Regeringens proposition 2017/18:234

Lag om flygpassageraruppgifter i

Prop.

brottsbekämpningen

2017/18:234

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 19 april 2018

Stefan Löfven

Morgan Johansson

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I syfte att bekämpa terrorism och annan allvarlig brottslighet har myn- digheter i flera länder i allt större utsträckning börjat samla in och analy- sera PNR-uppgifter. PNR är en förkortning av den engelska benäm- ningen Passenger Name Record och avser uppgifter som passagerare lämnar vid bokning av flygresor och vid incheckning, t.ex. namn, rese- datum, resväg, bagageinformation och betalningssätt. PNR-direktivet utgör ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet.

För att genomföra PNR-direktivet i svensk rätt föreslår regeringen en lag om flygpassageraruppgifter i brottsbekämpningen. Lagen innehåller bestämmelser om lufttrafikföretags skyldigheter att överföra PNR- uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Lagen ska både tillgodose behovet av tillgång till PNR-uppgifter i sådan verksamhet och skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna. Enheten för passagerarinfor- mation föreslås vara placerad vid Polismyndigheten.

Den nya lagen föreslås träda i kraft den 1 augusti 2018.

1

Prop. 2017/18:234

Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

6

2

Lagtext

..............................................................................................

7

 

2.1

Förslag till lag om flygpassageraruppgifter i

 

 

...........................................................

brottsbekämpningen

7

 

2.2 .........

Förslag till lag om ändring i polislagen (1984:387)

18

2.3Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett

annat land inom Europeiska unionen ...............................

19

2.4Förslag till lag om ändring i polisdatalagen

 

(2010:361) ........................................................................

20

2.5

Förslag till lag om ändring i tullagen (2016:253) .............

21

2.6Förslag till lag om ändring i tullbrottsdatalagen

 

 

(2017:447) ........................................................................

22

3

Ärendet och dess beredning ............................................................

23

4

PNR-direktivet ................................................................................

23

5

Dagens reglering och användning av PNR-uppgifter i

 

 

brottsbekämpningen ........................................................................

24

6

EU:s dataskyddsreform ...................................................................

27

7

En ny lag om flygpassageraruppgifter i brottsbekämpningen .........

29

 

7.1

En ny lag och en kompletterande förordning ...................

29

 

7.2

Lagens innehåll ................................................................

34

 

7.3

Terroristbrottslighet och annan allvarlig brottslighet .......

37

 

7.4

Lagens syfte......................................................................

40

 

7.5

Lagens förhållande till annan dataskyddsreglering ..........

41

7.6PNR-direktivets förhållande till den nuvarande regleringen om inhämtande av

 

flygpassageraruppgifter ....................................................

45

7.7

Vissa uttryck ska definieras..............................................

47

7.8En enhet för passagerarinformation vid

 

Polismyndigheten .............................................................

48

7.9

Tillåten behandling av PNR-information .........................

50

7.10

Förbud mot behandling av känsliga personuppgifter .......

50

8 Lufttrafikföretagens skyldigheter....................................................

52

8.1Överföring av PNR-uppgifter till enheten för

 

passagerarinformation ......................................................

52

8.2

Vilka PNR-uppgifter ska överföras? ................................

55

8.3

Överföringar ska ske vid två tillfällen ..............................

57

8.4

Överföringar vid andra tidpunkter ....................................

58

8.5

Uppgifterna ska överföras elektroniskt.............................

58

8.6

Anlitande av personuppgiftsbiträde..................................

60

8.7

Information till passagerare..............................................

61

2

9 Behandling av PNR-information vid enheten för

 

passagerarinformation ....................................................................

62

9.1

En databas för PNR-uppgifter .........................................

62

9.2

Behandling av PNR-information ska ske i Sverige .........

63

9.3Personuppgiftsansvar vid enheten för

 

passagerarinformation .....................................................

64

9.4

Personuppgiftsincident ....................................................

65

9.5Tillåtna ändamål för behandling av PNR-uppgifter

 

från lufttrafikföretag ........................................................

66

 

9.5.1

Förhandsbedömningar ....................................

67

 

9.5.2

Överföring till behöriga mottagare och

 

 

 

tredjeland ........................................................

68

 

9.5.3

Utformning av kriterier...................................

69

 

9.5.4

Tillåten behandling vid

 

 

 

förhandsbedömningar .....................................

70

 

9.5.5

Behandling av PNR-information från

 

 

 

andra medlemsstater .......................................

72

9.6

Tillgången till PNR-information bör begränsas...............

73

9.7

Förbud mot direktåtkomst ...............................................

74

9.8

Tid som PNR-uppgifterna ska bevaras ............................

75

 

9.8.1

Tid för bevarande ...........................................

75

 

9.8.2

PNR-uppgifter som inte omfattas av lagen

 

 

 

eller som utgör känsliga personuppgifter

 

 

 

ska omedelbart förstöras .................................

78

9.9

Behörighetsbegränsning av vissa PNR-uppgifter ............

79

9.10

Dataskyddsombud ...........................................................

81

10 Överföring av PNR-information från enheten för

 

passagerarinformation ....................................................................

83

10.1Överföring av PNR-information till behöriga

 

myndigheter i Sverige......................................................

83

10.2

Överföring till andra medlemsstater ................................

87

 

10.2.1

Definition av medlemsstat ..............................

87

 

10.2.2

Överföring av PNR-information till

 

 

 

enheter för passagerarinformation i andra

 

 

 

medlemsstater .................................................

88

 

10.2.3

Överföring på begäran av en behörig

 

 

 

myndighet i en annan medlemsstat .................

89

 

10.2.4

Överföring för att avvärja en specifik och

 

 

 

faktisk fara ......................................................

90

 

10.2.5

Enhetens inhämtande av PNR-uppgifter

 

 

 

från andra medlemsstaters motsvarande

 

 

 

enheter ............................................................

91

10.3

Överföring till Europol ....................................................

92

10.4

Överföring till tredjeland .................................................

94

 

10.4.1

Definition av tredjeland ..................................

94

 

10.4.2

Förutsättningar för överföring till

 

 

 

tredjeland ........................................................

95

 

10.4.3

Användningsbegränsningar för PNR-

 

 

 

information som överförts till tredjeland ........

98

Prop. 2017/18:234

3

Prop. 2017/18:234

 

10.4.4

Överföring av PNR-information som

 

 

 

 

enheten har fått från en annan

 

 

 

 

medlemsstat .....................................................

99

 

10.5

Överföring av behörighetsbegränsade PNR - uppgifter

 

 

 

i sin fullständiga form .....................................................

100

 

 

10.5.1

När får PNR-uppgifter som är

 

 

 

 

behörighetsbegränsade överföras i sin

 

 

 

 

fullständiga form?..........................................

100

 

 

10.5.2

Vem ska lämna tillstånd till att få ta del av

 

 

 

 

fullständiga PNR-uppgifter?..........................

102

11 Behöriga myndigheters behandling av PNR-information .............

105

 

11.1

Bevarande och förstöring av PNR - information ..............

105

 

11.2

Förstöring av känsliga personuppgifter ..........................

107

 

11.3

Behandling av PNR - information för annan

 

 

 

brottslighet ......................................................................

108

 

11.4

Automatiserade beslut ....................................................

109

 

11.5

Behöriga myndigheters möjlighet att begära PNR -

 

 

 

information från andra medlemsstater ............................

110

12

Enskildas rättigheter......................................................................

110

 

12.1

Rätt till information, rättelse, radering eller

 

 

 

begränsning av behandlingen av personuppgifter ..........

110

 

12.2

Rätt till skadestånd .........................................................

112

13

Tillsyn

...........................................................................................

 

112

14

Sanktionsavgifter ..........................................................................

 

114

 

14.1 ...................................

Överträdelser av lufttrafikföretag

114

 

.....................................

14.1.1

Val av sanktionsform

114

 

............

14.1.2

När ska sanktionsavgift få användas?

115

 

.............................

14.1.3

Sanktionsavgiftens storlek

117

 

 

14.1.4

Ansvarig myndighet och förfarandet vid

 

 

..............................

 

beslut om sanktionsavgift

119

 

..........................

14.1.5

Betalning och verkställighet

120

 

...........................................

14.1.6

Rätt att överklaga

121

 

14.2 .....

Överträdelser av personuppgiftsansvarig myndighet

122

15

Sekretess .......................................................................................

 

126

15.1Behövs det några nya bestämmelser om sekretess till

 

 

skydd för PNR-information? ..........................................

126

 

15.2

Behövs det nya sekretessbrytande bestämmelser? .........

130

16

Konsekvenser ................................................................................

132

17

Ikraftträdande ................................................................................

136

18

Författningskommentar .................................................................

137

18.1Förslaget till lag om flygpassageraruppgifter i

 

brottsbekämpningen .......................................................

137

18.2

Förslaget till lag om ändring i polislagen (1984:387) ....

160

18.3

Förslaget till lag om ändring i lagen (1996:701) om

 

 

Tullverkets befogenheter vid Sveriges gräns mot ett

 

 

annat land inom Europeiska unionen .............................

160

4

18.4

Förslaget till lag om ändring i polisdatalagen

Prop. 2017/18:234

 

(2010:361) .....................................................................

161

18.5

Förslaget till lag om ändring i tullagen (2016:253) .......

161

18.6Förslaget till lag om ändring i tullbrottsdatalagen

 

(2017:447) .....................................................................

161

Bilaga 1

PNR-direktivet...............................................................

163

Bilaga 2

Rättelse till PNR-direktivet ...........................................

181

Bilaga 3

Sammanfattning av betänkandet Lag om

 

 

flygpassageraruppgifter i brottsbekämpningen (SOU

 

 

2017:57) ........................................................................

182

Bilaga 4

Betänkandets lagförslag.................................................

189

Bilaga 5

Förteckning över remissinstanserna ..............................

206

Bilaga 6

Lagrådsremissens lagförslag..........................................

207

Bilaga 7

Lagrådets yttrande .........................................................

223

Utdrag ur protokoll vid regeringssammanträde den 19 april 2018.......

228

5

Prop. 2017/18:234

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om flygpassageraruppgifter i brottsbekämpningen,

2.förslag till lag om ändring i polislagen (1984:387),

3.förslag till lag om ändring i lagen (1996:701) om Tullverkets befo- genheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,

4.förslag till lag om ändring i polisdatalagen (2010:361),

5.förslag till lag om ändring i tullagen (2016:253),

6.förslag till lag om ändring i tullbrottsdatalagen (2017:447).

6

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om flygpassageraruppgifter i brottsbekämpningen

Härigenom föreskrivs1 följande.

1 kap. Inledande bestämmelser

Lagens innehåll

1 § Denna lag genomför Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgifts- samlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, här benämnt PNR- direktivet. Med PNR-uppgifter avses i lagen uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheck- ning.

Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Med terroristbrottslighet avses i lagen brott enligt artiklarna 3–12 och 14 i Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets ram- beslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF.

Med annan allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra med- lemsstater är föreskrivet fängelse i tre år eller mer.

Lagens syfte

2 § Syftet med lagen är att tillgodose behovet av tillgång till PNR- uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behand- lingen av uppgifterna om dem.

1 Jfr Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, i den ursprungliga

lydelsen.

7

Andra uttryck i lagen

3 § I lagen används följande uttryck med nedan angiven betydelse.

Uttryck

Betydelse

 

 

 

Behörighetsbegränsade PNR-

Personuppgifter

som

har

gjorts

uppgifter

otillgängliga för en användare som

 

saknar särskild behörighet för att få

 

tillgång till uppgifterna.

 

 

Behörig mottagare

En behörig myndighet i Sverige,

 

en enhet för passagerarinformation

 

i en annan medlemsstat, en myn-

 

dighet som har utsetts som behörig

 

i en annan medlemsstat eller

 

Europol.

 

 

 

Behörig myndighet

En myndighet utsedd av reger-

 

ingen som har behörighet att be-

 

handla PNR-information i verk-

 

samhet för att förebygga, för-

 

hindra, upptäcka, utreda eller lag-

 

föra

terroristbrottslighet

eller

 

annan allvarlig brottslighet.

 

Lufttrafikföretag

Ett företag som har giltig operativ

 

licens eller motsvarande som ger

 

rätt att mot ersättning utföra

 

lufttransporter av passagerare, och

 

som i sin normala verksamhet

 

samlar in och behandlar PNR-

 

uppgifter i ett elektroniskt system

 

för hantering av reservationer.

Medlemsstat

En stat som är medlem i Euro-

 

peiska unionen och har antagit

 

PNR-direktivet.

 

 

 

Passagerare

Alla personer, förutom besätt-

 

ningsmedlemmar,

som

transpor-

 

teras eller ska transporteras med ett

 

flygplan och som finns upptagna i

 

passagerarförteckningen.

 

PNR-information

PNR-uppgifter och resultatet av en

 

enhet

för passagerarinformations

 

behandling av sådana uppgifter.

Tredjeland

En stat som inte är en medlemsstat.

Enhet för passagerarinformation

4 § Det ska vid Polismyndigheten finnas en enhet för passagerar- information. Enheten ska ansvara för att

1.samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt be- handla uppgifterna, och

2.överföra PNR-information till behöriga mottagare och tredjeländer.

8

Tillåten behandling av PNR-information

5 § PNR-information får endast behandlas i syfte att förebygga, för- hindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, om inte annat anges i 6 § eller 5 kap. 3 §.

Nationell säkerhet

6 § Lagens bestämmelser om behandling av personuppgifter gäller inte för behöriga myndigheter i verksamhet som rör nationell säkerhet.

Enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.

Förbud mot behandling av känsliga personuppgifter

7 § PNR-uppgifter som utgör sådana personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas enligt lagen.

2 kap. Lufttrafikföretagens skyldigheter

Överföring av PNR-uppgifter till enheten för passagerarinformation

1 § Lufttrafikföretag ska till enheten för passagerarinformation inför varje flygning som ankommer till eller avgår från Sverige överföra sådana PNR-uppgifter som anges i bilagan till lagen. PNR-uppgifterna ska endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

Om flygningens linjebeteckning delas med ett eller flera andra luft- trafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.

2§ PNR-uppgifterna ska överföras

1.24–48 timmar före flygningens avgång, och

2.omedelbart efter det att gatens dörrar har stängts.

Den andra överföringen får begränsas till uppdateringar och kom- pletteringar av de uppgifter som överfördes vid det första tillfället.

3 § Lufttrafikföretag ska på begäran av enheten för passagerar- information överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brotts- lighet.

4 § Lufttrafikföretag ska överföra PNR-uppgifterna elektroniskt. Enheten för passagerarinformation får inte medges direktåtkomst till PNR- uppgifter som behandlas vid lufttrafikföretagen.

9

5 § Lufttrafikföretag som är skyldiga att överföra PNR-uppgifter får anlita ett personuppgiftsbiträde för att utföra överföringen.

Information till passagerare

6 § Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.

Rätt att meddela föreskrifter

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafik- företagens överföring av PNR-uppgifter till enheten för passagerar- information.

3 kap. Behandling av PNR-information vid enheten för passagerarinformation

PNR-databas

1 § PNR-uppgifter som har överförts från ett lufttrafikföretag ska bevaras i en databas vid enheten för passagerarinformation.

2 § Enheten för passagerarinformation ska behandla PNR-informationen i Sverige.

Personuppgiftsansvar

3 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.

Tillåtna ändamål för behandling av PNR-uppgifter

4 § Enheten för passagerarinformation får, om inte 1 kap. 6 § är tillämp- lig, endast behandla PNR-uppgifter som har överförts från ett lufttrafik- företag för att

1.göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet,

2.fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeländer, eller

3.göra analyser för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.

5 § Vid en förhandsbedömning får PNR-uppgifter

1. jämföras med register eller andra uppgiftssamlingar som är relevanta för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet, och

10

2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana känsliga personuppgifter som avses i 1 kap. 7 §.

6 § Om enheten för passagerarinformation har mottagit PNR-information från motsvarande enheter i andra medlemsstater får enheten bara behandla informationen för att vidarebefordra den till behöriga myndig- heter.

Tillgång till PNR-information

7 § Endast den som tjänstgör vid enheten för passagerarinformation och den som fullgör uppgifter enligt lagen får ha tillgång till PNR- information som behandlas vid enheten. Tillgången ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.

Förbud mot direktåtkomst

8 § Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte medges.

Tid som PNR-uppgifter ska bevaras

9 § PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de förstöras.

10 § PNR-uppgifter som inte anges i bilagan till lagen eller som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska omedelbart förstöras om de kommer in till enheten för passagerarinformation.

Behörighetsbegränsning av PNR-uppgifter

11 § Följande PNR-uppgifter ska behörighetsbegränsas sex månader efter att de har kommit in från ett lufttrafikföretag om de kan användas för att identifiera en person:

1.namn på passagerare,

2.antal passagerare som reser tillsammans,

3.adress och kontaktuppgifter,

4.alla former av betalningsinformation, inklusive faktureringsadress,

5.uppgifter om bonusprogram,

6.allmänna anmärkningar, och

7.uppgifter enligt punkt 18 i bilagan till lagen.

Dataskyddsombud

12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.

Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.

11

13 § Dataskyddsombudet vid enheten för passagerarinformation ansvarar för att fullgöra de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000).

En enskild ska ha rätt att kontakta dataskyddsombudet i alla frågor som rör behandling av hans eller hennes PNR-uppgifter enligt denna lag.

14 § Om dataskyddsombudet vid enheten för passagerarinformation anser att den personuppgiftsansvarige bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsyns- myndigheten.

Rätt att meddela föreskrifter

15 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om enheten för passagerarinformations behandling av PNR-information och data- skyddsombudets uppgifter.

4 kap. Överföring av PNR-information från enheten för passagerarinformation

Överföring till behöriga myndigheter

1 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att

1.en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,

2.besvara en begäran från en behörig myndighet om att ta del av PNR- information, eller

3.vidarebefordra PNR-information som har mottagits från en mot- svarande enhet i en annan medlemsstat.

En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare gransk- ning av den behöriga myndigheten.

Överföring till andra medlemsstater

2 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en motsvarande enhet i en annan medlemsstat för att

1.en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller

2.besvara en begäran från enheten i den andra medlemsstaten om att ta del av PNR-information.

En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare gransk- ning i den andra medlemsstaten.

3 § När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en myndighet som har

12

utsetts som behörig i en annan medlemsstat och överföra PNR- information direkt till den myndigheten.

4 § När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terrorist- brottslighet eller annan allvarlig brottslighet, ska enheten för passagerar- information på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter vid andra tidpunkter än de som anges i 2 kap. 2 § och överföra dessa till den enhet som har begärt dem.

Överföring till Europol

5 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till Europol för att

1.en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller

2.besvara en begäran från Europol om att ta del av PNR-information. En befattningshavare vid enheten ska före överföring enligt första

stycket 1 bedöma om PNR-informationen är relevant för vidare gransk- ning av Europol.

Villkor för överföring

6 § Överföring enligt 1 § första stycket 2, 2 § första stycket 2, 3 § och 5 § första stycket 2 får endast ske om det av begäran framgår att PNR- informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Överföring till tredjeland

7 § Enheten för passagerarinformation får besvara en begäran och över- föra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. PNR- information får överföras under förutsättning att

1.överföringen omfattas av ett beslut om adekvat skyddsnivå, till- räckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt 8 kap. 1 § första stycket 3 brottsdatalagen (2018:000),

2.överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och

3.tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.

8 § Enheten för passagerarinformation ska vid överföring av PNR- information till ett tredjeland ställa upp villkor som begränsar möjlig- heten att använda informationen i strid med lagens syften.

13

9 § Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs ett medgivande från den medlemsstaten till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen (2018:000).

Om medgivande till överföringen på grund av tidsbrist inte kan hämtas in i förväg, får informationen ändå överföras om det är absolut nöd- vändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

Rätt att meddela föreskrifter

10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om upp- ställande av villkor vid överföring till tredjeland och om information till en annan medlemsstat när PNR-information har överförts utan förhands- medgivande.

Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form

11 § PNR-uppgifter som är behörighetsbegränsade enligt 3 kap. 11 § får endast överföras i sin fullständiga form till behöriga mottagare eller ett tredjeland om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Om en förundersökning pågår ska en begäran från en behörig myndig- het om att få tillgång till fullständiga PNR-uppgifter beslutas av en åklagare.

I de fall som inte omfattas av andra stycket krävs att tillstånd till över- föringen har lämnats av Polismyndigheten.

5 kap. Behöriga myndigheters behandling av PNR- information

Förstöring av PNR-information

1 § En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslig- het eller annan allvarlig brottslighet.

2 § Om en behörig myndighet mottar PNR-uppgifter som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska uppgifterna omedel- bart förstöras.

 

Behandling av PNR-information för annan brottslighet

 

3 § Om det har kommit fram uppgifter om ett annat brott än terrorist-

 

brottslighet eller annan allvarlig brottslighet i samband med en brotts-

 

bekämpande åtgärd som en behörig myndighet vidtar till följd av

 

behandling av PNR-information, får informationen, utöver vad som

14

anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.

 

Automatiserade beslut

4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.

Rätt att meddela föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.

6 kap. Sanktionsavgifter

Överträdelser av lufttrafikföretag

1 § En sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller före- skrifter som har meddelats i anslutning till lagen.

2 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor. När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till antal passagerare på flyg- ningen och om lufttrafikföretaget tidigare har begått en överträdelse.

Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

3 § Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag. Sanktionsavgiften tillfaller staten.

4 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.

5 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska Polismyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

Avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

6 § Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

15

Överträdelser av personuppgiftsansvarig myndighet

7 § En sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet vid överträdelse av bestämmelserna i

1.1 kap. 5 eller 7 §,

2.någon av 3 kap. 2 eller 4–11 §§,

3.4 kap. 7, 9 eller 11 §, eller

4.5 kap. 1, 2 eller 4 §.

8 § Vad som anges i 6 kap. 3 § tredje stycket och 4–8 §§ brottsdatalagen (2018:000) ska tillämpas när en sanktionsavgift tas ut enligt 7 §.

Sanktionsavgiften ska vara högst 10 000 000 kronor.

Det framgår av 7 kap. 3 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.

Rätt att meddela föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sanktionsavgifter enligt denna lag.

7 kap. Övriga bestämmelser

Enskildas rättigheter

1 § Vid behandling i strid med 1 kap. 5 eller 7 § eller 3 kap. 9 § ska 4 kap. 10 § brottsdatalagen (2018:000) om en registrerads rätt till rade- ring eller begränsning av behandling av personuppgifter tillämpas.

2 § Vid behandling i strid med bestämmelser till skydd för personupp- gifter i denna lag eller föreskrifter som har meddelats i anslutning till lagen ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) tillämpas.

Tillsyn

3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av den nationella tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.

Denna lag träder i kraft den 1 augusti 2018.

16

Bilaga

PNR-uppgifter som enligt 2 kap. 1 § ska överföras från lufttrafikföretag till enheten för passagerarinformation:

1.PNR-uppgifternas lokaliseringskod,

2.datum för bokning och utfärdande av biljett,

3.planerat eller planerade resedatum,

4.namn,

5.adress och kontaktuppgifter (telefonnummer och e-postadress),

6.all betalningsinformation, inklusive faktureringsadress,

7.fullständig resplan,

8.uppgifter om bonusprogram,

9.resebyrå eller reseagent,

10.passagerarens resestatus, inklusive resebekräftelser, inchecknings- status, upplysningar om passagerare som inte infinner sig och passa- gerare utan bokning,

11.delade PNR-uppgifter,

12.allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till in- checkning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten,

13.biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift,

14.platsnummer och annan platsinformation,

15.information om gemensam linjebeteckning,

16.all bagageinformation,

17.antal medresenärer och deras namn,

18.all eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomst- datum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid, och

19.alla ändringar som har gjorts av de PNR-uppgifter som anges i punkt 1–18.

17

2.2Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

25 §1

Ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhets- polisen skyndsamt lämna de aktuella uppgifter om ankommande och avgå- ende transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.

Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksam- heten.

Lufttrafikföretag som omfattas av skyldigheten att överföra upp- gifter enligt lagen (2018:000) om flygpassageraruppgifter i brotts- bekämpningen är endast skyldiga att lämna uppgifter i enlighet med första och andra styckena om de behövs i verksamhet som rör nationell säkerhet.

Denna lag träder i kraft den 1 augusti 2018.

1 Senaste lydelse 2014:588.

18

2.3Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets be- fogenheter vid Sveriges gräns mot ett annat land inom Europeiska

unionen ska ha följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

15 §1

Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.

Tullverket får begära uppgifter enligt första stycket endast om uppgif- terna kan antas ha betydelse för Tullverkets brottsbekämpande verksam- het.

Vad som anges i första och andra styckena ska inte gälla luft- trafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flyg- passageraruppgifter i brotts- bekämpningen.

Denna lag träder i kraft den 1 augusti 2018.

1 Senaste lydelse 1999:434.

19

2.4Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 4 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

4 a §

I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kämpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sär- skilda bestämmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 1 augusti 2018.

20

2.5Förslag till lag om ändring i tullagen (2016:253)

Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

6 a §

Vad som anges i 6 § ska inte gälla lufttrafikföretag som om- fattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

Denna lag träder i kraft den 1 augusti 2018.

21

2.6Förslag till lag om ändring i tullbrottsdatalagen (2017:447)

Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:447) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

8 §

Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt till- gängliga.

I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kämpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sär- skilda bestämmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Denna lag träder i kraft den 1 augusti 2018.

22

3 Ärendet och dess beredning

Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terro- ristbrott och grov brottslighet (nedan kallat PNR-direktivet). Direktivet ska vara genomfört i svensk rätt senast den 25 maj 2018. Direktivet och rättelse av detta bifogas som bilaga 1 och 2.

I mars 2016 gav regeringen en särskild utredare i uppdrag att föreslå hur PNR-direktivet ska genomföras i svensk rätt (dir. 2016:22). Utred- ningen som antog namnet PNR-utredningen (Ju 2016:07), överlämnade betänkandet Lag om flygpassageraruppgifter i brottsbekämpningen (SOU 2017:57) den 20 juni 2017. En sammanfattning av betänkandet och dess lagförslag finns i bilaga 3 och 4. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/05570/L4).

Lagrådet

Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6. Lagrådets yttrande finns i bilaga 7. Regeringen följer i allt väsentligt Lagrådets synpunkter. Lagrådets synpunkter behandlas i avsnitten 9.2, 9.10, 10.1, 10.2.2, 10.3, 14.1.3, 14.1.5 och 14.1.6 och i författningskommentaren. Vissa redak- tionella och språkliga ändringar har gjorts i förhållande till lagråds- remissens lagförslag.

4 PNR-direktivet

Bakgrund

Terroristattentat har under senare årtionden lett till nya initiativ för att förbättra säkerheten. Samtidigt har den internationella organiserade brottsligheten ökat. Organiserad brottslighet och terrorism är företeelser som ofta inbegriper internationella resor. Som en följd av detta har myndigheter i flera länder i allt större utsträckning börjat samla in och analysera flygpassageraruppgifter (PNR-uppgifter) i syfte att bekämpa terrorism och annan allvarlig brottslighet.

Ett unionsgemensamt regelverk för insamling och användning av PNR- uppgifter i brottsbekämpande verksamhet har diskuterats under flera år. År 2007 överlämnade kommissionen ett förslag till rådets rambeslut om användande av PNR-uppgifter i brottsbekämpningssyfte. Förslaget för- handlades under två år men blev inaktuellt när Lissabonfördraget trädde i kraft 2009. År 2011 lade kommissionen fram ett förslag till direktiv om användning av PNR-uppgifter för bekämpande av terroristbrott och all- varliga brott. Förslaget syftade till att enhetligt reglera insamling, sparande och behandling av flygpassageraruppgifter. I huvudsak fanns det två skäl till förslaget. Det första var att bidra till medlemsstaternas

möjligheter att bekämpa och skydda medborgarna från allvarliga brott,

23

inklusive terroristbrottslighet. Det andra var att undvika utvecklandet av olika PNR-system inom EU vilket skulle kunna leda till rättsosäkerhet, ökade kostnader och risk för bristande skydd för den personliga inte- griteten.

Rådet var tidigt positivt till förslaget. Europaparlamentet dröjde dock länge med att ta ställning, bl.a. eftersom det ansågs behövas ett starkare skydd för den personliga integriteten. Efter år av förhandlingar och sedan ett antal terroristattentat genomförts i Europa, kom rådet och parlamentet i december 2015 överens om ett gemensamt förslag till reglering.

Direktivets innehåll och syfte

PNR är en förkortning av den engelska benämningen Passenger Name Record. I den svenska versionen av direktivet har detta begrepp översatts till passageraruppgiftssamling och PNR-uppgifter. Det som åsyftas är uppgifter som passagerare lämnar vid bokning av flygresor samt vid in- checkning. Uppgifterna kan till exempel avse namn, resedatum, resväg, bagageinformation och betalningssätt.

PNR-direktivet utgör ett uniongemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet. Upp- gifterna kan t.ex. användas för att sålla ut tidigare okända passagerare som skulle kunna vara intressanta för myndigheterna att kontrollera. PNR-uppgifterna kan även användas i samband med brottsutredningar eller för att analysera och fastställa misstänkta rese- och beteende- mönster.

Direktivet reglerar skyldigheten för lufttrafikföretag att överföra redan insamlade uppgifter till enheter för passagerarinformation i medlems- staterna. Direktivet anger också för vilka ändamål uppgifterna får be- handlas samt hur länge uppgifterna får och ska lagras och under vilka förutsättningar de ska överföras till olika mottagare. Målen för direktivet är bl.a. att trygga säkerheten, skydda personers liv och säkerhet samt att inrätta en rättslig ram till skydd för PNR-uppgifterna vid behöriga myn- digheters behandling av dessa.

Direktivet är indelat i fyra kapitel och innehåller sammanlagt 22 artiklar. Artiklarnas innehåll redovisas i anslutning till regeringens överväganden om artiklarnas implementering.

5 Dagens reglering och användning av PNR-uppgifter i brottsbekämpningen

 

Polismyndigheten och Säkerhetspolisen

 

Brottsbekämpande myndigheter hanterar redan i dag information från

 

transportföretag, inklusive flygbolag, för brottsbekämpande ändamål.

 

Flygbolagen är under vissa förutsättningar skyldiga att överlämna upp-

 

gifter om sina passagerare till brottsbekämpande myndigheter.

 

För Polismyndighetens och Säkerhetspolisens del regleras detta i 25

 

och 26 §§ polislagen (1984:387). På begäran av Polismyndigheten eller

24

Säkerhetspolisen ska ett transportföretag som befordrar varor, passa-

 

gerare eller fordon till eller från Sverige skyndsamt lämna de aktuella

 

uppgifter om ankommande och avgående transporter som företaget har

 

tillgång till. Uppgifter om passagerare ska avse namn, resrutt, bagage,

 

medpassagerare samt sättet för betalning och bokning. Polisen får begära

 

in uppgifterna endast om de kan antas ha betydelse för den brotts-

 

bekämpande verksamheten. I övrigt innehåller regleringen ingen be-

 

gränsning i fråga om för vilken slags brottslighet uppgifterna får an-

 

vändas. Avsikten är dock inte att uppgifterna ska begäras in för att be-

 

kämpa rena bagatellbrott. Detta framgår redan av proportionalitets-

 

principen i 8 § polislagen (se prop. 1996/97:175 s. 68).

 

Uppgifterna kan lämnas genom terminalåtkomst dvs. direktåtkomst.

 

Detta innebär att myndigheterna har möjlighet att söka direkt i

 

lufttrafikföretagens databaser. Polismyndigheten och Säkerhetspolisen

 

får emellertid ta del av uppgifterna på detta sätt endast i den omfattning

 

och under den tid som behövs för att kontrollera aktuella transporter.

 

Regleringen är inte avsedd att tillåta någon systematisk kartläggning av

 

resandeströmmar eller något generellt insamlande av uppgifter. Det är

 

inte heller avsett att uppgifter om resande ska registreras, bevaras eller

 

bearbetas på ett sådant sätt att personregister med uppgifter om resande

 

skapas. Uppgifter som inhämtas genom terminalåtkomst anses fort-

 

farande tillhöra och förvaras hos transportföretaget (jfr prop.

 

1995/96:166 s. 84). Uppgifter om enskilda som har lämnats ut på annat

 

sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig

 

sakna betydelse för utredning eller lagföring av brott. För det fall

 

uppgifterna anses ha betydelse för utredning eller lagföring får in-

 

formationen sparas i enskilda brottsutredningar med stöd av be-

 

stämmelserna i polisdatalagen (2010:361).

 

Polismyndigheten arbetar i dag i en begränsad omfattning med PNR-

 

uppgifter för att förhindra allvarlig brottslighet i form av narkotika-

 

smuggling, människosmuggling och penningtvätt. PNR-uppgifterna

 

används både för att hitta kända personer och för att leta efter mönster

 

som kan indikera att en person är av intresse, s.k. profilering. Endast ett

 

flygbolag tillhandahåller terminalåtkomst till sitt bokningssystem. De

 

PNR-uppgifter som behandlas utgörs främst av sådan information som

 

finns tillgänglig på de passagerarlistor som flygbolagen manuellt

 

tillhandahåller vid förfrågan. Vid sådana förfrågningar kan uppgifterna

 

överlämnas i pappersform från flygbolagen över disk. Uppgifterna kan

 

även levereras via fax eller e-post. Kvaliteten på informationen skiljer sig

 

åt då flygbolagen har olika reservations- och incheckningssystem. Även

 

analysen av de uppgifter som inhämtas sker manuellt eftersom Polis-

 

myndigheten saknar tekniskt stöd för hantering av uppgifterna. Varje

 

passagerare hanteras individuellt vilket är ett tidskrävande arbete. Arbetet

 

ställer också höga krav på analytikern eftersom antalet parametrar som

 

ska granskas kan vara stort. Bristen på it-stöd hindrar en kontinuerlig

 

bevakning då antalet resenärer är för stort för att uppgifterna ska kunna

 

hanteras manuellt. Analysarbetet blir också extremt krävande med långa

 

handläggningstider och innebär att enbart ett fåtal av alla resenärer kan

 

profileras.

 

Säkerhetspolisen arbetar i dag med insamling av PNR-uppgifter i sitt

 

arbete med kontraterrorism, kontraspionage, författningsskydd och

 

personskydd. PNR-uppgifter används främst för kartläggning. Vid de till-

25

fällen då PNR-uppgifter behövs tas en direktkontakt med det flygbolag som bedöms kunna ge efterfrågade uppgifter. Säkerhetspolisen saknar terminalåtkomst till system som lagrar PNR-uppgifter. Vissa passa- geraruppgifter kan komma myndigheten till handa via myndighets- samverkan. Säkerhetspolisen saknar tekniskt stöd för hantering av PNR- uppgifter och all hantering sker manuellt. Underlaget är varierande beroende på vilket flygbolag som har levererat uppgifterna och det krävs ett stort manuellt arbete för att mata in informationen i analyssystemen.

Tullverket

Även Tullverket har till uppgift att bl.a. bekämpa brott. I den brottsbe- kämpande verksamheten har Tullverket till uppgift att förebygga och motverka brottslighet i samband med in- och utförsel av varor. Det är Polismyndigheten som ansvarar för personkontrollen vid våra yttre grän- ser, medan Tullverket svarar för varukontrollen.

I likhet med Polismyndigheten och Säkerhetspolisen har Tullverket i dag möjlighet att inhämta vissa passageraruppgifter från transport- företag om uppgifterna kan antas ha betydelse för dess brottsbekämpande verksamhet. Bestämmelserna finns i 4 kap. 6–8 §§ tullagen (2016:253) samt i 15 och 16 §§ lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen. Bestämmelserna motsvarar de i 25 och 26 §§ polislagen. Kompletterande bestämmelser finns i 4 kap. 4–9 §§ tullförordningen (2016:287) och i 3– 7 §§ förordningen (1996:702) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. Användningen av passageraruppgifter inom Tullverket regleras i övrigt i 2 kap. 8 och 9 §§ tullbrottsdatalagen (2017:447).

Tullverket är den myndighet som i störst utsträckning använder PNR- uppgifter i dag. Uppgifterna används främst för att upptäcka brottslighet i form av smuggling av bl.a. narkotika och dopningsmedel.

Tullverket begär in eller hämtar själv in PNR-uppgifter från flyg- bolagen. Tullverket har terminalåtkomst till vissa flygbolags boknings- system. Uppgifterna skickas även till Tullverket från flygbolagen via e- post eller fax. Informationen inkommer i ett stort antal olika format. För att underlätta en snabb och effektiv sökning för planering och urval av lämpliga kontrollobjekt formateras uppgifterna om till ett användar- vänligt format och sammanställs elektroniskt. Sammanställningen sker i ett avgränsat system. Tullverket har således visst systemstöd till sin hjälp vid överföringen av uppgifterna. All inhämtning, profilering och analys av uppgifterna hanteras dock manuellt. Tullverket använder PNR- uppgifter för att profilera sedan tidigare okända personer.

Tullverket har dagligen åtkomst till bokningsuppgifter från 32 flyg- bolag, antingen via terminalåtkomst eller genom att flygbolagen skickar sina uppgifter till Tullverket. Hur stor del av dessa uppgifter som Tull- verket faktiskt tar del av varierar.

Alla grova narkotikabeslag i passagerartrafiken 2015 på Arlanda var baserade på tillgång till PNR-uppgifter. Alla gripna kurirer var tidigare okända för svenska myndigheter. Samtliga beslag avsåg flygningar inom EU.

26

API-uppgifter

PNR-uppgifter bör skiljas från s.k. API-uppgifter (Advance Passenger Information). API-uppgifter avser främst sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. I rådets direktiv 2004/82/EG av den 29 april 2004 om skyl- dighet för transportörer att lämna uppgifter om passagerare (API- direktivet) regleras transportörers skyldighet att på begäran förse natio- nella myndigheter med sådana passageraruppgifter inför resor från länder som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. API- direktivet syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. Direktivet har genomförts i svensk rätt främst genom nya be- stämmelser i utlänningslagen (2005:716) och lagen (2006:444) om passa- gerarregister.

API-uppgifter används huvudsakligen som ett verktyg för identifiering. Uppgifterna kan därmed användas som ett led i gränskontrollerna. API- uppgifterna kan dock även användas av brottsbekämpande myndigheter för att identifiera misstänkta och eftersökta personer. Uppgifterna kan även komma till användning i underrättelsearbetet med att exempelvis kartlägga var vissa personer har befunnit sig vid olika tidpunkter. Trans- portörers uppgiftsskyldighet m.m. regleras i 9 kap. 3 a–f §§ utlännings- lagen. Bestämmelser om behandlingen av de uppgifter som överförts till Polismyndigheten enligt 9 kap. 3 a § utlänningslagen finns i lagen om passagerarregister.

6 EU:s dataskyddsreform

Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskydds- direktivet.

Dataskyddsförordningen

Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersätta dataskyddsdirektivet från 1995. Förordningen, som är direkt tillämplig, kommer att utgöra den generella regleringen för skyddet av personuppgifter inom EU. Den

27

kommer därigenom att gälla t.ex. för lufttrafikföretags behandling av PNR- uppgifter.

Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, till- syn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förord- ningens krav.

Regeringen har den 15 februari 2018 beslutat propositionen Ny data- skyddslag. I propositionen föreslås att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskydds- förordning införs.

Dataskyddsdirektivet

Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter data- skyddsrambeslutet. I förhållande till nuvarande svensk reglering inne- håller det nya dataskyddsdirektivet en delvis ny eller mer detaljerad re- glering om rättigheter för enskilda och om skyldigheter för person- uppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, doku- mentation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personuppgifts- incidenter. Direktivet innehåller också regler som anpassats för rätts- aktens tillämpningsområde om överföring av personuppgifter till tredje- land och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt an- passade bestämmelser. Enligt direktivet har enskilda vissa rättigheter, bl.a. att få vända sig till en tillsynsmyndighet med klagomål, att få till- gång till rättsmedel både mot tillsynsmyndighetens beslut och mot åt- gärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansvariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om sanktioner vid överträdelser av bestämmelser som genomför direktivet.

Regeringen har den 19 april 2018 beslutat propositionen Brottsdatalag. I propositionen föreslås att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Enligt förslaget ska lagen vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska vara sub- sidiär till annan lagstiftning. Den föreslagna lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straff- rättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbetsuppgifter betecknas som behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.

De myndigheter som bedriver verksamhet inom brottsdatalagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. I lagrådsremissen Brottsdatalag –

28

kompletterande lagstiftning föreslås de anpassningar som krävs i berörda registerförfattningar.

7En ny lag om flygpassageraruppgifter i brottsbekämpningen

7.1En ny lag och en kompletterande förordning

Regeringens förslag: PNR-direktivet ska i huvudsak genomföras ge- nom en ny lag. Lagen ska benämnas lagen om flygpassageraruppgifter i brottsbekämpningen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna är positiva eller

har i huvudsak inget att invända mot förslaget. Polismyndigheten, Säker- hetspolisen, Tullverket och Åklagarmyndigheten välkomnar genom- förandet av PNR-direktivet och anser att det kommer att bidra till att öka effektiviteten i de brottsutredande myndigheternas arbete och stärka förmågan att bekämpa terrorism och annan allvarlig brottslighet. Även

Ekobrottsmyndigheten är positiv till förslaget. Hovrätten för Nedre Norrland bedömer att inhämtande av PNR-uppgifter kan vara ett bra verktyg i den brottsbekämpande verksamheten, förutsatt att kravet på skydd för uppgifterna och de enskildas integritet efterlevs. Även Polisförbundet, som är positivt inställt till införandet, lyfter fram vikten av att den personliga integriteten upprätthålls och att det måste finnas en vaksamhet mot den inskränkning av rätten till privatliv och dataskydd som lagringen kan innebära. Stockholms tingsrätt menar att förslaget är väl övervägt och balanserar integritetsskyddsaspekter på ett bra sätt. Advokatsamfundet avstyrker förslaget och anser att en förutsättning för att direktivet ska kunna genomföras i svensk rätt är att de rättssäkerhets- garantier som EU-domstolen pekat på i sitt yttrande över EU:s avtal om överföring av PNR-uppgifter till Kanada beaktas. Även Polismyndig- heten, Säkerhetspolisen och Stockholms tingsrätt framhåller vikten av att EU-domstolens yttrande analyseras i det fortsatta lagstiftningsarbetet. Svenska Journalistförbundet ifrågasätter om regleringen är förenlig med Europeiska unionens stadga om de grundläggande rättigheterna och be- stämmelserna om rätt till respekt för privatliv och skydd för person- uppgifter. Förbundet anser vidare att regleringen innebär en inskränkning av den personliga integriteten och rörelsefriheten som skyddas av 2 kap. 6 och 8 §§ regeringsformen (RF). Polismyndigheten föreslår att över- föringsskyldigheten ska utökas genom att resebyråer och researrangörer åläggs att överföra samtliga PNR-uppgifter som de samlar in som ett led i sin normala verksamhet till lufttrafikföretagen. Om så inte sker anser Polismyndigheten att det endast kommer att finnas ytterst begränsade PNR-uppgifter att tillgå rörande merparten av samtliga flygpassagerare vilket kraftigt begränsar enhetens möjlighet att vara framgångsrik i sina tilltänkta arbetsuppgifter och står i motsats till PNR-direktivets primära

29

 

syfte att ge bättre verktyg mot terrorism och annan allvarlig brottslighet.

 

Säkerhetspolisen delar Polismyndighetens synpunkter. Säkerhetspolisen

 

anser att det är angeläget att ett arbete inleds snarast för att se över hur

 

också resebyråer och researrangörer kan åläggas en skyldighet att via

 

lufttrafikföretagen lämna PNR-uppgifter till den nationella enheten för

 

passagerarinformation. Även Åklagarmyndigheten, Tullverket, TULL-

 

KUST och Ekobrottsmyndigheten anser att det finns skäl att fortsatt

 

bevaka frågan. Svenska resebyrå- och arrangörsföreningen anser att ett

 

utvidgat ansvar till att avse annan aktör än flygbolagen skulle motverka

 

syftet med direktivet och leda till ökade risker för felaktig information då

 

det är flygbolagen som har den senaste uppdaterade informationen.

 

Svenska flygbranschen anser

att resebyråer och

researrangörer redan

 

i dag överför PNR-uppgifter

till flygbolagen

och att överförings-

 

skyldigheten inte bör utvidgas och framhåller att det medför krav på

 

investeringar i nya system om charterbolag åläggs att överföra ytterligare

 

information. Polismyndigheten föreslår att den nya lagen ska heta lagen

 

om flygpassagerarinformation i brottsbekämpningen.

 

Skälen för regeringens förslag

 

 

En ny reglering i lag

 

 

 

PNR-direktivet innehåller flera nyheter i jämförelse med gällande svensk

 

lagstiftning. Genom direktivet åläggs lufttrafikföretag att överföra PNR-

 

uppgifter till en enhet för passagerarinformation på flygresor utanför EU.

 

Medlemsstaterna kan även på frivillig grund tillämpa direktivet på flyg-

 

resor inom EU. Lufttrafikföretag är i dag endast skyldiga att på begäran

 

lämna över vissa uppgifter om sina passagerare till den efterfrågande

 

myndigheten. Dagens uppgiftsskyldighet omfattar även färre uppgifter än

 

vad som ska överföras enligt direktivet. PNR-direktivet innehåller vidare

 

för svensk rätt nya företeelser som en databas för PNR-uppgifter och en

 

enhet för passagerarinformation som ska bearbeta uppgifterna. Bevarande,

 

analys och utbyte av PNR-uppgifter på det sätt som föreskrivs i direktivet

 

förekommer inte i Sverige i dag. PNR-direktivet innebär att det införs ett

 

nytt system för behandling av PNR-uppgifter. För att Sverige ska upp-

 

fylla sina skyldigheter enligt direktivet behöver det därför införas helt nya

 

bestämmelser.

 

 

 

Enligt 2 kap. 6 § andra stycket RF är var och en skyddad gentemot det

 

allmänna mot betydande intrång i den personliga integriteten, om det sker

 

utan samtycke och innebär övervakning eller kartläggning av den enskil-

 

des personliga förhållanden. Inskränkningar av detta skydd kan enligt

 

2 kap. 20 och 21 §§ RF enbart göras genom lag och bara för att till-

 

godose ändamål som är godtagbara i ett demokratiskt samhälle. I för-

 

arbetena till 2 kap. 6 § andra stycket RF framhåller regeringen att flera

 

omständigheter ska vägas in vid bedömningen av vad som kan anses vara

 

ett betydande intrång, bl.a. uppgifternas karaktär och omfattning. Ju

 

känsligare uppgifterna är, desto mer ingripande måste det allmännas han-

 

tering av uppgifterna normalt anses vara. Vid bedömningen av intrångets

 

karaktär är också ändamålet med behandlingen och omfattningen av

 

utlämnandet av uppgifter till andra som sker utan omedelbart stöd av

 

offentlighetsprincipen av betydelse. En hantering som syftar till att ut-

30

reda brott kan normalt anses vara mer känslig än t.ex. en behandling som

uteslutande görs för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Avgörande för om en åtgärd ska anses inne- bära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp (prop. 2009/10:80 s. 183–185 och 250).

Den nya regleringen som genomför PNR-direktivet medför att en stor mängd PNR-uppgifter kommer att bevaras i en databas vid enheten för passagerarinformation under fem års tid. Uppgiftssamlingen kommer att vara omfattande och potentiellt kunna möjliggöra en ökad kartläggning av individers flygresor till och från Sverige. I den nya lagen finns det visserligen bestämmelser till skydd för enskildas personliga integritet, bl.a. ett förbud mot behandling av s.k. känsliga personuppgifter, bestämmelser om att uppgifterna ska behörighetsbegränsas efter sex månader och om begränsningar i tillgången till informationen. De upp- gifter som samlas in, t.ex. namn, resedatum, resväg, bagageinformation och betalningssätt kan vidare, sedda var för sig, inte anses vara av sär- skilt integritetskänslig karaktär. Sammantaget kan dock uppgifterna ut- visa t.ex. passagerarnas resvanor, rörelsemönster och resesällskap. Det är vidare fråga om användning av personuppgifter för andra ändamål än de uppgifterna samlades in för och för användning i brottsbekämpande verksamhet. Mot denna bakgrund gör regeringen bedömningen att regle- ringen omfattas av regeringsformens bestämmelse om integritetsskydd. Direktivet ska därmed genomföras i svensk rätt huvudsakligen genom lag. Ändamålet med den nya lagen är att både trygga den allmänna sä- kerheten genom att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda män- niskor mot att deras personliga integritet kränks vid behandlingen av uppgifterna. Lagförslagen beaktar därmed såväl de behöriga mottagarnas behov av tillgång till PNR-information som behovet av att skydda en- skildas personliga integritet. Den nya regleringen får därför anses vara godtagbar och inte gå utöver vad som är nödvändigt.

Ett samlat genomförande

Frågan är då hur regleringen lämpligen bör struktureras rent lagtekniskt. PNR-direktivet innehåller såväl verksamhets- som dataskyddsreglering. Till verksamhetsregleringen hör sådana bestämmelser som anger vad som ska göras med PNR-uppgifterna, bl.a. att de ska sändas från luft- trafikföretagen till nationella enheter för passagerarinformation, att de ska bevaras av enheterna en viss period och i vissa fall överföras vidare till behöriga mottagare m.m. Till dataskyddsregleringen hör sådana bes- tämmelser som sätter gränser för vad behöriga myndigheter får göra med uppgifterna eller som anger vissa rättigheter för enskilda registrerade m.m., dvs. bestämmelser som syftar till att ge skydd för personuppgifter vid den personuppgiftsbehandling som systemet med användning av PNR-uppgifter inom brottsbekämpningen för med sig. Ibland är bes- tämmelsernas utformning dock sådan att de olika typerna av reglering är sammanvävda och svåra att särskilja. Direktivet är vidare omfattande och

31

komplext eftersom det bl.a. berör helt olika slags aktörer, såsom kommer- siellt verksamma flygbolag och brottsbekämpande myndigheter.

Det finns olika tänkbara sätt att helt eller delvis inarbeta PNR- direktivet i redan gällande lagstiftning. En möjlighet vore att inarbeta verksamhetsregleringen i t.ex. polislagen (1984:387) och lagen (2017:496) om internationellt polisiärt samarbete. Dataskyddsregleringen skulle kunna tas in i polisdatalagen (2010:361) och andra registerförfatt- ningar som gäller för de behöriga myndigheter som kommer att få motta PNR-uppgifter. Regleringen av lufttrafikföretagens skyldigheter skulle kunna tas in i luftfartslagen (2010:500) eller lagen (2010:510) om luft- transporter. En sådan uppsplittrad lagteknisk lösning skulle dock vara komplicerad, oöverskådlig och kräva korshänvisningar som skulle göra tillämpningen besvärlig. För att skapa en överskådlig reglering av om- rådet för PNR-uppgifter bör i stället direktivets bestämmelser samlas i

 

en ny lag.

 

Lagen bör kompletteras av en förordning

 

De bestämmelser som är av central betydelse för integritetsskyddet

 

kommer att ges i lagform. Direktivet innehåller i vissa artiklar mycket

 

detaljerade bestämmelser i fråga om exempelvis hanteringen av PNR-

 

uppgifter. Sådana bestämmelser bör i vissa fall kunna regleras i förord-

 

ning. Regeringen delar utredningens bedömning att det är nödvändigt att

 

komplettera den nya lagen med en förordning. I vilken utsträckning

 

genomförandet bör ske genom förordning kommer att behandlas löpande

 

genom propositionen. De föreskrifter regeringen meddelar får inte inne-

 

bära ett betydande intrång i den personliga integriteten (2 kap. 6 § andra

 

stycket RF).

 

Lagens benämning

 

Eftersom den nya lagen kommer att innehålla såväl verksamhets- som

 

dataskyddsreglering bör lagens namn inte ge intrycket av att enbart vara

 

en reglering av det ena eller det andra slaget.

 

Utredningen har föreslagit att den nya lagen ska heta lagen om flyg-

 

passageraruppgifter i brottsbekämpningen. Polismyndigheten föredrar

 

lagen om flygpassagerarinformation i brottsbekämpningen. Detta bl.a.

 

med anledning av att den nya lagen även reglerar användning av andra

 

uppgifter än PNR-uppgifter.

 

Det är riktigt, som Polismyndigheten påpekat, att lagen reglerar be-

 

handling av andra uppgifter än PNR-uppgifter. Regeringen håller dock

 

med utredningen om att den föreslagna benämningen, lagen om flyg-

 

passageraruppgifter i brottsbekämpningen, fångar kärnan i regleringen,

 

nämligen att sådana uppgifter ska bli tillgängliga för användning inom

 

den brottsbekämpande verksamheten. Regeringen anser därför att lagen

 

ska benämnas lagen om flygpassageraruppgifter i brottsbekämpningen.

 

EU-domstolens yttrande över EU:s avtal om överföring av PNR-

 

uppgifter till Kanada

 

Ett antal länder utanför EU har i dag särskilda system för inhämtande och

 

analys av PNR-uppgifter. Efter terroristattentaten den 11 september 2001

32

antog USA lagstiftning som innebär att lufttrafikföretag med trafik till,

från eller genom dess territorium ska tillhandahålla de amerikanska

 

myndigheterna PNR-uppgifter. Snart beslutade Kanada och Australien

 

att göra samma sak. Flera länder har följt i deras fotspår.

 

I mitten av 2000-talet ingick EU avtal som reglerar överföringen av

 

PNR-uppgifter från lufttrafikföretag till USA, Australien och Kanada.

 

Avtalen har därefter omförhandlats. De senaste avtalen med USA och

 

Australien har godkänts av Europaparlamentet och trädde i kraft 2012.

 

Avtalet med Kanada förlängdes genom ett beslut i rådet 2014. Europa-

 

parlamentet anhängiggjorde därefter ett mål i EU-domstolen med en

 

begäran om att domstolen skulle uttala sig bl.a. i frågan om avtalet är

 

förenligt med fördraget om Europeiska unionen och Europeiska unionens

 

stadga om de grundläggande rättigheterna vad gäller fysiska personers

 

rätt till skydd av personuppgifter.

 

EU-domstolen förklarade i ett yttrande den 26 juli 2017 (yttrande 1/15)

 

att det planerade avtalet inte får ingås i dess nuvarande form eftersom

 

flera av bestämmelserna i avtalet ansågs vara oförenliga med de grund-

 

läggande rättigheter som erkänns av unionen. Domstolen fann att över-

 

föringen av PNR-uppgifter mellan unionen och Kanada samt det

 

planerade avtalets regler avseende lagring, användning och eventuellt

 

senare överföring av uppgifterna till kanadensiska, europeiska eller ut-

 

ländska myndigheter utgör ett ingrepp i den grundläggande rätten till

 

respekt för privatlivet och rätten till skydd för personuppgifter. Ingreppen

 

ansågs dock vara motiverade av ett mål av allmänt samhällsintresse (att

 

garantera den allmänna säkerheten inom ramen för bekämpningen av

 

terroristbrott och allvarlig gränsöverskridande brottslighet) och över-

 

föringen av PNR-uppgifter till Kanada och deras senare behandling an-

 

sågs vara ägnade att säkerställa uppnåendet av detta mål. Beträffande

 

frågan om ingreppen ansågs vara nödvändiga fann domstolen att vissa av

 

bestämmelserna i avtalet inte var begränsade till vad som är strängt nöd-

 

vändigt och att de inte föreskriver tydliga och precisa regler. Domstolen

 

ansåg därför sammanfattningsvis att det planerade avtalet inte kan ingås i

 

sin nuvarande form utan måste specificeras på ett antal punkter för att

 

vara förenligt med de grundläggande rättigheterna.

 

Advokatsamfundet har i sitt remissvar framfört att en förutsättning för

 

att PNR-direktivet ska kunna genomföras i svensk rätt är att de rätts-

 

säkerhetsgarantier som EU-domstolen pekat på i sitt yttrande uppfylls.

 

Även Polismyndigheten, Säkerhetspolisen och Stockholms tingsrätt har

 

framhållit vikten av att EU-domstolens yttrande analyseras i det fortsatta

 

lagstiftningsarbetet.

 

EU-domstolens yttrande rör ett avtal mellan EU och ett tredjeland. Av-

 

talet innehåller visserligen bestämmelser som liknar de som finns i PNR-

 

direktivet, bestämmelserna är dock inte likalydande och skiljer sig åt i

 

vissa fall. Flera av de krav som domstolen ställer är även specifika för

 

avtal med tredjeland, som inte har samma dataskyddsreglering som finns

 

inom EU, och kan därför inte direkt jämföras med motsvarande be-

 

stämmelser i PNR-direktivet. I vissa fall, t.ex. när det gäller känsliga

 

personuppgifter, uppfyller dessutom PNR-direktivet de krav som

 

domstolen ställer på Kanada-avtalet.

 

PNR-direktivets giltighet har inte varit föremål för EU-domstolens

 

prövning. Utgångspunkten måste vara att lagstiftarna vid antagandet av

 

direktivet säkerställt att det uppfyller alla krav enligt EU-rätten, inklusive

33

respekten för grundläggande rättigheter. EU-domstolens yttrande bör därför inte påverka PNR-direktivets genomförande i svensk rätt.

Insamling av PNR-uppgifter från resebyråer och researrangörer

Medlemsstaterna har i en deklaration som antogs samtidigt som PNR- direktivet angett att de, i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, åtar sig att utvidga insamlingen av PNR-uppgifter till att omfatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning anges inte i deklarationen. Kommissionen ska senast den 25 maj 2020 utföra en översyn av PNR-direktivet. Vid denna översyn ska det beaktas huruvida det är nödvändigt att låta resebyråer och researrangörer omfattas av direktivets tillämpningsområde (artikel 19.3). Mot bakgrund av över- synen ska kommissionen, om det är lämpligt, lägga fram ett lagstiftnings- förslag i syfte att ändra direktivet (artikel 19.4).

Resebyråer och researrangörer omfattas redan av systemet med in- samling av PNR-uppgifter eftersom de överför PNR-uppgifter till luft- trafikföretagen för vidareöverföring till enheten för passagerar- information. I vissa fall överförs dock ett mindre antal uppgifter. Flera myndigheter, däribland Polismyndigheten, Säkerhetspolisen, Åklagar- myndigheten, Ekobrottsmyndigheten och Tullverket har betonat betydel- sen av att all PNR-information samlas in och är därför angelägna om att regleringen även ålägger resebyråer och researrangörer skyldighet att överföra PNR-uppgifter. Utredningens bedömning är emellertid att frågan om överföring av PNR-uppgifter från resebyråer och rese- arrangörer bör behandlas på samma sätt inom samtliga medlemsstater och att det därför i nuläget inte är lämpligt att föreslå en svensk reglering för researrangörer och resebyråer. Några förslag på reglering i den delen lämnas därför inte. Det finns mot den bakgrunden inget berednings- underlag för att inom ramen för detta lagstiftningsärende utvidga insamlingen av PNR-uppgifter till att omfatta även resebyråer och researrangörer. Regeringen avser dock att noggrant följa frågan.

7.2Lagens innehåll

Regeringens förslag: Den nya lagen ska innehålla bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och bestämmelser om behandling av PNR- uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Med PNR-uppgifter ska avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.

I lagen ska det anges att den genomför PNR-direktivet.

Utredningens förslag överensstämmer i sak med regeringens. Utred- ningen föreslår att begreppet flygpassageraruppgifter ska användas syno-

34

nymt med begreppet PNR-uppgifter samt att begreppet grov brottslighet ska användas i stället för allvarlig brottslighet.

Remissinstanserna: Polismyndigheten ställer sig frågan om inte termen flygpassageraruppgifter kan utgå medan Hovrätten för Nedre Norrland anser att begreppet flygpassageraruppgifter bör användas ge- nomgående i stället för PNR-uppgifter. Förvaltningsrätten i Stockholm föreslår att begreppet flygpassageraruppgifter används i 1 kap 1 § i den föreslagna lagen i stället för förkortningen PNR-uppgifter. Övriga re- missinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag

Vad avses med PNR-uppgifter?

Med passageraruppgiftssamlingar eller PNR-uppgifter avses enligt arti- kel 3.5 i PNR-direktivet en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det luft- trafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, i avgångskontrollsystemet som används för att checka in passagerare på flygningar eller i likvärdiga system med mot- svarande uppgifter.

I utredningen likställs begreppet flygpassageraruppgifter med PNR- uppgifter. Utredningen använder dock i huvudsak begreppet PNR- uppgifter i den nya lagen. Hovrätten för Nedre Norrland menar att det eventuellt skulle underlätta för personer som inte är insatta i direktivets begrepp om termen flygpassageraruppgifter användes genomgående i stället för PNR-uppgifter. Förvaltningsrätten i Stockholm föreslår att begreppet flygpassageraruppgifter används i 1 kap 1 § i lagförslaget i stället för förkortningen PNR-uppgifter eftersom definitionen av för- kortningen ges först i en senare bestämmelse medan Polismyndigheten anser att begreppet flygpassageraruppgift helt kan utgå.

Regeringen delar visserligen domstolarnas uppfattning att begreppet flygpassageraruppgifter är mer lättförståeligt än begreppet PNR- uppgifter. PNR (Passenger Name Record) är emellertid ett vedertaget begrepp inom luftfartsområdet som används såväl nationellt som inter- nationellt. Begreppet PNR är också enklare att använda vid utformningen av lagen. PNR-uppgifter bör därför användas genomgående i författ- ningstexten. Med PNR-uppgifter bör enligt den nya lagen avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.

Den nya lagens innehåll

Artikel 1 i PNR-direktivet har rubriken syfte och tillämpningsområde. Artikeln innehåller dels en sammanfattande beskrivning av direktivets innehåll, dels ett initialt klargörande av den mest centrala begränsningen av för vilka syften insamlade uppgifter får behandlas enligt direktivet. När det gäller PNR-direktivets innehåll framgår av punkten a i artikel 1.1 att direktivet innehåller bestämmelser om lufttrafikföretags överföring av

PNR-uppgifter om passagerare på flygningar utanför EU. I punkten b

35

framgår att direktivet också innehåller bestämmelser om behandlingen av de uppgifterna. I den behandling av PNR-uppgifter som omfattas av direktivet inbegrips enligt artikeln medlemsstaternas insamling, använd- ning, lagring och inbördes utbyte av dessa uppgifter. De PNR-uppgifter som samlas in i enlighet med direktivet får enligt artikel 1.2 endast be- handlas på det sätt som anges i direktivets artikel 6.2 a, b och c och endast i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

Att informationen får inhämtas även för lagföringssyfte får anses inne- bära en specialreglering i förhållande till vad som annars gäller vid in- hämtande av bevisning i brottmål, t.ex. enligt Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utred- ningsorder på det straffrättsliga området. En enhet för passagerar- information eller, i undantagsfall, en behörig myndighet i en annan med- lemsstat kan alltså begära ut PNR-uppgifter direkt från den svenska en- heten för passagerarinformation även om syftet är att dessa ska användas som bevisning i ett brottmål.

Den nya lagen om flygpassageraruppgifter är relativt omfattande och kommer att innehålla såväl verksamhets- som dataskyddsreglering. För att underlätta för tillämparen finns det därför enligt regeringens uppfatt- ning anledning att redogöra för lagens innehåll i en inledande be- stämmelse. Av bestämmelsen bör framgå att lagen innehåller bestämmel- ser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och bestämmelser om behandlingen av PNR- uppgifter i stort.

Av PNR-direktivet framgår att PNR-uppgifter får behandlas i verk- samhet för att förebygga, förhindra, upptäcka, utreda och lagföra terro- ristbrott och grov brottslighet. Eftersom direktivet inte endast omfattar terroristbrott utan även brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet bör begreppet terrorist- brottslighet användas i stället för terroristbrott. För att tydliggöra att direktivet inte omfattar samtliga brott som kan betraktas som grov brotts- lighet bör vidare begreppet allvarlig brottslighet användas i stället för grov brottslighet.

Till skillnad från den svenska översättningen av PNR-direktivet bör ordet ”eller” användas i uttrycken ”utreda eller lagföra” och ”terrorist- brottslighet eller annan allvarlig brottslighet” i stället för ordet ”och” som används på motsvaranden ställen i den svenska översättningen, vilket torde vara en felöversättning. Det är alltså inte nödvändigt att alla de angivna syftena är uppfyllda samtidigt för att uppgifterna ska få be- handlas i ett enskilt fall. Inte heller behöver ett syfte med behandlingen vara att både bekämpa terroristbrottslighet och annan allvarlig brotts- lighet, utan det är tillräckligt att den ena sortens brottslighet är aktuell.

Redan i den inledande bestämmelsen bör framgå vad som avses med terroristbrottslighet och annan allvarlig brottslighet, se vidare angående begreppen nedan.

Av artikel 18.1 andra stycket i PNR-direktivet framgår att en hän- visning till direktivet ska göras vid den nationella implementeringen. Genom att det i den nya lagen införs en bestämmelse som upplyser om att lagen genomför PNR-direktivet uppfylls direktivets krav i den delen.

36

7.3Terroristbrottslighet och annan allvarlig brotts- lighet

Regeringens förslag: Med terroristbrottslighet avses i lagen brott en- ligt artiklarna 3–12 och 14 i terrorismdirektivet.

Med allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och som det i Sverige eller andra medlemsstater föreskrivs fängelse i tre år eller mer för.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att terroristbrottslighet ska definieras som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i terrorismrambeslutet.

Remissinstanserna: Säkerhetspolisen och Försvarsmakten har syn- punkter på att vissa grova brott inte faller in under definitionen terrorist- brottslighet eller annan allvarlig brottslighet. Dessa synpunkter behandlas i avsnitt 7.5. Hovrätten för Nedre Norrland framhåller att det är viktigt att det är tydligt för enskilda vilka brott som träffas av lagens be- stämmelser. Övriga remissinstanser har inte några synpunkter på för- slaget.

Skälen för regeringens förslag

Definitionen av terroristbrott i PNR-direktivet och terrorismrambeslutet

I artikel 3.8 i PNR-direktivet definieras terroristbrott som de brott enligt nationell rätt som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (terrorismrambeslutet). Någon kvalifikation i fråga om straffets svårhetsgrad anges inte i direkti- vet.

Vad som utgör ett terroristbrott definieras i artikel 1 i terrorism- rambeslutet. Med ett sådant brott avses i korthet vissa uppsåtliga hand- lingar som genom sin art eller sitt sammanhang allvarligt kan skada ett land eller en internationell organisation och som begås i syfte att injaga allvarlig fruktan hos en befolkning, otillbörligen tvinga offentliga organ eller en internationell organisation att utföra eller att avstå från att utföra en handling, eller allvarligt destabilisera eller förstöra de grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation. Artiklarna 2–4 i rambeslutet inne- håller bestämmelser om bl.a. brott som begås av en terroristgrupp och brott med anknytning till terroristverksamhet.

Det huvudsakliga genomförandet av terrorismrambeslutet har i svensk rätt skett genom införandet av lagen (2003:148) om straff för terrorist- brott. Artiklarna 1–4 i rambeslutet motsvaras i svensk rätt av 2–5 §§ i denna lag. Artiklarna 3 och 4 i rambeslutet ändrades genom rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism. Ändringarna innebar att ytterligare vissa gärningar med anknytning till terrorist- verksamhet skulle vara kriminaliserade, t.ex. offentlig uppmaning till terroristbrott och rekrytering för terroristsyften. Ändringarna har genom-

förts i svensk rätt genom införandet av lagen (2010:299) om straff för

37

offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet.

Den 15 mars 2017 antogs Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terrorismdirektivet). Direktivet har trätt i kraft. Direktivet fastställer minimiregler om fastställande av brottsrekvisit och påföljder på området för terroristbrott, brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet samt åtgärder för skydd av, och stöd och hjälp till, offer för terrorism. Direktivet innehåller flera nyheter i förhållande till rambeslutet. Artiklarna 3–12 och 14 i terrorismdirektivet innehåller de olika straffbara gärningarna på terrorismområdet.

Terrorismdirektivet ersätter terrorismrambeslutet, dvs. det rambeslut som anges i PNR-direktivet. I artikel 27 i terrorismdirektivet anges att hänvisningar till terrorismrambeslutet ska anses som hänvisningar till terrorismdirektivet för de medlemsstater som är bundna av direktivet.

Medlemsstaterna ska senast den 8 september 2018 sätta i kraft de be- stämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet.

En hänvisning bör ske till de brott som avses i terrorismdirektivet

PNR-direktivets definition av terroristbrott omfattar de brott enligt nationell rätt som avses i artiklarna 1–4 i terrorismrambeslutet, med de ändringar som har införts genom 2008 års rambeslut. Terrorismdirektivet ersätter terrorismrambeslutet för de medlemsstater som är bundna av direktivet. Arbete pågår med att genomföra direktivet i svensk rätt, något som bl.a. kommer att ske genom utvidgning av flera av de straff- bestämmelser som genomför rambesluten. Det svenska genomförandet av rambesluten kommer därmed inom kort att vara inaktuellt.

Som utredningen har anfört är det främsta skälet mot en uppräkning av olika nationella straffbestämmelser som avser terroristbrottslighet att även terroristbrottslighet i andra medlemsstaters nationella rätt, vari 2002 års rambeslut genomförts eller det nya terrorismdirektivet kommer att genomföras, är av betydelse för tillämpningen av den nya lagen. När Sverige lämnar ut PNR-information till andra medlemsstater är nämligen ett villkor för utlämnandet att mottagaren bara får använda uppgifterna för sådana brott som avses i PNR-direktivet. Det är därför olämpligt att bara ha svensk lagstiftning i åtanke vid utformningen av den nya lagens definition av begreppet terroristbrott. Utredningen har föreslagit att en hänvisning ska ske till de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1–4 i rambeslutet, dvs. samtliga artiklar som behandlar brott och osjälvständiga brottsformer. Eftersom rambeslutet är upphävt och hänvisningar till rambeslutet enligt artikel 27 i terrorismdirektivet ska ses som hänvisningar till terrorismdirektivet anser dock regeringen att hänvisningen bör ske till terrorismdirektivet i stället för det upphävda rambeslutet. Regeringen anser att det är lämpligt att låta hänvisningen till bestämmelser i direktivet avse samtliga be- stämmelser om brott och osjälvständiga brottsformer, i likhet med PNR- direktivets hänvisning till bestämmelser i rambeslutet, även om direktivet

innehåller brott som inte har någon motsvarighet i rambeslutet. Definitio-

38

nen bör därför hänvisa till samtliga artiklar i terrorismdirektivet som behandlar straffbara gärningar på terrorismområdet, dvs. artiklarna 3–12 och 14.

Annan allvarlig brottslighet än terroristbrottslighet

I PNR-direktivet definieras grov brottslighet som de brott som förtecknas i bilaga II till direktivet och som kan leda till fängelse eller annan frihets- berövande åtgärd i minst tre år enligt en medlemsstats nationella rätt (se rättelse av PNR-direktivet, bilaga 2). Förteckningen omfattar 26 punkter. Uppräkningen innefattar flera brottsbalksbrott, t.ex. mord, grov miss- handel, rån och bedrägeri, liksom brott och gärningstyper i special- straffrätten, t.ex. narkotikabrott och miljöbrott. En del punkter avser brott som inte har någon direkt svensk motsvarighet. Samtliga brott, förutom brottet industrispionage (punkten 26), omfattas av den uppräkning som finns i artikel 2.2 i Rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). Den aktuella artikeln i rambeslutet omfattar däremot fler brott än de som upptas i bilaga II till PNR-direktivet.

Utredningen har föreslagit att allvarlig brottslighet ska definieras ge- nom en hänvisning till de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fäng- else i tre år eller mer. En sådan konstruktion har den fördelen att regleringen inte behöver ändras om det i den svenska lagstiftningen skulle införas nya brott med tre års fängelse i straffskalan eller om straff- skalan för vissa brott höjs. Det som talar emot en sådan hänvisning är att en viss otydlighet kan uppstå. Hovrätten för Nedre Norrland har påpekat att det för en enskild som har bokat en resa är av vikt att ett agerande inte leder till att uppgifterna behandlas olika beroende på vilket land som hanterar uppgifterna och att det därför är viktigt att det görs tydligt för den enskilde vad dennes uppgifter kan komma att behandlas i för syfte och vilka ageranden som kan träffas, såväl i Sverige som i andra anslutna stater. På samma sätt som när det gäller terroristbrottslighet är det dock inte endast svensk lagstiftning som är av intresse för tillämpningen av den nya lagen. Vid utlämnande av PNR-information till en behörig mot- tagare i en annan medlemsstat är ett villkor att det sker för användning i mottagarlandet vid bekämpning av just sådan brottslighet som avses i PNR-direktivet. Att tydligare reglera vilka brott som ingår såväl i Sverige som i andra anslutna stater, än genom en hänvisning till direktivets bilaga, är därför komplicerat.

Sammantaget anser regeringen att en direkt hänvisning till direktivets bilaga är både den enklaste och lämpligaste lösningen. Eftersom direk- tivets definition har rättats bör det av tydlighetsskäl framgå av lagen att brottsligheten ska vara sådan för vilken det i Sverige eller andra med- lemsstater är föreskrivet fängelse i tre år eller mer. Bedömningen är alltså hänförlig till straffskalan för ett brott och inte till en straffvärdebedömning. Kravet innebär enligt svensk rätt att brott i flera fall måste bedömas som grova för att de ska omfattas av direktivets tillämpningsområde även om de i och för sig omfattas av listan. Som exempel kan nämnas stöld, be- drägeri och barnpornografibrott. Narkotikabrott och narkotikasmuggling

av normalgraden omfattas dock. Inom tillämpningsområdet faller också

39

t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt, rån och sabotage.

Dynamiska hänvisningar till EU-rättsakterna

Hänvisningar till EU-rättsakter i författningar kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. För att säkerställa att eventuella ändringar av den brottslighet som omfattas av regleringen kan få genomslag utan en ändring i den nya lagen anser regeringen att hänvisningarna till PNR-direktivet när det gäller allvarlig brottslighet och terrorismdirektivet när det gäller terrorist- brottslighet bör vara dynamiska, dvs. avse den vid var tid gällande lydel- sen av bilaga II till PNR-direktivet och artiklarna 3–12 och 14 i terrorismdirektivet.

7.4Lagens syfte

Regeringens förslag: Syftet med den nya lagen ska vara dels att till- godose behovet av tillgång till PNR-uppgifter i verksamhet för att före- bygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, dels att skydda människor mot att deras personliga integritet kränks när uppgifterna om dem behandlas.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: Direktivets syfte framgår av dess ingress. I skäl 5 anges att målen för direktivet är att dels trygga säker- heten och skydda personers liv och säkerhet, dels inrätta en rättslig ram till skydd för PNR-uppgifter vid behöriga myndigheters behandling av dessa. I skäl 6 anges att en effektiv behandling av PNR-uppgifter är nöd- vändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten. En sådan behandling av PNR-uppgifter anges även vara nödvändig för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk. Vidare anges i skäl 7 att bedömningen av PNR-uppgifter gör det möjligt att identifiera personer som tidigare inte har varit misstänkta för delaktighet i terroristbrott eller grov brottslighet och som bör undersökas närmare av de behöriga myndigheterna. Det anges även att det genom att använda PNR-uppgifter är möjligt att möta hotet från terroristbrott och grov brottslighet från en annan utgångspunkt än vid behandling av andra kategorier av person- uppgifter.

Ytterligare ett syfte bakom direktivet är enligt skäl 35 att det är nöd- vändigt att på unionsnivå inrätta en gemensam rättslig ram för överföring och behandling av personuppgifter, däribland PNR-uppgifter, för att undvika rättsliga och tekniska skillnader mellan olika nationella be- stämmelser om behandling av PNR-uppgifter. Dessa skillnader innebär

att lufttrafikbolagen möts av olika krav på vilken typ av information som

40

ska översändas och vilka villkor som gäller för översändandet och kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna. Behandlingen av personuppgifterna bör enligt skäl 11 stå i proportion till de särskilda säkerhetsmål som direktivet syftar till att uppfylla.

PNR-direktivets innehåll avspeglar en avvägning mellan, å ena sidan, viljan att skapa ett harmoniserat och enhetligt system för informations- användning och utbyte inom EU för en effektiv bekämpning av allvarlig brottslighet och, å andra sidan, viljan att tillgodose berörda passagerares grundläggande rättigheter om respekt för privatlivet och skydd för per- sonuppgifter. Olika intressen ställs alltså mot varandra. Eftersom den nya lagen således kommer att ha dubbla syften anser regeringen att det finns skäl att införa en bestämmelse om lagens syfte där detta tydligt framgår. Regleringen bör ge uttryck för en väl avvägd balans mellan skyddet för den personliga integriteten och tillgången till information för att kunna bekämpa terroristbrottslighet och annan allvarlig brottslighet. Detta uttrycks lämpligen genom en bestämmelse som anger att syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksam- het för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet och annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av upp- gifterna om dem.

7.5Lagens förhållande till annan dataskydds- reglering

Regeringens förslag: Om det finns avvikande bestämmelser om personuppgiftsbehandling i den nya lagen eller i föreskrifter som har meddelats i anslutning till lagen ska de tillämpas i stället för be- stämmelserna i polisdatalagen och tullbrottsdatalagen.

Den nya lagens bestämmelser om behandling av personuppgifter ska inte gälla för behöriga myndigheter i verksamhet som rör nationell säkerhet. Enheten för passagerarinformation får behandla PNR- information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.

Regeringens bedömning: Några ytterligare bestämmelser som reglerar den nya lagens förhållande till annan dataskyddsreglering bör inte införas i den nya lagen.

Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att bestämmelserna om person- uppgiftsbehandling i den nya lagen och föreskrifter som har meddelats med stöd av lagen även ska tillämpas i stället för bestämmelserna i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst (FM-PUL). Något undantag för behandling av personuppgifter i verksamhet som rör nationell säkerhet föreslås inte.

Remissinstanserna: Säkerhetspolisen påpekar att den nationella säker-

heten är varje medlemsstats eget ansvar och påtalar att i princip all be-

41

handling av PNR-uppgifter som myndigheten kommer att utföra kommer att avse nationell säkerhet och att denna behandling behöver regleras enhetligt i Säkerhetspolisens nya datalag. Försvarsmakten motsätter sig att det införs en bestämmelse i FM-PUL som innebär att den nya lagens bestämmelser om personuppgiftsbehandling ska gälla i stället för FM- PUL. Säkerhetspolisen påpekar vidare att viss brottslighet som myndig- heten ska motverka, framför allt högmålsbrott och brott mot Sveriges säkerhet enligt 18 eller 19 kap. brottsbalken, inte faller in under defini- tionen terroristbrottslighet och annan allvarlig brottslighet. Även Försvarsmakten lyfter fram att viss brottslighet, t.ex. spioneri, faller utan- för direktivets område och anför att det kan medföra tillämpnings- svårigheter för Försvarsmaktens verksamhet.

Skälen för regeringens förslag och bedömning

Förhållandet till dataskyddsförordningen

Den nya lagen reglerar en skyldighet för lufttrafikföretag att leverera PNR-uppgifter till enheten för passagerarinformation, som ska finnas hos Polismyndigheten. Skyldigheten innebär att lufttrafikföretag kommer att behöva behandla personuppgifter vid översändandet till enheten. Av artikel 21.2 i PNR-direktivet framgår att direktivet inte påverkar tillämp- ligheten av 1995-års dataskyddsdirektiv på lufttrafikföretagens behand- ling av personuppgifter. Av artikel 94.2 i dataskyddsförordningen följer att hänvisningar till 1995-års dataskyddsdirektiv ska anses som hänvis- ningar till dataskyddsförordningen när den börjar tillämpas den 25 maj 2018. Lufttrafikföretagens personuppgiftsbehandling kommer alltså att styras av dataskyddsförordningens bestämmelser. Förpliktelsen att leve- rera PNR-uppgifter till enheten för passagerarinformation kommer att ut- göra en sådan laglig grund för behandlingen som avses i artikel 6.1 c i dataskyddsförordningen om nödvändig behandling för att fullgöra en rättslig förpliktelse. Även den i propositionen Ny dataskyddslag före- slagna lagen med kompletterande bestämmelser till EU:s dataskyddsför- ordning kommer att bli tillämplig för lufttrafikföretagen. De flesta be- stämmelser som föreslås för att genomföra PNR-direktivet kommer emellertid inte att rikta sig till lufttrafikföretagen. Mot den bakgrunden och med hänsyn till karaktären på de bestämmelser som faktiskt riktar sig till lufttrafikföretagen anser regeringen att det inte finns skäl att ta in en bestämmelse i lagen som mer allmänt upplyser om dess förhållande till dataskyddsförordningen och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Dessa regelverk kommer att gälla oavsett.

Förhållandet till brottsdatalagen

Den personuppgiftsbehandling som kommer att ske vid den nationella enheten för passagerarinformation faller in under den nya brottsdata- lagens tillämpningsområde. Enhetens arbete med PNR-uppgifterna kommer att ingå i Polismyndighetens verksamhet i stort med att före- bygga, förhindra, upptäcka, utreda eller lagföra brott, om än bara avseende terroristbrottslighet och annan allvarlig brottslighet.

Regeringen har utsett Polismyndigheten, Säkerhetspolisen, Tullverket,

Ekobrottsmyndigheten och Försvarsmakten till behöriga myndigheter att

42

ta emot PNR-information från enheten för passagerarinformation. Brotts- datalagen kommer i vart fall att vara tillämplig på behandling av PNR- uppgifter vid Polismyndigheten, Tullverket och Ekobrottsmyndigheten. Brottsdatalagen är dock subsidiär till annan lagstiftning, vilket innebär att om det i en annan lag eller en förordning finns bestämmelser som avvi- ker från brottsdatalagen, ska de bestämmelserna gälla.

Den nya lagen bör vara kompletterande och gälla utöver brottsdata- lagen. Frågan är om detta bör framgå i lagen eller om det är tillräckligt med den bestämmelse i brottsdatalagen som anger att avvikande bestäm- melser i lag eller förordning gäller före den lagen. Brottsdatalagen är utformad för och kommer att, med vissa undantag, gälla generellt för brottsbekämpande verksamhet vid myndigheter som har till uppgift att bedriva sådan verksamhet. Detta kommer att bli väl inarbetat hos dessa myndigheter. Något behov av att i den nya lagen upplysa om att brotts- datalagen gäller utöver de regler som finns i lagen eller, motsatsvis, att den föreslagna lagens bestämmelser ersätter eller gäller utöver brottsdatalagens bestämmelser finns därför inte. Till detta kommer att Säkerhetspolisen föreslås stå utanför brottsdatalagens tillämpningsområde vid behandling av personuppgifter som rör nationell säkerhet. Även sådan verksamhet som omfattas av FM-PUL föreslås falla utanför lagens tillämpnings- område. För Säkerhetspolisens och Försvarsmaktens del skulle det därför behövas en specialreglering som inte skulle underlätta begripligheten i lagstiftningen. En bestämmelse som upplyser om förhållandet till brotts- datalagen bör därför inte införas i den nu föreslagna lagen.

Förhållandet till registerförfattningar

Utöver bestämmelserna i brottsdatalagen regleras de behöriga myndig- heternas personuppgiftsbehandling i s.k. registerförfattningar. Den för närvarande tillämpliga registerförfattningen för Polismyndighetens och Säkerhetspolisens del är polisdatalagen. Lagen gäller även för den polisiära verksamheten vid Ekobrottsmyndigheten, som är den del av myndigheten som det bör bli aktuellt att överföra PNR-information till. För Tullverket gäller sedan den 1 juli 2017 en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, tullbrotts- datalagen (2017:447). När det gäller Försvarsmakten regleras person- uppgiftsbehandlingen i den del av myndigheten som kommer att ta emot PNR-uppgifter i FM-PUL.

Som framgått tidigare görs för närvarande en översyn av registerför- fattningarna, som bl.a. ska anpassas till dataskyddsreformen. Eftersom ändringarna i registerförfattningarna kommer att träda i kraft efter den nya lagen måste förslagen utgå från dagens utformning av register- författningarna. Frågan är då hur den nya lagen ska förhålla sig till dessa registerförfattningar.

Den nationella enheten för passagerarinformation ska inrättas vid Polis- myndigheten. Enhetens arbete kommer därmed att omfattas av tillämp- ningsområdet för polisdatalagen i dess nuvarande lydelse (1 kap. 2 § första stycket 1). Flera bestämmelser i den nya lagen kommer att avvika från regleringen i polisdatalagen. Det gäller t.ex. bestämmelser om tillåtna ändamål, behandling av känsliga personuppgifter, bevarande och åt-

komst. Även de behöriga myndigheterna kommer att behandla PNR-

43

information när de har mottagit sådan från enheten för passagerarinfor- mation. Även för den behandlingen kommer det att finnas bestämmelser i den nya lagen som avviker från de behöriga myndigheternas register- författningar. Utgångspunkten bör därför vara att den nya lagen ska ha företräde framför registerförfattningarna.

Utredningen har föreslagit att förhållandet mellan den nya lagen och registerförfattningarna ska regleras genom att man i samtliga behöriga myndigheters registerförfattningar tar in en bestämmelse om att av- vikande bestämmelser i den nya lagen ska gälla framför bestämmelserna i registerförfattningarna. Som Säkerhetspolisen har påpekat är emellertid den nationella säkerheten enligt artikel 4.2 i fördraget om Europeiska unionen varje medlemsstats eget ansvar. Den nya lagen bör därför inte vara tillämplig på berörda myndigheters behandling av personuppgifter i verksamhet som rör nationell säkerhet, vilket bör tydliggöras i den nya lagen. Undantaget innebär att behöriga myndigheter i verksamhet som rör nationell säkerhet ska tillämpa bestämmelserna i respektive register- författning i stället för bestämmelser om behandling av personuppgifter i den nya lagen.

Eftersom nationell säkerhet faller utanför EU:s kompetens bör enheten för passagerarinformation ges ett stöd för att kunna lämna ut PNR- information som behövs för sådan verksamhet. Av bestämmelsen bör därför även framgå att enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs i verksamhet som rör nationell säkerhet. Det kan t.ex. handla om att förebygga högmålsbrott och brott mot Sveriges säkerhet i 18 eller 19 kap. brottsbalken som, i enlighet med vad Säkerhetspolisen och Försvarsmakten har anfört, inte faller in under definitionen av terrorist- brottslighet eller annan allvarlig brottslighet och därmed faller utanför den nya lagens tillämpningsområde. Det ankommer på enheten för passagerarinformation att i samråd med behöriga myndigheter ta fram rutiner för sådana utlämnanden.

Försvarsmakten har motsatt sig att den nya lagens bestämmelser om personuppgiftsbehandling ska gälla i stället för FM-PUL. Den behand- ling av PNR-uppgifter som kan komma att aktualiseras vid Försvars- makten kommer att ske i myndighetens försvarsunderrättelsetjänst och militära säkerhetstjänst, dvs. i verksamhet som rör nationell säkerhet. Regeringen gör därför bedömningen att det, med hänsyn till undantaget som rör nationell säkerhet i den nya lagen, inte finns något behov av att föra in ett sådant undantag som föreslagits av utredningen i FM-PUL. En bestämmelse om att avvikande bestämmelser i den nya lagen ska tilläm- pas i stället för registerförfattningen bör dock införas i polisdatalagen och tullbrottsdatalagen. Dessa bestämmelser kommer att träffa Polismyndig- hetens, inklusive enheten för passagerarinformation, Ekobrottsmyndig- hetens och Tullverkets personuppgiftsbehandling. Bestämmelsen i polis- datalagen kommer även att vara tillämplig på Säkerhetspolisen, om än i liten utsträckning eftersom myndighetens verksamhet i princip ute- slutande rör nationell säkerhet.

44

7.6PNR-direktivets förhållande till den nuvarande regleringen om inhämtande av flygpassagerar- uppgifter

Regeringens förslag: Skyldigheten att överföra passageraruppgifter enligt polislagen, tullagen och inregränslagen ska inte gälla luft- trafikföretag som omfattas av skyldigheten att överföra uppgifter en- ligt den nya lagen. Undantaget i polislagen ska inte gälla om upp- gifterna behövs i verksamhet som rör nationell säkerhet.

Utredningens förslag överensstämmer delvis med regeringens. Utred-

 

ningen föreslår inte något undantag i polislagen för uppgifter som behövs

 

i verksamhet som rör nationell säkerhet.

 

Remissinstanserna: Polismyndigheten, Tullverket, TULL-KUST och

 

Säkerhetspolisen framhåller vikten av att man i lagstiftningsprocessen tar

 

hänsyn till Polismyndighetens etablering av enheten för passagerar-

 

information så att möjligheten att få tillgång till PNR-uppgifter inte för-

 

sämras under en övergångsperiod. Säkerhetspolisen har vidare syn-

 

punkter på att viss brottslighet som myndigheten bekämpar faller utanför

 

den nya lagens tillämpningsområde och hur den nya lagen ska förhålla

 

sig till den nuvarande lagstiftningen.

 

Skälen för regeringens förslag: Direktivet innebär att de lufttrafik-

 

företag som omfattas av regleringen ska överföra PNR-uppgifter till

 

enheten för passagerarinformation på flygningar utanför EU. Medlems-

 

staterna kan även på frivillig grund tillämpa direktivet på flygresor inom

 

EU. Listan över PNR-uppgifter som ska överföras är lång och omfattar

 

bl.a. uppgifter som transportörer i dag är skyldiga att lämna ut om sina

 

passagerare enligt bestämmelserna i polislagen, tullagen (2016:253) och

 

lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett

 

annat land inom Europeiska unionen (inregränslagen). PNR-direktivet

 

innehåller inte några bestämmelser om insamling av PNR-uppgifter från

 

andra transportörer än lufttrafikföretag, t.ex. buss, båt- eller tågtran-

 

sporter. I skäl 33 anges att direktivet inte påverkar medlemsstaternas

 

möjligheter att tillhandahålla system för insamling och behandling av

 

PNR-uppgifter från andra transportföretag, under förutsättning att den

 

nationella rätten är förenlig med unionsrätten. PNR-direktivet påverkar

 

således inte insamling och behandling av PNR-uppgifter från andra

 

transportörer än lufttrafikföretag. För de transportörer som inte omfattas

 

av skyldigheten att överföra uppgifter enligt den nya lagen bör därför be-

 

stämmelserna i polislagen, tullagen och inregränslagen om transportörers

 

överföring av bokningsuppgifter gälla även efter att PNR-direktivet har

 

genomförts.

 

När det gäller de lufttrafikföretag som omfattas av PNR-direktivet

 

utesluter direktivet inte uttryckligen att medlemsstaterna får behålla sina

 

nationella system parallellt med det system PNR-direktivet föreskriver.

 

Tanken bakom direktivet är dock att uppnå en enhetlig och rättssäker

 

reglering inom EU av hanteringen av viss information som kan röra EU-

 

medborgare, för att genom ett utvecklat samarbete förbättra möjlig-

 

heterna att förebygga, förhindra, upptäcka, utreda och lagföra allvarliga

 

brott. En ordning enligt vilken medlemsstaterna skulle kunna behålla sina

45

 

 

nationella system vid sidan av det system som direktivet föreskriver

 

skulle därmed kunna motverka direktivets bakomliggande syften, dvs. att

 

förbättra den inre säkerheten samtidigt som man upprätthåller skyddet för

 

de överförda uppgifterna. Det kan därför inte anses vara möjligt att

 

behålla de gamla reglerna när det gäller de lufttrafikföretag som omfattas

 

av överföringsskyldigheten enligt den nya lagen.

 

Det föreslås därför att det i polislagen, tullagen och inregränslagen in-

 

förs ett tillägg som anger att bestämmelserna om transportföretags skyl-

 

dighet att överföra bokningsuppgifter inte ska gälla lufttrafikföretag som

 

omfattas av skyldigheten att överföra uppgifter enligt den nya lagen.

 

Undantaget innebär att lufttrafikföretag som omfattas av överförings-

 

skyldigheten enligt den nya lagen inte har någon skyldighet att överföra

 

uppgifter enligt polislagen, tullagen eller inregränslagen. Det kommer

 

dock fortfarande att vara möjligt att inhämta uppgifter enligt dessa

 

bestämmelser när det gäller andra transportörer än lufttrafikföretag, t.ex.

 

buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte om-

 

fattas av överföringsskyldigheten enligt den nya lagen, kommer fort-

 

farande vara skyldiga att överlämna uppgifter enligt bestämmelserna.

 

Säkerhetspolisen anser att det, även efter att den nya lagen har trätt i

 

kraft, måste finnas kvar en legal möjlighet att kunna hämta in uppgifter

 

som rör sådan brottslighet som faller utanför direktivets tillämpnings-

 

område. Säkerhetspolisen anser dessutom att det är viktigt att myndig-

 

heten i enskilda brådskande fall, även för brottslighet som faller inom

 

direktivets tillämpningsområde, har en möjlighet att vända sig direkt till

 

lufttrafikföretagen enligt 25 § polislagen.

 

Det kan enligt regeringens mening inte anses vara rimligt att myndig-

 

heterna genom den nya lagen ska få en sämre förmåga att bekämpa brott

 

som rör nationell säkerhet än vad de har i dag. Som framgått tidigare är

 

vidare den nationella säkerheten varje medlemsstats eget ansvar. Det kan

 

därför inte anses strida mot direktivet att låta de nuvarande reglerna vara

 

fortsatt tillämpliga i verksamhet som rör nationell säkerhet. Undantaget i

 

polislagen ska därför inte gälla om uppgifterna behövs i verksamhet som

 

rör nationell säkerhet.

 

Säkerhetspolisen anser att det behöver belysas vad som gäller för det

 

fall lufttrafikföretagen inte fullgör sin skyldighet att överföra uppgifter

 

enligt den nya lagen och har föreslagit att 25 § polislagen ska fortsätta att

 

gälla fram till dess att lufttrafikföretagen har överfört uppgifterna. En

 

sådan bestämmelse skulle innebära att myndigheterna kan fortsätta att

 

inhämta information direkt från lufttrafikföretagen fram till dess att över-

 

föringsskyldigheten uppstår, vilket enligt regeringens mening skulle

 

strida mot direktivets syfte att uppnå en enhetlig och rättssäker reglering

 

inom EU. En sådan lösning kan därför inte anses vara förenlig med

 

direktivet. För det fall lufttrafikföretagen inte fullgör sin skyldighet att

 

överföra informationen finns det möjlighet att tillämpa bestämmelserna

 

om sanktioner, se vidare avsnitt 14.

 

I och med att den nuvarande regleringen inte kommer att vara tillämp-

 

lig på lufttrafikföretag som omfattas av den nya lagen är det av vikt att

 

enheten för passagerarinformation vid ikraftträdandet har ett system på

 

plats och kan ta emot PNR-uppgifter från dessa lufttrafikföretag. Polis-

 

myndigheten, Tullverket, TULL-KUST och Säkerhetspolisen har fram-

46

hållit vikten av att man i lagstiftningsprocessen tar hänsyn till Polis-

myndighetens etablering av enheten för passagerarinformation så att möjligheten att få tillgång till PNR-uppgifter inte försämras under en övergångsperiod. Regeringen ser allvarligt på problematiken och utgår från att Polismyndigheten, för det fall att det uppstår en övergångsperiod, vidtar de åtgärder som krävs för att undvika eller i vart fall minimera negativa konsekvenser för de brottsbekämpande myndigheterna.

7.7Vissa uttryck ska definieras

Regeringens förslag: Vissa uttryck som används i lagen ska definie- ras. Definitionerna ska ligga så nära PNR-direktivets definitioner som möjligt.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inga syn-

punkter på förslaget. Säkerhets- och integritetsskyddsnämnden anser att även uttrycket brottslig verksamhet bör definieras.

Skälen för regeringens förslag: I artikel 3 i PNR-direktivet definieras vissa uttryck som är av grundläggande betydelse både för förståelsen av bestämmelserna i direktivet och för att ringa in direktivets närmare tillämpningsområde. Vissa av dessa definitioner bör tas in i den nya lagen och definitionerna bör ligga nära lydelserna i direktivet.

För att förenkla utformningen av de materiella bestämmelserna i lagen föreslås definitioner av några ytterligare begrepp än de som anges i arti- kel 3 i direktivet. Vilka definitioner som föreslås kommer att framgå i senare avsnitt.

Säkerhets- och integritetsskyddsnämnden har framfört att också ut- trycket brottslig verksamhet bör definieras eftersom syftet med lagen är att ge behöriga myndigheter tillgång till PNR-uppgifter i både utred- nings- och underrättelseverksamhet. I innehållsbestämmelsen till den nya lagen framgår att PNR-uppgifter får behandlas i verksamhet för att före- bygga, förhindra, upptäcka, utreda eller lagföra viss brottslighet. Redan härav framgår att uppgifterna kan användas i såväl utrednings- som i underrättelseverksamhet. Någon definition av begreppet brottslig verk- samhet för att tydliggöra att det är fråga om både utrednings- och underrättelseverksamhet är enligt regeringens mening därför inte nöd- vändig.

47

7.8En enhet för passagerarinformation vid Polismyndigheten

Regeringens förslag: Det ska finnas en enhet för passagerarinforma- tion vid Polismyndigheten. Enheten ska samla in PNR-uppgifter från lufttrafikföretagen, bevara och i övrigt behandla uppgifterna. Enheten ska vidare överföra PNR-information till behöriga mottagare och tredjeländer.

Begreppen PNR-information, passagerare och behörig mottagare ska definieras i lagen.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag

En enhet för passagerarinformation ska inrättas vid Polismyndigheten

Varje medlemsstat ska enligt artikel 4.1 i direktivet inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet vilken ska fungera som medlemsstatens enhet för passa- gerarinformation.

Enheten ska, enligt artikel 4.2, ansvara för att:

samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av be- handlingen av dem till behöriga myndigheter,

utbyta både PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med andra medlemsstaters enheter för passagerarinforma- tion och med Europol, i enlighet med artiklarna 9 och 10.

Enligt artikel 4.3 kan personal vid enheten för passagerarinformation ut- göras av tjänstemän som har avdelats från behöriga myndigheter. Två eller flera medlemsstater får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation (artikel 4.4.).

Utredningen har föreslagit att den nationella enheten för passagerar- information ska placeras vid Polismyndigheten. Ingen remissinstans har uttryckt någon annan uppfattning. Med hänsyn till att Polismyndigheten har till uppgift att förebygga, förhindra, upptäcka och utreda de flesta av de brott som omfattas av direktivet delar regeringen utredningens upp- fattning. Den nationella enheten bör alltså placeras vid Polismyndig- heten.

Enhetens övergripande uppgifter bör uttryckas klart i lagen

För att enheten för passagerarinformations uppgifter tydligt ska framgå bör, utöver att enheten för passagerarinformation ska vara placerad vid Polismyndigheten, enhetens övergripande uppgifter komma till klart ut- tryck i lagen. I artikel 4.2 i PNR-direktivet anges att utbyte av PNR- uppgifter och resultatet av behandlingen av dessa uppgifter ska ske med behöriga myndigheter i den egna medlemsstaten, andra medlemsstaters

enheter för passagerarinformation och med Europol. Av artikel 9.3 fram-

48

går att även sådana myndigheter som utsetts som behöriga i andra med- lemsstater har rätt att ta del av uppgifter från enheten. För att förenkla regleringen bör det införas ett samlingsbegrepp som omfattar samtliga dessa aktörer, dvs. svenska behöriga myndigheter, enheter för passa- gerarinformation i andra medlemsstater, myndigheter som har utsetts som behöriga i andra medlemsstater och Europol. Samlingsbegreppet bör vara behöriga mottagare. En definition av behöriga mottagare bör därmed föras in i definitionsparagrafen. Tredjeländer omfattas inte av definitionen. Av artikel 11 framgår dock att överföring av PNR- information även får ske till tredjeländer. Det bör därför framgå av be- stämmelsen att det i enhetens uppdrag även ingår att överföra uppgifter till tredjeländer.

En samlingsbeteckning bör också införas för uttrycket ”PNR-uppgifter eller resultatet av behandlingen av dem”. Som framgår i artikel 4.2 avser enhetens uppgifter inte bara att lagra, analysera och utbyta PNR-uppgifter som mottagits från lufttrafikföretagen. Analyserna m.m. kommer också att leda till så kallade träffar eller andra slags resultat av behandlingen av PNR-uppgifterna. Uttrycket PNR-uppgifter eller resultatet av behand- lingen av dem eller motsvarande återkommer ett stort antal tillfällen i direktivet. Det finns därför ett behov av att referera inte bara till själva PNR-uppgifterna utan även till resultatet av behandlingen av dem. En lämplig samlingsbeteckning är PNR-information.

Sammanfattningsvis bör det i den nya lagen framgå att det ska finnas en enhet för passagerarinformation vid Polismyndigheten och att enheten ska ansvara för att samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt behandla uppgifterna, och överföra PNR-information till behöriga mottagare och tredjeländer.

Hur enheten närmare ska organiseras, bemannas och administreras m.m. bör överlåtas till Polismyndigheten att bestämma, lämpligen i sam- råd med behöriga myndigheter. Som Hovrätten för Nedre Norrland har påpekat kommer det att ligga ett stort ansvar på enheten som kommer att hantera många svåra bedömningar. Det är således av vikt att enheten organiseras på ett sådant sätt att den upprätthåller det förtroende som behandling av den här typen av uppgifter innebär.

En definition av passagerare bör införas i definitionsparagrafen

Enligt artikel 3.4 i PNR-direktivet avses med passagerare alla personer, inbegripet personer i transfer eller transit, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande. Detta godkännande ska framgå av att personen står med i passagerarför- teckningen. Från begreppet passagerare exkluderas besättningsmed- lemmar. En definition av passagerare bör föras in i den nya lagen. Passagerare bör definieras som alla personer, förutom besättningsmed- lemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.

49

7.9Tillåten behandling av PNR-information

Regeringens förslag: PNR-information får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrotts- lighet eller annan allvarlig brottslighet. Undantag gäller i verksamhet som rör nationell säkerhet och för behandling av PNR-information för annan brottslighet hos behöriga myndigheter.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inget undantag i verksamhet som rör nationell säkerhet.

Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: Av artikel 1.2 i direktivet framgår att PNR-uppgifter som samlas in i enlighet med direktivet endast får be- handlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c.

Begränsningen bör gälla oavsett om PNR-uppgifterna har samlats in från lufttrafikföretag i Sverige eller från lufttrafikföretag i en annan medlemsstat men kommit till Sverige i enlighet med direktivets bestäm- melse om utbyte av PNR-uppgifter mellan medlemsstaterna enligt artikel 9.1–9.4. Begränsningen är även, enligt artikel 7.4, tillämplig för behöriga myndigheters behandling av mottagna PNR-uppgifter. Av direktivets olika bestämmelser följer vidare att inte heller resultatet av en enhet för passagerarinformations behandling av PNR-uppgifter får användas för andra syften.

Det är lämpligt att i den nya lagen slå fast den begränsning av an- vändning av PNR-information som följer av direktivet. Begränsningen bör formuleras i enlighet med direktivets bestämmelse. Undantag före- slås gälla i verksamhet som rör nationell säkerhet och vid användning av överskottsinformation, se vidare avsnitt 7.5 och 11.3.

7.10Förbud mot behandling av känsliga person- uppgifter

Regeringens förslag: PNR-uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning ska inte få behandlas.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna: Förvaltningsrätten i Stockholm anser att det bör framgå direkt av lagen vilka känsliga personuppgifter som inte får be- handlas.

Skälen för regeringens förslag: Enligt artikel 13.4 i PNR-direktivet ska medlemsstaterna förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filo- sofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar

50

sådana PNR-uppgifter ska enheten enligt artikeln omedelbart radera uppgifterna.

De i artikel 13.4 uppräknade uppgifterna utgör vad som i dataskydds- sammanhang brukar betecknas som känsliga personuppgifter. Även det nya dataskyddsdirektivet innehåller en bestämmelse om känsliga person- uppgifter (artikel 10). Artikeln förslås genomföras i 2 kap. 11– 14 §§ brottsdatalagen. Även i den nya dataskyddsförordningen, som framöver kommer att vara tillämplig exempelvis hos lufttrafikföretagen, finns i artikel 9 ett principiellt förbud mot behandling av känsliga person- uppgifter samt vissa undantagsgrunder.

Eftersom det finns ett förbud mot behandling av känsliga person- uppgifter ska inte lufttrafikföretagen överföra sådana uppgifter till enhet- en för passagerarinformation. Sådana uppgifter kan dock komma att över- föras av misstag. Känsliga personuppgifter kan t.ex. komma att ingå bland de allmänna anmärkningarna (punkten 12 i bilaga I till direktivet), som utgör ett fritextfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Här kan finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får i sådana fall inte behandlas enligt direktivet. Också andra PNR-uppgifter kan inne- hålla information som avslöjar känsliga personuppgifter.

En bestämmelse som förbjuder behandling av känsliga personuppgifter bör föras in i lagen. Med tanke på dess centrala betydelse och att den bör gälla för samtliga aktörer som omfattas av lagen bör den tas in bland lagens inledande bestämmelser. I likhet med Förvaltningsrätten i Stockholm anser regeringen att bestämmelsen inte bör hänvisa till 2 kap. 11 § brottsdatalagen utan att det i stället bör framgå direkt av lagen vilka känsliga personuppgifter som inte får behandlas. Av lagen bör därför framgå att PNR-uppgifter som utgör sådana personuppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexual- liv eller sexuell läggning inte får behandlas. Förbudet gäller i stället för bestämmelsen i 2 kap. 11 § brottsdatalagen. Det bör vidare föras in be- stämmelser som anger att enheten för passagerarinformation och de be- höriga myndigheterna omedelbart ska förstöra sådana uppgifter för det fall de skulle motta sådana, se vidare avsnitt 9.8.2 och 11.2.

51

 

8

Lufttrafikföretagens skyldigheter

 

8.1

Överföring av PNR-uppgifter till enheten för

 

 

passagerarinformation

 

 

 

Regeringens förslag: Lufttrafikföretag ska inför varje flygning som

 

ankommer till eller avgår från Sverige överföra PNR-uppgifter till

 

enheten för passagerarinformation.

 

Om flyglinjens beteckning delas med ett eller flera andra lufttrafik-

 

företag, ska det lufttrafikföretag som utför flygningen överföra PNR-

 

uppgifter om samtliga passagerare.

 

Begreppet lufttrafikföretag ska definieras i lagen.

 

 

 

Utredningens förslag överensstämmer i sak med regeringens.

 

Remissinstanserna: Svenska Flygbranschen föreslår att lufttrafik-

 

företagen bara ska lämna information till det land där flygresan påbörjas

 

och att vidarebefordran av uppgifterna till ankomstlandet bör hanteras

 

mellan respektive enheter för passagerarinformation. Övriga remiss-

 

instanser har inga synpunkter.

 

Skälen för regeringens förslag

 

Överföringen omfattar flygningar såväl inom som utanför EU

 

Enligt artiklarna 1.1 a och 8.1 och i direktivet ska medlemsstaterna anta

 

de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför

 

vissa i direktivet angivna PNR-uppgifter i samband med flygningar

 

utanför EU. Inför sådana flygningar ska enligt bestämmelsen PNR-

 

uppgifter överföras till databasen hos enheten för passagerarinformation i

 

den medlemsstat på vars territorium flygningen kommer att ankomma

 

eller från det territorium varifrån flygningen kommer att avgå. I artikeln

 

anges vidare att för det fall en flygning utanför EU omfattar en eller flera

 

mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen

 

överföra PNR-uppgifter för alla passagerare till enheterna för passagerar-

 

information i alla berörda medlemsstater. Om flygningens linjebe-

 

teckning delas med ett eller flera andra lufttrafikföretag ska, enligt

 

samma artikel, det företag som utför flygningen ha en skyldighet att

 

överföra PNR-uppgifter om samtliga passagerare ombord.

 

Av artikel 2.1 framgår att medlemsstaterna, utöver flygningar utom EU,

 

på frivillig grund även kan tillämpa direktivet på flygningar inom EU. I en

 

deklaration som antogs av rådet i samband med antagandet av PNR-

 

direktivet har Sverige och övriga medlemsstater förklarat att de, mot

 

bakgrund av det aktuella säkerhetsläget i Europa, fullt ut kommer att

 

utnyttja denna möjlighet. Enligt deklarationen ska detta ske senast det

 

datum då direktivet ska införlivas i nationell rätt.

 

För att minimera flygbolagens arbetsuppgifter, samtidig som risken för

 

felsändningar minskar, har Svenska Flygbranschen föreslagit att luft-

 

trafikföretagen bara ska lämna information till det land där flygresan

 

påbörjas och att vidarebefordran av uppgifterna till ankomstlandet bör

 

hanteras mellan respektive enheter för passagerarinformation. Tanken

52

bakom direktivet är dock att det i samtliga rättsordningar i de EU-länder

 

 

som är bundna av direktivet ska finnas en harmoniserad skyldighet för lufttrafikföretagen att överföra PNR-uppgifter till såväl avgångslandets som ankomstlandets nationella enhet för passagerarinformation. Den svenska regleringen är begränsad till passagerartrafik som berör Sverige och svenska flygplatser samt överföringen av PNR-uppgifter till den svenska enheten för passagerarinformation. I den svenska regleringen bör därför finnas en uppgiftsskyldighet för lufttrafikföretagen att överföra PNR- uppgifter till enheten för passagerarinformation såväl när ett flyg ska ankomma som när det ska avgå från Sverige.

Vad är ett lufttrafikföretag?

Ett lufttrafikföretag definieras i direktivet som ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik (artikel 3.1). Gemensamma bestämmelser för till- handahållande av lufttrafik i gemenskapen finns även i Europa- parlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen (EU:s lufttrafikförordning). Med lufttrafik avses enligt förordningen en flygning eller en serie flygningar för befordran av passagerare, gods, och/eller post som utförs mot ersättning och/eller hyra. Ett företag definieras i förordningen som en fysisk eller juridisk person, oavsett om verksamheten bedrivs i vinstsyfte eller inte. Med företag kan enligt förordningen även avses ett officiellt organ, oavsett om det har självständig status som juridisk person eller inte.

Den kommersiella luftfarten för transport av passagerare brukar delas in i reguljärflyg och charterflyg. Med reguljärflyg avses luftfart som regelbundet trafikerar vissa flyglinjer. Vid en reguljärflygning köper passagerarna en plats, flygstol, på ett flygplan i linjetrafik. Med charter- flyg avses i stället oregelbunden luftfart under en viss säsong. En charter- flygning innebär vanligtvis att ett helt flygplan hyrs och används som en del av en paketresa. Ett flygplan kan dock chartras även för att utföra en enstaka flygresa. Det finns även så kallad taxiflygning, som innebär att hela flygplan eller helikoptrar hyrs ut tillfälligt. Med taxiflyg avses i detta sammanhang icke regelbunden luftfart med mindre luftfartyg, som är typgodkänt för befordran av högst tio passagerare. Destinationen väljs av den som beställt transporten.

För att få utföra lufttransporter mot betalning åt allmänheten krävs enligt 7 kap. 1 § luftfartslagen (2010:500) drifttillstånd oavsett om det handlar om reguljärflyg, charterflyg eller taxiflyg. Beträffande luftfart inom EU krävs det utöver ett drifttillstånd en operativ licens enligt EU:s lufttrafikförordning.

PNR-direktivets definition av ett lufttrafikföretag innefattar alla företag som utför lufttransport av passagerare mot betalning eller hyra så länge de har den angivna licensen. I begreppet företag innefattas, på samma sätt som enligt EU:s lufttrafikförordning, både fysiska och juridiska personer samt officiella organ. Enligt EU:s lufttrafikförordning undantas från kravet på operativ licens endast lufttrafik som utförs med icke-motordrivna luftfartyg och ultralätta motordrivna luftfartyg samt lokala flygningar. Alla övriga företag som utför lufttransporter mot betalning eller hyra inom

unionen ska således ha en operativ licens och träffas därmed av PNR-

53

 

direktivet. Således omfattas charterflygningarna av direktivets definition,

 

även i de fall charterbolagen äger sina egna flygplan. Även taxiflygen

 

omfattas av direktivets definition och träffas rent definitionsmässigt av

 

direktivets överföringsskyldighet när de mot ersättning eller hyra utför

 

lufttransporter med hjälp av mindre flyg eller helikopter över ett lands

 

gränser.

 

PNR-direktivets definition av begreppet lufttrafikföretag bör införas i

 

den nya lagen. I kravet på en giltig operativ licens ligger även ett krav på

 

att lufttrafikföretaget har ett giltigt drifttillstånd. Definitionen omfattar

 

således krav på såväl ett giltigt operativt tillstånd som ett drifttillstånd.

 

Genom tillägget ”eller motsvarande” innefattas även sådana utländska

 

lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom

 

EU men som har en motsvarande licens från ett tredjeland. Utöver direk-

 

tivets definition bör det även framgå att licensen ska ge rätt att bedriva

 

passagerarflygtrafik, dvs. ge rätt att mot betalning eller hyra utföra luft-

 

transporter av passagerare.

 

PNR-uppgifter definieras enligt artikel 3.5 i direktivet som en samman-

 

ställning av för resan nödvändiga uppgifter om varje enskild passagerare

 

som gör det möjligt för det lufttrafikföretag som sköter bokningen och

 

andra deltagande lufttrafikföretag att behandla och kontrollera reserva-

 

tionen för varje resa. Definitionen synes syfta till en systematisk behand-

 

ling av uppgifter om passagerare via ett reservationssystem, ett avgångs-

 

kontrollsystem som används för att checka in passagerare på flygningar

 

eller likvärdiga system med liknande uppgifter. Av artikel 8.3 b framgår

 

vidare att lufttrafikföretagen ska ha tillgång till en gate som passagerarna

 

ska passera på vägen till flygplanet, varefter den andra omgången PNR-

 

uppgifter ska överföras. Tanken bakom PNR-direktivet synes således vara

 

att PNR-uppgifterna ska överföras från större aktörer, som normalt samlar

 

in PNR-uppgifter från sina passagerare för operativa och kommersiella

 

ändamål, systematiskt behandlar dem i reservationssystem, avgångs-

 

kontrollsystem eller likvärdiga system samt själva eller genom en mellan-

 

man sköter ombordstigningen på flygplanen genom en gate. För att när-

 

mare ringa in de lufttrafikföretag som ska åläggas en grundläggande

 

skyldighet att överföra PNR-uppgifter enligt lagförslaget bör således ett

 

tillägg göras till definitionen av ett lufttrafikföretag. Detta tillägg bör

 

innebära att lufttrafikföretaget i sin verksamhet ska samla in och be-

 

handla PNR-uppgifter i ett elektroniskt system. Genom en sådan skriv-

 

ning faller de lufttrafikföretag som saknar sådana system för behandling

 

av PNR-uppgifter utanför överföringsskyldigheten.

 

De lufttrafikföretag som utför charterflygningar innehar i många fall

 

endast en mindre mängd PNR-uppgifter. De uppgifter som de innehar

 

behandlas dock oftast systematiskt i företagens datorsystem. Behandlingen

 

av PNR-uppgifter får därmed anses ingå som en normal del i dessa företags

 

verksamhet. Ombordstigningen på flygplanen sker, i de flesta fall, genom

 

en gate och hanteras elektroniskt på samma sätt som för reguljär-

 

flygningarna. Några problem med hänsyn till direktivets överförings-

 

tidpunkter föreligger därför i normalfallet inte. Som utgångspunkt om-

 

fattas således de lufttrafikföretag som utför charterflygningar av direkti-

 

vets överföringsskyldighet.

 

De lufttrafikföretag som utför taxiflygningar saknar emellertid i många

54

fall ett system för behandling av PNR-uppgifter i den mening som avses i

direktivet. De namnuppgifter som samlas in för att uppfylla kravet på innehav av passagerarlistor antecknas i vissa fall endast manuellt eller med hjälp av excelblad. Någon sådan datoriserad behandling och kontroll av reservationer som avses i direktivet förekommer generellt inte. På mindre flygplatser saknas dessutom gater och incheckningen sker därför manuellt. Den i direktivet angivna skyldigheten att överföra PNR- uppgifter omedelbart efter det att gatens dörrar har stängts synes därmed svår att uppfylla. De mindre taxiflygföretag som inte behandlar PNR- uppgifter på det sätt som avses i direktivet omfattas således inte av överfö- ringsskyldigheten. För dessa aktörer får efterfrågade passageraruppgifter i stället begäras in med stöd av gällande bestämmelser för transport- företag i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen, som det finns anledning att behålla för sådan lufttrafik som utförs av företag som inte kommer att omfattas av skyldigheter enligt den nya lagen, se avsnitt 7.6.

8.2

Vilka PNR-uppgifter ska överföras?

 

 

 

 

Regeringens förslag: De PNR-uppgifter som ska överföras ska

 

 

framgå av en bilaga till den nya lagen. Uppgifterna ska dock endast

 

 

överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del

 

 

av sin normala verksamhet.

 

 

 

 

 

Utredningens förslag överensstämmer i sak med regeringens.

 

Remissinstanserna har inga synpunkter på förslaget.

 

Skälen för regeringens förslag

 

PNR-uppgifter som omfattas av direktivet

 

Enligt artikel 8.1 i PNR-direktivet ska lufttrafikföretag till enheten för

 

passagerarinformation överföra de PNR-uppgifter som återfinns i bilaga I

 

till direktivet, förutsatt att de redan samlar in sådana uppgifter som en del

 

av sin normala affärsverksamhet. Direktivet ålägger alltså inte lufttrafik-

 

företag att inhämta ytterligare uppgifter eller några uppgifter alls om sina

 

passagerare och medför inte någon skyldighet för passagerare att till-

 

handahålla några uppgifter utöver dem som redan tillhandahålls luft-

 

trafikföretagen. Vad direktivet handlar om är således att redan insamlade

 

uppgifter ska lämnas ut för ny användning i brottsbekämpande syfte. För

 

det fall företaget inte samlar in PNR-uppgifter i dag, kan överförings-

 

skyldigheten dock inträda i samband med att företaget påbörjar en sådan

 

insamling.

 

 

 

Förteckningen i bilaga I har enligt skäl 15 i PNR-direktivet till syfte att

 

återspegla de offentliga myndigheternas legitima krav på att kunna före-

 

bygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brotts-

 

lighet och därigenom förbättra den inre säkerheten i EU, samtidigt som

 

grundläggande rättigheter skyddas, särskilt rätten till privatlivet och rätten

 

till skydd av personuppgifter. Vid framtagandet av förteckningen har

 

Europeiska unionens stadga, Europarådets konvention av den 28 januari

 

1981 om skydd för enskilda vid automatisk databehandling av person-

55

 

 

 

 

uppgifter (dataskyddskonventionen) samt Europeiska konventionen den 4

 

november 1950 angående skydd för de mänskliga rättigheterna och de

 

grundläggande friheterna (Europakonventionen) beaktats. Det anges

 

vidare att förteckningen inte är avsedd att grundas på en persons ras eller

 

etniska ursprung, religion eller övertygelse, politiska eller annan

 

åskådning, medlemskap i fackförening, hälsotillstånd, sexualliv eller

 

sexuella läggning. De i förteckningen angivna PNR-uppgifterna ska

 

endast omfatta sådan information om passagerarens bokning och resrutt

 

som gör det möjligt för de behöriga myndigheterna att identifiera

 

flygpassagerare som utgör ett hot mot den inre säkerheten.

 

Förteckningen över PNR-uppgifter i bilagan omfattar 19 punkter. Upp-

 

räkningen innefattar exempelvis datum för bokning/utfärdande av biljett,

 

namn, adress och kontaktuppgifter. PNR-uppgifternas lokaliseringskod

 

enligt punkt 1 avser en kod innehållande siffror och bokstäver som är

 

specifik för en särskild resenärs resa. Koden är detsamma som ett

 

boknings- eller reservationsnummer. Med delade PNR-uppgifter enligt

 

punkt 11 avses en uppgift om att det tidigare har funnits ytterligare

 

resenärer med samma lokaliseringskod. När delade PNR-uppgifter finns

 

har alltså inledningsvis två passagerare eller fler haft en gemensam bok-

 

ning, men en eller flera har gjort ombokningar. Vid en ombokning får de

 

utvalda passagerarna en ny lokaliseringskod. I punkt 12 i bilagan anges

 

allmänna anmärkningar, vilket utgör ett fritextsfält för kommunikation

 

mellan t.ex. resebokare och flygbolagspersonal. I detta fält kan t.ex. anges

 

uppgifter om ensamresande barn under 18 år, cykel med ombord,

 

specialkost, funktionshinder m.m. Uppgifterna om barn som reser utan

 

vuxet sällskap är här särskilt angivna eftersom de kan ha betydelse vid

 

utredningar om människosmuggling.

 

I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för

 

transportörer att lämna uppgifter om passagerare (API-direktivet) regle-

 

ras transportörers skyldighet att på begäran förse nationella myndigheter

 

med passageraruppgifter inför resor från länder som inte tillhör EU och

 

inte heller har träffat avtal om samarbete enligt Schengenkonventionen

 

med konventionsstaterna. API-uppgifter avser främst sådan information

 

som finns på passets maskinläsbara del, t.ex. typ av identitetshandling,

 

identitetshandlingens nummer, utfärdandeland och sista giltighetsdag. Av

 

punkten 18 framgår att API-uppgifter omfattas av de uppgifter som ska

 

överföras till enheterna. Att använda PNR-uppgifter tillsammans med

 

API-uppgifter anges i skäl 9 i PNR-direktivet tillföra ett mervärde, genom

 

att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket

 

ökar PNR-uppgifternas betydelse för brottsbekämpningen och minimerar

 

risken för att man kontrollerar och utreder oskyldiga personer. I

 

artikel 8.2 anges därför att om lufttrafikföretagen har samlat in sådana

 

API-uppgifter om passagerare som förtecknas i punkten 18 i bilagan, men

 

inte lagrar denna information med hjälp av samma tekniska metoder som för

 

andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för

 

att säkerställa att lufttrafikföretagen överför även dessa uppgifter till

 

enheten för passagerarinformation i de medlemsstater som avses i

 

artikel 8.1. Direktivets samtliga bestämmelser är därmed tillämpliga även

 

vid överföring av dessa uppgifter.

 

Utredningen har kommit fram till att PNR-direktivet varken ersätter

56

eller påverkar API-direktivet eller dess genomförande i Sverige och att

direktiven därför kommer att vara parallellt tillämpliga. Regeringen delar denna bedömning.

De PNR-uppgifter som ska överföras bör framgå av en bilaga till lagen

Det bör av den nya lagen framgå vilka PNR-uppgifter som omfattas av lufttrafikföretagens överföringsskyldighet. Vidare bör det av lagen framgå att PNR-uppgifterna endast ska överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

En förteckning över de PNR-uppgifter som omfattas kan föras in i en bilaga till lagen. En hänvisning endast till den bilaga till direktivet där PNR-uppgifterna framgår bedöms inte som lämplig med hänsyn till att den svenska versionen av bilagan har rättats och i övrigt innehåller vissa oklarheter i översättningen. Det föreslås därför att det till lagen fogas en bilaga som listar de PNR-uppgifter som anges i bilaga I till direktivet.

8.3Överföringar ska ske vid två tillfällen

Regeringens förslag: PNR-uppgifterna ska som huvudregel överföras vid två tillfällen. Det första tillfället ska vara 24–48 timmar före flyg- ningens avgång och det andra tillfället omedelbart efter att gatens dörrar har stängts.

Den andra överföringen ska få begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter i denna del.

Skälen för regeringens förslag: Av artikel 8.3 i PNR-direktivet framgår att lufttrafikföretagen ska överföra sina PNR-uppgifter vid två tillfällen. Det första tillfället då en överföring ska ske är 24–48 timmar före flygningens planerade avgång. Det andra tillfället är omedelbart efter det att gatens dörrar har stängts. Den sista överföringen av uppgifter anses vara av avgörande betydelse för brottsbekämpningen eftersom t.ex. narkotikakurirer ofta bokar sina resor sent, alternativt bokar om dem. Enligt artikel 8.4 ska medlemsstaterna tillåta lufttrafikföretagen att begränsa den sista överföringen till uppdateringar av de överföringar som har gjorts dessförinnan.

Direktivets bestämmelser om överföringstidpunkter bör föras in i den nya lagen. Den tidsram om 24–48 timmar som anges i direktivet bör bibehållas i den svenska regleringen. Den andra överföringstidpunkten kan i lagen, på samma sätt som i direktivet, avgränsas till när gatens dörrar har stängts, dvs. när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller gå av. Tid- punkten för överföringen borde därmed vara tillräckligt definierad. Vidare bör det av lagen framgå att den andra överföringen får begränsas till uppdateringar eller kompletteringar av de uppgifter som överfördes vid det första tillfället. En andra överföring ska således alltid omfatta även nytillkomna PNR-uppgifter, t.ex. avseende passagerare som bokat flygresan mindre än ett dygn före avgång.

57

8.4Överföringar vid andra tidpunkter

Regeringens förslag: Lufttrafikföretag ska på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tid- punkter än enligt huvudregeln, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: I vissa situationer kan lufttrafikföre- tag behöva överföra PNR-uppgifter även vid andra tidpunkter än de som angetts ovan. I artikel 8.5 i PNR-direktivet anges att i situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska lufttrafikföretag på begäran av en enhet för passagerarinformation överföra PNR-uppgifter vid andra tidpunkter än de som anges i artikel 8.3. En sådan begäran kan exempelvis bli aktuell då omständigheterna medför att tillgång till PNR-uppgifter avseende en viss person eller en viss flygresa är nödvändig för att reagera på en särskild risk för sådan brottslighet som avses i direktivet.

Enligt direktivet ska en sådan extra överföring ske efter en bedömning i det enskilda fallet. En bedömning huruvida det i ett enskilt fall är nöd- vändigt med tillgång till PNR-uppgifter bör göras av enheten för pas- sagerarinformation, eventuellt efter framställan av en behörig myndighet. Det är ju enheten för passagerarinformation och de behöriga myndighet- erna som har bäst kunskap i en sådan fråga och som har tillgång till de, troligen sekretessbelagda, uppgifter som bedömningen vilar på. Det är således inte upp till lufttrafikföretagen att bestämma om en överföring av PNR-uppgifter ska ske i dessa fall, utan överföringen ska ske när en sådan begäran kommer in från enheten för passagerarinformation. Detta bör framgå av regleringen. Således föreslås att det i den nya lagen anges att ytterligare överföringar ska ske när det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brotts- lighet.

 

8.5

Uppgifterna ska överföras elektroniskt

 

 

 

Regeringens förslag: Lufttrafikföretag ska överföra PNR-uppgifterna

 

elektroniskt.

 

Enheten för passagerarinformation får inte medges direktåtkomst till

 

lufttrafikföretagens PNR-uppgifter.

 

Regeringens bedömning: Närmare bestämmelser om lufttrafikföre-

 

tagens överföring av PNR-uppgifter till enheten för passagerar-

 

information bör meddelas i förordning.

 

 

 

Utredningens förslag och bedömning överensstämmer i sak med re-

58

geringens.

 

Remissinstanserna: Svenska Flygbranschen ser problem för det fall

 

kommissionen kommer att tillåta användning av flera olika dataprotokoll

 

och format vilket kan försvåra överföringen av informationen.

 

Skälen för regeringens förslag och bedömning

 

Lufttrafikföretagen ska överföra uppgifterna elektroniskt

 

All överföring av PNR-uppgifter från lufttrafikföretag till enheter för

 

passagerarinformation inom ramen för PNR-direktivet ska enligt

 

artikel 8.3 ske på elektronisk väg. Av artikeln framgår också att över-

 

föringarna ska ske genom användning av de gemensamma protokoll och

 

understödda dataformat som kommer att antas av kommissionen. Vid

 

eventuella tekniska problem får överföringarna ske på något annat sätt

 

som säkerställer ett lämpligt dataskydd (artiklarna 8.3 och 16.1).

 

I artikel 16.2 finns närmare bestämmelser om formen för över-

 

föringarna. Här framgår att kommissionen ska anta en förteckning över

 

godkända gemensamma protokoll och understödda dataformat som ska

 

användas vid överföring av PNR-uppgifter. Alla lufttrafikföretag ska be-

 

stämma vilket gemensamt protokoll och vilket dataformat i förteck-

 

ningen som de avser att använda för sina överföringar och underrätta en-

 

heterna för passagerarinformation om detta.

 

Kommissionen har i genomförandebeslut (EU) 2017/759 av den 28

 

april 2017 om gemensamma protokoll och dataformat som ska användas

 

av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passa-

 

gerarinformation antagit en sådan förteckning över gemensamma proto-

 

koll och understödda format. Förteckningen kan senare komma att ändras

 

(artikel 16.3). I genomförandebeslutet anges att mindre lufttrafikföretag,

 

som inte tillhandahåller flygförbindelser i enlighet med en särskild och

 

offentlig tidtabell och som inte har den nödvändiga infrastrukturen för att

 

använda de gemensamma protokollen och understödda formaten, ska

 

undantas från skyldigheten att använda dessa format och protokoll. Ett

 

sådant lufttrafikföretag ska i stället överföra sina uppgifter på något annat

 

elektroniskt sätt som tillhandahåller tillräckliga garantier med avseende

 

på de tekniska säkerhetsåtgärderna, och som ska överenskommas mellan

 

lufttrafikföretaget och den berörda medlemsstaten. Ett år från den dag då

 

kommissionen för första gången har antagit gemensamma protokoll och

 

understödda dataformat ska all överföring av PNR-uppgifter från luft-

 

trafikföretag till enheter för passagerarinformation inom ramen för

 

direktivet ske enligt de gemensamma protokollen och understödda

 

dataformaten (artikel 16.2). Inom samma tid ska medlemsstaterna vidta

 

de tekniska åtgärder som krävs för att dessa gemensamma protokoll och

 

dataformat ska kunna börja användas (artikel 16.5). Enligt artikel 16.2

 

ska de gemensamma protokollen användas för alla överföringar, så att

 

PNR-uppgifternas säkerhet under överföringen tryggas och uppgifterna

 

överförs i ett understött format, för att säkerställa att det kan läsas av alla

 

berörda parter. En användning av de av kommissionen utsedda data-

 

protokollen och formaten bör därmed inte försvåra överföringen av

 

informationen som Svenska Flygbranschen befarar.

 

Av lagen bör framgå att överföringarna ska ske elektroniskt. De när-

 

mare formerna för överföringarna kommer dock att skifta mellan

 

lufttrafikföretagen och bero på vilket format och protokoll de kommer att

59

välja för överföringarna och huruvida företagen är sådana att de enligt kommissionens beslut kan använda sig av någon annan form för över- föringen. Enligt direktivets artikel 14 ska sanktioner träffa de lufttrafik- företag som inte överför PNR-uppgifter i det fastställda formatet. Det behöver därför finnas närmare bestämmelser om formaten för över- föringarna. Vid eventuella tekniska problem ska vidare överföringarna enligt artikel 8.3 ske på något annat sätt som säkerställer ett lämpligt dataskydd. Dessa frågor kan enligt regeringens mening regleras i förord- ning eller myndighetsföreskrifter. En bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela sådana föreskrifter bör införas i den nya lagen.

Direktåtkomst är inte tillåten

Det finns enligt skäl 16 i PNR-direktivet två möjliga metoder för över- föring av PNR-uppgifter. Den ena metoden är direktåtkomst (även kallad pull-metoden) som innebär att de behöriga myndigheterna i den med- lemsstat som begär tillgång till PNR-uppgifter kan få direktåtkomst till lufttrafikföretagets bokningssystem för att hämta en kopia av de PNR- uppgifter som behövs. Den andra metoden är sändmetoden (även kallad push-metoden), som innebär att lufttrafikföretagen överför de begärda PNR-uppgifterna till den myndighet som har begärt dem. Sändmetoden gör det möjligt för lufttrafikföretagen att behålla kontroll över vilka upp- gifter som tillhandahålls. Den metoden anses därför ge en bättre skydds- nivå för uppgifterna (jfr skäl 16 i PNR-direktivet). Direktivet föreskriver att all överföring av PNR-uppgifter från lufttrafikföretagen ska ske enligt sändmetoden (artiklarna 3.7 och 8.1).

Det bör av lagen framgå vilken metod som ska användas för över- föringarna. Detta görs lämpligast genom en bestämmelse som anger att enheten för passagerarinformation inte får medges direktåtkomst till lufttrafikföretagens PNR-uppgifter. Av en sådan bestämmelse framgår motsatsvis att sändmetoden ska användas för överföringarna.

8.6Anlitande av personuppgiftsbiträde

Regeringens förslag: Lufttrafikföretag som är skyldiga att överföra PNR-uppgifter får anlita ett personuppgiftsbiträde för att utföra över- föringen.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna har inte några invändningar i denna del.

Skälen för regeringens förslag: Den nya lagen kommer att ålägga vissa lufttrafikföretag att överföra PNR-uppgifter till enheten för passagerarinformation. Lufttrafikföretagen är personuppgiftsansvariga för att överföringarna till enheten för passagerarinformation sker på ett säkert sätt, se vidare avsnitt 9.3. Det finns dock inget i direktivet som hindrar att lufttrafikföretagen använder sig av mellanmän, s.k. person- uppgiftsbiträden, för att utföra själva överföringen. Det är således möjligt att överföringarna kommer att ske via systemleverantörer och datori-

serade bokningssystem. Detta bör av tydlighetsskäl framgå av lagen.

60

8.7

Information till passagerare

 

 

 

Regeringens förslag: Lufttrafikföretag ska informera passagerarna

 

om överföringen av PNR-uppgifter till enheten för passagerar-

 

information och om skälen till överföringen.

 

 

 

Utredningens förslag överensstämmer med regeringens.

 

Remissinstanserna: Advokatsamfundet anser att den föreslagna be-

 

stämmelsen är otillräcklig när det gäller kravet på information till den

 

registrerade. Övriga remissinstanser har inga synpunkter på förslaget.

 

Skälen för regeringens förslag: En viktig aspekt av person-

 

uppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter

 

behandlas. Information om den personuppgiftsbehandling som pågår är

 

en förutsättning för att någon ska kunna kontrollera om behandlingen är

 

författningsenlig och i övrigt kunna bevaka sina intressen. Enligt PNR-

 

direktivets skäl 37 bör medlemsstaterna se till att passagerarna klart och

 

tydligt informeras om insamlingen av PNR-uppgifterna och om sina

 

rättigheter. Även i skäl 29 anges att medlemsstaterna bör se till att passa-

 

gerare förses med korrekt, lättåtkomlig och lättbegriplig information om

 

insamlingen av PNR-uppgifter och överföringen av dessa uppgifter till

 

enheten för passagerarinformation samt om sina rättigheter i egenskap av

 

registrerade. Vem som ska lämna denna information till passagerarna

 

anges inte. Informationen skulle således kunna lämnas såväl av lufttrafik-

 

företagen som av enheten för passagerarinformation. Kommissionen har

 

angett att den mest praktiska och önskvärda lösningen är att information-

 

en lämnas av lufttrafikföretagen.

 

Lufttrafikföretagens personuppgiftsbehandling kommer efter den 25

 

maj 2018 att regleras av dataskyddsförordningen. Enskildas rätt till in-

 

formation regleras i artiklarna 12–14 i förordningen. Enligt bestämmel-

 

serna ska lufttrafikföretagen, om informationen samlas in från den regi-

 

strerade, lämna viss information till den registrerade, bl.a. vilka mottagare

 

eller kategorier av mottagare som ska ta del av personuppgifterna. Således

 

följer det redan av dataskyddsförordningen att lufttrafikföretagen ska

 

informera sina passagerare om att de insamlade PNR-uppgifterna

 

kommer att överföras till enheten för passagerarinformation. För det fall

 

lufttrafikföretagen inte har samlat in uppgifterna från den registrerade

 

själv, utan erhållit dem från en researrangör eller resebyrå, gäller dock

 

inte informationsskyldigheten eftersom utlämnande av uppgifterna följer

 

av en författningsreglerad skyldighet (se artikel 14.5 c i förordningen).

 

Regeringen delar kommissionens uppfattning att den mest praktiska

 

lösningen är att lufttrafikföretagen åläggs en skyldighet att informera sina

 

passagerare, oavsett om de själva samlat in uppgifterna eller om de er-

 

hållit dem från en researrangör eller resebyrå. Lufttrafikföretagen lämnar

 

redan i dag liknande information till sina resenärer inför resor till länder

 

som kräver tillgång till PNR-uppgifter. Informationen kan lämpligen

 

lämnas tillsammans med övrig information som lufttrafikföretagen ska

 

lämna till sina passagerare enligt dataskyddsförordningen.

 

Advokatsamfundet har framhållit att den enskilde, genom att kontakta

 

ett lufttrafikföretag via nätet eller göra en bokning på annat sätt, inte kan

 

anses ha samtyckt till att information om honom eller henne samlas in

 

och

nyttjas av lufttrafikföretaget. Advokatsamfundet har vidare fram-

61

hållit att den registrerade innan den kan samtycka till att personupp- gifterna behandlas genom att vidarebefordras till andra aktörer tydligt måste ha informerats om detta.

För överföringen av uppgifterna till enheten för passagerarinformation krävs inget samtycke från den enskilde eftersom behandlingen är nöd- vändig för att fullgöra en rättslig förpliktelse som åvilar lufttrafikföre- tagen (artikel 6.1 c dataskyddsförordningen). När det gäller lufttrafik- företagens insamling av uppgifterna förutsätter regeringen att lufttrafik- företagen efter den 25 maj 2018 följer dataskyddsförordningens be- stämmelser och att insamlingen av uppgifterna vilar på en rättslig grund enligt artikel 6.1 i förordningen.

Den enskildes rätt till information följer, som framgått ovan, redan av dataskyddsförordningen. Eftersom förordningen inte ställer krav på in- formation för det fall lufttrafikföretagen har erhållit PNR-informationen från resebyråer eller researrangörer anser regeringen att lufttrafik- företagen även i den nya lagen bör åläggas att informera passagerarna om överföringen av PNR-uppgifter till enheten för passagerarinformation. Skyldigheten gäller därmed oavsett om PNR-uppgifterna samlats in direkt från passagerare eller via en resebyrå eller en researrangör. Eftersom endast en upplysning om att PNR-uppgifterna kommer att över- föras till enheten för passagerarinformation kan vara svår att förstå för den enskilde resenären bör lufttrafikföretagen även informera om skälen till överföringen. Ett åläggande att lämna denna information påverkar inte lufttrafikföretagens övriga informationsskyldighet enligt dataskydds- förordningen och får i enlighet med artikel 6.2 och 6.3 i data- skyddsförordningen anses utgöra en sådan tillåten nationell bestämmelse som säkerställer en laglig och rättvis behandling. Det medför inte heller någon inskränkning i Polismyndighetens skyldighet att i egenskap av personuppgiftsansvarig lämna information om den personuppgifts- behandling som kommer att ske vid enheten för passagerarinformation.

9Behandling av PNR-information vid enheten för passagerarinformation

9.1En databas för PNR-uppgifter

Regeringens förslag: PNR-uppgifter som har överförts från lufttrafik- företag ska bevaras i en databas vid enheten för passagerar- information.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna fråga.

Skälen för regeringens förslag: Medlemsstaterna ska enligt artikel 12.1 i direktivet se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas.

Det bör framgå av den nya lagen att det vid enheten för passagerar- information ska finnas en datoriserad uppgiftssamling där PNR-uppgifter

62

som har överförts från lufttrafikföretagen ska bevaras. Bestämmelsen bör vara utformad nära direktivets ordalydelse.

9.2Behandling av PNR-information ska ske i Sverige

Regeringens förslag: Enheten för passagerarinformations behandling av PNR-information ska ske i Sverige.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen föreslår att enheten för passagerarinformations behandling av PNR-information inte får ske utanför medlemsstaternas territorium.

Remissinstanserna: Tullverket anser att det kan finnas anledning att på ett tydligare sätt genomföra direktivets krav på säkerhetsbestämmelser i artikel 6.8. Övriga remissinstanser har inte några synpunkter på försla- get.

Skälen för regeringens förslag: Enligt artikel 6.8 i PNR-direktivet ska lagring, behandling och analys av PNR-uppgifter vid enheten för passagerarinformation uteslutande utföras på en eller flera säkra platser på en medlemsstats territorium. Av skäl 13 i direktivet framgår att medlemsstater gemensamt får inrätta en enhet för passagerarinformation.

I lagrådsremissen föreslår regeringen att enheten för passagerar- informations behandling av PNR-information ska ske på en medlemsstats territorium, dvs. inte nödvändigtvis i Sverige. Enligt Lagrådet kan det ifrågasättas om genomförandet är förenligt med vad som föreskrivs i artikel 6.8. Lagrådet menar att ordalydelsen i artikeln snarare ger stöd för att PNR-information ska behandlas i den medlemsstat där den aktuella enheten för passagerarinformation är belägen. Lagrådet förordar därför att enheten för passagerarinformations behandling av PNR-information begränsas till behandling i Sverige. Regeringen instämmer i att direktivet kan utläsas på det sätt som Lagrådet menar och delar bedömningen att enhetens behandling av PNR-information bör begränsas till svenskt territorium. Bestämmelsen bör därför ändras i enlighet med Lagrådets förslag. Med tanke på att de generella säkerhetsbestämmelserna i 3 kap. brottsdatalagen och registerförfattningarna kommer att gälla utöver den nya lagen, är det enligt regeringens mening inte nödvändigt att särskilt föreskriva att hanteringen även ska ske på säkra platser. Det framgår redan av de generella bestämmelserna. Regeringen delar därför inte Tull- verkets uppfattning att direktivets krav på säkerhetsbestämmelser be- höver genomföras på ett tydligare sätt.

63

9.3Personuppgiftsansvar vid enheten för passagerarinformation

Regeringens förslag: Polismyndigheten ska vara personuppgifts- ansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inte några synpunkter på förslaget.

Skälen för regeringens förslag: PNR-direktivet innehåller inte några särskilda bestämmelser om personuppgiftsansvar. Däremot innehåller direk- tivet en rad skyldigheter för de nationella enheterna för passagerar- information när det gäller krav på behandling av personuppgifter.

Den svenska enheten för passagerarinformation kommer att inrättas vid Polismyndigheten och ingå som en organisatorisk enhet i den myn- digheten. Personuppgiftsansvaret för den behandling av personuppgifter som enheten utför enligt den nya lagen bör därför ligga på Polismyndig- heten. Frågan är om detta behöver regleras särskilt.

För Polismyndighetens personuppgiftsbehandling vid enheten för passagerarinformation kommer brottsdatalagen och polisdatalagen (2010:361) att bli tillämplig, för det fall inte annat anges i den nya lagen. Av polisdatalagen framgår att Polismyndigheten är personuppgifts- ansvarig för den personuppgiftsbehandling som utförs vid myndigheten. Det är därför inte nödvändigt att i den nya lagen ange att det är Polis- myndigheten som har personuppgiftsansvaret för enhetens person- uppgiftsbehandling. Eftersom frågan förtjänar tydlighet anser dock rege- ringen att det i den nya lagen bör införas en bestämmelse om Polis- myndighetens personuppgiftsansvar. Bestämmelsen är således av upp- lysande karaktär och förtydligar att det är Polismyndigheten som ansva- rar för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.

Efter att PNR-uppgifterna har överförts från enheten för passagerar- information till olika behöriga myndigheter kommer respektive myndig- het att ansvara för de överförda personuppgifterna och dess fortsatta be- handling av dem. Någon särskild reglering av personuppgiftsansvaret hos de behöriga myndigheterna behöver inte tas in i den nya lagen.

Lufttrafikföretagen har ansvaret för de uppgifter som de samlar in och behandlar i sin verksamhet. Lufttrafikföretagens personuppgiftsansvar framgår av dataskyddsförordningen. Det förhållandet att lufttrafikföre- tagen åläggs en skyldighet att översända redan insamlade uppgifter till enheten för passagerarinformation medför inget behov av en särskild reglering av personuppgiftsansvaret eftersom bestämmelserna i data- skyddsförordningen kommer att omfatta även den behandlingen av upp- gifterna. För det fall att ett lufttrafikföretag anlitar en systemleverantör för överföringen till enheten för passagerarinformation uppträder denne, i fråga om överföringen, som ett personuppgiftsbiträde som behandlar personuppgifter för det personuppgiftsansvariga lufttrafikföretagets räk- ning. Ansvaret för att överföringen till enheten för passagerarinformation sker på ett säkert sätt ligger således hos lufttrafikföretagen. De har dock

64

givetvis inget ansvar för den hanteringen som sker efter att enheten för passagerarinformation har mottagit uppgifterna.

9.4

Personuppgiftsincident

 

 

 

 

Regeringens bedömning: Bestämmelserna i brottsdatalagen om per-

 

 

sonuppgiftsincidenter bör i sin helhet tillämpas på personuppgifts-

 

 

incidenter vid enheten för passagerarinformation. Personuppgifts-

 

 

incidenter behöver därför inte regleras särskilt i den nya lagen.

 

 

 

 

 

Utredningens bedömning överensstämmer med regeringens.

 

Remissinstanserna har inte några synpunkter på förslaget.

 

Skälen för regeringens bedömning: Enligt artikel 13.8 i PNR-

 

direktivet ska enheten för passagerarinformation utan onödigt dröjsmål

 

informera den registrerade och den nationella tillsynsmyndigheten om en

 

personuppgiftsincident kan antas medföra ett avsevärt hot mot skyddet av

 

den registrerades personuppgifter eller negativt påverka dennes integritet.

 

Bestämmelsen har sin motsvarighet i 3 kap. 9 § och 10 § första stycket i

 

förslaget till brottsdatalag vilka kommer att gälla för eventuella person-

 

uppgiftsincidenter vid enheten för passagerarinformation i den mån det

 

inte införs avvikande bestämmelser i den nya lagen.

 

I 3 kap. 9 § brottsdatalagen föreskrivs att en personuppgiftsincident ska

 

anmälas till tillsynsmyndigheten senast 72 timmar efter det att den per-

 

sonuppgiftsansvarige har fått kännedom om incidenten, utom i de fall

 

incidenten ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller

 

föreskrifter som har meddelats i anslutning till den lagen. Ett sådant

 

undantag finns inte angivet i PNR-direktivet. Nationell säkerhet omfattas

 

dock inte av unionsrätten. Det finns därför inte något hinder mot att ha ett

 

motsvande undantag vid genomförandet av PNR-direktivet.

 

Om en personuppgiftsincident som ska anmälas enligt 3 kap. 9 § första

 

stycket brottsdatalagen har medfört eller kan medföra risk för otillbörligt

 

intrång i registrerades personliga integritet ska den personuppgifts-

 

ansvarige enligt 3 kap 10 § första stycket brottsdatalagen underrätta den

 

registrerade om incidenten.

 

I brottsdatalagen finns alltså bestämmelser om rapportering av person-

 

uppgiftsincidenter till både tillsynsmyndigheten och den registrerade.

 

Regeringen anser att bestämmelserna i brottsdatalagen lever upp till

 

kraven i PNR-direktivet. I 3 kap. 10 § andra och tredje styckena och 11 §

 

brottsdatalagen regleras vissa undantag från underrättelseskyldigheten,

 

t.ex. om den personuppgiftsansvarige har tillämpat lämpliga tekniska och

 

organisatoriska skyddsåtgärder, har säkerställt att det inte längre finns

 

risk för otillbörligt intrång i den personliga integriteten eller om den

 

personuppgiftsansvarige skulle behöva göra oproportionerliga ansträng-

 

ningar för att underrätta alla berörda. PNR-direktivet saknar motsvarig-

 

heter till dessa undantag. Undantagen och deras genomförande i brotts-

 

datalagen är emellertid resultatet av rimliga och nödvändiga avvägningar.

 

Om inte samma undantag skulle gälla för enheten för passagerarinformation

 

skulle enheten åläggas orimliga krav som inte står i proportion till enskildas

 

behov av information. Undantagen i brottsdatalagen bör därför vara tillämp-

 

liga även för sådana personuppgiftsincidenter som kan komma att uppstå

65

vid enheten för passagerarinformation. Särskilda bestämmelser om person- uppgiftsincidenter behöver således inte införas i den nya lagen.

9.5Tillåtna ändamål för behandling av PNR- uppgifter från lufttrafikföretag

Regeringens förslag: Enheten för passagerarinformation ska endast få behandla PNR-uppgifter som har överförts från lufttrafikföretag för vissa särskilda ändamål.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget

eller lämnar det utan erinran. Säkerhets- och integritetsskyddsnämnden föreslår att ordet ändamål i bestämmelsen och rubriken till bestämmelsen byts ut till rättsliga grunder i likhet med brottsdatalagens utformning.

Skälen för regeringens förslag

Tillåtna ändamål för behandlingen

I artikel 6.2 i PNR-direktivet finns bestämmelser om vad enheten för passagerarinformation får göra med de insamlade PNR-uppgifterna. Av bestämmelsen framgår att enheten endast får behandla PNR-uppgifterna för följande tre ändamål:

Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera perso- ner som de behöriga myndigheterna och i förekommande fall Europol behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.

I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.

Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt arti- kel 6.3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.

Av artiklarna 9 och 11 i PNR-direktivet framgår att PNR-uppgifterna även får lämnas ut till andra medlemsstater och tredjeländer.

I den nya lagen bör regleras för vilka ändamål PNR-uppgifter som har mottagits från lufttrafikföretagen får behandlas. Artikel 6.2 bör genom- föras genom en bestämmelse som på ett enkelt sätt beskriver för vilka ändamål enheten får behandla PNR-uppgifter och som dessutom inklu- derar behandling för sådana ändamål som anges i artiklarna 9 och 11.

Säkerhets- och integritetsskyddsnämnden har föreslagit att bestämmel- sen ska benämnas rättslig grund i stället för tillåtna ändamål. I förslaget

till ny brottsdatalag skiljer man på bestämmelser om rättslig grund och

66

bestämmelser om ändamål. Bestämmelser om ändamål är bestämmelser som är tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för behandlingen och för att kunna avgöra att inte för många uppgifter behandlas. Sådana be- stämmelser ska skiljas från bestämmelser om rättslig grund för behand- lingen som inte ger någon egentlig ledning för prövningen av vilka personuppgifter som får behandlas. Den nu föreslagna bestämmelsen är enligt regeringens mening en sådan tillräckligt specificerad bestämmelse som ger ledning i hur personuppgifterna får behandlas och är därmed en ändamålsbestämmelse och inte en rättslig grund. Bestämmelsen bör därför, som föreslagits av utredningen, benämnas tillåtna ändamål.

Uppräkningen i bestämmelsen innebär att PNR-uppgifter som har överförts från ett lufttrafikföretag endast får behandlas för något av de angivna ändamålen. PNR-uppgifterna får också behandlas när det är nödvändigt för att tillhandahålla uppgifter som behövs för verksamhet som rör nationell säkerhet enligt 1 kap. 6 §. Paragrafen ersätter de ända- målsbestämmelser som anges i 2 kap. 7 och 8 §§ polisdatalagen och utesluter en tillämpning av 2 kap. 4 § brottsdatalagen om nya ändamål. Behandling är dock alltid tillåten för att uppfylla de syften som anges i 2 kap. tryckfrihetsförordningen om allmänna handlingars offentlighet. Vidare får PNR-uppgifterna alltid behandlas för att besvara en förfrågan från en enskild om huruvida dennes personuppgifter behandlas vid en- heten eller för att ge tillsynsmyndigheten tillgång till behandlade upp- gifter.

Hur de olika ändamålen ska regleras i lagen behandlas nedan.

9.5.1Förhandsbedömningar

Regeringens förslag: PNR-uppgifter ska få behandlas för att göra en förhandsbedömning av passagerare. Bedömningen ska göras före den beräknade ankomsten till eller avresan från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att de kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten anser att ordet utreda bör bytas

ut mot ordet undersöka för att undvika oklarheter rörande för vilka ändamål förhandsbedömningar får göras. Övriga remissinstanser har inte några synpunkter på förslaget.

Skälen för regeringens förslag: Enheten för passagerarinformation har enligt artikel 6.2 a i PNR-direktivet en möjlighet att använda de in- samlade PNR-uppgifterna för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlems- staten. En sådan kontroll av PNR-uppgifter innebär en möjlighet för de behöriga myndigheterna att utifrån objektiva bedömningskriterier och tidigare erfarenheter göra en bedömning av personer som kan utgöra ett säkerhetshot. Syftet med en sådan användning är att övervaka eller gripa personer innan ett brott har begåtts. Uppgifterna kan även användas för

att ingripa mot personer som har begått eller håller på att begå ett brott.

67

PNR-uppgifterna kan således vara ett användbart verktyg för behöriga myndigheter i realtid och ger de behöriga myndigheterna möjlighet att identifiera personer som kanske inte tidigare har varit misstänkta för inblandning i terrorism eller annan allvarlig brottslighet, men som enligt en analys av uppgifterna kan vara involverade i sådan brottslighet och därför bör bli föremål för ytterligare utredning.

En bestämmelse som i stort sett motsvarar ordalydelsen i artikel 6.2 a bör införas i den nya lagen. I likhet med utredningen anser regeringen dock att uttrycket välja ut bör användas i stället för direktivets uttryck identifiera. Polismyndigheten anser att direktivets begrepp utreda bör bytas ut mot begreppet undersöka, för att undvika oklarheter avseende för vilka ändamål förhandsbedömningar får göras och en förväxling med ordet utreda i 1 kap. 2 § i lagförslaget. På så sätt uppnås enligt myn- digheten även den distinktion som finns i den engelska språkversionen av PNR-direktivet, av vilket det enligt artikel 6.2 a framgår att förhands- bedömningen ska göras to identify persons who require further examin- ation medan ordet utreda motsvaras av ordet investigate i artikel 1.2. Regeringen delar dock inte Polismyndighetens farhåga för oklarheter eller förväxling utan anser i likhet med utredningen att direktivets be- grepp utreda bör användas även i den nya lagen.

Sammanfattningsvis bör det därför framgå av den nya lagen att enheten för passagerarinformation får göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndig- heter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet. Eftersom syftet med behandlingen är att PNR-informationen ska utredas vidare av nationella behöriga myndigheter eller av Europol ska behandlingen inte ske för att finna personer som bör utredas vidare vid andra medlemsstaters enheter för passagerarinformation. För det fall enheten skulle finna att den fram- tagna informationen kan vara av intresse även för en annan medlemsstat ska dock informationen lämnas ut även till den medlemsstatens enhet för passagerarinformation. Se vidare avsnitt 10.2.

9.5.2Överföring till behöriga mottagare och tredjeland

Regeringens förslag: PNR-uppgifter ska få behandlas för att enheten för passagerarinformation ska kunna fullgöra sina uppgifter att över- föra PNR-information till behöriga mottagare eller tredjeländer.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt artikel 6.2 b i PNR-direktivet ska enheten för passagerarinformation tillhandahålla de behöriga myn- digheterna eller, när så lämpligt, Europol resultatet av behandlingen av PNR-uppgifterna, dvs. resultatet av förhandsbedömningen. Av artikel 9.1 framgår att enheten även får behandla PNR-uppgifter genom att på eget initiativ överföra relevanta och nödvändiga PNR-uppgifter eller resultatet av en eventuell behandling av dessa uppgifter till motsvarande enheter i

andra medlemsstater.

68

PNR-uppgifter fyller dock inte bara behovet av att kunna användas i realtid för att förhindra brottslighet. Uppgifterna kan även behöva använ- das efter att ett brott har begåtts för att ta fram bevisning och, i före- kommande fall, hitta medbrottslingar och nysta upp kriminella nätverk. I brottsutredningar kan PNR-uppgifter användas exempelvis för att kart- lägga var en misstänkt har befunnit sig vid vissa tidpunkter, vem personen har rest med och vem som har betalat för resan. Exempelvis kan kredit- kortsinformation som ingår bland PNR-uppgifterna göra det möjligt för de behöriga myndigheterna att identifiera och styrka kopplingar mellan en person och en känd brottsling eller ett kriminellt nätverk. Bevarade PNR- uppgifter kan även vara av intresse i underrättelseverksamhet eller annan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksam- het.

I artikel 6.2 b i direktivet anges därför att PNR-uppgifterna även får användas i enskilda fall för att besvara en vederbörligen motiverad för- frågan från en behörig myndighet om att tillhandahålla och behandla PNR-uppgifter i ett specifikt fall. Behöriga myndigheter kan alltså vända sig till enheten för passagerarinformation och begära att få ut PNR- uppgifter som kan vara av värde för dem i deras arbete. En förfrågan ska enligt direktivet bygga på tillräckliga skäl och vara ställd i syfte att före- bygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet.

Av andra bestämmelser i direktivet framgår att enheten för passa- gerarinformation under vissa förutsättningar även ska besvara för- frågningar från andra än behöriga myndigheter om att få ta del av sådana PNR-uppgifter som lagras vid enheten. Sådana förfrågningar kan komma från andra medlemsstaters enheter för passagerarinformation (artikel 9.2), myndigheter som har utsetts till behöriga i andra medlemsstater (artikel 9.3) och Europol (artikel 10.2). Enligt artikel 11 i direktivet får PNR- uppgifter även i vissa fall behandlas för att överföras till ett tredjeland.

Av den nya lagen bör det framgå att enheten för passagerarinformation får behandla PNR-uppgifter för att kunna överföra PNR-information till samtliga mottagare som enligt direktivet är behöriga att motta sådan information. Detta kan lösas genom att det i lagen hänvisas till behöriga mottagare och tredjeland. De närmare förutsättningarna för när över- föring får ske bör dock inte framgå av ändamålsbestämmelsen utan i andra bestämmelser i lagen, vilka behandlas i avsnitt 10.

9.5.3Utformning av kriterier

Regeringens förslag: PNR-uppgifter ska få användas för att upp- datera eller skapa nya kriterier som ska användas vid förhands- bedömningar.

Utredningens förslag överensstämmer i sak med regeringens förslag. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: När enheten för passagerar- information utför förhandsbedömningar får den behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier, se nedan i avsnitt 9.5.4.

Dessa fastställda kriterier ska enligt artikel 6.4 i PNR-direktivet regel-

69

bundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. Av artikel 6.2 c i direktivet framgår att PNR- uppgifter som har samlats in från lufttrafikföretagen och finns lagrade i databasen vid enheten för passagerarinformation även får användas för att uppdatera och skapa nya kriterier som ska användas vid förhands- bedömningar i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet. Uppgifterna får således även använ- das för att uppdatera riskprofilerna eller skapa nya sådana. Det är därmed möjligt för enhetens personal att gå igenom de PNR-uppgifter som finns samlade i databasen för att leta efter mönster som kan indikera att personer kan vara av intresse för vidare kontroller. PNR-uppgifterna kan på detta sätt användas för att förbättra urvalet av de passagerare som kan komma att vara intressanta för vidare granskning. Även denna ändamåls- bestämmelse bör föras in i den nya lagen. Det bör av bestämmelsen framgå att PNR-uppgifter får analyseras för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.

9.5.4Tillåten behandling vid förhandsbedömningar

Regeringens förslag: PNR-uppgifter ska vid förhandsbedömningar dels få jämföras med register eller andra uppgiftssamlingar, dels få behandlas enligt på förhand utformade och fastställda kriterier.

Regeringens bedömning: Att kriterierna ska fastställas och regel- bundet ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter bör regleras i förordning.

Utredningens förslag och bedömning överensstämmer i sak med regeringens.

Remissinstanserna: Datainspektionen anser att den föreslagna be- stämmelsen, mot bakgrund av bestämmelsen i 2 kap. 6 § regerings- formen och kravet på lagreglering för sådana myndighetsregister, är för allmänt hållen och att det bör specificeras i lag vilka slags register som uppgifterna i PNR-databasen ska kunna jämföras mot. Även Hovrätten för Nedre Norrland och Säkerhets- och integritetsskyddsnämnden anser att det bör tydliggöras vilka register eller andra uppgiftssamlingar som enheten för passagerarinformation ska ha tillgång till eller vilka jäm- förelser som får göras.

Skälen för regeringens förslag och bedömning

Jämförelser med register eller andra uppgiftssamlingar

I artikel 6.3 i direktivet anges att enheten för passagerarinformation vid förhandsbedömningar får jämföra PNR-uppgifter dels med uppgifter i relevanta databaser, dels med på förhand fastställda kriterier. Direktivet anger inte vilka databaser som får användas vid förhandsbedömningarna. I artikel 6.3 a anges i stället att databaserna ska vara relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och att det inkluderar databaser över personer eller föremål som är eftersökta eller finns uppförda på en spärrlista. Vidare anges att

jämförelserna ska göras i enlighet med unionsbestämmelser eller inter-

70

nationella eller nationella bestämmelser som är tillämpliga på sådana databaser. Direktivet innehåller således en generell begränsning av vilka typer av uppgiftssamlingar PNR-uppgifterna kan jämföras med. Med- lemsstaterna får dock själva bestämma vilka databaser som ska användas. Artikeln är inte tvingande utan ger endast medlemsstaterna en möjlighet att söka mot relevanta databaser.

Enheten för passagerarinformation kommer att få del av PNR-uppgifter från miljontals flygresor. För att enheten utifrån dessa uppgifter ska kunna välja ut personer som kan vara intressanta för vidare utredning bör den ha tillgång till vissa hjälpmedel. Regeringen anser att det är av stor vikt för PNR-uppgifternas användning att de kan jämföras med uppgifter i andra relevanta databaser. En bestämmelse motsvarande artikel 6.3 a i direktivet bör därför införas i den nya lagen.

Utredningen har föreslagit att det av den nya lagen ska framgå att PNR-uppgifter vid förhandsbedömningar får jämföras med sådana regis- ter eller andra uppgiftssamlingar som är relevanta för direktivets syften, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller grov brottslighet. Utredningen har dock inte ansett att det är nödvändigt att i den nya lagen reglera vilka register eller uppgifts- samlingar som PNR-uppgifterna får jämföras med. Datainspektionen har haft synpunkter på utredningens bedömning och anser att det av lagen bör framgå vilka register eller andra uppgiftssamlingar som PNR- uppgifterna ska kunna jämföras med, eller att regeringen bör bemyndigas att utifrån regleringen i lag närmare peka ut de särskilda register som ska kunna komma ifråga för jämförelse. Även Hovrätten för Nedre Norrland och Säkerhets- och integritetsskyddsnämnden har framfört att det bör tydliggöras vilka register som avses.

Det kan bli aktuellt att jämföra PNR-uppgifter med både internationella och nationella databaser. Som exempel kan nämnas SIS-registret, där bl.a. efterlysta för brott registreras, Interpols databas över kända inter- nationella brottslingar och misstankeregistret. Vilka register och upp- giftssamlingar som finns kan dock variera över tid. Regeringen delar därför utredningens uppfattning att det inte är lämpligt att i den nya lagen peka ut exakt med vilka register eller uppgiftssamlingar jämförelser ska få ske. Regeringen anser inte heller att det finns skäl att bemyndiga regeringen att peka ut specifika uppgiftssamlingar. Vilka jämförelser som är möjliga kommer, eftersom det inte föreslås någon särreglering i den nya lagen, att begränsas av vilken behandling som är tillåten enligt polisdatalagen och brottsdatalagen samt annan lagstiftning där Polis- myndighetens tillgång till registret eller uppgiftssamlingen regleras. Möjligheterna till jämförelse med register och andra uppgiftssamlingar bör dessutom, i enlighet med utredningens förslag, begränsas till register eller andra uppgiftssamlingar som är relevanta för direktivets syften, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet. Eftersom de aktuella upp- giftssamlingarna normalt utgör register och inte databaser bör uttrycket ”register eller andra uppgiftssamlingar” användas i lagtexten i stället för databaser

71

Jämförelser med på förhand fastställda kriterier

Vid förhandsbedömningarna får enheten för passagerarinformation enligt artikel 6.3 b i PNR-direktivet även behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Med detta avses vad som i polisiära sammanhang kallas för profilering. Med en profil menas en icke person- anknuten företeelse som kan avse uppgifter om t.ex. avreseort, resrutt, betalningssätt, bokningsrutin och bagage. Vissa mönster och beteenden i resandeflödet utgör riskprofiler som kan ge anledning att kontrollera en viss person. En analys av PNR-uppgifter kan exempelvis ge indikationer på de vanligaste rutterna för människohandel och narkotikahandel, vilket är information som sedan kan användas som bedömningskriterier.

I artikel 6.4 i direktivet anges att förhandsbedömningen av passagerare i enlighet med på förhand fastställda kriterier ska utföras på ett icke- diskriminerande sätt. De på förhand fastställda kriterierna måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kri- terierna fastställs och regelbundet ses över av enheterna för passagerar- information i samarbete med behöriga myndigheter. Dessa på förhand fastställda kriterier får dessutom under inga omständigheter vara base- rade på känsliga personuppgifter.

Inte heller direktivets bestämmelse om de på förhand fastställda krite- rierna i artikel 6.3 b är tvingande. Det utgör således en frivillig möjlighet för medlemsstaterna att använda sig av profilering. Om en profilering sker ska dock bestämmelserna i artikel 6.4 vara uppfyllda. Möjligheten till profilering är enligt regeringens mening av sådan vikt för PNR- uppgifternas användning att det bör möjliggöras i lagen. Av lagen bör framgå att PNR-uppgifter får behandlas i enlighet med på förhand utfor- made och fastställda kriterier i samband med förhandsbedömningar av passagerare. Vidare bör det anges att dessa kriterier ska vara riktade, proportionella och avgränsade och inte grunda sig på känsliga person- uppgifter.

Det kan i förordning eller myndighetsföreskrifter regleras att krite- rierna ska fastställas och regelbundet ses över av enheten för passagerar- information i samarbete med behöriga myndigheter.

 

9.5.5

Behandling av PNR-information från andra

 

 

medlemsstater

 

 

 

Regeringens förslag: Enheten för passagerarinformation ska endast få

 

behandla PNR-information som har mottagits från motsvarande

 

enheter i andra medlemsstater i syfte att vidarebefordra den till be-

 

höriga myndigheter.

 

 

 

Utredningens förslag överensstämmer i sak med regeringens.

 

Remissinstanserna har inte några synpunkter på förslaget.

 

Skälen för regeringens förslag: En enhet för passagerarinformation

 

som vid en förhandsbedömning av passagerare har identifierat en person

 

som är av intresse kan i vissa fall överföra informationen om personen

 

inte bara till en myndighet som har utsetts till behörig i det egna landet,

 

utan även till en motsvarande enhet i en annan medlemsstat. Detta fram-

72

går av

artikel 9.1 i direktivet och behandlas närmare i avsnitt 10.2.2.

 

 

Enheten för passagerarinformation i Sverige kommer således inte bara att behandla PNR-uppgifter som har kommit in från lufttrafikföretagen till den egna databasen, utan kommer därutöver också att motta och be- handla PNR-information från andra medlemsstaters enheter för passa- gerarinformation. Enligt artikel 9.1 ska den mottagande enheten överföra de mottagna uppgifterna till sina behöriga myndigheter. Enheten för passagerarinformation kommer vidare att motta PNR-information från andra medlemsstaters enheter för passagerarinformation som svar på sådana förfrågningar som enheten har ställt till den andra enheten (artikel 9.2). Det framgår dock inte av direktivet vad enheten ska göra med denna information. Enligt regeringens bedömning bör enheten för passagerarinformation i dessa fall uppfattas som en förmedlare av PNR- information. PNR-information som har hämtats in med stöd av be- stämmelserna i lagen ska således inte bevaras hos enheten, i vart fall inte någon längre tid. Denna fråga behandlas vidare i avsnitt 9.8.1. PNR- information som mottagits från andra medlemsstater kan därmed inte användas för att enheten för passagerarinformation ska kunna verifiera sin egen databas eller finslipa sina kriterier etc.

Den behandling som ska ske av PNR-information som har mottagits från andra medlemsstaters motsvarande enheter ska syfta till att uppgif- terna ska föras vidare till behöriga myndigheter för användning i verk- samhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terro- ristbrottslighet eller annan allvarlig brottslighet. För det fall det kan kon- stateras att den mottagna informationen inte avser terroristbrottslighet eller annan allvarlig brottslighet får informationen inte sändas vidare till be- höriga myndigheter, se avsnitt 7.9. Hur enheten i övrigt ska gå till väga vid överlämnandet av PNR-information till behöriga myndigheter be- handlas i avsnitt 10.1.

9.6Tillgången till PNR-information bör begränsas

Regeringens förslag: Bara den som tjänstgör vid enheten för passa- gerarinformation och den som fullgör uppgifter enligt lagen ska få tillgång till PNR-information som behandlas vid enheten. Tillgången till informationen ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringens bedömning: Närmare bestämmelser om tillgången till PNR-information bör meddelas i förordning eller myndighets- föreskrifter.

Utredningens förslag och bedömning överensstämmer delvis med

 

regeringens. Utredningen föreslår inte att den som fullgör uppgifter

 

enligt lagen ska få tillgång till PNR-information.

 

Remissinstanserna har inga synpunkter på förslaget.

 

Skälen för regeringens förslag och bedömning: Inom enheten för

 

passagerarinformation kommer det att finnas personuppgifter om en-

 

skilda som, för att PNR-direktivets krav på tillfredsställande integritets-

 

skydd ska uppnås, inte bör vara allmänt tillgängliga inom Polismyndig-

 

heten. I 2 kap. 11 § polisdatalagen slås fast att tillgången till person-

 

uppgifter inom Polismyndigheten ska begränsas till vad varje tjänsteman

73

behöver för att kunna fullgöra sina arbetsuppgifter. Polismyndigheten ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. I bestämmelsens andra stycke finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Regeringen har i 3 § polisdataförordningen (2010:1155) föreskrivit att Polismyndigheten och Säkerhetspolisen får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive verksamhetsområden.

Regleringen i polisdatalagen och polisdataförordningen skulle kunna anses vara tillräcklig för att begränsa tillgången till PNR-information till endast den som tjänstgör vid enheten för passagerarinformation. Regeringen anser emellertid att frågan om en begränsning av tillgången till PNR-information är av central betydelse för integritetsskyddet och att den bör regleras särskilt i den nya lagen. Dessutom kan även andra än de som arbetar vid enheten för passagerarinformation i vissa fall behöva ha tillgång till PNR-information som behandlas vid enheten, t.ex. den som ska pröva utlämnade av behörighetsbegränsade PNR-uppgifter i sin full- ständiga form. Av lagen bör därför framgå att även den som fullgör upp- gifter enligt lagen ska få tillgång till PNR-information som behandlas vid enheten.

Det är också viktigt att det inte förekommer en onödigt bred åtkomst till PNR-informationen, alldeles oavsett om det är motiverat för verksam- hetens effektivitet och ändamålsenlighet eller inte. Det föreslås därför att det i den nya lagen också anges att tillgången till PNR-information ska begränsas till vad varje person behöver för att kunna fullgöra sina arbets- uppgifter. Närmare bestämmelser om tillgången, inom denna ram, bör dock kunna meddelas i förordning eller genom myndighetsföreskrifter.

 

9.7

Förbud mot direktåtkomst

 

 

 

Regeringens förslag: Direktåtkomst till PNR-information som be-

 

handlas vid enheten för passagerarinformation får inte medges.

 

 

 

Utredningens förslag överensstämmer i sak med regeringens.

 

Remissinstanserna: Försvarsmakten anser att det vore en fördel om

 

myndigheten medges direktåtkomst till PNR-uppgifterna som behandlas

 

vid enheten för passagerarinformation. Övriga myndigheter har inte ut-

 

talat sig särskilt om förslaget.

 

Skälen för regeringens förslag: Med direktåtkomst avses att en myn-

 

dighet har getts direkt tillgång till någon annan myndighets register eller

 

databas och på egen hand kan söka efter information, normalt utan att

 

kunna påverka innehållet i registret eller databasen (se bl.a. prop.

 

2009/10:85 s. 168). I begreppet ligger också att den som är personupp-

 

giftsansvarig för registret eller databasen inte har någon kontroll över

 

vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.

 

Försvarsmakten anser att det vore en fördel om de behöriga myndig-

 

heterna kan medges direktåtkomst till PNR-uppgifterna hos enheten för

 

passagerarinformation. Som har framgått ovan får PNR-uppgifterna

74

enligt artikel 6 i direktivet endast behandlas för vissa särskilda ändamål.

Av dessa följer att behöriga myndigheter ska få tillgång till PNR- information först efter att enheten för passagerarinformation har be- handlat och överfört uppgifterna. Det får därför anses strida mot direk- tivet att ge de behöriga myndigheterna direktåtkomst till de uppgifter som behandlas vid enheten.

Polisdatalagen kommer att vara tillämplig vid enhetens behandling av PNR-uppgifter och andra personuppgifter i den utsträckning den nya lagen inte innehåller avvikande bestämmelser. Med tanke på att 3 kap. 8 § polisdatalagen föreskriver att direktåtkomst får medges vissa av de myndigheter som är behöriga myndigheter enligt PNR-direktivet, behövs en uttrycklig bestämmelse i den nya lagen som förbjuder direktåtkomst till den PNR-information som behandlas vid enheten. En bestämmelse som förbjuder direktåtkomst till PNR-informationen bör därför införas i den nya lagen.

9.8Tid som PNR-uppgifterna ska bevaras

9.8.1Tid för bevarande

Regeringens förslag: PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de har kommit in från ett lufttrafikföretag. Därefter ska uppgifterna förstöras.

Regeringens bedömning: Det bör regleras i förordning att viss dokumentation ska bevaras, att loggning ska utföras och att loggarna ska bevaras i fem år. Även hur länge resultatet av förhands- bedömningar ska få bevaras bör tas in i förordning.

Utredningens förslag och bedömning överensstämmer i sak med regeringens.

Remissinstanserna framför inte några synpunkter på förslaget.

Skälen för regeringens förslag och bedömning

PNR-uppgifterna ska förstöras efter fem år

Av skäl 25 i PNR-direktivet framgår att lagringstiden för PNR-uppgifter bör vara tillräckligt lång dels för att stå i proportion till ändamålen att be- kämpa terroristbrott och grov brottslighet, dels för att möjliggöra att PNR-uppgifterna kan användas i samband med analyser och utredningar. Med dessa utgångspunkter fastställs tiden för lagring av PNR-uppgifter som lämnas till enheten för passagerarinformation i artikel 12.1 i direk- tivet till fem år. Vid utgången av femårsperioden ska medlemsstaterna, enligt artikel 12.4 i direktivet, se till att PNR-uppgifterna slutgiltigt raderas. PNR-uppgifterna ska således bevaras i en databas vid enheten för passagerarinformation i fem år, varken längre eller kortare tid.

I skäl 30 till direktivet anges att direktivet inte påverkar tillämpningen av nationell rätt om principen om allmänhetens tillgång till allmänna handlingar. Något bärande intresse av insyn i PNR-uppgifterna som kommer att lagras i databasen vid enheten för passagerarinformation bör inte finnas. Utifrån de intressen som bär upp handlingsoffentligheten bör

75

därför inte en längre tids bevarande än den i direktivet angivna tids- gränsen föreslås.

Av den nya lagen bör, utöver att PNR-uppgifterna som behandlas vid enheten för passagerarinformation ska bevaras i fem år efter det att upp- gifterna kommit in till enheten, även framgå att uppgifterna efter femårs- perioden ska förstöras. Bestämmelsen medför att uppgifter successivt måste förstöras.

Skyldigheten att bevara viss dokumentation och loggning

Av PNR-direktivets skäl 37 framgår att all behandling av PNR-uppgifter bör loggas eller dokumenteras i syfte att kontrollera att den är laglig och för att möjliggöra självövervakning och säkerställande av uppgifternas integritet och en säker behandling. Artikel 13.5 i direktivet behandlar frågan om bevarande av dokumentation. I bestämmelsen anges att enheten för passagerarinformation ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling inom dess ansvarsområde. Dokumenta- tionen ska minst innehålla

namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts be- handlingen av PNR-uppgifter och de olika nivåerna av åtkomst- behörighet,

begäran från behöriga myndigheter och enheter för passagerar- information i andra medlemsstater, och

begäran om och överföring av PNR-uppgifter till ett tredjeland.

I bestämmelsen anges vidare att enheten för passagerarinformation på begäran ska göra all dokumentation tillgänglig för den nationella tillsyns- myndigheten.

Av artikel 13.6 i direktivet framgår att medlemsstaterna ska se till att en- heten för passagerarinformation för loggar över behandling av PNR- uppgifter. Enligt bestämmelsen ska loggar föras över åtminstone insamling, läsning, utlämning och radering. Loggarna över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identitetsuppgifter för den person som har läst eller lämnat ut PNR-uppgifterna samt identitetsuppgifter för de personer som har mot- tagit uppgifterna. Loggarna ska uteslutande användas för kontroll och själv- övervakning, för att säkerställa dataintegritet och datasäkerhet och för revision. Enheten för passagerarinformation ska på begäran göra loggarna tillgängliga för den nationella tillsynsmyndigheten. Av artikeln framgår vidare att loggarna ska bevaras i fem år.

Enligt förslaget till brottsdatalag ska den personuppgiftsansvarige föra ett register över alla kategorier av verksamheter som den ansvarar för. Den information som ska bevaras är i många fall begränsad till kategorier av uppgifter. Enligt PNR-direktivet ska mer detaljerade uppgifter bevaras än de som anges i brottsdatalagen. Dessutom ska dokumentation bevaras om vissa faktiska enskilda behandlingar. Bestämmelser om bevarande av dokumentation behöver därför föras in i den nya regleringen. Vidare bör en bestämmelse som anger att Polismyndigheten ska se till att det utförs loggning över enheten för passagerarinformations personuppgiftsbe-

76

handling införas. Av bestämmelsen bör framgå att loggarna ska bevaras i fem år. Bestämmelserna kan tas in i förordning.

Att dokumentationen och loggarna på begäran ska göras tillgängliga för tillsynsmyndigheten framgår av brottsdatalagen och behöver inte regleras särskilt i den nya lagen.

Bevarande av resultatet av förhandsbedömningar

Av artikel 12.5 i PNR-direktivet framgår att ett resultat från en förhands- bedömning av en passagerare endast får bevaras av enheten för passagerarinformation så länge som det krävs för att informera de behö- riga myndigheterna och enheterna för passagerarinformation i andra medlemsstater om träffen. Bestämmelsen skulle kunna tolkas som att en s.k. positiv träff från en förhandsbedömning bara får sparas tills den har sänts vidare till en eller flera behöriga myndigheter och eventuellt en enhet för passagerarinformation. Eftersom en behörig myndighet kan komma att återrapportera att även en annan behörig myndighet eller medlemsstat bör informeras om träffen bör dock en möjlighet finnas för enheten att behålla resultatet en viss tid efter att en träff har skickats till en behörig myndighet för vidare granskning. Artikeln bör därför tolkas på så sätt att ett resultat ska förstöras så snart det inte längre behövs för att informera behöriga myndigheter och eventuellt andra medlemsstaters enheter för passagerarinformation om resultatet. Frågan kan regleras i förordning.

Falska träffar får enligt artikel 12.5 andra meningen bevaras så länge de bakomliggande PNR-uppgifterna inte har raderats. Med en falsk träff avses resultatet av en förhandsbedömning som efter en individuell granskning inte bedöms behöva utredas närmare och därför inte har över- sänts till en behörig myndighet. Syftet med bestämmelsen är att undvika upprepning av samma felaktiga träff mot urvalskriterierna. Sparade upp- gifter om falska träffar kan nämligen medföra att oskyldiga personer inte blir kontrollerade på nytt vid en ny resa. De falska träffarna kan även användas för att förbättra urvalskriterierna. En reglering bör därför in- föras som innebär att falska träffar får bevaras som längst till dess att de bakomliggande PNR-uppgifterna har raderats, dvs. vid utgången av den femåriga bevarandetiden. Detsamma ska gälla om en positiv träff sänts vidare till behöriga myndigheter men dessa hinner återrapportera att träffarna inte föranlett vidare misstankar innan träffarna har hunnit raderas av enheten för passagerarinformation. Även denna fråga kan regleras i förordning.

PNR-direktivet innehåller inga uttryckliga bestämmelser om hur länge PNR-information som har översänts från andra medlemsstaters enheter för passagerarinformation till vår motsvarande enhet får bevaras. Som har angetts tidigare får enheten för passagerarinformation i dessa fall ses som en förmedlare av PNR-information. Den PNR-information som överförs till enheten från andra medlemsstaters motsvarande enheter ska således sändas vidare till de behöriga myndigheterna för att användas där, se avsnitt 9.5.5. Tanken är alltså inte att dessa uppgifter ska bevaras hos enheten. De PNR-uppgifter som har översänts till vår nationella enhet för passagerarinformation från andra medlemsstaters motsvarande

enheter kan således inte anses omfattas av de lagringsbestämmelser som

77

finns i artikel 12. Enligt regeringens mening bör det därför regleras i förordning hur länge PNR-information som har översänts från andra med- lemsstater till enheten för passagerarinformation får bevaras.

 

9.8.2

PNR-uppgifter som inte omfattas av lagen eller

 

 

som utgör känsliga personuppgifter ska

 

 

omedelbart förstöras

 

 

 

Regeringens förslag: PNR-uppgifter som inte anges i bilagan till

 

lagen eller som utgör känsliga personuppgifter ska omedelbart för-

 

störas om de kommer in till enheten för passagerarinformation.

 

 

 

Utredningens förslag överensstämmer delvis med regeringens. Utred-

 

ningen föreslår att förstöring av PNR-uppgifter som inte omfattas av

 

lagen ska regleras i förordning.

 

Remissinstanserna: Polismyndigheten framhåller att det saknas såväl

 

reella som realistiska möjligheter att efterleva förbudet mot behandling

 

av känsliga personuppgifter, dels utifrån den stora mängd uppgifter som

 

kommer att översändas till enheten, dels med anledning av svårigheterna

 

att identifiera vad som är känsliga personuppgifter. Polismyndigheten

 

framhåller vidare att myndighetens kostnadsansvar för behandling av

 

känsliga personuppgifter kan bli mycket stort eftersom enskilda enligt

 

lagförslaget har rätt till radering, rättelse och skadestånd samt att till-

 

synsmyndigheten föreslås få rätt att ta ut sanktionsavgifter vid be-

 

handling av känsliga personuppgifter. Även Hovrätten för Nedre

 

Norrland ser att det kan uppstå problem med hur kravet på omedelbar

 

radering av känsliga personuppgifter ska efterlevas. Justitiekanslern

 

betonar vikten av en noggrann granskning av uppgifterna som ingår i

 

allmänna anmärkningar i punkten 12 i bilagan till lagen för att inte käns-

 

liga personuppgifter ska behandlas av misstag.

 

Skälen för regeringens förslag: Av artikel 6.1 i PNR-direktivet fram-

 

går att enheten för passagerarinformation omedelbart ska radera över-

 

förda uppgifter som avser andra uppgifter än de som framgår av direk-

 

tivets bilaga 1. Som framgått tidigare finns det även i artikel 13.4 i direk-

 

tivet ett förbud mot behandling av PNR-uppgifter som avslöjar en

 

persons ras eller etniska ursprung, politiska åsikter, religion eller filo-

 

sofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv

 

eller sexuella läggning. En bestämmelse med denna innebörd har före-

 

slagits i den nya lagens inledande bestämmelser, se avsnitt 7.10. Om en-

 

heten för passagerarinformation mottar sådana känsliga PNR-uppgifter

 

ska uppgifterna enligt samma artikel omedelbart raderas. Direktivet ger

 

inte några närmare anvisningar kring hur raderingen ska gå till. Det är

 

således upp till varje medlemsstat att finna lämpliga lösningar för att

 

uppfylla denna skyldighet.

 

Förutom när det gäller överföring av känsliga personuppgifter finns det

 

inget förbud mot att lufttrafikföretagen överför andra PNR-uppgifter än

 

de som framgår av bilagan till lagen. Enheten för passagerarinformation

 

kan därför komma att motta andra PNR-uppgifter än de som ska över-

 

föras enligt den nya lagen. Trots att det finns ett förbud mot behandling

78

av känsliga personuppgifter går det inte heller att utesluta att känsliga

 

 

personuppgifter kan komma att överföras till enheten för passagerar- information. Känsliga personuppgifter kan t.ex. förekomma i de all- männa anmärkningarna enligt punkten 12 i bilagan till lagen, som är ett fritextfält för kommunikation mellan t.ex. resebokare och flyg- bolagspersonal. Det kan här finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. En lösning för att minimera risken att känsliga personuppgifter överförs till enheten för passagerarinformation hade kunnat vara att inte ålägga lufttrafikföretagen att överföra uppgifter enligt punkten 12 i bilagan till direktivet. Uppgifter som enligt direktivet ska överföras av lufttrafikföretagen skulle dock därmed helt tas bort. En sådan lösning kan därför inte anses vara förenlig med direktivet.

Regeringen har förståelse för bl.a. Polismyndighetens uppfattning att det kan vara svårt att i den stora mängd uppgifter som kommer in till enheten för passagerarinformation sortera ut eventuella känsliga person- uppgifter. Direktivets bestämmelser om radering av känsliga personupp- gifter samt de uppgifter som inte omfattas av bilagan till direktivet måste dock genomföras i den nya regleringen. Det innebär att de tekniska lös- ningar som tas fram måste utformas så att enheten för passagerar- information på bästa sätt kan tillgodose direktivet och dess krav på rade- ring. Som Justitiekanslern har anfört är det viktigt att undvika att käns- liga personuppgifter överförs till enheten för passagerarinformation. Till skillnad från utredningen anser regeringen att såväl skyldigheten att för- störa känsliga personuppgifter som andra uppgifter som inte omfattas av lagen bör regleras i lag.

9.9Behörighetsbegränsning av vissa PNR- uppgifter

Regeringens förslag: Vissa PNR-uppgifter som kan användas för att direkt identifiera en person ska behörighetsbegränsas sex månader efter mottagandet från lufttrafikföretagen. Begreppet behörighets- begränsade PNR-uppgifter ska definieras.

Regeringens bedömning: Det bör i förordning införas bestämmel- ser som begränsar tillgången till behörighetsbegränsade uppgifter.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår att avidentifieringen av upp- gifterna benämns maskering och att begreppen maskering, maskerade och avmaskerade PNR-uppgifter definieras i lagen.

Remissinstanserna: Stockholms tingsrätt anser att bestämmelserna om maskering kan förtydligas. Datainspektionen efterfrågar ett förtydligande gällande offentlighetsprincipen och förhållandet till uppgifter som har maskerats men fortfarande finns lagrade hos enheten för passagerar- information. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag och bedömning: Enligt direktivets artikel 12.2 ska PNR-uppgifterna i PNR-databasen avidentifieras genom maskering efter en inledande sexmånadersperiod. Det innebär, enligt

direktivets definition i artikel 3.10, att de uppgifter som kan användas för

79

att omedelbart identifiera den registrerade görs osynliga för användare. Syftet med maskeringen är enligt direktivets skäl 25 att en oproportioner- lig användning av uppgifterna ska undvikas.

De uppgifter som ska avidentifieras efter sex månader är enligt arti- kel 12.2:

namn, inklusive namn på andra passagerare i PNR samt antal passa- gerare i PNR som reser tillsammans,

adress och kontaktuppgifter,

alla former av betalningsinformation, inbegripet faktureringsadress om denna innehåller uppgift som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer,

uppgifter om bonusprogram,

allmänna anmärkningar, om dessa innehåller uppgifter som kan an- vändas för att omedelbart identifiera den passagerare som per- sonuppgiftssamlingar avser, och

alla API-uppgifter som samlats in.

Artikel 12.2 bör genomföras genom en motsvarande bestämmelse i den nya lagen. I den svenska översättningen av direktivet används begreppet avidentifiering genom maskering för att beskriva att uppgifterna görs osynliga för användaren. Eftersom uppgifterna under vissa förut- sättningar ska kunna tas fram igen är inte tanken att kopplingen mellan PNR-uppgifterna och den fysiska personen ska brytas. Med avidenti- fiering avses i andra sammanhang att kopplingen mellan uppgifterna och en fysik person har raderats. Begreppet avidentifiering bör därför inte an- vändas i författningstexten. Utredningen har föreslagit att begreppet maskering ska användas. Regeringen anser dock att begreppet behörig- hetsbegränsade personuppgifter i stället bör användas eftersom begreppet på ett bra sätt avspeglar att uppgifterna fortfarande finns kvar i databasen men är otillgängliga för en användare som saknar särskild behörighet till uppgifterna. Bestämmelsen blir därmed tydligare, vilket har efterfrågats av Stockholms tingsrätt. Av lagen bör framgå att vissa PNR-uppgifter ska behörighetsbegränsas sex månader efter mottagandet från lufttrafikföre- tagen om de kan användas för att identifiera en person. Begreppet behö- righetsbegränsade uppgifter bör i lagen definieras som personuppgifter som gjorts otillgängliga för en användare som saknar särskild behörighet för tillgång till uppgifterna.

Med anledning av Datainspektionens begäran om förtydligande gällande offentlighetsprincipen och förhållandet till uppgifter som har behörighetsbegränsats kan det påpekas att utlämnande med stöd av tryck- frihetsförordningen inte kan begränsas på grund av de bestämmelser om behörighetsbegränsning som föreslås för att genomföra direktivet.

Enligt direktivets skäl 25 bör åtkomst till maskerade uppgifter endast beviljas under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Som ett komplement till bestämmel- serna om behörighetsbegränsning bör det därför införas bestämmelser som ställer krav på att åtkomst till sådana uppgifter ska vara särskilt be- gränsad. Sådana bestämmelser bör tas in i förordning.

80

9.10

Dataskyddsombud

 

 

 

Regeringens förslag: Polismyndigheten ska utse ett dataskydds-

 

ombud för enheten för passagerarinformation. Dataskyddsombudet

 

ska ansvara för att fullgöra de uppgifter som anges i brottsdatalagen

 

och ha tillgång till alla uppgifter som behandlas vid enheten. En

 

enskild ska ha rätt att kontakta ombudet i alla frågor som rör behand-

 

ling av hans eller hennes PNR-uppgifter enligt den nya lagen. Om

 

dataskyddsombudet anser att den personuppgiftsansvarige bryter mot

 

bestämmelser för behandling av PNR-uppgifter, ska han eller hon

 

anmäla det till tillsynsmyndigheten.

 

Regeringens bedömning: Att den personuppgiftsansvarige ska till-

 

handahålla nödvändiga resurser för att dataskyddsombudet ska kunna

 

utföra sina uppgifter bör regleras i förordning.

 

 

 

Utredningens förslag och bedömning överensstämmer delvis med

 

regeringens. Utredningen föreslår att dataskyddsombudet ska ansvara för

 

genomförandet av relevanta skyddsåtgärder. Utredningen föreslår inte

 

någon bestämmelse om tillhandahållande av nödvändiga resurser för

 

dataskyddsombudet.

 

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden fram-

 

håller att det är den personuppgiftsansvarige, och inte enheten för passa-

 

gerarinformation, som kan bryta mot bestämmelserna om behandling av

 

PNR-uppgifter. Nämnden föreslår därför en justerad utformning av be-

 

stämmelsen. Övriga remissinstanser har inga synpunkter på förslaget.

 

Skälen för regeringens förslag och bedömning: Enheten för passa-

 

gerarinformation ska, enligt artikel 5.1 i PNR-direktivet, utse ett data-

 

skyddsombud som ska ansvara för övervakningen av behandlingen av

 

PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder. I

 

artikel 5.2 anges att medlemsstaterna ska förse dataskyddsombuden med

 

de resurser som de behöver för att utföra sina uppgifter på ett effektivt

 

och oberoende sätt. Vidare ska medlemsstaterna, enligt artikel 5.3, se till

 

att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av

 

enda kontaktpunkt, i alla frågor som rör behandlingen av den regi-

 

strerades PNR-uppgifter. Även i andra artiklar i direktivet finns be-

 

stämmelser som rör dataskyddsombudet. I artikel 6.7 anges att medlems-

 

staterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter

 

som enheten för passagerarinformation behandlar. Om dataskyddsombu-

 

det anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska

 

dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndig-

 

heten. Enligt artikel 11.4 ska dataskyddsombudet informeras varje gång

 

en medlemsstat överför PNR-uppgifter till ett tredjeland enligt artikel 11.

 

I artikel 11.2 anges dessutom att överföringar utan förhandssamtycke av

 

den medlemsstat från vilken uppgifterna hämtades ska genomgå efter-

 

handskontroll. Vidare ska dataskyddsombudet, enligt artikel 12.3, infor-

 

meras och genomföra en efterhandsutvärdering när en annan nationell

 

myndighet än en rättslig sådan har lämnat tillstånd till utlämnande av

 

avmaskerade PNR-uppgifter.

 

Någon definition av begreppet dataskyddsombud finns inte i PNR-

 

direktivet. Termen används dock i det nya dataskyddsdirektivet och i den

 

föreslagna

brottsdatalagen. I 1 kap. 6 § brottsdatalagen definieras ett

81

 

dataskyddsombud som den som utses av den personuppgiftsansvarige för

 

att självständigt kontrollera att personuppgifter behandlas författnings-

 

enligt och på ett korrekt sätt. Enligt 3 kap. 13 § brottsdatalagen ska den

 

personuppgiftsansvarige utse ett eller flera dataskyddsombud och anmäla

 

till tillsynsmyndigheten när dataskyddsombud utses och entledigas. Data-

 

skyddsombudets uppgifter framgår av 3 kap. 14 § brottsdatalagen.

 

I PNR-direktivet anges att enheten för passagerarinformation ska utse

 

ett eget dataskyddsombud. En skyldighet för Polismyndigheten att utse

 

ett dataskyddsombud vid enheten för passagerarinformation bör därför

 

föras in i den nya lagen. Det bör dock inte finnas något hinder mot att

 

ombudet har sin anställning utanför enheten. Skyldigheten att anmäla till

 

tillsynsmyndigheten när dataskyddsombud utses och entledigas bör också

 

åligga den personuppgiftsansvarige, dvs. Polismyndigheten. Detta fram-

 

går dock av brottsdatalagen och behöver inte regleras särskilt i den nya

 

lagen.

 

I lagrådsremissen föreslår regeringen att dataskyddsombudet vid en-

 

heten för passagerarinformation, utöver de uppgifter som anges i 3 kap.

 

14 § brottsdatalagen, ska ansvara för genomförandet av relevanta

 

skyddsåtgärder. Lagrådet anser att det under den fortsatta beredningen

 

behöver klargöras vad som avses med bestämmelsen. Med anledning av

 

Lagrådets synpunkt kan det konstateras att det rätteligen bör vara över-

 

vakningen av genomförandet av relevanta skyddsåtgärder som ingår i

 

dataskyddsombudets uppgifter, förutom övervakningen av behandlingen

 

av PNR-uppgifter. Dessa uppgifter får anses ingå i ombudets uppgifter

 

enligt 3 kap. 14 § brottsdatalagen. Det är därför enligt regeringens upp-

 

fattning tillräckligt med en hänvisning till 3 kap. 14 § brottsdatalagen i

 

den nya lagen.

 

Uppgiften att vara kontaktpunkt för enskilda enligt artikel 5.3 i direk-

 

tivet motsvarar i huvudsak bestämmelsen i 3 kap. 14 § 4 brottsdatalagen.

 

I PNR-direktivet framhålls dock att registrerade ska ha rätt att kontakta

 

dataskyddsombudet i egenskap av kontaktpunkt i alla frågor som rör

 

behandlingen av den registrerades PNR-uppgifter. Enskilda bör alltså ha

 

en möjlighet att få hjälp eller information av dataskyddsombudet vid

 

enheten även om behandlingen i det särskilda fallet helt eller delvis

 

utförts av ett lufttrafikföretag, en behörig myndighet eller av utländska

 

mottagare, bara det har varit fråga om en tillämpning av den nya lagen.

 

Detta bör uttryckas genom en bestämmelse i den nya lagen som gäller

 

utöver 3 kap. 14 § 4 brottsdatalagen. Om en enskild har invändningar

 

mot t.ex. ett lufttrafikföretags insamling av PNR-uppgifter får han eller

 

hon däremot vända sig till det aktuella lufttrafikföretaget.

 

Att den personuppgiftsansvarige ska tillhandahålla nödvändiga resurser

 

för att dataskyddsombudet ska kunna utföra sina uppgifter (jfr artikel 5.2

 

i PNR-direktivet) kan regleras i förordning.

 

Enligt artikel 6.7 i PNR-direktivet ska dataskyddsombudet ha åtkomst

 

till alla uppgifter som enheten för passagerarinformation behandlar. Den

 

föreslagna bestämmelsen i 3 kap. 7 § innebär att den som fullgör upp-

 

gifter enligt lagen har rätt att få tillgång till den PNR-information som

 

han eller hon behöver för att fullgöra sina arbetsuppgifter. Dataskydds-

 

ombudets kontinuerliga tillgång till uppgifter som behandlas vid enheten

 

för passagerarinformation är emellertid så pass central för att lagligheten

82

i behandlingen ska kunna kontrolleras, att frågan bör regleras särskilt i

den nya lagen. En bestämmelse som anger att dataskyddsombudet ska ges tillgång till alla uppgifter som behandlas vid enheten bör därför in- föras.

I artikel 6.7 anges vidare att dataskyddsombudet ska hänskjuta en fråga till tillsynsmyndigheten om denne anser att behandlingen av vissa upp- gifter inte har varit lagenlig. Frågan bör regleras i den nya lagen. Som

Säkerhets- och integritetsskyddsnämnden har framhållit är det den personuppgiftsansvarige, och inte enheten för passagerarinformation, som kan bryta mot bestämmelserna om behandling av PNR-uppgifter. Bestämmelsen bör därför, som föreslagits av nämnden, omformuleras så att det framgår att dataskyddsombudet vid enheten för passagerar- information ska anmäla till tillsynsmyndigheten om han eller hon bedömer att den personuppgiftsansvarige bryter mot bestämmelser om behandling av PNR-uppgifter.

10Överföring av PNR-information från enheten för passagerarinformation

10.1Överföring av PNR-information till behöriga myndigheter i Sverige

Regeringens förslag: Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att

1.en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,

2.besvara en begäran från en behörig myndighet om att ta del av PNR-information, om det av begäran framgår att PNR- informationen ska användas i syfte att förebygga, förhindra, upp- täcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, eller

3.vidarebefordra PNR-information som har mottagits från en mot- svarande enhet i en annan medlemsstat.

En befattningshavare vid enheten ska före överföring enligt punkt 1 bedöma om PNR-informationen är relevant för vidare granskning av den behöriga myndigheten.

Begreppet behörig myndighet ska definieras i den nya lagen.

Utredningens förslag överensstämmer i huvudsak med regeringens.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden ifråga- sätter om Försvarsmakten kan vara en behörig myndighet enligt PNR- direktivet. Hovrätten för Nedre Norrland anser att det av legalitetsskäl och för att undvika tillämpningsproblem är av vikt att det tydliggörs vilken nivå som krävs på brottsmisstanken och grunden för begäran om att få ut uppgifter från enheten för passagerarinformation, för att begäran ska anses vara tillräckligt motiverad.

83

Skälen för regeringens förslag

Definition av behörig myndighet

Av direktivets artikel 7.1 framgår att varje medlemsstat ska utse de myndigheter som ska vara behöriga att begära eller ta emot PNR- information från enheten för passagerarinformation. De behöriga myndig- heterna ska ansvara för den vidare granskningen av informationen och för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Regeringen utsåg den 4 maj 2017 Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten till behöriga myndigheter och meddelade den 23 maj samma år kommissionen vilka myndigheter som har utsetts. Utpekandet av de behöriga myndigheterna får enligt artikel 7.3 när som helst ändras. Ytterligare behöriga myndig- heter kan således komma att utses i framtiden.

För att undvika att lagen behöver ändras för det fall nya myndigheter behöver utses som behöriga eller om någon myndighet behöver tas bort bör de behöriga myndigheterna inte framgå direkt av lagen. Regeringen bör i stället avgöra vilka brottsbekämpande myndigheter som ska vara behöriga enligt direktivet. Vilka myndigheter som kan utses bör be- gränsas genom en definition av begreppet behörig myndighet i den nya lagen. Av definitionen bör framgå att en behörig myndighet är en myndighet utsedd av regeringen som har behörighet att behandla PNR- information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Säkerhets- och integritetsskyddsnämnden har ifrågasatt om Försvars- makten kan vara en behörig myndighet enligt PNR-direktivet. Enligt artikel 7.2 ska de behöriga myndigheterna vara behöriga att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Det är inte nödvändigt att myndigheten har till uppgift att utföra samtliga dessa uppgifter utan det är tillräckligt att myndigheten utför någon av uppgifterna. Uppföljning av individer som reser in och ut ur Sverige är av mycket stor betydelse för flera verksamhetsområden kopplade till den militära säkerhetstjänst som Försvarsmakten bedriver. Försvarsmakten har t.ex. i uppgift att följa upp säkerhetshotande verk- samhet som i sig är brottslig, t.ex. terrorism, spionage och sabotage som är kopplad till individer som reser även om det inte är i brottsutredande syfte. Myndigheten uppfyller därmed kravet som ställs i artikel 7.2 på att ha verksamhetsuppgifter kopplade till att förebygga, upptäcka och förhindra t.ex. terrorism och sabotageverksamhet. I ett större perspektiv har Försvarsmakten i ett framtida eventuellt beredskapsläge även till uppgift att hävda territoriell integritet där uppgifter om vissa in- och

 

utresande individer blir relevant.

 

När får PNR-information överföras till behöriga myndigheter?

 

Enheten för passagerarinformation ska enligt direktivet överföra PNR-

 

information till behöriga nationella myndigheter i tre olika situationer.

 

För det första ska en överföring ske av PNR-information beträffande

 

personer som har valts ut vid en förhandsbedömning och som den be-

 

höriga myndigheten behöver utreda ytterligare på grund av att dessa kan

84

vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet (jfr

artikel 6.2 a och 6.6). För det andra ska PNR-information överföras för att besvara en förfrågan från en behörig myndighet (artikel 6.2 b). För det tredje ska enheten för passagerarinformation vidarebefordra sådan PNR- information som den har mottagit från andra medlemsstaters motsvaran- de enheter (artikel 9.1).

Direktivets bestämmelser om förutsättningarna för när en överföring till de behöriga myndigheterna ska få ske bör genomföras i den nya lagen.

Överföring efter en förhandsbedömning

I artikel 6.5 och 6.6 i PNR-direktivet finns närmare bestämmelser om hur enheten för passagerarinformation ska gå till väga när en träff har upp- kommit i samband med en förhandsbedömning av en passagerare. Av artikel 6.5 framgår att alla träffar vid en förhandsbedömning måste ge- nomgå en individuell granskning med icke automatiska metoder innan uppgifterna får användas vidare. Detta innebär att en individuell be- dömning alltid måste göras innan PNR-information sänds vidare till be- höriga myndigheter och att PNR-information därmed inte per automatik kan föras vidare från enheten till en behörig myndighet. Vid gransk- ningen ska det avgöras om det finns anledning att agera vidare på upp- gifterna. Om så är fallet ska enheten, enligt artikel 6.6, översända PNR- uppgifterna eller resultaten av behandlingen av dessa uppgifter till be- höriga myndigheter i samma stat för vidare granskning.

Av den nya lagen bör det framgå att enheten för passagerarinformation så snart som möjligt ska överföra PNR-information till en eller flera behöriga myndigheter för att en vidare granskning ska göras av PNR- information av passagerare som valts ut vid en förhandsbedömning. I lagen bör det även regleras att en befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen före överföringen till en behörig myndighet. Som Lagrådet påpekar bör det i lagen tydliggöras att befattningshavaren vid bedömningen ska granska att bara relevant information överförs och att en sådan bedömning endast ska göras när det gäller överföring av PNR-information som har valts ut vid en för- handsbedömning. Direktivet innehåller inte några närmare bestämmelser om vilka överväganden som bör göras vid bedömningen av om en träff i samband med en förhandsbedömning av passagerare ska överföras till behöriga myndigheter. Det uppställs således inte något krav på att en person ska finnas med i något eller några relevanta register eller andra uppgiftssamlingar för att informationen ska anses vara tillräckligt intressant för att föras vidare. Den granskning som ska utföras vid enheten för passagerarinformation innan PNR-information får sändas vidare till de behöriga myndigheterna bör dock syfta till att den aktuella PNR-informationen avser personer som kan vara inblandade i sådan brottslighet som omfattas av direktivet. Det kan vara svårt, för att inte säga omöjligt, för personalen vid enheten för passagerarinformation att bedöma om den PNR-information som har tagits fram vid en för- handsbedömning är relevant för att bekämpa den aktuella brottsligheten. Inför en överföring av den framtagna informationen kan man emellertid se till att det inte av misstag följer med PNR-uppgifter som avser sådana

personer som inte alls kan bedömas vara intressanta för vidare

85

granskning på den grunden att de kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet. Så kan vara fallet t.ex. om en sökning mot på förhand fastställda kriterier ger ett orimligt stort utfall. Av artikel 6.5 och 6.6 följer rimligen också att granskningen ska omfatta att överföring bara sker till en behörig myndighet som kan antas behöva PNR-informationen för att göra en närmare granskning av informationen och eventuellt vidta åtgärder för att bekämpa aktuell brottslighet. Exempelvis bör en överföring till Ekobrottsmyndigheten endast ske när det kan vara fråga om sådan brottslighet som den myndigheten arbetar mot.

Överföring efter en begäran

Hur enheten ska gå till väga när den ska besvara en begäran om att ta del av PNR-information framgår av artikel 6.2 b i PNR-direktivet. Enligt bestämmelsen ska enheten i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller annan allvarlig brottslighet. Enheten ska också, när så är lämpligt, tillhandahålla de behöriga myndigheterna resultaten av en sådan behandling.

Av den nya lagen bör det framgå att enheten för passagerarinformation ska besvara en begäran från en behörig myndighet om att ta del av PNR- information. Direktivet bör tolkas som att ett svar på en begäran endast ska överföras till den myndighet som har ställt frågan. Av artikel 6.2 b framgår vidare att svar, när så är lämpligt, även ska överföras till Europol. Med att en begäran från behöriga myndigheter ska vara vederbörligen motiverad och bygga på tillräckliga skäl bör avses att begäran ska vara tillräckligt motiverad för att det ska framgå att PNR- informationen som begärs ut ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. Även detta bör framgå av den nya lagen. Om så inte är fallet ska informationen inte lämnas ut.

Hovrätten för Nedre Norrland befarar att det kan uppstå tillämpnings- problem eftersom det ska vara frågan om en vederbörligen motiverad begäran som bygger på tillräckliga skäl. För att undvika tillämpnings- problem anser hovrätten att det bör tydliggöras vilken nivå som krävs på brottsmisstanken och grunden för begäran för att den ska anses vara tillräckligt motiverad.

Det är enheten för passagerarinformation som kommer att hantera be- höriga myndigheters begäran om att få ut PNR-uppgifter. Det får förut- sättas att sådana förfrågningar kommer att bli en vanligt återkommande uppgift för enheten och att enheten snabbt kommer att arbeta fram en rutin för när ett utlämnande kan ske. Eftersom även till synes mindre intressanta träffar kan visa sig vara högintressanta för de behöriga myndigheterna, som kan ha annan information om passagerarna än den som är tillgänglig för enheten för passagerarinformation, kan det vara svårt att ställa upp ett visst krav för när en begäran ska vara tillräckligt motiverad. Det får därför anses vara tillräckligt att enheten granskar att

det av begäran framgår att PNR-informationen ska användas för att före-

86

bygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. Några ytterligare krav på när en begäran ska anses vara tillräckligt motiverad bör därför inte ställas.

Om de begärda uppgifterna är äldre än sex månader och därmed har behörighetsbegränsats får enheten för passagerarinformation tillhanda- hålla fullständiga PNR-uppgifter endast om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och endast efter tillstånd från en sådan myndighet som avses i artikel 12.3, se vidare av- snitt 10.5.

Vidarebefordran av PNR-information från andra medlemsstater

Enligt artikel 9.1 i PNR-direktivet ska enheten för passagerarinformation vidarebefordra sådan PNR-information som den har mottagit från andra medlemsstaters motsvarande enheter. Enheten kan också enligt artikel 9.2 motta svar på frågor som enheten har ställt på uppdrag av en behörig myndighet till andra länders enheter för passagerarinformation. Av direk- tivet framgår inte uttryckligen vad enheten ska göra med den in- formationen. Det får dock förutsättas att informationen ska överföras till den behöriga myndighet som ursprungligen har ställt frågan. Det bör framgå av den nya lagen att enheten ska vidarebefordra sådan PNR- information till de behöriga myndigheterna.

10.2Överföring till andra medlemsstater

10.2.1Definition av medlemsstat

Regeringens förslag: En medlemsstat ska definieras som en stat som är medlem i EU och har antagit PNR-direktivet.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: De flesta av remissinstanserna har inga syn-

punkter på förslaget. Polismyndigheten anser att definitionen av med- lemsstat bör knytas till de stater som är bundna av direktivet eftersom lagen annars kan behöva ändras för det fall det sker förändringar på unionsrättslig nivå.

Skälen för regeringens förslag: Ordet medlemsstat används på flera ställen i direktivet. Någon definition av ordet finns inte i direktivet men vanligtvis menas med begreppet en stat som är medlem i EU. Direktivet är enligt skäl 40 inte tillämpligt på Danmark. För att undvika att räkna upp alla stater som är bundna av direktivet bör begreppet definieras i lagen. Genom att definiera medlemsstat blir det tydligt för vilka stater bestäm- melserna gäller utan att lagen tyngs av långa uppräkningar. I likhet med Polismyndigheten anser regeringen att definitionen av medlemsstat bör knytas till de stater som deltar i antagandet av direktivet i stället för att undantag görs för Danmark. En medlemsstat bör därför definieras som en stat som är medlem i EU och har antagit direktivet. På så sätt behöver definitionen inte ändras eller tas bort för det fall t.ex. Danmark ansluter sig till direktivet.

87

10.2.2Överföring av PNR-information till enheter för passagerarinformation i andra medlemsstater

Regeringens förslag: Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en motsvarande enhet i en annan medlemsstat

1.för vidare granskning där av PNR-information beträffande passa- gerare som har valts ut vid en förhandsbedömning, eller

2.för att besvara en begäran från en enhet i en annan medlemsstat om att ta del av PNR-information, om det av begäran framgår att PNR- informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslig- het.

En befattningshavare vid enheten ska före överföring enligt punkt 1 bedöma om PNR-informationen är relevant för vidare granskning i den andra medlemsstaten.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inte att en befattningshavare före överföringen ska göra en bedömning av PNR-informationens relevans.

Remissinstanserna har inte några synpunkter på förslaget.

Skälen för regeringens förslag: Resultatet av en förhandsbedömning av passagerare kan vara av intresse inte bara för behöriga nationella myndigheter utan även för en eller flera behöriga myndigheter i andra medlemsstater. När personer har identifierats av en enhet för passa- gerarinformation i enlighet med artikel 6.2 i direktivet ska därför enheten enligt artikel 9.1 även översända alla relevanta och nödvändiga PNR- uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska därefter översända den mottagna informationen till sina behöriga myndigheter i enlighet med artikel 6.6.

Enligt artikel 9.2 i PNR-direktivet ska enheten för passagerar- information i en medlemsstat även ha rätt att vid behov begära att en enhet i en annan medlemsstat tillhandahåller PNR-uppgifter som lagras i den senares databas och som ännu inte har genomgått en maskering. Vid behov ska även resultaten av en eventuell behandling av dessa uppgifter tillhandahållas, om en förhandsbedömning redan har utförts i enlighet med artikel 6.2 a. Det innebär att enheten för passagerarinformation inte är skyldig att på begäran av en annan enhet exempelvis jämföra PNR- uppgifterna med uppgifterna i något annat register eller någon annan uppgiftssamling. Endast för det fall en sådan bedömning redan är genomförd och alltjämt finns sparad vid enheten, ska resultatet av förhandsbedömningen också översändas. Som framgått i avsnitt 9.8.1 är det troligen bara i undantagsfall sådana resultat finns sparade vid enheten. En begäran om att få ta del av uppgifter ska enligt artikel 9.2 i direktivet vederbörligen motiveras och får avse en viss uppgift eller en kombination av sådana uppgifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra

88

terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla den begärda informationen så snart som möjligt.

En bestämmelse som genomför artikel 9.1 och 9.2 bör införas i den nya lagen. Av bestämmelsen bör det framgå att enheten för passagerar- information så snart som möjligt ska överföra PNR-information till en motsvarande enhet i en annan medlemsstat för att en vidare granskning ska göras av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Av bestämmelsen bör det vidare framgå att enheten för passagerarinformation så snart som möjligt ska besvara en begäran från en motsvarande enhet i en annan medlemsstat och överföra informationen dit. Av den nya lagen bör det även framgå att överföring efter en särskild begäran endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om så inte är fallet får PNR-informationen inte behandlas och ska inte lämnas ut.

Lagrådet har synpunkter på lagrådsremissens utformning av be- stämmelsen och föreslår ett tillägg om att PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning först ska ha överförts till en behörig myndighet för att tydliggöra att det måste ha skett en bedömning av informationens relevans före överföringen. Regeringen anser att det i stället bör införas en bestämmelse som mot- svarar bestämmelsen om överföring till behöriga myndigheter i Sverige där det framgår att en befattningshavare vid enheten före överföringen ska bedöma om PNR-informationen är relevant för vidare granskning av mottagaren. En sådan bedömning ska även göras före sådana över- föringar till Europol, se avsnitt 10.3. Bestämmelserna blir därmed lika- lydande och det framgår direkt av den aktuella bestämmelsen vilken prövning som måste ske innan informationen överförs.

Om de begärda uppgifterna är äldre än sex månader och därmed har behörighetsbegränsats får enheten för passagerarinformation tillhanda- hålla fullständiga PNR-uppgifter endast om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och endast efter tillstånd från en sådan myndighet som avses i artikel 12.3, se vidare av- snitt 10.5.

10.2.3Överföring på begäran av en behörig myndighet i en annan medlemsstat

Regeringens förslag: När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR- information direkt till den myndigheten. Överföring får endast ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslig- het eller annan allvarlig brottslighet.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna har inga synpunkter på förslaget.

89

Skälen för regeringens förslag: PNR-uppgifter ska som huvudregel utbytas mellan medlemsstaterna bara via medlemsstaternas enheter för passagerarinformation. I artikel 9.3 i PNR-direktivet ges dock en möjlig- het för medlemsstaternas behöriga myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om att få ut PNR-uppgifter som finns bevarade hos en- heten. En sådan begäran får endast framställas i nödfall och i övrigt på samma villkor som anges i artikel 9.2. Även en sådan begäran ska vara vederbörligen motiverad. En kopia av begäran ska alltid skickas till en- heten för passagerarinformation i den begärande medlemsstaten.

Enheten för passagerarinformations skyldigheter enligt artikel 9.3 bör regleras i den nya lagen. Det bör av bestämmelsen framgå att enheten för passagerarinformation endast i ett enskilt brådskande fall och om det är absolut nödvändigt ska besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR-information direkt till den myndigheten. I direktivets svenska översättning används ordet nödfall. Med nödfall torde menas detsamma som att det är absolut nödvändigt i ett brådskande fall. Det uttryckssättet passar bättre in i svensk lagstiftning och bör därför användas. Överföring ska i övrigt ske endast under samma förutsättningar som överföring till en annan enhet för pas- sagerarinformation. För det fall en förfrågan avser behörighets- begränsade PNR-uppgifter ska förutsättningarna för överföring av sådana vara uppfyllda, se vidare i avsnitt 10.5.

10.2.4 Överföring för att avvärja en specifik och faktisk fara

Regeringens förslag: När det är nödvändigt för att avvärja en specifik och faktisk fara ska enheten för passagerarinformation på begäran av en enhet i en annan medlemsstat inhämta PNR-uppgifter från lufttrafik- företag vid andra tidpunkter än vad som gäller som huvudregel och överföra dessa till den enhet som har begärt dem.

 

Utredningens förslag överensstämmer i sak med regeringens.

 

Remissinstanserna har inga synpunkter på förslaget.

 

Skälen för regeringens förslag: Som framgår av avsnitt 8.4 kan en-

 

heten för passagerarinformation begära att lufttrafikföretag ska överföra

 

PNR-uppgifter även vid andra tidpunkter än de som gäller som huvudregel

 

om det i ett enskilt fall bedöms nödvändigt med tillgång till PNR-

 

uppgifter för att avvärja en specifik och faktisk fara med anknytning till

 

terroristbrottslighet eller grov brottslighet. Av artikel 9.4 i PNR-direktivet

 

framgår att även en enhet för passagerarinformation i en annan medlems-

 

stat har rätt att begära att en enhet i en annan medlemsstat hämtar in

 

PNR-uppgifter från lufttrafikföretag vid andra tidpunkter och vidare-

 

befordrar dessa till den begärande enheten för passagerarinformation. En

 

sådan begäran får endast ske i undantagsfall och om det är nödvändigt

 

för att reagera på ett specifikt och faktiskt hot med anknytning till

 

terrorism eller grov brottslighet.

 

En motsvarande bestämmelse bör införas i den nya lagen. Av be-

90

stämmelsen bör framgå att enheten för passagerarinformation på begäran

 

av en motsvarande enhet i annan medlemsstat ska inhämta uppgifter från lufttrafikföretagen på andra tider än de som framgår i 2 kap. 2 § i den nya lagen och överföra dessa till den begärande enheten. Uppgifterna ska enligt direktivet hämtas in endast i undantagsfall, vilket torde innebära att det endast är tillåtet i vissa särskilda situationer. I den nya lagen bör där- för föreskrivas att en sådan inhämtning endast får ske i ett enskilt fall. Vidare krävs att uppgifterna är nödvändiga för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

10.2.5Enhetens inhämtande av PNR-uppgifter från andra medlemsstaters motsvarande enheter

Regeringens bedömning: Det bör regleras i förordning vilka skyldig- heter enheten för passagerarinformation har i samband med att en- heten begär att få ta del av PNR-information från en motsvarande en- het i en annan medlemsstat.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Artikel 9.2 och 9.4 i PNR- direktivet innehåller bestämmelser om hur en nationell enhet för passagerarinformation ska gå till väga när den vill ha tillgång till PNR- information som lagras hos en motsvarande enhet i en annan medlemsstat. Av artikel 9.2 framgår att en enhet för passagerarinformation har rätt att vid behov begära att få del av sådan information och att en begäran ska vara vederbörligen motiverad. Det får, som framgår ovan, anses innebära att begäran ska vara tillräckligt motiverad för att det ska framgå att PNR- informationen ska användas för att förebygga, förhindra, upptäcka, ut- reda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Begäran får vidare enligt artikel 9.2 avse en viss uppgift eller en kombi- nation av uppgifter. Av artikel 9.5 framgår att informationsutbytet får ske via alla befintliga kanaler för samarbete mellan staterna. En begäran om att få ta del av PNR-information som finns lagrad vid en annan medlems- stats enhet för passagerarinformation kommer troligen normalt sett att överföras elektroniskt och därmed skriftligt, men det finns inget hinder mot att en begäran framställs muntligen.

Enligt regeringens mening kan frågan om enheten för passagerar- informations skyldigheter i samband med en begäran om att få ta del av PNR-information från en motsvarande enhet i ett annat land enligt artikel 9.2 regleras i förordning. Även möjligheten enligt artikel 9.4 att begära att en annan medlemsstats motsvarande enhet hämtar in uppgifter från lufttrafikföretag på andra tider än som i övrigt följer av direktivet kan regleras i förordning.

91

 

10.3

Överföring till Europol

 

 

 

Regeringens förslag: Enheten för passagerarinformation ska så snart

 

som möjligt överföra PNR-information till Europol

 

1. för vidare granskning där av PNR-information beträffande passa-

 

gerare som har valts ut vid en förhandsbedömning, eller

 

2. för att besvara en begäran från Europol om att få ta del av PNR-

 

information, om det av begäran framgår att PNR-informationen ska

 

användas i syfte att förebygga, förhindra, upptäcka, utreda eller lag-

 

föra terroristbrottslighet eller annan allvarlig brottslighet.

 

En befattningshavare vid enheten ska före överföring enligt punkt 1

 

bedöma om PNR-informationen är relevant för vidare granskning av

 

Europol.

 

 

 

 

Utredningens förslag överensstämmer delvis med regeringens. Utred-

 

ningen föreslår inte att det av lagen ska framgå att enheten för passage-

 

rarinformation ska få överföra PNR-information till Europol för vidare

 

granskning där av informationen beträffande passagerare som har valts ut

 

vid en förhandsbedömning, eller att en befattningshavare före överfö-

 

ringen ska göra en bedömning av PNR-informationens relevans.

 

Remissinstanserna: Polismyndigheten ställer sig frågande till om inte

 

enheten för passagerarinformation kan lämna ut information från för-

 

handsbedömningar till Europol även utan en särskild begäran. Övriga

 

remissinstanser har inte några synpunkter på förslaget.

 

Skälen för regeringens förslag: Europol är EU:s gemensamma polis-

 

byrå och utgör en del av det brottsbekämpande samarbetet i unionen.

 

Europol har till uppgift att stödja och stärka medlemsstaternas polis-

 

myndigheter och andra brottsbekämpande organs insatser och deras sam-

 

arbete för att förebygga och bekämpa viss brottslighet. Europol arbetar

 

till stor del med insamling, behandling och analys av underrättelser om

 

allvarlig och gränsöverskridande brottslighet inom unionen och fungerar

 

som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Det

 

styrande regelverket för Europol finns i Europaparlamentets och rådets

 

förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens

 

byrå för samarbete inom brottsbekämpning (Europol) och om ersättande

 

och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF,

 

2009/935/RIF, 2009/936/RIF och 2009/968/RIF (Europolförordningen)

 

som tillämpas från och med den 1 maj 2017. Enligt artikel 7.6 i Europol-

 

förordningen ska varje medlemsstat tillhandahålla Europol den inform-

 

ation som är nödvändig för att Europol ska kunna uppfylla sina mål.

 

Enligt förordningen föreligger således en uppgiftsskyldighet för de

 

nationella myndigheterna gentemot Europol.

 

Europols rätt att få del av PNR-uppgifter framgår på flera ställen i PNR-

 

direktivet. I artikel 4.2 anges att enheten för passagerarinformation ska

 

ansvara för att bl.a. utbyta PNR-uppgifter och resultatet av behandlingen

 

av dessa uppgifter med Europol. Även av artikel 6.2 a och b framgår att

 

enheten för passagerarinformation får behandla PNR-uppgifter för ända-

 

målet att tillhandahålla Europol resultatet av en behandling av dessa

 

uppgifter. I artikel 6.2 a, som behandlar enhetens förhandsbedömningar,

 

anges bl.a. att sådana ska göras för att identifiera personer som Europol i

92

förekommande fall enligt artikel 10 behöver utreda ytterligare.

De närmare bestämmelserna om Europols tillgång till PNR-uppgifter

 

finns i artikel 10 i direktivet. Av artikel 10.1 framgår att Europol, inom

 

ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter,

 

ska ha rätt att begära ut specifika PNR-uppgifter eller resultatet av be-

 

handlingen av dessa uppgifter från enheterna för passagerarinformation i

 

medlemsstaterna. Det ska, enligt artikel 10.2, gå till på så sätt att Europol

 

från fall till fall via sin nationella enhet lämnar in en elektronisk, veder-

 

börligen motiverad begäran om översändande av specifika PNR-

 

uppgifter eller resultaten av behandlingen av dessa uppgifter till enheten

 

för passagerarinformation i en medlemsstat. Europol får lämna in en sådan

 

begäran när det är absolut nödvändigt för att stödja och stärka medlems-

 

staternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett

 

specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av

 

Europols behörighet enligt Europolrådsbeslutet. I den motiverade be-

 

gäran ska rimliga skäl anges till varför Europol anser att översändandet

 

av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifterna

 

väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks

 

eller utreds.

 

En tanke bakom PNR-direktivet är att det inte ska påverka andra unions-

 

instrument om informationsutbyte på det brottsbekämpande området, se

 

skäl 23. Uppgiftsskyldigheten i Europolförordningen kan därför sägas

 

gälla framför PNR-direktivet. Som framgått tidigare innebär regleringen i

 

Europolförordningen bl.a. att Sverige, liksom övriga medlemsstater, har

 

en skyldighet att lämna sådan information till Europol som är nödvändig

 

för att Europol ska kunna uppfylla sina mål. PNR-uppgifterna utgör

 

sådana uppgifter som kan vara nödvändiga för att Europol ska kunna

 

uppfylla sina mål och utföra sina arbetsuppgifter. Uppgiftsskyldigheten

 

omfattar således även PNR-uppgifter. Enligt regeringens bedömning är

 

det dock inte tillräckligt att luta sig mot uppgiftsskyldigheten i Europol-

 

förordningen för att genomföra PNR-direktivet på ett korrekt sätt. Den

 

nya lagen bör därför innehålla en bestämmelse som reglerar att Europol

 

även på begäran har rätt att få ut PNR-uppgifter. Enheten för passagerar-

 

information ska därför så snart som möjligt besvara en begäran från

 

Europol och överföra PNR-information dit. En sådan överförings-

 

skyldighet innebär att Europol på begäran kan få del av såväl förhands-

 

information om passagerare som av uppgifter som lagras i databasen. Av

 

den nya lagen bör det även framgå att överföring endast får ske om det

 

framgår av begäran att PNR-informationen ska användas i syfte att

 

förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet

 

eller annan allvarlig brottslighet. Om så inte är fallet får PNR-informa-

 

tionen inte behandlas och ska inte lämnas ut.

 

Polismyndigheten anser att det är otydligt när uppgifter kan lämnas ut

 

till Europol och undrar om inte enheten för passagerarinformation också

 

ska kunna lämna ut PNR-information från förhandsbedömningar även

 

utan en föregående begäran från Europol. Även Lagrådet anser att frågan

 

bör klargöras. Som framgått ovan finns redan en uppgiftsskyldighet

 

enligt Europolförordningen. För att tydliggöra att enheten för passagerar-

 

information, utöver överföring av information på begäran, även ska

 

kunna överföra PNR-information till Europol utan en föregående begäran

 

bör det dock framgå av lagen att enheten för passagerarinformation även

 

får överföra PNR-information till Europol för vidare granskning där av

93

PNR-information beträffande passagerare som har valts ut vid en för- handsbedömning. På samma sätt som vid överföring till andra behöriga mottagare ska en person som tjänstgör vid enheten för passagerar- information före överföringen bedöma om PNR-informationen är relevant för vidare granskning av Europol. Vid bedömningen ska eventuell information om personer som kan avfärdas som ointressanta för vidare granskning rensas bort. Hur uppgifterna får behandlas av Europol och hur en eventuell vidarebefordran av uppgifter därifrån får gå till samt dataskyddsfrågor som har med detta att göra regleras av Europol- förordningen.

I artikel 10 anges inte närmare i vilken form de efterfrågade upp- gifterna ska tillhandahållas. För det fall de begärda PNR-uppgifterna är äldre än sex månader kommer de uppgifter som kan användas för att omedelbart identifiera passagerare att vara behörighetsbegränsade. För att utlämnande av fullständiga uppgifter i sådant fall ska få ske krävs att de förutsättningar som anges i artikel 12.3 är uppfyllda. Det finns inte något undantag i den bestämmelsen för det fall uppgifterna ska tillhanda- hållas Europol. Bestämmelsen är därför tillämplig även på sådana upp- gifter som ska överföras dit. Denna fråga behandlas närmare i av- snitt 10.5.

10.4Överföring till tredjeland

10.4.1Definition av tredjeland

Regeringens förslag: Tredjeland ska definieras som en stat som inte är en medlemsstat.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: PNR-direktivet innehåller inte någon definition av tredjeland. Med tredjeland avses i EU-sammanhang vanligtvis ett land som inte är medlem i unionen. Som tidigare har angetts är dock Danmark inte bundet av PNR-direktivet. En definition av begreppet tredjeland är därför nödvändig i den nya lagen. Utgångspunkten för en sådan definition bör vara hur begreppet medlemsstat definieras. Som framgått av avsnitt 10.2.1 föreslås att en medlemsstat ska definieras som en stat som är medlem i EU och har antagit direktivet. Stater som inte är medlemsstater enligt direktivet ska betraktas som tredjeländer. Definitionen av tredjeland bör därför vara en stat som inte är en medlemsstat.

94

10.4.2Förutsättningar för överföring till tredjeland

Regeringens förslag: Enheten för passagerarinformation får besvara en begäran och överföra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet under förutsättning att

överföringen omfattas av ett beslut om adekvat skyddsnivå, till- räckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt brottsdatalagen,

överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brotts- lighet, och

tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att före- bygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten efterfrågar dels ett förtydli-

gande av om uppgifter endast kan lämnas ut till tredjeland i de fall den påstådda brottsligheten omfattas av direktivets definitioner av terrorist- brottslighet eller annan allvarlig brottslighet, dels en närmare analys av hur en sådan prövning i sådana fall ska gå till i praktiken. Säkerhets- och integritetsskyddsnämnden anser att bestämmelsen kan formuleras på ett enklare sätt. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag

Förutsättningar för överföring till tredjeland

Överföringar från enheten för passagerarinformation till tredjeland be- handlas i artikel 11 i PNR-direktivet. Av artikel 11.1 framgår att en med- lemsstat får överföra PNR-uppgifter och resultatet av behandling av sådana uppgifter som lagras av enheten för passagerarinformation till ett tredjeland efter en bedömning i det enskilda fallet och endast under förut- sättning att

de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF (data- skyddsrambeslutet) är uppfyllda,

överföringen är nödvändig för direktivets syften enligt artikel 1.2, dvs. för att förebygga, förhindra, upptäcka, utreda och lagföra terro- ristbrott och grov brottslighet,

det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för direktivets ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlems- staten, och

samma villkor för överföring till en annan medlemsstat som anges i artikel 9.2 är uppfyllda.

95

Överföring får bara ske till en behörig myndighet

Enligt artikel 11.3 i PNR-direktivet får överföringar endast ske till en be- hörig myndighet i tredjeland. Det är således enligt direktivet inte möjligt att överföra PNR-information till internationella organisationer, vilket är möjligt enligt den föreslagna brottsdatalagen. Med en behörig myndighet avses i brottsdatalagen en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Med en behörig myndighet enligt PNR-direktivet bör dock i det här sammanhanget avses en myndighet som i tredjelandet är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det bör av den nya lagen framgå att överföringar endast får ske till en sådan myndighet i ett tredjeland.

Grundläggande villkor ska vara uppfyllda

PNR-direktivet innehåller inte några grundläggande bestämmelser med allmänna principer för överföring av personuppgifter till tredjeland. I stället anges i artikel 11.1 a i direktivet att en överföring får ske till ett tredjeland bl.a. om de villkor som fastställs i artikel 13 i dataskydds- rambeslutet är uppfyllda. Dataskyddsrambeslutet upphävs emellertid i samband med genomförandet av det nya dataskyddsdirektivet. PNR- direktivets hänvisningar till dataskyddsrambeslutet får därför läsas som hänvisningar till det nya dataskyddsdirektivet.

Bestämmelser om överföring till tredjeland i det nya dataskydds- direktivet föreslås genomföras i brottsdatalagen och tillhörande förord- ning. Brottsdatalagen innehåller således de grundläggande bestämmel- serna för överföring av personuppgifter till tredjeland inom det brotts- bekämpande området. De grundläggande förutsättningarna framgår av 8 kap. 1 § första stycket 3 brottsdatalagen. Bestämmelsen hänvisar till 3, 4 och 5 §§ i samma kapitel, som anger att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller av ett undantag för särskilda situationer för att uppgifterna ska få överföras till ett tredjeland. Dessa bestämmelser är alltså tillämpliga även vid överföring av PNR-information. För att tydliggöra det bör i den nya lagen göras en hänvisning till 8 kap. 1 § första stycket 3 brottsdatalagen. Av bestämmelsen bör uttryckligen framgå att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer. Det framgår därmed tydligare vilka grundläggande villkor som ska vara uppfyllda för att en överföring ska få ske, vilket tillmötesgår Säkerhets- och integritetsskyddsnämnden syn-

 

punkt om att bestämmelsen kan formuleras på ett enklare sätt.

 

Överföringen ska vara nödvändig för direktivets syften

 

Av artikel 11.1 b i PNR-direktivet framgår att en överföring av PNR-

 

information till tredjeland endast får ske om det är nödvändigt för direk-

 

tivets syften enligt artikel 1.2. Således krävs att en överföring till tredje-

 

land är nödvändig för att förebygga, förhindra, upptäcka, utreda och

96

lagföra terroristbrott eller grov brottslighet. Uppgifter kan således endast

lämnas ut till ett tredjeland i de fall brottsligheten omfattas av direktivets definitioner av grov brottslighet eller terroristbrottslighet. Bestämmelsen kommer att bli tillämplig i stället för bestämmelsen i 8 kap. 1 § 1 brotts- datalagen enligt vilken mer allmängiltiga ändamål ska vara uppfyllda för att en överföring ska få ske.

Polismyndigheten har efterfrågat ett förtydligande av hur prövningen av om brottsligheten omfattas av direktivets syften ska gå till. Enheten för passagerarinformation får i dessa fall, utifrån begäran från tredje- landet, göra en bedömning av om överföringen är nödvändig för att före- bygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet. Hur en sådan bedömning ska gå till får av- göras från fall till fall. I sammanhanget kan konstateras att bestämmelsen inte innebär en skyldighet att lämna ut PNR-information till ett tredje- land. När det gäller tredjeland så finns inte någon förteckning över vilka myndigheter som är behöriga, på samma sätt som för behöriga myndig- heter i medlemsstater (jfr artikel 7.1 i PNR-direktivet). Enheten för passagerarinformation får därför göra en bedömning i det enskilda fallet om den begärande myndigheten i det tredjelandet är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Villkor för vidareöverföring från ett tredjeland

Artikel 11.1 c i PNR-direktivet behandlar frågan om vidareöverföring från ett tredjeland till ett annat tredjeland. Enligt bestämmelsen ska ett tredjeland som vill motta PNR-information godta att de överförda upp- gifterna endast får föras vidare till ett annat tredjeland om det är strikt nödvändigt för PNR-direktivets ändamål och efter uttryckligt samtycke av medlemsstaten. I brottsdatalagen finns inga motsvarande krav för att en överföring ska få ske till tredjeland. En bestämmelse som motsvarar artikel 11.1 c i PNR-direktivet bör därför införas i den nya lagen.

Medgivandet bör enligt regeringen lämnas av enheten för passagerar- information.

Förutsättningarna för överföring till en annan medlemsstat ska vara uppfyllda

Enligt artikel 11.1 d i PNR-direktivet ska även de villkor som fastställs i artikel 9.2 vara uppfyllda vid en överföring av PNR-information till ett tredjeland. Bestämmelsen bör tolkas på så sätt att det krävs att tredje- landet motiverar sin begäran och att förutsättningarna för att överföra fullständiga PNR-uppgifter efter att de har behörighetsbegränsats enligt artikel 9.2 är uppfyllda. Det innebär att om överföringen avser PNR- uppgifter som är äldre än sex månader och därmed är behörighets- begränsade, får fullständiga PNR-uppgifter endast överföras om även de bestämmelser som genomför artikel 12.3 är uppfyllda, se avsnitt 10.5. Utredningen har föreslagit att det i den nu aktuella bestämmelsen ska göras en hänvisning till bestämmelsen om överföring av fullständiga uppgifter som har varit behörighetsbegränsade. Den bestämmelsen omfattar överföring till tredjeländer och regeringen anser inte att en sådan hänvisning är nödvändig.

97

10.4.3Användningsbegränsningar för PNR-information som överförts till tredjeland

Regeringens förslag: I syfte att säkerställa att PNR-information inte används i strid med PNR-direktivet ska enheten för passagerar- information vid överföring av PNR-information till ett tredjeland ställa upp villkor som begränsar möjligheten att använda informa- tionen i strid med lagens syften.

Regeringens bedömning: Närmare bestämmelser om sådana villkor och att dataskyddsombudet vid enheten för passagerar- information ska informeras om varje överföring av PNR-information till tredjeland bör regleras i förordning eller myndighetsföreskrifter.

Utredningens bedömning överensstämmer delvis med regeringens förslag och bedömning. Utredningen föreslår att bestämmelsen som gäller villkor om användningsbegränsningar ska tas in i förordning.

Remissinstanserna: Advokatsamfundet anser att det inte finns till- räckliga garantier för att PNR-uppgifterna inte kommer att användas för andra ändamål än de som anges i lagförslaget och att det finns anledning att vara observant på hur uppgifterna kommer att behandlas utomlands. Övriga remissinstanser har inga synpunkter på bedömningen.

Skälen för regeringens förslag och bedömning: Enligt artikel 11.3 i PNR-direktivet ska medlemsstaterna säkerställa att PNR-information översänds enligt PNR-direktivets bestämmelser om överföring till tredje- länder och att den överförda informationen är planerad att användas i överensstämmelse med direktivets syften och begränsningar. Vid en överföring till ett tredjeland fordras således att enheten för passagerar- information försäkrar sig om att den planerade användningen av informa- tionen inte kommer att strida mot lagens grundläggande bestämmelser, framför allt att informationen bara används för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

I 8 kap. 10 § brottsdatalagen anges att en svensk behörig myndighet får ställa upp villkor som begränsar mottagarens möjlighet att använda över- förda uppgifter. Det är dock inte obligatoriskt för en myndighet att ställa villkor. Enligt regeringens mening bör det, för ett korrekt genomförande av artikel 11.3 i PNR-direktivet, vara obligatoriskt för enheten att ställa upp villkor om användningsbegränsningar. En bestämmelse som anger att enheten för passagerarinformation vid överföring av PNR-information till ett tredjeland ska ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften bör därför införas. På detta sätt säkerställs, så långt som möjligt, att PNR-uppgifterna inte an- vänds för andra ändamål än de som anges i lagförslaget, vilket Advokat- samfundet påpekat att det inte finns tillräckliga garantier för. Bestämmel- sen bör enligt regeringens mening tas in i lag. De närmare villkoren, som t.ex. kan avse för vilket eller vilka specifika syften den överförda infor- mationen får behandlas av mottagarlandet, begränsning av spridningen inom landet eller myndigheten samt under vilka förutsättningar informa- tionen får överföras vidare, kan regleras i förordning.

98

Enligt artikel 11.4 i PNR-direktivet ska dataskyddsombudet vid en- heten för passagerarinformation informeras om varje överföring till tredjeland. Även detta kan regleras i förordning.

10.4.4Överföring av PNR-information som enheten har fått från en annan medlemsstat

Regeringens förslag: Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs enligt brottsdata- lagen ett medgivande från medlemsstaten till överföringen av informa- tionen. Om ett medgivande till överföringen på grund av tidsbrist inte kan inhämtas i förväg ska informationen ändå få överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

Regeringens bedömning: En bestämmelse om att enheten för passagerarinformation utan dröjsmål ska informera den andra med- lemsstaten om att PNR-information har överförts till ett tredjeland utan förhandsmedgivande bör tas in i förordning. Det bör också regleras i förordning att en efterhandskontroll av överföringen ska utföras av dataskyddsombudet vid enheten för passagerarinformation.

Utredningens förslag och bedömning överensstämmer i sak med regeringens.

Remissinstanserna har inga synpunkter.

Skälen för regeringens förslag och bedömning: I artikel 11.2 i PNR- direktivet regleras behandling av PNR-information som enheten för passagerarinformation har fått från andra medlemsstater. För att över- föring av sådan PNR-information ska få ske utan samtycke från medlemsstaten krävs enligt artikeln att överföringen är absolut nödvän- dig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland och att ett förhandssamtycke inte kan erhållas i tid. Den myndighet som ansvarar för att ge samtycke i den ursprungliga medlemsstaten ska informeras utan dröjsmål och överföringen ska registreras och genomgå en efterhandskontroll.

Enligt den föreslagna bestämmelsen i 8 kap. 2 § första stycket brotts- datalagen får personuppgifter som en svensk myndighet har fått från en annan medlemsstat överföras till ett tredjeland endast om den medlems- stat som har lämnat personuppgifterna har medgett att de överförs till tredjeland. Bestämmelsen är tillämplig även när enheten för passagerar- information överför PNR-uppgifter, vilket av tydlighetsskäl bör framgå av den nya lagen. I 8 kap. 2 § andra stycket brottsdatalagen finns ett undantag från denna huvudregel. Eftersom undantaget i artikel 11.2 i PNR-direktivet är snävare än undantaget i brottsdatalagen bör en be- stämmelse föras in i den nya lagen som ska gälla i stället för undantaget i brottsdatalagen. För att underlätta för tillämparen bör bestämmelsen genomföras på liknande sätt som den angivna bestämmelsen i brottsdata- lagen. Således bör det i den nya lagen anges att det krävs ett medgivande till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen om

enheten har fått informationen från en annan medlemsstat och att en

99

överföring utan förhandsmedgivande endast får ske om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. Med uttrycket absolut nödvändigt markeras att undantaget ska tillämpas restriktivt och att det därmed kan bli fråga om överföring utan förhandssamtycke endast i undantagsfall. Bestämmelsen skulle exempelvis kunna tillämpas om överföringen är nödvändig för att avvärja ett terroristattentat i en medlemsstat eller ett tredjeland. Att faran inte förverkligas behöver dock inte innebära att överföringen har varit otillåten. Bedömningen måste göras med hänsyn till vad som är känt när prövningen görs.

Enligt andra stycket i artikel 11.2 i PNR-direktivet ska den myndighet som ansvarar för att ge samtycke informeras om överföringen utan dröjsmål. En motsvarande bestämmelse bör tas in i förordning.

Vidare ska enligt artikel 11.2 överföringar utan samtycke registreras och genomgå efterhandskontroll. Att överföringar till tredjeländer ska registreras anges även i artikel 13.5 c. Frågan har behandlats i samband med förslaget till genomförande av den artikeln, se avsnitt 9.8.1. Att dataskyddsombudet ska utföra en efterhandskontroll bör regleras i förordning.

10.5Överföring av behörighetsbegränsade PNR- uppgifter i sin fullständiga form

10.5.1När får PNR-uppgifter som är behörighets- begränsade överföras i sin fullständiga form?

Regeringens förslag: PNR-uppgifter som har bevarats vid enheten för passagerarinformation i mer än sex månader och därför är behörig- hetsbegränsade får endast överföras i sin fullständiga form om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upp- täcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. För överföring krävs tillstånd.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Försvarsmakten anser att förfarandet är kom-

plicerat och kan innebära fördröjning och anser att tillståndsprocessen bör ses över så att behöriga myndigheter får möjlighet att bedriva sitt arbete på ett effektivt och proaktivt sätt. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag

Särskilda förutsättningar för överföring

Enligt PNR-direktivets artikel 12.2 ska PNR-uppgifter vid enheten för passagerarinformation avidentifieras genom maskering efter en inledande sexmånadersperiod. Uppgifter som har bevarats vid enheten för passa- gerarinformation i mer än sex månader kommer därför att vara avidenti- fierade på ett sådant sätt att uppgifter som identifierar en person görs otillgängliga för användare som saknar särskild behörighet. Uppgifterna

100

kommer alltså att vara behörighetsbegränsade. Om någon som enligt direktivet har rätt att få ta del av PNR-uppgifter begär tillgång till upp- gifter kommer därmed, om uppgifterna är mer än sex månader gamla, avidentifierade uppgifter att lämnas ut. Fullständiga PNR-uppgifter kan dock i vissa fall lämnas ut även efter den inledande sexmånaders- perioden.

I artikel 12.3 anges att utlämnande av fullständiga PNR-uppgifter endast ska tillåtas efter utgången av sexmånadersperioden om två förut- sättningar är uppfyllda.

För det första ska ett utlämnande rimligen kunna antas vara nödvändigt för de ändamål som anges i artikel 6.2 b. Det innebär enligt regeringens mening att en motiverad begäran har ställts till enheten och att enheten har funnit att en överföring kan ske enligt bestämmelserna i 4 kap. 1– 9 §§ och att enheten har funnit att det rimligen kan antas vara nödvändigt att mottagaren får tillgång till fullständiga uppgifter, och inte bara behörighetsbegränsade PNR-uppgifter, för att förebygga, förhindra, upp- täcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brotts- lighet.

För det andra krävs tillstånd från en rättslig myndighet alternativt en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda. En sådan nationell myndighet får dock bara ge tillstånd under förutsättning att dataskydds- ombudet vid enheten för passagerarinformation informeras och genomför en efterhandsutvärdering.

Regeringen har förståelse för Försvarsmaktens synpunkt att förfarandet med behörighetsbegränsning kan innebära fördröjning och därmed för- svåra för myndigheterna att arbeta effektivt och på ett proaktivt sätt när det gäller uppgifter som är äldre än sex månader. Bestämmelsen har dock en central funktion för integritetsskyddet i PNR-direktivet och måste genomföras av medlemsstaterna.

Bestämmelsen är generellt formulerad och det framgår inte att den endast är tillämplig vid överföring till någon särskild mottagare. Att bestämmelsen är tillämplig på andra medlemsstaters enheter för passagerarinformation och behöriga myndigheter framgår av artiklarna 9.2 sista meningen och 9.3. I artikel 11.1 d framgår att samma villkor också gäller vid överföring till ett tredjeland. Av den nya lagen bör därför framgå att bestämmelsen är tillämplig på samtliga behöriga mottagare och tredjeländer. Det bör vidare framgå att det krävs tillstånd för över- föring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Vilka som föreslås lämna detta tillstånd framgår nedan.

101

10.5.2Vem ska lämna tillstånd till att få ta del av fullständiga PNR-uppgifter?

Regeringens förslag: Om en förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till fullständiga PNR- uppgifter ha beslutats av åklagare. I andra fall ska tillstånd till över- föringen lämnas av Polismyndigheten

Regeringens bedömning: Närmare bestämmelser om att Polis- myndigheten ska informera dataskyddsombudet vid enheten för passagerarinformation om att myndigheten har beslutat att överföra behörighetsbegränsade PNR-uppgifter i sin fullständiga form och att dataskyddsombudet i efterhand ska göra en utvärdering av över- föringen bör regleras i förordning.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår bestämmelser i lag som reglerar möjligheten till delegation.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden anser att en domstol eller oberoende förvaltningsmyndighet bör pröva frågor om överföring av fullständiga PNR-uppgifter som är behörighets- begränsade i stället för Polismyndigheten. Övriga remissinstanser har inga synpunkter.

Skälen för regeringens förslag och bedömning

Beslut ska fattas av en rättslig eller annan nationell myndighet

Som redan nämnts är en förutsättning för överföring av behörighets- begränsade PNR-uppgifter i sin fullständiga form att det finns tillstånd till överföringen från en rättslig myndighet eller en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda.

I EU:s rättsakter för samarbete i rättsliga frågor används ofta begreppet rättslig myndighet. Med en sådan myndighet avses enligt en vedertagen uppfattning i första hand domstol eller, för svenska förhållanden, åklagare. PNR-direktivet öppnar dock även upp för att en annan nationell myndighet kan lämna behövligt tillstånd. Frågan är hur detta krav ska tillgodoses i Sverige.

Det kan konstateras att det inte finns någon myndighet som är själv- skriven för tillståndsgivningen. Något system med bevarande och till- gång till PNR-uppgifter i viss brottsbekämpning på det sätt som före- skrivs i PNR-direktivet förekommer inte i Sverige i dag. Det finns därför inte någon ordning att ta avstamp i vid bedömningen av hur direktivets krav på tillstånd till utlämnande ska genomföras. Det är vidare osäkert hur behöriga myndigheter kommer att nyttja systemet och i hur stor om- fattning behörighetsbegränsade uppgifter kommer att efterfrågas och om uppgifterna kommer att behövas i såväl förundersökningsverksamhet som underrättelseverksamhet. Det måste därför tas höjd för att uppgifter kan komma att begäras ut i båda dessa verksamheter.

102

Begäran under en pågående förundersökning

Förundersökning regleras i 23 kap. rättegångsbalken och förunder- sökningskungörelsen (1947:948). Beslut att inleda förundersökning kan fattas av Polismyndigheten, Säkerhetspolisen eller åklagare. Även Tull- verket kan fatta beslut om inledande av förundersökning enligt 19 § lagen (2000:1225) om straff för smuggling (smugglingslagen). De be- fogenheter och skyldigheter som undersökningsledaren har enligt rätte- gångsbalken gäller i sådant fall Tullverket.

Om en förundersökning har inletts av Polismyndigheten eller Säker- hetspolisen och saken inte är av enkel beskaffenhet ska åklagaren ta över ledningen av förundersökningen så snart någon skäligen kan misstänkas för brottet. Åklagaren ska också i annat fall överta ledningen när det är motiverat av särskilda skäl (23 kap. 3 § rättegångsbalken). Liknande bestämmelser finns i smugglingslagen. En förundersökning kan alltså ledas av en åklagare, en polisiär undersökningsledare eller en tulltjänste- man. När förundersökningen leds av åklagaren, får han eller hon anlita biträde av Polismyndigheten, Säkerhetspolisen eller Tullverket för att genomföra den. Åklagaren får också uppdra åt en polisman eller tjänste- man vid Tullverket att vidta en viss åtgärd som hör till förunder- sökningen, om det är lämpligt med hänsyn till åtgärdens beskaffenhet.

Av PNR-direktivets skäl 25 framgår att den maskering av PNR- uppgifter som ska ske efter sex månader syftar till att undvika opropor- tionerlig användning av uppgifterna. Åtkomst till fullständiga PNR- uppgifter ska därefter endast få ske under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Syftet med kravet på tillstånd är således att säkerställa att personuppgifter inte används i onödan och att skydda den personliga integriteten. Samtidigt är förutsättningen för en överföring till behöriga myndigheter knuten till vad som kan antas vara nödvändigt för den brottsbekämpande verksam- heten i fråga. Det är därför lämpligt att, i de fall en förundersökning har inletts, prövningen om det finns ett behov av full åtkomst till PNR- uppgifterna görs av någon som har relevant erfarenhet och kunskap för att bedöma behoven av uppgifterna i en förundersökning.

En svensk åklagare uppfyller rekvisiten för att vara en sådan rättslig myndighet som avses i artikel 12.3 b i direktivet. Det ingår i åklagarens ordinarie arbete som förundersökningsledare att fatta beslut om in- gripande åtgärder på ett rättssäkert sätt och med beaktande av propor- tionalitetsprincipen. Det torde också vara förundersökningsledaren som, bättre än någon annan, kan bedöma om förutsättningarna för att få ut behörighetsbegränsade PNR-uppgifter är uppfyllda, dvs. om de kan antas vara nödvändiga för brottsutredningen och därmed utgöra en propor- tionerlig användning. Enligt regeringens mening tillgodoses direktivets krav och enskildas anspråk på ett tillfredsställande integritetsskydd om det förs in en bestämmelse i den nya lagen som föreskriver att en begäran från en behörig myndighet om att få ut behörighetsbegränsade PNR- uppgifter ska beslutas av en åklagare, i de fall en förundersökning har inletts. Detta bör gälla oavsett om förundersökningen är i ett så pass inledande skede att den leds av en undersökningsledare som inte är åklagare.

103

Lydelsen av artikel 12.3 b i direktivet kan ge vid handen att enheten för passagerarinformation ska inhämta ett tillstånd till utlämnande av full- ständiga PNR-uppgifter. I praktiken uppnås dock samma resultat om den behöriga myndigheten inhämtar tillstånd från åklagaren att begära ut fullständiga PNR-uppgifter från enheten för passagerarinformation. I de fall en förundersökning har inletts föreslås därför att den behöriga myn- digheten, inför en begäran om att få ut fullständiga PNR-uppgifter som har behörighetsbegränsats, inhämtar ett åklagarbeslut om att uppgifterna ska hämtas in. Åklagaren ska inför sitt beslut avgöra om tillgången till uppgifterna rimligen kan antas vara nödvändig för att förebygga, för- hindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Begäran som sker i underrättelseverksamhet

Eftersom åklagaren inte har någon roll i polisens allmänna underrättelse- arbete får det anses vara mindre lämpligt att åklagaren beslutar om att hämta in fullständiga PNR-uppgifter som är behörighetsbegränsade när de behövs i underrättelseverksamhet. Inte heller domstolarna, som saknar möjlighet att tillgodose behovet av snabba beslut utom kontorstid, får anses vara lämpliga att meddela tillstånd i dessa fall. En annan lösning vore att lägga tillståndsgivningen hos någon av de myndigheter som har till upp- gift att utöva tillsyn över den brottsbekämpande verksamheten dvs. Datainspektionen eller Säkerhets- och integritetsskyddsnämnden. Även dessa myndigheter saknar dock möjlighet att tillgodose behovet av snabba beslut utanför ordinarie arbetstid.

Det alternativ som återstår att överväga är därmed om frågan om tillstånd till en överföring kan beslutas av någon av de behöriga myndigheterna. PNR-direktivet föreskriver nämligen inte att det måste vara en oberoende myndighet som ska ge tillstånd, som alternativ till en rättslig myndighet, när det handlar om överföring av behörighetsbegränsade PNR-uppgifter.

En jämförelse skulle i detta fall, som Säkerhets- och integritetsskydds- nämnden har gjort, kunna göras med datalagringsdirektivet där en av de brister med direktivet som framhållits har varit avsaknaden av kontroll av en oberoende myndighet i förhållande till brottsbekämpande myndig- heters tillgång till lagrade trafik- och lokaliseringsuppgifter (EU- domstolens förhandsavgörande i de förenade målen C-203/15 och C- 698/15, Tele2 Sverige AB och Watson m.fl., den 21 december 2016). Regeringen anser dock att det finns väsentliga skillnader mellan an- vändning av datalagrad elektronisk kommunikation i brottsbekämp- ningen respektive användning av PNR-uppgifter. Det finns därför goda skäl att inte dra så långtgående slutsatser av EU-domstolens avgörande i datalagringsfrågorna att någon oberoende kontrollinstans måste ges i uppgift att godkänna överföring av behörighetsbegränsade PNR- uppgifter trots att detta inte är ett krav enligt PNR-direktivet.

När det gäller överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form till behöriga myndigheter för användning i under- rättelseverksamhet anser regeringen därför att det bör vara tillräckligt att tillstånd inhämtas från en behörig myndighet, som lämpligen är Polismyndigheten. Tillstånd bör inte kunna ges av någon som själv deltar

i den verksamhet som har begärt ut informationen eller av någon som

104

arbetar vid enheten för passagerarinformation. Frågor som rör möjlig- heten till delegation kan regleras i förordning. Den som ger tillståndet ska avgöra om tillgången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Om en annan tillståndsmyndighet än en rättslig sådan ska lämna till- stånd till överföringen ska, enligt direktivets bestämmelser, dataskydds- ombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvärdering varje gång behörighetsbegränsade PNR-uppgifter överförts i sin fullständiga form till en behörig myndighet. En sådan bestämmelse kan tas in i förordning.

Begäran från andra länder och Europol

När det gäller en begäran från andra medlemsstater och Europol om att få ut behörighetsbegränsade PNR-uppgifter hade det i och för sig varit tänkbart att den svenska enheten för passagerarinformation skulle kunna godta ett beslut från en utländsk domstol eller annan rättslig myndighet som tillåtit inhämtningen i en brottsutredning om terroristbrottslighet eller annan allvarlig brottslighet. Eftersom det är oklart vilken informa- tion som kommer att bifogas en begäran bör dock enligt regeringens mening en begäran från andra medlemsstaters enheter och Europol be- handlas på samma sätt som en begäran från svenska myndigheter utanför förundersökningsförfarandet. Detta innebär att oavsett om uppgifterna begärs ut för att användas i en förundersökning eller i underrättelse- verksamhet så ska Polismyndigheten ge tillstånd till utlämnandet och informera dataskyddsombudet vid enheten för passagerarinformation. Vidare ska dataskyddsombudet göra en efterhandsutvärdering. Det- samma föreslås gälla när det kan bli aktuellt att lämna ut behörighets- begränsade PNR-uppgifter i sin fullständiga form till ett tredjeland.

11Behöriga myndigheters behandling av PNR-information

11.1Bevarande och förstöring av PNR-information

Regeringens förslag: PNR-information som de behöriga myndig- heterna har mottagit från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöras, om den visar sig sakna betydelse för arbetet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslig- het.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna: Hovrätten för Nedre Norrland anser att det bör övervägas om föreskrifter som säkerställer att reglerna om gallring efter- levs ska införas, särskilt eftersom förslaget ställer höga krav på omedel-

bar gallring av uppgifter som inte omfattas av direktivet. Säkerhets- och

105

integritetsskyddsnämnden anser att det av integritetsskyddsskäl bör över- vägas om frågan om märkning av PNR-uppgifterna hos de behöriga myndigheterna bör författningsregleras. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag: Av artikel 7.4 i PNR-direktivet fram- går att de behöriga myndigheterna endast får vidarebehandla sådan PNR- information som de har mottagit av enheten för passagerarinformation om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. I lagens inledande kapitel har föreslagits en bestämmelse som sätter en yttre ram för vilken behandling som är tillåten när det gäller PNR-information. Enligt bestämmelsen, som även behöriga myndigheter är skyldiga att följa, får således PNR- information inte behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet, såvida inte annat följer av lagen.

I artikel 12.4 framgår att medlemsstaterna ska se till att PNR- uppgifterna slutligt raderas efter fem år. Skyldigheten gäller dock inte om PNR-uppgifter har överförts till behöriga myndigheter och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet. Då ska de behöriga myndig- heternas lagring av uppgifterna i stället regleras av nationell rätt. När be- höriga myndigheter mottar PNR-information från enheten för passagerar- information sker det som en del av myndigheternas ordinarie verksam- het. Detsamma gäller när en behörig myndighet undantagsvis får PNR- information direkt från en motsvarande enhet i en annan medlemsstat.

Bestämmelser om längsta tid för behandling av personuppgifter finns i den föreslagna brottsdatalagen, för de behöriga myndigheter som har verksamhet som omfattas av lagen, och i de behöriga myndigheternas registerförfattningar. Den regleringen får anses uppfylla en rimlig av- vägning mellan de olika intressen som står mot varandra även när det gäller PNR-information. Det saknas därför – med ett undantag – anledning att föreslå några bestämmelser om hur länge behöriga myndigheter ska få behandla sådan information som de tar emot från en enhet för passagerar- information.

Undantaget avser sådan PNR-information som enheten för passa- gerarinformation efter sin förhandsbedömning skickar till en eller flera behöriga myndigheter för vidare granskning. För det fall den behöriga myndigheten konstaterar att PNR-informationen visar sig sakna be- tydelse för att bekämpa terroristbrottslighet eller annan allvarlig brotts- lighet, bör informationen förstöras hos den behöriga myndigheten. Det ska observeras att det kan ta olika lång tid i olika fall att konstatera om en uppgift saknar betydelse för den angivna brottsligheten. Det är alltså först när detta har konstaterats som skyldigheten att förstöra uppgifterna träder in.

Hovrätten för Nedre Norrland har framfört att det bör övervägas om det ska införas föreskrifter som säkerställer att reglerna om gallring efter- levs. I den nya lagen föreslås bestämmelser om bl.a. tillsyn och bestämmelser om enskildas rättigheter vid behandling i strid med lagens bestämmelser. Även i brottsdatalagen och de behöriga myndigheternas registerförfattningar finns bestämmelser till skydd för den enskilde vid felaktig behandling av uppgifter. Regeringen anser att de föreslagna

106

bestämmelserna är tillräckliga och att det därutöver inte är nödvändigt att införa föreskrifter som säkerställer att bestämmelserna efterlevs.

För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar PNR-information är medvetna om uppgifternas ursprung. Som utredningen har påpekat kan det därför vara lämpligt att PNR- informationen förses med någon form av märkning i samband med att den erhålls från enheten för passagerarinformation. En sådan märkning skulle göra det enklare för de behöriga myndigheterna att leva upp till lagens krav på hantering av informationen. Säkerhets- och integritets- skyddsnämnden anser att det av integritetsskyddsskäl bör övervägas om frågan om märkning av PNR-uppgifterna hos de behöriga myndigheterna ska författningsregleras. Regeringen har i tidigare lagstiftningssamman- hang funnit att frågan om märkning av uppgifter inte bör regleras på lag- eller förordningsnivå eftersom en sådan reglering skulle kunna innebära en onödig begränsning i myndigheternas arbete med moderna teknik- lösningar (se prop. 2012/13:73 s. 113). Inte heller i detta fall anser regeringen att det är lämpligt att frågan om märkning författningsre- gleras.

11.2Förstöring av känsliga personuppgifter

Regeringens förslag: Om behöriga myndigheter mottar PNR- uppgifter som utgör känsliga personuppgifter ska de omedelbart för- störas.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: Direktivet anger att varje medlems- stat ska förbjuda behandling av PNR-uppgifter som avslöjar känsliga personuppgifter. En bestämmelse med denna innebörd har därför före- slagits i lagens inledande bestämmelser, se avsnitt 7.10. En bestämmelse som reglerar att enheten för passagerarinformation ska förstöra PNR- uppgifter som utgör känsliga personuppgifter har föreslagits i avsnitt 9.8.2.

Eftersom enheten för passagerarinformation inte får behandla PNR- uppgifter som utgör känsliga personuppgifter ska sådana uppgifter inte heller överföras från enheten till de behöriga myndigheterna. Det kan dock ändå förekomma att sådana uppgifter förs vidare av misstag. Exempelvis kan det först sedan PNR-uppgifter har överförts från enheten uppmärksammas att uppgifterna innehåller känsliga personuppgifter. För det fall ett sådant misstag skulle inträffa bör det finnas en bestämmelse som reglerar att den behöriga myndigheten omedelbart ska förstöra dessa uppgifter. En sådan bestämmelse föreslås därför.

107

11.3Behandling av PNR-information för annan brottslighet

Regeringens förslag: Om det har kommit fram uppgifter om annat brott än terroristbrottslighet eller annan allvarlig brottslighet i samband med en behörig myndighets brottsbekämpande åtgärd som görs till följd av behandling av PNR-information ska informationen få användas för att förhindra, utreda eller lagföra brottet.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanser: Hovrätten för Nedre Norrland anser att det, för att undvika en reducerad rättssäkerhet och integritetskränkningar för den enskilde, bör övervägas om det ska införas ett krav på att uppgifterna endast får användas för att utreda brott om det är föreskrivet fängelse i ett år eller däröver och det kan antas att brottet inte leder till endast dags- böter eller om det annars finns särskilda skäl. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag: Av artikel 7.4 i PNR-direktivet framgår att de behöriga myndigheterna endast får vidarebehandla sådan PNR-information som de har mottagit av enheten för passagerar- information om det specifika syftet är att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet.

Enligt artikel 7.5 ska artikel 7.4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter. Om PNR-informationen leder till att en behörig myndighet genomför en brottsbekämpande åtgärd avseende terroristbrottslighet eller annan all- varlig brottslighet enligt lagen och det vid denna åtgärd framkommer misstankar om sådan brottslighet som faller utanför direktivet, har myndigheterna således rätt att använda PNR-informationen för att agera även på dessa misstankar för att förhindra, utreda eller lagföra brott. Vad som menas med en brottsbekämpande åtgärd anges inte i direktivet. Med en sådan åtgärd får dock avses t.ex. ett förhör, en husrannsakan, en brottsplatsundersökning eller ett beslag. Man kan också tänka sig en spaningsoperation. Huruvida en förundersökning har inletts bör inte vara av avgörande betydelse.

En bestämmelse som motsvarar artikel 7.5 bör införas i den nya lagen. I stället för begreppet insats bör begreppet åtgärd användas i lagtexten. Av bestämmelsen bör framgå att den utgör ett undantag från huvudregeln om att PNR-information endast får användas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Utredningen har inte föreslagit några krav för att uppgifterna ska få användas. Hovrätten för Nedre Norrland anser att det bör över- vägas om det ska införas ett krav, likt bestämmelsen i 27 kap. 23 a § rättegångsbalken, om att uppgifterna endast får användas om det är före- skrivet fängelse i ett år eller däröver och det kan antas att brottet inte leder till endast böter eller om det annars finns särskilda skäl. Med beaktande av integritetsintresset ställt mot intresset av en effektiv brotts-

bekämpning anser regeringen emellertid att det inte bör ställas något krav

108

på brottets allvarlighetsgrad för att PNR-information ska få användas för att förhindra, utreda eller lagföra brottet.

11.4Automatiserade beslut

Regeringens förslag: Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att bestämmelsen även ska reglera att beslutet inte får grunda sig på känsliga personuppgifter.

Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: I artikel 7.6 i PNR-direktivet anges att de behöriga myndigheterna inte får fatta några beslut som har nega- tiva rättsliga konsekvenser för en person eller på annat sätt allvarligt på- verkar en person endast på grund av en automatisk behandling av PNR- uppgifter. Besluten får inte heller grunda sig på känsliga personuppgifter.

En bestämmelse med liknande innehåll finns i artikel 11 i det nya data- skyddsdirektivet och föreslås genomföras i 2 kap. 19 § brottsdatalagen. Av bestämmelsen i brottsdatalagen framgår att om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet om- prövat av någon fysisk person. I bestämmelsen anges också att automati- serade beslut inte enbart får grundas på känsliga personuppgifter.

Bestämmelsen i PNR-direktivet innebär, till skillnad från brottsdata- lagen, att en behörig myndighet inte får fatta några beslut som har rätts- liga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne enbart på grund av en automatiserad behandling av PNR-uppgifter. En bestämmelse som genomför artikel 7.6 bör därför tas in i den nya lagen. Eftersom det finns ett allmänt förbud i den nya lagen mot att behandla PNR-uppgifter som utgör känsliga personuppgifter anser regeringen att det inte är nödvändigt att bestämmelsen reglerar den del av artikeln som innebär att beslutet inte får grunda sig på känsliga personuppgifter.

109

11.5Behöriga myndigheters möjlighet att begära PNR-information från andra medlemsstater

Regeringens bedömning: De behöriga myndigheternas möjligheter att begära ut PNR-information från andra medlemsstater bör regleras i förordning.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot bedömningen.

Skälen för regeringens bedömning: Av artikel 9.3 i PNR-direktivet framgår att en framställning av en behörig myndighet om att få ut PNR- information från en enhet för passagerarinformation i en annan medlems- stat som huvudregel ska översändas via enheten för passagerar- information i den egna medlemsstaten. Endast i nödfall och enligt de villkor som fastställts i artikel 9.2 får den behöriga myndigheten direkt vända sig till en medlemsstat med en begäran om att få ut PNR-uppgifter. Begäran ska enligt artikeln motiveras och en kopia på begäran ska skickas till enheten för passagerarinformation i den begärande medlems- staten. Regeringen anser att en bestämmelse som motsvarar artikel 9.3 kan meddelas i förordning.

12 Enskildas rättigheter

12.1Rätt till information, rättelse, radering eller begränsning av behandlingen av personuppgifter

Regeringens förslag: Enskildas rätt till radering eller begränsning av behandling av personuppgifter enligt brottsdatalagen ska tillämpas vid behandling i strid med bestämmelserna om för vilka syften PNR- information får behandlas, vid behandling av känsliga personuppgifter och vid förpliktelsen att förstöra PNR-uppgifterna slutligt efter fem år.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Advokatsamfundet framhåller att behandlingen av

personuppgifterna även kan omfattas av sekretess gentemot den regi- strerade. Advokatsamfundet anser därför att förslaget inte i tillräcklig grad beaktar risken för att de registrerade på grund av felaktiga, ofull- ständiga eller missvisande uppgifter kan komma att drabbas av obe- fogade åtgärder eller olägenheter som de inte har någon reell möjlighet att värja sig emot. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag: Enligt artikel 13.1 i PNR-direktivet ska medlemsstaterna föreskriva att alla passagerare har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fast-

ställs i unionsrätten och nationell rätt och för genomförande av artiklarna

110

17, 18, 19 och 20 i dataskyddsrambeslutet. Enligt PNR-direktivet ska således de angivna artiklarna i dataskyddsrambeslutet tillämpas även vid sådan personuppgiftsbehandling som omfattas av direktivet. Som har angetts tidigare får PNR-direktivets hänvisningar till dataskydds- rambeslutet läsas som hänvisningar till det nya dataskyddsdirektivet, som föreslås genomföras i brottsdatalagen.

En viktig aspekt av personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den person- uppgiftsbehandling som pågår är en förutsättning för att någon ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Det nya dataskyddsdirektivets bestämmelser om enskildas rätt till information föreslås genomföras i 4 kap. 1–7 §§ brotts- datalagen och i den tillhörande förordningen. I 4 kap. 12 § brottsdata- lagen finns en bestämmelse om avgifter för informationen. Samtliga angivna bestämmelser är allmänt formulerade och kan tillämpas även för behandlingen av PNR-uppgifter. Brottsdatalagen kommer att gälla utöver den nya lagen för behandling som utförs vid enheten för passagerar- information. Särskilda bestämmelser om enskildas rätt till information behöver därför inte införas i den nya lagen. Skyldigheten kan dock begränsas av bl.a. bestämmelserna i offentlighets- och sekretesslagen.

En bestämmelse om att lufttrafikföretagen ska informera passagerarna om överföringen av PNR-uppgifter till enheten för passagerarinformation och om syftet med överföringen har föreslagits i avsnitt 8.7.

Brottsdatalagen innehåller bestämmelser om den registrerades rätt till rättelse, radering och begränsning av behandling av personuppgifter i 4 kap. 9–11 §§. Bestämmelserna i 4 kap. 9 och 11 §§ är formulerade på ett sådant allmängiltigt sätt att de även blir tillämpliga vid person- uppgiftsbehandling enligt den nya lagen, för det fall inget annat anges. Någon hänvisning till dessa bestämmelser behöver därför inte föras in i den nya lagen.

I 4 kap. 10 § brottsdatalagen anges att den registrerade har rätt till radering eller begränsning av personuppgifter om uppgifterna har be- handlats i strid med vissa angivna bestämmelser i brottsdatalagen. En registrerad bör dock också ha rätt till radering eller begränsning av be- handling av personuppgifter vid överträdelser av vissa centrala be- stämmelser i den nya lagen. En sådan rätt bör finnas när personuppgifter har behandlats i strid med bestämmelserna om för vilka syften PNR- information får behandlas, förbud mot behandling av känsliga person- uppgifter och förpliktelsen att förstöra PNR-uppgifterna slutligt efter fem år. Det föreslås därför att det i den nya lagen införs en bestämmelse som anger att 4 kap. 10 § brottsdatalagen ska tillämpas vid behandling i strid med de angivna bestämmelserna. I 7 kap. 2 § brottsdatalagen föreskrivs att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas till allmän förvaltningsdomstol. Förslagen genomför enligt regeringens mening PNR-direktivets krav på rätt till rättelse, radering eller begränsning av PNR-uppgifter. Advokatsamfundets synpunkter om att den enskilde på grund av sekretess i vissa fall inte har insyn i uppgifterna medför inte någon annan bedömning.

111

12.2Rätt till skadestånd

Regeringens förslag: Om personuppgifter har behandlats i strid med bestämmelser i den nya lagen eller föreskrifter som har meddelats i anslutning till den ska den personuppgiftsansvarige ersätta den regi- strerade i enlighet med brottsdatalagens bestämmelse om skadestånd.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inte några synpunkter på förslaget.

Skälen för regeringens förslag: Enligt 7 kap. 1 § i förslaget till brottsdatalag ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med brottsdatalagen, eller före- skrifter som har meddelats i anslutning till den.

Bestämmelsen om skadestånd enligt brottsdatalagen kommer att gälla om personuppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats i anslutning till den. För att bestämmelsen i brottsdata- lagen även ska vara tillämplig vid behandling av personuppgifter i strid med den nya lagen eller med föreskrifter som har meddelats med stöd av lagen behöver en hänvisning till bestämmelsen föras in i den nya lagen. En sådan hänvisning föreslås därför. I artikel 82 i dataskyddsförord- ningen och 7 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser om rätt till skadestånd som ska tillämpas vid lufttrafikföretagens behandling av personuppgifter. Någon hänvisning till dessa bestämmelser är inte nödvändig.

 

13

Tillsyn

 

 

 

Regeringens förslag: Tillsynen över den nya lagens personuppgifts-

 

behandling ska utföras av tillsynsmyndigheten enligt brottsdatalagen

 

och i enlighet med bestämmelserna om tillsyn i den lagen.

 

 

 

Utredningens förslag överensstämmer i sak med regeringens förslag.

 

Remissinstanserna: Statens inspektion för försvarsunderrättelseverk-

 

samheten (Siun) önskar att det klargörs hur Siun:s granskande uppgift av

 

lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens

 

försvarsunderrättelseverksamhet och militära säkerhetstjänst förhåller sig

 

till utredningens förslag. Datainspektionen konstaterar att den tillsyns-

 

myndighet som ska utses kommer att få ytterligare arbetsuppgifter och

 

ökade kostnader vilket kräver ytterligare behov av resurser. Synpunkten

 

behandlas i avsnitt 16.

 

Skälen för regeringens förslag: I artikel 15.1 i PNR-direktivet anges

 

att varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet

 

som avses i artikel 25 i dataskyddsrambeslutet ska ansvara för att ge rikt-

 

linjer för och övervaka tillämpningen av de nationella bestämmelser som

 

genomför direktivet. Vid tillsynen ska artikel 25 i dataskyddsrambeslutet

 

tillämpas. Eftersom direktivets hänvisningar till rambeslutet ska läsas

112

som hänvisningar till det nya dataskyddsdirektivet, ska således samma

 

 

myndighet som ska utöva tillsyn enligt det nya dataskyddsdirektivet vara

 

tillsynsmyndighet även enligt PNR-direktivet.

 

Datainspektionen utövar i dag tillsyn över all personuppgiftsbehand-

 

ling, om inte ansvaret uttryckligen har anförtrotts någon annan myndig-

 

het. Säkerhets- och integritetsskyddsnämnden (SIN) utövar viss tillsyn

 

över de brottsbekämpande myndigheterna. Nämnden utövar tillsyn över

 

användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter

 

och därmed sammanhängande verksamhet. Nämnden utövar också tillsyn

 

över Säkerhetspolisens och Polismyndighetens behandling av person-

 

uppgifter enligt polisdatalagen (2010:361). Både Datainspektionen och

 

SIN utövar således tillsyn över den brottsbekämpande verksamheten.

 

Justitieombudsmannen och Justitiekanslern utövar tillsyn över hur lagar

 

och andra föreskrifter tillämpas i offentlig verksamhet. Deras tillsyn

 

omfattar därmed även behandlingen av personuppgifter och skyddet av

 

enskildas integritet vid sådan behandling.

 

I propositionen Brottsdatalag föreslås att Datainspektionen ska utses

 

till svensk nationell tillsynsmyndighet enligt dataskyddsdirektivet. Det

 

föreslås vidare att tillsynen över Polismyndighetens personuppgifts-

 

behandling inom dataskyddsdirektivets område även fortsättningsvis ska

 

utföras både av Datainspektionen och SIN. Datainspektionen kommer

 

alltså att vara nationell tillsynsmyndighet enligt dataskyddsdirektivet och

 

är därmed den myndighet som även ska vara tillsynsmyndighet enligt

 

den nya lagen.

 

Vid tillsynen ska, enligt PNR-direktivet, bestämmelserna om tillsyn i

 

rambeslutet tillämpas, vilket alltså får tolkas som det nya dataskydds-

 

direktivets bestämmelser. De aktuella bestämmelserna i brottsdatalagen

 

reglerar tillsyn över den lagens tillämpningsområde. Med anledning

 

härav och då den nya lagen inte bara kommer att tillämpas av person-

 

uppgiftsansvariga som omfattas av brottsdatalagens tillämpningsområde

 

utan också av t.ex. lufttrafikföretag och Försvarsmakten, bör i den nya

 

lagen införas en allmän bestämmelse som anger att tillsyn över person-

 

uppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt

 

brottsdatalagen och i enlighet med den lagens bestämmelser om tillsyn.

 

Därmed regleras att tillsynsmyndigheten enligt brottsdatalagen ska ha

 

tillsyn över all behandling av personuppgifter enligt den nya lagen.

 

Bestämmelsen blir således tillämplig såväl för den behandling av person-

 

uppgifter enligt lagen som sker vid lufttrafikföretagen som vid enheten

 

för passagerarinformation och de behöriga myndigheterna, oavsett vilken

 

tillsynsmyndighet som i övrigt har tillsynsansvaret för den myndigheten.

 

Det får nämligen anses vara en rimlig ordning att samma tillsyns-

 

myndighet har tillsyn över hela lagens tillämpning, vilket också är den

 

ordning som föreskrivs i artikel 15.1 i PNR-direktivet. En sådan ordning

 

utesluter emellertid inte att även andra myndigheter kan bedriva tillsyn i

 

enlighet med bestämmelser i andra författningar, t.ex. påverkas alltså

 

varken Siun:s eller SIN:s tillsynsansvar av detta förslag.

 

I PNR-direktivet pekas vissa särskilda uppgifter ut som tillsyns-

 

myndigheten ska utföra. Myndigheten ska, enligt artikel 15.3, hantera

 

klagomål från enskilda och kontrollera att uppgiftsbehandlingen är laglig.

 

Vidare ska tillsynsmyndigheten genomföra utredningar, inspektioner och

 

revision i enlighet med nationell rätt. Dessa grundläggande tillsynsupp-

 

gifter omfattas enligt regeringens mening av 5 kap. 2 § brottsdatalagen. I

113

det nya dataskyddsdirektivet anges inte särskilt att revision ska utföras och det föreslås således inga bestämmelser om detta i brottsdatalagen. Hänvisningen i PNR-direktivet till att revision ska utföras i enlighet med nationell rätt får dock enligt regeringens mening anses innebära att det inte finns någon skyldighet för medlemsstaterna att införa en ny tillsyns- uppgift i nationell rätt. De tillsynsuppgifter som regleras i brottsdatalagen får därför anses vara tillräckliga för att uppfylla PNR-direktivets krav i denna del.

Tillsynsmyndigheten ska vidare, enligt artikel 15.4 i PNR-direktivet, på begäran ge registrerade råd om hur de kan utöva sina rättigheter. Detta får anses omfattas av den allmänna serviceskyldigheten i förvaltnings- lagen (2017:900) och bör inte kräva några lagstiftningsåtgärder. De till- synsuppgifter som anges i brottsdatalagen kan således tillämpas på personuppgiftsbehandling som sker med stöd av den nya lagen och några bestämmelser om detta behöver inte föras in i den nya lagen.

I PNR-direktivet anges att tillsynsmyndigheten ska utföra sina upp- gifter i syfte att skydda grundläggande rättigheter i samband med be- handling av personuppgifter. Även enligt 5 kap. 1 § brottsdatalagen ska tillsynen ske i detta syfte. Enligt den bestämmelsen ska tillsynen också ske i syfte att underlätta det fria flödet av personuppgifter. Enligt regeringens mening kommer inte tillsynens dubbla syften enligt brottsdatalagen att medföra en lägre skyddsnivå för personuppgifterna. Bestämmelsen i brottsdatalagen uppfyller därmed PNR-direktivets krav.

14 Sanktionsavgifter

14.1Överträdelser av lufttrafikföretag

14.1.1Val av sanktionsform

Regeringens förslag: Administrativ sanktionsavgift ska användas som enda sanktionsform mot lufttrafikföretagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: PNR-direktivet innehåller krav på att medlemsstaterna ska införa bestämmelser om sanktioner. I artikel 14 anges bl.a. att medlemsstaterna ska fastställa bestämmelser om sanktioner, in- klusive ekonomiska sådana, mot lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte översänder uppgifterna i det fastställda formatet. Vidare anges i artikel 14 att sanktionerna ska vara effektiva, proportionella och avskräckande. PNR-direktivet pekar inte ut vilka sanktioner som ska införas mot lufttrafikföretagen utöver att de ska inkludera ekonomiska sanktioner.

De sanktionsverktyg som normalt står till buds för staten är straff och sanktionsavgifter samt vite, förbud och återkallelse av tillstånd. Böter, företagsbot, sanktionsavgifter och vite är olika former av ekonomiska

sanktioner.

114

Såväl böter som företagsbot förutsätter en kriminalisering. Generellt kan konstateras att kriminalisering inte är det enda och inte heller alltid det mest effektiva medlet för att motverka oönskade beteenden. De all- männas resurser för brottsbekämpning bör rimligen koncentreras på sådana förfaranden som kan leda till påtaglig skada eller fara och som inte kan hanteras på annat sätt (jfr prop. 1994/95:23 s. 54 ff.) Straff- sanktioner ska således användas i sista hand och endast om det inte finns någon annan sanktion som är tillräckligt effektiv. Någon straffbe- stämmelse bör därför inte införas i den nya lagen.

Administrativa sanktionsavgifter används allt oftare och finns inom en rad områden. Sanktionsavgifter har bl.a. den fördelen att de medför ett enkelt och snabbt beivrande av överträdelser eftersom beslut om avgiften kan fattas av en myndighet. Användning av vite innebär ett mer om- ständligt förfarande, eftersom det först måste föreläggas och sedan över- trädas för att kunna dömas ut.

Det finns givetvis även nackdelar med sanktionsavgifter. Om avgiften är satt för lågt kan verksamhetsutövaren se avgiften enbart som en kost- nad som det går att kalkylera med.

Såväl i propositionen Ny dataskyddslag som i propositionen Brotts- datalag föreslås att sanktionsavgifter ska användas vid överträdelser av dataskyddsförordningen och brottsdatalagens bestämmelser om person- uppgiftsbehandling. Även enligt rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet), som är genomfört i bl.a. utlänningslagen, kan en underlåtenhet att överföra s.k. API-uppgifter medföra en skyl- dighet för lufttrafikföretagen att betala en sanktionsavgift. En enhetlig utformning av regelverken på liknande rättsområden bör eftersträvas. Regeringen anser därför att administrativ sanktionsavgift bör användas som ekonomisk sanktionsform mot lufttrafikföretagen.

Förutom ekonomiska sanktioner finns det andra sanktionsformer som skulle kunna användas mot lufttrafikföretagen, t.ex. återtagande av luft- trafikföretagets operativa licens eller avgångsförbud. Några sådana sank- tioner tillämpas dock inte vid liknande situationer i svensk rätt. Ekono- miska sanktioner får vidare anses vara tillräckliga för att förmå luft- trafikföretagen att fullgöra sin överföringsskyldighet. Några andra än ekonomiska sanktioner bör därför inte införas.

14.1.2När ska sanktionsavgift få användas?

Regeringens förslag: En sanktionsavgift ska tas ut av lufttrafikföretag som inte överför PNR-uppgifter i enlighet med bestämmelserna i den nya lagen eller föreskrifter som har meddelats i anslutning till den.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna Svenska Flygbranschen (SFB) anser att det inte ska utgå någon sanktionsavgift om lufttrafikföretag använder fel format för överföringen av uppgifterna.

Skälen för regeringens förslag: Enligt artikel 14 i PNR-direktivet ska sanktioner träffa de lufttrafikföretag som inte översänder uppgifter i

enlighet med artikel 8 eller som inte överför uppgifterna i det fastställda

115

formatet. I artikel 8.3 anges att lufttrafikföretagen som huvudregel ska överföra PNR-uppgifterna elektroniskt med användning av de gemen- samma protokoll och understödda dataformat som har antagits av kommissionen.

Enligt direktivet ska medlemsstaterna vidta de åtgärder som krävs för att säkerställa att de sanktioner som införs också genomförs. Det finns inga generella förfaranderegler för handläggningen av sanktionsavgifter. Regeringen har dock meddelat riktlinjer för hur sanktionsavgifter ska utformas och användas (se prop. 1981/82:142 s. 24 f.). Sådana riktlinjer följer även av internationella åtaganden. Vid utformningen av sanktions- avgiftssystemet bör hänsyn tas till hur sådana avgifter utformats inom andra rättsområden. Vidare bör de rättssäkerhetskrav som ställs på ett system med sanktionsavgift få genomslag. Det innebär att sanktions- avgiftssystemet bör regleras i lag och att det av lagen bör framgå när, hur och av vem en sanktionsavgift får tas ut. Systemet ska också vara förut- sägbart. Det ska även möta kravet på rimlig handläggningstid, domstols- prövning och en rättssäker process.

Den nya lagen innehåller en bestämmelse om att lufttrafikföretag ska informera sina passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen. Denna informationsskyldighet följer inte av någon artikel i direktivet utan framgår endast av skälen till direktivet. Det kan därför ifrågasättas om det är lämpligt att införa sanktioner mot den som inte följer be- stämmelsen. Det kan visserligen ses som grundläggande att passagerarna informeras fullt ut om överföringen av PNR-uppgifter, för att de ska ha möjlighet att utöva sina rättigheter enligt direktivet. Sanktionsavgifter bör dock endast användas vid överträdelser av de bestämmelser om behandling av personuppgifter som anses viktigast för att värna enskildas integritet, som innehåller de grundläggande reglerna om hur personuppgifter får behandlas och som – om de inte efterlevs – riskerar att leda till allvarliga kränkningar av registrerades integritet. Eftersom informationsskyldigheten till viss del redan följer av data- skyddsförordningen kan det inte anses leda till någon allvarlig kränkning av enskildas personliga integritet att de inte också informeras om skälen till överföringen enligt den nya lagen. Det saknas därmed tillräckliga skäl att i lagen införa sanktioner mot lufttrafikföretag för utebliven informa- tion till passagerarna.

För att knyta sanktionsavgiften till översändandet av PNR-uppgifterna bör det av den nya lagen framgå att en sanktionsavgift ska tas ut av luft- trafikföretag som inte överför uppgifter i enlighet med bestämmelserna i lagen eller föreskrifter som har meddelats i anslutning till den. Det innebär att sanktionsavgift kan utgå t.ex. om överföringar inte sker vid de tidpunkter som anges i lagen eller om de överförs i ett annat format än de som godkänts av kommissionen. Lufttrafikföretaget ansvarar dock inte för att uppgifterna som överförs är korrekta.

SFB anser att det inte ska utgå någon sanktionsavgift om fel format för överföringen av uppgifterna används. Bestämmelserna i artikel 8 måste emellertid genomföras av medlemsstaterna. Sanktionsavgifter bör där- med tas ut även vid sådana överträdelser.

116

Eftersom PNR-uppgifterna ska överföras av det lufttrafikföretag som utför själva flygningen drabbar sanktionerna inte de lufttrafikföretag som endast delar linjebeteckning med det företag som utför flygningen.

Bestämmelser om sanktionsavgift är oftast obligatoriska, dvs. utfor- made så att sanktionsavgift ska tas ut när förutsättningarna för det är upp- fyllda. Bestämmelsen om sanktionsavgift enligt brottsdatalagen har dock utformats på så sätt att det inte är obligatoriskt att besluta om sanktions- avgift. Anledningen till det är att det inte har ansetts rimligt att ålägga en myndighet sanktionsavgift för att någon i enstaka fall har behandlat en personuppgift felaktigt. För lufttrafikföretagens del ska sanktionsavgift tas ut för det fall ett lufttrafikföretag inte har överfört PNR-uppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Det får därför i detta fall anses vara rimligt att bestämmelserna om sank- tionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Bestämmelsen bör därför vara obligatorisk. Tillsynsmyndigheten bör dock ha möjlighet att i vissa fall helt eller delvis efterge sanktions- avgiften, se avsnitt 14.1.3.

Huvudregeln är att sanktionsavgift bygger på strikt ansvar, dvs. att av- giften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Beträffande de aktuella överträdelserna finns det ett starkt stöd för en presumtion om att överträdelser inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Regeringen anser där- för att det inte finns anledning att frångå huvudregeln om strikt ansvar i den nya lagen. Skrivningar om att avgiftsskyldigheten bygger på strikt ansvar bör inte tas med i lagtexten. I motsats till vad som gäller för straff- bestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift. Det behöver därför inte i lagtext upplysas om att sanktionsavgift får tas ut även om en överträdelse inte har skett uppsåtligen eller av oaktsamhet.

14.1.3Sanktionsavgiftens storlek

Regeringens förslag: Sanktionsavgiften ska uppgå till lägst 20 000 kronor och högst 100 000 kronor för varje flygning som har ut- förts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet. När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till antal passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse.

Sanktionsavgiften ska få sättas ned helt eller delvis om över- trädelsen är ursäktlig eller om det annars med hänsyn till omständig- heterna skulle vara oskäligt att ta ut avgiften.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte att det ska regleras i lag vilka omständigheter som särskilt ska beaktas när sanktionsavgiftens storlek bestäms.

Remissinstanserna: Förvaltningsrätten i Stockholm anser att det är oklart om samma omständigheter kan beaktas både när det gäller av- giftens storlek, där rimlig förklaring ska beaktas vid storlekens sättande, och nedsättning av avgiften, där det ska beaktas om överträdelsen varit

ursäktlig.

117

 

Skälen för regeringens förslag: Ett effektivt sanktionsavgiftssystem

 

innebär att en sanktionsavgift ska kunna påföras frekvent och kort tid

 

efter det att överträdelsen ägt rum. För att uppfylla grundläggande rätts-

 

säkerhetskrav krävs det också att systemet är förutsebart. Ett sådant

 

system kan åstadkommas endast om det är enkelt att avgöra med vilket

 

belopp som avgiften ska påföras vid varje enskilt tillfälle.

 

Underlåtenhet att överföra API-uppgifter kan, enligt API-direktivet,

 

medföra en sanktionsavgift om högst 46 000 kronor. Avgiften är bestämd

 

med ledning av den sanktionsavgift på samma belopp som enligt

 

utlänningslagen (2005:716) ska betalas av de transportörer som inte upp-

 

fyller sin kontrollskyldighet enligt transportörsansvaret.

 

På samma sätt som vid sanktionsavgift riktad mot transportörer bör

 

sanktionsavgiften vid underlåtenhet att överföra PNR-uppgifter be-

 

stämmas med ledning av vissa i lagen angivna belopp, och inte knytas till

 

omsättningen av verksamheten, vinsten eller liknande kriterium. Vidare

 

bör avgiftsnivåerna inte i alltför hög grad avvika från de nivåer som

 

gäller i dag vid underlåten överföring av API-uppgifter. PNR-direktivet

 

föreskriver inte några särskilda nivåer för sanktionsavgifterna. För att

 

sanktionsavgiften ska få en tillräckligt avskräckande effekt för alla luft-

 

trafikföretag bör underlåten eller felaktig överföring av PNR-uppgifter

 

sättas något högre än de som gäller vid underlåten överföring av API-

 

uppgifter. Det föreslås därför att den högsta avgiften som kan användas

 

bör uppgå till 100 000 kronor. För att ett spann ska kunna föreligga bör

 

även ett lägsta belopp för avgiften införas i lagen. Eftersom sanktions-

 

avgifterna ska vara avskräckande bör minimibeloppet inte sättas alltför

 

lågt utan bör bestämmas till 20 000 kronor. Således bör sanktionsavgiften

 

för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort

 

sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst

 

100 000 kronor.

 

Lagrådet konstaterar att bestämmelsen inte ger någon vägledning i

 

fråga om vilka omständigheter som ska beaktas när man bestämmer

 

sanktionsavgiftens storlek. När storleken på sanktionsavgiften ska be-

 

stämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständig-

 

heter. Det är inte möjligt att i den nya lagen ange samtliga omständig-

 

heter som kan behöva beaktas i enskilda fall. Det bör dock, som Lagrådet

 

påpekar, tydliggöras vilka omständigheter som särskilt ska beaktas. De

 

omständigheter som är särskilt viktiga att beakta och som bör anges i den

 

nya lagen är enligt regeringens uppfattning hur många passagerare som

 

fanns med på flygningen och om lufttrafikföretaget tidigare har underlåtit

 

att överföra PNR-uppgifter i enlighet med lagen eller föreskrifter som har

 

meddelats i anslutning till lagen. Dessa omständigheter kan påverka

 

beloppets storlek både i försvårande och förmildrande riktning. Någon

 

anledning att särskilt ange omständigheter som ska verka försvårande

 

respektive förmildrande, som Lagrådet föreslår, finns därför inte enligt

 

regeringens mening. Direktivets bestämmelse om att sanktionerna ska

 

vara effektiva, proportionella och avskräckande ska alltid beaktas.

 

Lufttrafikföretagen kommer normalt sett ha möjlighet att lämna upp-

 

gifter i enlighet med PNR-direktivets bestämmelser. Det kan emellertid

 

finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin över-

 

föringsskyldighet. Det kan t.ex. vara så att det har skett ett tekniskt fel

118

vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tänkt att

anlända till Sverige oväntat ha omdirigerats hit. Det kan således finnas situationer där det bedöms oskäligt att ta ut hela avgiften för att luft- trafikföretaget inte har överfört sina PNR-uppgifter. Det behöver därför i lagen finnas en möjlighet att i sådana situationer sätta ned avgiften helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

Som Förvaltningsrätten i Stockholm har föreslagit bör avgiftens storlek bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag i bedömningen av om av- giften ska sättas ned.

14.1.4Ansvarig myndighet och förfarandet vid beslut om sanktionsavgift

Regeringens förslag: Polismyndigheten ska besluta om sanktions- avgift för lufttrafikföretag. Sanktionsavgiften ska tillfalla staten.

En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då över- trädelsen ägde rum.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: Beslut om sanktionsavgift fattas normalt av en tillsynsmyndighet eller en domstol. Som tidigare har an- getts är dock ett av syftena med användandet av sanktionsavgift att man inte ska behöva gå via en domstol för att kunna använda sanktionen.

Transportstyrelsen utövar tillsyn över lufttrafikföretagen. Det är också den myndigheten som beslutar om sanktionsavgift vid överträdelser av regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg. Transportstyrelsens tillsyn över lufttrafikföretagen innebär dock främst att myndigheten övervakar och kontrollerar att krav och regelverk följs av dem som har fått ett visst tillstånd. Det kan inte sägas ingå i Transportstyrelsens normala uppdrag att kontrollera att luft- trafikföretagen överför PNR-uppgifter till brottsbekämpande verksamhet.

Om ett lufttrafikföretag inte uppfyller sin överföringsskyldighet enligt den nya lagen kommer det att vara Polismyndigheten genom enheten för passagerarinformation som upptäcker detta. Polismyndigheten är också den myndighet som enligt dagens system prövar om sanktionsavgift ska betalas av ett lufttrafikföretag som inte har överfört sina API-uppgifter. Krav på effektivitet och rättssäkerhet måste balanseras mot varandra vid utformningen av ett system med sanktionsavgifter. Om uppgiften att besluta om sanktionsavgift läggs på Polismyndigheten även när det gäller lufttrafikföretagens överträdelser enligt den nya lagen kommer frågan att hanteras av den myndighet som har den största sakkunskapen. Hand- läggningen skulle troligtvis också gå snabbare, eftersom myndigheten redan har tillgång till det material som ett sanktionsbeslut kommer att grundas på. Övervägande skäl talar därför för att Polismyndigheten även bör pröva frågor om åläggande av sanktionsavgift enligt den nya lagen. En bestämmelse med denna innebörd bör därför införas i lagen.

119

En särskild fråga är vem vid Polismyndigheten som bör pröva frågor om sanktionsavgift. Det finns enligt regeringen starka skäl – inte minst från rättssäkerhetssynpunkt – som talar mot att samma person som har utrett en eventuell överträdelse får besluta om sanktionsavgift. Det är viktigt att verksamheten organiseras så att förtroendet för myndigheten inte riskerar att rubbas. Med tanke på sanktionsbeslutens betydelse bör det enligt regeringens mening ställas höga krav på den som får besluta om sanktionsavgift. Det kan därför vara lämpligt att sådana beslut bara får fattas av ett fåtal personer. Det bör dock inte uteslutas att en chef vid enheten för passagerarinformation kan pröva frågor om sanktionsavgift.

Innan Polismyndigheten beslutar om sanktionsavgift bör lufttrafik- företaget ges tillfälle att yttra sig. Det ger lufttrafikföretaget möjlighet att anföra omständigheter som kan påverka beslutet. Möjligheten att komma till tals innan beslut fattas i frågan är en förutsättning för materiellt riktiga avgöranden och är en viktig rättssäkerhetsfråga. Av 25 § förvaltningslagen (2017:900) framgår att en myndighet – innan den fattar ett beslut i ett ärende – ska underrätta den som är part om allt material av betydelse och ge parten tillfälle att yttra sig över materialet, om det inte är uppenbart obehövligt.

Det bör finnas en bortre gräns för när en sanktionsavgift får beslutas. En regel som anger när en avgift senast får beslutas, som blir en form av preskriptionsregel, bör därför tas in i lagen. Förfarandet är avsett att leda till snabbt beivrande av överträdelser och dessa kan inte anses vara svåra att upptäcka. Preskriptionstiden bör därför sättas kort. Enligt regeringens bedömning bör tiden uppgå till två år. Motsvarande preskriptionstid tillämpas t.ex. vid uttagande av sanktionsavgift från transportörer enligt regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg.

Sanktionsavgiften bör som brukligt tillfalla staten. Även detta bör regleras i den nya lagen.

14.1.5Betalning och verkställighet

Regeringens förslag: En sanktionsavgift ska betalas till Polismyndig- heten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet. Om sanktions- avgiften inte betalas inom denna tid ska Polismyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. Avgiften ska falla bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att bestämmelser om betalning, indrivning och om att avgiften faller bort om verkställighet inte skett inom en viss tid ska regleras på förordningsnivå.

Remissinstanserna: Ingen remissinstans yttrar sig i denna del.

Skälen för regeringens förslag: Utgångspunkten är att en sanktions- avgift ska betalas kort tid efter beslutet. Polismyndighetens beslut bör

120

därför av rättssäkerhetsskäl delges lufttrafikföretaget. Detta kan regleras i förordning.

Betalningen bör göras inom 30 dagar från det att beslutet fick laga kraft eller inom den längre tid som anges i beslutet och bör lämpligen ske till Polismyndigheten. Utredningen har föreslagit att en bestämmelse med detta innehåll ska tas in i förordning. Enligt regeringens mening bör dock bestämmelsen tas in i den nya lagen.

Polismyndighetens beslut om sanktionsavgift bör jämställas med en dom och vara verkställbar. Genom en sådan lösning skapas förutsätt- ningar för en effektiv och snabb handläggning. Ett beslut om sanktions- avgift bör få lämnas till indrivning efter sista betalningsdagen. Be- stämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning tillämpas utsökningsbalken.

På samma sätt som det bör anges en tidpunkt för när sanktionsavgift inte längre får påföras, bör det finnas en bortre gräns för när ett beslut om sanktionsavgift får verkställas. När beslutet om sanktionsavgift har fått laga kraft bör beslutet verkställas inom fem år. Om så inte blir fallet bör avgiften falla bort till den del den inte har betalats. Detta bör regleras i lag.

I lagrådsremissen föreslås att regeringen ska bemyndigas att meddela ytterligare föreskrifter om sanktionsavgifter. Lagrådet ifrågasätter om ett sådant bemyndigande behövs och föreslår att en upplysningsbestämmelse kan ersätta bestämmelsen. Regeringen instämmer i Lagrådets uppfattning att det är tillräckligt med en upplysningsbestämmelse och föreslår därför att det införs en bestämmelse som innebär att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om sanktionsavgifter enligt den nya lagen.

14.1.6Rätt att överklaga

Regeringens förslag: Polismyndighetens beslut om sanktionsavgift ska kunna överklagas till allmän förvaltningsdomstol. Prövningstill- stånd ska krävas vid överklagande till kammarrätten.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna har inga synpunkter på förslaget.

Skälen för regeringens förslag: Den som har ålagts en sanktionsav- gift bör ha rätt att överklaga beslutet till domstol. Det bör i den nya lagen därför införas en bestämmelse som anger att Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. Av regeln bör framgå att det vid överklagande till kammarrätten krävs att domstolen beviljar prövningstillstånd för att klaganden ska få sitt över- klagande prövat i sak.

I lagrådsremissen föreslår regeringen att det av tydlighetsskäl bör framgå av bestämmelsen att Polismyndigheten har ställning som motpart i ett sådant mål hos domstolen. Lagrådet påpekar att det av 7 a § förvaltningsprocesslagen (1971:291) följer att den myndighet som först beslutade i saken ska vara den enskildes motpart i domstolen och att det

därmed inte är nödvändigt att i paragrafen ange att Polismyndigheten är

121

motpart, om överklagande av någon annan än en enskild inte kan komma ifråga. En sanktionsavgift kan åläggas ett lufttrafikföretag som inte över- för PNR-uppgifter i enlighet med bestämmelserna i lagen eller före- skrifter som har meddelats i anslutning till den. Någon annan klagande än en enskild kan i dessa fall därför inte komma ifråga. Regeringen delar därför Lagrådets bedömning att det i lagtexten inte behöver anges att Polismyndigheten är motpart i domstolen vid ett överklagande av sanktionsavgift.

14.2Överträdelser av personuppgiftsansvarig myndighet

Regeringens förslag: En administrativ sanktionsavgift ska få tas ut av en personuppgiftsansvarig myndighet vid överträdelser av de be- stämmelser i den nya lagen som har till syfte att skydda enskildas integritet.

Sanktionsavgiftssystemet i brottsdatalagen och den tillhörande för- ordningen ska tillämpas i handläggningsfrågor och när sanktions- avgiftens storlek bestäms. Beslut om sanktionsavgift ska kunna över- klagas till allmän förvaltningsdomstol.

Utredningens förslag: överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten avstyrker förslaget och anser

att det redan finns tillräckliga och avskräckande sanktioner. Säkerhets- och integritetsskyddsnämnden anser att bestämmelsen bör ange att sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet och att även underrubriken omedelbart före paragrafen bör formuleras om. Förvaltningsrätten i Stockholm efterlyser en klar och tydlig reglering av hur överträdelser av flera regelverk på dataskyddsområdet ska hanteras. Förvaltningsrätten framför även samma resonemang som anförts gällande lufttrafikföretagen angående vilka omständigheter som bör beaktas vid sättande av avgiftens storlek respektive nedsättning av avgiften. Förvaltningsrätten anser vidare att det vore enklare och tyd- ligare om lagen innehöll en fullständig sanktionsreglering i stället för att hänvisa till annan reglering. Även Kammarrätten i Jönköping finner det önskvärt med ett förtydligande resonemang om hur sanktionsavgiftens storlek ska bedömas.

Skälen för regeringens förslag

Sanktionsavgift vid överträdelser av personuppgiftsansvarig myndighet

Enligt artikel 14 i PNR-direktivet ska medlemsstaterna fastställa regler om sanktioner för överträdelser av nationella bestämmelser som antagits enligt direktivet och vidta nödvändiga åtgärder för att se till att de genomförs. Sådana sanktioner bör kunna träffa såväl den behandling av PNR-uppgifter som utförs vid enheten för passagerarinformation som vid de behöriga myndigheter som därefter får tillgång till PNR-information. Om enheten för passagerarinformation exempelvis behandlar PNR-

uppgifter under längre tid än vad som är tillåtet eller om de behöriga

122

myndigheterna skulle använda PNR-uppgifterna för bekämpande av annan brottslighet än den som avses i direktivet, utan stöd i lagen, ska det således finnas sanktioner att tillgripa.

I propositionen Brottsdatalag har regeringen föreslagit att admini- strativa sanktionsavgifter ska användas mot den som behandlar person- uppgifter i strid med vissa närmare angivna bestämmelser i brottsdata- lagen. Det finns stora effektivitetsvinster med att använda samma sanktion i den nya lagen som i den föreslagna brottsdatalagen. Det sank- tionssystem som föreslås för brottsdatalagen är vidare lämpligt och väl avvägt. Till skillnad från Polismyndigheten anser regeringen därför att regler om sanktionsavgift bör införas vid överträdelser av enheten för passagerarinformation och behöriga myndigheter.

I brottsdatalagen föreslås inte någon annan sanktionsmöjlighet än sanktionsavgifter vid överträdelser av bestämmelserna om personupp- giftsbehandling på det brottsbekämpande området. Någon annan sank- tionsmöjlighet än sanktionsavgifter bör därför inte heller föreslås i den nya lagen.

Förvaltningsrätten i Stockholm förespråkar att den nya lagen ska inne- hålla en fullständig sanktionsreglering. Det skulle emellertid innebära en dubbelreglering i vissa avseenden för enheten för passagerarinformation och de behöriga myndigheter som tillämpar brottsdatalagen. Ett full- ständigt sanktionssystem bör därför inte tas in i den nya lagen utan en hänvisning till aktuella bestämmelser i brottsdatalagen är att föredra. Av den nya lagen behöver dock framgå vilka överträdelser som kan leda till sanktionsavgift, vem som kan träffas av sanktionsavgift och sanktions- avgiftens storlek.

För vilka överträdelser ska sanktionsavgift tas ut?

Av den nya lagen bör framgå vilka överträdelser som kan leda till sanktionsavgift. De bestämmelser som bör föranleda sanktionsavgift är som utgångspunkt de som innehåller grundläggande regler om hur PNR- uppgifterna får behandlas och som därför får anses vara av störst betydelse för att värna enskildas integritet.

Bestämmelsen om att PNR-uppgifter inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet är av så grundläggande natur att överträdelser av den bör föranleda sanktionsavgift. Detsamma gäller för överträdelser av förbudet mot behandling av känsliga personupp- gifter. Vidare bör överträdelser av bestämmelserna om hur enheten för passagerarinformation får behandla PNR-uppgifter kunna leda till sanktionsavgift. Till dessa bestämmelser hör bestämmelsen om att PNR- information ska behandlas i Sverige, lagens ändamålsbestämmelser och bestämmelser som begränsar tillgången till PNR-information och för- bjuder direktåtkomst. Även överträdelser av lagens bestämmelser om be- varande och förstöring bör kunna föranleda sanktionsavgift liksom över- trädelser av bestämmelserna om överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Även överträdelser av bestämmel- ser om hur PNR-uppgifter får användas vid de behöriga myndigheterna bör kunna bli föremål för sanktionsavgift. Slutligen bör, på samma sätt

123

som i brottsdatalagen, bestämmelser som begränsar möjligheten att över- föra uppgifter till tredjeland kunna bli föremål för sanktionsavgift.

De bestämmelser som innebär att PNR-uppgifter ska överföras till be- höriga myndigheter, andra medlemsstater och Europol bör inte föranleda sanktionsavgifter. Inte heller bör underlåtenhet att utse dataskyddsombud föranleda sanktionsavgift. Det får vidare anses vara tillräckligt att det i brottsdatalagen finns en skyldighet att anmäla att dataskyddsombud har utsetts och entledigats till tillsynsmyndigheten. Om en personuppgifts- ansvarig inte skulle fullgöra den skyldigheten, kan tillsynsmyndigheten reagera och t.ex. utfärda ett föreläggande.

För det fall det inom enheten för passagerarinformation skulle ske överträdelser av andra tillämpliga dataskyddsbestämmelser än de som anges i den nya lagen, t.ex. bestämmelserna i brottsdatalagen, blir de sanktionsbestämmelser som anges i de lagarna tillämpliga.

Vem ska träffas av sanktionsavgift?

En personuppgiftsansvarig bär ansvaret inte bara för sin egen personupp- giftsbehandling utan även för den behandling ett personuppgiftsbiträde eller någon annan som behandlar personuppgifter på den personuppgifts- ansvariges vägnar utför, dvs. anställda, personer som är att jämställa med anställda (inhyrd personal) eller uppdragstagare. För den behandling av PNR-uppgifter som enheten för passagerarinformation utför, är det Polis- myndigheten som är personuppgiftsansvarig. De behöriga myndigheterna har personuppgiftsansvaret för den behandling som de utför. För Polis- myndighetens del kommer personuppgiftsansvaret för behandling av personuppgifter enligt den nya lagen således att omfatta både enhetens behandling och den behandling som myndigheten utför i egenskap av behörig myndighet. Som Säkerhets- och integritetsskyddsnämnden har påpekat bör det i lagtexten anges att en sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet för att tydliggöra att inte endast Polis- myndigheten kan träffas av bestämmelsen utan även andra behöriga myndigheter.

Enligt brottsdatalagen får sanktionsavgift i vissa fall även påföras personuppgiftsbiträden, dock endast när de har uttryckliga skyldigheter som framgår direkt av författning. Eventuella personuppgiftsbiträden som kan komma att anlitas av enheten för passagerarinformation eller av behöriga myndigheter kommer inte att ha några uttryckliga skyldigheter enligt den nya regleringen. Det är därför tillräckligt att i den nya lagen ange att sanktionsavgifter kan åläggas en personuppgiftsansvarig myn- dighet.

 

Storleken på sanktionsavgifterna

 

 

 

 

 

Sanktionsavgift kan enligt brottsdatalagen tas ut enligt två nivåer. För

 

mindre allvarliga överträdelser ska avgiften vara högst 5 000 000 kronor.

 

För

allvarliga överträdelser ska

avgiften

bestämmas

till

högst

 

10 000 000 kronor.

 

 

 

 

 

Enligt regeringens mening bör överträdelser av samtliga aktuella be-

 

stämmelser i den nya lagen anses vara så allvarliga att den högre nivån

 

enligt brottsdatalagen ska tillämpas. Detta gäller även för skyldigheten

124

att

internt inom Polismyndigheten

begränsa

tillgången

till

PNR-

 

 

 

 

 

 

information som behandlas vid enheten för passagerarinformation. Vilken sanktionsnivå som kan bli aktuell bör uttryckligen framgå av lagen.

Kammarrätten i Jönköping har efterfrågat ett förtydligande resone- mang om hur sanktionsavgiftens storlek ska bedömas. Utgångspunkten vid bestämmandet av sanktionsavgift är den behandling som har skett av personuppgifterna. Närmare bestämmelser om hur en sanktionsavgift ska bestämmas i det enskilda fallet finns i 6 kap. 4 § brottsdatalagen. Särskild hänsyn ska enligt bestämmelsen tas till om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som över- trädelsen inneburit samt överträdelsens karaktär, svårhetsgrad och varaktighet. Vad den personuppgiftsansvarige har gjort för att begränsa skadan ska också vägas in liksom om den personuppgiftsansvarige tidigare ålagts sanktionsavgift. Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.

Det är möjligt att ett agerande i strid med den nya lagen skulle kunna föranleda sanktionsavgift enligt såväl den lagen som enligt den mer generella regleringen i brottsdatalagen. Tanken är inte att ett sådant agerande ska leda till dubbla sanktionsavgifter. Ett sådant agerande bör emellertid kunna föranleda en högre sanktionsavgift. Någon närmare reglering av hur överträdelser av flera regelverk på dataskyddsområdet ska hanteras, som efterfrågats av Förvaltningsrätten i Stockholm, bör dock inte införas utan får – som föreslagits av utredningen – avgöras från fall till fall av tillsynsmyndigheten.

Liksom när det gäller lufttrafikföretagen bör, som Förvaltningsrätten i Stockholm har föreslagit, även i dessa fall avgiftens storlek bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag i bedömningen av om avgiften ska sättas ned.

Beslut om sanktionsavgift kan överklagas

I 7 kap. 3 § brottsdatalagen föreskrivs att beslut om sanktionsavgifter kan överklagas till allmän förvaltningsdomstol. En bestämmelse som upp- lyser om detta bör införas i den nya lagen.

125

 

15

Sekretess

 

15.1

Behövs det några nya bestämmelser om

 

 

sekretess till skydd för PNR-information?

 

 

 

Regeringens bedömning: Befintliga bestämmelser om sekretess i

 

offentlighets- och sekretesslagen ger ett tillfredsställande skydd för be-

 

handlingen av PNR-information. Någon ny eller ändrad sekretess-

 

reglering behövs därför inte.

 

 

 

Utredningens bedömning överensstämmer med regeringens.

 

Remissinstanserna: Polismyndigheten påpekar att de befintliga be-

 

stämmelserna i offentlighets- och sekretesslagen (2009:400) [OSL] inne-

 

bär att enheten för passagerarinformation i vissa fall kommer att vara

 

skyldig att lämna ut PNR-information till Åklagarmyndigheten.

 

Justitieombudsmannen anser att meddelarfrihet inte bör gälla vid enheten

 

för passagerarinformation. Datainspektionen ifrågasätter om uppgifterna

 

kommer att omfattas av den sekretess som gäller till skydd för enskilda i

 

35 kap. 1 § första stycket OSL och anser att det behövs en särskild

 

reglering av sekretess för personuppgifter till skydd för enskildas

 

integritet hos enheten för passagerarinformation. Denna sekretess bör

 

enligt inspektionen ha samma styrka som har bedömts nödvändig när det

 

gäller trängselskatt och passagerarregistret, där absolut sekretess gäller.

 

Skälen för regeringens bedömning

 

Sekretessbestämmelser till skydd för enskilda och allmänna intressen

 

Den nya regleringen som genomför PNR-direktivet medför att en stor

 

mängd uppgifter om flygpassagerare kommer att bevaras i en databas vid

 

enheten för passagerarinformation. Uppgifterna kan sammantaget utvisa

 

t.ex. passagerarnas resvanor, rörelsemönster och resesällskap. Det finns

 

därför ett behov av sekretesskydd för att skydda passagerarnas personliga

 

integritet. Bland uppgifterna kan också finnas skyddsvärda ekonomiska

 

uppgifter såsom bank- eller kontokortsinformation. Likaså kan lufttrafik-

 

företagen ha kommersiella intressen av att PNR-uppgifter inte blir offent-

 

liga och sammanförda med konkurrenters motsvarande uppgifter.

 

När det gäller skyddet för den brottsbekämpande verksamheten torde i

 

och för sig flertalet PNR-uppgifter kunna röjas för vem som helst utan att

 

skada verksamheten, eftersom de allra flesta uppgifter som enheten för

 

passagerarinformation mottar från lufttrafikföretagen avser passagerare

 

som inte är av intresse för bekämpningen av terroristbrottslighet eller

 

annan allvarlig brottslighet enligt lagen. Däremot skulle ett röjande av

 

resultatet av enhetens bearbetning och analys av PNR-uppgifterna kunna

 

antas skada kommande insatser som grundas på denna information.

 

Detsamma gäller för PNR-information som har mottagits från andra

 

medlemsstater. Även framtagna riskkriterier torde behöva skyddas från

 

offentlighet för att det långsiktiga brottsbekämpande arbetet vid enheten

 

och hos behöriga myndigheter inte ska störas.

 

Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska

126

personer) som andra myndigheter (8 kap. 1 § OSL). Uppgifter som

 

 

skyddas av sekretess får inte lämnas ut till enskild eller annan myndighet

 

utan stöd i OSL. Detsamma gäller utländska myndigheter (8 kap. 3 §

 

OSL).

 

 

 

 

 

Sekretessbestämmelser till skydd för intresset av att förebygga eller

 

beivra brott finns i 18 kap. OSL. Enligt 18 kap. 1 § gäller sekretess för

 

uppgift som hänför sig till en förundersökning i brottmål eller ange-

 

lägenhet som avser användning av tvångsmedel i ett sådant mål eller i

 

annan verksamhet för att förebygga brott. Enligt andra stycket punkt 2

 

gäller sekretess även för uppgifter som hänför sig till annan verksamhet

 

som syftar till att förebygga, uppdaga, utreda eller beivra brott och som

 

bedrivs av bl.a. Polismyndigheten, Säkerhetspolisen och Tullverket.

 

Även Åklagarmyndigheten omfattas av bestämmelsen vilket i samman-

 

hanget innebär att också Ekobrottsmyndigheten omfattas av bestämmel-

 

sens räckvidd. Det som åsyftas med andra stycket punkt 2 är brottsföre-

 

byggande och brottsbeivrande verksamhet i allmänhet utan anknytning

 

till något konkret fall. Sekretessen gäller exempelvis för uppgifter hän-

 

förliga till spaningsmetoder och för sådana uppgifter som finns i de regis-

 

ter som används i polisär verksamhet. För uppgifter i t.ex. Polismyn-

 

dighetens verksamhet för att förebygga brott etc. som hänför sig till

 

underrättelseverksamhet ska

dock

18 kap. 2 §

OSL

tillämpas.

 

Sekretessen i 18 kap. 1 § har ett rakt skaderekvisit och gäller om det kan

 

antas att syftet med beslutade eller förutsedda åtgärder motverkas eller

 

den framtida verksamheten skadas om uppgiften röjs.

 

 

 

Enligt 18 kap. 2 § gäller vidare sekretess för uppgift som hänför sig till

 

bl.a. sådan verksamhet som avses i 2 kap. 7 § 1 (förebygga, förhindra eller

 

upptäcka brottslig verksamhet) eller 6 kap. 1 § 1 polisdatalagen (2010:361)

 

dvs. förebygga, förhindra eller upptäcka viss slags brottslig verksamhet som

 

innefattar t.ex. terrorbrott. Det polisarbete som åsyftas är i första hand

 

underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys

 

av information för att förhindra eller upptäcka brottslig verksamhet när det

 

inte finns konkreta misstankar om att ett visst brott har begåtts. Polis-

 

arbete som är inriktat på en redan begången individualiserad gärning

 

faller inte in under punkten (se prop. 2009/10:85 s. 318). Sekretessen

 

enligt bestämmelsen gäller med ett omvänt skaderekvisit, vilket innebär att

 

uppgifterna inte får lämnas ut om det inte står klart att de kan röjas utan att

 

syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida

 

verksamheten skadas. Enligt

andra

stycket punkt 2

gäller

motsvarande

 

sekretess för uppgifter som hänför sig till Tullverkets underrättelse-

 

verksamhet.

 

 

 

 

 

Sekretessen enligt 18 kap. 1 och 2 §§ OSL avser uppgifter som hänför

 

sig till förundersökning och underrättelseverksamhet m.m. som bedrivs av

 

de i paragraferna angivna brottsbekämpande myndigheterna. Sekretessen

 

följer med när uppgifterna lämnas vidare till en helt annan slags myndighet

 

och gäller även hos myndigheter som inte bedriver brottsbekämpande

 

verksamhet.

 

 

 

 

 

Sekretessen till skydd för brottsbekämpande verksamhet enligt 18 kap.

 

1 och 2 §§ OSL gäller enbart svensk sådan verksamhet. En särskild be-

 

stämmelse som skyddar utländsk verksamhet finns i 18 kap. 17 § OSL

 

enligt vilken sekretess gäller i verksamhet som avser visst rättsligt sam-

 

arbete samt utbyte inom ramen för Schengens informationssystem. I

 

18 kap. 17 a § OSL har vidare införts en ny sekretessbestämmelse enligt

127

vilken sekretess ska gälla hos brottsbekämpande myndigheter för uppgift som lämnats av ett utländskt organ vid internationellt polisiärt samarbete i syfte att förebygga, uppdaga, utreda och beivra brott, om det kan antas att en förutsättning för att uppgiften lämnades var att den inte skulle röjas.

Sekretess till skydd för enskildas personliga och ekonomiska förhållan- den i sådan verksamhet som syftar till att förebygga eller beivra brott regleras huvudsakligen i 35 kap. OSL. Med begreppet ”enskilda” avses såväl fysiska som juridiska personer. Sekretessen enligt 35 kap. 1 § OSL skyddar enskilds personliga och ekonomiska förhållanden i bl.a. förundersökningar, brottsförebyggande verksamhet och vissa polisiära register m.m. Enligt första stycket 4 gäller sekretess för uppgift i annan verksamhet (annan än bl.a. förundersökning som regleras i punkt 1) som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs bl.a. av åklagarmyndighet (t.ex. Ekobrottsmyndigheten), Polismyn- digheten, Säkerhetspolisen och Tullverket. Genom bestämmelsen blir det möjligt att hemlighålla uppgifter som mera allmänt hänför sig till de i bestämmelsen uppräknade myndigheternas brottsbekämpande verksam- het. Bestämmelsen är bl.a. tillämplig på sådana personregister som förs inom myndigheterna och som inte omfattas av särskilda bestämmelser (bl.a. punkterna 5, 6 och 9 i denna bestämmelse och 3 §). Även behandling av personuppgifter som inte sker i register omfattas av bestämmelsen. Enligt punkt 5 gäller sekretess för uppgifter i register som förs av Polis- myndigheten enligt 4 kap. polisdatalagen eller som annars behandlas med stöd av de bestämmelserna. De register som avses är register över DNA- profiler, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. Enligt punkt 6 gäller sekretess för uppgifter i register som förs enligt lagen om misstankeregister (1998:621). Register som förs av Tullverket omfattas av punkt 9. Sekretessen enligt bestämmel- sen i 35 kap. 1 § första stycket gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Pre- sumtionen är alltså att sekretess gäller.

Behövs det några nya sekretessbestämmelser till skydd för PNR- information hos enheten för passagerarinformation?

Arbetet vid enheten för passagerarinformation utgör en del av Polis- myndighetens verksamhet med att förebygga, förhindra, upptäcka och utreda brott. Det är regeringens bedömning att sekretessbestämmelserna i 18 kap. 1 och 2 §§ samt 35 kap. 1 § första stycket punkt 4 OSL kommer att vara tillämpliga på PNR-information som behandlas vid enheten för passagerarinformation. De sekretessbestämmelser som redan gäller ger därmed ett tillfredsställande sekretesskydd beträffande såväl det all- männas intresse av att skydda den brottsbekämpande verksamheten som intresset av att skydda passagerares integritet och berörda företags kommersiella verksamhet.

När det gäller integritetsintresset föreligger enligt regeringens mening inte tillräckliga skäl att såsom föreslagits av Datainspektionen införa en absolut sekretess för uppgifter hos enheten för passagerarinformation. Absolut sekretess bör användas återhållsamt och när det verkligen finns ett

oundgängligt behov av det. Det omvända skaderekvisitet i 35 kap. 1 § med

128

presumtion för sekretess ger enligt regeringens mening ett tillräckligt starkt skydd för uppgifterna. Regeringen instämmer därför i utredningens be- dömning att det inte finns behov av ändrad sekretessreglering för att skydda PNR-information hos enheten för passagerarinformation.

Polismyndigheten har anfört att den befintliga sekretesslagstiftningen innebär att enheten för passagerarinformation i vissa fall kommer att vara skyldig att lämna ut PNR-information till Åklagarmyndigheten och att bestämmelser i OSL och polisdatalagen därmed kan komma i konflikt med lagförslaget eftersom Åklagarmyndigheten inte är en behörig myn- dighet enligt den nya lagen.

Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna ut en uppgift som den förfogar över, om inte upp- giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Om en sekretessbrytande bestämmelse är tillämplig på en uppgift, inne- bär bestämmelsen i 6 kap. 5 § att en myndighet är skyldig att lämna ut uppgiften till en myndighet som begär det. De begränsningar som gäller enligt den nya lagen för behandling av PNR-information får emellertid till följd att en myndighet inte kan utnyttja uppgifterna i sin verksamhet i andra fall än vad som anges i lagens bestämmelser. Det innebär att sekretessbrytande regler i praktiken enbart torde bli aktuella att åberopa när en myndighet har rätt att ta del av uppgifterna för sådana ändamål (jfr prop. 1990/91:131 s. 24 f.). Polismyndighetens synpunkt medför därför ingen annan bedömning i fråga om behovet av ändrad sekretessreglering.

Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja en uppgift, vare sig det görs muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt. Den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen har som huvudregel företräde framför tyst- nadsplikten. Justitieombudsmannen anser att meddelarfrihet inte bör gälla inom enheten för passagerarinformation. Enligt förarbetena till sekretesslagen bör som grundprincip alltid gälla stor återhållsamhet vid prövningen av om undantag ska göras från rätten att meddela och offentliggöra uppgifter. Den enskilda sekretessbestämmelsens konstruk- tion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall. Undan- tag från huvudregeln är framför allt aktuellt ifråga om sekretessregler utan skaderekvisit eller med omvänt skaderekvisit. Att undantag görs med hänsyn till allmänna intressen är ovanligt. De undantag som finns i dag rör särskilt viktiga skyddsintressen. Enligt regeringen bör något undantag från huvudregeln inte göras i detta fall.

Behövs det några nya sekretessbestämmelser till skydd för PNR- information hos behöriga myndigheter?

De behöriga myndigheterna kommer att få PNR-information från enheten för passagerarinformation efter enhetens eller någon annan medlemsstats förhandsbedömning eller undantagsvis direkt från en enhet i en annan medlemsstat. I samtliga fall sker detta för att de ska använda PNR-

129

informationen i sin verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Uppgifter inom Polismyndighetens, Säkerhetspolisens, Tullverkets, Ekobrottsmyndighetens och Försvarsmaktens verksamheter omfattas av bestämmelserna i OSL. För PNR-informationen bör samma sekretess- bestämmelser gälla som för andra uppgifter som myndigheterna har eller hämtar in och använder i sin verksamhet, dvs. i huvudsak de bestämmel- ser som redogjorts för ovan. Dessa sekretessbestämmelser ger ett till- fredsställande skydd för PNR-informationen hos de behöriga myndig- heterna. Det saknas därför anledning att föreslå någon ny eller ändrad reglering i sekretesslagstiftningen till skydd för PNR-information hos de behöriga myndigheterna.

När det gäller Försvarsmakten omfattas verksamheten inom Militära underrättelse- och säkerhetstjänsten (MUST) inte direkt av sekretess- regleringen enligt de ovan redovisade bestämmelserna i 18 kap. 1 och 2 §§ eller 35 kap. 1 § OSL. PNR-informationen hänför sig dock till sådan verksamhet som avses i de angivna bestämmelserna och sekretessen överförs därför till Försvarsmakten. Sekretessregleringen kommer där- med att vara tillämplig även hos Försvarsmakten efter att PNR- informationen har mottagits från enheten. Även övriga bestämmelser i OSL som är tillämpliga på Försvarsmakten t.ex. 15 kap. 1 och 2 §§, 38 kap. 4 § och 21 kap. 5 §, innebär enligt regeringens mening att PNR- information som överförts till Försvarsmakten kommer att åtnjuta ett tillfredsställande sekretesskydd.

15.2Behövs det nya sekretessbrytande bestämmelser?

Regeringens bedömning: Det behövs inte någon ny bestämmelse om sekretessgenombrott för att enheten för passagerarinformation ska kunna lämna ut PNR-information.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt över

förslaget.

Skälen för regeringens bedömning: PNR-direktivet medför att en- heten för passagerarinformation ska överföra PNR-information som om- fattas av sekretess till behöriga myndigheter, mottagare i andra medlems- stater och Europol. Under vissa begränsade förutsättningar ska enheten vidare få överföra PNR-information till tredjeland.

I OSL finns flera bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter trots den sekretess som annars gäller för uppgifterna. Flera bestämmelser av generell räckvidd finns i 10 kapitlet.

Skaderekvisiten i bestämmelserna om sekretess till skydd för den brottsbekämpande verksamheten torde normalt inte vara uppfyllda vid uppgiftsutbytet enligt PNR-direktivet och därmed kräva tillämpning av någon sekretessbrytande bestämmelse. Däremot är sekretessen i 35 kap. 1 § OSL till skydd för i första hand uppgifter om berörda passagerares

130

personliga förhållanden sådan att tillämpning av sekretessbrytande be- stämmelser krävs för att möjliggöra utbytet av PNR-information.

När det gäller Polismyndigheten är utredningens uppfattning att det inte kommer att finnas någon sekretessgräns mellan enheten för passa- gerarinformation och Polismyndighetens övriga brottsbekämpande verk- samhet. Regeringen delar den uppfattningen. Någon sekretessbrytande bestämmelse krävs således inte gentemot Polismyndigheten såsom be- hörig myndighet utan enbart i förhållande till andra myndigheter, efter- som enhetens uppgiftslämnande till Polismyndigheten är en intern över- föring inom myndigheten som inte korsar någon sekretessgräns eller kräver stöd i sekretessbrytande bestämmelser. När det gäller Säkerhets- polisen som mottagande behörig myndighet framgår av 35 kap. 10 a § OSL att sekretessen enligt 35 kap. 1 § inte utgör något hinder för utlämnande.

En central uppgift för enheten för passagerarinformation är informa- tionsförsörjning till myndigheter som bekämpar terroristbrottslighet eller annan allvarlig brottslighet. Den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL om nödvändigt uppgiftslämnande för att myndigheten ska kunna fullgöra sin verksamhet bör därför kunna tillämpas åtminstone vid utlämnande av träffar som enheten vid sin förhandsbedömning anser behöver granskas närmare av en behörig mottagare. Det är dock osäkert om 10 kap. 2 § räcker till för allt utlämnande till behöriga myndigheter.

Bestämmelserna om överföring till behöriga mottagare i 4 kap. 1–9 §§ i den nya lagen innebär dock att enheten har en skyldighet att överföra den PNR-information som mottagaren behöver för sin verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det innebär att det gentemot de svenska behöriga myndigheterna föreligger en sådan uppgiftsskyldighet som aktuali- serar en tillämpning av 10 kap. 28 § OSL. Den bryter sekretess oavsett vilken materiell sekretessbestämmelse som gäller för en uppgift i fråga. När det gäller utlämnade till utländska myndigheter bör sådant kunna ske med stöd av bestämmelsen i 8 kap. 3 § 1 OSL eftersom översändandet sker i enlighet med särskilda föreskrifter i lag eller förordning. Även beträffande behöriga mottagare i utlandet finns således förutsättningar att med stöd av OSL överföra PNR-information som omfattas av sekretess enligt 35 kap. 1 § OSL eller någon annan materiell sekretess- bestämmelse.

Den samlade bedömningen är således att sekretess inte utgör något hinder för att enheten för passagerarinformation ska kunna lämna ut PNR-uppgifter i enlighet med de föreslagna bestämmelserna. Det finns inte skäl att tydliggöra detta genom någon upplysande bestämmelse i vare sig den nya lagen eller i offentlighets- och sekretesslagstiftningen. Ett sådant tydliggörande kan nämligen leda till osäkerhet om vad som gäller på andra områden som saknar motsvarande upplysningsbestämmelser.

131

16 Konsekvenser

Regeringens bedömning: Förslagen förväntas få positiva konsekven- ser för arbetet med att förebygga, förhindra, upptäcka, utreda och lag- föra terroristbrottslighet och annan allvarlig brottslighet.

Förslagen kommer att belasta lufttrafikföretagen arbets- och kost- nadsmässigt. Lufttrafikföretagens konkurrensförhållanden kommer inte att påverkas i någon större omfattning.

Förslagen innebär kostnader för Polismyndigheten som är kopplade till inrättandet av en enhet för passagerarinformation och till drivandet av enheten. Kostnaderna bör rymmas inom ramen för föreslagna an- slag.

Förslagen kan även innebära kostnader för behöriga myndigheter, tillsynsmyndigheten och de allmänna förvaltningsdomstolarna. Även dessa kostnader bör rymmas inom ramen för befintliga anslag.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten har framhållit att genomföran-

det av direktivet och inrättandet av en enhet för passagerarinformation är förenat med stora kostnader. Förslagen kommer enligt Polismyndigheten även att medföra kostnader i myndighetens egenskap av behörig myndighet. Polisförbundet anser att Polismyndigheten behöver mer resurser till inrättandet och drivandet av enheten. Hovrätten för Nedre Norrland anser att de höga krav som kommer att ställas på enheten för passagerarinformation innebär att det är svårt att tänka sig att verksamheten kan läggas till och rymmas inom Polismyndigheten utan att det krävs ytterligare resurser. Förvaltningsrätten i Stockholm menar att förslagen kan innebära viss ökad belastning för domstolarna och att det är svårt att i nuläget bedöma om det kan tas inom domstolarnas ekonomiska ramar. Datainspektionen konstaterar att den tillsyns- myndighet som ska utses kommer att få ytterligare arbetsuppgifter och därmed ökade kostnader för att övervaka behandlingen av PNR-uppgifter vid enheten för passagerarinformation och andra behöriga myndigheter.

Skälen för regeringens bedömning

Konsekvenser för brottsbekämpningen

För de behöriga myndigheter som i dag använder PNR-uppgifter kommer den nya regleringen att innebära en mer effektiv användning av upp- gifterna och att ett större antal passagerare kan kontrolleras. Även för sådana behöriga myndigheter som inte tidigare har använt sig av PNR- uppgifter kommer tillgången till PNR-information att medföra effek- tivitetsvinster.

Förslagen innebär en stor möjlighet till utbyte av PNR-information mellan medlemsstaterna. Särskilt för Polismyndigheten har olika initiativ till utökat samarbete inom EU och med de andra nordiska länderna visat sig ha en positiv effekt. Även ett utbyte av PNR-information mellan medlemsstaterna bör leda till en effektivare brottsbekämpning.

Det nya systemets potential att tidigt hitta passagerare som kan miss-

tänkas för inblandning i allvarlig brottslighet bör kunna medföra att fler

132

sådana brott kan förhindras. En ökad risk för att kontrolleras av de behöriga myndigheterna i samband med en flygresa torde kunna ha en viss avskräckande effekt för en potentiell gärningsman och få denne att avstå från att t.ex. smuggla narkotika. Förslagen kan därför antas leda till en viss minskning av antalet begångna grova brott.

Konsekvenser för lufttrafikföretagen

De enskilda aktörer som främst berörs av förslagen är de lufttrafikföretag som åläggs att överföra PNR-uppgifter till enheten för passagerar- information och att informera passagerarna om överföringen. Systemet med överföring av PNR-uppgifter kommer att beröra lufttrafikföretag som flyger till eller från någon av medlemsstaterna. Regleringen kommer att omfatta såväl svenska lufttrafikföretag som lufttrafikföretag från andra länder inom och utom EU som flyger till eller från Sverige. År 2016 var det 240 lufttrafikföretag som utförde flygningar till eller från Sverige antingen i linjefart eller som charterflyg. Av dessa utförde 100 lufttrafikföretag fem eller färre sådana resor.

För att inte i onödan belasta lufttrafikföretagen arbets- eller kostnads- mässigt ska lufttrafikföretagen enligt PNR-direktivet endast överföra sådana PNR-uppgifter som de redan i dag samlar in av kommersiella och operativa skäl.

Lufttrafikföretagen har förklarat att det främst är formen för över- föringarna som har betydelse för hur stora kostnader genomförandet av PNR-direktivet kommer att ha för dem. Kommissionen har därför tagit fram en förteckning över gemensamma protokoll och understödda data- format som ska användas vid överföringarna till de olika medlems- staternas enheter för passagerarinformation. Lufttrafikföretagen får uti- från förteckningen själva välja vilka protokoll och format som de vill använda vid överföringarna. Genom att använda standardformat kan kostnaderna för lufttrafikföretagen hållas nere. I den mån överföringar kommer att ske från mindre lufttrafikföretag som inte flyger i linjetrafik och som inte har den nödvändiga tekniska infrastrukturen för att använda de gemensamma protokollen och understödda formaten ska dessa, enligt kommissionens beslut, överföra sina uppgifter på något annat elek- troniskt sätt som ska överenskommas med varje medlemsstat. Detta gäller så länge överföringarna sker på ett säkert sätt. Även kostnaderna för sådana mindre aktörer kommer därmed att kunna begränsas.

Införandet av det nya regelverket kommer att medföra omställnings- kostnader för lufttrafikföretagen. Bland annat kommer det att krävas investeringar i och för löpande drift av nya och ändrade tekniska och administrativa system och rutiner. Därutöver uppstår kostnader till följd av administrativt och juridiskt merarbete, främst i samband med upp- kopplingen mot enheterna för passagerarinformation. Kommissionen har i sin konsekvensanalys angett att kostnaden för att införa en möjlighet att överföra PNR-uppgifter från lufttrafikföretag till enheterna för passa- gerarinformation kommer att uppgå till 100 000 euro per lufttrafik- företag. Den årliga kostnaden för överföringarna beräknades uppgå till 33 500 euro per lufttrafikföretag. Därtill kommer extra resurser att krävas för att administrera och underhålla överföringssystemen och för att luft-

trafikföretagen behöver vara tillgängliga för uppföljning. Det bör dock i

133

sammanhanget påpekas att många lufttrafikföretag redan överför PNR- uppgifter till länder som kräver tillgång till sådana uppgifter. Det finns således redan internationellt standardiserad infrastruktur upparbetad kring dessa frågor.

Lufttrafikföretagen har redan i dag och kommer även enligt data- skyddsförordningen att ha en skyldighet att lämna viss information till sina passagerare. Informationsskyldigheten bör endast i försumbar om- fattning leda till ytterligare kostnader.

De kostnader som överföringsskyldigheten innebär för lufttrafik- företagen bör huvudsakligen kunna överföras på kunderna. Det är således sannolikt att kostnaderna kommer att läggas till biljettpriset. Enligt kommissionens beräkningar kan överföringsskyldigheten som mest inne- bära att biljettpriserna höjs med mindre än 0,10 euro per biljett, vilket får anses vara en försumbar del av kostnaden för en flygbiljett. Det är således osannolikt att efterfrågan på utrikes flygresor kommer att påver- kas av genomförandet av PNR-direktivet.

Förslaget omfattar inte sådana mindre lufttrafikföretag som struktur- mässigt saknar elektroniska system för behandling av PNR-uppgifter. Det innebär att s.k. taxiflyg som utgångspunkt inte kommer att omfattas av överföringsskyldigheten enligt lagen. Någon möjlighet att därutöver, och utöver vad kommissionen gjort vid antagandet av de gemensamma protokollen och formaten, ta någon särskild hänsyn till mindre lufttrafik- företag föreligger inte.

En utgångspunkt i det nya regelverket är att lufttrafikföretagen be- handlas lika och att som huvudregel alla flygningar till och från EU och mellan medlemsstaterna omfattas. Det innebär att konkurrensen mellan lufttrafikföretagen inte kommer att påverkas. Som tidigare har angetts undantas dock de allra minsta lufttrafikföretagen från förslaget. De företagen kan sägas få vissa konkurrensfördelar. De lufttrafikföretagen trafikerar emellertid inte de större flyglinjerna och konkurrerar därmed inte på samma marknad som övriga lufttrafikföretag. Med undantag av några enstaka linjer är konkurrensen från land- och sjötransporter obetydlig och bedöms inte påverkas av förslagen.

Konsekvenser för staten

Genomförandet av direktivet innebär att en enhet för passagerar- information ska byggas upp dit lufttrafikföretagen ska överföra sina PNR-uppgifter, där uppgifterna ska behandlas och från vilken vissa av uppgifterna ska vidareöverföras till bl.a. behöriga myndigheter.

Som bl.a. Polismyndigheten har påpekat är genomförandet av direk- tivet och inrättandet av en enhet för passagerarinformation förenat med kostnader. Arbetet med att införa en enhet för passagerarinformation och genomföra direktivets tekniska delar pågår parallellt med lagstiftnings- arbetet. Det är alltjämt mycket som är oklart kring projektets genom- förande och kostnader. Det är vidare i nuläget oklart vilka långsiktiga effektivitetsvinster som kan bli följden av genomförandet av PNR- direktivet.

När det gäller kostnader för uppbyggnad av enheten för passagerar- information, it-utveckling och utbildning är dessa beräknade att finan-

sieras delvis av EU-medel från den inre säkerhetsfonden. Vad gäller

134

övriga kostnader, bl.a. för fortsatt administration av enheten för passagerarinformation, bedömer regeringen till skillnad från Polis- förbundet att dessa bör kunna rymmas inom ramen för de av regeringen föreslagna ramarna för Polismyndigheten.

Även de behöriga myndigheter som kommer få del av PNR- information kan komma att få ökade kostnader i form av administration av mottagandet av informationen. Även de frågor som ska ställas till enheten, i vissa fall efter beslut av åklagare, för att få tillgång till PNR- uppgifter t.ex. i pågående förundersökningar kommer att medföra viss administration. De analyser som ska göras av de mottagna uppgifterna kan också medföra kostnader. Mot detta får ställas den effektivitetsvinst som troligen blir resultatet av mottagandet av sådan PNR-information som kan vara av intresse för vidare granskning i den brottsbekämpande verksamheten. Enligt regeringens bedömning kommer en eventuell kost- nadsökning i dessa delar endast att bli marginell.

Förslagen innebär vidare att Tullverkets arbete med PNR-uppgifter kommer att förenklas eftersom myndigheten inte längre på egen hand behöver administrera insamlandet av PNR-uppgifter från sådana luft- trafikföretag som omfattas av den nya lagen. Detta kan komma att leda till minskade kostnader för Tullverket i denna del. Som angetts ovan kommer dock sannolikt volymen av PNR-uppgifter som ska kontrolleras att öka på ett sådant sätt att det inte kommer att bli fråga om någon generell kostnadsminskning.

En ökad användning av PNR-uppgifter i brottsbekämpningen skulle kunna leda till att kostnaderna ökar inom vissa sektorer av rättsväsendet. Om t.ex. polisen blir effektivare kan det leda till en ökad arbetsbörda med krav på ökade resurser för åklagare och domstolar. Förslaget att sanktionsbeslut ska kunna överklagas till allmän förvaltningsdomstol kan också innebära en viss ökad belastning för domstolarna. Enligt regeringens bedömning kommer dock dessa fall att bli få. Bedömningen är att förslagen i sig inte kommer att medföra så många tillkommande ärenden årligen att det på grund av detta finns behov av några resurs- förstärkningar för rättsväsendet.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Kost- naderna för utbildning bör rymmas inom befintliga ramar. Ny lagstift- ning kräver normalt också nya interna föreskrifter och styrande doku- ment. Det får anses ingå i de normala uppgifterna för myndigheterna.

Den tillsynsmyndighet som ska utses enligt det nya dataskydds- direktivet kommer att få ytterligare arbetsuppgifter och därmed ökade kostnader då den även ska övervaka behandlingen av PNR-uppgifter vid bl.a. enheten för passagerarinformation. Till skillnad från Dataskydds- inspektionen anser regeringen att tillsynsmyndighetens kostnader får antas kunna rymmas inom ramen för befintliga anslag.

Konsekvenser för enskilda

För allmänheten innebär den föreslagna regleringen att PNR-uppgifter kommer att överföras och behandlas vid enheten för passagerar- information. PNR-uppgifter har även tidigare använts av brottsbe- kämpande myndigheter. Förslagen innebär dock att uppgifter om samt-

135

liga utrikesresenärer ska samlas in och behandlas. Den föreslagna regle- ringen kan därmed sägas påverka resenärernas integritet.

Eftersom det endast är de PNR-uppgifter som ger träff vid en automa- tiserad behandling som kommer att läsas av tjänstemän vid enheten för passagerarinformation kommer PNR-uppgifter från det stora flertalet resenärer aldrig att granskas av en fysisk person. Behandlingen kan även väntas innebära att ett färre antal oskyldiga personer väljs ut för fysisk kontroll på en flygplats.

Regleringen innehåller stränga krav på hur de överförda PNR- uppgifterna får behandlas hos enheten för passagerarinformation och hos de behöriga myndigheter som senare tar del av uppgifterna. PNR- uppgifterna får som huvudregel endast behandlas i syfte att bekämpa terroristbrottslighet eller annan allvarlig brottslighet. PNR-uppgifter som avslöjar känsliga personuppgifter får inte behandlas över huvud taget. Vidare får och ska PNR-informationen endast överföras till behöriga myndigheter, andra medlemsstater, Europol och tredjeländer när vissa förutsättningar är uppfyllda. Regleringen ställer också krav på att PNR- uppgifterna behandlas på ett säkert sätt och ger enskilda rätt till informa- tion om behandlingen, att kräva rättelse av felaktig behandling och att begära skadestånd och överklaga beslut vid felaktig behandling. Enskilda kommer också ha rätt att vända sig till ett dataskyddsombud vid enheten för passagerarinformation för att få råd och information om behandlingen av PNR-uppgifterna. Förslagen ger således ett tillfredsställande skydd för enskildas personliga integritet vid enheten för passagerarinformations och de behöriga myndigheternas behandling av deras PNR-uppgifter.

Förslagen innebär att enskilda kommer att beröras i den utsträckning flygbiljetter blir dyrare. Som angetts ovan förväntas dock biljettpriserna öka endast i försumbar omfattning.

Konsekvenser i övrigt

Förslagen får inte några konsekvenser för kommuner eller landsting generellt eller för den kommunala självstyrelsen. Förslagen bedöms inte heller innebära några konsekvenser för jämställdheten eller miljön.

 

17

Ikraftträdande

 

 

 

Regeringens förslag: Författningsförslagen ska träda i kraft den

 

1 augusti 2018.

 

 

 

Utredningens förslag överensstämmer inte med regeringens. Utred-

 

ningen föreslår att den nya lagen ska träda i kraft den 25 maj 2018.

 

Remissinstanserna: Ingen remissinstans invänder mot förslaget.

 

Skälen för regeringens förslag: Enligt artikel 18 i PNR-direktivet ska

 

medlemsstaterna senast den 25 maj 2018 sätta i kraft de bestämmelser i

 

lagar och andra författningar som är nödvändiga för att följa direktivet.

 

Vid samma tidpunkt kommer dataskyddsförordningen att börja tillämpas.

 

Den lagstiftning som regeringen nu föreslår bör träda i kraft så snart

136

som möjligt. Med hänsyn till att det i den nya lagen finns hänvisningar

till brottsdatalagens bestämmelser bör dock lagen lämpligen träda i kraft tidigast när brottsdatalagen börjar gälla. Den tidigaste möjliga tidpunkten för ikraftträdande är därför den 1 augusti 2018.

Något behov av övergångsbestämmelser har inte identifierats.

18 Författningskommentar

18.1Förslaget till lag om flygpassageraruppgifter i brottsbekämpningen

1 kap. Inledande bestämmelser

Lagens innehåll

1 §

I paragrafen anges lagens innehåll och att den genomför PNR-direktivet. Paragrafen genomför, tillsammans med 5 §, artiklarna 1, 3.8 och 3.9 i PNR-direktivet. Definitionen av PNR-uppgifter motsvarar artikel 3.5 i direktivet. Paragrafen behandlas i avsnitt 7.2 och 7.3.

I första stycket tydliggörs att lagen genomför PNR-direktivet. Av första stycket framgår vidare vad som avses med PNR-uppgifter enligt lagen. Med PNR-uppgifter avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning. Uppgifterna består av t.ex. namn, resedatum, resväg, bagageinformation och betal- ningssätt.

Andra stycket innehåller en sammanfattande beskrivning av lagens inne- håll. I ordet behandling inbegrips bl.a. insamling, användning, bevarande och medlemsstaternas inbördes utbyte av PNR-uppgifter. PNR-uppgifter får användas för att förebygga, förhindra, upptäcka eller utreda terrorist- brottslighet eller annan allvarlig brottslighet. Med terroristbrottslighet avses i lagen enligt tredje stycket brott enligt artiklarna 3–12 och 14 i terrorismdirektivet. Med annan allvarlig brottslighet avses enligt fjärde stycket sådana brott i Sverige eller andra medlemsstater som har sin mot- svarighet i bilaga II till direktivet och för vilka det är föreskrivet fängelse i tre år eller mer. Bedömningen är hänförlig till straffskalan för ett brott och inte till en straffvärdebedömning. Kravet innebär enligt svensk rätt att brott i flera fall måste bedömas som grova för att de ska omfattas av direktivets tillämpningsområde även om de i och för sig omfattas av bilagan. Inom det svenska tillämpningsområdet faller t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt och sabotage. PNR-uppgifter får behand- las både i underrättelseverksamhet och i förundersökning.

137

Lagens syfte

2 §

Paragrafen anger lagens övergripande syfte. Paragrafen behandlas i av- snitt 7.4.

Lagen har dubbla syften. Det ena syftet är att ge behöriga myndigheter tillgång till PNR-uppgifter för användning i viss brottsbekämpning. Det andra syftet är att värna de registrerades integritet vid insamlingen och

 

vidarebehandlingen av PNR-uppgifterna.

 

Andra uttryck i lagen

 

3 §

 

I paragrafen definieras vissa uttryck som används i lagen. Paragrafen

 

genomför artiklarna 3 och 7.2 i PNR-direktivet.

 

Behörighetsbegränsade PNR-uppgifter

 

Behörighetsbegränsade PNR-uppgifter definieras inte i PNR-direktivet.

 

Uttrycket behandlas i avsnitt 9.9.

 

Med behörighetsbegränsade PNR-uppgifter avses sådana personuppgifter

 

som har gjorts otillgängliga för en användare som saknar särskild behörig-

 

het för att få tillgång till uppgifterna.

 

Behörig mottagare

 

Behörig mottagare definieras inte i PNR-direktivet. Uttrycket behandlas i

 

avsnitt 7.8.

 

Med behörig mottagare avses behöriga myndigheter i Sverige, behöriga

 

myndigheter i andra medlemsstater, enheter för passagerarinformation i

 

andra medlemsstater eller Europol. Mottagare i tredjeland omfattas inte av

 

definitionen.

 

Behörig myndighet

 

Definitionen, som genomför artikel 7.2 i PNR-direktivet, behandlas i

 

avsnitt 10.1.

 

En behörig myndighet är enligt definitionen en myndighet som har ut-

 

setts av regeringen och som har behörighet att behandla PNR-

 

information i verksamhet för att förebygga, förhindra, upptäcka, utreda

 

eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

 

Myndigheter som är behöriga har rätt att ta emot PNR-information från

 

enheten för passagerarinformation, antingen efter enhetens förhandsbe-

 

dömning eller efter en begäran enligt lagens bestämmelser.

 

Lufttrafikföretag

 

Definitionen motsvarar delvis definitionen i artikel 3.1 och 3.6 i PNR-

 

direktivet. Uttrycket behandlas i avsnitt 8.1.

 

Med lufttrafikföretag avses sådana företag som har en giltig operativ

 

licens utfärdad enligt bestämmelserna i Europaparlamentets och rådets

 

förordning (EG) nr 1008/2008 av den 24 september 2008 om gemen-

 

samma regler för tillhandahållande av lufttrafik i gemenskapen och som

138

ger rätt att mot betalning utföra lufttransporter av passagerare. Även

 

sådana lufttrafikföretag som har en motsvarande licens utfärdad i en stat utanför EU innefattas. För att omfattas av överföringsskyldigheten enligt lagen fordras därutöver att lufttrafikföretagen i sin normala verksamhet samlar in och behandlar PNR-uppgifter systematiskt i någon form av elektroniskt system för hantering av reservationer. Det har ingen betydelse om systemet tillhör lufttrafikföretaget eller om PNR-uppgifterna samlas in och behandlas i ett system som tillhandahålls av en tredje part.

Medlemsstat

Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 10.2.1.

Med medlemsstat avses en stat som är medlem i EU och har antagit PNR-direktivet, vilket för närvarande gäller samtliga medlemsstater förutom Danmark.

Passagerare

Definitionen motsvarar definitionen i artikel 3.4 i PNR-direktivet. Ut- trycket behandlas i avsnitt 7.8.

Med passagerare avses alla personer som finns upptagna i passagerar- förteckningen och därmed transporteras eller kommer att transporteras med ett flygplan med lufttrafikföretagets godkännande. Besättningsmed- lemmar omfattas dock inte. Anställda som reser med flygplanet utan att tjänstgöra ombord transporteras med lufttrafikföretagets godkännande och ska stå med på passagerarlistan. De omfattas därmed av direktivets definition av passagerare.

PNR-information

Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 7.8.

Med PNR-information avses såväl PNR-uppgifter som det resultat som framkommer när PNR-uppgifter behandlas vid en enhet för passagerar- information och jämförs med uppgifter i relevanta register eller andra upp- giftssamlingar eller behandlas enligt på förhand fastställda kriterier.

Tredjeland

Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 10.4.1.

Definitionen täcker alla stater som inte är medlemsstater i lagens mening och utgår alltså från hur uttrycket medlemsstat är definierat. En medlemsstat definieras i lagen som en stat som är medlem i EU och har antagit direktivet. Danmark är således i lagens mening för närvarande ett tredjeland.

Enhet för passagerarinformation

4 §

Paragrafen reglerar var enheten för passagerarinformation ska vara placerad och vilka enhetens övergripande arbetsuppgifter är. Paragrafen

genomför artikel 4.1 och 4.2 i PNR-direktivet och behandlas i avsnitt 7.8.

139

I bestämmelsen slås fast att den nationella enheten för passagerar- information ska vara en enhet vid Polismyndigheten. Vidare anges att en- hetens övergripande uppgifter är att samla in, bevara och i övrigt behandla PNR-uppgifter samt att överföra PNR-information till behöriga mottagare och tredjeländer.

Tillåten behandling av PNR-information

5 §

Paragrafen reglerar för vilka syften PNR-information får behandlas och genomför artiklarna 1.2 och 7.4 samt delvis artiklarna 9.2 och 10.2 i PNR-direktivet. Paragrafen behandlas i avsnitt 7.9.

I paragrafen föreskrivs att PNR-information endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet. Det har ingen betydelse om PNR-uppgifterna har överförts till enheten för passagerarinformation från ett lufttrafikföretag eller från en annan medlemsstats motsvarande enhet. Det har inte heller någon betydelse om uppgifterna behandlas vid enheten för passagerarinformation eller vid en behörig myndighet. PNR- uppgifter som har samlats in i enlighet med PNR-direktivet får inte behandlas för andra syften än de som anges i bestämmelsen. Undantag gäller i verksamhet som rör nationell säkerhet enligt 6 § och för be- handling av PNR-information för annan brottslighet hos behöriga myndigheter enligt 5 kap. 3 §.

Nationell säkerhet

6 §

I paragrafen regleras ett undantag för verksamhet som rör nationell säkerhet. Den behandlas i avsnitt 7.5.

I paragrafens första stycke regleras att lagens bestämmelser om be- handling av personuppgifter inte ska gälla för behöriga myndigheter i verksamhet som rör nationell säkerhet. Bestämmelsen innebär att be- höriga myndigheter i verksamhet som rör nationell säkerhet ska tillämpa bestämmelser i respektive registerförfattning i stället för bestämmelser om behandling av personuppgifter i den nya lagen.

För att ge enheten för passagerarinformation ett stöd för att kunna lämna ut PNR-information som behövs för verksamhet som rör nationell säkerhet framgår av andra stycket att enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet. Det kan t.ex. handla om att förebygga högmålsbrott och brott mot Sveriges säkerhet i 18 eller 19 kap. brottsbalken som inte faller in under definitionen av terrorist- brottslighet eller annan allvarlig brottslighet och därmed faller utanför den nya lagens tillämpningsområde.

140

Förbud mot behandling av känsliga personuppgifter

7 §

Paragrafen innehåller ett förbud mot behandling av känsliga person- uppgifter. Paragrafen genomför artikel 13.4 i PNR-direktivet och be- handlas i avsnitt 7.10.

Genom paragrafen förbjuds behandling av PNR-uppgifter som utgör känsliga personuppgifter. Med känsliga personuppgifter avses sådana uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. För det fall enheten för passagerar- information mottar sådana uppgifter ska dessa omedelbart förstöras, se 3 kap. 10 §. Inte heller en behörig myndighet får behandla PNR-uppgifter som utgör känsliga personuppgifter. För det fall en sådan myndighet av misstag skulle motta sådana uppgifter ska de omedelbart förstöras, se 5 kap. 2 §.

Förbudet mot behandling av PNR-uppgifter som utgör känsliga person- uppgifter tar sikte på personuppgifter där det av uppgiften i sig själv direkt framgår att det är fråga om en känslig personuppgift. Det krävs alltså inte att en mottagare av uppgifterna gör några närmare analyser och be- dömningar av uppgifterna och jämför med andra tillgängliga uppgifter för att avgöra huruvida en PNR-uppgift indirekt utgör en känslig person- uppgift. Känsliga personuppgifter kan t.ex. komma att ingå bland de allmänna anmärkningarna (punkt 12 i bilagan till lagen), som utgör ett fritextfält för kommunikation mellan t.ex. resebokare och flyg- bolagspersonal. Här kan finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får i sådana fall inte behandlas enligt direktivet. Även andra PNR-uppgifter kan avslöja käns- liga personuppgifter.

2 kap. Lufttrafikföretagens skyldigheter

Överföring av PNR-uppgifter till enheten för passagerarinformation

1 §

Paragrafen reglerar skyldigheten för lufttrafikföretag att överföra PNR- uppgifter till enheten för passagerarinformation. Paragrafen genomför artikel 8.1 i PNR-direktivet och medlemsstaternas överenskommelse om att tillämpa direktivet även på flygningar inom EU. Paragrafen behandlas i avsnitt 8.1 och 8.2.

Första stycket innebär att lufttrafikföretagen ska överföra PNR- uppgifter inför varje flygning som ankommer till eller avgår från Sverige. Alla flygningar mellan Sverige och ett annat land omfattas, oavsett om det är fråga om ett annat EU-land eller ett land utanför EU, och även för det fall att det endast är fråga om en mellanlandning på svensk mark. Inrikes- flygningar omfattas däremot inte. Av bestämmelsen framgår också att lufttrafikföretagen inte ska överföra fler uppgifter än de som företagen redan samlar in i sin normala verksamhet. Lagen ålägger alltså inte luft- trafikföretagen att hämta in ytterligare PNR-uppgifter om sina passagerare

utan de är endast skyldiga att överföra sådana uppgifter som de redan har

141

tillgång till. Vilka uppgifter som ska överföras framgår av bilagan till lagen.

I andra stycket regleras att om flera lufttrafikföretag samarbetar och har en gemensam linjebeteckning ska PNR-uppgifterna överföras av det

 

lufttrafikföretag som utför själva flygningen.

 

2 §

 

Paragrafen reglerar vid vilken tidpunkt PNR-uppgifterna ska överföras.

 

Paragrafen genomför delar av artikel 8.3 samt artikel 8.4 i PNR-direktivet.

 

Den behandlas i avsnitt 8.3.

 

I första stycket framgår att PNR-uppgifterna ska överföras vid två till-

 

fällen. Det första tillfället är 24–48 timmar före flygningens avgång och

 

det andra tillfället är omedelbart efter det att gatens dörrar har stängts, dvs.

 

när passagerarna har stigit ombord på planet inför avgång och passagerare

 

inte längre tillåts stiga ombord eller gå av.

 

Av andra stycket framgår att den senare överföringen får begränsas till

 

uppdateringar och kompletteringar av den information som överfördes vid

 

det första tillfället. En sådan uppdatering kan avse såväl ändringar i tidi-

 

gare lämnade PNR-uppgifter som tillkommande PNR-uppgifter, t.ex.

 

avseende passagerare som har bokats in samma dag som flygets avgång.

 

För det fall inga förändringar har skett sedan det första tillfället räcker

 

det att lufttrafikföretaget meddelar enheten för passagerarinformation

 

detta.

 

3 §

 

Paragrafen reglerar överföring av PNR-uppgifter vid andra tidpunkter än

 

de som anges i 2 §. Paragrafen, som genomför artikel 8.5 i PNR-

 

direktivet, behandlas i avsnitt 8.4.

 

Av paragrafen framgår att lufttrafikföretag, utöver vad som anges i 2 §,

 

är skyldiga att överföra PNR-uppgifter även vid andra tidpunkter om

 

enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till

 

PNR-uppgifter för att avvärja en specifik och faktisk fara med anknyt-

 

ning till terroristbrottslighet eller annan allvarlig brottslighet. En sådan

 

begäran kan bli aktuell då omständigheterna medför att tillgång till PNR-

 

uppgifter avseende en viss person eller en viss flygresa är nödvändig för

 

att reagera på en särskild risk för sådan brottslighet som avses i lagen.

 

Det är enheten för passagerarinformation som, vanligtvis efter fram-

 

ställan från en behörig myndighet, ska bedöma huruvida det i ett enskilt

 

fall är nödvändigt med tillgång till PNR-uppgifter vid andra tidpunkter

 

än de som anges i 2 §. Det är således inte upp till lufttrafikföretagen att

 

avgöra om en överföring av PNR-uppgifter ska ske i dessa fall utan över-

 

föringen ska ske när en sådan begäran kommer in från enheten för

 

passagerarinformation.

 

4 §

 

Paragrafen reglerar på vilket sätt PNR-uppgifterna ska överföras till en-

 

heten för passagerarinformation. Paragrafen genomför delar av artikel

 

8.1 och 8.3 i direktivet. Den behandlas i avsnitt 8.5.

 

Första meningen i bestämmelsen anger att PNR-uppgifterna ska över-

142

föras elektroniskt från lufttrafikföretagen till enheten för passagerar-

information. Av andra meningen framgår att enheten för passagerar- information inte får medges direktåtkomst till lufttrafikföretagens PNR- uppgifter. Det är alltså inte tillåtet för enheten att via direktåtkomst ta del av PNR-uppgifter i lufttrafikföretagens elektroniska system.

5 §

Paragrafen reglerar användandet av ett personuppgiftsbiträde vid över- föringen. Den behandlas i avsnitt 8.6.

Enligt paragrafen har ett lufttrafikföretag möjlighet att låta t.ex. en systemleverantör av ett datoriserat bokningssystem överföra PNR- uppgifterna till enheten för passagerarinformation. Det är dock lufttrafik- företaget som har personuppgiftsansvaret för överföringen av uppgifterna. Det är även lufttrafikföretaget som riskerar sanktionsavgift om uppgifts- skyldigheten inte fullgörs.

Information till passagerare

6 §

Paragrafen reglerar lufttrafikföretagens skyldighet att informera passa- gerare. Paragrafen motsvarar delar av PNR-direktivets skäl 29 och 37 och behandlas i avsnitt 8.7.

Paragrafen innebär att lufttrafikföretag ska informera passagerare som berörs om att PNR-uppgifter överförs till enheten för passagerarin- formation och om skälen till överföringen. Informationen kan lämpligen lämnas tillsammans med övrig information som lufttrafikföretagen ska tillhandahålla enligt dataskyddsförordningen. Informationsskyldigheten gäller oavsett om lufttrafikföretaget själv har samlat in uppgifterna eller om det fått dem från en researrangör eller resebyrå. Vid samarbete mellan luft- trafikföretag ansvarar respektive lufttrafikföretag för att informera sina passagerare.

Rätt att meddela föreskrifter

7 §

I paragrafen, som behandlas i avsnitt 8.5, upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passa- gerarinformation. Förskrifter kan meddelas om t.ex. formen för över- föringarna.

143

3 kap. Behandling av PNR-information vid enheten för passagerarinformation

PNR-databas

1 §

Paragrafen genomför delvis artikel 12.1 i PNR-direktivet och behandlas i avsnitt 9.1.

Paragrafen föreskriver att det ska finnas en databas för PNR-uppgifter vid enheten för passagerarinformation. I databasen ska PNR-uppgifter som har överförts från lufttrafikföretagen bevaras.

2 §

Paragrafen genomför artikel 6.8 i PNR-direktivet och behandlas i av- snitt 9.2.

Paragrafen, som har utformats i enlighet med Lagrådets förslag, inne- bär att enheten för passagerarinformations behandling av PNR- information ska ske i Sverige.

Personuppgiftsansvar

3 §

Paragrafen, som reglerar personuppgiftsansvar vid enheten för passa- gerarinformation, behandlas i avsnitt 9.3.

Bestämmelsen är av upplysande karaktär och anger att det är Polismyn- digheten som är personuppgiftsansvarig för den behandling av person- uppgifter som utförs vid enheten för passagerarinformation. Det är såle- des Polismyndigheten som ska ansvara för att sådana skyldigheter som följer av bl.a. denna lag följs i den verksamhet som bedrivs vid enheten för passagerarinformation.

Tillåtna ändamål för behandling av PNR-uppgifter

4 §

Paragrafen innehåller de grundläggande ändamålen för vilka PNR- uppgifter som har överförts från lufttrafikföretag får behandlas vid enheten för passagerarinformation. Bestämmelsen genomför artikel 6.2 i PNR- direktivet och behandlas i avsnitt 9.5.

Paragrafen ersätter de ändamålsbestämmelser som anges i 2 kap. 7 och 8 §§ polisdatalagen (2010:361). Den utesluter även en tillämpning av be- stämmelsen i 2 kap. 4 § brottsdatalagen om behandling av personupp- gifter för nya ändamål. Bestämmelsen innebär att PNR-uppgifter som har överförts från ett lufttrafikföretag endast får behandlas för något av de angivna ändamålen. PNR-uppgifterna får dock även behandlas när det är nödvändigt för att tillhandahålla uppgifter som behövs för verksamhet som rör nationell säkerhet enligt 1 kap. 6 §.

Enligt första punkten får PNR-uppgifter behandlas för att göra en förhandsbedömning av passagerare innan de har anlänt till eller avrest från Sverige. En sådan bedömning av PNR-uppgifterna innebär en möjlighet att välja ut personer som enligt en analys av uppgifterna kan

vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet och

144

därför bör bli föremål för ytterligare utredning av de behöriga myndig- heterna eller Europol. Syftet med behandlingen är att PNR-informationen ska analyseras vidare av nationella behöriga myndigheter eller av Europol, för ställningstagande till om den ger anledning till ytterligare åtgärder, t.ex. att en eller flera passagerare kontrolleras.

Av andra punkten följer att enheten för passagerarinformation får be- handla PNR-uppgifter för att fullgöra sina uppgifter att överföra PNR- information till behöriga mottagare eller tredjeland. Av 4 kap. framgår att enheten för passagerarinformation får överföra PNR-information på eget initiativ efter en förhandsbedömning eller för att besvara en begäran från en behörig mottagare eller ett tredjeland.

Enligt tredje punkten får PNR-uppgifter behandlas för att skapa nya eller uppdatera riskprofiler som ska användas vid förhandsbedömningar enligt första punkten. Det är därmed möjligt för personalen vid enheten för passagerarinformation att gå igenom de PNR-uppgifter som finns samlade i databasen för att förbättra urvalet, t.ex. genom att leta efter mönster som kan indikera att personer kan vara av intresse för vidare kontroller.

5 §

Paragrafen reglerar hur PNR-uppgifter får behandlas vid en förhands- bedömning. Bestämmelsen genomför artikel 6.3 i PNR-direktivet och be- handlas i avsnitt 9.5.4.

Vid en förhandsbedömning får PNR-uppgifter enligt första punkten jämföras med register eller andra uppgiftssamlingar. För att en jäm- förelse ska få göras måste registren eller uppgiftssamlingarna vara rele- vanta för direktivets syften, dvs. att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Sökningarna i registren eller uppgiftssamlingarna behöver dock inte begränsas till att endast omfatta terroristbrottslighet eller annan allvarlig brottslighet eftersom en träff avseende mindre allvarlig brottslighet kan leda till andra antaganden och annan information, som i sin tur leder till miss- tanke om inblandning i terroristbrottslighet eller annan allvarlig brottslig- het. Det kan bli aktuellt att jämföra PNR-uppgifter med både inter- nationella och nationella uppgiftssamlingar t.ex. SIS-registret, där bl.a. efterlysta för brott registreras, Interpols databas över kända internationella brottslingar och misstankeregistret.

Enligt andra punkten får PNR-uppgifter behandlas i enlighet med på förhand utformade och fastställda kriterier, s.k. profilering. Uppgifterna får således jämföras med sådana i förväg bestämda profiler som kan ge anledning att kontrollera en viss person. En profil är en icke person- anknuten företeelse och kan omfatta uppgifter om exempelvis avreseort, resrutt, betalningssätt, bokningsrutin, bagage m.m. Kriterierna kan användas för att leta efter mönster som kan indikera att en person är av intresse för vidare kontroller. Enligt bestämmelsen ska sådana kriterier vara riktade, proportionella och avgränsade och får inte grundas på känsliga person- uppgifter.

145

6 §

Paragrafen reglerar enheten för passagerarinformations behandling av PNR-information som har mottagits från motsvarande enheter i andra medlemsstater. Paragrafen genomför delvis artikel 9.1 i PNR-direktivet och behandlas i avsnitt 9.5.5.

Enheten för passagerarinformation kommer inte bara att behandla PNR- uppgifter som har kommit in till enheten från lufttrafikföretag, utan kommer också att motta och behandla PNR-information som överförts från andra medlemsstaters motsvarande enheter. Av bestämmelsen fram- går att enheten endast får behandla PNR-information som har mottagits från enheter i andra medlemsstater i syfte att vidarebefordra den till en eller flera behöriga myndigheter för fortsatt användning för att före- bygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Enheten för passagerarinformation kan således inte använda PNR-informationen för att t.ex. verifiera sin egen databas, uppdatera eller skapa nya kriterier. För det fall det kan konstateras att den mottagna informationen inte avser terroristbrottslighet eller annan allvarlig brottslighet följer av 1 kap. 5 § att informationen inte får sändas vidare till behöriga myndigheter.

Tillgång till PNR-information

7 §

Paragrafen reglerar tillgången till PNR-information vid enheten för passagerarinformation. Paragrafen behandlas i avsnitt 9.6.

Paragrafen begränsar antalet personer som är behöriga att ta del av PNR-information som behandlas vid enheten för passagerarinformation. Endast de som arbetar vid enheten och de som fullgör uppgifter enligt lagen får ha tillgång till informationen. Tillgången ska dessutom be- gränsas till vad varje person behöver för att kunna fullgöra sina arbets- uppgifter. Förutom de som tjänstgör vid enheten kan t.ex. den som ska pröva utlämnade av behörighetsbegränsade PNR-uppgifter i sin full- ständiga form behöva tillgång till PNR-information.

Vissa tjänstemän kan ha sin grundanställning vid en annan behörig myndighet än Polismyndigheten, men ha avdelats för att tjänstgöra vid enheten för passagerarinformation. När de utför arbete vid enheten anses de delta i Polismyndighetens verksamhet i den mening som avses i bl.a. 2 kap. 1 § offentlighets- och sekretesslagen (2009:400).

Förbud mot direktåtkomst

8 §

Paragrafen behandlas i avsnitt 9.7 och innebär att direktåtkomst inte får medges till PNR-uppgifterna i databasen vid enheten för passagerar- information eller i övrigt till den PNR-information som behandlas vid enheten. Behöriga myndigheter har således endast rätt att få tillgång till uppgifterna sedan de har överförts till dem från enheten för passagerar- information.

146

Tid som PNR-uppgifter ska bevaras

9 §

Paragrafen reglerar hur länge PNR-uppgifter ska bevaras vid enheten för passagerarinformation. Paragrafen genomför delvis artikel 12.1 och 12.4 i direktivet och behandlas i avsnitt 9.8.1.

I paragrafen föreskrivs att PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Det har ingen betydelse om PNR-uppgifterna över- förs till enheten direkt från ett lufttrafikföretag eller från ett person- uppgiftsbiträde, exempelvis en systemleverantör. Efter fem år ska PNR- uppgifterna förstöras.

För det fall PNR-uppgifter har överförts till behöriga myndigheter gäller samma regler för längsta behandling av PNR-uppgifterna som i övrigt är tillämpliga vid myndigheten. Dock ska sådana PNR-uppgifter som har överförts från enheten för passagerarinformation efter enhetens förhandsbedömning genast förstöras enligt 5 kap. 1 § om uppgifterna visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

10 §

Paragrafen behandlar förstöring av PNR-uppgifter som inte anges i bilagan till lagen och uppgifter som utgör känsliga personuppgifter. Den genomför artikel 6.1 och delvis artikel 13.4 i PNR-direktivet och behandlas i av- snitt 9.8.2.

Lufttrafikföretag ska enligt 2 kap. 1 § överföra de PNR-uppgifter som anges i bilagan till lagen till enheten för passagerarinformation. I 1 kap. 7 § finns ett förbud mot att behandla PNR-uppgifter som utgör känsliga personuppgifter. Sådana PNR-uppgifter ska därför inte överföras till enheten för passagerarinformation. Om ett lufttrafikföretag överför sådana känsliga personuppgifter eller uppgifter som inte anges i bilagan till lagen ska enheten för passagerarinformation omedelbart förstöra uppgifterna. Bestämmelsen kräver inte manuell genomgång av varje in- kommen uppgift. Däremot krävs att tekniska lösningar utformas så att direktivets krav på förstöring kan tillgodoses.

En motsvarande bestämmelse när det gäller känsliga personuppgifter finns för de behöriga myndigheterna i 5 kap. 2 §.

Behörighetsbegränsning av PNR-uppgifter

11 §

Paragrafen reglerar behörighetsbegränsning av PNR-uppgifter och genomför artikel 12.2 i PNR-direktivet. Paragrafen behandlas i avsnitt 9.9.

Av bestämmelsen framgår vilka kategorier av PNR-uppgifter som ska behörighetsbegränsas i databasen vid enheten för passagerarinformation sex månader efter att de har kommit in från ett lufttrafikföretag. Begreppet behörighetsbegränsade personuppgifter definieras i 1 kap. 3 § och innebär att uppgifterna fortfarande finns kvar i databasen men är otillgängliga för en användare som saknar särskild behörighet till dem.

147

PNR-uppgifterna ska bara behörighetsbegränsas om de kan användas för att identifiera en person.

Dataskyddsombud

12 §

Paragrafen genomför delar av artiklarna 5.1 och 6.7 i PNR-direktivet. Den behandlas i avsnitt 9.10.

Av första stycket följer att Polismyndigheten ska utse ett eget data- skyddsombud för enheten för passagerarinformation. Av andra stycket följer att dataskyddsombudet i sitt arbete ska ha tillgång till samtliga uppgifter som behandlas vid enheten för passagerarinformation. Genom en sådan tillgång kan lagligheten i behandlingen fortlöpande kontrolleras.

13 §

Paragrafen reglerar dataskyddsombudets uppgifter. Paragrafen genomför delar av artikel 5.1 i PNR-direktivet och behandlas i avsnitt 9.10. Dataskyddsombudets generella uppgifter regleras i brottsdatalagen. Av första stycket framgår att dataskyddsombudet ska ansvara för att fullgöra de uppgifter som anges i 3 kap. 14 § brottsdatalagen.

Av andra stycket följer att en enskild ska ha rätt att vända sig till data- skyddsombudet i alla frågor som gäller hans eller hennes behandling av PNR-uppgifter enligt lagen. Den enskilde ska alltså kunna få hjälp eller information av dataskyddsombudet vid enheten för passagerarinformation även om behandlingen helt eller delvis har utförts av ett lufttrafikföretag, en behörig myndighet eller av utländska mottagare. Det räcker att det har varit fråga om en tillämpning av lagens bestämmelser. Om den enskilde har invändningar mot t.ex. lufttrafikföretags insamling av PNR-uppgifter får denne däremot vända sig till det aktuella lufttrafikföretaget.

14 §

Paragrafen reglerar dataskyddsombudets skyldighet att anmäla brister till tillsynsmyndigheten. Paragrafen genomför delar av artikel 6.7 i PNR- direktivet och behandlas i avsnitt 9.10.

Om den personuppgiftsansvarige inte följer regelverket för behandling av personuppgifter inom enheten för passagerarinformation ska data- skyddsombudet anmäla detta till tillsynsmyndigheten. Någon rätt för den personuppgiftsansvarige att först vidta rättelse föreligger inte. Däremot får det givetvis förutsättas att rättelse ändå sker snarast möjligt.

Rätt att meddela föreskrifter

15 §

Paragrafen behandlas i avsnitt 9.5.4, 9.6, 9.8.1, 9.9, 10.4.3, 10.4.4 och 10.5.2.

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om enheten för passa- gerarinformations behandling av PNR-information och dataskydds- ombudets uppgifter. Föreskrifterna kan avse t.ex. utformande av kriterier

vid förhandsbedömningar, tillgång till PNR-information, bevarande och

148

förstöring, dokumentation och loggning, dataskyddsombudets uppgifter, information till dataskyddsombudet och enheten för passagerarinforma- tions inhämtande av PNR-information från andra medlemsstater.

4 kap. Överföring av PNR-information från enheten för passagerarinformation

Överföring till behöriga myndigheter

1 §

Paragrafen reglerar i vilka situationer PNR-information ska överföras från enheten för passagerarinformation till en behörig nationell myndig- het. Paragrafen genomför delvis artikel 6.2 a och b, 6.5 och 6.6. i PNR- direktivet. Den behandlas i avsnitt 10.1. Andra stycket har i allt väsent- ligt utformats i enlighet med Lagrådets förslag.

Enligt första stycket första punkten ska enheten för passagerar-

 

information så snart som möjligt överföra PNR-information till behöriga

 

myndigheter i Sverige för vidare granskning där av PNR-informationen

 

beträffande passagerare som har valts ut vid en förhandsbedömning.

 

Enligt andra punkten ska PNR-information även överföras för att besvara

 

en begäran från en behörig myndighet om att ta del av PNR-information.

 

Av 6 § framgår att en överföring endast får ske om det av begäran fram-

 

går att PNR-informationen ska användas i syfte att förebygga, förhindra,

 

upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig

 

brottslighet. Om de begärda uppgifterna är äldre än sex månader och

 

därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara

 

uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna

 

göras. Enligt tredje punkten ska enheten för passagerarinformation även

 

vidarebefordra sådan PNR-information som har mottagits från en mot-

 

svarande enhet i en annan medlemsstat.

 

Innan PNR-informationen enligt första stycket första punkten överförs

 

ska informationen enligt andra stycket föregås av en bedömning av en

 

person som tjänstgör vid enheten för passagerarinformation för att avgöra

 

om informationen är relevant för vidare granskning av den behöriga

 

myndigheten. Bedömningen ska ske för att rensa bort eventuell informa-

 

tion om personer som snabbt kan avfärdas såsom ointressanta för vidare

 

granskning så att endast uppgifter som myndigheten behöver för att

 

förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet

 

eller annan allvarlig brottslighet överförs. Uppgifterna ska bara överföras

 

till en behörig myndighet som kan antas ha anledning att göra en vidare

 

kontroll.

 

Överföring till andra medlemsstater

 

2 §

 

Paragrafen reglerar överföring av PNR-information till enheter för

 

passagerarinformation i andra medlemsstater. Den genomför delvis arti-

 

kel 9.1 och 9.2 i PNR-direktivet och behandlas i avsnitt 10.2.2.

 

Resultatet av en förhandsbedömning av passagerare kan vara av in-

 

tresse inte bara för behöriga nationella myndigheter utan även för en eller

 

flera andra medlemsstater. En överföring enligt bestämmelsen kan bli

149

aktuell t.ex. när enheten för passagerarinformation har valt ut en viss person för vidare granskning inför dennes resa till en annan medlemsstat.

Enligt första stycket första punkten ska enheten för passagerar- information så snart som möjligt överföra PNR-information till en enhet för passagerarinformation i en annan medlemsstat för vidare granskning där av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Enligt andra punkten ska PNR-information även överföras för att besvara en begäran från en enhet i en annan medlemsstat om att ta del av PNR-information. För det fall enheten har tillgång till ett resultat av en förhandsbedömning av uppgifterna, och detta resultat ännu inte har förstörts, ska även resultatet överföras. Enheten för passagerar- information är dock inte skyldig att på begäran av en annan enhet göra en förhandsbedömning av uppgifterna och exempelvis jämföra dem med register eller andra uppgiftssamlingar. Av 6 § framgår att en överföring efter en begäran endast får ske om det av begäran framgår att PNR- informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om de begärda PNR-uppgifterna är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.

Innan PNR-informationen överförs enligt första stycket första punkten ska en person som tjänstgör vid enheten för passagerarinformation enligt andra stycket bedöma om informationen är relevant för vidare gransk- ning av medlemsstaten. Bedömningen ska ske för att rensa bort eventuell information om personer som snabbt kan avfärdas såsom ointressanta för vidare granskning så att endast uppgifter som medlemsstaten behöver för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet överförs.

3 §

Paragrafen reglerar överföringar från enheten för passagerarinformation direkt till en behörig myndighet i en annan medlemsstat. Den genomför delar av artikel 9.3 i PNR-direktivet och behandlas i avsnitt 10.2.3.

PNR-uppgifter ska som huvudregel utbytas mellan medlemsstaterna bara via deras enheter för passagerarinformation. PNR-direktivet inne- håller dock en möjlighet för en medlemsstats behöriga myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om överföring av PNR-information. Av bestämmelsen framgår att enheten för passagerarinformation endast är skyldig att besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR-information dit när det i ett enskilt bråds- kande fall är absolut nödvändigt.

Överföring av PNR-information direkt till en behörig myndighet i en annan medlemsstat ska i övrigt ske under samma förutsättningar som överföring till en annan enhet för passagerarinformation. Det innebär att en överföring i enlighet med 6 § endast får ske om det av begäran fram- går att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om den begärda PNR-informationen är äldre än sex måna-

der och därför har behörighetsbegränsats ska även villkoren i 4 kap.

150

11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.

4 §

Paragrafen reglerar inhämtande av PNR-uppgifter från lufttrafikföretag på begäran av en enhet för passagerarinformation i en annan medlemsstat vid andra tidpunkter än vad som gäller som huvudregel. Bestämmelsen genomför artikel 9.4 i PNR-direktivet och behandlas i avsnitt 10.2.4.

Av 2 kap. 3 § framgår att enheten för passagerarinformation kan begära att lufttrafikföretag ska överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 § samma kapitel om det i ett enskilt fall bedöms nöd- vändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. Av aktuell paragraf framgår att enheten för passagerar- information under samma omständigheter, på begäran av en enhet i en annan medlemsstat, ska inhämta PNR-uppgifter från lufttrafikföretag vid andra tidpunkter än vad som gäller som huvudregel och översända upp- gifterna till den efterfrågande enheten.

Överföring till Europol

5 §

Paragrafen reglerar förutsättningarna för överföring till Europol. Den genomför delar av artikel 10 i PNR-direktivet och behandlas i av- snitt 10.3.

Enligt första stycket första punkten ska enheten för passagerar- information så snart som möjligt överföra PNR-information till Europol för vidare granskning där av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Enligt andra punkten ska PNR-information även överföras för att besvara en begäran från Europol om att ta del av PNR-information. Av 6 § framgår att en överföring endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om de begärda PNR-uppgifterna är äldre än sex månader och därför har behörighets- begränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en över- föring av fullständiga PNR-uppgifter ska kunna ske.

Innan PNR-informationen överförs enligt första stycket första punkten ska en person som tjänstgör vid enheten för passagerarinformation enligt andra stycket bedöma om informationen är relevant för vidare gransk- ning av Europol. Bedömningen ska ske för att rensa bort eventuell information om personer som snabbt kan avfärdas såsom ointressanta för vidare granskning så att endast uppgifter som Europol behöver för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet överförs.

151

Villkor för överföring

6 §

Paragrafen reglerar villkoren för överföring till behöriga mottagare efter en begäran om att ta del av PNR-information. Den behandlas i avsnitt 10.1, 10.2.2, 10.2.3 och 10.3.

Av paragrafen framgår att överföring till behöriga mottagare enligt 1 § första stycket 2, 2 § första stycket 2, 3 § och 5 § första stycket 2 endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet. Detta är också en förutsätt- ning för att enheten för passagerarinformation ska ha rätt att behandla och därmed överföra uppgifterna i enlighet med 1 kap. 5 §. Om så inte är fallet ska PNR-informationen alltså inte överföras.

Överföring till tredjeland

7 §

Paragrafen reglerar överföring av PNR-information från enheten för passagerarinformation till ett tredjeland. Paragrafen genomför arti- kel 11.1 i PNR-direktivet och behandlas i avsnitt 10.4.2.

Av paragrafen framgår att enheten för passagerarinformation får be- svara en begäran och under vissa förutsättningar överföra PNR- information till ett tredjeland. Tredjeland definieras i 1 kap. 3 §. PNR- information får endast överföras till en sådan myndighet i ett tredjeland som där är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det är således inte tillåtet att överföra PNR-information till andra myndigheter eller internationella organisationer. Samtliga villkor i bestämmelsen ska vara uppfyllda för att enheten ska få överföra PNR- information till ett tredjeland.

Enligt första punkten ska de grundläggande förutsättningarna för över- föring av personuppgifter enligt 8 kap. 1 § första stycket 3 brottsdata- lagen vara uppfyllda. Det innebär att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer.

Av andra punkten framgår att en överföring ska vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om en myndighet i ett tredjeland begär att få tillgång till PNR-information ska enheten för passagerarinformation således pröva om informationen är nödvändig för sådan brottslighet som omfattas av lagen.

Enligt tredje punkten ska tredjelandet också godta att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nöd- vändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.

Om den begärda PNR-informationen är äldre än sex månader och där- för har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara upp-

fyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.

152

8 §

Paragrafen reglerar villkor om användningsbegränsningar vid överföring av PNR-information till tredjeland. Paragrafen genomför artikel 11.3 i PNR-direktivet och behandlas i avsnitt 10.4.3.

Av paragrafen framgår att enheten för passagerarinformation vid över-

 

föring av PNR-information till ett tredjeland ska ställa upp villkor som

 

begränsar möjligheten att använda informationen i strid med lagens

 

syften. Sådana villkor kan exempelvis avse för vilket eller vilka specifika

 

syften den överförda informationen får behandlas av den som tar emot

 

den, att spridningen inom den mottagande myndigheten eller mottagar-

 

landet ska begränsas eller om, och i så fall under vilka förutsättningar, den

 

får överföras vidare.

 

9 §

 

Paragrafen reglerar frågan om medgivande till överföring av PNR-

 

information som mottagits från en annan medlemsstat till ett tredjeland.

 

Den genomför delvis artikel 11.2 i PNR-direktivet och behandlas i av-

 

snitt 10.4.4.

 

Om PNR-information har erhållits från en annan medlemsstat får in-

 

formationen enligt första stycket överföras till ett tredjeland endast om

 

medlemsstaten har medgett att informationen överförs dit. Om ett med-

 

givande till överföringen på grund av tidsbrist inte kan inhämtas i förväg

 

av medlemsstaten får informationen ändå enligt andra stycket överföras

 

om det är absolut nödvändigt för att avvärja en specifik och faktisk fara

 

med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

 

Undantaget ska tillämpas restriktivt. Bestämmelsen kan t.ex. bli tillämp-

 

lig om en överföring är nödvändig för att avvärja ett terroristattentat i ett

 

tredjeland. Att det i efterhand visar sig att överföringen inte var nöd-

 

vändig, t.ex. för att faran aldrig realiserades, innebär inte att överföringen

 

var otillåten.

 

Rätt att meddela föreskrifter

 

10 §

 

I paragrafen, som behandlas i avsnitt 10.4.3 och 10.4.4, upplyses om att

 

regeringen eller den myndighet som regeringen bestämmer kan meddela

 

föreskrifter om uppställande av villkor vid överföring till tredjeland och

 

om information till en annan medlemsstat när PNR-information har över-

 

förts utan förhandsmedgivande.

 

Överföring av behörighetsbegränsade PNR-uppgifter i sin

 

fullständiga form

 

11 §

 

Paragrafen reglerar förutsättningarna för överföring av behörighets-

 

begränsade PNR-uppgifter i sin fullständiga form. Den genomför ar-

 

tikel 12.3 i PNR-direktivet och behandlas i avsnitt 10.5.1 och 10.5.2.

 

Med behörighetsbegränsade PNR-uppgifter avses enligt 1 kap. 3 §

 

personuppgifter som har gjorts otillgängliga för en användare som saknar

 

särskild behörighet för att få tillgång till uppgifterna.

153

 

Av första stycket framgår att PNR-uppgifter som är behörighets- begränsade endast får överföras i sin fullständiga form om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Av andra stycket framgår att en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter ska beslutas av en åklagare, om en förundersökning har inletts. Så är fallet även om en åklagare inte är förundersökningsledare. Åklagaren ska inför sitt beslut avgöra om till- gången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet. Beslutet ska dokumenteras i förundersökningsmaterialet.

I de fall en begäran om att få tillgång till behörighetsbegränsade PNR- uppgifter i sin fullständiga form framställs i underrättelsearbete eller om en begäran kommer från en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan med- lemsstat, Europol eller ett tredjeland, framgår av tredje stycket att enheten för passagerarinformation ska inhämta tillstånd till överföring av fullstän- diga PNR-uppgifter från Polismyndigheten. Den som fattar beslutet ska avgöra om tillgången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Paragrafen kompletterar övriga bestämmelser i 4 kapitlet om överföring av PNR-information till behöriga mottagare och tredjeland. Förutsätt- ningarna för överföring enligt bestämmelserna i 4 kap. 1–9 §§ måste således även vara uppfyllda för att överföring ska få ske.

5 kap. Behöriga myndigheters behandling av PNR- information

Förstöring av PNR-information

1 §

Paragrafen reglerar frågan om förstöring av resultatet av förhands- bedömningar hos de behöriga myndigheterna. Bestämmelsen genomför artikel 7.4 i PNR-direktivet och behandlas i avsnitt 11.1.

En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska ome- delbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Resultatet av förhandsbedömningar av passagerare som visar sig sakna betydelse för den brottslighet som om- fattas av lagen ska således inte bevaras hos de behöriga myndigheterna. Det kan variera hur lång tid det tar innan det går att konstatera om en uppgift saknar betydelse för den angivna brottsligheten. Så snart detta har konstaterats ska dock PNR-informationen förstöras.

154

2 §

Paragrafen reglerar frågan om förstöring av känsliga personuppgifter hos de behöriga myndigheterna. Bestämmelsen genomför artikel 13.4 i PNR- direktivet och behandlas i avsnitt 11.2.

Eftersom enheten för passagerarinformation inte får behandla PNR- uppgifter som utgör känsliga personuppgifter ska sådana uppgifter inte heller överföras från enheten till de behöriga myndigheterna. Om PNR- uppgifter som utgör känsliga personuppgifter ändå överförs till en behö- rig myndighet, ska den behöriga myndigheten omedelbart förstöra upp- gifterna. En bestämmelse som reglerar förstöring av känsliga person- uppgifter vid enheten för passagerarinformation finns i 3 kap. 10 §.

Behandling av PNR-information för annan brottslighet

3 §

Paragrafen innehåller ett undantag från bestämmelsen om tillåten be- handling av PNR-uppgifter i 1 kap. 5 §. Den genomför artikel 7.5 i PNR- direktivet och behandlas i avsnitt 11.3.

Bestämmelsen innebär en möjlighet för de behöriga myndigheterna att förhindra, utreda och lagföra mindre allvarliga brott som upptäcks i sam- band med en brottsbekämpande åtgärd som görs till följd av behandling av PNR-information som myndigheten har fått från en enhet för passagerarinformation. Om PNR-informationen leder till att den behöriga myndigheten genomför en brottsbekämpande åtgärd som rör terrorist- brottslighet eller annan allvarlig brottslighet och det då framkommer misstankar om sådan brottslighet som faller utanför direktivet, har myn- digheten alltså rätt att använda PNR-informationen för att agera även på dessa misstankar för att förhindra, utreda eller lagföra brott.

Med en brottsbekämpande åtgärd avses t.ex. ett förhör, en husrann- sakan, en brottsplatsundersökning, ett beslag eller en spaningsoperation. Huruvida en förundersökning har inletts är inte avgörande.

Automatiserade beslut

4 §

Paragrafen reglerar automatiserade beslut hos de behöriga myndigheterna. Den genomför artikel 7.6 i PNR-direktivet och behandlas i avsnitt 11.4.

Av paragrafen framgår att ett beslut som har rättsliga konsekvenser för en person eller på annat sätt i betydande grad påverkar denne inte enbart får grundas på en automatiserad behandling av PNR-uppgifter. Ett beslut baserat på PNR-uppgifter måste således alltid föregås av en bedömning gjord av en tjänsteman vid myndigheten.

Rätt att meddela föreskrifter

5 §

I bestämmelsen, som behandlas i avsnitt 11.5, upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.

155

6 kap. Sanktionsavgifter

Överträdelser av lufttrafikföretag

1 §

Paragrafen reglerar när sanktionsavgift ska tas ut av ett lufttrafikföretag. Den genomför delar av artikel 14 i PNR-direktivet och behandlas i av- snitt 14.1.2.

I paragrafen anges att sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelsen är obligatorisk, dvs. sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Polismyndigheten har dock möjlighet att i enskilda fall sätta ned sanktionsavgiften helt eller delvis, se 2 § andra stycket. Sank- tionsavgift ska utgå t.ex. om överföringar inte sker vid de tidpunkter som anges i lagen eller om de överförs i ett annat format än de som godkänts av kommissionen. Lufttrafikföretaget ansvarar dock inte för att informa- tionen som överförs är korrekt.

PNR-uppgifter ska överföras av det lufttrafikföretag som utför själva flygningen. Sanktioner kommer således inte att drabba de lufttrafikföretag som endast delar linjebeteckning med det företag som utför flygningen.

Ansvaret för överträdelser är strikt. Det krävs alltså varken uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum.

2 §

Paragrafen reglerar sanktionsavgiftens storlek och behandlas i av- snitt 14.1.3.

I första stycket fastställs ett lägsta och ett högsta belopp för sanktionsav- gift och de omständigheter som särskilt ska beaktas när tillsyns- myndigheten bestämmer storleken på avgiften. När sanktionsavgiften fastställs ska särskild hänsyn tas till antalet passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse. Uppräk- ningen är inte uttömmande. Direktivets föreskrift om att sanktionerna ska vara effektiva, proportionella och avskräckande ska alltid beaktas.

I andra stycket föreskrivs att sanktionsavgiften kan sättas ned helt eller delvis. Lufttrafikföretagen kommer normalt sett att ha möjlighet att över- föra uppgifter i enlighet med lagens bestämmelser. Det kan emellertid finnas situationer där en överträdelse kan anses vara ursäktlig eller det annars med hänsyn till omständigheterna får anses vara oskäligt att ta ut hela avgiften. Det kan t.ex. vara så att det har skett ett tekniskt fel vid överföringen av uppgifterna eller att ett flyg som inte var tänkt att an- lända till Sverige oväntat har omdirigerats hit. Det är då möjligt att sätta ned avgiften helt eller delvis.

Vid bedömningen bör avgiftens storlek enligt första stycket bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga för- klaringar till överträdelsen bör få genomslag vid bedömningen av om avgiften ska sättas ned.

156

3 §

I paragrafen, som behandlas i avsnitt 14.1.4, föreskrivs i första stycket att Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag. Av andra stycket framgår att sanktionsavgiften tillfaller staten.

4 §

Av paragrafen, som behandlas i avsnitt 14.1.4, följer att en sanktions- avgift endast får beslutas om den som avgiften ska tas ut av har fått till- fälle att yttra sig inom två år från den dag överträdelsen ägde rum. Be- visbördan för att kommunikation har skett ligger på Polismyndigheten.

5 §

Paragrafen reglerar betalning och verkställighet av sanktionsavgifter. Den behandlas i avsnitt 14.1.5.

Av första stycket framgår att en sanktionsavgift ska betalas till Polis- myndigheten och att betalning ska ske inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet. Beslutet om sanktionsavgift gäller som en dom och är verkställ- bart.

Om sanktionsavgiften inte betalas inom 30 dagar ska Polismyndig- heten enligt andra stycket lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt ut- sökningsbalken.

Av tredje stycket framgår att avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

6 §

Paragrafen reglerar överklagande av Polismyndighetens beslut om sank- tionsavgift och behandlas i avsnitt 14.1.6. Paragrafen har utformats i en- lighet med Lagrådets förslag.

Av första stycket framgår att Polismyndighetens beslut om sanktions- avgift får överklagas till allmän förvaltningsdomstol. Av andra stycket framgår att det krävs prövningstillstånd vid överklagande till kammarrätten.

Överträdelser av personuppgiftsansvarig myndighet

7 §

Paragrafen reglerar när sanktionsavgift får tas ut av en personuppgifts- ansvarig myndighet. Den genomför delar av artikel 14 i PNR-direktivet och behandlas i avsnitt 14.2.

Enligt paragrafen får sanktionsavgift tas ut av en personuppgifts- ansvarig myndighet vid överträdelse av vissa bestämmelser i lagen. Be- stämmelsen är inte obligatorisk utan tillsynsmyndigheten avgör i det enskilda fallet om sanktionsavgift bör tas ut. Paragrafen är tillämplig oavsett om överträdelsen har skett vid enheten för passagerarinformation eller vid en behörig myndighet.

157

I paragrafen anges uttömmande vilka överträdelser som kan leda till sanktionsavgift. Enligt första punkten kan sanktionsavgift tas ut vid över- trädelser av bestämmelserna i 1 kap. 5 eller 7 §, dvs. vid överträdelser av bestämmelserna om att PNR-uppgifter inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller annan allvarlig brottslighet samt vid överträdelser av förbudet mot behandling av känsliga personuppgifter. Enligt andra punkten kan sanktionsavgift tas ut för överträdelser av flera av bestämmelserna i 3 kap. om hur PNR-information får behandlas vid en- heten för passagerarinformation. Det innebär bl.a. att behandling av PNR- uppgifter för andra ändamål än de som anges i lagen kan leda till sanktionsavgift. Detsamma gäller vid överträdelse av de bestämmelser som begränsar tillgången till PNR-information och förbjuder direkt- åtkomst. Även överträdelser av lagens bestämmelser om bevarande och förstöring samt skyldigheten att behörighetsbegränsa PNR-uppgifter kan leda till sanktionsavgift. Av tredje punkten framgår att sanktionsavgift kan tas ut vid överträdelser av bestämmelserna om överföring till tredjeland och överföring av behörighetsbegränsade PNR-uppgifter. En sanktionsavgift kan enligt fjärde punkten även tas ut vid överträdelser av vissa bestämmelser om hur PNR-uppgifter får användas vid de behöriga myndigheterna.

8 §

Paragrafen, som genomför artikel 14 i PNR-direktivet, behandlas i avsnitt 14.2.

I första stycket föreskrivs att bestämmelserna i 6 kap. 3 § tredje stycket och 4–8 §§ brottsdatalagen ska tillämpas även vid överträdelser enligt denna lag. De aktuella bestämmelserna i brottsdatalagen reglerar bl.a. hur sanktionsavgiften ska bestämmas, att den kan sättas ned helt eller delvis samt att det är tillsynsmyndigheten som beslutar om sanktionsavgift. I andra stycket framgår att sanktionsavgiften i likhet med brottsdatalagen ska vara högst 10 000 000 kronor. I tredje stycket upplyses om att beslut om sanktionsavgift kan överklagas till allmän förvaltningsdomstol enligt 7 kap. 3 § brottsdatalagen.

Rätt att meddela föreskrifter

9 §

Paragrafen, som behandlas i avsnitt 14.1.5, har i allt väsentligt utformats i enlighet med Lagrådets förslag. I paragrafen upplyses det om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om sank- tionsavgifter enligt denna lag.

158

7 kap. Övriga bestämmelser

Enskildas rättigheter

1 §

Paragrafen reglerar rätten till radering eller begränsning av behandling av personuppgifter. Bestämmelsen genomför till viss del artikel 13.1 i PNR- direktivet. Den behandlas i avsnitt 12.1.

Av paragrafen följer att 4 kap. 10 § brottsdatalagen ska tillämpas även för det fall personuppgifter behandlas i strid med 1 kap. 5 eller 7 § eller 3 kap. 9 § i denna lag. I den angivna bestämmelsen i brottsdatalagen finns bestämmelser om en registrerads rätt till radering eller begränsning av behandling av personuppgifter. Bestämmelserna i 1 kap. 5 och 7 §§ samt 3 kap. 9 § är centrala bestämmelser i lagen och reglerar tillåten behand- ling av personuppgifter, förbud mot behandling av känsliga person- uppgifter och förstöring av PNR-uppgifter som har överförts från luft- trafikföretag efter fem år.

Beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas till allmän förvaltningsdomstol.

2 §

Paragrafen reglerar frågan om skadestånd vid otillåten behandling av personuppgifter. Den genomför till viss del artikel 13.1 i PNR-direktivet och behandlas i avsnitt 12.2.

Av paragrafen följer att brottsdatalagens bestämmelser om skadestånd ska tillämpas även när personuppgifter behandlas i strid med denna lag eller föreskrifter som har meddelats med stöd av den. Paragrafen är bara tillämplig för överträdelser av lagens bestämmelser som avser att ge skydd för personuppgifter. I artikel 82 i dataskyddsförordningen och 7 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskydds- förordning finns bestämmelser om rätt till skadestånd som ska tillämpas vid lufttrafikföretagens behandling av personuppgifter.

Tillsyn

3 §

Paragrafen reglerar tillsyn över personuppgiftsbehandlingen enligt lagen. Paragrafen genomför artikel 15 i PNR-direktivet och behandlas i av- snitt 13.

Bestämmelsen föreskriver att den tillsynsmyndighet som avses i brotts- datalagen ska ha tillsyn över all personuppgiftsbehandling enligt lagen. Det har således ingen betydelse om personuppgiftsbehandlingen har utförts av enheten för passagerarinformation, ett lufttrafikföretag eller en behörig myndighet. Tillsynsmyndighetens uppgifter och befogenheter regleras i brottsdatalagen.

159

18.2Förslaget till lag om ändring i polislagen (1984:387)

25 §

Paragrafen, som behandlas i avsnitt 7.6, reglerar skyldigheten för transpor- törer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Polismyndigheten eller Säkerhets- polisen.

Första och andra styckena är oförändrade.

I ett nytt tredje stycke anges att lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen endast är skyldiga att lämna uppgifter enligt första och andra styckena om de behövs i verk- samhet som rör nationell säkerhet. Undantaget innebär att lufttrafik- företag som omfattas av överföringsskyldigheten enligt den nya lagen inte har någon skyldighet att överföra uppgifter enligt första och andra styckena. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de luft- trafikföretag som inte omfattas av överföringsskyldigheten enligt lagen om flygpassageraruppgifter i brottsbekämpningen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.

18.3Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

15 §

Paragrafen, som behandlas i avsnitt 7.6, reglerar skyldigheten för transpor- törer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tullverket.

Första och andra styckena är oförändrade.

I ett nytt tredje stycke anges att första och andra styckena inte ska gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämp- ningen. Undantaget innebär att lufttrafikföretag som omfattas av över- föringsskyldigheten enligt lagen om flygpassageraruppgifter i brotts- bekämpningen inte har någon skyldighet att överföra uppgifter enligt första och andra styckena. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt den nya lagen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.

160

18.4Förslaget till lag om ändring i polisdatalagen (2010:361)

1 kap.

4 a §

Paragrafen, som behandlas i avsnitt 7.5, reglerar förhållandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.

Av paragrafen, som är ny, framgår det att avvikande bestämmelser om personuppgiftsbehandling i lagen om flygpassageraruppgifter i brotts- bekämpningen ska tillämpas i stället för bestämmelserna i polisdatalagen. Det gäller oavsett om det handlar om personuppgiftsbehandling vid en- heten för passagerarinformation eller en behörig myndighet som omfattas av polisdatalagens tillämpningsområde.

18.5Förslaget till lag om ändring i tullagen (2016:253)

4 kap.

6 a §

Paragrafen, som behandlas i avsnitt 7.6, reglerar förhållandet mellan lagens bestämmelser om Tullverkets tillgång till transportörers boknings- uppgifter och lagen (2018:000) om flygpassageraruppgifter i brotts- bekämpningen. Bestämmelsen är ny.

Av bestämmelsen framgår att skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tullverket enligt 4 kap. 6 § tullagen inte ska gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen om flygpassageraruppgifter i brottsbekämpningen. Undan- taget innebär att lufttrafikföretag som omfattas av överförings- skyldigheten enligt lag om flygpassageraruppgifter i brottsbekämpningen inte har någon skyldighet att överföra uppgifter enligt 4 kap. 6 §. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt lagen om flygpassagerar- uppgifter i brottsbekämpningen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.

18.6

Förslaget till lag om ändring i

 

 

tullbrottsdatalagen (2017:447)

 

2 kap.

 

 

8 §

 

 

Paragrafen, som behandlas i avsnitt 7.5, reglerar behandling av person-

 

uppgifter

som har lämnats till Tullverket från transportföretag enligt

 

4 kap. 6 § tullagen (2016:253) och 15 § lagen (1996:701) om Tullverkets

161

 

 

befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. I ett nytt tredje stycke föreskrivs att avvikande bestämmelser i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen ska tillämpas i stället för bestämmelserna i tullbrottsdatalagen. Paragrafen är i övrigt oförändrad.

162

Prop. 2017/18:234

Bilaga 1

L 119/132

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/681 av den 27 april 2016

om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 82.1 d och 87.2 a, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1), efter att ha hört Regionkommittén,

i enlighet med det ordinarie lagstiftningsförfarandet (2), och av följande skäl:

(1)Den 6 november 2007 antog kommissionen ett förslag till rådets rambeslut om användning av passagerarupp­ giftssamlingar (PNR-uppgifter) i brottsbekämpningssyfte. Ikraftträdandet av Lissabonfördraget den 1 december 2009 ledde dock till att kommissionens förslag, som ännu inte hade antagits av rådet, blev inaktuellt.

(2)I Stockholmsprogrammet – ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd (3) uppmanades kommissionen att lägga fram ett förslag om användning av PNR-uppgifter för att förebygga, förhindra, upptäcka, utreda och lagföra terrorism och grov brottslighet.

(3)I sitt meddelande av den 21 september 2010 om en övergripande strategi när det gäller överföring av passagera­ ruppgiftssamlingar (PNR-uppgifter) till tredjeländer skisserade kommissionen ett antal huvuddrag i en ny unionsstrategi på detta område.

(4)I rådets direktiv 2004/82/EG (4) regleras transportörers översändande av förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring.

(5)Målen för detta direktiv är bland annat att trygga säkerheten, skydda personers liv och säkerhet och att inrätta en rättslig ram för skydd av PNR-uppgifter vid behöriga myndigheters behandling av dessa.

(6)En effektiv användning av PNR-uppgifter, exempelvis genom att jämföra PNR-uppgifter med uppgifter i olika databaser över eftersökta personer och föremål, är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten, för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk.

(7)Bedömningen av PNR-uppgifter gör det möjligt att identifiera personer som tidigare inte har varit misstänkta för

delaktighet i terroristbrott eller grov brottslighet innan en sådan bedömning görs och som bör undersökas

(1) EUT C 218, 23.7.2011, s. 107.

(2) Europaparlamentets ståndpunkt av den 14 april 2016 (ännu ej offentliggjord i EUT) och rådets beslut av den 21 april 2016. (3) EUT C 115, 4.5.2010, s. 1.

(4) Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EUT L 261, 6.8.2004, s. 24).

163

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/133

 

 

 

 

närmare av de behöriga myndigheterna. Genom att använda PNR-uppgifter är det möjligt att möta hotet från terroristbrott och grov brottslighet från en annan utgångspunkt än vid behandling av andra kategorier av personuppgifter. För att säkerställa att behandlingen av PNR-uppgifter begränsas till vad som är nödvändigt, bör emellertid utformning och tillämpning av bedömningskriterierna begränsas till att endast omfatta terroristbrott och grov brottslighet för vilka användningen av sådana kriterier är relevant. Bedömningskriterierna bör dessutom fastställas på ett sätt som gör att så få oskyldiga människor som möjligt identifieras felaktigt av systemet.

(8)Redan nu samlar lufttrafikföretagen in och behandlar PNR-uppgifter om sina passagerare för sina egna kommersiella syften. Detta direktiv bör inte medföra någon skyldighet för lufttrafikföretagen att samla in eller lagra några ytterligare uppgifter om passagerare eller någon skyldighet för passagerare att tillhandahålla några uppgifter utöver dem som redan tillhandahålls lufttrafikföretagen.

(9)Vissa lufttrafikföretag lagrar insamlade API-uppgifter som en del av PNR-uppgifterna, andra gör det inte. Att använda PNR-uppgifter tillsammans med API-uppgifter tillför ett mervärde, genom att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbe­ kämpningen och minimerar risken för att man kontrollerar och utreder oskyldiga människor. Därför är det viktigt att säkerställa att lufttrafikföretag, om de samlar in API-uppgifter, överför dessa, oavsett om de lagrar API- uppgifter med hjälp av andra tekniska metoder än andra PNR-uppgifter.

(10)För att det ska gå att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är det av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhandahåller flygförbindelser utanför EU att överföra de PNR-uppgifter, inklusive API-uppgifter, som de samlar in. Medlemsstaterna bör även ha möjlighet att utsträcka denna skyldighet till lufttrafikföretag som tillhandahåller flygförbindelser inom EU. De bestämmelserna bör inte påverka tillämpningen av direktiv 2004/82/EG.

(11)Behandlingen av personuppgifter bör stå i proportion till de särskilda säkerhetsmål som detta direktiv syftar till att uppfylla.

(12)Den definition av terroristbrott som tillämpas i detta direktiv bör vara densamma som i rådets rambeslut 2002/475/RIF (1). Definitionen av allvarlig brottslighet bör omfatta de brottskategorier som förtecknas i bilaga II till detta direktiv.

(13)PNR-uppgifter bör överföras till en särskild enhet för passagerarinformation i den berörda medlemsstaten, för att säkerställa klarhet om vad som gäller och för att minska kostnaderna för lufttrafikföretagen. Enheten för passagerarinformation får ha olika avdelningar i en medlemsstat och medlemsstater får också gemensamt inrätta en enhet för passagerarinformation. Medlemsstaterna bör utbyta information med varandra genom relevanta nät för informationsutbyte för att underlätta informationsutbyte och säkerställa driftskompatibilitet.

(14)Medlemsstaterna bör betala kostnaderna för användning, lagring och utbyte av PNR-uppgifter.

(15)En förteckning över PNR-uppgifter som ska vidarebefordras till en enhet för passagerarinformation bör utformas i syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten i unionen, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till skydd av privatlivet och rätten till skydd av personuppgifter. I detta syfte bör höga standarder tillämpas, i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (nedan kallad konvention nr 108) och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen). En sådan förteckning bör inte grundas på en persons ras eller etniska ursprung, religion eller övertygelse, politiska eller annan åskådning, medlemskap i fackförening, hälsotillstånd, sexualliv eller sexuella läggning. PNR-uppgifterna bör endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.

(16)Det finns för närvarande två möjliga metoder för överföring av uppgifter: direktåtkomstmetoden (pull-metoden), som innebär att de behöriga myndigheterna i den medlemsstat som begär PNR-uppgifterna kan få direkt åtkomst till lufttrafikföretagets bokningssystem för att hämta en kopia av de PNR-uppgifter som behövs, och sändmetoden (push-metoden), som innebär att lufttrafikföretagen överför de begärda PNR-uppgifterna till den myndighet som har begärt dem, vilket således gör det möjligt för lufttrafikföretagen att behålla kontrollen över vilka uppgifter som tillhandahålls. Sändmetoden anses ge en bättre skyddsnivå för uppgifterna och bör vara obligatorisk för alla lufttrafikföretag.

(1) Rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (EGT L 164, 22.6.2002, s. 3).

164

Prop. 2017/18:234

Bilaga 1

L 119/134

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(17)Kommissionen stöder Internationella civila luftfartsorganisationens (Icao) riktlinjer om PNR. Dessa riktlinjer bör därför fungera som underlag vid antagandet av understödda dataformat för överföring av PNR-uppgifter från lufttrafikföretag till medlemsstater. För att säkerställa enhetliga villkor för genomförandet av understödda dataformat och av relevanta protokoll som gäller för överföring av uppgifter från lufttrafikföretag bör kommissionen ges genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (1).

(18)Medlemsstaterna bör vidta alla nödvändiga åtgärder för att göra det möjligt för lufttrafikföretagen att uppfylla sina skyldigheter enligt detta direktiv. Medlemsstaterna bör fastställa effektiva, proportionella och avskräckande sanktioner, även ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende på överföring av PNR-uppgifter.

(19)Varje medlemsstat bör ansvara för att bedöma potentiella hot från terroristbrott och grov brottslighet.

(20)Med fullt beaktande av rätten till skydd av personuppgifter och rätten till icke-diskriminering, bör inga beslut som har negativa rättsliga verkningar för en person eller som på ett väsentligt sätt påverkar denna person fattas enbart på grund av den automatiska behandlingen av PNR-uppgifter. Med hänsyn till artiklarna 8 och 21 i stadgan bör sådana beslut inte diskriminera på grund av en persons kön, ras, hudfärg, etniska eller sociala ursprung, genetiska särdrag, språk, religion eller övertygelse, politiska eller annan åskådning, tillhörighet till en nationell minoritet, förmögenhet, börd, funktionshinder, ålder eller sexuella läggning. Kommissionen bör även beakta dessa principer när den ser över tillämpningen av detta direktiv.

(21)Medlemsstaterna bör under inga omständigheter använda resultatet av behandlingen av PNR-uppgifter för att kringgå sina internationella skyldigheter enligt konventionen av den 28 juli 1951 angående flyktingars rättsliga ställning i dess lydelse enligt protokollet av den 31 januari 1967 eller för att förvägra asylsökande säkra, ändamålsenliga och lagliga möjligheter att ta sig till unionens territorium för att utöva sin rätt till internationellt skydd.

(22)Med fullt beaktande av principerna i aktuell relevant rättspraxis från Europeiska unionens domstol bör tillämpningen av detta direktiv säkerställa full respekt för de grundläggande rättigheterna, rätten till skydd av privatlivet och proportionalitetsprincipen. Den bör även till fullo vara förenlig med vad som är nödvändigt och proportionellt för att de mål av allmänt intresse som erkänts av unionen ska uppnås och med behovet att skydda andras rättigheter och friheter i kampen mot terroristbrott och grov brottslighet. Tillämpningen av detta direktiv bör vara vederbörligen motiverad och nödvändiga skyddsåtgärder bör vidtas för att säkerställa att all lagring, analys, överföring eller användning av PNR-uppgifter sker på laglig grund.

(23)Medlemsstaterna bör utbyta PNR-uppgifter som de har mottagit med varandra och med Europol, om detta bedöms vara nödvändigt för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enheterna för passagerarinformation bör om lämpligt och utan dröjsmål översända resultatet av behandlingen av PNR-uppgifter till enheterna för passagerarinformation i andra medlemsstater för ytterligare utredning. Bestämmelserna i detta direktiv bör inte påverka andra unionsinstrument om informationsutbyte mellan polismyndigheter och andra brottsbekämpande myndigheter och rättsliga myndigheter, till exempel rådets beslut 2009/371/RIF (2) och rådets rambeslut 2006/960/RIF (3). Ett sådant utbyte av PNR-uppgifter bör omfattas av bestämmelserna om polissamarbete och rättsligt samarbete och bör inte undergräva den höga skyddsnivå för både privatlivet och personuppgifter som stadgan, konvention nr 108 och Europakonventionen föreskriver.

(24)Ett säkert informationsutbyte om PNR-uppgifter mellan medlemsstaterna bör säkerställas genom någon av de befintliga kanalerna för samarbete mellan medlemsstaternas behöriga myndigheter och särskilt med Europol genom Europols nätapplikation för säkert informationsutbyte (Siena).

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer

för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(2) Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) (EUT L 121, 15.5.2009, s. 37). (3) Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbe­

kämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89).

165

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/135

 

 

 

 

(25)Lagringstiden för PNR-uppgifter bör vara tillräckligt lång och stå i proportion till ändamålen, nämligen att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Med tanke på PNR-uppgifternas art och användningsområden bör det vara tillåtet att lagra dem tillräckligt länge för att de ska kunna användas i samband med analyser och utredningar. För att undvika oproportionell användning bör PNR-uppgifterna efter den inledande lagringsperioden avidentifieras genom maskering av uppgifter. För att säkerställa högsta möjliga nivå av dataskydd bör åtkomst till fullständiga PNR-uppgifter, vilka gör det möjligt att direkt identifiera den registrerade, endast beviljas under mycket strikta och begränsade villkor efter den inledande perioden.

(26)Om specifika PNR-uppgifter har överförts till en behörig myndighet för att användas inom ramen för särskilda brottsutredningar eller lagföringsåtgärder, bör den behöriga myndighetens lagring av dessa uppgifter regleras av nationell rätt, oavsett vilken lagringstid för uppgifter som anges i detta direktiv.

(27)Den behandling av PNR-uppgifter som i medlemsstaterna utförs av enheten för passagerarinformation och de behöriga myndigheterna bör omfattas av en standard för skydd av personuppgifter enligt nationell rätt i linje med rådets rambeslut 2008/977/RIF (1) och de särskilda krav på dataskydd som fastställs i detta direktiv. Hänvisningar till rambeslut 2008/977/RIF bör ses som hänvisningar till gällande lagstiftning och till lagstiftning som kommer att ersätta denna.

(28)Med hänsyn till rätten till skydd för personuppgifter är det viktigt att de registrerades rättigheter vid behandling av PNR-uppgifter som rör dem, till exempel rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel överensstämmer med både rambeslut 2008/977/RIF och den höga skyddsnivå som stadgan och Europakonventionen föreskriver.

(29)Med hänsyn till passagerares rätt att bli informerade om behandlingen av personuppgifter bör medlemsstaterna se till att passagerare förses med korrekt, lättåtkomlig och lättbegriplig information om insamlingen av PNR-uppgifter och överföringen av dessa uppgifter till enheten för passagerarinformation samt om sina rättigheter i egenskap av registrerade.

(30)Detta direktiv påverkar inte tillämpningen av unionsrätt och nationell rätt om principen om allmänhetens tillgång till officiella handlingar.

(31)Överföring av PNR-uppgifter från medlemsstater till tredjeländer bör endast vara tillåten i enskilda fall och i full överensstämmelse med de bestämmelser som medlemsstaterna fastställt i enlighet med rambeslut 2008/977/RIF. För att säkerställa skyddet av personuppgifter bör sådana överföringar omfattas av kompletterande krav knutna till syftet med överföringen. De bör också omfattas av principerna om nödvändighet och proportionalitet och av den höga skyddsnivå som stadgan och Europakonventionen föreskriver.

(32)Den nationella tillsynsmyndighet som har inrättats enligt rådets rambeslut 2008/977/RIF bör även ansvara för att meddela riktlinjer för och utöva tillsyn över tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med detta direktiv.

(33)Detta direktiv påverkar inte medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av PNR-uppgifter från ekonomiska aktörer som inte är transportörer, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka de samlar in och behandlar PNR-uppgifter, eller från andra transportföretag än de som anges i detta direktiv, förutsatt att sådan nationell rätt är förenlig med unionsrätten.

(34)Detta direktiv påverkar inte gällande unionsbestämmelser om formerna för utförande av gränskontroller eller unionsbestämmelser om in- och utresa från unionens territorium.

(35)På grund av rättsliga och tekniska skillnader mellan olika nationella bestämmelser om behandling av personuppgifter, däribland PNR-uppgifter, möts lufttrafikföretagen av olika krav på vilken typ av information som ska översändas och vilka villkor som gäller för översändandet av denna information till de behöriga nationella

(1) Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).

166

Prop. 2017/18:234

Bilaga 1

L 119/136

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

myndigheterna. Dessa skillnader kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Det är därför nödvändigt att på unionsnivå inrätta en gemensam rättslig ram för överföring och behandling av PNR-uppgifter.

(36)Detta direktiv står i överensstämmelse med de grundläggande rättigheterna och principerna i stadgan, särskilt rätten till skydd av personuppgifter, rätten till respekt för privatlivet och rätten till icke-diskriminering, som skyddas genom artiklarna 8, 7 och 21 i stadgan, och bör därför genomföras i enlighet med dessa. Detta direktiv överensstämmer med principerna om dataskydd och dess bestämmelser är förenliga med rambeslut 2008/977/RIF. För att detta direktiv inte ska inkräkta på proportionalitetsprincipen kommer dess bestämmelser om dataskydd i vissa fall att vara strängare än motsvarande bestämmelser i rambeslut 2008/977/RIF.

(37)Tillämpningsområdet för detta direktiv är så begränsat som möjligt eftersom det föreskriver att PNR-uppgifter får lagras i enheter för passagerarinformation i högst fem år, varefter de bör raderas, det föreskriver att uppgifterna bör avidentifieras genom maskering av uppgifter efter en inledande period av sex månader, och det förbjuder insamling och användning av känsliga uppgifter. För att säkerställa effektivitet och en hög nivå av dataskydd, bör medlemsstaterna se till att en oberoende nationell tillsynsmyndighet och särskilt ett dataskyddsombud ges ansvaret för att meddela riktlinjer för och övervaka på vilket sätt PNR-uppgifter behandlas. All behandling av PNR-uppgifter bör loggas eller dokumenteras i syfte att kontrollera att den är laglig, att möjliggöra självövervakning och att säkerställa uppgifternas integritet och en säker behandling. Medlemsstaterna bör också se till att passagerarna klart och tydligt informeras om insamlingen av PNR-uppgifter och om sina rättigheter.

(38)Eftersom målen för detta direktiv, nämligen lufttrafikföretags överföring av PNR-uppgifter och behandling av dessa uppgifter för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(39)I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, har Förenade kungariket och Irland meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv.

(40)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

(41)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (1) och avgav ett yttrande den 25 mars 2011.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte och tillämpningsområde

1.Detta direktiv innehåller bestämmelser om

a)lufttrafikföretags överföring av passageraruppgiftssamlingar (PNR-uppgifter) om passagerare på flygningar utanför EU,

b)behandlingen av de uppgifter som avses i led a, inbegripet medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter.

(1) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­ tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

167

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/137

 

 

 

 

2. PNR-uppgifter som samlas in i enlighet med detta direktiv får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c.

Artikel 2

Detta direktivs tillämpning på flygningar inom EU

1.Om en medlemsstat beslutar att tillämpa detta direktiv på flygningar inom EU, ska denna medlemsstat skriftligen meddela kommissionen detta. En medlemsstat får när som helst lämna eller återkalla ett sådant meddelande. Kommissionen ska offentliggöra detta meddelande, och en eventuell återkallelse av det, i Europeiska unionens officiella tidning.

2.När ett meddelande som avses i punkt 1 lämnas, ska alla bestämmelser i detta direktiv gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU.

3.En medlemsstat får besluta att endast tillämpa detta direktiv på valda flygningar inom EU. När medlemsstaten fattar ett sådant beslut, ska den välja de flygningar som den anser vara nödvändiga för att efterfölja målen för detta direktiv. Medlemsstaten får när som helst besluta att ändra urvalet av flygningar inom EU.

Artikel 3

Definitioner

I detta direktiv avses med

1.lufttrafikföretag: ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerar­ flygtrafik,

2.flygning utanför EU: varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer,

3.flygning inom EU: varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier,

4.passagerare: alla personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande, vilket godkännande framgår av att denna person står med på passagerarförteckningen,

5.passageraruppgiftssamling eller PNR-uppgifter: en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, det avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med motsvarande uppgift,

6.reservationssystem: lufttrafikföretagets interna system, där PNR-uppgifter samlas för hantering av reservationer,

7.sändmetod: den metod varigenom lufttrafikföretagen överför de PNR-uppgifter som förtecknas i bilaga I till databasen vid den myndighet som begärt dem,

168

Prop. 2017/18:234

Bilaga 1

L 119/138

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

8.terroristbrott: de brott enligt nationell rätt som avses i artiklarna 1–4 i rambeslut 2002/475/RIF,

9.grov brottslighet: brott som förtecknas i bilaga II vilka bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt,

10.avidentifiering genom maskering av uppgifter: att göra de uppgifter som kan användas för att omedelbart identifiera den registrerade osynliga för en användare.

KAPITEL II

Medlemsstaternas skyldigheter

Artikel 4

Enhet för passagerarinformation

1.Varje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation.

2.Enheten för passagerarinformation ska ansvara för att

a)samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till de behöriga myndigheter som avses i artikel 7,

b)utbyta både PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol i enlighet med artiklarna 9 och 10.

3.Personal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter. Medlemsstaterna ska ge enheterna för passagerarinformation tillräckliga resurser för att de ska kunna utföra sina uppgifter.

4.Två eller flera medlemsstater (nedan kallade de deltagande medlemsstaterna) får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. En sådan enhet för passagerarinformation ska inrättas i en av de deltagande medlemsstaterna och fungera som nationell enhet för passagerarinformation för alla deltagande medlemsstater. De deltagande medlemsstaterna ska tillsammans enas om närmare bestämmelser för driften av enheten för passagerarinformation utan att avvika från kraven i detta direktiv.

5.Varje medlemsstat ska inom en månad från inrättandet eller utseendet av sin enhet för passagerarinformation meddela kommissionen detta och får när som helst ändra detta meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.

Artikel 5

Dataskyddsombud vid enheten för passagerarinformation

1.Enheten för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder.

2.Medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter i enlighet med denna artikel på ett effektivt och oberoende sätt.

3.Medlemsstaterna ska se till att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frågor som rör behandlingen av den registrerades PNR-uppgifter.

169

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/139

 

 

 

 

Artikel 6

Behandling av PNR-uppgifter

1.PNR-uppgifter som överförs av lufttrafikföretag ska samlas in av den berörda medlemsstatens enhet för passagera­ rinformation i enlighet med artikel 8. Om PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet.

2.Enheten för passagerarinformation ska enbart behandla PNR-uppgifterna för följande ändamål:

a)Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.

b)I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.

c)Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt punkt 3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.

3.När enheten för passagerarinformation utför den bedömning som avses i punkt 2 a får den:

a)Jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser, eller

b)behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier.

4.En bedömning av passagerare före planerad ankomst till eller avresa från medlemsstaten som görs enligt punkt 3 b i enlighet med på förhand fastställda kriterier ska utföras på ett icke-diskriminerande sätt. Dessa på förhand fastställda kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Dessa på förhand fastställda kriterier får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.

5.Medlemsstaterna ska se till att eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt punkt 2 a granskas individuellt med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 behöver vidta åtgärder enligt nationell rätt.

6.Enheten för passagerarinformation i en medlemsstat ska översända PNR-uppgifterna beträffande personer som har identifierats i enlighet med punkt 2 a eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i samma medlemsstat för vidare granskning. Sådana överföringar får endast göras i enskilda fall och, vid automatisk behandling av PNR-uppgifter, efter individuell icke-automatisk granskning.

7.Medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarin­ formation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndigheten.

8.Lagring, behandling och analys av PNR-uppgifter vid enheten för passagerarinformation ska uteslutande utföras på en eller flera säkra platser på en medlemsstats territorium.

170

Prop. 2017/18:234

Bilaga 1

L 119/140

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

9. Konsekvenserna av de bedömningar av passagerare som avses i punkt 2 a i denna artikel får inte äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG (1). När bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka Europaparlamentets och rådets förordning (EG) nr 562/2006 (2) är tillämplig, ska konsekvenserna av sådana bedömningar vara förenliga med den förordningen.

Artikel 7

Behöriga myndigheter

1.Varje medlemsstat ska fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av dessa uppgifter från enheten för passagerarinformation för vidare granskning av informationen eller för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.

2.De myndigheter som avses i punkt 1 ska vara myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.

3.Med avseende på tillämpningen av artikel 9.3 ska varje medlemsstat senast den 25 maj 2017 meddela kommissionen förteckningen över sina behöriga myndigheter och får när som helst ändra sitt meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.

4.PNR-uppgifter och resultaten av behandling av dessa uppgifter som mottas av enheten för passagerarinformation får endast vidarebehandlas av de behöriga myndigheterna i medlemsstaterna, om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.

5.Punkt 4 ska inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter.

6.De behöriga myndigheterna får inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter. Besluten får inte grunda sig på en persons ras eller etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.

Artikel 8

Lufttrafikföretagens skyldigheter vad gäller överföring av uppgifter

1. Medlemsstaterna ska anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag genom sändmetoden överför de PNR-uppgifter som förtecknas i bilaga I, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet, till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det företag som utför flygningen ha skyldighet att överföra PNR-uppgifter om samtliga passagerare ombord. Om en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen överföra PNR-uppgifterna för alla passagerare till enheterna för passagerarinformation i alla berörda medlemsstater. Detta gäller även om en flygning inom EU innebär en eller flera mellanlandningar på olika medlemsstaters flygplatser, men endast i fråga om medlemsstater som samlar in PNR-uppgifter från flygningar inom EU.

(1) Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG

(EUT L 158, 30.4.2004, s. 77).

(2) Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 105, 13.4.2006, s. 1).

171

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/141

 

 

 

 

2.Om lufttrafikföretagen har samlat in sådan förhandsinformation om passagerare (API-uppgifter) som förtecknas i punkt 18 i bilaga I men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen genom sändmetoden även överför dessa uppgifter till enheten för passagerarinformation i de medlemsstater som avses i punkt 1. Vid sådan överföring ska alla bestämmelser i detta direktiv vara tillämpliga på dessa API-uppgifter.

3.Lufttrafikföretagen ska överföra PNR-uppgifter elektroniskt med användning av de gemensamma protokoll och understödda dataformat som ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2 eller, vid eventuella tekniska problem, på något annat sätt som säkerställer ett lämpligt dataskydd

a)24–48 timmar före flygningens planerade avgång, och

b)omedelbart efter det att gatens dörrar stängts, det vill säga när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller stiga av.

4.Medlemsstaterna ska tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 3 b till uppdateringar av sådana överföringar som avses i punkt 3 a.

5.I situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska lufttrafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation, i enlighet med nationell rätt, överföra PNR-uppgifter vid andra tidpunkter än de som anges i punkt 3.

Artikel 9

Utbyte av information mellan medlemsstaterna

1.När personer identifieras av en enhet för passagerarinformation i enlighet med artikel 6.2, ska medlemsstaterna se till att enheten översänder alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska översända den mottagna informationen till sina behöriga myndigheter i enlighet med artikel 6.6.

2.Enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarin­ formation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagras i den senares databas och ännu inte har avidentifierats genom maskering av uppgifter i enlighet med artikel 12.2 och vid behov även resultaten av en eventuell behandling av dessa uppgifter, om en sådan redan har utförts i enlighet med artikel 6.2 a. En sådan begäran ska vederbörligen motiveras. Den får avse en viss uppgift eller en kombination av sådana uppgifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla den begärda informationen så snart som möjligt. Om de begärda uppgifterna har avidentifierats genom maskering av uppgifter i enlighet med artikel 12.2, ska enheten för passagerarinformation endast tillhandahålla fullständiga PNR-uppgifter, om det rimligen kan antas vara nödvändigt för de ändamål som anges i artikel 6.2 b och detta endast efter tillstånd från en behörig myndighet som avses i artikel 12.3 b.

3.Endast i nödfall och enligt de villkor som fastställts i punkt 2 får en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den enhetens databas. Begäran från de behöriga myndigheterna ska motiveras. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten.

4.Om åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska enheten för passagerarinformation i en medlemsstat i undantagsfall ha rätt att begära att enheten för passagerarinformation i en annan medlemsstat införskaffar PNR-uppgifter i enlighet med artikel 8.5 och vidarebefordrar dessa till den begärande enheten för passagerarinformation.

5.Informationsutbyte enligt denna artikel får göras via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det språk som används i samband med begäran och informationsutbytet ska vara det som gäller

172

Prop. 2017/18:234

Bilaga 1

L 119/142

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

för den kanal som används. Medlemsstaterna ska i samband med att de lämnar meddelanden i enlighet med artikel 4.5 även meddela kommissionen uppgifter om de kontaktpunkter till vilka framställningar kan sändas i nödfall. Kommissionen ska underrätta medlemsstaterna om dessa uppgifter.

Artikel 10

Villkor för Europols åtkomst till PNR-uppgifter

1.Europol ska inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rätt att begära PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna.

2.Europol får från fall till fall via Europols nationella enhet lämna in en elektronisk, vederbörligen motiverad begäran till enheten för passagerarinformation i en medlemsstat om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter. Europol får lämna in en sådan begäran när detta är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt beslut 2009/371/RIF. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifter väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds.

3.Europol ska informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den här artikeln.

4.Informationsutbyte enligt denna artikel ska äga rum via Siena och i enlighet med beslut 2009/371/RIF. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena.

Artikel 11

Överföring av uppgifter till tredjeländer

1. En medlemsstat får överföra PNR-uppgifter och resultaten av behandling av sådana uppgifter som lagras av enheten för passagerarinformation i enlighet med artikel 12 till ett tredjeland efter bedömning i det enskilda fallet, endast under förutsättning att

a)de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF är uppfyllda,

b)överföringen är nödvändig för detta direktivs syften enligt artikel 1.2,

c)det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för detta direktivs ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och

d)samma villkor som de som fastställs i artikel 9.2 är uppfyllda.

2. Trots vad som sägs i artikel 13.2 i rambeslut 2008/977/RIF ska överföring av PNR-uppgifter utan förhands­ samtycke av den medlemsstat från vilken uppgifterna hämtades tillåtas i undantagsfall och endast om

a)överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och

b)förhandssamtycke inte kan erhållas i tid.

Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll.

3.Medlemsstaterna ska överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med detta direktiv endast efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder.

4.Dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört PNR-uppgifterna ska informeras varje gång medlemsstaten överför PNR-uppgifter enligt denna artikel.

173

Prop. 2017/18:234

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/143

 

 

 

 

Artikel 12

Lagringstid för uppgifter och avidentifiering

1.Medlemsstaterna ska se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick.

2.Vid utgången av en period på sex månader efter överföringen av de PNR-uppgifter som avses i punkt 1 ska alla PNR-uppgifter avidentifieras genom maskering av följande uppgifter, som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser:

a)Namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans.

b)Adress och kontaktuppgifter.

c)Alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer.

d)Uppgifter om bonusprogram.

e)Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser.

f)Alla API-uppgifter som samlats in.

3.Vid utgången av den sexmånadersperiod som avses i punkt 2 ska utlämnande av de fullständiga PNR-uppgifterna tillåtas endast

a)om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b, och

b)efter tillstånd från

i)en rättslig myndighet, eller

ii)en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.

4.Medlemsstaterna ska se till att PNR-uppgifterna slutgiltigt raderas vid utgången av den period som avses i punkt 1. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet, varvid den behöriga myndighetens lagring av uppgifterna i stället ska regleras av nationell rätt.

5.Resultaten av den behandling som avses i artikel 6.2 a ska bevaras endast av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell icke-automatisk granskning som avses i artikel 6.5 inte ger någon träff, får resultatet bevaras för att undvika framtida ”falska” träffar, så länge de bakomliggande uppgifterna inte har raderats enligt punkt 4 i den här artikeln.

Artikel 13

Skydd av personuppgifter

1. Medlemsstaterna ska föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med detta direktiv har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i rambeslut 2008/977/RIF. Dessa artiklar ska därför tillämpas.

174

Prop. 2017/18:234

Bilaga 1

L 119/144

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Medlemsstaterna ska föreskriva att de nationella bestämmelser om konfidentiell behandling och datasäkerhet som har antagits för genomförande av artiklarna 21 och 22 i rambeslut 2008/977/RIF även är tillämpliga på all behandling av personuppgifter i enlighet med detta direktiv.

3.Detta direktiv påverkar inte tillämpligheten av Europaparlamentets och rådets direktiv 95/46/EG (1) på lufttrafik­ företags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet.

4.Medlemsstaterna ska förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar PNR-uppgifter som avslöjar sådana uppgifter, ska dessa uppgifter omedelbart raderas.

5.Medlemsstaterna ska se till att enheten för passagerarinformation bevarar dokumentation om alla system och förfaranden för uppgiftsbehandling inom deras ansvarsområde. Dokumentationen ska minst innehålla

a)namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av PNR-uppgifter och de olika nivåerna av åtkomstbehörighet,

b)begäran från behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater,

c)begäran om och överföring av PNR-uppgifter till ett tredjeland.

Enheten för passagerarinformation ska på begäran göra all dokumentation tillgänglig för den nationella tillsynsmyndighe­ ten.

6. Medlemsstaterna ska se till att enheten för passagerarinformation för loggar över åtminstone följande typer av behandling: insamling, läsning, utlämning och radering. Loggarna över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identitetsuppgifter för den person som har läst eller lämnat ut PNR-uppgifterna samt identitetsuppgifter för de personer som mottagit uppgifterna. Loggarna ska uteslutande användas för kontroll och självövervakning, för att säkerställa dataintegritet och datasäkerhet och för revision. Enheten för passagerarinformation ska på begäran göra loggarna tillgängliga för den nationella tillsynsmyndigheten.

Loggarna ska bevaras i fem år.

7.Medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är förknippade med behandlingen och arten av PNR-uppgifterna.

8.Om ett en personuppgiftsincident kan antas medföra ett avsevärt hot mot skyddet av den registrerades personuppgifter eller negativt påverka dennes integritet, ska medlemsstaterna se till att enheten för passagerarinformation utan onödigt dröjsmål informerar den registrerade och den nationella tillsynsmyndigheten för dataskydd om incidenten.

Artikel 14

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella bestämmelser som antagits enligt detta direktiv och vidta alla nödvändiga åtgärder för at