerheten vid behandling

I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgif- terna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säker- heten.

Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en ade- kvat nivå för skyddet av personuppgifter. Förbudet gäller också överfö-

Prop. 2017/18:232

45

Prop. 2017/18:232 ring av personuppgifter för behandling i tredjeland. Frågan om skyddsni- vån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständig- heter som ska tillmätas särskild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för en- skilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regering- en möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kom- missionen) anses ha en adekvat skyddsnivå för behandlingen av person- uppgifter vid överföring till vissa i besluten specificerade mottagare.

Tillsyn

Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyn- dighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda registerförfattningar. Inspektionen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§ personuppgiftslagen regle- ras tillsynsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.

Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsa- kar skada och kränkning av den personliga integriteten för den registre- rade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både per- sonskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.

En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med be- stämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gär- ning som omfattas av ett vitesföreläggande enligt lagen.

4.1.3Personuppgiftslagens förhållande till annan lagstiftning

I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen

ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de

46

verksamhetsområden som berörs av det nya dataskyddsdirektivet, vilket Prop. 2017/18:232 redovisas närmare i det följande. Regleringen har, av de skäl som anges i

avsnitt 4.1.1, normalt lagform.

Författningar som reglerar personuppgiftsbehandling är ofta konstrue- rade så att de gäller utöver personuppgiftslagen. Det innebär att författ- ningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämp- ningsområde är lagen (2001:617) om behandling av personuppgifter inom kriminalvården ett exempel på det.

Det finns emellertid även författningar som gäller i stället för person- uppgiftslagen. Det innebär att de i sin helhet ersätter personuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa anges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsom- råde för flertalet av de centrala författningarna. Det gäller t.ex. polisdata- lagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardata- lagen (2015:433).

4.2Särregler för brottsbekämpande verksamhet

4.2.1Polisen

Allmänt om polisdatalagen

Polisdatalagen är generellt utformad och gäller i polisens brottsbekäm- pande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekämpande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde be- handling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregis- ter, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Eftersom det, med undantag för den sistnämnda lagen, inte har ingått i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.

Lagens tillämpningsområde

Polisdatalagen gäller vid behandling av personuppgifter i brottsbekäm- pande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Eko- brottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av upp- gifter om juridiska personer.

I annan verksamhet än den brottsbekämpande tillämpar Polismyndig- heten personuppgiftslagen, om det inte finns en specialreglering. Myn-

digheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som

47

Prop. 2017/18:232 den bedriver enligt utlännings- och medborgarskapslagstiftningen, om det inte är fråga om brottsbekämpning.

Förhållandet till personuppgiftslagen

Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i person- uppgiftslagen som ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgifts- lagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skade- stånd.

Ändamål för behandling och utlämnande av uppgifter

I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får be- handlas. Ändamålen delas in i primära och sekundära ändamål. De pri- mära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns i polisens brottsbekämpande verksamhet. Dessa ända- mål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen aktualiseras när personuppgifter som behand- las i polisens brottsbekämpande verksamhet lämnas ut till andra myndig- heter eller organisationer för deras behov eller till andra delar av polis- verksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndig- heten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatte- verket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndig- hetens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som myndigheten an- svarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nöd- vändigt för diarieföring, eller om uppgifterna har lämnats till Polismyn- digheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndig- het eller mellanfolklig organisation. Sekretessbrytande bestämmelser som gäller i förhållande till Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap. 16–18 §§ polisdatalagen.

48

Behandling av känsliga personuppgifter

Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdata- lagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Behandling av personuppgifter för forensiska ändamål

I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål. Där regleras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regle- ringen i övrigt i lagen, på grund av att avdelningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gall- ring. När det gäller behandling av känsliga personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma be- stämmelser som för Polismyndigheten.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 6 kap. polisdatalagen finns bestämmelser om behandling av personupp- gifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens personuppgiftsbehandling, som delvis avviker från regleringen för Polismyndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utläm- nande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.

4.2.2Tullverket

Lagens tillämpningsområde

Tullbrottsdatalagen (2017:447), som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, reglerar all behandling av personuppgifter i Tullverkets brottsbekämpande verk- samhet. Lagen gäller enligt 1 kap. 2 § endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter. Lagen tilläm- pas enligt 1 kap. 4 § i viss utsträckning även på behandling av uppgifter om juridiska personer.

Prop. 2017/18:232

49

Prop. 2017/18:232

50

Förhållandet till personuppgiftslagen

Lagen gäller i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grund- läggande bestämmelser om behandlingen av personuppgifter, informa- tion till den registrerade, tillsyn och skadestånd.

Ändamål för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter får behandlas i Tullverkets brotts- bekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter får enligt 2 kap. 5 § behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av interna- tionella åtaganden. Personuppgifter som behandlas enligt den paragrafen får enligt 2 kap. 6 § också behandlas för vissa sekundära ändamål. Sådan behandling får ske när det är nödvändigt för att tillhandahålla informa- tion som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbe- vakningen och Skatteverket eller en utländsk myndighet eller mellanfolk- lig organisation. Personuppgiftsbehandling genom utlämnande är enligt samma paragraf också tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att före- bygga brott och upprätthålla säkerheten och i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså får personuppgifter i ett enskilt fall behandlas för att tillhandahålla information för något annat ändamål, under förutsätt- ning att ändamålet inte är oförenligt med det ändamål för vilket uppgif- terna samlades in (finalitetsprincipen). Särskilda regler finns för behand- ling av vissa personuppgifter från transportföretag.

Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nöd- vändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handlägg- ningen.

I 2 kap. 12 § finns en sekretessbrytande bestämmelse som anger i vil- ken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till Polismyndigheten, Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatte- verket finns i 2 kap. 13 §.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 10 § inte behandlas enbart på grund av vad som är känt om en per- sons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.

4.2.3Kustbevakningen

Allmänt om kustbevakningsdatalagen

För Kustbevakningens behandling av personuppgifter gäller kustbevak- ningsdatalagen. Lagen reglerar i princip all behandling av personuppgif- ter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av personuppgifter i annan operativ verksamhet som Kustbevakningen bedriver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpnings- område och berörs därför inte vidare här. Lagen gäller endast om be- handlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter.

Förhållandet till personuppgiftslagen

Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för personupp- giftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personupp- giftslagens definitioner, vissa grundläggande bestämmelser om behand- lingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.

De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

Personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verk- samhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myn- dighet eller mellanfolklig organisation. Personuppgifter får även behand- las om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ären- den som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Personuppgifter får även behandlas om det är nödvän- digt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhanda- hålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ända-

Prop. 2017/18:232

51

Prop. 2017/18:232 mål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nöd- vändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevak- ningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är an- sluten till Interpol eller utländsk kustbevaknings- eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisatio- nen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskom- melse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekre- tess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Tullverket och Skatteverket.

Behandling av känsliga personuppgifter

I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av känsliga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, poli- tiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fack- förening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

4.2.4Skatteverket

Lagens tillämpningsområde

Skattebrottsdatalagen (2017:452), som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, reglerar all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får en- ligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det. Tillämpningsområdet omfattar även sådana brott.

Skattebrottsdatalagen gäller enligt 1 kap. 2 § endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 4 § i viss utsträckning även på behandling av upp- gifter om juridiska personer.

52

Förhållandet till personuppgiftslagen

Lagen gäller i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grund- läggande bestämmelser om behandlingen av personuppgifter, informa- tion till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter får enligt 2 kap. 5 § behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen får enligt 2 kap. 6 § också behandlas för vissa sekundära ändamål. Sådan behandling får ske när det är nödvändigt för att tillhandahålla informa- tion som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullver- ket och Kustbevakningen eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är enligt samma paragraf också tillåten bl.a. när det är nödvändigt för att tillhan- dahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. Personuppgifter får i ett enskilt fall behandlas även för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nöd- vändigt för diarieföring, eller om uppgifterna har lämnats till Skattever- ket i en anmälan eller liknande och behandlingen är nödvändig för hand- läggningen.

I 2 kap. 11 och 12 §§ finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbe- kämpande myndigheter och till en utländsk myndighet eller mellanfolk- lig organisation.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad som är känt om en per- sons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

Prop. 2017/18:232

53

Prop. 2017/18:232 4.2.5

Åklagarväsendet

Åklagare har till uppgift både att bekämpa och lagföra brott, men efter- som åklagares brottsbekämpning huvudsakligen syftar till att lagföra redovisas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 4.3.1.

4.2.6Lagen om internationellt polisiärt samarbete

Lagen (2017:496) om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra stater i den utsträckning som följer av internationella överenskommelser. Om inte annat följer av lagen om internationellt polisiärt samarbete eller föreskrifter som rege- ringen har meddelat i anslutning till lagen gäller polisdatalagen för poli- sens behandling av personuppgifter vid sådant samarbete.

I 7 kap. lagen om internationellt polisiärt samarbete finns bestämmel- ser om uppgiftsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant uppgiftsutbyte. I 8 kap. regle- ras på motsvarande sätt uppgiftsutbyte enligt CBE-direktivet. I 9 kap. finns bestämmelser om uppgiftsutbyte i informationssystemet för vise- ringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Detta kapitel i lagen reglerar den behandling av personuppgifter som är tillåten för dessa syften.

4.2.7Lagen om internationellt tullsamarbete

Lagen (2000:1219) om internationellt tullsamarbete tillämpas på interna- tionellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även överträdelser som hanteras i Tullverkets verksamhet under Effektiv handel.

I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regle- ringen gäller för både spontant uppgiftsutbyte och utlämnande av uppgif- ter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör under- rätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i para- grafen angivna situationer.

4.2.8Lagen om register över tillträdesförbud vid idrottsarrangemang

Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polis- myndigheten och idrottsorganisationer möjlighet att behandla personupp- gifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt

54

2 § med hjälp av automatiserad behandling föra ett tillträdesförbudsregis- Prop. 2017/18:232 ter, som innehåller uppgifter om personer som har meddelats tillträdes-

förbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena fram- hålls att Polismyndighetens personuppgiftsbehandling enligt lagen åt- minstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).

4.3Särregler för lagföring

4.3.1

Åklagarväsendet

 

Allmänt om åklagardatalagen

 

Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och

 

kustbevakningsdatalagen. Lagen gäller för behandling av personuppgifter

 

i åklagarväsendets operativa verksamhet. Personuppgifter får behandlas

 

både i åklagares brottsbekämpande verksamhet och om det behövs för att

 

åklagare ska kunna fullgöra andra operativa uppgifter enligt bestämmel-

 

ser i lag eller förordning. Behandling för sistnämnda ändamål ligger

 

utanför direktivets tillämpningsområde och berörs därför inte vidare här.

 

Lagen gäller endast om behandlingen är helt eller delvis automatiserad

 

eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture-

 

rad samling av personuppgifter.

 

Lagens tillämpningsområde

 

Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs.

 

åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten.

 

Lagen gäller däremot inte för behandling av personuppgifter i den poli-

 

siära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller

 

i stället.

 

 

Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för behand-

 

ling av uppgifter om juridiska personer.

 

Förhållandet till personuppgiftslagen

 

Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 §

 

finns hänvisningar som innebär att ett flertal bestämmelser i personupp-

 

giftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitio-

 

ner, vissa grundläggande bestämmelser om behandlingen av personupp-

 

gifter och bestämmelser om information till den registrerade, tillsyn och

 

skadestånd.

 

Ändamålen för behandling och utlämnande av uppgifter

 

De ändamål för vilka personuppgifter får behandlas är indelade i primära

 

och sekundära ändamål. De primära ändamålen avser behandling av per-

 

sonuppgifter för att tillgodose de behov som finns inom åklagarväsendet.

 

De primära ändamålen för behandling anges uttömmande i 2 kap. 5 §

 

åklagardatalagen. Personuppgifter får behandlas i åklagarväsendets

 

brottsbekämpande verksamhet om det behövs för att förebygga eller

 

förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de

 

förpliktelser som följer av internationella åtaganden. Personuppgifter får

55

Prop. 2017/18:232 även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åklagare ska kunna fullgöra andra författningsreglerade uppgifter.

De sekundära ändamålen är aktuella när personuppgifter som får be- handlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt de sekun- dära ändamålen, som anges i 2 kap. 6 §, får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyn- digheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevak- ningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nöd- vändigt för diarieföring, eller om uppgifterna har lämnats till åklagarvä- sendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som om- fattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyn- digheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevak- ningen och Skatteverket.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad som är känt om en per- sons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.

4.3.2Domstolsväsendet

Allmänt om domstolsdatalagen

Domstolsdatalagen (2015:728) gäller vid behandling av personuppgifter i de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

56

Lagens tillämpningsområde

Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tull- verkets och Skatteverkets motsvarande lagar – tillämplig i all rättski- pande och rättsvårdande verksamhet vid de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vidarebehandlas i den admi- nistrativa verksamheten för att lämnas ut efter begäran.

I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om internationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straffrättsliga påföljder som är av intresse.

Förhållandet till personuppgiftslagen

Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestäm- melser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personupp- giftslagens definitioner, vissa grundläggande bestämmelser om behand- lingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det be- hövs för handläggning av mål och ärenden. Personuppgifter som behand- las enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förord- ning.

Behandling av känsliga personuppgifter

I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

4.3.3Register över ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötesstraff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraftvunnen dom.

Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföre- läggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.

Prop. 2017/18:232

57

Prop. 2017/18:232

58

Förordningen om register över strafförelägganden

I förordningen (1997:902) om register över strafförelägganden regleras i 2 § Tullverkets rätt att föra register över utfärdade strafförelägganden och i 4 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se avsnitt 4.4.3 beträffande sistnämnda register).

Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, för visst uppgiftslämnande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.

Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åklagardatala- gen är generellt tillämplig och när den infördes konstaterades det att sär- reglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (prop. 2014/15:63, s. 66). De särregler som avsåg åklagarväsendet upphävdes därför.

Förordningen om register över ordningsbot

I förordningen (1997:903) om register över ordningsbot ges Polismyn- digheten rätt att behandla personuppgifter i ett register över föreläggan- den av ordningsbot.

Registret används inte bara av Polismyndigheten utan även av Säker- hetspolisen, Tullverket och Kustbevakningen. All registrering av föreläg- ganden av ordningsbot utfärdade vid Polismyndigheten, Tullverket och Kustbevakningen hanteras i registret. Enligt 4 § får Säkerhetspolisen ha direktåtkomst till registret och Tullverket och Kustbevakningen får ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos respektive myndighet.

Registret får enligt 2 § användas i ärenden om föreläggande av ord- ningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.

4.4Särregler för verkställighet av straff

4.4.1Särreglering bara för vissa former av verkställighet

Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter

Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga på- följder. Det gäller fängelsestraff och frivårdspåföljder i form av skydds- tillsyn och villkorlig dom med samhällstjänst.

Både Polismyndigheten och Kronofogdemyndigheten har uppgifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.

Överlämnande till särskild vård

Prop. 2017/18:232

Om rätten beslutar om överlämnande till särskild vård enligt 31 kap.

 

brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap.

 

brottsbalken är det andra myndigheter som ansvarar för verkställigheten.

 

Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är

 

det socialnämnden eller ett hem där sådan vård meddelas som ansvarar

 

för verkställigheten.

 

Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen

 

(1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av

 

ett landsting för verkställigheten.

 

Är påföljden ungdomsvård eller ungdomstjänst ansvarar socialnämn-

 

den för verkställigheten. I de fall där påföljden bestäms till sluten ung-

 

domsvård ansvarar enligt 3 § lagen (1998:603) om verkställighet av

 

sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.

 

De regler om behandling av personuppgifter som gäller i dessa verk-

 

samheter och som ligger inom direktivets tillämpningsområde redovisas i

 

det följande.

 

4.4.2 Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst

Allmänt om lagen om behandling av personuppgifter inom kriminalvården

Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (centrala kriminalvårdsre- gistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier finns i stället i förordningen (2001:682) om behandling av personuppgifter inom krimi- nalvården.

Lagens tillämpningsområde

Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om per- soner som

är föremål för personutredning,

är häktade,

är dömda till fängelse, skyddstillsyn eller villkorlig dom med före- skrift om samhällstjänst, eller är ålagda fängelse som för- vandlingsstraff för böter eller vite, eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder i Sverige,

på någon annan grund är intagna i häkte eller kriminalvårdsanstalt, eller

annars transporteras av Kriminalvårdens transporttjänst.

59

Prop. 2017/18:232

60

Förhållandet till personuppgiftslagen

Lagen om behandling av personuppgifter inom kriminalvården gäller ut- över personuppgiftslagen och innehåller bara vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller inom Kriminal- vården.

Ändamålen med behandlingen

Personuppgifter får enligt 3 § lagen behandlas bara om det behövs för att

Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

upprätthålla säkerheten och förebygga brott under den tid som häkt- ning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.

Behandling av känsliga personuppgifter

Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas en- bart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

Förordningen om behandling av personuppgifter inom kriminalvården

I förordningen om behandling av personuppgifter inom kriminalvården finns dels generella regler om vilka uppgifter som får behandlas, dels be- stämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person förekommer inom kriminalvår- den. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.

Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan på- följd i Sverige får finnas i registret.

Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får fin- nas i registret. Registrering förutsätter dessutom att vissa särskilda om- ständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras Prop. 2017/18:232 över verkställigheten. Vid överflyttning av verkställighet av påföljd till

en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.

4.4.3Verkställighet av bötesstraff

Regler om verkställighet av böter

Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötesstraff antingen genom uppbörd eller indrivning. Uppbörd innebär att den böt- fällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att be- lopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller föreläggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.

Uppbörd av böter

Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett föreläggande av ordningsbot eller ett strafföreläggande. Polismyndigheten ansvarar även för uppbörd av böter som utdömts av allmän domstol.

I Polismyndighetens verksamhet med uppbörd av böter tillämpas per- sonuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägganden av ord- ningsbot och strafförelägganden (se avsnitt 4.3.3). Registren är bl.a. av- sedda att utgöra hjälpmedel i Polismyndighetens roll som central upp- bördsmyndighet.

I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är avsedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. En utredare har haft i uppdrag att anpassa förslagen till EU:s dataskyddsreform. Uppdraget redovisas i departementspromemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3). Promemo- rian har remitterats.

Verkställighet av böter som inte betalas frivilligt

Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att förvandlas till fäng- else. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§ bötesverkställighetslagen, dels i 17– 23 §§ bötesverkställighetsförordningen.

61

Prop. 2017/18:232 4.4.4

Verkställighet av rättspsykiatrisk vård, vård

 

enligt socialtjänstlagen, ungdomsvård och

 

ungdomstjänst

Rättspsykiatrisk vård

När det gäller rättspsykiatrisk vård finns det ingen särskild reglering av personuppgiftsbehandling i sådan verksamhet, utan patientdatalagen (2008:355) gäller för vårdgivares behandling av personuppgifter liksom inom annan hälso- och sjukvård (1 kap. 1 och 3 §§ patientdatalagen). I övrigt tillämpas personuppgiftslagen.

I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgiftslagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på journalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansva- rig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndig- het, landsting eller kommun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och där finns också vissa bestämmelser om behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.

Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare

Statens institutionsstyrelse, som ansvarar för verkställighet av sluten ung- domsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgifts- lagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behandling av känsliga personuppgifter och uppgifter om lag- överträdelser, domar i brottmål och straffprocessuella tvångsmedel.

Kommunala myndigheter tillämpar också lagen om behandling av per- sonuppgifter inom socialtjänsten i verksamhet enligt lagstiftningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller miss- brukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överläm- nande till särskild vård enligt lagen om vård av missbrukare eller till ung- domstjänst eller ungdomsvård.

4.4.5Internationellt samarbete rörande verkställighet av straffrättsliga påföljder

Ett flertal lagar och förordningar reglerar internationellt samarbete be- träffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om internationellt

samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om

62

erkännande och verkställighet av frihetsberövande påföljder inom Euro- Prop. 2017/18:232 peiska unionen, lagen (2009:1427) om erkännande och verkställighet av

bötesstraff inom Europeiska unionen och lagen (2011:423) om erkän- nande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndigheter vars registerförfattningar har redovi- sats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.

4.5Regler om personuppgiftsbehandling hos andra aktörer än myndigheter

4.5.1Uppgifter om brottsbekämpning, lagföring eller straffverkställighet

Det är inte bara myndigheter som behandlar uppgifter som rör brottsbe- kämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträckning sådana uppgifter får behandlas regleras dels i personuppgiftslagen, dels i andra författningar som ligger utanför direktivets tillämpningsområde.

Som framgår i avsnitt 4.1.2 förbjuds andra än myndigheter i person- uppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbu- det. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personuppgifter om lagöverträdelser får be- handlas bl.a. om behandlingen

är nödvändig för att fullgöra en föreskrift på socialtjänstområdet,

avser uppgift i fristående skolors elevvårdsverksamhet eller motsva- rande verksamhet hos enskilda anordnare av högskoleutbildning,

är nödvändig för att kontrollera att en jävssituation inte föreligger i advokatverksamhet eller annan juridisk verksamhet, eller

bara avser enstaka uppgift som är nödvändig för att anmälningsskyl- dighet enligt lag ska kunna fullgöras.

4.5.2Offentliga försvarare och annat juridiskt biträde

I förundersökningar och brottmålsrättegångar biträds både den miss-

 

tänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den

 

som är advokat får enligt huvudregeln i 21 kap. 5 § rättegångsbalken

 

utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen

 

(1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen

 

(1996:1619) förordnas en advokat, en biträdande jurist eller någon annan

 

som är lämplig för uppdraget. Motsvarande krav ställs på den som enligt

 

5 § lagen (1999:997) om särskild företrädare för barn får utses till sär-

 

skild företrädare. Den som fullgör uppgifter som offentlig försvarare,

63

 

Prop. 2017/18:232 målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning personuppgifter som härrör från förundersökningar, brott- målsrättegångar och straffverkställighet.

I 8 kap. rättegångsbalken finns bestämmelser om advokatväsendet. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets sty- relse och disciplinnämnd enligt 8 kap. 6 och 7 §§ rättegångsbalken ut- övar över advokaterna.

Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksamhet red- bart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.

Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.

4.5.3Idrottsorganisationer

En idrottsorganisation får enligt 7 § lagen om register över tillträdesför- bud vid idrottsarrangemang behandla personuppgifter från det tillträdes- förbudsregister som Polismyndigheten för, om det behövs för att före- bygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesför- budsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automatiserad behandling.

4.6Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Allmänt om lagen

Lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (i fortsätt- ningen dataskyddsrambeslutet). Lagen gäller när personuppgifter över- förs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgif- terna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter.

64

Lagens tillämpningsområde

Prop. 2017/18:232

Lagen gäller för behandling av personuppgifter i verksamhet som har till

 

syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda

 

eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna

 

inom ramen för polissamarbete eller straffrättsligt samarbete görs eller

 

har gjorts tillgängliga eller överförs eller har överförts mellan en svensk

 

myndighet och en medlemsstat i EU eller mellan en svensk myndighet

 

och Island, Norge, Schweiz eller Liechtenstein eller mellan en svensk

 

myndighet och ett EU-organ eller EU-informationssystem.

 

Från lagens tillämpningsområde undantas i 4 § dels behandling av per-

 

sonuppgifter som rör nationell säkerhet, dels personuppgifter som görs

 

eller har gjorts tillgängliga eller överförs eller har överförts genom visst

 

informationsutbyte som specificeras i paragrafen.

 

Personuppgifter som en svensk myndighet har tagit emot får enligt 5 §

 

endast behandlas för andra ändamål än det som uppgifterna först överför-

 

des eller gjordes tillgängliga för om syftet med behandlingen är att före-

 

bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra

 

brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller admi-

 

nistrativa åtgärder med direkt anknytning till något av dessa ändamål

 

eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.

 

Personuppgifter får även behandlas för andra ändamål om den som

 

överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande

 

eller den som uppgifterna avser har samtyckt till det.

 

Särskilda begränsningar gäller för överföring av personuppgifter som

 

en svensk myndighet har erhållit enligt 6 § för överföring till enskilda

 

och enligt 7 § för överföring till tredjeland eller internationella organ.

 

I lagen finns också bestämmelser om villkor för användningen av per-

 

sonuppgifter.

 

4.7Gällande unionsrättsakter

4.7.1Rättighetsstadgan

I artikel 8 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska be- handlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att så- dana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som er- känns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

65

Prop. 2017/18:232 4.7.2

Dataskyddsdirektivet från 1995

Den allmänna regleringen av behandling av personuppgifter inom Euro- peiska unionen finns i dag i 1995 års dataskyddsdirektiv. Direktivet syf- tar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personupp- gifter mellan medlemsstaterna i EU.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom per- sonuppgiftslagen (1998:204) med tillhörande förordning (se av- snitt 4.1.2), gäller inte för behandling av personuppgifter utanför gemen- skapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

4.7.3Dataskyddsrambeslutet

Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlemsstater och EU- organ och mellan medlemsstater och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgifts- behandling. Från tillämpningsområdet undantas också personuppgiftsbe- handling inom området nationell säkerhet.

Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 4.6).

 

4.8

Europeiska unionens dataskyddsreform

 

4.8.1

Två nya rättsliga instrument

 

Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle

 

ersätta 1995 års dataskyddsdirektiv pågick länge. Kommissionen presen-

 

terade den 25 januari 2012 förslag till en genomgripande reform av EU:s

 

regler om skydd för personuppgifter. Paketet omfattade inte bara en för-

 

ordning med en generell reglering som skulle ersätta 1995 års data-

 

skyddsdirektiv utan även ett nytt direktiv med särregler för främst den

 

brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men

 

ha ett bredare tillämpningsområde.

 

Det huvudsakliga syftet med kommissionens förslag var att ytterligare

 

harmonisera och effektivisera skyddet av personuppgifter inom EU i

 

syfte att förbättra den inre marknadens funktion och öka enskildas kon-

 

troll över sina personuppgifter.

 

Förslaget till förordning baserades till stor del på den struktur och

 

reglering som finns i 1995 års dataskyddsdirektiv. Generellt innebar

 

förslaget stärkt skydd för enskilda vid behandling av personuppgifter.

 

Förordningen innehöll även en rad nyheter jämfört med dataskydds-

 

direktivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas

 

ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd

 

och samarbete dem emellan. En annan nyhet var skyldigheten för den

 

personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten

66

om en personuppgiftsincident ägt rum.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som Prop. 2017/18:232 gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så

långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndig- heten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskyddsdirekti- vet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, för- hindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv.

4.8.2En dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upphä- vande av direktiv 95/46/EG, här kallat dataskyddsförordningen, börjar tillämpas den 25 maj 2018.

Förordningen utgör en ny generell reglering för behandling av person- uppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personupp- giftslagen upphävas. Andra författningar som omfattas av den nya för- ordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande föreskrifter och i övrigt anpassas till den.

Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, till- syn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till för- ordningens krav.

Från förordningens tillämpningsområde undantas personuppgiftsbe- handling som utförs av behöriga myndigheter i syfte att förebygga, ut- reda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Per- sonuppgiftsbehandling för dessa syften ligger i stället under det nya data- skyddsdirektivets tillämpningsområde (se avsnitt 4.8.3).

En särskild utredare har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som data- skyddsförordningen ger anledning till (dir. 2016:15). Utredningen fick namnet Dataskyddsutredningen. Dataskyddsutredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv. Betänkandet Dataskydds- lag redovisades den 12 maj 2017 (SOU 2017:39 Ny dataskyddslag).

Lagrådsremissen Ny dataskyddslag beslutades av regeringen den

67

Prop. 2017/18:232 21 december 2017. Propositionen Ny dataskyddslag (prop. 2017/18:105) beslutades av regeringen den 15 februari 2018. I propositionen lämnas förslag till lag med kompletterande bestämmelser till EU:s dataskydds- förordning, här kallad dataskyddslagen.

4.8.3Ett nytt dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig- heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambe- slut 2008/977/RIF, här kallat direktivet, ska vara genomfört i nationell rätt senast den 6 maj 2018.

Direktivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels under- lätta det informationsutbyte mellan behöriga myndigheter som är nöd- vändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter data- skyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.

4.8.4Viss personuppgiftsbehandling ligger utanför båda instrumenten

Viss behandling av personuppgifter undantas från både dataskyddsför- ordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrät- ten, däribland området nationell säkerhet.

Vidare undantas den personuppgiftsbehandling som förekommer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparla- mentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsor- ganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.

4.9Dataskyddskonventionen

Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångs- punkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt

68

huvudregeln automatiserade personregister och automatisk databehand- Prop. 2017/18:232 ling av personuppgifter i allmän och enskild verksamhet.

I konventionen anges krav på de personuppgifter som undergår auto- matisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamå- let, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.

Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.

Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet inledde år 2010 en översyn av konventionen och rekom- mendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.

5 Det nya dataskyddsdirektivet

5.1Allmänt om direktivet

Det nya dataskyddsdirektivet riktar sig till medlemsstaterna och kräver att de genomför viss lagstiftning inom två år efter ikraftträdandet. Det innebär att direktivet ska vara genomfört senast den 6 maj 2018. Direkti- vet är indelat i tio kapitel och innehåller totalt 65 artiklar.

I detta avsnitt beskrivs kortfattat innehållet i samtliga artiklar, för att skapa en översiktlig bild av vilka krav på lagstiftning som direktivet stäl- ler. Det närmare innehållet i artiklarna redovisas i de kapitel som behand- lar sakfrågorna.

Av skäl 99 framgår att Storbritannien och Irland inte är bundna av be- stämmelserna i direktivet i vissa delar.

Danmark ska enligt skäl 100 inom sex månader efter antagandet av direktivet besluta om man ska genomföra direktivet i sin nationella lag- stiftning eller inte.

Av skäl 101–103 framgår att Norge, Island, Schweiz och Liechtenstein är bundna av direktivet genom att de har anslutit sig till Schengenregel- verket.

5.2

Innehållet i direktivet

 

Artiklarna 1–3: Allmänna bestämmelser

 

Enligt artikel 1 innehåller direktivet bestämmelser om skydd för fysiska

 

personer med avseende på behöriga myndigheters behandling av person-

 

uppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra

 

brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot

 

och förebygga och förhindra hot mot den allmänna säkerheten. Syftet

69

Prop. 2017/18:232 med direktivet är att dels skydda fysiska personers grundläggande rättig- heter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndigheter, detta utbyte varken begränsas eller för- bjuds av hänsyn till skyddet för fysiska personer mot behandling av per- sonuppgifter. Det slås också fast att direktivet inte hindrar att medlems- staterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.

Artikel 2 anger direktivets tillämpningsområde. Direktivet ska tilläm- pas på behandling av personuppgifter som utförs av behöriga myndighe- ter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av personuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rätten eller på personuppgiftsbehandling som utförs av unionens institu- tioner eller andra organ.

Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses med personuppgift, behandling, register, behörig myndighet, personuppgifts- ansvarig, personuppgiftsbiträde och personuppgiftsincident. Vidare defi- nieras genetiska och biometriska uppgifter.

Artiklarna 4–11: Principer

I artikel 4 anges grundläggande principer för behandling av personupp- gifter. Personuppgifter ska

behandlas på ett lagligt och korrekt sätt,

samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål,

vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

vara korrekta och, om nödvändigt, uppdaterade,

inte möjliggöra identifiering av den registrerade under längre tid än nödvändigt, och

behandlas på ett sätt som säkerställer säkerheten för uppgifterna.

Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personuppgiftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behand- lingen är nödvändig och står i proportion till det nya ändamålet. Behand- lingen kan inkludera arkivändamål som är av allmänt intresse och veten- skaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.

Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när personupp- gifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.

70

Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registre- rade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.

I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om felaktiga person- uppgifter har överförts eller personuppgifter överförts olagligen ska mot- tagaren omedelbart underrättas om det. I sådana fall ska personuppgif- terna rättas eller raderas eller behandlingen av dem begränsas.

Enligt artikel 8 är behandling laglig endast om och i den utsträckning behandlingen är nödvändig för att behöriga myndigheter ska kunna ut- föra sådana uppgifter som anges i artikel 1.1 och som grundas på unions- rätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och ändamålet med behandlingen.

I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ända- mål om inte sådan behandling är tillåten enligt unionsrätten eller natio- nell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, såvida inte be- handlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behand- ling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskap- liga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.

Artikel 10 reglerar behandling av det som brukar kallas känsliga per- sonuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgif- ter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåt- gärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den regi- strerade eller en annan fysisk person eller om det är fråga om uppgifter som den registrerade själv har offentliggjort.

I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de enbart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grundval av känsliga personuppgifter ska för- bjudas.

Prop. 2017/18:232

71

Prop. 2017/18:232

72

Artiklarna 12–18: Den registrerades rättigheter

Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättigheter. Informa- tionen ska vara koncis, lättillgänglig och språkligt lättfattlig. Den person- uppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begä- ran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en registrerads begäran är uppenbart ogrundad eller orimlig får den personuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.

I artikel 13 anges vilken information som alltid måste göras tillgänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begränsning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.

Artikel 14 behandlar den registrerades rätt till tillgång till personupp- gifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till per- sonuppgifterna och följande information:

ändamålen med behandlingen och den rättsliga grunden,

vilka kategorier av personuppgifter som behandlas,

vilka mottagare eller kategorier av mottagare som har fått personupp- gifterna,

hur länge uppgifterna kommer att lagras eller, om det inte är möjligt, kriterierna för att fastställa lagringstiden,

rätten att begära rättelse, radering eller begränsning av behandlingen, och

rätten att klaga hos en tillsynsmyndighet och dess kontaktuppgifter.

Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgär- den är nödvändig och proportionell, helt eller delvis begränsa den regi- strerades rätt till tillgång till personuppgifter och information i syfte att undvika att förundersökningar och andra utredningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrätts- liga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.

Artikel 16 behandlar rätten till rättelse eller radering av personuppgifter eller begränsning av behandlingen och vilka skyldigheter den personupp- giftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registre- rade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade.

I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall begränsa behandlingen av uppgifterna.

Enligt artikel 17 ska den registrerades rättigheter även kunna utövas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.

I artikel 18 öppnas möjlighet att föreskriva att rätten till information, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett dom- stolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i sam- band med brottsutredning och straffrättsliga förfaranden.

Av skäl 107 framgår att direktivet inte hindrar att det i nationell straff- processlagstiftning finns bestämmelser om den registrerades rätt till in- formation, tillgång till och rättelse eller radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden och begränsningar i dessa rättigheter.

Artiklarna 19–28: Personuppgiftsansvarig och personuppgiftsbiträde

Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekni- ska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.

Artikel 20 behandlar inbyggt dataskydd och dataskydd som standard. Artikel 21 öppnar en möjlighet att låta två eller flera personuppgifts-

ansvariga ha gemensamt personuppgiftsansvar för ett register.

I artikel 22 regleras vilka krav som ställs när en personuppgiftsansva- rig anlitar ett personuppgiftsbiträde. Som huvudregel får ett personupp- giftsbiträde enligt artikel 23 bara behandla uppgifter enligt instruktioner från den personuppgiftsansvarige.

Artikel 24 innehåller detaljerade regler om personuppgiftsansvarigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begä- ran göras tillgängliga för tillsynsmyndigheten.

Enligt artikel 26 ska personuppgiftsansvariga och personuppgiftsbiträ- den på begäran samarbeta med tillsynsmyndigheten.

I artikel 27 ställs krav på att den personuppgiftsansvarige gör en för- handsbedömning av behandlingens konsekvenser för skyddet av person- uppgifter när det gäller en ny typ av behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.

Artikel 28 ställer krav på att den personuppgiftsansvarige under vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.

Artiklarna 29–31: Säkerhet för personuppgifter

Artikel 29 innehåller krav på säkerhet i samband med behandlingen av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska – med beaktande av bl.a. kostnaderna och behandlingens art, omfatt- ning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomst- skydd för utrustning, kontroll av datamedier, lagringskontroll, användar-

Prop. 2017/18:232

73

Prop. 2017/18:232

74

kontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, tran- sportkontroll, återställande, driftsäkerhet och dataintegritet.

I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsyns- myndigheten utan dröjsmål och enligt huvudregeln senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.

Artikel 31 innehåller regler om information till den registrerade om en personuppgiftsincident och i vilka fall det inte krävs någon sådan infor- mation.

Artiklarna 32–34: Dataskyddsombud

Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett data- skyddsombud. Undantag får göras för domstolars och andra oberoende rättsliga myndigheters dömande verksamhet. Flera myndigheter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentlig- göras, dels meddelas till tillsynsmyndigheten.

Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att data- skyddsombudet kan delta i frågor som rör skyddet av personuppgifter och stödja dataskyddsombudet i hans eller hennes uppgifter.

Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efter- levs och att samarbeta med och vara en kontaktpunkt för tillsynsmyndig- heten.

Artiklarna 35–40: Överföring av personuppgifter till tredjeländer eller internationella organisationer

I artikel 35 anges allmänna principer för överföring av personuppgifter till tredjeland och internationella organisationer. Där föreskrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstillstånd till överföringen.

Artikel 36 reglerar överföring till mottagare i tredjeland eller internatio- nella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt tillstånd.

Även om det inte finns något beslut om en adekvat skyddsnivå får, en- ligt artikel 37, uppgifter överföras till mottagare i ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säkerställas i ett enskilt fall.

I artikel 38 görs också undantag för överföring i särskilda situationer, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

Artikel 39 reglerar överföring direkt till vissa mottagare som inte är be- höriga myndigheter.

Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveck- la rutiner för det internationella samarbetet för att underlätta en effektiv

tillämpning av lagstiftningen om skydd för personuppgifter och att också erbjuda bistånd till tredjeland och internationella organisationer i det syftet.

Artiklarna 41–51: Oberoende tillsynsmyndigheter

Enligt artikel 41 ska varje medlemsstat utse en eller flera myndigheter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt data- skyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.

Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt oberoende när den utför sina uppgifter och utövar sina befogenheter enligt direkti- vet. I artikeln utvecklas vilka krav som ska vara uppfyllda för att myn- digheten ska anses vara oberoende.

De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett obe- roende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.

Enligt artikel 44 ska inrättandet av myndigheten och regler och förfa- randen för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.

Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsynsmyndig- heten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.

Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till uppgift- erna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge registrerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgifts- fritt behandla klagomål från registrerade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.

Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsynsmyndig- heten ska ha rätt att från den personuppgiftsansvarige och personupp- giftsbiträdet få tillgång till alla personuppgifter som behandlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgif- ter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogen- heter t.ex. att kunna varna den personuppgiftsansvarige eller personupp- giftsbiträdet om att planerade behandlingar kan stå i strid med de bestäm- melser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyn- digheten ska också ha rätt att anmäla överträdelser till rättsliga myndig- heter.

De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanis- mer för att rapportera överträdelser av direktivet.

Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rapport om sin verksamhet. Rapporten ska överlämnas till parlamentet, regeringen

Prop. 2017/18:232

75

Prop. 2017/18:232 och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommissionen.

Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjs- mål och senast inom en månad och får bara vägra att tillmötesgå en begä- ran om myndigheten inte är behörig eller det skulle stå i strid med direk- tivet, unionsrätt eller nationell rätt. Kommissionen får genom genomfö- randeakter ange formerna för ömsesidigt bistånd.

I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personupp- gifter enligt direktivet.

Artiklarna 52–57: Rättsmedel, ansvar och sanktioner

Artikel 52 reglerar rätten för registrerade att lämna in klagomål över per- sonuppgiftsbehandling till en tillsynsmyndighet. Har klagomålet lämnats till fel myndighet ska den utan dröjsmål överlämna klagomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av kla- gomålet och vad det resulterar i.

I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bin- dande och avser dem. Detsamma gäller om tillsynsmyndigheten inte be- handlat ett klagomål inom tre månader eller inte informerat den registre- rade enligt artikel 52.

Rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde regleras i artikel 54.

Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organi- sation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hen- nes räkning.

Den som lidit skada till följd av olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.

Artikel 57 ställer krav på att det finns sanktioner för överträdelser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Artikel 58: Genomförandeakter

Artikel 58 reglerar kommissionens kommittéförfarande.

Artiklarna 59–65: Slutbestämmelser

Enligt artikel 59 upphävs dataskyddsrambeslutet.

I artikel 60 slås fast att direktivet inte påverkar särskilda bestämmelser om skydd av personuppgifter i gällande unionsrättsakter på området för straffrättsligt samarbete och polissamarbete och i artikel 61 regleras för- hållandet till tidigare ingångna avtal på området för straffrättsligt sam- arbete och polissamarbete.

76

Artikel 62 reglerar kommissionens skyldighet att senast sex år efter Prop. 2017/18:232 ikraftträdandet och därefter vart fjärde år utvärdera direktivet.

I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall före- skriva att datasystem som inrättats före ikraftträdandet ska stå i överens- stämmelse med bestämmelsen om loggning i direktivet senast den 6 maj 2023. Under exceptionella omständigheter kan tiden förlängas ytterligare i högst tre år.

Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.

6En ny ramlag och dess tillämpningsområde

6.1En ramlag för personuppgiftsbehandling vid brottsbekämpning, lagföring och straffverkställighet bör införas

6.1.1En ny reglering behövs

Regeringens bedömning: Det behövs en ny reglering för att genom- föra dataskyddsdirektivet i svensk rätt. Regleringen ska ha lagform.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna delar utredningens bedömning

eller har inget att invända mot den.

Skälen för regeringens bedömning: 1995 års dataskyddsdirektiv – som upphör att gälla när dataskyddsförordningen börjar tillämpas – har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig, vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och reglerar behandling av personuppgifter oavsett ändamålet med behand- lingen. Lagen gäller således även för verksamheter som omfattas av det nya dataskyddsdirektivet.

Personuppgiftslagen är subsidiär i förhållande till andra lagar och för- ordningar. Inom flera områden finns det särregler i registerförfattningar som helt eller delvis ersätter personuppgiftslagen. Som framgår av avsnitt 4.2–4.4 utgår registerförfattningarna när det gäller brottsbekämp- ning, lagföring och straffverkställighet från bestämmelserna i personupp- giftslagen. Antingen gäller registerförfattningarna utöver personuppgifts- lagen, och innehåller bara de bestämmelser som avviker från bestämmel- serna i den lagen, eller så gäller de i stället för personuppgiftslagen men hänvisar till de bestämmelser i den lagen som ska tillämpas.

Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myn-

digheternas registerförfattningar, bestämmelser som i stor utsträckning

77

Prop. 2017/18:232 motsvarar de krav på reglering som direktivet ställer. När dataskyddsför- ordningen börjar tillämpas den 25 maj 2018 kommer personuppgifts- lagen och föreskrifter som har meddelats med stöd av den lagen att be- höva upphävas. Det regelverk som ersätter personuppgiftslagen – data- skyddsförordningen och kompletterande nationella bestämmelser – kom- mer inte att vara anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom brottsbekämpning, lagföring och straff- verkställighet, eftersom sådan verksamhet är undantagen från förord- ningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet. Direktivets bestämmelser är av den arten att regle- ringen lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissam- arbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsakligen i lag. Regeringen delar därför utredningens bedömning att den nya regleringen för att genomföra direktivet ska ha lagform.

6.1.2En generellt tillämplig men subsidiär lag

Regeringens förslag: Dataskyddsdirektivet ska i huvudsak genom- föras genom en ny lag som ska vara generellt tillämplig. Särregler i annan lag eller förordning ska dock gälla framför den nya lagen. Lagen ska benämnas brottsdatalagen.

Utredningens förslag överensstämmer med i sak med regeringens. Remissinstanserna: De flesta remissinstanserna är positiva till utred-

ningens förslag eller har inget att invända mot det. Dataskydd.net ifråga- sätter dock nyttan med speciallagstiftningar om dataskyddsdirektivet genomförs med en generell reglering. Förvaltningsrätten i Stockholm framhåller att det är önskvärt att direktivet genomförs i registerförfatt- ningar. Domstolsverket påpekar att det är önskvärt att subsidiaritetsbe- stämmelser i ramlagen och dataskyddslagen utformas på liknande sätt. Sveriges advokatsamfund efterfrågar en spärr för att förtydliga att möj- ligheten till subsidiaritet inte gäller i den mån avvikelsen åsidosätter direktivet.

Skälen för regeringens förslag

En generell reglering

I föregående avsnitt gör regeringen bedömningen att dataskyddsdirekti- vet ska genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lagstiftning, framför allt i berörda myn- digheters registerförfattningar, eller genom att det införs en helt ny lag.

Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ändamål personuppgifter- na behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlemsstat kan behöva tillämpa inte bara personuppgiftslagen och polisdatalagen, utan också lagen om inter-

nationellt polisiärt samarbete eller 2013 års lag. Alternativet att genom-

78

föra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer samman- hållen reglering.

Det finns dock flera nackdelar med att placera den nya regleringen i de olika registerförfattningarna. En sådan är att registerförfattningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den gene- rella regleringen. Regeringen instämmer därför till skillnad från Data- skydd.net och Förvaltningsrätten i Stockholm i utredningens förslag att så långt som möjligt skapa ett gemensamt regelverk för behandling av personuppgifter inom direktivets tillämpningsområde som kompletteras av registerförfattningar. Det bör därför införas en ny ramlagstiftning för brottsbekämpning, lagföring och straffverkställighet. Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 6.4.3.

Lagen bör vara subsidiär

Ramlagen kommer att vara anpassad till skyldigheterna och kraven i direktivet. I utredningens uppdrag har ingått att anpassa myndigheternas registerförfattningar till ramlagen. Även andra författningar som innehål- ler bestämmelser om personuppgiftsbehandling på ramlagens tillämp- ningsområde måste ses över så att de, i den mån de innehåller bestäm- melser som avviker från ramlagen, inte står i strid med direktivet.

Av artikel 18 framgår att det är tillåtet att i nationell rätt ha regler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsut- redningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 10.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestämmelser om information.

Mot den bakgrunden instämmer regeringen i utredningens förslag att ramlagen, på samma sätt som personuppgiftslagen, bör vara subsidiär i förhållande till bestämmelser i lag eller annan författning.

När det gäller subsidiaritetsbestämmelsens utformning ifrågasätter Domstolsverket om den föreslagna subsidiaritetsbestämmelsen är till- räcklig för att uppfylla kravet i artikel 18. Domstolsverket anser också att bestämmelsen i ramlagen ska utformas på liknande sätt som den utfor- mas i dataskyddslagen på dataskyddsförordningens område. Regeringen anser att en allmän subsidiaritetsbestämmelse liknande den som i nuläget gäller i 2 § personuppgiftslagen är tillräcklig och konstaterar att övervä- gandena om utformningen gör sig gällande även på förordningens om- råde. Mot denna bakgrund anser regeringen att utredningens förslag ska vara utgångspunkt för utformningen av subsidiaritetsbestämmelsen.

Prop. 2017/18:232

79

Prop. 2017/18:232 Ordalydelsen bör dock vara i enlighet med den som föreslås i den kom- mande dataskyddslagen (prop. 2017/18:105 s. 8).

I det lagstiftningsärendet efterfrågade Lagrådet ytterligare övervägan- den angående skälen för en ordning som innebär att föreskrifter i förord- ning ska gälla framför dataskyddslagens bestämmelser. Lagrådet påpe- kade vidare att detta innebär att räckvidden av den formella lagkraftens princip enligt 8 kap. 18 § regeringsformen begränsas (Ny dataskyddslag, prop. 2017/18:105 s. 331 f.).

I den propositionen anför regeringen att det på dataskyddsområdet är en väl etablerad ordning att även föreskrifter på förordningsnivå kan ges företräde framför den generella regleringen om skydd för personuppgif- ter. En förutsättning för detta är givetvis att föreskrifterna har beslutats med stöd av regeringens restkompetens eller med stöd av ett bemyndi- gande i lag.

Enligt regeringens bedömning kommer det även i fortsättningen finnas ett stort behov av både lagar och förordningar som innehåller bestämmel- ser som rör behandling av personuppgifter även på dataskyddsdirektivets tillämpningsområde. Mot denna bakgrund gör regeringen bedömningen att såväl lagar som förordningar som avviker från ramlagen bör ha före- träde framför ramlagen, på motsvarande sätt som hittills har gällt i för- hållande till personuppgiftslagen.

När personuppgiftslagen infördes övervägdes om det skulle införas en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot 1995 års dataskyddsdirektiv (Integri- tet, Offentlighet, Informationsteknik, SOU 1997:39, s. 210 f.). Datalags- kommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon mot- svarande nytta. Sveriges advokatsamfund har påtalat att en sådan spärr borde införas i ramlagen.

Befintlig lagstiftning har setts över genom utredningen och andra över- syner på området. Utredningen har i likhet med Datalagskommittén be- dömt att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personuppgifts- lagen. Regeringen delar denna uppfattning. När ny eller ändrad lagstift- ning övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet.

En delvis ändrad struktur

Som framgår av avsnitt 4.2 och 4.3 gäller bl.a. polisdatalagen, kustbevak- ningsdatalagen, åklagardatalagen och domstolsdatalagen i stället för per- sonuppgiftslagen. Dessa författningar innehåller hänvisningar till de be- stämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksamhet. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en sys- tematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ramlagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade register- författningarna kommer därför att behöva anpassas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser

som innebär undantag eller avvikelser från bestämmelserna i ramlagen.

80

De registerförfattningar som i dag gäller utöver personuppgiftslagen Prop. 2017/18:232 måste också anpassas så att de i stället ska gälla utöver ramlagen.

En konsekvens av den ändrade strukturen är att vissa bestämmelser som nu finns i registerförfattningarna bör flyttas till ramlagen, om de är av den arten att de bör gälla för all verksamhet inom direktivets tillämp- ningsområde. Som exempel kan nämnas regler om hur känsliga person- uppgifter får behandlas (se avsnitt 8.1.4). Om det finns behov av särreg- ler för de olika myndigheterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Förslag till de förändringar som behöver göras i myndigheternas register- författningar som en följd av ramlagen kommer att lämnas i en kom- mande proposition.

Lagens benämning

Ramlagen kommer som framgår av avsnitt 6.4 att tillämpas när behöriga myndigheter behandlar personuppgifter inom ramen för brottsbekämp- ning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tillämpas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.

Ett namn som skulle kunna återspegla lagens huvudsakliga innehåll men ändå är förhållandevis kort är lagen om behandling av personupp- gifter vid brottsbekämpning, lagföring och straffverkställighet. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet) när den nu gällande polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (prop. 2009/10:85 s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hän- visning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).

De registerförfattningar som har införts på direktivets tillämpningsom- råde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen, domstolsdatalagen och tullbrottsdatalagen. Ett alterna- tiv är därför, som utredningen föreslår, att benämna ramlagen brottsdata- lagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.

Nackdelen med benämningen brottsdatalag är att det inte framgår att lagen gäller för behandling av personuppgifter vid straffverkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straff- verkställighet och brott gör att namnet inte är missvisande. I avsnitt 6.4.3 föreslår regeringen att lagen även ska omfatta behandling av personupp- gifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till uppväger dock nackdelen att det inte uttömmande anger lagens tillämpningsområde. Lagen bör därför benämnas brottsdata- lagen.

81

Prop. 2017/18:232 Lagen bör kompletteras av en förordning

Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detalj- regler bör inte tas in i lagen utan regleras i förordning. Regeringen delar utredningens bedömning att det är nödvändigt att komplettera brottsdata- lagen med en förordning för att genomföra direktivet i dess helhet.

 

6.1.3

Ramlagens syfte

 

 

 

Regeringens förslag: Syftet med ramlagen ska vara dels att skydda

 

fysiska personers grundläggande rättigheter och friheter i samband

 

med behandling av personuppgifter, dels att säkerställa att behöriga

 

myndigheter kan behandla och utbyta personuppgifter med varandra

 

på ett ändamålsenligt sätt.

 

 

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: Polismyndigheten anser att det inte med tillräck-

 

lig tydlighet framgår att den nya ramlagen även ska syfta till att värna en

 

effektiv och rättssäker informationshantering för brottsbekämpningen.

 

Datainspektionen anser att det bör tydliggöras att ett syfte särskilt ska

 

vara att skydda fysiska personers personliga integritet vid behandling av

 

personuppgifter.

 

Skälen för regeringens förslag: Av artikel 1.2 framgår att det nya

 

dataskyddsdirektivet har dubbla syften. Regleringen ska skydda fysiska

 

personers grundläggande rättigheter och friheter, särskilt deras rätt till

 

skydd av personuppgifter. Samtidigt ska den säkerställa att behöriga

 

myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte

 

krävs enligt unionsrätten eller nationell rätt, varken begränsas eller för-

 

bjuds av skäl som rör skyddet för fysiska personer med avseende på be-

 

handlingen av personuppgifter.

 

I registerförfattningar förekommer ibland bestämmelser som anger

 

lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdatalagen anges

 

det övergripande syftet med lagen vara att ge polisen möjlighet att be-

 

handla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande

 

verksamhet och att skydda människor mot att deras personliga integritet

 

kränks vid sådan behandling. Bestämmelser om syftet med en reglering

 

saknar normalt egentligt materiellt innehåll. Man kan därför fråga sig om

 

det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte en-

 

bart en symbolisk eller informativ betydelse att uttryckligen slå fast

 

lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rätts-

 

tillämpningen genom att det ger vägledning för tolkningen av de materi-

 

ella bestämmelserna i lagen (Myndighetsdatalag, SOU 2015:39, s. 220).

 

Det finns därför skäl att införa en bestämmelse om lagens syfte så att

 

det tydligt framgår att regleringen har dubbla syften. Att fysiska perso-

 

ners grundläggande rättigheter och friheter ska skyddas vid behandling

 

av personuppgifter är en central målsättning för regleringen. Samtidigt är

 

vissa intrång i den personliga integriteten nödvändiga för att myndighe-

 

terna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få

 

sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brotts-

82

utredning eller brottmålsrättegång innehåller ofta personuppgifter om

 

 

såväl brottsoffer, misstänkta och vittnen som tjänstemän som deltar i Prop. 2017/18:232 verksamheten. Regleringen bör därför ge uttryck för en väl avvägd

balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla person- uppgifter i den verksamhet som omfattas av direktivets tillämpningsom- råde. Regeringen delar till skillnad från Polismyndigheten och Datain- spektionen utredningens bedömning att den dubbla målsättningen och balansen mellan de olika intressena bäst tillgodoses och uttrycks genom en bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande rättigheter och friheter vid behandling av per- sonuppgifter och att samtidigt säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra.

I lagrådsremissens förslag till reglering angavs ”att skydda fysiska per- soners grundläggande fri- och rättigheter i samband med behandling av personuppgifter” som ett syfte. Mot bakgrund av hur direktivet är utfor- mat och för att tydliggöra att det är fråga om rättigheter och friheter i direktivets mening förordar Lagrådet att uttrycket ”fri- och rättigheter” där det förekommer i lagtexten ersätts med ”rättigheter och friheter”.

Regeringen håller med Lagrådet om att en sådan formulering förtydligar att det rör sig om rättigheter och friheter i direktivets mening och ändrar därför till den lydelsen även på övriga ställen där uttrycket förekommer.

6.1.42013 års lag bör upphävas

Regeringens förslag: Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och vissa hänvisningar till den lagen ska upp- hävas.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har

inga synpunkter på det.

Skälen för regeringens förslag: Enligt artikel 59 ska dataskyddsram- beslutet upphöra att gälla samma dag som medlemsstaterna ska ha inför- livat direktivet i nationell rätt.

Rambeslutet bygger i huvudsak på 1995 års dataskyddsdirektiv. Efter- som Sverige i princip genomförde det direktivet även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmel- ser som motsvarade artiklarna i rambeslutet i personuppgiftslagen och i myndigheternas registerförfattningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EU- medlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sammanhållen som möjligt. Regeringen delar därför utredningens bedömning att 2013 års lag ska upphävas. Därmed bör också alla de bestämmelser som hänvisar

till den lagen upphävas. Sådana hänvisningar finns dels i myndigheternas

83

Prop. 2017/18:232 registerförfattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tilläm- pningsområde. Hänvisningarna i de lagar som inte är registerförfattningar och i domstolsdatalagen behandlas i denna proposition. Hänvisningarna i övriga registerförfattningar kommer att ses över i samband med anpass- ningen av dem.

 

6.2

Definitioner

 

 

 

Regeringens förslag: Vissa uttryck som används i ramlagen ska defi-

 

nieras.

 

 

 

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: Flertalet remissinstanser är positiva till eller har

 

inte några invändningar mot förslaget. Förvaltningsrätten i Stockholm

 

anser att uttrycket register bör definieras. Dataskydd.net anser att ut-

 

trycken profilering och pseudonymisering bör definieras samt att utred-

 

ningens definition av biometriska uppgifter bör ändras. Rättsmedicinal-

 

verket belyser vikten av att det blir en tydlig och ändamålsenlig reglering

 

av hanteringen av uppgifter om avlidna.

 

Skälen för regeringens förslag

 

Definitionerna bör ligga så nära direktivets definitioner som möjligt

 

I artikel 3 definieras vissa uttryck som är av grundläggande betydelse för

 

förståelsen av bestämmelserna i direktivet. Definitionerna överensstäm-

 

mer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförord-

 

ningen. Som framgår av avsnitt 6.4.4 kommer de myndigheter som är be-

 

höriga i ramlagens mening att också tillämpa förordningen i delar av sin

 

verksamhet. För att underlätta tillämpningen finns det därför, som utred-

 

ningen föreslår, skäl att i så stor utsträckning som möjligt använda direk-

 

tivets terminologi så att definitionerna i ramlagen och förordningen blir

 

så lika som möjligt. Det innebär att motsvarande definitioner i person-

 

uppgiftslagen inte bör användas i den mån de avviker från direktivets

 

terminologi, trots att de har tillämpats under lång tid och stämmer bättre

 

överens med terminologin i svensk lagstiftning.

 

I artikel 3.3 finns en definition av uttrycket ”begränsning av behand-

 

ling”. Som framgår av avsnitt 10.4.3 stämmer direktivets definition inte

 

överens med vad som får antas vara avsikten med åtgärden. En definition

 

i enlighet med direktivets lydelse blir därför missvisande och en defini-

 

tion i enlighet med syftet blir innehållslös. Regeringen delar därför utred-

 

ningens bedömning att begränsning av behandling inte bör definieras i

 

ramlagen.

 

 

Både 1995 års dataskyddsdirektiv och det nya dataskyddsdirektivet

 

innehåller en definition av uttrycket register. När 1995 års dataskydds-

 

direktiv genomfördes ville man komma bort från registerbegreppet som

 

redan då ansågs otidsenligt (prop. 1997/98:44 s. 39). Någon definition av

 

register infördes därför inte i personuppgiftslagen. Definitionen i direkti-

 

vet användes i stället för att avgränsa lagens tillämpningsområde genom

84

att det i 5 § anges att lagen även gäller för manuell behandling av person-

 

 

uppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Som framgår av avsnitt 6.4.5 instäm- mer regeringen i utredningens bedömning att tillämpningsområdet för ramlagen nu ska anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Därför anser regeringen till skillnad från Förvalt- ningsrätten i Stockholm att det inte finns anledning att definiera uttrycket register.

I direktivet definieras vidare profilering och pseudonymisering, uttryck som enligt Dataskydd.net bör definieras även i ramlagen. Profilering nämns i artikel 11 som ett exempel på beslut som grundas enbart på auto- matiserad behandling. I artikel 24.1 e anges att det register som den per- sonuppgiftsansvarige ska föra över personuppgiftsbehandling i tillämp- liga fall ska innehålla uppgifter om användningen av profilering. Pseudo- nymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. I likhet med utredningen anser regeringen inte att termerna bör användas i ramlagen och några definitioner av dem behövs därför inte.

Nedan följer en redogörelse för ett antal centrala definitioner som bör finnas i ramlagen. Ytterligare uttryck som föreslås definieras i ramlagen kommer att behandlas i anslutning till de delar av direktivet de hänför sig till.

Behandling av personuppgifter

Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med 1995 års dataskyddsdirektiv och 3 § personuppgiftslagen. Definitionen i ramlagen bör, som utredningen föreslår, nära ansluta till direktivets text. Behand- ling av personuppgifter bör därför definieras som en åtgärd eller kombi- nation av åtgärder som vidtas i fråga om personuppgifter eller uppsätt- ningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbet- ning eller ändring, framtagning, läsning, användning, utlämnande, sprid- ning eller tillhandahållande på annat sätt, justering, sammanföring, be- gränsning, radering eller förstöring.

Biometriska uppgifter

Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författ- ningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möj- liggör eller bekräftar unik identifiering av personen, som ansiktsbilder eller fingeravtrycksuppgifter. Biometriska uppgifter räknas upp i arti- kel 10 som en särskild kategori av personuppgifter som bara får behand- las under vissa förutsättningar (se avsnitt 8.1.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken ut- sträckning sådana uppgifter får behandlas.

Prop. 2017/18:232

85

Prop. 2017/18:232 Biometri är ett samlingsnamn för sådan automatiserad teknik som syf- tar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr prop. 2008/09:132 s. 6 f.). När det gäller pass är det fram- för allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.

I direktivets definition av biometriska uppgifter anges ansiktsbilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbe- tas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot bearbetas i exempelvis ett ansikts- igenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen. Här kan även anmärkas att de person- uppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som base- ras på en teknisk bearbetning av biometriska uppgifter inte i sig utgör biometriska uppgifter.

Ramlagen bör innehålla en definition av uttrycket biometriska uppgif- ter. Dataskydd.net anser till skillnad från utredningen att en definition inte ska begränsas till uppgifter som tagits fram genom särskild teknisk behandling. Regeringen delar dock utredningens uppfattning att direkti- vets definition ska vara utgångspunkt för definitionen i ramlagen. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsat- ser om vad som omfattas. Biometriska uppgifter ska därför definieras som personuppgifter som rör en persons fysiska, fysiologiska eller be- teendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av perso- nen i fråga.

Genetiska uppgifter

Genetiska uppgifter definieras inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Med genetiska uppgifter avses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller förvärvade genetiska känne- tecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och som framför allt härrör från en analys av ett biologiskt prov från personen i fråga. I skäl 23 anges att det är kromo- som-, dna- och rna-analyser eller andra analyser som gör det möjligt att inhämta sådan information som avses.

Genetiska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 8.1.4). Definitionen av vad som avses med genetiska uppgifter får därmed betydelse för i vilken utsträckning uppgifter som tas fram vid analys av prover från människokroppen får behandlas.

I direktivets definition nämns information om fysiologi eller hälsa. Det

går dock även att få fram annan information genom analys av ett sådant

86

biologiskt prov, exempelvis information om en persons biogeografiska Prop. 2017/18:232 ursprung. I framtiden kommer man troligen att kunna ta fram ytterligare

uppgifter ur sådana prover.

Mot den bakgrunden har utredningen ansett att all information som rör

 

nedärvda eller förvärvade genetiska kännetecken för en person och som

 

kan tas fram ur ett prov från människokroppen bör anses vara genetiska

 

uppgifter. Det bör också gälla information som på motsvarande sätt kan

 

tas fram ur spår som påträffas på en brottsplats, exempelvis blodspår.

 

Regeringen delar denna bedömning och att det bör framgå av definitio-

 

nen i lagen. Det innebär att definitionen av genetiska uppgifter i ram-

 

lagen blir något vidare än den i dataskyddsförordningen, men i likhet

 

med utredningen anser regeringen inte att detta bör orsaka några problem

 

i praktiken. Detta har heller inte ifrågasatts av någon remissinstans.

 

Genetiska uppgifter bör således definieras som personuppgifter som

 

rör en persons nedärvda eller förvärvade genetiska kännetecken och som

 

härrör från analys av ett spår av eller ett prov från personen.

 

Mottagare

 

Enligt artikel 3.10 omfattar uttrycket mottagare i princip samtliga perso-

 

ner, myndigheter eller andra organ till vilka personuppgifter lämnas ut.

 

Myndigheter som får del av personuppgifter för att kunna utföra ett sär-

 

skilt uppdrag ska dock inte anses som mottagare. I skäl 22 anges som

 

exempel på myndigheter som får del av personuppgifter för att utföra

 

särskilda uppdrag, skatte- och tullmyndigheter, finansutredningsgrupper,

 

oberoende administrativa myndigheter eller finansmarknadsmyndigheter

 

med ansvar för reglering av värdepappersmarknader.

 

I 3 § personuppgiftslagen, som genomför artikel 2 g i 1995 års data-

 

skyddsdirektiv, anges att en myndighet inte ska anses som mottagare när

 

personuppgifter lämnas ut till myndigheten för att den ska kunna utföra

 

sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka

 

myndighetsuppdrag som åsyftas kommenteras inte i förarbetena, utan där

 

anges endast att definitionen av mottagare är avsedd att ha samma inne-

 

börd som motsvarande uttryck i direktivet (prop. 1997/98:44 s. 116). En

 

motsvarande definition behövs i ramlagen.

 

Mottagare bör, i likhet med vad utredningen föreslår, definieras som

 

den till vilken personuppgifter lämnas ut, med undantag av en myndighet

 

som med stöd av författning utövar tillsyn, kontroll eller revision.

 

Personuppgift

 

Med personuppgift avses enligt både 1995 års dataskyddsdirektiv och det

 

nya direktivet varje upplysning som avser en fysisk person som är identi-

 

fierad eller som direkt eller indirekt kan identifieras. I definitionen i arti-

 

kel 3.1 exemplifieras personuppgifter som upplysningar om namn, iden-

 

tifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller

 

faktorer som är specifika för personens fysiska, fysiologiska, genetiska,

 

psykiska, ekonomiska, kulturella eller sociala identitet.

 

Det framgår inte uttryckligen av direktivet om det gäller för uppgifter

 

om avlidna personer eller inte. Definitionen av personuppgift omfattar

 

enligt sin ordalydelse även uppgifter om avlidna personer. Definitionen

 

är densamma som i artikel 4.1 i dataskyddsförordningen. I skäl 27 i för-

87

 

Prop. 2017/18:232 ordningen anges emellertid att den inte gäller för behandling av person- uppgifter om avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av sådana personuppgifter. Det kan inte ha varit avsikten att behandling av uppgifter om avlidna skulle omfattas av direktivet men inte av förordningen när definitionerna av personupp- gift i princip är identiska. Regeringen betraktar det i likhet med utred- ningen som ett rent förbiseende att inte motsvarande skäl finns i direkti- vet. För att tydliggöra att personuppgift har samma betydelse som i för- ordningen bör det framgå av definitionen att den inte omfattar uppgifter om avlidna personer. Rättsmedicinalverket påtalar särskilt vikten av att det blir en tydlig och ändamålsenlig reglering av hanteringen av uppgif- ter om avlidna. Denna synpunkt kommer att tas om hand i samband med att speciallagstiftningen som verket tillämpar ses över.

Personuppgifter bör alltså definieras som varje upplysning om en iden- tifierad eller identifierbar fysisk person som är i livet.

Registrerad

I direktivets definition av personuppgift i artikel 3.1 anges att en identi- fierad eller identifierbar fysisk person benämns registrerad. Definitionen av personuppgift är utformad på samma sätt i 1995 års dataskyddsdirek- tiv. I 3 § personuppgiftslagen definieras däremot den registrerade som den som en personuppgift avser.

Utredningen har bedömt att det blir tydligare att definiera vad som av- ses med en registrerad än att låta det ingå som en del av definitionen av personuppgift. Regeringen delar den bedömningen och anser att registre- rad därför bör definieras som den fysiska person som personuppgiften rör. Det blir då en skillnad i förhållande till dataskyddsförordningen men det saknar praktisk betydelse.

Uppgift som rör hälsa

Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen definierar vad som avses med uppgift som rör hälsa. Enligt artikel 3.14 avses per- sonuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbe- gripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I skäl 24 anges att det gäller infor- mation om en persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Där ges också exempel på vilka uppgifter som kan anses avse hälsa. Som utredningen föreslår bör ramlagen innehålla en definition av vad som avses med uppgift som rör hälsa som motsvarar definitionen i direktivet. Uppgift som rör hälsa bör definieras som per- sonuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.

Uppgifter om hälsa räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 8.1.4).

88

6.3Dataskyddsbestämmelser i tidigare rättsakter och avtal

Regeringens bedömning: Det behövs inte någon särskild reglering för att genomföra artiklarna 60 och 61 i direktivet.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen efterfrågar ett klargörande om

hur unionsrättsakter som trätt i kraft efter den 6 maj 2016 förhåller sig till direktivet och ramlagen.

Skälen för regeringens bedömning

Innehållet i direktivet och nuvarande reglering

Enligt artikel 60 ska direktivet inte påverka tillämpningen av särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare. En förutsättning är dock att rättsakterna regle- rar behandlingen av personuppgifter mellan medlemsstaterna eller med- lemsstaternas tillgång till informationssystem som är relevanta för direk- tivets tillämpningsområde. Kommissionen ska enligt artikel 62.6 se över om tidigare rättsakter behöver anpassas till direktivet och, om så behövs, lägga fram förslag till ändring av dessa rättsakter. De tidigare rättsakterna på området ska alltså fortsätta att gälla tills de ändras eller upphävs.

Som exempel på tidigare rättsakter som ska kvarstå oförändrade nämns i skäl 94 rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlems- stater (rådets akt av den 29 maj 2000).

Enligt artikel 61 ska internationella avtal som rör överföring av person- uppgifter till tredjeland eller internationella organisationer och som in- gicks av medlemsstaterna före den 6 maj 2016 fortsätta att gälla tills de ändras, ersätts eller återkallas. En förutsättning är dock att avtalen är för- enliga med unionsrätten så som den tillämpades före angivet datum.

En liknande bestämmelse finns i artikel 26 i dataskyddsrambeslutet. Enligt den ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala av- talen med tredjeland som redan gällde när rambeslutet antogs. Artikel 26 ansågs inte kräva någon lagstiftningsåtgärd (prop. 2012/13:73 s. 108).

Bestämmelser om skydd för personuppgifter i tidigare rättsakter

Det finns en rad unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som innehåller bestämmelser om skydd av person- uppgifter. Sådana bestämmelser ska alltså gälla i stället för direktivet om de är äldre än det. På motsvarande sätt bör sådana svenska lagar och förordningar som genomför de tidigare antagna unionsrättsakterna ges företräde framför ramlagen. En genomgång av äldre rättsakter som trätt i kraft före direktivet och som därmed gäller i stället för direktivet redovi- sas i delbetänkandet Brottsdatalag (SOU 2017:29, s. 155 f.).

Prop. 2017/18:232

89

Prop. 2017/18:232

90

En unionsrättsakt av intresse i sammanhanget är Europolförordningen (Europaparlamentets och rådets förordning [EU] 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämp- ning [Europol] och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF). Förordningen ska, med något undantag, tillämpas från och med den 1 maj 2017. Den antogs den 11 maj 2016 och trädde i kraft 20 dagar efter att den hade offentliggjorts i Europeiska unionens offici- ella tidning, vilket gjordes den 24 maj 2016. Förordningen har alltså trätt i kraft efter den 6 maj 2016 och omfattas därför inte av artikel 60. För- ordningen innehåller bestämmelser om behandling av personuppgifter, men som Datainspektionen påpekar är det oklart hur den förhåller sig till direktivet. Hur olika EU-rättsakter förhåller sig till varandra är inte en fråga för medlemsstaterna utan något som får avgöras av allmänna EU- rättsliga principer.

Avtal om överföring till tredjeland och internationella organisationer

Som framgått ovan ska internationella avtal som rör överföring av per- sonuppgifter till tredjeland och internationella organisationer och som ingåtts före den 6 maj 2016 fortsätta att gälla. Med internationella avtal bör i detta sammanhang förstås varje gällande bilateralt eller multilateralt avtal mellan medlemsstater och tredjeland eller med internationella orga- nisationer inom området för straffrättsligt samarbete och polissamarbete som rör överföring av personuppgifter.

Som exempel på bilateralt avtal om informationsutbyte som Sverige ingått med tredjeland kan nämnas avtalet med Thailand om samarbete mellan brottsbekämpande myndigheter för att bekämpa organiserad brottslighet (SÖ 2013:3). Avtalet innehåller till viss del bestämmelser om dataskydd, som hänvisar till internationella överenskommelser. Avtalet med Bosnien och Hercegovinas ministerråd om samarbete mellan brotts- bekämpande myndigheter (SÖ 2013:4) innehåller liknande bestämmel- ser.

Sverige har även ingått ett flertal bilaterala avtal när det gäller informa- tionsutbyte på tullområdet, t.ex. med USA och Ryssland. Avtalet med USA är genomfört i förordningen (1988:146) om tillämpning av en över- enskommelse mellan Sverige och Amerikas Förenta Stater om ömsesi- digt bistånd i tullfrågor. Avtalet med Ryssland regleras i förord- ningen (1994:8) om tillämpning av en överenskommelse mellan Sverige och Ryska federationen om ömsesidigt bistånd i tullfrågor och förord- ningen (1998:318) om tillämpning av ett avtal mellan Sverige och Ryssland om ömsesidigt bistånd vid bekämpning av vissa fiskala brott.

Det behövs inte någon särskild reglering för att genomföra artiklarna 60 och 61 i direktivet

Av artiklarna 60 och 61 följer att särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området och internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer som medlemsstaterna ingått innan direktivet antogs ska tillämpas framför direktivet och gälla tills de ändras eller upphävs. Det är alltså inte fråga om någon tillfällig eller övergående reglering, utan en

inskränkning i direktivets tillämpningsområde. De tidigare unionsrättsak- Prop. 2017/18:232 ter och avtal som Sverige ingått med tredjeland har i allt väsentligt

genomförts i svensk rätt. I den mån sådana lagar och förordningar regle- rar dataskydd på ramlagens tillämpningsområde bör de, i likhet med vad utredningen föreslår, gälla framför ramlagen.

I avsnitt 6.1.2 föreslås att ramlagen ska vara subsidiär. Där diskuteras framför allt förhållandet mellan ramlagen och myndigheternas register- författningar, men resonemanget gör sig gällande även här. Mot den bakgrunden delar regeringen utredningens bedömning att några särskilda bestämmelser som genomför artiklarna 60 och 61 inte behövs.

6.4Utformningen av tillämpningsområdet

6.4.1

Personuppgiftsbehandling som behöriga

 

 

myndigheter utför för vissa syften

 

 

 

Regeringens förslag: Ramlagens tillämpningsområde ska knytas till

 

behandling av personuppgifter som behöriga myndigheter utför för

 

vissa syften.

 

 

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: De flesta remissinstanserna är positiva till utred-

 

ningens förslag eller har inget att invända mot det. Flera remissinstanser

 

påtalar emellertid svårigheterna med gränsdragning i förhållande till

 

dataskyddsförordningens tillämpningsområde (se närmare avsnitt 6.7).

 

Skälen för regeringens förslag: Direktivet ska enligt artikel 2.1 till-

 

lämpas på behandling av personuppgifter som utförs av behöriga myn-

 

digheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott

 

eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt

 

förebygga och förhindra hot mot den allmänna säkerheten.

 

Personuppgiftsbehandling inom direktivets tillämpningsområde är en-

 

ligt artikel 2.2 d i dataskyddsförordningen undantagen från förordningens

 

tillämpningsområde. Eftersom förordningen är direkt tillämplig i svensk

 

rätt och gäller för all personuppgiftsbehandling som regleras av unions-

 

rätt och inte omfattas av direktivet är avgränsningen av ramlagens till-

 

lämpningsområde en central fråga.

 

Direktivet gäller för all personuppgiftsbehandling inom sitt tillämp-

 

ningsområde, även om den är helt nationell. Det är en betydande skillnad

 

i förhållande till dataskyddsrambeslutet, som bara gäller för behandling

 

av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete

 

när personuppgifter överförs eller görs tillgängliga mellan EU-medlems-

 

stater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s

 

informationssystem. I övrigt är tillämpningsområdet för direktivet och

 

rambeslutet angivet på i stort sett samma sätt – båda omfattar behandling

 

av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott

 

eller verkställa straffrättsliga påföljder. Direktivets tillämpningsområde

 

omfattar också personuppgiftsbehandling i syfte att skydda mot samt

 

förebygga och förhindra hot mot den allmänna säkerheten. Det väcker

 

frågan om regleringen i ramlagen kan utgå från hur tillämpningsområdet

 

är utformat i 2013 års lag.

91

 

 

Prop. 2017/18:232 Tillämpningsområdet för 2013 års lag bygger på i vilken verksamhet personuppgifter behandlas. En sådan lösning är enkel och tydlig för till- lämparen. Som nyss nämnts bygger direktivets tillämpningsområde på dels syftet med behandlingen, dels om det är en behörig myndighet som utför den. Att enbart knyta ramlagens tillämpningsområde till i vilken verksamhet personuppgiftsbehandling utförs skulle därför, som utred- ningen anför, göra det för vidsträckt. Som exempel kan nämnas att man i Kriminalvårdens häktesverksamhet behandlar personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administra- tiva frihetsberövanden, t.ex. tvångsvård eller häktning enligt konkurs- lagen (1987:672). Om syftet med förvaringen i häkte är brottsbekämp- ning, lagföring, straffverkställighet eller ordningshållning ligger det under direktivets tillämpningsområde. Är det däremot fråga om ett fri- hetsberövande av något annat slag gäller som regel dataskyddsförord- ningen.

Tillämpningsområdet kan dock inte heller knytas enbart till syftet med personuppgiftsbehandlingen. Kameraövervakning kan tas som exempel för att illustrera det. Fast monterade kameror får sättas upp i exempelvis banklokaler och butikslokaler, om syftet med övervakningen ska vara att förebygga, avslöja eller utreda brott. Bankens eller butikens personupp- giftsbehandling i samband med sådan övervakning skulle därmed omfat- tas av ramlagens tillämpningsområde om enbart syftet med behandlingen var avgörande. I och med att banker och butiker inte träffas av direktivets definition av behörig myndighet ligger deras personuppgiftsbehandling dock utanför tillämpningsområdet. En annan sak är att Polismyndighe- tens behandling av de personuppgifter som har samlats in av en bank vid exempelvis ett rån omfattas av tillämpningsområdet, eftersom myndig- heten omfattas av definitionen av behörig myndighet och syftet med be- handlingen är att utreda brott.

Regeringen instämmer därför i utredningens slutsats att ramlagens till- lämpningsområde måste knytas både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Om en behörig myndighet behandlar personuppgifter för något av de syften som anges i ramlagen är lagen tillämplig, oavsett om behandlingen endast utförs i ringa omfattning eller under kort tid. Innan frågan om vad som är en behörig myndighet (se avsnitt 6.4.4) behandlas är det nödvändigt att först redovisa för vilka syften personuppgifter får behandlas. I avsnitt 6.7 diskuteras sedan olika gränsdragningsfrågor knutna till uttrycket behörig myndighet och syftena med behandlingen.

6.4.2Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet

Regeringens förslag: Ramlagen ska gälla vid behandling av person- uppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straff- rättsliga påföljder.

92

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: Direktivets tillämpningsområde om-

fattar personuppgiftsbehandling som utförs i syfte att förebygga, för- hindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder.

I svensk rätt brukar man skilja mellan å ena sidan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och å andra sidan verksamhet som syftar till att utreda och beivra konkreta brott (se t.ex. 2 § polislagen [1984:387] och 2 kap. 7 § polisdatalagen). Vid genomförandet av unionsrättsakter där det talas om att förebygga och utreda brott har ordet brott därför tolkats så att det omfattar såväl kon- kreta brott som sådan icke-preciserad brottslig verksamhet som exempel- vis underrättelseverksamhet tar sikte på (prop. 2010/11:129 s. 110 och prop. 2012/13:73 s. 63). Samma tolkning bör göras nu.

Uttrycket förebygga, förhindra och upptäcka brottslig verksamhet – som används i flera av de berörda myndigheternas registerförfattningar – bör ges samma tolkning som hittills. I förarbetena till polisdatalagen dis- kuteras underrättelseverksamheten ingående (prop. 2009/10:85 s. 104 f.). Där vidgas också användningen av begreppet till att avse vad som där betecknas som underrättelsestyrd verksamhet. All sådan verksamhet, såväl på lokal nivå som regional och central nivå, och även annan plan- lagd verksamhet som betecknas som underrättelsestyrd bör således om- fattas av ramlagens tillämpningsområde.

Spaningsverksamhet som inte är hänförlig till brottsutredande verk- samhet är normalt underrättelsestyrd, exempelvis när spaning bedrivs lokalt för att kartlägga droghandel, prostitution eller någon annan typ av lokal brottslighet. Spaningsverksamhet av nu aktuellt slag bedrivs fram- för allt av Polismyndigheten och bör omfattas av tillämpningsområdet.

Polismyndigheten bedriver emellertid även annan verksamhet som bru- kar räknas till brottsförebyggande arbete, t.ex. förebyggande insatser som riktar sig till brottsoffer eller personer som riskerar att utsättas för brott. I sådant arbete torde behovet av att behandla personuppgifter vara begrän- sat. Det kan diskuteras om sådan brottsofferverksamhet som har anknyt- ning till pågående eller avslutade brottsutredningar, t.ex. uppföljning av meddelade kontaktförbud eller personskydd som beviljats med anledning av begångna brott, bör hänföras till uppgiften att utreda brott eller ses som brottsförebyggande arbete. Det saknar dock betydelse i detta sam- manhang eftersom det i båda fallen är en uppgift som omfattas av ram- lagens tillämpningsområde. Även behandlingen av personuppgifter vid Polismyndighetens kommunikationscentraler har i viss utsträckning ansetts falla under polisdatalagens tillämpningsområde och bör därmed omfattas av ramlagens tillämpningsområde (prop. 2009/10:85 s. 140 f.).

Tullverket bedriver brottsförebyggande arbete som rör framför allt otillåten införsel av varor. Även den verksamheten, som innefattar bl.a. underrättelseverksamhet och sådan kartläggning och spaning som nyss nämnts, ligger inom ramlagens tillämpningsområde.

I förarbetena till 2013 års lag anses uttrycken upptäcka och beivra brott stämma bättre överens med språkbruket i svensk rätt än uttrycken avslöja och lagföra brott (prop. 2012/13:73 s. 63). Utredningen har ansett att den bedömningen bör gälla avseende uttrycket upptäcka brott men att ut-

Prop. 2017/18:232

93

Prop. 2017/18:232 trycket lagföra brott bör användas i ramlagen i stället för beivra brott av följande skäl.

Uttrycket utreda och beivra brott används i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen och 2 kap. 5 § åklagardatalagen. Samma uttryck används också i 2 kap. 5 § tullbrottsdatalagen. Utreda brott omfattar framför allt arbete som utförs inom ramen för en förunder- sökning enligt 23 kap. rättegångsbalken, medan förenklade förfaranden som mynnar ut i att strafföreläggande eller föreläggande av ordningsbot utfärdas i stället för att åtal väcks hänförs till beivra brott. Uttrycket beivra brott passar därför väl för Polismyndighetens, Tullverkets, Kust- bevakningens och åklagares verksamhet, men mindre väl för handlägg- ningen vid de allmänna domstolarna när de dömer någon till ansvar för brott och bestämmer påföljd. Däremot täcker uttrycket lagföra brott, som används i direktivet, såväl de förenklade förfaranden som Polismyndig- heten, Tullverket, Kustbevakningen och åklagare tillämpar som hand- läggningen i domstol. Ordet lagföra framstår också som mer modernt än beivra. Regeringen instämmer i utredningens bedömning och anser där- för att det mer vittomfattande uttrycket lagföra brott bör väljas i ram- lagen. Frågan om även myndigheternas registerförfattningar bör ändras på motsvarande sätt kommer att behandlas när anpassningar av dessa görs.

Uttrycket verkställa påföljd används i dag inte i någon av de berörda myndigheternas registerförfattningar. Däremot används det i 2013 års lag. I förarbetena till den lagen anges att regleringen omfattar bl.a. Kri- minalvården och Statens institutionsstyrelse (prop. 2012/13:73 s. 61 f.). Regeringen delar utredningens uppfattning även i denna del och anser att terminologin i 2013 års lag framstår som lämplig och bör användas även i ramlagen.

Ramlagen bör således gälla vid personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det innebär att lagen kan bli tillämplig vid underrättelseverksamhet och annan brotts- förebyggande verksamhet, förundersökning och liknande utredningar som hänvisar till reglerna om förundersökning, åtalsprövning, strafföre- läggande och föreläggande av ordningsbot, domstols handläggning av brottmål och verkställighet av påföljder. Det är dock inte tillräckligt att personuppgiftsbehandlingen utförs i något av dessa syften. Det krävs också att det är en behörig myndighet som utför den, vilket utvecklas i avsnitt 6.4.4.

 

6.4.3

Personuppgiftsbehandling som rör allmän ordning

 

 

och säkerhet

 

 

 

Regeringens förslag: Ramlagen ska gälla vid behandling av person-

 

uppgifter som utförs i syfte att upprätthålla allmän ordning och säker-

 

het.

 

 

 

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: Polismyndigheten förespråkar att uttrycket ”över-

94

vaka allmän ordning och säkerhet” bör användas i stället för ”upprätt-

 

 

hålla allmän ordning och säkerhet”. Kriminalvården anser att upprätt- Prop. 2017/18:232 hålla allmän ordning och säkerhet innebär en onödig begränsning som

kan medföra att exempelvis vissa transporter faller utanför tillämpnings- området. Kriminalvården förordar vidare att förebygga och förhindra hot mot den allmänna ordningen och säkerheten används i stället. Umeå universitet och Dataskydd.net ifrågasätter om inte informationssäker- hetsområdet bör omfattas av ramlagen.

Skälen för regeringens förslag

Tillämpningsområdet ska omfatta skydd av allmän säkerhet

Direktivets tillämpningsområde inkluderar personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, men att sådan verksamhet också kan innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Det anges också att verksamheten även omfattar upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myn- digheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.

Det är framför allt Polismyndigheten som har i uppdrag att skydda all- mänheten mot hot mot den allmänna säkerheten. En av Polismyndighe- tens huvuduppgifter enligt 2 § polislagen är att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ord- ningen eller säkerheten och att övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat. Befogenheterna att ingripa finns bl.a. i 13–13 c §§ polislagen.

Även Kustbevakningen har vissa ordningshållande arbetsuppgifter. De rör främst sådant uppträdande i trafiken till sjöss som stör ordningen eller utgör en omedelbar fara för ordningsstörning. En kustbevakningstjänste- man har också rätt att ingripa för att avvärja brott som avser trafikregler och säkerhetsanordningar för sjötrafiken, vattenförorening från fartyg och dumpning av avfall i vatten. Vid ett ingripande i någon av dessa situationer har en kustbevakningstjänsteman enligt 3 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning rätt att av- visa, avlägsna eller omhänderta den som stör ordningen eller utgör en omedelbar fara för den enligt reglerna i 13 § polislagen. Kustbevak- ningen har också särskilda ordningshållande uppgifter enligt lagstift- ningen om sjöfartsskydd respektive hamnskydd.

I förarbetena till polisdatalagen framhålls att det är svårt att dra en tyd- lig gräns mellan polisens ordningshållning och brottsbekämpning. Det beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan ofta också övergå i brottsbekämpning. Det ansågs dock föra för långt att be- trakta mer renodlad övervakning och ordningshållande verksamhet som brottsbekämpande. Den verksamheten skulle därmed inte omfattas av polisdatalagens tillämpningsområde (prop. 2009/10:85 s. 75).

95

Prop. 2017/18:232 I artikel 1.1 anges att direktivet omfattar personuppgiftsbehandling i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt före- bygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om det bara är ordningshållande verksamhet som är en del av brottsbe- kämpningen som omfattas av direktivets tillämpningsområde. Om bara ordningshållande verksamhet som utgör en del av brottsbekämpningen skulle omfattas av direktivet, skulle det dock inte ha funnits något skäl att nämna den verksamheten särskilt. Personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säker- heten räknas upp i artikeln och i skäl 12 tydliggörs att det handlar om ingripanden mot sådant som inte i sig är brott som exempelvis tvångsåt- gärder vid demonstrationer. Mot den bakgrunden är det enligt utred- ningen tydligt att direktivet omfattar mer än det som kan sägas höra till den traditionella brottsbekämpande verksamheten. Ramlagen bör ha ett tillämpningsområde som motsvarar direktivets. Regeringen delar utred- ningens uppfattning och lagen bör därför gälla även för personuppgifts- behandling som utförs för ordningshållande syften.

Åtgärder för att skydda allmän säkerhet är som framgått något annat än att skydda den nationella säkerheten. Det sistnämnda är Säkerhetspoli- sens arbetsuppgift och behandlas i avsnitt 6.5.1.

Vilket uttryckssätt bör användas?

I svensk rätt har uttrycket allmän ordning och säkerhet använts under lång tid i olika polisrättsliga författningar. Uttrycket, som inte har någon legaldefinition, är vittomfattande och svårdefinierat. Det används bl.a. i ordningslagen (1993:1617) och polislagen.

I polislagen används uttrycket i 1 § som anger polisverksamhetens ändamål. Där sägs att polisens arbete syftar till att upprätthålla allmän ordning och säkerhet och att i övrigt tillförsäkra allmänheten skydd och hjälp. I kommentaren till polislagen framhålls att det i polisens uppgift att upprätthålla allmän ordning och säkerhet inte bara ligger att motverka och beivra straffsanktionerade handlingar. Även i övrigt har polisen viss skyldighet att söka säkerställa förutsättningarna för en i möjligaste mån trygg och friktionsfri samlevnad medborgarna emellan (se Nils-Olof Berggren och Johan Munck, Polislagen, En kommentar, 11 uppl. 2015, i fortsättningen Berggren m.fl., s. 35).

I 1 § polislagen används alltså uttrycket allmän ordning och säkerhet som ett överordnat begrepp som både omfattar brottsutredning och annan brottsbekämpande verksamhet och olika former av övervakning. Det återspeglar den helhetssyn på polisens alla olika funktioner som efter- strävas. I de enskilda bestämmelserna i lagen, särskilt när det gäller polis- mans befogenheter, används uttrycket i en snävare mening som ligger mera i linje med regleringen i ordningslagen. Den lagen tar sikte på reg- ler som riktar sig till allmänheten och som rör användningen av allmänna utrymmen och samfärdseln samt sammankomster och tillställningar av olika slag.

Uttrycket allmän ordning och säkerhet används inte helt konsekvent ens i polislagen. I vissa av bestämmelserna används uttrycket ”den all-

männa ordningen” medan ”ordningen och säkerheten” används i någon

96

bestämmelse. Av förarbetena till 13–13 c §§ kan inte utläsas att lagstifta- Prop. 2017/18:232 ren har avsett någon egentlig skillnad mellan uttryckssätten eller att de

skulle avse olika situationer. Både 13 a och 13 c §§ polislagen infördes för att komma till rätta med de problem som polisen ställs inför i sam- band med större evenemang (prop. 1996/97:175 s. 23 f.). Det är också sådana situationer som skäl 12 i direktivet förefaller ta sikte på, eftersom myndighetsutövning vid demonstrationer, större idrottsevenemang och upplopp nämns uttryckligen. Regeringen anser, i likhet med utredningen, att uttrycket allmän ordning och säkerhet bör användas i ramlagen för att säkerställa att lagens tillämpningsområde täcker den verksamhet som är avsedd. Det stämmer också överens med hur Polismyndighetens uppgif- ter anges i bl.a. polislagen.

Ibland anges att polisen ska upprätthålla allmän ordning och säkerhet och ibland att polisen ska övervaka allmän ordning och säkerhet. I 2 § polislagen anges att en av polisens huvuduppgifter är att övervaka den allmänna ordningen och säkerheten. Detta uttryckssätt menar Polismyn- digheten bör användas i ramlagen. Övervakning kan ha många olika former, t.ex. att någon i en ledningscentral följer trafikflödet eller all- mänhetens rörelser på en viss plats via övervakningskameror. Det kan även vara fråga om automatisk hastighetsövervakning med övervak- ningskameror och allmän trafikövervakning på vägar eller fasta kontroll- platser. Övervakning kan också innebära att polisen rutinmässigt med bil passerar vissa lokaler eller områden eller att polismän eller bevaknings- personal tillfälligt eller stadigvarande bevakar en viss plats eller bygg- nad. För att upprätthålla allmän ordning och säkerhet krävs normalt fysisk närvaro på platsen där oordning förekommer eller riskerar att göra det. Uttrycket övervaka den allmänna ordningen och säkerheten är så- ledes mera vittomfattande än uttrycket upprätthålla allmän ordning och säkerhet. Det kan därför ifrågasättas om uttrycket övervaka skulle ge en avgränsning som går utöver vad direktivet avser. Regeringen delar mot denna bakgrund utredningens bedömning att uttrycket upprätthålla all- män ordning och säkerhet bäst återspeglar vad som enligt skäl 12 avses med direktivets uttryck skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det bör därför användas för att avgränsa tillämpningsområdet för ramlagen. När det gäller Kriminalvårdens syn- punkt finns det anledning att återkomma till frågan om transport i avsnitt 6.7.

I begreppet allmän ordning och säkerhet har ansetts ligga att det ska vara något som berör allmänheten, dvs. samhällsmedlemmarna i gemen, vem som helst eller en obestämd krets av enskilda (Berggren m.fl. s. 35 f. och där anmärkt litteratur).

Anpassningar av registerförfattningar

Genom att ramlagen föreslås omfatta personuppgiftsbehandling vid upp- rätthållande av allmän ordning och säkerhet kommer den att ha ett vidare tillämpningsområde än polisdatalagen. Frågan om det bör föranleda att polisdatalagens tillämpningsområde anpassas till ramlagens kommer att behandlas i samband med att myndigheternas registerförfattningar anpas- sas.

97

Prop. 2017/18:232 Kustbevakningsdatalagen gäller enligt 1 kap. 2 § behandling av per- sonuppgifter i Kustbevakningens operativa verksamhet som rör både brottsbekämpning och annan operativ verksamhet som sjöövervakning och räddningstjänst. I 5 kap. regleras personuppgiftsbehandling i den verksamhet som inte är brottsbekämpande. Där regleras personuppgifts- behandling i verksamhet som gäller både upprätthållande och övervak- ning av allmän ordning och säkerhet. Även denna lag kommer att ses över i samband med anpassningarna av registerförfattningarna.

Omfattas informationssäkerhet?

Samhällets beroende av informationsteknik har enligt regeringen utveck- lats till att bli en fråga om nationell och internationell säkerhet (Före- bygga, förhindra och försvåra – den svenska strategin mot terrorism, skr. 2014/15:146 s. 26). I bl.a. 31 § personuppgiftslagen och 7 och 9 §§ säkerhetsskyddslagen (1996:627) finns bestämmelser om informations- säkerhet. Den som är ansvarig för en verksamhet ska se till att informa- tionssäkerheten håller tillräckligt hög nivå. Alla myndigheter och organ som hanterar känslig information förutsätts arbeta aktivt med att skydda sin information.

I likhet med 1995 års dataskyddsdirektiv innehåller direktivet bestäm- melser om informationssäkerhet. Direktivet innebär skärpningar i olika avseenden, bl.a. ställs det krav på att personuppgiftsincidenter ska rap- porteras till tillsynsmyndigheten. Både Umeå universitet och Data- skydd.net anser att informationssäkerhet bör omfattas av ramlagens till- lämpningsområde. Direktivets bestämmelser om informationssäkerhet tar

– på samma sätt som 1995 års dataskyddsdirektiv – enbart sikte på att personuppgiftsansvariga bär ett särskilt ansvar för informationssäkerhe- ten när det gäller de personuppgifter de behandlar. Det finns däremot inget som tyder på att det nya direktivet är avsett att omfatta förebyg- gande arbete som rör informationssäkerhet i allmänhet eller verksamhet för att förebygga och förhindra de hot som samhället kan ställas inför på informationssäkerhetens område. Tvärtom tyder skrivningarna i skäl 12 på att det som åsyftas är hot mot fysisk säkerhet. Regeringen anser därför i likhet med utredningen att när begreppet allmän ordning och säkerhet används i ramlagen för att ange tillämpningsområdet bör det inte omfatta informationssäkerhet.

 

6.4.4

Vad är en behörig myndighet?

 

 

 

Regeringens förslag: Behörig myndighet ska definieras som en myn-

 

dighet som har till uppgift att förebygga, förhindra eller upptäcka

 

brottslig verksamhet, utreda eller lagföra brott, verkställa straffrätts-

 

liga påföljder eller upprätthålla allmän ordning och säkerhet, när den

 

behandlar personuppgifter för ett sådant syfte, eller en annan aktör

 

som har anförtrotts myndighetsutövning för något av dessa syften, när

 

den behandlar personuppgifter för ett sådant syfte.

 

 

 

Utredningens förslag överensstämmer i huvudsak med regeringens.

 

Remissinstanserna: Kammarrätten i Stockholm anser att orden ”an-

98

förtrotts myndighetsutövning” ska användas i stället för uttrycket ”utövar

 

 

myndighet” som utredningen föreslår. Flera remissinstanser, däribland

Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län och Malmö kommun, anser att definitionen av en behörig myndighet kan leda till fel- bedömningar av när ramlagen är tillämplig och att den skulle behöva för- tydligas. Sjöfartsverket efterfrågar ett förtydligande av vilka myndigheter som är behöriga. Datainspektionen påpekar att det skulle kunna uppstå konkurrenssituationer när samma behandling har olika syften.

Skälen för regeringens förslag: Ramlagen ska gälla för personupp- giftsbehandling som behöriga myndigheter utför för vissa syften. Det bör därför definieras vad som avses med behörig myndighet i ramlagen. Utredningens förslag utgår från den bedömning som gjordes i förarbetena till 2013 års lag att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i direktivet än att i lag räkna upp de myndigheter som ska tillämpa lagen (prop. 2012/13:73 s. 62). Genom att direktivet har ett så brett tillämpningsområde är det inte lämpligt att i författningstext peka ut alla myndigheter som har sådana uppgifter att de ska betraktas som behöriga myndigheter i ramlagens mening. Det är också svårt att i lagtext ange de kategorier som enligt viss lagstiftning har behörighet att utöva myndighet inom ramlagens tillämpningsområde. En uppräkning av myndigheter och andra aktörer skulle visserligen – som flera remissinstanser, däribland Sjöfartsverket, påpekar – förenkla för till- lämpande aktörer och framstå som tydligare, men den riskerar att bli ofullständig. Dessutom skulle en sådan uppräkning behöva förses med åtskilliga undantag, eftersom inte all deras personuppgiftsbehandling regleras i ramlagen. Definitionen bör därför enligt regeringens mening utgå från myndigheternas uppgifter och de andra aktörernas rätt att utöva myndighet.

I artikel 3.7 definieras behörig myndighet som en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten eller ett annat organ eller annan enhet som har anförtrotts myndighetsutövning för något av detta. Som framgår av avsnitt 6.4.2 och 6.4.3 bör en delvis annan formulering väljas för avgränsningen av ramlagens tillämpningsområde. Samma for- mulering bör användas i definitionen av behörig myndighet. Behörig myndighet bör således vara en myndighet som har till uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som har anförtrotts myndighetsut- övning för något av dessa syften. Både Lagrådet och Kammarrätten i Stockholm förordar formuleringen ”anförtrotts myndighetsutövning” framför begreppet ”utöva myndighet”. Regeringen håller med om att orden ”anförtrotts myndighetsutövning” gör definitionen tydligare och därför bör användas i ramlagen.

För aktörer som inte är myndigheter har det betydelse om personupp- gifter behandlas som ett led i myndighetsutövning eller inte. Personupp- gifter som andra aktörer behandlar när de inte utövar myndighet ligger utanför ramlagens tillämpningsområde. När det gäller myndigheter om- fattas däremot all personuppgiftsbehandling inom ramlagens tillämp- ningsområde, oavsett om den har samband med myndighetsutövning eller inte.

Prop. 2017/18:232

99

Prop. 2017/18:232

100

Arbetsuppgifterna och syftet med behandlingen är avgörande för när en myndighet är behörig

Som utredningen beskriver är det självklart att vissa myndigheter på grund av sina uppgifter ska betraktas som behöriga myndigheter enligt ramlagen. Det är Polismyndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, de allmänna domstolarna och Kriminalvården som främst kommer att behandla per- sonuppgifter som omfattas av ramlagens tillämpningsområde.

Dessa myndigheter har emellertid även uppgifter som ligger utanför ramlagens tillämpningsområde. Det gäller i hög grad Polismyndigheten och de allmänna domstolarna men också Tullverket, Kustbevakningen och Skatteverket, där den brottsbekämpande verksamheten bara utgör en del av den totala verksamheten. Även åklagare har vissa operativa uppgifter som inte omfattas av ramlagens tillämpningsområde. Den om- ständigheten att en myndighet har vissa uppgifter inom ramlagens tillämpningsområde gör inte att myndigheten i all sin verksamhet är behörig myndighet i ramlagens mening. Som exempel kan nämnas Skatteverket, där myndighetens brottsbekämpande enhet omfattas av definitionen av behörig myndighet, medan de enheter som arbetar med folkbokföring eller fastställande av skatt inte gör det. En myndighet kan således vara både behörig och icke behörig i ramlagens mening beroende på vilka arbetsuppgifter som utförs (se skäl 11).

Lagrådet förordar att definitionen av behörig myndighet förtydligas så att det framgår att myndigheten respektive aktören är behörig endast när den behandlar personuppgifter för sådana syften som omfattas av ramla- gen. Att ramlagen endast gäller vid personuppgiftsbehandling för syftena brottsbekämpning, lagföring, straffverkställighet, och upprätthållande av allmän ordning och säkerhet framgår av avsnitt 6.4.2 och 6.4.3. Rege- ringen håller med Lagrådet om att det framgår tydligare att en myndighet kan vara både behörig och icke behörig beroende på omständigheterna, om det läggs in i definitionen att en myndighet är behörig endast när den behandlar personuppgifter för ett syfte som omfattas av ramlagen. Genom att regleringen i direktivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde kommer det att krävas av de behöriga myndigheterna och de enskilda tjänstemännen att de i större utsträckning än i dag överväger syftet med behandlingen av personupp- gifter och om behandlingen ligger inom ramlagens tillämpningsområde. Om personuppgifter behandlas för något annat syfte än brottsbekämp- ning, lagföring, straffverkställighet eller upprätthållande av allmän och säkerhet ska ramlagen inte tillämpas.

Dubbla regelverk

Det är framför allt de myndigheter som arbetar med brottsbekämpning som kommer att möta gränsdragningsproblem. Detta har också påtalats av flera remissinstanser. Det beror bl.a. på att deras verksamhet är sådan att det inte alltid från början är tydligt om syftet med behandlingen är brottsbekämpande eller inte. Även på andra områden kan gränsdrag- ningen ibland vara svår.

I avsnitt 6.7 redovisas vissa principer som regeringen anser bör vara vägledande i gränsdragningen. I det enskilda fallet blir det dock den

behöriga myndigheten och den handläggande tjänstemannen som får Prop. 2017/18:232 avgöra vilken lagstiftning som är tillämplig. Detta är ett resultat av den

nya EU-regleringen på området som är svårt att undvika. Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör dock inte överdri- vas. Redan i dag tillämpar myndigheterna olika regelverk – personupp- giftslagen och myndighetsanknutna registerförfattningar – beroende på i vilken verksamhet personuppgifterna behandlas. Problematiken med dubbla regleringar när det gäller personuppgiftsbehandling är således inte ny.

Så som tillämpningsområdet för direktivet är utformat kommer fler myndigheter och andra aktörer än enbart myndigheterna i rättskedjan att i viss del av sin verksamhet behöva tillämpa ramlagen. Det gäller exem- pelvis den som bedriver sluten ungdomsvård eller rättspsykiatrisk vård. Vidare kommer andra aktörer som utövar myndighet inom ramlagens tillämpningsområde att behöva tillämpa den när de behandlar personupp- gifter för sådana syften som lagen reglerar. De ska då betraktas som behöriga myndigheter i ramlagens mening och tillämpa den. En del av aktörerna har hittills enbart tillämpat personuppgiftslagen och kommer att i fortsättningen tillämpa dataskyddsförordningen i huvuddelen av sin verksamhet. Det ställs alltså krav på att de, när personuppgiftslagen upp- hör att gälla, noga överväger för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.

Datainspektionen lyfter i sammanhanget fram att det i praktiken borde uppstå situationer där samma behandling har olika syften, vilket skulle kunna leda till en konkurrenssituation. Regeringen delar utredningens uppfattning att behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas antingen av ramlagens eller dataskyddsförord- ningens tillämpningsområde. Ramlagen och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behand- ling däremot flera olika syften kan regelverken vara tillämpliga parallellt. Det bör då betraktas som olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk.

6.4.5Helt eller delvis automatiserad behandling

Regeringens förslag: Ramlagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är till- gänglig för sökning eller sammanställning enligt särskilda kriterier.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Förvaltningsrätten i Stockholm efterfrågar bre- dare resonemang kring vilka behandlingar som omfattas av ramlagen och efterfrågar särskilt vad som gäller för behandlingar i ostrukturerat mate- rial. Dataskydd.net anser att ramlagen även ska omfatta behandlingar som inte är helt eller delvis automatiserade.

Skälen för regeringens förslag: En fråga är vilka slags behandlingar som ska omfattas av tillämpningsområdet. Enligt artikel 2.2 är direktivet

tillämpligt på sådan behandling av personuppgifter som helt eller delvis

101

Prop. 2017/18:232 företas på automatiserad väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses enligt artikel 3.6 en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentra- liserad eller spridd på grundval av funktionella eller geografiska förhål- landen. Tillämpningsområdet är detsamma enligt 1995 års dataskydds- direktiv och dataskyddsförordningen. Det finns däremot ingen möjlighet att göra undantag för behandlingar i ostrukturerat material som Förvalt- ningsrätten i Stockholm har lyft i sitt remissvar (jfr. 5 a § personuppgifts- lagen). Regeringen återkommer till frågor om informationsskyldighet när det gäller ostrukturerat material i avsnitt 10.2.8.

Som anges i avsnitt 6.2 ville man komma bort från registerbegreppet redan när personuppgiftslagen infördes. Personuppgiftslagen gäller där- för för sådan behandling av personuppgifter som är helt eller delvis auto- matiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personupp- gifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier. Regleringen i personuppgiftslagen har varit utgångspunkt vid utformningen av tillämpningsområdet för myndigheternas register- författningar. Mot den bakgrunden instämmer regeringen – till skillnad från Dataskydd.net – i utredningens bedömning att tillämpningsområdet för ramlagen bör anges på samma sätt. Det innebär ingen skillnad i sak i förhållande till direktivet. Att formuleringen skiljer sig något från hur tillämpningsområdet uttrycks i dataskyddsförordningen saknar enligt regeringens bedömning någon praktisk betydelse.

6.5Undantag från tillämpningsområdet

6.5.1Personuppgiftsbehandling som rör nationell säkerhet

Regeringens förslag: Ramlagen ska inte gälla vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Undantaget ska också gälla i de fall där Polismyndigheten har övertagit en arbets- uppgift som rör nationell säkerhet från Säkerhetspolisen.

Lagen ska inte heller gälla när Försvarsmakten har att tillämpa lagen om behandling av personuppgifter i Försvarsmaktens försvarsunder- rättelseverksamhet och militära säkerhetstjänst.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår inget undantag gällande verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvars- underrättelseverksamhet och militära säkerhetstjänst.

Remissinstanserna: Polismyndigheten och Uppsala universitet efter- frågar en definition av begreppet nationell säkerhet. Försvarsmakten föreslår att begreppet Sveriges säkerhet ska användas i stället för begrep- pet nationell säkerhet. Säkerhetspolisen anser att det finns skäl att över- väga om inte hela myndighetens brottsbekämpande verksamhet borde undantas från ramlagen. Dataskydd.net anser att Säkerhetspolisens be-

handling av personuppgifter som rör nationell säkerhet inte bör undantas

102

från tillämpningsområdet. Försvarsmakten anser vidare att undantaget Prop. 2017/18:232 bör gälla även Försvarsmaktens personuppgiftsbehandling som rör natio-

nell säkerhet.

Skälen för regeringens förslag

 

Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet

 

undantas

 

Enligt artikel 2.3 a ska direktivet inte tillämpas på personuppgiftsbehand-

 

ling som utgör ett led i en verksamhet som inte omfattas av unionsrätten.

 

Av skäl 14 framgår att verksamhet som rör nationell säkerhet, verksam-

 

het som utförs av byråer och organ som hanterar nationella säkerhetsfrå-

 

gor och medlemsstaternas behandling av personuppgifter inom verksam-

 

het som avser den gemensamma utrikes- och säkerhetspolitiken inte om-

 

fattas av direktivets tillämpningsområde.

 

1995 års dataskyddsdirektiv gäller inte för sådan personuppgiftsbe-

 

handling som inte omfattades av EG-rätten när direktivet antogs, t.ex.

 

statens verksamhet på straffrättens område eller verksamhet som rör

 

statens säkerhet eller försvar. I förarbetena till personuppgiftslagen fram-

 

höll regeringen att om viss offentlig verksamhet generellt skulle undantas

 

från lagen fanns det risk för att viss behandling inom den sektorn inte

 

skulle omfattas av någon lagstiftning med motsvarande syfte som den

 

nya lagen. Personuppgiftslagen gjordes därför generellt tillämplig och

 

omfattar även sådan verksamhet som då föll utanför EG-rätten. Genom

 

att det krävs en särskild författning för att avvika från det integritets-

 

skydd som personuppgiftslagen ger, garanteras att behovet av särregler

 

alltid övervägs noga i den ordning som gäller för författningsgivning

 

(prop. 1997/98:44 s. 41).

 

Säkerhetspolisen anför med hänvisning till artikel 2.3 a och skäl 14 i

 

direktivet att det finns utrymme att göra undantag för myndighetens

 

brottsbekämpande verksamhet i sin helhet eftersom de hanterar natio-

 

nella säkerhetsfrågor. Dataskydd.net anser i stället att Säkerhetspolisens

 

behandling av personuppgifter som rör nationell säkerhet inte bör undan-

 

tas från tillämpningsområde. Undantaget i det nya dataskyddsdirektivet

 

är utformat så att det utesluter viss verksamhet, inte vissa typer av myn-

 

digheter eller organisationer. Säkerhetspolisens verksamhet ligger i allt

 

väsentligt utanför direktivets tillämpningsområde. Till Säkerhetspolisens

 

huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verk-

 

samhet som innefattar brott mot rikets säkerhet och terrorbrott och att

 

utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för

 

personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör

 

till nationell säkerhet. Säkerhetspolisen har även andra uppgifter som hör

 

till nationell säkerhet eller har ett mycket nära samband med sådan verk-

 

samhet. Av samma skäl som det inte bör anges i ramlagen vilka myndig-

 

heter som ska tillämpa den bör inte Säkerhetspolisens personuppgiftsbe-

 

handling generellt undantas från ramlagens tillämpningsområde. Redan

 

i dag har myndigheten vissa uppgifter som omfattas av direktivets till-

 

lämpningsområde och det kan inte uteslutas att myndigheten i framtiden

 

får nya sådana uppgifter. Regeringen anser därför i likhet med utred-

 

ningen att undantaget bör utformas så att det endast träffar de delar av

 

Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet.

103

 

Prop. 2017/18:232

I förarbetena till 2013 års lag diskuterades ingående hur motsvarande

 

undantag i dataskyddsrambeslutet skulle formuleras och där stannade

 

regeringen för att begreppet nationell säkerhet borde användas (prop.

 

2012/13:73 s. 69 f.). I 19 kap. brottsbalken används numera begreppet

 

Sveriges säkerhet i stället för det äldre rikets säkerhet. När begreppet

 

byttes ut konstaterade regeringen att innebörden av vad som betraktas

 

som rikets säkerhet förändrats och fått ett vidare tillämpningsområde

 

(prop. 2013/14:51 s. 20). I propositionen Ett modernt och stärkt skydd

 

för Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89) an-

 

vänds också begreppet Sveriges säkerhet.

 

Utredningen föreslår att begreppet nationell säkerhet bör användas i

 

ramlagen. Polismyndigheten och Uppsala universitet efterfrågar en defi-

 

nition av begreppet nationell säkerhet. Försvarsmakten anser att begrep-

 

pet Sveriges säkerhet ska användas i stället för nationell säkerhet.

 

Undantagen från tillämpningsområdet både i direktivet och data-

 

skyddsförordningen utgår emellertid från begreppet ”nationell säkerhet”

 

– det är ett centralt begrepp för EU:s dataskyddsreform – och regeringen

 

anser därför i likhet med utredningen att det uttrycket bör användas i

 

ramlagen för att avgränsa dess tillämpningsområde. Eftersom det här

 

handlar om att förhålla sig till unionsrättens gränser ser regeringen ingen

 

motsättning i att använda det EU-rättsliga begreppet, samtidigt som

 

”Sveriges säkerhet” används för att ur ett nationellt perspektiv beskriva

 

tillämpningsområdet för annan lagstiftning. En definition av begreppet

 

”nationell säkerhet” skulle visserligen kunna underlätta för att avgöra om

 

ramlagen är tillämplig eller inte. Samtidigt rör det sig om ett EU-rättsligt

 

begrepp, som avgränsar EU:s kompetens gentemot medlemsstaterna. I

 

förlängningen är det upp till EU-domstolen att avgöra begreppets när-

 

mare innebörd. Mot den bakgrunden anser regeringen att det inte är

 

lämpligt att definiera begreppet ”nationell säkerhet” inom ramen för detta

 

lagstiftningsärende.

 

Säkerhetspolisens personuppgiftsbehandling kommer dock inte att

 

lämnas oreglerad inom området nationell säkerhet. I slutbetänkandet

 

Brottsdatalag – kompletterande lagstiftning (SOU 2017:74 s. 597 f.) före-

 

slås en ny lag om Säkerhetspolisens behandling av personuppgifter. För-

 

slaget kommer att behandlas i en senare proposition.

 

Det finns även andra myndigheter som i viss omfattning hanterar per-

 

sonuppgifter rörande nationell säkerhet. Det gäller bl.a. Polismyndig-

 

heten, åklagare och allmänna domstolar när de behandlar personuppgifter

 

i mål och ärenden som rör brott mot Sveriges säkerhet. Det kan inte ute-

 

slutas att även andra myndigheter i viss utsträckning hanterar sådana

 

personuppgifter.

 

De överväganden som gjordes när personuppgiftslagen infördes gör sig

 

fortfarande gällande. Nationell säkerhet bör därför inte undantas generellt

 

från den nya lagens tillämpningsområde. Det är en mycket liten del av

 

Polismyndighetens, åklagares och de allmänna domstolarnas verksamhet

 

som rör nationell säkerhet. Det saknas enligt regeringens mening skäl att

 

undanta den mycket begränsade personuppgiftsbehandling som utförs av

 

dessa myndigheter på det området från ramlagens tillämpningsområde.

 

De bör därför på samma sätt som i dag tillämpa samma regler som gäller

 

för behandling av personuppgifter i verksamheten i övrigt vid utredning

104

eller handläggning av brottmål och därtill anknutna ärenden enligt rätte-

gångsbalken som rör Sveriges säkerhet. Detsamma bör gälla om någon annan myndighet undantagsvis skulle hantera sådana personuppgifter, exempelvis om Kriminalvården skulle ha tillgång till någon personupp- gift som rör nationell säkerhet vid verkställighet av påföljd.

Säkerhetspolisen ska tillämpa ramlagen i vissa fall

Även om merparten av Säkerhetspolisens personuppgiftsbehandling undantas från ramlagens tillämpningsområde, finns det viss behandling i myndighetens operativa verksamhet som bör omfattas av ramlagen efter- som den inte rör nationell säkerhet.

Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med in- struktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådan hjälp omfattas personuppgiftsbehandlingen av ramlagens tillämpnings- område om den avser brottsbekämpning, lagföring eller verksamhet för att upprätthålla allmän ordning och säkerhet.

Enligt 30 § förordningen (2014:1102) med instruktion för Polismyn- digheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en för- undersökning eller annan liknande uppgift i den brottsbekämpande verk- samheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (prop. 2013/14:110 s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av ramlagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.

Polismyndighetens biträde till Säkerhetspolisen

En särskild fråga är vad som ska gälla för Polismyndigheten när den övertar uppgifter från Säkerhetspolisen eller biträder den på något annat sätt.

Enligt 28 § instruktionen för Polismyndigheten ska myndigheten bistå vid polisverksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Polis- myndigheten ska vidare, i den utsträckning som myndigheterna kommer överens om, lämna tekniskt biträde och annan hjälp till Säkerhetspolisen. Bestämmelsen är en spegling av 13 § instruktionen för Säkerhetspolisen.

Enligt 15 § instruktionen för Säkerhetspolisen får biträdande säkerhets- polischefen i samråd med chefen för Nationella operativa avdelningen, trots den ansvarsfördelning som annars gäller mellan myndigheterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska lämnas över till Polismyndigheten för fortsatt handläggning. Bestämmelsen motsvarar 30 § instruktionen för Polismyndigheten.

Eftersom det när Säkerhetspolisen begär biträde av Polismyndigheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § in-

Prop. 2017/18:232

105

Prop. 2017/18:232 struktionen för Säkerhetspolisen i de flesta fall är fråga om en arbetsupp- gift som ligger utanför direktivets tillämpningsområde, bör Polismyndig- heten inte tillämpa ramlagen i vidare mån än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där.

Försvarsmaktens tillämpning av ramlagen

Försvarsmakten bedriver viss verksamhet som kan sägas falla inom ram- lagens tillämpningsområde. Det rör t.ex. militärpolisen och militära skyddsvakter när de utför uppgifter med polismans befogenhet. Motsva- rande kan gälla i samband med att Försvarsmakten lämnar stöd till poli- sen vid terrorismbekämpning.

Enligt lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst får Försvarsmakten bl.a. behandla personuppgifter i myndighetens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen om det är nödvändigt för att klarlägga verksamhet som innefattar hot mot rikets säkerhet, eller vidta åtgärder som hindrar eller försvårar säkerhets- hotande verksamhet. Lagen kan därför bli tillämplig när Försvarsmakten lämnar stöd till polisen enligt lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning, men också när militärpolisen och militära skyddsvakter utför sina uppgifter. Mot denna bakgrund finns det, som Försvarsmakten påpekar, skäl att undanta även Försvarsmaktens be- handling av personuppgifter som sker enligt lagen om behandling av per- sonuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst från ramlagens tillämpningsområde.

Det kan i detta sammanhang även nämnas att Utredningen Behand- lingen av personuppgifter inom Försvarsmakten och Försvarets radioan- stalt (Fö2017:03) bl.a. ska bedöma om den reglering som gäller vid behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst är ändamålsenligt utformad samt analysera om den personuppgifts-behandling i Försvarsmakten som i dag regleras i personuppgiftslagen helt eller delvis bör regleras särskilt. Ut- redningsuppdraget ska redovisas senast den 31 juli 2018.

6.5.2Den gemensamma utrikes- och säkerhetspolitiken

Enligt skäl 14 undantas medlemsstaternas behandling av personuppgifter i verksamhet som omfattas av den gemensamma utrikes- och säkerhets- politiken från direktivets tillämpningsområde. Regeringen kan i likhet med utredningen inte se att någon av de som är behöriga myndigheter i ramlagens mening bedriver verksamhet inom detta område. Det finns därför inget behov av att från ramlagens tillämpningsområde undanta någon myndighet eller verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Detta har inte heller ifrågasatts av någon remissinstans.

106

6.6

Förhållandet till offentlighetsprincipen och till

Prop. 2017/18:232

 

tryck- och yttrandefriheten

 

Regeringens bedömning: Behandling av personuppgifter på tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar behöver inte regleras.

Utredningens bedömning överensstämmer med regeringens.

Remissinstanserna: Justitiekanslern och Domstolsverket anser att en upplysningsbestämmelse om ramlagens förhållande till offentlighetsprin- cipen och till tryck- och yttrandefriheten bör övervägas. Ingen annan remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens bedömning: I skäl 16 framhålls att direktivet inte påverkar tillämpningen av principen om allmänhetens rätt att få till- gång till allmänna handlingar.

I dataskyddsförordningen finns bestämmelser som ger utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för per- sonuppgifter och, å andra sidan, yttrande- och informationsfriheten och offentlighetsprincipen. Enligt artikel 85.1 i förordningen ska medlemssta- ternas nationella lagstiftning förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Den ska omfatta personuppgiftsbehandling för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande. När det gäller behand- ling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 i förord- ningen föreskriva om undantag eller avvikelser från stora delar av förordningens bestämmelser om det behövs för att förena rätten till inte- gritet med yttrande- eller informationsfriheten.

Enligt artikel 86 i förordningen får personuppgifter i allmänna hand- lingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personupp- gifter i enlighet med förordningen. Enligt regeringens förslag i proposi- tionen Ny dataskyddslag har tryckfrihetsförordningen och yttrandefri- hetsgrundlagen företräde framför dataskyddsförordningen och den före- slagna dataskyddslagens bestämmelser (prop. 2017/18:105 s. 187).

I avsnitt 6.1.2 har den föreslagna brottsdatalagens förhållande till annan lagstiftning behandlats. Regeringen föreslår under rubriken Avvi- kande bestämmelser i annan författning en bestämmelse som innebär att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från lagen, så tillämpas den bestämmelsen. Paragrafen motsvarar 2 § personuppgiftslagen. Även den paragrafen har rubriken Avvikande bestämmelser i annan författning.

I 7 § första stycket personuppgiftslagen finns dessutom – under rubri- ken Förhållandet till tryck- och yttrandefriheten – en bestämmelse som anger att lagen inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. I 8 § samma lag finns en motsvarande bestämmelse när det gäller offentlighetsprincipen. Enligt 1 kap. 7 § i för- slaget till dataskyddslag ska förordningen och lagen inte tillämpas i den

107

Prop. 2017/18:232 utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrande-

 

frihetsgrundlagen.

 

Mot bakgrund av att remissförslaget inte innehåller någon bestämmelse

 

som på liknande sätt behandlar relationen till grundlagarna anser Lagrå-

 

det att det finns behov av att ytterligare överväga detta förhållande i den

 

fortsatta beredningen. Lagrådet framhåller även när det gäller förhållan-

 

det till mediegrundlagarna att det finns skäl att särskilt framhålla att

 

Justitiekanslern torde vara en behörig myndighet vid fullgörandet av

 

uppgifter som åklagare avseende tryck- och yttrandefrihetsbrott.

 

Behandling av personuppgifter i samband med utlämnande av all-

 

männa handlingar ligger utanför direktivets tillämpningsområde. Av för-

 

slaget till reglering av ramlagens tillämpningsområde framgår att den

 

gäller vid behandling av personuppgifter som utförs av behöriga myn-

 

digheter i syfte att förebygga, förhindra eller upptäcka brottslig verksam-

 

het, utreda eller lagföra brott eller verkställa straffrättsliga påföljder och

 

vid behandling av personuppgifter som en behörig myndighet utför i

 

syfte att upprätthålla allmän ordning och säkerhet (se avsnitt 6.4).

 

När det gäller förhållandet till tryckfrihetsförordningen och yttrandefri-

 

hetsgrundlagen i övrigt kan regeringen konstatera följande. I förarbetena

 

till personuppgiftslagen framhålls att bestämmelser i vanlig lag inte kan

 

ta över bestämmelser i grundlag. Regeringen ansåg att lagtexten i syfte

 

att klargöra och underlätta tillämpningen ändå borde innehålla en ut-

 

trycklig erinran om att bestämmelserna i personuppgiftslagen inte ska

 

tillämpas om en sådan tillämpning skulle strida mot bestämmelserna om

 

tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihets-

 

grundlagen. En sådan erinran ansågs viktig för att inskärpa att tillämp-

 

ningen vid fall av möjliga konflikter ska präglas av försiktighet och res-

 

pekt för det grundlagsskyddade området (prop. 1997/98:44 s. 51 f.

 

och s. 119).

 

I propositionen Ny dataskyddslag (2017/18:105 s. 42) konstateras att

 

det är angeläget att dataskyddsförordningens och dataskyddslagens be-

 

stämmelser inte ger upphov till osäkerhet kring möjligheterna till person-

 

uppgiftsbehandling på det grundlagsskyddade området och att en sådan

 

osäkerhet skulle kunna påverka vitala delar av opinionsskapande verk-

 

samhet som är av grundläggande betydelse för demokratin och som

 

skyddas genom bl.a. censurförbudet och meddelarfriheten. Regeringen

 

anser vidare i den propositionen att det förhållandet att den unionsrätts-

 

liga dataskyddsregleringen är en direkt tillämplig förordning, som dess-

 

utom kan leda till kännbara sanktionsavgifter, innebär ett än större behov

 

av ett förtydligande av förhållandet till tryck- och yttrandefrihetsregle-

 

ringen.

 

Den föreslagna brottsdatalagen ska gälla vid behandling av personupp-

 

gifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra

 

eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verk-

 

ställa straffrättsliga påföljder och i syfte att upprätthålla allmän ordning

 

och säkerhet. De skäl som anges för en upplysningsbestämmelse i förar-

 

betena till personuppgiftslagen (prop. 1997/98:44 s. 49 f.) och data-

 

skyddslagen (prop. 2017/18:105 s. 41 f.) gör sig därför inte gällande på

 

ramlagens tillämpningsområde.

 

Regeringen delar därför – till skillnad från Justitiekanslern och Dom-

108

stolsverket – utredningens bedömning att den föreslagna subsidiaritetsbe-

stämmelsen inte behöver kompletteras med en särskild reglering som Prop. 2017/18:232 tydliggör att ramlagen inte ska tillämpas vid en konflikt med regleringen

i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Enligt 23 kap. 14 § andra stycket rättegångsbalken får en undersök- ningsledare hos rätten begära ett förordnande om att en allmän handling som kan antas ha betydelse som bevis ska tillhandahållas. I 38 kap. 8 § rättegångsbalken finns en motsvarande bestämmelse som är generell och som kan åberopas exempelvis av en målsägande. En myndighet, eller någon annan aktör som omfattas av reglerna om allmänna handlingar, kan alltså med stöd av någon av dessa regler åläggas att lämna ut en allmän handling till en förundersökning eller brottmålsrättegång. Det gäller dock inte en handling för vilken sekretess gäller enligt 15 kap. 1 eller 2 § offentlighets- och sekretesslagen (2009:400), som reglerar ut- rikessekretess respektive försvarssekretess, eller 16 kap. 1 § samma lag som reglerar statsfinanssekretess. Det gäller inte heller en handling vars innehåll är sådant att någon som haft befattning med handlingen inte får höras som vittne om dess innehåll. Likaså undantas handlingar som kan avslöja yrkeshemligheter, om det inte finns synnerlig anledning. Enligt regeringens bedömning kommer tillämpningen av 23 kap. 14 § och 38 kap. 8 § rättegångsbalken inte att påverkas i samband med att de nya EU-rättsakterna ska börja tillämpas.

6.7Gränsdragningsfrågor som rör tillämpningsområdet

6.7.1

Bedömningen av gränsdragningsfrågor

 

 

 

Regeringens bedömning: Vid bedömningen av om viss personupp-

 

giftsbehandling faller under ramlagens eller dataskyddsförordningens

 

tillämpningsområde har det avgörande betydelse om den som behand-

 

lar personuppgiften är en behörig myndighet och i vilket syfte uppgif-

 

ten behandlas.

 

Det är en fråga för rättstillämpningen att slutligt avgöra vilket regel-

 

verk för dataskydd som gäller i ett enskilt fall.

 

 

 

Utredningens bedömning överensstämmer med regeringens.

 

Remissinstanserna: Flertalet remissinstanser påtalar problematiken

 

med dubbla regelverk. Många remissinstanser efterfrågar mer ledning om

 

en viss verksamhet faller inom eller utanför ramlagens tillämpningsom-

 

råde, däribland Justitiekanslern, Finansinspektionen och Havs- och vat-

 

tenmyndigheten. Vissa remissinstanser anser att utredningen i sin redo-

 

visning har gjort felaktiga eller olämpliga bedömningar av om en viss

 

verksamhet ska falla under ramlagens tillämpningsområde eller inte, där-

 

ibland Polismyndigheten, Kustbevakningen och Kriminalvården.

 

Skälen för regeringens bedömning: Som tidigare konstaterats är det,

 

vid bedömningen av om ramlagen är tillämplig på viss behandling av

 

personuppgifter, av avgörande betydelse om den som behandlar person-

 

uppgiften är en behörig myndighet och i vilket syfte den behandlas. Flera

 

remissinstanser, däribland Svea hovrätt och Datainspektionen, påtalar

 

särskilt att utredningen på ett förtjänstfullt sätt redogjort för gränsdrag-

109

Prop. 2017/18:232 ningsfrågor som kan uppkomma beträffande ramlagens tillämpningsom- råde. Regeringen delar också utredningens syn på hur gränsdragningspro-

 

blemen ska behandlas, dvs. med utgångspunkt i frågorna om den som

 

behandlar uppgiften är en behörig myndighet och i vilket syfte en person-

 

uppgift behandlas.

 

Många remissinstanser påtalar svårigheterna med dubbla regelverk i

 

form av ramlagen med tillhörande förordning inom direktivets område

 

och dataskyddsförordningen med den föreslagna kompletterande lagen

 

samt därutöver myndighetsspecifika registerförfattningar. Flera remissin-

 

stanser efterfrågar också mer ledning om en viss verksamhet faller inom

 

eller utanför ramlagens tillämpningsområde, däribland Justitiekanslern

 

när myndigheten tar emot och eller överklagar beslut gällande ersättning

 

till målsägandebiträden och offentliga försvarare enligt lagen (2005:73)

 

om rätt för Justitiekanslern att överklaga vissa beslut, Finansinspektionen

 

gällande myndighetens roll i ärenden enligt lagen (2016:1307) om straff

 

för marknadsmissbruk på värdepappersmarknaden och underrättelse till

 

Polismyndigheten vid misstanke om penningtvätt eller finansiering av

 

terrorism enligt lagen (2009:62) om åtgärder mot penningtvätt och finan-

 

siering av terrorism (sedan den 1 augusti 2017 ersatt av lagen [2017:630]

 

om åtgärder mot penningtvätt och finansiering av terrorism) och Havs-

 

och vattenmyndigheten rörande vissa frågor om fiskelagen (1993:787),

 

däribland beslag. Som utredningen och även flera remissinstanser konsta-

 

terar är det emellertid inte möjligt att inom ramen för detta lagstiftnings-

 

ärende ge klara svar på om vissa enskilda verksamheter eller arbetsupp-

 

gifter kommer att omfattas av ramlagens tillämpningsområde eller inte.

 

Det kommer att uppstå många frågor som kommer att få lösas i den prak-

 

tiska tillämpningen och i slutändan av domstol när det gäller de exakta

 

gränserna. Det kommer även, som Datainspektionen påpekar, vara av

 

stor vikt att de behöriga myndigheterna genom olika insatser, t.ex. in-

 

terna arbetsdokument och utbildningar, styr handläggarna vid tveksamhet

 

om vilket regelverk som är tillämpligt.

 

Vissa remissinstanser anser dock att utredningen i sin redovisning gjort

 

felaktiga bedömningar av om en viss verksamhet ska falla under ram-

 

lagens tillämpningsområde, exempelvis påpekar både Polismyndigheten

 

och Kustbevakningen att det är olyckligt om olika delar av behöriga myn-

 

digheters kontrollverksamheter kommer att falla under olika regelverk

 

och Kriminalvården anser att transport av personer har så stark anknyt-

 

ning till ramlagens tillämpningsområde att den verksamheten bör omfat-

 

tas oavsett bakomliggande ändamål.

 

Som nämnts ovan bör gränsdragningsfrågorna behandlas med utgångs-

 

punkt i frågorna om den som behandlar uppgiften är en behörig myndig-

 

het och i vilket syfte en personuppgift behandlas. Utifrån dessa förutsätt-

 

ningar har utredningen hållit en rak och konsekvent linje i sina bedöm-

 

ningar av de olika verksamheterna och om de faller inom eller utanför

 

ramlagens tillämpningsområde. Mot bakgrund av den gränsdragning som

 

EU valt att göra mellan dataskyddsdirektivets och dataskyddsförordning-

 

ens tillämpningsområden, där syftet med en behandling av personuppgif-

 

ter är avgörande, är det ofrånkomligt att båda regelverken kommer att

 

kunna bli tillämpliga i samma arbetsmoment för olika syften.

 

Sammantaget delar regeringen de bedömningar som utredningen gjort

110

när det gäller tillvägagångssättet i gränsdragningsfrågor. Ytterligare väg-

ledning kring enskilda verksamheter inom myndigheterna kan fås genom Prop. 2017/18:232 de bedömningar som utredningen redovisar i delbetänkandet. Regeringen

konstaterar att det är en fråga för rättstillämpningen att slutligt avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall. I avsnitt 6.7.2 nedan redogörs för ett antal allmänna principer som presenterats i delbe- tänkandet Brottsdatalag (SOU 2017:29) i vägledande syfte.

6.7.2Utgångspunkter

Det är enligt regeringens mening nödvändigt att ge tillämparna informa- tion om hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig. Det är också viktigt att ge de behöriga myndig- heterna förutsättningar att kunna utveckla en gemensam syn på olika till- lämpningsfrågor. Det gäller särskilt myndigheterna i rättskedjan.

Mot denna bakgrund anser regeringen att det finns anledning att i det följande redogöra för ett antal allmänna principer som presenterats i del- betänkandet Brottsdatalag (SOU 2017:29) i vägledande syfte. Utred- ningen utvecklar dessa principer ytterligare genom exempel från olika verksamheter inom ramlagens tillämpningsområde (se SOU 2017:29 s. 185–234). Det kan tilläggas att utredningens redovisning inte är någon uttömmande genomgång av vad som kan göra ramlagen tillämplig.

För att ge ytterligare vägledning behandlas ett flertal gränsdragnings- frågor med exempel i författningskommentaren.

Om någon annan än en behörig myndighet behandlar personuppgifter är ramlagen inte tillämplig

Ett grundläggande krav för att ramlagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet i lagens mening och att behandlingen görs för något av de syften som anges där. Som framgår av avsnitt 6.4.4 pekas det inte ut vilka myndigheter som är behöriga. Det är enligt den föreslagna definitionen de myndigheter som fullgör uppgifter inom ramlagens tillämpningsområde och andra aktörer som utövar myndighet i samma syften som är behöriga. Är den som be- handlar personuppgifterna inte en behörig myndighet gäller inte ram- lagen för personuppgiftsbehandlingen.

Många myndigheter och andra aktörer är skyldiga att anmäla om det uppstått misstanke om brott. En sådan skyldighet medför inte att anmäla- ren ska betraktas som behörig myndighet i ramlagens mening, om anmä- laren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som ramlagen omfattar.

Det förhållandet att en privat aktör har satt upp en övervakningskamera t.ex. i en bank eller butikslokal i syfte att förebygga, avslöja eller utreda brott innebär inte heller att behandlingen av de personuppgifter som erhålls genom övervakningen görs av en behörig myndighet i ramlagens mening. Företaget eller personen i fråga ägnar sig nämligen inte åt myn- dighetsutövning.

111

Prop. 2017/18:232

112

Varken typen av personuppgiftsbehandling eller personuppgiftens karaktär är avgörande för om ramlagen ska tillämpas

Det är, som tidigare nämnts, syftet med behandlingen av personuppgifter i det enskilda fallet som avgör om behandlingen över huvud taget omfat- tas av ramlagens tillämpningsområde. Genom att syftet avgör när det gäl- ler personuppgiftsbehandling som omfattas av unionsrätten, kan en behö- rig myndighets behandling av samma personuppgift antingen styras av ramlagens eller dataskyddsförordningens regler. Typen av personupp- giftsbehandling, vilken verksamhet den behandlas i eller personuppgif- tens karaktär är alltså inte avgörande för vilket regelverk som ska tilläm- pas.

Myndighetsutövning som har överlåtits till andra än myndigheter

I viss lagstiftning överlåts myndighetsutövning inom ramlagens tillämp- ningsområde till andra aktörer. Är det fråga om myndighetsutövning för ett sådant syfte som anges i ramlagen ska ramlagen tillämpas på be- handlingen av personuppgifter, t.ex. när föremål tas i beslag för att säkra utredningen av ett brott eller framtida förverkande. Den som har rätt att vidta sådana åtgärder anses nämligen vara en behörig myndighet i ram- lagens mening. Det gäller t.ex. om en tjänsteman i Havs- och vattenmyn- digheten tar egendom i beslag för ett misstänkt fiskebrott eller om en annan aktör handhar verkställighet av en straffrättslig påföljd.

Ramlagen ska tillämpas i viss verksamhet för att stödja en behörig myndighet

Myndigheterna i rättskedjan behöver ibland stöd från myndigheter med annan kompetens. Sådan stödverksamhet kan avse t.ex. forensisk, medi- cinsk eller psykiatrisk kompetens. Stödet kan också avse särskilda resur- ser. Den som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör vid ut- förandet av sådana uppgifter anses som behörig myndighet och tillämpa ramlagen.

Annat stöd som inte är författningsreglerat och som lämnas till en be- hörig myndighet av en myndighet eller annan aktör som inte själv är behörig myndighet i ramlagens mening ligger däremot utanför ramlagens tillämpningsområde, t.ex. stöd från myndigheter som deltar i olika insat- ser för att förebygga brott eller att samverka mot brott och oordning. Ett exempel är när en statlig myndighet som t.ex. Pensionsmyndigheten bistår åklagare i förundersökningar om ekonomisk brottslighet.

När de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska ramlagen tillämpas

I brottmål får i viss utsträckning talan föras om annat än ansvar för brott. När de processuella reglerna om talan om ansvar för brott tillämpas på en talan som rör något annat, som t.ex. enskilda anspråk, rör det sig om frå- gor som är så intimt förknippade med varandra att vikten av en gemen- sam process enligt brottmålsreglerna ansetts väga över andra intressen. Då bör sidofrågan anses vara så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen. Ramlagen bör också tillämpas vid bevistalan mot någon under 15 år.

Om sambandet med ansvarsfrågan upphör, bör ramlagen inte tillämpas Prop. 2017/18:232 på den fortsatta handläggningen. Enskilda anspråk som överklagas enbart

av enskild part är exempel på det.

Ramlagen ska inte tillämpas av den som får tillgång till ett visst register eller en viss typ av uppgifter

Den omständigheten att någon som inte har brottsbekämpande, lagför- ande, straffverkställande eller ordningshållande uppdrag ges tillgång till ett register som förs av en myndighet med ett sådant uppdrag innebär inte att den förra ska betraktas som behörig myndighet. Det gäller även den som på annat sätt får del av uppgifter om lagöverträdelser. Den som får tillgång till domar eller till vissa uppgifter ur t.ex. belastningsregistret eller registret över tillträdesförbud blir alltså inte en behörig myndighet av det skälet. För att ramlagen ska vara tillämplig krävs att uppgifterna i fråga behandlas av en behörig myndighet för något av de syften som ramlagen anger.

Kontrollverksamhet och allmän övervakning

Flera av de myndigheter som har till uppgift att bekämpa brott bedriver också i större eller mindre utsträckning kontrollverksamhet. Det gäller framför allt Polismyndigheten, Tullverket, Kustbevakningen och Skatte- verket. Det kan gälla exempelvis gränskontroll, tullkontroll, utlännings- kontroll eller skattekontroll. Personuppgiftsbehandling inom ramen för sådan kontrollverksamhet ligger utanför ramlagens tillämpningsområde i den mån den inte utförs i brottsbekämpande syfte. Det gäller även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter.

Förutom författningsreglerad kontrollverksamhet bedriver vissa brotts- bekämpande myndigheter också allmän övervakning. Den allmänna övervakningen är oreglerad och har inte så konkret utformning eller tydligt brottsbekämpande syfte att behandlingen av personuppgifter kan hänföras under ramlagen.

Ramlagen ska inte tillämpas när syftet med behandlingen inte längre är brottsbekämpning eller något annat som regleras i lagen

Personuppgifter som från början behandlas för något av de syften som är en förutsättning för att ramlagen ska vara tillämplig kan med tiden visa sig sakna betydelse för dessa syften. Som exempel kan nämnas att Tull- verket tar en viss mängd vitt pulver i beslag i tron att det är fråga om narkotika men att det senare visar sig vara något som inte är straffbart att inneha. Utöver den behandling av personuppgifter som är nödvändig för att avsluta ärendet och arkivera det får uppgifterna inte längre behandlas i den brottsbekämpande verksamheten. Ramlagen är då inte längre till- lämplig. Att ett enskilt anspråk som ursprungligen har behandlats tillsam- mans med frågan om ansvar för brottet avskiljs för handläggning i den för tvistemål föreskrivna ordningen är ett annat exempel på när ramlagen inte längre ska tillämpas.

113

Prop. 2017/18:232 7

Rättslig grund och ändamål för

 

behandling av personuppgifter

7.1Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser

Regeringens bedömning: Det bör göras tydligare skillnad mellan be- stämmelser om rättslig grund för behandling och ändamålsbestäm- melser.

Utredningens bedömning överensstämmer med regeringens.

Remissinstanserna: Polismyndigheten, Malmö kommun och Uppsala universitet ser positivt på att det görs tydligare skillnad mellan bestäm- melser om rättslig grund och bestämmelser om ändamål. Övriga remiss- instanser yttrar sig inte i denna del.

Skälen för regeringens bedömning

Dagens ändamålsbestämmelser

En grundläggande princip för all personuppgiftsbehandling är att person- uppgifter får samlas in bara för särskilda, uttryckligt angivna och berätti- gade ändamål. De får inte heller behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I registerförfatt- ningar finns det därför normalt bestämmelser om för vilka ändamål personuppgifter får behandlas. Syftet är att ange ramen för vilken be- handling som är tillåten. På så sätt kan användning och spridning av per- sonuppgifter begränsas.

I de brottsbekämpande myndigheternas registerförfattningar delas ändamålen upp i primära och sekundära, se bl.a. 2 kap. 7 och 8 §§ polis- datalagen, 2 kap. 5 och 6 §§ åklagardatalagen och 2 kap. 5 och 6 §§ tull- brottsdatalagen. Bestämmelserna har samma utformning och liknande innehåll. De primära ändamålen reglerar behandlingen av de personupp- gifter som behövs i den berörda myndighetens egen brottsbekämpande verksamhet. Polismyndigheten får t.ex. enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ända- målen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller till enskilda för att tillgodose deras behov. Tullverket får t.ex. enligt 2 kap. 6 § tullbrottsdatalagen behandla redan insamlade uppgifter när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter. Det kan också vara fråga om att personuppgifter i den brottsbekämpande verksamheten behöver lämnas till verksamhet i samma myndighet som inte är brottsbekämpande för den verksamhetens behov.

Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt både hur personuppgifter får användas i den brottsbekäm-

114

pande verksamheten och för vilka ändamål uppgifterna får behandlas för Prop. 2017/18:232 att lämnas ut till andra.

Informationshanteringsutredningens slutsatser

Informationshanteringsutredningen (Ju 2011:11) anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är sär- skilda bestämda ändamål respektive tillåtna rättsliga grunder för behand- ling. Det finns enligt den utredningen risk att tillämparen blandar sam- man ändamål med rättslig grund och godtar ett i författning bestämt all- mänt ändamål som ett särskilt och tillräckligt preciserat ändamål och drar den felaktiga slutsatsen att kravet på att det ska finnas särskilda, uttryck- ligt angivna och berättigade ändamål för behandlingen därmed är upp- fyllt. Informationshanteringsutredningen anser att det skulle ge ett bättre integritetsskydd om personuppgiftsansvariga enbart vore hänvisade till att, utifrån de grundläggande kraven i 9 § första stycket c personuppgifts- lagen, på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka personuppgifter som är adekvata och inte för många för den aktuella behandlingen. Därför innehåller förslaget till myndighetsdatalag inga ändamålsbestämmelser och förutsätter inte heller att sådana ska finnas. I förslaget anges endast att personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet (SOU 2015:39 s. 277 f.).

Förslaget har fått ett blandat mottagande. Vissa remissinstanser anser

 

att ändamålsbestämmelser har betydelse för att göra det tydligt för en-

 

skilda inom vilka ramar myndigheter får samla in och behandla person-

 

uppgifter och menar att den föreslagna bestämmelsen är alltför vag.

 

Andra är positiva till förslaget och framhåller att det förenklar bedöm-

 

ningen av vilken personuppgiftsbehandling som är tillåten.

 

Bestämmelser om rättslig grund

 

Både dataskyddsdirektivet och dataskyddsförordningen utgår från att

 

varje behandling av personuppgifter måste vila på en rättslig grund för att

 

vara laglig. Det är alltså endast om det finns en rättslig grund som

 

personuppgifter överhuvudtaget får behandlas.

 

Kravet på att det alltid ska finnas en rättslig grund för behandlingen av

 

personuppgifter är inte nytt. Det framgår av artikel 7 i 1995 års data-

 

skyddsdirektiv och kommer till uttryck i bl.a. 10 § personuppgiftslagen.

 

Det förs dock inga resonemang kring kravet på rättslig grund i förarbe-

 

tena till de brottsbekämpande myndigheternas registerförfattningar.

 

Regeringen håller därför med utredningen om att det finns skäl att nu

 

lyfta fram den frågan och diskutera hur kravet på rättslig grund förhåller

 

sig till de primära och sekundära ändamålen i registerförfattningarna.

 

I likhet med utredningen anser regeringen att det finns fog för Informa-

 

tionshanteringsutredningens uppfattning att vad som i dataskyddsrättslig

 

mening är tillåtna rättsliga grunder för behandling och vad som är ren-

 

odlade ändamålsbestämmelser ibland har blandats samman. Det är därför

 

lämpligt att det görs tydligare skillnad mellan bestämmelser om rättslig

 

grund och ändamålsbestämmelser. Hur man bör se på ändamålsbestäm-

 

melserna i de brottsbekämpande myndigheternas registerförfattningar be-

 

handlas i avsnitt 7.5.

115

 

Prop. 2017/18:232 7.2

Rättslig grund för behandling – huvudregeln

Regeringens förslag: Personuppgifter får behandlas om det är nöd- vändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla all- män ordning och säkerhet.

Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att begreppet behövs bör

användas i lagtexten i stället för begreppet nödvändigt. Myndigheten uttrycker även oro för att kravet på att uppgiften ska vara reglerad mot- verkar myndigheternas arbete med att utveckla arbetsmetoder och sam- verkan med andra aktörer. Datainspektionen väcker frågan om det för- hållandet att underrättelseverksamheten i viss utsträckning är oreglerad kan leda till problem när det gäller att fastställa rättslig grund för behand- ling av personuppgifter i sådan verksamhet. Övriga remissinstanser yttrar sig inte särskilt om förslaget.

Skälen för regeringens förslag

När finns det rättslig grund för behandlingen?

Som anges i avsnitt 7.1 utgår dataskyddsregleringen från att varje be- handling av personuppgifter måste ha en rättslig grund för att vara laglig.

Enligt artikel 8.1 i direktivet är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder eller skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten. För att uppfylla direktivets krav måste nationell rätt ange ramarna för när behandling av personupp- gifter är tillåten. Den rättsliga grunden bör enligt skäl 33 vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. I ramlagen bör det därför tas in bestämmelser som anger vad som är till- låtna rättsliga grunder för behandling av personuppgifter.

Tillämpningsområdet och den rättsliga grunden uttrycks på ett korre- sponderande sätt i direktivet. Samma uttryckssätt som används för att av- gränsa ramlagens tillämpningsområde bör därför användas i bestäm- melsen om rättslig grund (se avsnitt 6.4.2 och 6.4.3). Det innebär att den uppgift som ska ligga till grund för personuppgiftsbehandlingen ska ut- föras av en behörig myndighet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Personuppgifts- behandlingen ska vara nödvändig för uppgiften och ha stöd i unionsrätt eller nationell rätt.

116

Nödvändighetsrekvisitet

Personuppgiftsbehandlingen ska vara nödvändig för att den behöriga myndigheten ska kunna utföra sina uppgifter. Enligt Svenska Akade- miens Ordbok betyder ordet ”nödvändig” att någonting absolut fordras eller inte kan underlåtas. I unionsrätten har kravet på nödvändighet inte samma strikta innebörd. Artikel 7 i 1995 års dataskyddsdirektiv har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktel- sen eller utföra uppgiften utan att personuppgifter behandlas (Integritet – Offentlighet – Informationsteknik, SOU 1997:39, s. 359). Den slutsatsen får stöd av ett avgörande av EU-domstolen i vilket domstolen uttalar att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser (dom av den 16 december 2008, Huber, C-524/06). Domen bör kunna utgöra stöd även för tolk- ningen av det nya direktivet. Ordet ”nödvändig” bör därför tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften.

Polismyndigheten förespråkar att begreppet ”behövs” används i lagtex- ten för att undvika bokstavstolkningar med icke avsedda begränsningar som följd. I bestämmelsen om rättslig grund i artikel 6.1 i dataskyddsför- ordningen anges att behandling är laglig om den är nödvändig i vissa an- givna fall. Regeringen anser därför, i likhet med utredningen, att ordet ”nödvändigt” bör användas även i ramlagen. En enhetlig terminologi bör, som flertalet remissinstanser påpekar, underlätta tillämpningen av data- skyddsregelverket. Personuppgifter ska alltså få behandlas bara om det är nödvändigt för att utföra vissa uppgifter.

I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.

Stöd för behandlingen i unionsrätt eller nationell rätt

Den uppgift som den behöriga myndigheten ska utföra ska ha stöd i unionsrätt eller nationell rätt. Frågan är vad som avses med det. Rege- ringen håller med utredningen om att det inte kan vara personuppgiftsbe- handlingen i sig som avses. Om så skulle vara fallet skulle de behöriga myndigheterna endast kunna behandla personuppgifter för att utföra sina uppgifter i den utsträckning det, utöver den reglering som fastställer upp- giften, också finns uttryckliga bestämmelser om att personuppgifter får behandlas för att utföra den uppgiften. Artikeln bör i stället tolkas så att personuppgiftsbehandlingen alltid ska gå att härleda till den behöriga myndighetens uppgifter så som de kommer till uttryck i unionsrätten eller i nationell lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter. Det bör framgå av ramlagen. I bestämmelsen bör därför anges att uppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att utföra en sådan uppgift. Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller EU-rättsakter här i landet med den verkan som följer av EU-fördragen. Unionsrätten är där- med en del av den svenska rättsordningen. EU-förordningar är att jäm- ställa med svensk lag.

Prop. 2017/18:232

117

Prop. 2017/18:232

Grunden för att behandla personuppgifter finns alltså i regleringen av

 

den behöriga myndighetens uppgifter. Som exempel kan nämnas att det i

 

2 § polislagen (1984:387) anges att en av Polismyndighetens huvudupp-

 

gifter är att utreda och beivra brott. Den arbetsuppgiften preciseras av be-

 

stämmelser i framför allt rättegångsbalken som reglerar hur förundersök-

 

ning ska bedrivas och i vilka fall en polisman får utfärda föreläggande

 

om ordningsbot. Ytterligare bestämmelser finns i bl.a. lagen (1964:167)

 

med särskilda bestämmelser om unga lagöverträdare och olika lagar om

 

användningen av straffprocessuella tvångsmedel. På motsvarande sätt

 

anges det i 3 § förordningen (2007:853) med instruktion för Kustbevak-

 

ningen att myndigheten bl.a. ska bedriva övervakning för att förebygga

 

och ingripa mot störningar i sjötrafiken, förhindra och upptäcka brottslig

 

verksamhet, ingripa vid misstanke om brott och utreda och beivra eller

 

bistå med utredningen av brott. Vilka brott Kustbevakningen har till

 

uppgift att ingripa mot framgår bl.a. av lagen (1982:395) om Kustbevak-

 

ningens medverkan vid polisiär övervakning och lagen (2000:1225) om

 

straff för smuggling. Hur det ska göras regleras framför allt i rättegångs-

 

balken och nyss nämnda lagar. Regleringar av motsvarande slag finns för

 

övriga behöriga myndigheter.

 

Grunden för att behandla personuppgifter kan även finnas i regler som

 

primärt gäller för andra myndigheter. Skyldigheten enligt 23 kap. 3 §

 

andra stycket rättegångsbalken att biträda åklagare vid brottsutredning

 

utgör rättslig grund för att polisen ska kunna överlämna personuppgifter

 

till åklagare i det brottsbekämpande arbetet. Motsvarande bestämmelser

 

finns för Tullverket, Skatteverket och Kustbevakningen.

 

Genom de författningar och regeringsbeslut som reglerar den verksam-

 

het i vilken personuppgifterna behandlas, tillsammans med ramlagen och

 

registerförfattningarna, är enligt regeringens mening kravet i direktivet

 

på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt.

 

Polismyndigheten anför att arbetet med att utveckla nya arbetsmetoder

 

och samverkansformer inte bör motverkas genom otillräckliga förutsätt-

 

ningar. För Polismyndighetens del anser regeringen att 2 § polislagen

 

många gånger bör kunna ge rättsligt stöd för personuppgiftsbehandling i

 

sådana situationer. Eftersom stödet för arbetsuppgiften inte behöver

 

finnas i lag utan även kan framgå av förordning eller annat beslut av

 

regeringen bör det, som Uppsala universitet påpekar, finnas tillräckliga

 

verktyg för att i övrigt möjliggöra flexibilitet. Här kan även påpekas att

 

myndigheters verksamhet enligt den svenska legalitetsprincipen måste

 

vara fastställd i enlighet med svensk rätt. Datainspektionen lyfter frågan

 

om rättslig grund för behandling av personuppgifter i underrättelseverk-

 

samhet. Även om underrättelseverksamheten i vissa avseenden inte är

 

lika reglerad som t.ex. brottsutredande verksamhet så har de myndigheter

 

som bedriver underrättelseverksamhet ålagts den uppgiften i författning,

 

t.ex. framgår det av 3 § förordningen (2007:853) med instruktion för

 

Kustbevakningen att Kustbevakningen ska förhindra och upptäcka brotts-

 

lig verksamhet. Författningsstödet för uppgiften tillsammans med ram-

 

lagen och registerförfattningarna, ger enligt regeringens mening rättslig

 

grund för personuppgiftsbehandlingen.

 

Lagrådet har uttalat att planering, uppföljning och utvärdering av verk-

 

samhet är en integrerad del av själva verksamheten och inte någon fristå-

118

ende aktivitet som behöver regleras särskilt i registerförfattningar. Det

har därför ansetts att det inte behövs någon särskild bestämmelse som ger Prop. 2017/18:232 stöd för behandling av personuppgifter för bl.a. planering och uppfölj-

ning av verksamheten (se t.ex. Tullverkets brottsbekämpning – Effekti- vare uppgiftsbehandling, prop. 2004/05:164, s. 179 och Åklagardatalag, prop. 2014/15:63, s. 63). Någon särskild bestämmelse om att sådan be- handling är tillåten behövs därför inte i ramlagen. Enligt utredningen bör motsvarande bedömning göras när det gäller registervård. Personupp- giftsansvariga måste kunna behandla personuppgifter om det behövs för att se till att bestämmelserna om personuppgiftsbehandling efterlevs. Regeringen håller med utredningen om att registervård måste anses vara en integrerad del av den personuppgiftsansvariges skyldigheter enligt ramlagen och registerförfattningarna och att det följaktligen inte behöver regleras särskilt att personuppgiftsbehandling för registervård är tillåten. Datainspektionen delar den bedömningen.

7.3Rättslig grund i undantagsfall för diarieföring och handläggning

Regeringens förslag: Personuppgifter får alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en be- hörig myndighet i en anmälan, ansökan eller liknande och behand- lingen är nödvändig för myndighetens handläggning.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Polismyndigheten tillstyrker förslaget. Data- skydd.net anser att den bestämmelse som föreslås bör ändras på sådant sätt att den kräver användning av pseudonymiserade uppgifter i så hög utsträckning som möjligt. Övriga remissinstanser yttrar sig inte särskilt om förslaget.

Skälen för regeringens förslag: De myndigheter som ska tillämpa ramlagen tar dagligen emot stora mängder information av vitt skilda slag, ofta i elektronisk form. De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen ska som huvudregel allmänna hand- lingar som kommit in till en myndighet registreras, dvs. diarieföras, så snart som möjligt. Syftet är bl.a. att garantera allmänhetens tillgång till allmänna handlingar. En myndighet måste därför alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och liknande. Det gäller även i de fall där den behöriga myndigheten inte behöver behandla personuppgifterna för att utföra sina uppgifter (prop. 2009/10:85 s. 112 f.). Det bör i ramlagen tydliggöras att det är en tillåten rättslig grund för behandling.

I skäl 16 finns det stöd för att ha en sådan bestämmelse om rättslig grund. Där uttalas nämligen att direktivet inte påverkar principen om all- mänhetens rätt att få tillgång till allmänna handlingar.

Dataskydd.net förespråkar ett krav på pseudonymisering vid diariefö- ring och handläggning i syfte att öka dataskyddet. Som utvecklas i av- snitt 8.1.5 följer det av de grundläggande kraven på behandling av per-

sonuppgifter att avidentifiering bör användas i så stor utsträckning som

119

Prop. 2017/18:232 möjligt. Kan en uppgift utföras tillfredsställande även om personuppgif- terna utelämnas är de grundläggande kraven på adekvans och personupp- gifternas omfattning inte uppfyllda (jfr SOU 2015:39 s. 285). Som sagts ovan förutsätter emellertid myndigheternas skyldighet att bl.a. garantera allmänhetens tillgång till allmänna handlingar att de handlingar som in- kommit diarieförs och behandlas i oförändrat skick. Mot denna bakgrund finns det enligt regeringen inte skäl att införa ett krav på pseudonymise- ring i den bestämmelse som nu föreslås.

7.4Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål

Regeringens förslag: Personuppgifter får behandlas bara för sär- skilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna yttrar sig inte

särskilt om förslaget. Justitiekanslern anser att bestämmelsen är mycket allmänt hållen och har svårt att förstå innebörden av den och hur den kommer att förhålla sig till registerförfattningarna. Även Domstolsverket tycker att det bör klargöras vad som avses med ändamål i bestämmelsens mening. Enligt Domstolsverket ställer direktivet krav på att det i författ- ning regleras för vilka specifika ändamål en behörig myndighet får be- handla personuppgifter. Uppsala universitet anser att utredningens tolk- ning av direktivets krav på reglering av ändamål förefaller rimlig, liksom förslaget att ändamålet ska dokumenteras särskilt om det inte framgår av sammanhanget.

Skälen för regeringens förslag

Behandling för särskilda, uttryckligt angivna och berättigade ändamål

Den omständigheten att viss behandling är rättsligt grundad innebär inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Den personuppgiftsansvarige måste också iaktta övriga krav som gäller för behandling av personuppgifter.

I artikel 4.1 b i direktivet anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Liknande reg- lering finns i artikel 6.1 b i 1995 års dataskyddsdirektiv, som har genom- förts genom 9 § första stycket c personuppgiftslagen. En liknande be- stämmelse bör tas in i ramlagen.

Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för många uppgifter behandlas (se av- snitt 8.1.2). Något hinder mot att ange flera parallella ändamål för be- handlingen finns inte. Ändamålen ska anges uttryckligen redan när per-

sonuppgifterna samlas in.

120

Att ändamålen ska vara berättigade innebär enligt regeringens mening en koppling till den rättsliga grunden. Personuppgifter får således inte be- handlas för ett ändamål som inte är berättigat i förhållande till den till- lämpliga rättsliga grunden. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken personuppgiftsbehandling som kan aktualiseras på området för brottsbekämpning, lagföring, straff- verkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att personuppgiftsbehandlingen är berättigad i de fallen.

Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven (jfr prop. 2009/10:85 s. 98). I ramlagen bör det därför tydliggöras att all behandling ska utföras för särskilda, uttryckligt an- givna och berättigade ändamål.

Bestämmelsen tar sikte på ändamålen i det enskilda fallet som t.ex. en förundersökning om ett visst brott eller ett ärende om förordnande av målsägandebiträde i ett visst fall. I avsnitt 9.2.7 föreslås att ändamålen med behandlingen ska förtecknas i det register som myndigheten ska föra och i avsnitt 10.2.6 att den personuppgiftsansvarige ska tillhandahålla allmän information om ändamålen med behandlingen. Det innebär inte att den personuppgiftsansvarige måste förteckna respektive lämna infor- mation om alla de enskilda fall där myndigheten behandlar personupp- gifter. Det som avses är de typer av ändamål som myndigheten behandlar personuppgifter för. Som exempel kan nämnas att Polismyndigheten behandlar personuppgifter bl.a. för att ta emot anmälningar om brott, genomföra förundersökningar, verkställa uppbörd av bötesstraff och dokumentera ingripanden vid ordningsstörningar och att Kriminalvården behandlar personuppgifter för att verkställa olika straffrättsliga påföljder och hantera vissa andra frihetsberövanden.

I artikel 8.2 anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behand- lingens ändamål. Uttrycken ”syftet med behandlingen” och ”behandling- ens ändamål” används ofta synonymt när man diskuterar personupp- giftsbehandling. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken

”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första uttrycket men bestämd form i det senare kan tolkas som att det första uttrycket avser bestämmelser om rättslig grund (brottsbe- kämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet), medan det andra avser ändamålen för behand- lingen i det enskilda fallet. Om någon skillnad är avsedd är det enligt regeringens mening den enda rimliga tolkningen.

Regeringen anser därmed, i likhet med Uppsala universitet men till skillnad mot Domstolsverket, att den föreslagna generella bestämmelsen om rättslig grund i ramlagen tillsammans med bestämmelsen om att per- sonuppgifter ska behandlas för särskilda, uttryckligt angivna och berätti- gade ändamål, uppfyller kraven i direktivet på hur regleringen ska vara

Prop. 2017/18:232

121

Prop. 2017/18:232 utformad. Innebörden av den nu föreslagna bestämmelsen och hur den förhåller sig till registerförfattningarna, frågor som Justitiekanslern och Domstolsverket väcker, utvecklas vidare i avsnitt 7.5. Frågan om det bör regleras vilka personuppgifter som får behandlas diskuteras i av- snitt 8.1.5.

Ändamålen ska framgå

En särskild fråga är vad som avses med att ändamålen ska vara uttryck- ligt angivna. Det finns i dag inget generellt krav på att ändamålsbestäm-