Ds 2017:58

EU:s dataskyddsreform

– anpassningar av vissa författningar om allmän ordning och säkerhet

Justitiedepartementet

2.2Kort om huvuddragen i dagens reglering av

2.3.2Reformen – två nya EU-rättsakter om

2.3.5Något om gränsdragningen mellan direktivet

2.5Allmänna överväganden om anpassningen av

2.5.3Övergripande om möjligheten att behålla och

2.5.4Bestämmelser som är förenliga med

2.6Allmänna överväganden om anpassningen av

2.6.2Övergripande om möjligheten att införa och

6

Ds 2017:58 Innehåll

3.5Överväganden om och förslag till bestämmelser i en ny

3.5.1Lagens tillämpningsområde och huvudsakliga

3.5.2Förhållandet till dataskyddsförordningen och

3.5.3Primära och sekundära ändamål samt

4.1.4Överväganden om och förslag till

4.2Förordningen om tillstånd till införsel av vissa farliga

7

5.3Överväganden om befintliga bestämmelser i förhållande

5.4Överväganden om befintliga bestämmelser i förhållande

6.3Överväganden om befintliga bestämmelser i förhållande

6.4Överväganden om befintliga bestämmelser i förhållande

7.3.2Överväganden i förhållande till

7.3.3Genomförandet av rådsbeslutet när

8

7.4 Överväganden om och förslag till författningsändringar ... 237

8Förordningen om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen . 243

9

14.3Författningsförslag inom både det nya dataskyddsdirektivets och dataskyddsförordningens

10

12

Vårt uppdrag

Vårt uppdrag har varit att se över och överväga vilka anpassningar som kan behövas i vissa registerförfattningar som Enheten för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap vid Justitiedepartementet (Enheten) ansvarar för. Flera av registerför- fattningarna inom Enhetens ansvarsområde har ingått i det uppdrag som Utredningen om 2016 års dataskyddsdirektiv har haft. Vårt upp- drag har rört de flesta andra författningar inom Enhetens ansvarsom- råde som i någon mån reglerar frågor om personuppgiftsbehandling. Vårt uppdrag har bl.a. gällt kustbevakningsdatalagen, lagen och förordningen om belastningsregister, lagen och förordningen om Schengens informationssystem och vapenlagen.

Flera av de registerförfattningar som ingått i vårt utrednings- uppdrag reglerar personuppgiftsbehandling inom både det nya dataskyddsdirektivets och dataskyddsförordningens tillämpnings- område.

Våra överväganden och förslag

En av våra utgångspunkter har varit att gällande svensk rätt bör förändras så lite som möjligt till följd av EU:s dataskyddsreform. De väsentliga avvägningarna avseende behovet av författnings- reglering och skyddet för den personliga integriteten är redan gjorda.

Vi har kommit fram till att författningsregleringen i huvudsak är förenlig både med genomförandet av det nya dataskyddsdirektivet och med dataskyddsförordningen.

När det gäller författningsregleringen av Kustbevakningens personuppgiftsbehandling har vårt uppdrag gällt endast den del av kustbevakningsdatalagen som omfattas av dataskyddsförord- ningens tillämpningsområde. Vi föreslår, efter samråd med Utred- ningen om 2016 års dataskyddsdirektiv, att denna del av Kust- bevakningens personuppgiftsbehandling ska regleras i en egen lag, som vi föreslår ska heta som den nu gällande lagen – kustbevak- ningsdatalagen. Den personuppgiftsbehandling som sker inom Kustbevakningens brottsbekämpande och lagförande verksamhet kommer enligt förslag från Utredningen om 2016 års dataskydds- direktiv att regleras i den nu gällande lagen, som får ett till viss del

14

nytt innehåll och föreslås byta namn till Kustbevakningens brotts- datalag.

Våra författningsförslag i övrigt syftar i stort sett till att klar- göra förhållandet mellan de aktuella registerförfattningarna och de nya generella regelverken avseende personuppgiftsbehandling (dvs. dataskyddsförordningen jämte dataskyddslagen och/eller brotts- datalagen). I övrigt föreslår vi tillägg och ändringar för att anpassa registerförfattningarna, bl.a. genom att utmönstra hänvisningar till personuppgiftslagen.

Konsekvenser

Våra förslag är i huvudsak av lagteknisk karaktär. Vi bedömer att de i sig inte kommer att föra med sig annat än i sammanhanget margi- nella kostnader för de berörda myndigheterna.

Dataskyddsreformens övergripande syfte är att förstärka skyd- det för den personliga integriteten vid behandling av personupp- gifter. De effekter som kan uppnås på detta område menar vi i första hand följer av de nya generella regelverken och inte av våra förslag.

Ikraftträdande

Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vi föreslår att författningsändringar som berörs endast av förord- ningen träder i kraft samma datum. Författningsändringar som är beroende av brottsdatalagens ikraftträdande föreslår vi ska träda i kraft samma dag som den lagen, den 1 maj 2018.

15

Förhållandet till annan reglering av personuppgiftsbehandling

3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

4 § Även lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personupp- gifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till den.

Lagens tillämpning på juridiska personer

5 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:

1.6 § om personuppgiftsansvar,

2.7–11 §§ om ändamålen för behandlingen,

3.16 § om tillgången till personuppgifter och

4.25 § om bevarande och gallring.

Personuppgiftsansvar

6 § Kustbevakningen är personuppgiftsansvarig för behandling av personuppgifter som myndigheten utför.

Ändamål för behandling

7 § Personuppgifter får behandlas om det behövs för att

1.bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,

2.bedriva räddningstjänst,

3.samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

18

4.utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller

5.fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

8 § Utöver vad som anges i 7 § får personuppgifter behandlas om

1.behandlingen är nödvändig för diarieföring, eller

2.uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

9 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1.Kustbevakningens brottsbekämpande och lagförande verk- samhet och verksamhet för att upprätthålla allmän ordning och säkerhet,

2.en annan myndighets verksamhet

a.om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller

b.om informationen tillhandahålls inom ramen för myn- dighetsöverskridande samverkan, och

3.likartad verksamhet hos en utländsk myndighet.

10 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.

11 § I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i 9 och 10 §§ under de förutsättningar som framgår av artikel 5.1 b och 6.4 a–e i Europaparlamentets och rådets förordning (EU) 2016/679.

19

Behandling av känsliga personuppgifter

12 § Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får inte behandlas.

Om uppgifter om en person behandlas får de, utan hinder av det som sägs i första stycket, kompletteras med känsliga person- uppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

13 § Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

Tillgången till personuppgifter

14 § Med gemensamt tillgängliga uppgifter avses i denna lag personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.

15 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.

16 § Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbets- uppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare före- skrifter om tillgången till personuppgifter.

20

Utlämnande av personuppgifter

17 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

18 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag. Bestämmelser om direkt- åtkomst finns i 20–23 §§.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.

Direktåtkomst

20 § Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse personuppgifter som anges i 12 § första stycket.

21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § och om utländska myndigheter får ha sådan åtkomst.

22 § En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

21

Information till den registrerade

24 § Information enligt artikel 13 i Europaparlamentets och rådets förordning (EU) 2016/679 behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, om inte behandlingen i övrigt innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informa- tionen.

Bevarande och gallring

25 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.

Denna lag träder i kraft den 25 maj 2018.

22

1.2Förslag till kustbevakningsdataförordning (2018:00)

Härigenom föreskrivs följande.

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av kust- bevakningsdatalagen (2018:00). De uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen.

Tillgången till personuppgifter

2 § Kustbevakningen ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Direktåtkomst

3 § Polismyndigheten, Tullverket, Havs- och vattenmyndigheten, Naturvårdsverket, Sveriges meteorologiska och hydrologiska institut, Sjöfartsverket, Transportstyrelsen, Sveriges geologiska undersökning, Myndigheten för samhällsskydd och beredskap och Försvarsmakten får medges direktåtkomst till personuppgifter som Kustbevakningen behandlar för att samordna civila behov av sjöövervakning och för att förmedla civil sjöinformation till berörda myndigheter. Om Kustbevakningen medger direktåtkomst gäller det som anges i 20 och 22 §§ kustbevakningsdatalagen (2018:000).

4 § Kustbevakningen får meddela närmare föreskrifter om vad som krävs i fråga om behörighet och säkerhet för att myndigheten ska kunna medge direktåtkomst till personuppgifter för de myndigheter som anges i 3 § denna förordning.

Direktåtkomst till uppgifterna får inte medges innan Kustbevakningen har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

23

Gallring och bevarande

5 § Riksarkivet får, efter samråd med Kustbevakningen, meddela föreskrifter om att uppgifter som ska gallras enligt 25 § kust- bevakningsdatalagen (2018:00) får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Samråd med Datainspektionen

6 § Innan Kustbevakningen meddelar föreskrifter med stöd av denna förordning, ska samråd ske med Datainspektionen i frågor som berör särskilda risker för intrång i den personliga integriteten.

Denna förordning träder i kraft den 25 maj 2018.

24

1.3Förslag till

lag om ändring i vapenlagen (1996:67)

Härigenom föreskrivs i fråga om vapenlagen (1996:67)1 dels att 1 a kap. 2, 4 och 6 §§ ska upphöra att gälla,

dels att 1 a kap. 3 § ska ha följande lydelse,

dels att rubriken närmast framför 1 a kap. 1 § ska lyda ”Personuppgiftsansvar och förhållande till annan reglering av personuppgiftsbehandling”,

dels att det ska införas två nya paragrafer, 1 a kap. 2 och 4 §§, med följande lydelse.

2 §

Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning).

Även lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt detta kapitel, om inte annat följer av detta kapitel eller föreskrifter som meddelats i anslutning till det.

1Senaste lydelse av

2§ 2014:591

4 § 2014:591

6 § 2014:591

rubriken närmast före 1 a kap. 1 § 2014:591

25

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse 2014:591.

26

1.4Förslag till

lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs i fråga om lagen (1998:620) om belast- ningsregister3

dels att 1 b § ska upphöra att gälla,

dels att 1 a, 2, 9 och 20 §§ och rubriken närmast före 20 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 1 b §, med följande lydelse.

personuppgifter och om det fria flödet av sådana uppgifter och om

3Senaste lydelse av 1 b § 2013:331.

4Senaste lydelse 2013:331.

27

upphävande av direktiv 95/46/EG

(allmän dataskyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.

2 §5

Belastningsregistret ska föras för att ge information om sådana

2.åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,

3.allmänna domstolar för straffmätning och val av påföljd och

4.Polismyndigheten och andra myndigheter vid sådan lämplig- hetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.

9 §6

1. för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,

5Senaste lydelse 2014:593.

6Senaste lydelse 2015:987.

28

2.enligt bestämmelser i skollagen (2010:800 ),

3.enligt bestämmelser i lagen (2005:405) om försäkringsför- medling,

4.enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,

5.enligt bestämmelser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller

6.enligt bestämmelser i lagen (2013:852 ) om registerkontroll av personer som ska arbeta med barn.

Regeringen, eller i fråga om andra stycket punkterna 1–3 den myndighet regeringen bestämmer, får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.

20 §

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.

1.Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.

2.Lagen om belastningsregister i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.

29

1.5Förslag till

lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs i fråga om lagen (1998:621) om misstankeregister7

dels att 1 b § ska upphöra att gälla,

dels att 1 a, 2, 8 a och 15 §§ och rubriken närmast före 15 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 1 b §, med följande

personuppgifter och om det fria flödet av sådana uppgifter och om

7Senaste lydelse av 1 b § 2013:332.

8Senaste lydelse 2013:332.

30

upphävande av direktiv 95/46/EG

(allmän dataskyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.

2 §9

Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos

1. Polismyndigheten, Säker- hetspolisen, Skatteverket, Tull- verket och Kustbevakningen för att förebygga, upptäcka och utreda brott,

2.åklagarmyndigheter för beslut om förundersökning och åtal

och,

3.Polismyndigheten och andra myndigheter vid sådan lämplig- hetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verk- samhet.

8 a §10

En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171 ) om registerkontroll av personal vid vissa boenden som tar emot barn har rätt att få ett begränsat utdrag ur registret. Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.

9Senaste lydelse 2014:594.

10Senaste lydelse 2015:988.

31

15 §

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.

1.Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.

2.Lagen om misstankeregister i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.

32

1.6Förslag till

lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs i fråga om lagen (2000:344) om Schengens informationssystem11

dels att 15 och 17 §§ ska upphöra att gälla, dels att 16 § ska ha följande lydelse,

dels att rubriken närmast före 7 § ska lyda ”Förbud mot registrering av vissa uppgifter”,

dels att det ska införas två nya paragrafer, 1 a och 1 b §§ och närmast före 1 a § en ny rubrik, med följande lydelse.

11 Senaste lydelse av

15 § 2014:595

17 § 2014:595

33

27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s data- skyddsförordning.

Bestämmelserna i 4 § första stycket 3 och 7 § tillämpas istället för 3 kap. 3 § lagen (2018:00) med kompletterande bestämmel- ser till EU:s dataskyddsförord- ning.

16 §12

Vid behandling av person- uppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller i fråga om skadestånd 48 § första stycket personuppgiftslagen (1998:204).

1.Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.

2.Lagen om Schengens informationssystem i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.

12 Senaste lydelse 2010:380.

34

1.7Förslag till

förordning om ändring i förordningen (1990:415) om införsel av farliga föremål

Härigenom föreskrivs i fråga om förordningen (1990:415) om införsel av farliga föremål att 4 § ska ha följande lydelse.

Denna förordning träder i kraft den 25 maj 2018.

13 Senaste lydelse 2017:505.

35

1.8Förslag till

förordning om ändring i förordningen (2000:836) om Schengens informationssystem

Härigenom föreskrivs i fråga om förordningen (2000:836) om Schengens informationssystem att 21 och 22 §§ ska ha följande lydelse.

21 §14

I 25–27 §§ personuppgifts- lagen (1998:204) finns bestäm- melser om information till den som har registrerats.

Information enligt 26 § person- uppgiftslagen ska lämnas inom en månad eller, om det finns särskilda skäl, senast två månader efter det att ansökan gjordes.

22 §15

En person som har ansökt om rättelse eller annan åtgärd enligt 15 § lagen (2000:344) om Schengens informationssystem ska senast tre månader efter det att ansökan gjordes informeras om de åtgärder som har vidtagits.

Denna förordning träder i kraft den 1 maj 2018.

14Senaste lydelse 2013:131. Ändringen innebär bl.a. att första stycket tas bort.

15Senaste lydelse 2013:131.

36

1.9Förslag till

förordning om ändring i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen

Härigenom föreskriv i fråga om förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen16 att 1 a § ska upphöra att gälla vid utgången av april 2018.

16 Senaste lydelse av 1 a § 2013:348.

37

1.10Förslag till

förordning om ändring i förordningen (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet

Härigenom föreskrivs i fråga om förordning (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet

dels att 2 och 6 §§ ska upphöra att gälla,

dels att det ska införas en ny paragraf, 2 §, av följande lydelse, dels att 1 § och rubriken närmast före 2 § ska ha följande lydelse.

38

direktiv 95/46/EG (allmän data- skyddsförordning).

Även lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning om inte annat följer av denna förordning.

Denna förordning träder i kraft den 1 maj 2018 ifråga om 1 § och i övrigt den 25 maj 2018.

39

som är godtagara i ett demokratiskt samhälle och inte går utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett den (2 kap. 20 och 21 §§ regeringsformen).

Automatiserad behandling av personuppgifter, i registerform eller i andra informationshanteringssystem, kan innebära en kartläggning av enskildas förhållanden, även om syftet med behandlingen är ett annat.1 Grundlagsskyddet omfattar dock bara betydande intrång i den personliga integriteten. Vid bedömningen av vad som kan anses vara ett betydande intrång när det gäller personuppgiftsbehandling ska vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen.2

Det nuvarande skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § regeringsformen trädde i kraft 2011. Även före bestämmelsens införande var det en uttalad målsättning att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll skulle vara reglerat i lag.3

2.2.2Personuppgiftslagen och registerförfattningar

Det är i första hand personuppgiftslagen (1998:204) som ska tillgodose regeringsformens krav på integritetsskydd när det gäller automatiserad personuppgiftsbehandling.4 Personuppgiftslagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1995 års dataskyddsdirektiv) i svensk rätt. Lagen har dock ett vidare tillämpningsområde än direktivet, bl.a. eftersom den omfattar även områden som faller utanför unionsrätten och inte gör något generellt undantag för personuppgiftsbehandling på straffrättens område (jfr artikel 3 i 1995 års dataskyddsdirektiv).

Personuppgiftslagen innehåller alltså de grundläggande bestäm- melserna om personuppgiftsbehandling. Det är bestämmelser om under vilka förutsättningar personuppgiftsbehandling alls är tillåten och vilka grundläggande krav som gäller för all personuppgifts-

1Prop. 2009/10:80 s. 180.

2A. prop. s. 183.

3Bl.a. bet. 1990/91:KU s. 11 och 1997/98:KU18 s. 43.

4Jfr prop. 2009/10:85 s. 67.

42

behandling, exempelvis att personuppgifter alltid ska behandlas lagligt och korrekt och att personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Lagen innehåller vidare bestämmelser om den enskildes rätt till information om personuppgiftsbehandling och den enskildes tillgång till rättsmedel. Den reglerar också frågor om tillsyn och sanktioner. Vidare innehåller lagen bestämmelser avseende vissa särskilda kate- gorier av personuppgifter (s.k. känsliga personuppgifter, uppgifter om brott och personnummer) samt bestämmelser om vissa särskilda behandlingssituationer (automatiserade beslut och överföringar av personuppgifter till tredje land).

Personuppgiftslagen är subsidiär till andra författningar, dvs. avvikande bestämmelser i annan författning gäller framför lagen (2 §). I förarbetena anfördes att genom att det krävs en särskild författning för att avvika från det integritetsskydd som person- uppgiftslagen ger, garanteras att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning.5 Det anfördes vidare att det fanns ett behov av att se över befintliga författningar och behovet av särreglering i förhållande till den nya lagen. Fram till 2001 då personuppgiftslagen trädde i full kraft antogs ett flertal nya s.k. registerförfattningar. Vissa av dem har en annorlunda utformning än tidigare reglering på så sätt att de inte är begränsade till att avse viss behandling av personuppgifter i traditionella register, utan i stället gäller generellt på helt eller delvis automatiserad personuppgiftsbehandling inom en viss verksamhet.

Trots att begreppet registerförfattning avser mer än reglering av utpräglade personregister brukar det användas som ett samlingsnamn för författningar som innehåller någon form av särreglering av personuppgiftsbehandling i förhållande till personuppgiftslagen. Informationshanteringsutredningen har i sitt betänkande Myndighets- datalag (SOU 2015:39) gjort en kartläggning av registerförfattningar. I betänkandet beskrivs att registerförfattningar kan delas in i tre kategorier: renodlade registerförfattningar, informationshanterings- författningar och andra författningar med inslag av dataskydds- bestämmelser.6 Bland de författningar som ingår i vårt uppdrag förekommer författningar i alla tre kategorierna.

5Prop. 1997/98:44 s. 41 och vidare prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11.

6SOU 2015:39 s. 96–105.

43

När det gäller frågan om och hur förhållandet till person- uppgiftslagen ska regleras i en registerförfattning har det valts olika lösningar i skilda registerförfattningar. Ett sätt är att personupp- giftslagen inte nämns alls i registerförfattningen. Detta innebär då att registerförfattningens reglering gäller framför personuppgifts- lagen, i den mån författningen kan uppfattas som avvikande från den lagen. Samma förhållande kommer att gälla om det i register- författningen uttryckligen anges att lagen gäller utöver person- uppgiftslagen. En sådan bestämmelse har alltså i första hand ett informativt syfte. I andra registerförfattningar, särskilt för myndigheter med brottsbekämpande uppdrag, har det i stället angetts att den aktuella registerlagen gäller i stället för person- uppgiftslagen, utom avseende de bestämmelser i personuppgifts- lagen som särskilt räknas upp. Fördelen med den lösningen har ansetts vara att lagstiftningen blir överskådlig, tydlig och mer lättillämpad.7

2.3EU:s dataskyddsreform

2.3.1Tidigare EU-rättsakter

I artikel 8 i EU:s stadga om de grundläggande rättigheterna (rättighetsstadgan) finns rätten till skydd av personuppgifter. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av samtycke eller någon annan lagenlig grund. Inskränkningar i stadgans rättigheter får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna, de får bara göras om de är nödvändiga och svarar mot ett allmänt samhälls- intresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Den allmänna regleringen av behandling av personuppgifter inom EU finns i dag i 1995 års dataskyddsdirektiv. Direktivet har, som nämnts, genomförts i svensk rätt genom personuppgiftslagen.

Dataskyddsdirektivet gäller inte inom medlemsstaternas verk- samhet på straffrättens område (artikel 3). Inom detta område finns dock flera andra EU-rättsakter som reglerar informations-

7 Se exempelvis prop. 2009/10:85 s. 80.

44

utbyte mellan medlemsstaterna och som innehåller bestämmelser om dataskydd, bl.a. rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet).8 Genom dataskyddsrambeslutet infördes en generell reglering av dataskydd på det polisiära och straffrättsliga området. Dataskyddsrambeslutet gäller dock endast för person- uppgifter som överförs mellan medlemsstaterna och inte för behandlingen av personuppgifter på nationell nivå. Dataskydds- rambeslutet har genomförts i svensk rätt främst genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen med tillhörande förordning.9

2.3.2Reformen – två nya EU-rättsakter om personuppgiftsbehandling

Inom EU har länge pågått ett arbete med att ta fram ett nytt regelverk för personuppgiftsbehandling för att ersätta 1995 års dataskyddsdirektiv och dataskyddsrambeslutet. Resultatet har blivit två nya rättsakter – Europaparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (kallas dataskydds- förordningen i det följande) och Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (kallas det nya dataskyddsdirektivet i det följande).

Dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Den är en ny generell reglering för behandling av personuppgifter inom EU och upphäver 1995 års dataskyddsdirektiv. I egenskap av förordning har den allmän giltighet och är bindande och direkt

8För fler exempel, se SOU 2017:29 s. 155–157.

9Prop. 2012/13:73.

45

tillämplig i medlemsstaterna. En första följd av att förordningen ska börja tillämpas är att personuppgiftslagen måste upphävas. Vidare får inte andra författningar inom förordningens tillämp- ningsområde innehålla bestämmelser som motsvarar förordningens reglering, eftersom en förordning, till skillnad från ett direktiv, inte ska genomföras i nationell rätt. Även om dataskyddsförordningen är direkt tillämplig, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. I skälen till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.10

Förordningen baseras till stor del på den struktur och reglering som finns i 1995 års dataskyddsdirektiv. Förordningen anses dock innebära ett starkare skydd för den enskilde, bl.a. genom att regleringen av den enskildes rättigheter och den personuppgifts- ansvariges skyldigheter utvecklats.

Från förordningens tillämpningsområde undantas personupp- giftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder samt att skydda och förebygga hot mot den allmänna säkerheten. Sådan personuppgiftsbehandling omfattas i stället av det nya dataskyddsdirektivets tillämpningsområde.

Det nya dataskyddsdirektivet ska vara genomfört i nationell rätt senast den 6 maj 2018. Det ansluter i stora delar till det tidigare dataskyddsrambeslutet, men är tillämpligt både på enbart nationell personuppgiftsbehandling och på personuppgiftsbehandling som avser ett informationsutbyte mellan medlemsstater.11 Genom direktivet upphävs dataskyddsrambeslutet. Eftersom även data- skyddsrambeslutet till stora delar är baserat på 1995 års data- skyddsdirektiv innehåller det nya dataskyddsdirektivet en reglering

10Jfr SOU 2017:39 s. 72 f. Dataskyddsutredningen anmärker att förordningen har en

”direktivliknande” karaktär.

11SOU 2017:29 s. 121.

46

Ds 2017:58 Utgångspunkter

som på många områden överensstämmer med dataskydds- förordningens.12

Viss behandling av personuppgifter undantas från både det nya dataskyddsdirektivets och dataskyddsförordningens tillämpnings- område. Det gäller bl.a. personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten (artikel 2 i respektive rättsakt).

2.3.3Förslaget till dataskyddslag

Dataskyddsförordningen är alltså direkt tillämplig i medlemsstaterna. Samtidigt både förutsätter och möjliggör den kompletterande nationella bestämmelser av olika slag. En särskild utredare har haft uppdraget att föreslå de anpassningar och kompletterande för- fattningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen har antagit namnet Dataskyddsutredningen och har den 12 maj 2017 överlämnat betänkandet Ny dataskyddslag (SOU 2017:39).

Den föreslagna dataskyddslagen innehåller bestämmelser om rättslig grund (2 kap), vissa kategorier av personuppgifter (3 kap.), användningsbegränsningar (4 kap.), begränsningar av vissa rättig- heter och skyldigheter (5 kap.), tillsynsmyndighetens handläggning och beslut (6 kap.), administrativa sanktionsavgifter (7 kap.) och skadestånd och rättsmedel (8 kap.). Vissa bestämmelser i lagen överensstämmer i huvudsak med personuppgiftslagens eller person- uppgiftsförordningens reglering.

Dataskyddslagen föreslås vara subsidiär till annan författning (1 kap. 3 §). I den mån dataskyddsförordningen medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till dataskyddslagen.

Genom den föreslagna lagen upphävs personuppgiftslagen. Dataskyddslagen föreslås träda i kraft den 25 maj 2018.

12 Om 1995 års dataskyddsdirektivs inverkan på dataskyddsrambeslutet, se prop. 2012/13:73 s. 56.

47

2.3.4Förslaget till brottsdatalag m.m.

En särskild utredare har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt (dir. 2016:21). Utredningen om 2016 års dataskyddsdirektiv har lämnat förslag till en ny ramlag med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde i sitt delbetänkande Brottsdatalag (SOU 2017:29). Brottsdatalagen innehåller bestämmelser om bl.a. den personuppgiftsansvariges skyldigheter (3 kap.), enskildas rättig-

bestämmelser (SOU 2017:74) lämnar utredningen förslag till anpass- ningar av flera registerförfattningar inom det nya dataskydds- direktivets tillämpningsområde, bl.a. polisdatalagen (2010:361).

2.3.5Något om gränsdragningen mellan direktivet och förordningen

Utredningen om 2016 års dataskyddsdirektiv redovisar i kapitel 8 i sitt betänkande Brottsdatalag (SOU 2017:29) några ställnings- taganden när det gäller brottsdatalagens, och därmed det nya dataskyddsdirektivets, närmare tillämpningsområde. Redovisningen är dock inte avsedd att vara uttömande.13

För att brottsdatalagen ska vara tillämplig, och inte data- skyddsförordningen, ska behandlingen utföras både av en behörig myndighet och med ett sådant syfte som närmare framgår av brottsdatalagen. Detta innebär bl.a. att avgränsningen inte går att göra med utgångspunkt enbart i att en viss personuppgifts- behandling utförs av en myndighet vars huvudsakliga uppgift är t.ex. brottsbekämpning. Inte heller typen av personuppgifts- behandling eller personuppgiftens karaktär i och för sig är avgörande. Utredningen om 2016 års direktiv konstaterar bl.a. att kontrollverksamhet inte faller under brottsdatalagens tillämp-

13 SOU 2017:29 s. 181.

48

ningsområde och inte heller allmän övervakning, även om den utförs av myndigheter som också har brottsbekämpande uppdrag.14 Precis som registerförfattningar i dag kompletterar person- uppgiftslagen kommer registerförfattningar att i framtiden komplettera antingen dataskyddsförordningen eller brottsdata- lagen, som är den lag som på en generell nivå kommer att genomföra dataskyddsdirektivet. Det är också möjligt att en registerförfattning kompletterar både dataskyddsförordningen och brottsdatalagen. Inom ramen för samma registerförfattning kan man nämligen tänka sig att det förekommer personuppgifts- behandling som faller under antingen den ena eller den andra EU- rättsakten.15 Samma behandling kan dock inte falla under båda EU-

rättsakterna samtidigt.16

EU-rättsakterna har flera likheter. Bl.a. är det möjligt att behålla många bestämmelser i myndigheternas registerförfattningar oavsett vilken EU-rättsakt som är tillämplig. Rättsföljderna för den enskilde behöver inte heller skilja sig åt när det gäller exempelvis möjligheten att begära rättelse eller skadestånd. Skyldigheterna för personuppgiftsansvariga kommer troligtvis att kunna uppfyllas genom i huvudsak samma åtgärder. Trots detta är det naturligtvis väsentligt för myndigheterna att veta om det är dataskydds- förordningen eller brottsdatalagen som är det generellt tillämpliga regelverket.

Vi har anledning att återkomma till frågor om gränsdragning i flera avsnitt i denna promemoria.

2.4Vårt uppdrag och dess genomförande

Uppdragsbeskrivningen

I vår uppdragsbeskrivning anges att vi ska undersöka vilka anpassningar som är behövliga eller lämpliga och lämna förslag på de författningsändringar som EU:s dataskyddsreform föranleder i fråga om den personuppgiftsreglering som Enheten för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap vid

14A. a. s. 184.

15Jfr Fi2017/02899/S3 s. 48, 124 f och 135.

16SOU 2017:29. s. 172 och 182, jfr även s. 292.

49

Justitiedepartementet (Enheten) ansvarar för. Under uppdragets gång har Enheten preciserat vilka författningar som ingår i vårt uppdrag. Några andra mer detaljerade anvisningar följer inte av vår uppdragsbeskrivning, utan där sägs endast att uppdraget omfattar att analysera både dataskyddsförordningen och det nya data- skyddsdirektivet i förhållande till de författningar som Enheten ansvarar för men som inte omfattas av de uppdrag som Dataskyddsutredningen eller Utredningen om 2016 års data- skyddsdirektiv har.

Vi har, i enlighet med vårt uppdrag, särskilt samrått med Utredningen om 2016 års dataskyddsdirektiv, Polismyndigheten och Kustbevakningen.

Avgränsning av vårt uppdrag

Vi har uppfattat att en grundläggande utgångspunkt för vårt uppdrag är att den författningsreglering som för närvarande finns avseende personuppgiftsbehandling ska behållas oförändrad i så stor utsträckning som det är möjligt, dvs. om inte dataskydds- förordningen eller det nya dataskyddsdirektivet kräver att nationella bestämmelser måste upphävas eller ändras. Förordningen är direkt tillämplig och nationella bestämmelser som reglerar samma sak som förordningen kan därmed inte kvarstå, utan förordningen ska tillämpas i stället. Direktivet ska däremot genomföras i svensk rätt och svensk rätt kan därmed reglera samma områden som direktivet, men regleringen ska i sådana fall genomföra direktivet och får inte strida emot vad som föreskrivs där.

Vi anser som en utgångspunkt att det inte ingår i vårt uppdrag att ompröva sådana redan gjorda ställningstaganden och övervä- ganden som fortfarande är relevanta. Det gäller bl.a. överväganden om behovet av en särreglering och vad denna i huvudsak bör innehålla.

Förhållandet till andra utredningar

Det finns ett stort antal registerförfattningar i svensk rätt. Bara inom Justitiedepartementet har det funnits behov att tillsätta flera utredningar att närmare analysera inverkan av EU:s dataskydds-

50

reform på olika författningar inom enhetens ansvarsområde. Vi har tagit del av andra utredningars arbete och har deltagit i samrådsmöten där utredningar från alla departement har haft möjlighet att delta. Vi har också diskuterat under hand med andra utredningar. Eftersom antalet andra utredningar varit så stort har det varit omöjligt att närmare ta till sig eller försöka anpassa sig till alla förslag och överväganden som redan offentligt redovisats eller framkommit under hand. Vi har i första hand tagit del av och beaktat Dataskyddsutredningen och Utredningen om 2016 års dataskyddsdirektiv.

När det gäller förslaget till brottsdatalag (av Utredningen om 2016 års dataskyddsdirektiv, SOU 2017:29) och förslaget till data- skyddslag (av Dataskyddsutredningen, SOU 2017:39) refererar vi till dem utan att varje gång särskilt ange att det handlar om författningsförslag och inte antagna lagar, detta för att inte tynga framställningen i onödan. Det är dock givet att ändringar och justeringar kan komma att göras i respektive lagförslag, och våra överväganden och förslag får då bedömas därefter.

2.5Allmänna överväganden om anpassningen av registerförfattningar till dataskyddsförordningen

2.5.1Dataskyddsförordningens tillämpningsområde

Dataskyddsförordningens tillämpningsområde framgår av artikel 2. Förordningen omfattar för det första behandling av person- uppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Vad som avses med ett register framgår av definitionerna i artikel 4.6. Denna avgränsning av förordningens tillämpningsområde förorsakar inte några tolknings- problem såvitt avser de författningar som ingår i vårt uppdrag – det framgår av författningarna att de reglerar sådan personuppgifts- behandling som är helt eller delvis automatiserad och/eller avser regelrätta register. Samtliga författningar som ingår i vårt uppdrag avser personuppgiftsbehandlingen vid olika myndigheter. Det undantag från dataskyddsförordningens tillämpningsområde som anges i artikel 2.2 c – behandling som en fysisk person utför i

51

verksamhet av rent privat natur – är alltså inte aktuellt inom ramen för vår översyn.

En annan fråga är den närmare innebörden av dataskydds- förordningens tillämpningsområde som följer av artikel 2.2 a. Data- skyddsförordningen är enligt denna del av artikeln inte tillämplig på personuppgiftsbehandling som utförs i en verksamhet som inte omfattas av unionsrätten.

Dataskyddsutredningen anför att det i viss mån är oklart hur tillämpningsområdet i denna del ska tolkas. Utredningen menar att det inom offentlig sektor kan finnas områden som inte omfattas av unionsrätten på ett sådant sätt som gör undantaget från tillämpningsområdet tillämpligt.17 Dataskyddsutredningen föreslår dock att dataskyddsförordningen i svensk rätt ska gälla även inom områden som undantas enligt artikel 2.2 a (och b) (1 kap. 2 § dataskyddslagen). Ett skäl till detta är att även personuppgiftslagen haft ett sådant vidare tillämpningsområde i förhållande till 1995 års dataskyddsdirektiv. Ett annat skäl är att Sverige har gjort vissa andra internationella åtaganden att skydda enskilda individers personliga integritet som gör att det finns ett behov av en generellt tillämplig dataskyddsreglering.18

Vår utgångspunkt vid översynen av författningarna har varit att de registerförfattningar vi ska analysera omfattas av dataskydds- förordningens tillämpningsområde, utom i de fall de i stället omfattas av det nya dataskyddsdirektivet.

2.5.2Rättslig grund för personuppgiftsbehandlingen

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste ha en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt artikeln endast laglig om åtminstone ett av de uppräknade villkoren (punkterna a–f) är uppfyllt. De olika villkoren är i viss mån överlappande. Flera av punkterna a–f kan därför vara tillämpliga samtidigt avseende en och samma behandling.19

17SOU 2017:39 s. 91, jfr Fi2017/02899/S3 s. 47 f. och Ds 2017:19 s. 102 f.

18SOU 2017:39. s. 92.

19A. a. s. 103 f.

52

De statliga och kommunala myndigheternas personuppgifts- behandling kommer huvudsakligen att ske med stöd av de rättsliga grunder som kommer till uttryck i artikel 6.1 c eller e (eller båda) i dataskyddsförordningen. Enligt artikel 6.1 c är personuppgifts- behandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 6.1 e gäller att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Gemensamt för artikel 6.1 c och e är att personuppgiftsbehand- ling ska vara nödvändig för att vara laglig. Dataskyddsutredningen har närmare utvecklat vad som kan anses ligga i detta begrepp. Sammanfattningsvis anför utredningen att det inte kan innebära att det krävs att det är omöjligt att utföra exempelvis uppgiften av allmänt intresse utan att behandla personuppgifter, utan att det räcker med att personuppgiftsbehandlingen medför effektivitets- vinster.20

När det gäller vad som avses med en uppgift av allmänt intresse anför Dataskyddsutredningen att det, med hänsyn till svensk förvaltningstradition, förefaller rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regeringen är av allmänt intresse. 21

Myndigheternas verksamhet omfattar ofta myndighetsutövning. Eftersom det i de flesta fall är tillräckligt att konstatera att myndigheten utför ett uppdrag av allmänt intresse som kräver personuppgiftsbehandling, anser vi inte att det är nödvändigt att i vår utredning närmare analysera i vilken omfattning olika myndig- heters verksamhet innefattar myndighetsutövning. Dataskydds- utredningen har närmare utvecklat hur begreppet bör tolkas.22

När det slutligen gäller utförandet av en rättslig förpliktelse anför Dataskyddsutredningen att ett exempel på en sådan förpliktelse för en myndighet är de skyldigheter som följer av offentlighets- principen. Myndigheters uppdrag kan också innebära rättsliga förpliktelser, exempelvis då myndigheten ges i uppdrag att föra ett visst register.23

20SOU 2017:39. 105 f.

21A. a. s. 124.

22A. a. s. 119 f.

23A. a. s. 117.

53

De rättsliga grunder som räknas upp i artikel 6.1 är i huvudsak desamma som sedan tidigare gällt enligt artikel 7 i 1995 års dataskyddsdirektiv, som genomförts i 10 § personuppgiftslagen. Man bör därför som en utgångspunkt kunna förlita sig på att lagstiftaren redan tagit ställning till att personuppgiftsbehandling som regleras i en viss registerförfattning är nödvändig för att en myndighet ska kunna utföra ett uppdrag av allmänt intresse, som ett led i myndighets- utövning eller för att fullgöra en rättlig förpliktelse.

En nyhet i förhållande till dataskyddsdirektivet när det gäller rättsliga grunder är det tillkommande kravet i artikel 6.3 på att de rättsliga grunderna enligt artikel 6.1 c och e ska fastställas i unionsrätten eller i nationell rätt. Dataskyddsutredningen har haft i uppdrag att analysera vad kravet i denna del innebär i fråga om nationell författningsreglering.24 Dataskyddsutredningen anför sammanfatt- ningsvis att detta krav inte kan uppfattas så att det måste finnas en författningsreglering av själva personuppgiftsbehandlingen. Det är i stället uppgiften av allmänt intresse, myndighetsutövningen eller den rättsliga förpliktelsen som måste ha stöd i nationell rätt (eller unionsrätten). Att den rättsliga grunden ska ha stöd i nationell rätt innebär inte nödvändigtvis att den måste vara fastställd i en av riksdagen beslutad lag. Däremot måste den vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.25

Dataskyddsutredningen anför följande angående den rättsliga grunden i 6.1 e (uppdrag av allmänt intresse) och frågan om kravet på att den ska ha stöd i nationell rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen.26

I artikel 6.3 andra stycket anges också att syftet med behandlingen måste vara nödvändigt för att utföra en uppgift av allmänt intresse. Dataskyddsutredningen anför att detta innebär att den specifika

24SOU 2017:39 s. 103.

25A. a. s. 112.

26A. a. s. 128 f.

54

behandlingen alltså måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag.27

När det gäller rättsliga förpliktelser ska dessa också, på samma sätt som uppdrag av allmänt intresse, vara fastställda i nationell rätt (eller unionsrätt). När det gäller sådana förpliktelser ställer artikel 6.3 upp ytterligare ett krav, nämligen att syftet med behandlingen ska fastställas i den rättsliga grunden. Dataskyddsutredningen anför att syftet med behandlingen alltså ska vara bestämt av den författning som anger eller ger stöd för förpliktelsen. Detta, menar utredningen, innebär att förpliktelsen inte får vara alltför svepande eller ge den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur förpliktelsen ska uppfyllas.28

Slutligen ställer artikel 6.3 särskilda krav på den nationella rätt (eller EU-rätt) som fastställer den rättsliga grunden, nämligen att den ska uppfylla ett mål av allmänt intresse och vara proportionell mot de legitima mål som eftersträvas. Vi återkommer till detta krav nedan.

I vårt uppdrag ingår att analysera ett antal författningar som reglerar personuppgiftsbehandling som utförs av myndigheter. När personuppgiftsbehandling särskilt regleras för en myndighet utgår regleringen ofta från myndighetens, redan författningsreglerade, uppdrag. Redan av vad som redogjorts för ovan kan man över- gripande konstatera att sådan personuppgiftsbehandling inte bara uppfyller kraven i artikel 6.1 c eller e (eller båda) utan också är

”fastställd” i nationell rätt, både genom författningsregleringen av myndighetsuppdraget och genom den författning som närmare reglerar personuppgiftsbehandlingen. Ändamålet med behand- lingen har därmed också redan av riksdag eller regering satts i den nödvändiga relationen till utförandet av uppdraget av allmänt intresse och/eller till myndighetsutövningen. Eftersom kravet på att den rättsliga grunden ska vara fastställd i nationell rätt (eller unionsrätt) är nytt i förhållande till 1995 års dataskyddsdirektiv, gör vi dock inledningsvis för varje författning en kortfattad bedömning av om de rättsliga förutsättningarna för personupp- giftsbehandling i enlighet med artikel 6.1 c eller e och 6.3 är

27SOU 2017:39 s. 129.

28A. a. s. 114.

55

uppfyllda. Vi gör dock ingen bedömning av om författnings- regleringen i sig är till för att uppfylla ett mål av allmänt intresse eller om den är proportionell i förhållande till detta mål. Att göra den typen av överväganden anser vi i princip inte ingår i vårt uppdrag (jfr avsnitt 2.4) och man måste dessutom kunna utgå ifrån att redan antagna författningar uppfyller dessa krav.29

2.5.3Övergripande om möjligheten att behålla och införa särreglering

Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer speci- fika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för behandling som sker med stöd av artikel 6.1 c och e genom att ”närmare fastställa specifika krav för uppgifts- behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling”. Möjligheten för medlemsstaterna att föreskriva mer specifika regler för behandlingen av personuppgifter framgår också av artikel 6.3. Artikeln anger att den nationella rättsliga grunden för behandling enligt artikel 6.1 c och e kan innehålla bland annat de allmänna villkor som ska gälla för den person- uppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs samt de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. I den rättsliga grunden får också anges ändamålsbegränsningar, lagrings- tid samt typer av behandling och förfaranden för behandling inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Det nämnda kapitlet innehåller bl.a. bestämmelser om behandling av nationella identifikationsnummer.

Bestämmelser i registerförfattningar avser ofta just sådana områden som nämns i denna del av artikel 6.3. Av både artikel 6.2 och 6.3 följer alltså att det är tillåtet att nationellt reglera olika aspekter av personuppgiftsbehandling inom offentlig sektor i registerförfattningar.30 Förordningen innehåller också andra artiklar som tillåter kompletterande bestämmelser i vissa avse- enden, exempelvis när det gäller särskilda kategorier av person-

29Jfr SOU 2017:66 s. 206.

30Jfr SOU 2017:39 s. 134.

56

uppgifter (artikel 9.2 g) och inskränkningar av den registrerades rättigheter (artikel 23).

Dataskyddsförordningen sätter upp de ramar inom vilka person- uppgiftsbehandling är tillåten. Den innebär dock givetvis ingen skyldighet att behandla personuppgifter, även om alla förutsätt- ningar att utföra personuppgiftsbehandling är uppfyllda i och för sig. Det står därmed lagstiftaren fritt att begränsa offentlig sektors behandling av personuppgifter i förhållande till dataskyddsföror- dningen. Ett exempel är att det inte finns något hinder emot att i författning ange att en myndighet inte får behandla person- uppgifter annat än för vissa uttömande angivna ändamål och alltså förhindra att myndigheten självständigt tillämpar den s.k. finalitets- principen (som innebär att personuppgifter insamlade för ett visst ändamål endast får behandlas för ett annat ändamål under förutsättning att de nya ändamålen inte är oförenliga med det ändamål för vilket uppgifterna samlades in – principen framgår bl.a. av artikel 5.1 b dataskyddsförordningen). Eftersom det är riksdag och regering som fastställer omfattningen av myndigheternas uppdrag finns det heller inget hinder emot att en myndighet ges mer långtgående skyldigheter när det gäller skyddet för den registrerade i något avseende. Exempelvis skulle en författning kunna ge myndigheten i uppdrag att ge den registrerade mer information än vad som följer av dataskyddsförordningen.31

2.5.4Bestämmelser som är förenliga med dataskyddsförordningen

Syfte och tillämpningsområde

En del registerförfattningar inleds med en allmän bestämmelse som anger syftet med lagstiftningen. Syftet kan vara exempelvis både att möjliggöra personuppgiftsbehandling och samtidigt skydda männi- skors personliga integritet. Sådana bestämmelser har inget direkt

31 Jfr Fi2017/02899/S3 s. 57 f., SOU 2017:66 s. 203 och Ds 2017:41 s. 62 f. En annan sak är att det skulle strida mot dataskyddsförordningen om det allmänna på något sätt, exempel i författning, skulle inskränka de principer enligt vilka en privat aktör enligt dataskydds- förordningen har rätt att behandla personuppgifter, jfr EU-domstolens dom i mål C‑582/14 och i de förenade målen C‑468/10 och C‑469/10.

57

materiellt innehåll och utgör i sig ingen reglering av den före- kommande personuppgiftsbehandlingen. De kan därför behållas.

Även bestämmelser som avgränsar tillämpningsområdet för en viss registerförfattning kan behållas. Eftersom särreglering är möjlig enligt förordningen måste givetvis den nationella lagstif- taren kunna specificera inom vilket område eller för vilken person- uppgiftsbehandling en viss särreglering gäller.32

I avgränsningen av tillämpningsområdet anges vanligen också att lagen endast tillämpas på helt eller delvis automatiserad personupp- giftsbehandling, eller annan behandling om personuppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Dataskyddsförordningen har samma tillämpningsområde när det gäller formerna för behandling. Eftersom det också är möjligt att i nationell rätt specificera frågor om personuppgiftsbehandling för en mer avgränsad form av behandling (exempelvis endast för behandling i ett visst automatiserat register) menar vi att det sedvanliga sättet att ange vilka former av behandling som omfattas av tillämpningsområdet för en viss registerförfattning är förenligt med dataskyddsförord- ningen, i vart fall med beaktande av skäl 8. En annan fråga är om denna avgränsning av tillämpningsområdet numera är överflödig, särskilt om en hänvisning till dataskyddsförordningen införs i författningen. Vi menar dock att det fortfarande fyller en funktion att avgränsa tillämp- ningsområdet på detta sätt med tanke på att en begränsning av det också varit möjlig. Det blir också tydligare att ingen materiell ändring i tillämpningsområdet är avsedd.33

I vissa registerförfattningar kan bestämmelserna för person- uppgiftsbehandling vara tillämpliga även på andra typer av upp- gifter, exempelvis avseende juridiska personer. Sådana bestämmel- ser påverkas inte av dataskyddsförordningen, eftersom den inte innehåller reglering avseende något annat än personuppgifter.34

32Jfr SOU 2017:66 s. 207–209.

33Utredningen om 2016 års dataskyddsdirektiv har till exempel inte med motsvarande avgränsning i de registerförfattningar som omfattas av deras uppdrag. Avgränsningen framgår i stället av brottsdatalagen, som registerförfattningarna gäller utöver. Jfr vidare Fi2017/02899/S3 s. 65 f. och SOU 2017:66 s. 209.

34Jfr Fi2017/02899/S3 s. 65 f. och SOU 2017:66 s. 209.

58

Personuppgiftsansvar

Registerförfattningar anger ofta vem som är personuppgifts- ansvarig.

Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offent- lig myndighet, institution eller annat organ som ensamt eller till- sammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det står alltså klart att bestäm- melser som preciserar personuppgiftsansvaret inte förhindras av förordningen.35

Ändamålsbestämmelser

Att föreskriva för vilka ändamål personuppgiftsbehandling får utföras kan allmänt ses som en precisering av vilken person- uppgiftsbehandling som är tillåten. Ändamålsbestämmelser skulle kunna inordnas under medlemsstaternas allmänna möjlighet enligt artikel 6.2 att införa eller behålla ”mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna” i förordningen när det gäller behandling som grundar sig på artikel 6.1 c och e. En av principerna för personuppgiftsbehandling enligt förordningen är att behandling bara ska ske för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Ändamålsbegränsningar nämns också i artikel 6.3 som exempel på reglering som den rättsliga grunden för personuppgiftsbehandling kan innehålla. Dataskydds- utredningen konstaterar att förordningen inte kan anses ställa krav på att ändamål anges i nationell författning, men att den heller inte förhindrar en sådan ordning.36

I många fall torde ändamålsreglering kunna ses som inte bara en precisering av vad som gäller för personuppgiftsbehandlingen, utan också som (en del av) den rättsliga grunden för behandling i

35Jfr exempelvis SOU 2017:66 s. 213 f., Ds 2017:28 s. 108 f. och Ds 2017:19 s. 125 f.

36SOU 2017:39 s. 107.

59

enlighet med artikel 6.1 c och e. Inom ramen för sitt uppdrag att genomföra det nya dataskyddsdirektivet har Utredningen om 2016 års dataskyddsdirektiv väckt frågan om inte ändamålsbestämmelser snarast ska ses som rättsliga grunder för behandlingen och inte som en reglering av den ändamålsbestämning som ska göras för varje enskild behandling. Samma synsätt skulle i och för sig vara möjligt även beträffande ändamålsreglering inom dataskyddsförordningens tillämpningsområde. Vi återkommer till denna fråga i avsnitt 3.5.3 Oavsett hur man ser på ändamålsbestämmelser i detta avseende menar vi att det står klart att de, även i sin nuvarande utformning, är förenliga med dataskyddsförordningen.37

I vissa författningar kategoriseras ändamålen som primära och sekundära ändamål. Primära ändamål är utformade för att tillgodose myndighetens behov av att samla in och vidarebehandla personuppgifter i den verksamhet som omfattas av den aktuella registerförfattningens tillämpningsområde. Sekundära ändamål beskriver för vilka ändamål uppgifter får vidarebehandlas för att kunna lämnas ut, i första hand till andra myndigheter. De avser alltså att tillgodose behovet av information i en annan verksamhet än den egna. (Med vidarebehandling avses i det följande behandling för ett annat ändamål än det för vilket uppgifterna samlades in.)

Att primära och sekundära ändamålsbestämmelser reglerar vidarebehandling kan ses som en precisering av finalitetsprincipen och därmed även på den grunden anses förenliga med artikel 6.2.38 Just när det gäller vidarebehandling anser vi att det även bör uppmärksammas att artikel 6.4 tycks ställa särskilda krav på nationell rätt. Av bestämmelsen framgår att om nationell rätt medger vidarebehandling behöver inte den personuppgiftsansvarige göra någon självständig bedömning av om ett nytt ändamål är förenligt med det ursprungliga behandlingsändamålet. I artikeln anges dock att det i så fall ska vara fråga om nationell rätt som är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. Målen räknas upp i artikeln i punkterna a–j. Vissa är tämligen specifikt angivna, såsom nationell säkerhet eller tillsyn över myndighetsutövning. Det mest

37Jfr även exempelvis Ds 2017:33 s. 95 f., Ds 2017:28 s. 103 och SOU 2017:66 s. 224.

38Se exempelvis prop. 2011/12:45 s. 103. Även sekundära ändamålsbestämmelser som kan anses tillåta vidarebehandling för oförenliga ändamål torde kunna ses som förenliga med dataskyddsförordningen med stöd av skäl 50, se vidare Fi2017/02899/S3 s. 55 f.

60

generella målet, punkten e, torde vara det som oftast kommer i fråga för vidarebehandling av en myndighet. Det avser ett av

”unionens eller en medlemsstats viktiga mål av generellt allmänt intresse”. Eftersom både den utlämnande och den mottagande myndigheten i allmänhet får anses grunda sin personuppgifts- behandling på artikel 6.1 e (ett uppdrag av allmänt intresse) är frågan om det nu nämnda kravet på ett viktigt mål av allmänt intresse tillför något utöver vad som redan följer av att person- uppgiftsbehandlingen i allmänhet ska vara laglig. Möjligen kan uttrycket viktigt i sammanhanget uppfattas så. Dataskydds- utredningen har med anledning av ett annat krav på viktigt allmänt intresse, det i artikel 9.2 g, anfört att ett viktigt allmänintresse är att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt. Även om uttryckssätten är något olika i artikel 23.1 e och artikel 9.2 g, anser vi att man med ledning av utredningens uttalande kan dra slutsatsen att sekundära ändamålsbestämmelser som avser myndigheters möjlighet att vidarebehandla person- uppgifter får anses ha syften som motsvarar det som avses med viktiga mål av generellt allmänt intresse i artikel 23.1 e. Sekundära ändamålsbestämmelser får alltså i allmänhet anses förenliga även med dataskyddsförordningens artikel 6.4.39

Slutligen kan särskilt anmärkas att en sekundär ändamåls- bestämmelse inte sällan har innebörden att uppgifter får behandlas för att lämnas vidare till en i det nya dataskyddsdirektivets mening behörig myndighet i syfte att bekämpa brott, eller något annat sådant syfte som omfattas av det nya dataskyddsdirektivets tillämpningsområde. Att en sådan reglering är tillåten framgår av det ovan sagda. Just syftet att bekämpa brott nämns särskilt i artikel 23.1 d. Frågan om den mottagande behöriga myndigheten har rätt att behandla uppgifterna avgörs av om det finns en rättslig grund för behandling i enlighet med det nya dataskyddsdirektivet (jfr 2 kap. 1 § brottsdatalagen).

39 Jfr Fi2017/02899/S3 s. 56.

61

Utlämnande av personuppgifter

Frågor om utlämnande kan alltså, som beskrivits ovan, regleras av sekundära ändamålsbestämmelser. Många registerförfattningar inne- håller därtill bestämmelser om utlämnande av personuppgifter vars syfte är att möjliggöra ett uppgiftsutbyte som annars skulle förhindras av sekretess. Uppgiftsskyldighet mellan svenska myndigheter bryter exempelvis eventuell sekretess och kan förekomma i register- författningar (10 kap. 28 § offentlighets- och sekretesslagen). När det gäller utländska myndigheter föreskrivs normalt sett inte uppgiftsskyldighet utan att uppgifter får lämnas ut under vissa förutsättningar. Sådana bestämmelser innebär också att sekretess- belagda uppgifter kan lämnas (8 kap. 3 § offentlighets- och sekre- tesslagen).40

Även om sekretessbrytande bestämmelser inte i första hand reglerar förutsättningar för automatiserad personuppgiftsbehand- ling menar vi att de ändå får en sådan betydelse för personuppgifts- behandlingen att de bör ingå i en bedömning av regleringens förenlighet med dataskyddsförordningen. Sekretessbrytande bestämmelser möjliggör nämligen utlämnanden som annars inte hade kunnat komma i fråga. Uppgiftsskyldighet för en myndighet som för ett automatiserat register som innehåller personuppgifter kommer därtill alltid innebära en automatiserad personuppgifts- behandling för att kunna fullgöras.

Regler som syftar till att bryta sekretess får anses vara sådana preciseringar av principer om personuppgiftsbehandling som är tillåtna enligt artikel 6.2. Att automatiserat utlämnande kan regleras i nationell rätt har också stöd i artikel 6.3, där det nämns att den rättsliga grunden kan innehålla bestämmelser om till vilka

”enheter” personuppgifter får lämnas och för vilka ändamål. Även om sekretessbrytande bestämmelser inte är ändamålsbestämmelser i egentligen mening framgår ofta syftet med utlämnandet av bestämmelserna.41

Eftersom sekretessbrytande bestämmelser om utlämnande inte egentligen reglerar dataskyddsfrågor måste myndigheterna även ta

40Se exempelvis prop. 2009/10:85 s. 199 och 329.

41Jfr SOU 2017:74 s. 324 f., SOU 2017:66 s. 309–311 och Ds 2017:28 s. 123–125. Jfr även SOU 2015:39 s. 283 f. avseende förhållandet mellan myndigheters uppgiftsskyldighet och finalitetsprincipen.

62

ställning till den dataskyddsrättsliga regleringen för att avgöra om en automatiserad personuppgiftsbehandling kan vidtas för att utlämna uppgifterna. När det gäller automatiserade överföringar till tredje land regleras exempelvis sådana både i gällande rätt och i dataskyddsförordningen. Även om ett uppgiftsutlämnande som omfattar personuppgifter till ett tredje land i och för sig kan ske utan hinder av sekretess, måste alltså en prövning göras av om gällande dataskyddsbestämmelser avseende tredjelandsöverföring m.m. medger att uppgiftslämnandet sker automatiserat.42

Utlämnande för statistiska ändamål

Ibland regleras särskilt att uppgifter som behövs för statistik ska lämnas till en annan myndighet som ansvarar för sådan statistik. Att behandling för statistikändamål alltid ska anses förenlig med behandling för ursprungsändamålen framgår av artikel 5.1 b, om det sker i enlighet med artikel 89.1. I artikel 89.1 ställs särskilda krav på behandling för statiska m.fl. ändamål. Att utlämnandet till myndigheter som har särskilda uppdrag att behandla statistik regleras i en registerförfattning får anses förenligt med dataskydds- förordningen.

Vilka uppgifter som får behandlas

Registerförfattningar kan föreskriva vilka personuppgifter som får behandlas. Detta kan göras rent allmänt genom en bestämmelse om att möjligheten att behandla personuppgifter gäller de person- uppgifter som behövs för ett visst angivet ändamål. Mer precisa bestämmelser kan finnas i författningar som avser ett särskilt register, där en uppräkning ibland görs av de personuppgifter som ska ingå i registret (exempelvis namn, personnummer, adress etc).

I artikel 6.3 nämns uttryckligen att den rättsliga grunden kan innehålla bestämmelser om vilka uppgifter som får behandlas. Att föreskriva vilka uppgifter som får behandlas kan också uppfattas som en precisering som syftar till att följa principen om

42 Jfr prop. 2009/10:85 s. 202 f.

63

uppgiftsminimering i artikel 5.1 c och det följer därmed även av artikel 6.2 att nationell rätt kan innehålla sådana bestämmelser.43

När det gäller mer renodlade register över personer är det givetvis ofta så att det föreskrivs att personnummer ska ingå i registret. Vi återkommer till reglering av användning av person- nummer i det följande (avsnitt 2.5.5). Den särskilda regleringen av känsliga personuppgifter tar vi upp i avsnitt 2.5.6.

Elektroniskt utlämnande av personuppgifter m.m.

Registerförfattningar kan reglera vissa särskilda tekniska former av utlämnande, exempelvis s.k. direktåtkomst. Direktåtkomst är ett begrepp som kan sägas beskriva inte bara en teknisk lösning för att lämna ut uppgifter, utan också innebär ett utlämnande som får specifika rättsliga följder.44

I artikel 6.3 nämns särskilt ”typer av behandling och förfaranden för behandling”. Nationella bestämmelser som preciserar förutsätt- ningarna för elektroniskt utlämnande, inklusive direktåtkomst, får därmed anses förenliga med dataskyddsförordningen. Även andra bestämmelser som avser mer tekniska förfaranden med person- uppgifter, exempelvis samkörning av register, får anses förenliga med dataskyddsförordningen i enlighet med artikel 6.3 i denna del.45

Tillgång till personuppgifter inom myndigheten och sökbegränsningar

I registerförfattningar, särskilt i informationshanteringsförfatt- ningar, kan det finnas en reglering av den interna åtkomsten till personuppgifter, exempelvis vilka uppgifter som får göras gemen- samt tillgängliga. Med detta begrepp brukar avses tillgänglighet för en vidare krets tjänstemän inom myndigheten. Andra begränsande bestämmelser kan vara att det anges att åtkomst till person-

43Jfr Fi 2017/02899/S3 s. 85 f.

44Se vidare SOU 2015:39 s. 136–141.

45 Jfr Ds 2017:28 s. 125 och Fi 2017/02899/S3 s. 86 f. I SOU 2017:66 s. 287 f. och Ds 2017:41 s. 213 berörs frågan om skrivningen i skäl 31, som kan tolkas som att direkt- åtkomst inte skulle vara tillåten enligt dataskyddsförordningen. Utredningarna bedömer dock att skäl 31 inte kan uppfattas så, eller annars få till effekt att direktåtkomst inte skulle vara tillåten enligt dataskyddsförordningen. Vi delar denna bedömning.

64

uppgifter (både till gemensamt tillgängliga uppgifter eller uppgifter i ett specifikt register) för varje tjänsteman begränsas till vad som är nödvändigt för att han eller hon ska kunna fullgöra sin arbetsuppgift eller bestämmelser som reglerar behörigheter att ta del av personuppgifter.

En annan typ av reglering som kan sägas minska åtkomsten till personuppgifter är bestämmelser som begränsar sökmöjligheterna, exempelvis genom att ange att vissa sökbegrepp inte får användas.

Bestämmelser som på sådana sätt begränsar åtkomsten till person- uppgifter får ses som preciseringar av principen om uppgifts- minimering (artikel 5.1 c). Man kan också se dem som en precisering av principen om integritet och konfidentialitet (artikel 5.1 f). De bör alltså betraktas som tillåtna kompletteringar i nationell rätt enligt artikel 6.2 dataskyddsförordningen.46

Bevarande och gallring

Att personuppgifter inte får lagras i identifierbar form under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas är en grundläggande princip för behandling av personuppgifter enligt artikel 5.1 e. När det gäller bevarande för exempelvis arkivändamål anger samtidigt denna del av artikel 5.1 att sådant bevarande är tillåtet under förutsättning att bl.a. tekniska åtgärder säkerställer den registrerades rättigheter.

Gallringsbestämmelser kan ha formen av absoluta tidsgränser för när en uppgift ska tas bort eller när den inte längre får behandlas. Sådana bestämmelser får anses förenliga med data- skyddsförordningen, eftersom de preciserar principen om lagrings- tid i artikel 5.1 e. I artikel 6.3 i dataskyddsförordningen nämns också särskilt att lagringstid kan regleras i nationell rätt.

I samband med gallrings- eller bevarandebestämmelser kan också förekomma att regeringen eller den myndighet regeringen bestämmer ges rätt att meddela föreskrifter om bevarande eller gallring. Sådana bestämmelser är förenliga med dataskydds- förordningen, se även under nästa rubrik. Föreskrifter som i sig

46 Jfr SOU 2017:66 s. 285–288, Ds 2017:28 s. 142–145, Fi 2017/02899/S3 s. 89 och Ds 2017:41 s. 143 f.

65

avser preciseringar av vad som gäller för bevarande för arkiv- ändamål är förenliga med dataskyddsförordningen enligt vad som sagts ovan. Sådana föreskrifter bör också kunna ses som skyddsåtgärder som krävs enligt artikel 89.1.47

Det kan också förekomma bestämmelser som mer allmänt anger att personuppgifter inte får bevaras, alternativt ska gallras, när de inte längre behövs för de ändamål de behandlas för. Sådana bestämmelser är snarlika vad som redan följer av artikel 5.1 e i dataskyddsförordningen. När det gäller bestämmelser som anger att gallring ska ske menar vi dock att sådana tillför något utöver dataskyddsförordningens allmänna princip. En uttrycklig gallrings- bestämmelse får enligt svensk rätt till följd att personuppgifter får tas bort även om de ingår i allmänna handlingar.48 Utan sådana bestämmelser gäller som utgångspunkt att allmänna handlingar, även sådana som innehåller personuppgifter, ska bevaras. Den allmänna principen i dataskyddsförordningen medger att person- uppgifter bevaras för arkivändamål även efter det att det inte längre finns behov av att behandla dem för några andra ändamål. En uttrycklig gallringsbestämmelse, även om tidpunkten för gallring inte är bestämd i förväg, innebär alltså en precisering i förhållande till dataskyddsförordningen och kan därmed behållas med stöd av artikel 6.2 och 6.3.

Det kan förhålla sig annorlunda med bestämmelser som mer allmänt anger att bevarande av personuppgifter inte får ske, i en viss verksamhet eller i ett visst automatiserat system, om person- uppgifterna inte behövs för vissa ändamål. När personuppgifter avskiljts från en viss verksamhet eller från ett visst behandling- system är utgångspunkten fortfarande att de ska bevaras, såvitt de ingår i allmänna handlingar.49 När det gäller sådana bestämmelser kan man ifrågasätta om de tillför något utöver dataskydds- förordningens allmänna princip om lagringsminimering och om de därmed inte kan behållas i nationell rätt. Vi gör vidare över- väganden om en sådan bestämmelse i avsnitt 4.1.4.

Utredningen om 2016 års dataskyddsdirektiv har föreslagit en viss förändring i gallringsbestämmelser i de registerförfattningar

47Jfr exempelvis SOU 2017:66 s. 295–298 och Ds 2017:28 s. 177–181.

48Jfr prop. 2011/12:45 s. 79.

49Se exempelvis prop. 2013/14:110 s. 502, jfr prop. 2009/10:85 s. 207 och 210.

66

som omfattas av utredningens uppdrag. Utredningen anser att begreppet gallring i huvudsak inte bör användas i bestämmelser som avser dataskydd.50 Även Informationshanteringsutredningen har framfört liknande synpunkter på användningen av begreppet gallring.51 Dataskyddsförordningen hindrar inte att terminologin i detta avseende förändras i nationell rätt. Vi gör vidare över- väganden i avsnitt 4.1.5, 5.5 och 6.5.

När det slutligen gäller behandling för arkivändamål anses sådan behandling, som vi noterat inledningsvis, tillåten enligt artikel 5.1 under förutsättning att bl.a. tekniska åtgärder säkerställer den registrerades rättigheter. Vi menar att frågor om arkivering och vilka krav som dataskyddsförordningen ställer på eventuell behand- ling av personuppgifter i samband med arkivering inte omfattas av vårt uppdrag. Den rättsliga grunden för att arkivera följer inte i första hand av de registerförfattningar som ingår i vårt uppdrag, utan av bestämmelserna i tryckfrihetsförordningen och arkivlag- stiftningen.52 Vi gör bedömningen att förutsättningarna för myn- digheternas bevarande av allmänna handlingar inte har förändrats genom att dataskyddsförordningen ska tillämpas i stället för personuppgiftslagen.53

Bestämmelser om föreskriftsrätt m.m.

Registerförfattningar som är lagar ger ofta en rätt för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter i något eller flera avseenden som rör personuppgiftsbehandling, eller upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar sådana föreskrifter. Vi bedömer att sådana bestämmelser inte berörs av dataskyddsförordningen.54 Förord- ningen använder ofta uttryck som nationell rätt eller bestämmelser, se exempelvis artikel 6.2 eller 6.4. Som framgår av skäl 41 avses inte heller med uttrycket rättslig grund eller lagstiftningsåtgärd att det måste vara fråga om en lag antagen av ett nationellt parlament (jfr

50SOU 2017:74 s. 356–362.

51SOU 2015:39 s. 546 f. Se även utredningens allmänna reflektioner om bevarande- och gallringsbestämmelser i registerförfattning, a. a. s. 539–541.

52SOU 2017:39 s. 215 f.

53Jfr dock Ds 2017:41 s. 244–249.

54Jfr Ds 2017:33 s. 135.

67

avsnitt 2.5.2). Att frågor regleras i förordnings- eller föreskrifts- form får alltså anses vara förenligt med dataskyddsförordningen.

Vi har för övrigt inte funnit någon anledning att inom ramen för vårt uppdrag överväga frågor om normgivningskompetens. Det kan dock anmärkas att regeringens restkompetens enligt 8 kap. 7 § regeringsformen torde omfatta reglering av personuppgiftsbehand- ling så länge inte 2 kap. 6 § regeringsformen innebär att regleringen måste ha lagform.55

2.5.5Personnummer

Enligt artikel 87 i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identi- fikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Om behandling av identifikationsnummer tillåts på angivna särskilda villkor, ställer artikeln upp ett krav på att iden- tifikationsnumret ska användas med iakttagande av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter enligt förordningen.

Dataskyddsutredningen föreslår en nationell bestämmelse som uppställer villkor för behandling av personuppgifter i 3 kap. 13 § dataskyddslagen. Uppgifter om personnummer eller samordnings- nummer ska enligt bestämmelsen få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

I några av de författningar som ingår i vårt uppdrag finns bestämmelser som anger att personnummer ska eller får användas i vissa sammanhang. Det är i viss mån tveksamt om en sådan reglering innebär ett bestämmande av särskilda villkor för använ- dande i dataskyddsförordningens mening. Om det är fråga om ett sådant bestämmande av särskilda villkor ska skyddsåtgärder iakttas vid användandet. Om det inte är det, behöver någon bedömning av förekomsten av skyddsåtgärder inte göras.56

55Jfr SOU 2017:39 s. 84.

56Jfr SOU 2017:66 s. 257, Fi2017/02899/S3 s. 117, Ds 2017:28 s. 173 och Ds 2017:19 s. 165–

68

I många fall torde man kunna se en författningsreglering som påbjuder eller tillåter användandet av personnummer som en redan gjord avvägning av samma förhållanden som kommer att vara styrande vid tillämpningen av 3 kap. 13 § dataskyddslagen (eller den likalydande bestämmelsen i 22 § personuppgiftslagen) – dvs. det ska vara klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. En annan fråga är om en författningsreglering som kan sägas motsvara de krav dataskyddslagen ställer på behandling av personnummer, utan vidare kan anses uppfylla även dataskyddsförordningens krav på sådan behandling.57

Trots att det kan diskuteras hur man ska se på dataskydds- förordningens krav i artikel 87 och på vilket sätt de kan anses uppfyllda, har vi valt att göra vissa överväganden kring vad som kan betraktas som skyddsåtgärder när det gäller de författningar som ingår i vårt uppdrag och som i någon mening reglerar användandet av personnummer. Dataskyddsutredningen menar att kravet i detta avseende inte kan vara särskilt högt ställt och att det torde finnas ett stort utrymme för medlemsstaterna att bestämma vilka skyddsåtgärder som behövs.58

2.5.6Känsliga personuppgifter

Behandlingen av särskilda kategorier personuppgifter är särskilt reglerad i artikel 9. Med särskilda kategorier av uppgifter avses bl.a. sådana som enligt personuppgiftslagen och andra registerförfatt- ningar i dag brukar kallas känsliga personuppgifter, alltså uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, hälsa eller sexualliv. Utöver dessa uppgifter gäller förordningens särskilda reglering för genetiska och biometriska uppgifter samt för uppgifter om sexuell läggning. I det följande används begreppet känsliga personuppgifter som beteckning för de uppgiftskategorier som räknas upp i dataskyddsförordningens artikel 9.1. En motsvarande särreglering gäller enligt det nya dataskyddsdirektivet

57Se även föregående not.

58SOU 2017:39 s. 199.

69

(artikel 10). Både Dataskyddsutredningen och Utredningen om 2016 års dataskyddsdirektiv föreslår att känsliga personuppgifter ska användas som begrepp för de uppgifter som avses med särregleringen i EU-rättsakterna (3 kap. 1 § dataskyddslagen och 2 kap. 13 § brottsdatalagen).

Utgångspunkten enligt artikel 9 är att behandling av känsliga personuppgifter är förbjuden. Från förbudet görs dock vissa undantag i artikel 9.2. Det undantag som i första hand blir aktuellt för personuppgiftsbehandlingen inom offentlig sektor är 9.2 g – behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Den nationella rätten ska i så fall uppfylla vissa krav, bl.a. ska den vara förenlig med det väsentliga innehållet i rätten till dataskydd.

Dataskyddsutredningen har närmare analyserat vilka krav som ställs för att göra undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter. Utredningen föreslår en generell reglering som gäller myndigheters behandling av känsliga personuppgifter i 3 kap. 3 § dataskyddslagen. Vidare föreslår utredningen en begränsning av sökmöjligheterna såvitt avser sådana personuppgifter (3 kap. 4 § dataskyddslagen). Som Dataskydds- utredningen påpekar innebär regleringen i dataskyddslagen att sektorsspecifika författningar ytterligare kan precisera och avgränsa möjligheterna att behandla känsliga personuppgifter. En reglering som ger utrymme för en behandling i större omfattning än de generellt tillämpliga bestämmelserna i dataskyddslagen är också tänkbar, givetvis under förutsättning att den är förenlig med dataskyddsförordningen. I vårt arbete har vi i första hand jämfört befintliga bestämmelser med dataskyddslagens reglering. Så länge en annan reglering ger uttryck för samma restriktivitet som dataskyddslagens anser vi att man kan utgå ifrån att den också är förenlig med dataskyddsförordningen.

70

2.5.7Bestämmelser som inte kan behållas

Hänvisningar till personuppgiftslagen

I och med att personuppgiftslagen upphävs59 måste bestämmelser som hänvisar till den lagen tas bort, antingen genom att paragrafer upphävs eller genom att de får ett nytt innehåll.

Som tidigare redogjorts för är en vanligt förekommande hän- visning till personuppgiftslagen en upplysande bestämmelse om att en registerförfattning gäller utöver personuppgiftslagen.

En annan vanligt förekommande hänvisning till personuppgifts- lagen gäller bestämmelser om rättelse och skadestånd. Vi åter- kommer i avsnitt 2.5.9 till om det finns ett behov av att införa motsvarande hänvisningar till dataskyddsförordningen.

Skyldighet att utse personuppgiftsombud

Av registerförfattningar framgår ibland en skyldighet för den personuppgiftsansvarige att utse personuppgiftsombud.

I personuppgiftslagen definieras begreppet personuppgiftsombud (3 §). Att det finns ett personuppgiftsombud påverkar bl.a. anmälningsskyldigheten avseende behandling enligt 36 §. Bestäm- melserna genomför 1995 års dataskyddsdirektiv.60

I dataskyddsförordningen finns i stället bestämmelser om data- skyddsombud (artikel 37). Av förordningen framgår en direkt skyldighet att utse ett ombud om personuppgiftsbehandling genomförs av en myndighet eller ett offentligt organ (37.1 a). Eftersom förordningen är direkt tillämplig måste bestämmelser om personuppgiftsombud tas bort.

59SOU 2017:39 s. 49 (förslaget till dataskyddslag, ikraftträdande och övergångsbestäm- melser p 2) och s. 78.

60Om bakgrunden till regleringen, se SOU 1997:39 s. 427 f. I 1995 års dataskyddsdirektivs svenska språkversion kallas ombudet för uppgiftsskyddsombud, men en annan terminologi föreslogs av Datalagskommittén (persondataombud) och sedan av regeringen (personuppgifts- ombud), prop. 1997/98:44 s. 97 f.

71

2.5.8Den enskildes rättigheter

Dataskyddsförordningens reglering av enskildas rättigheter

Dataskyddsförordningen innehåller bestämmelser om den enskildes rätt till rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18) och rätt att göra invändningar mot behandling (artikel 21). Motsvarigheter till dessa rättigheter finns även upptagna i 1995 års dataskyddsdirektiv (artikel 12 b och artikel 14). Redan i dag har därför den enskilde enligt personuppgiftslagen rätt att få person- uppgifter rättade, raderade eller blockerade om de behandlas i strid med personuppgiftslagen (28 §). Bestämmelsen genomför artikel 12 b i dataskyddsdirektivet. Artikel 14 i 1995 års dataskyddsdirektiv, rätten att göra invändningar, genomfördes däremot inte i personupp- giftslagen, utom såvitt avser rätten att invända mot direktreklam. Redan p.g.a. att det enligt gällande svensk rätt inte finns någon generell rätt att göra invändningar mot personuppgiftsbehandling innebär alltså dataskyddsförordningens reglering en nyhet. Man kan vidare övergripande konstatera att dataskyddsförordningens bestäm- melser avseende enskildas rättigheter i vart fall är utförligare beskrivna än nuvarande bestämmelser i personuppgiftslagen och 1995 års dataskyddsdirektiv.61 Det finns därmed anledning att närmare analysera dataskyddsförordningens innebörd. Om förordningen innebär att den enskilde genom att åberopa sina rättigheter kan för- hindra eller försvåra personuppgiftsbehandlingen vid någon myndig- het finns nämligen anledning att överväga att utnyttja förordningens möjligheter till inskränkningar, som framgår av artikel 23. Samtidigt ska understrykas att den enskildes rättigheter fyller en viktig funktion ur rättsäkerhetssynpunkt. Det finns visserligen en risk för att effekti- viteten i en myndighets arbete påverkas av om enskilda kan vända sig till myndigheten med olika krav. För att det ska kunna komma i fråga att begränsa den enskildes rättigheter i något avseende bör det dock vara fråga om att det finns en mer konkret risk för betydande effekti- vitetsförluster. Detta skulle kunna sägas framgå av artikel 23 och möjligheterna till begränsningar, som bl.a. anger att inskränkningar ska vara nödvändiga och proportionella i förhållande till syftet med inskränkningarna.62

61Jfr SOU 2017:66 s. 196 f.

62Jfr Ds 2017:28 s. 167 f., Fi2017/02899/S3 s. 111 och SOU 2017:39 s. 207.

72

I det följande tar vi inte upp rätten till dataportabilitet (artikel 20), eftersom den gäller endast då personuppgifter behand- las på grund av samtycke eller avtal (se punken a i artikel 20.1). Vi berör inte heller frågor om automatiserat beslutsfattande (artikel 22) eftersom artikeln inte innebär att den enskilde kan begära att någon viss åtgärd vidtas av den personuppgiftsansvariga myndigheten. Såvitt vi vet förekommer inte heller något automa- tiserat beslutsfattande inom ramen för verksamheten hos de myndigheter som berörs av vårt uppdrag.

Vi gör inte heller någon närmare analys av dataskydds- förordningens bestämmelser om information (artiklarna 13–15). Även om förordningens reglering är mer detaljerad, överens- stämmer de grundläggande förutsättningarna för informations- lämnande med den nuvarande ordningen enligt 23–26 §§ person- uppgiftslagen. Det kan noteras att både artikel 13 och 14 innehåller en bestämmelse om undantag från informationsskyldigheten avse- ende information som den registrerade redan förfogar över (jfr 25 § andra stycket personuppgiftslagen – information behöver inte lämnas om sådant som den registrerade redan känner till). Artikel 14 (14.5 b och c) innehåller också undantag för informa- tionslämnande som skulle medföra en oproportionerlig ansträng- ning och då erhållande eller utlämnande av uppgifter uttryckligen föreskrivs i nationell rätt, under förutsättning att nationell rätt föreskriver lämpliga åtgärder för att skydda den registrerades berättigade intressen. Regleringen i denna del är jämförbar med 24 § personuppgiftslagen.

När det gäller informationslämnande gör vi dock överväganden avseende vissa specifika undantag från informationsplikten som i dag finns i kustbevakningsdatalagen, se vidare avsnitt 3.5.6.

Slutligen kan nämnas att den enskilde också har rätt till information om personuppgiftsincidenter enligt artikel 34, en rättighet som i och för sig är möjlig att inskränka enligt artikel 23. Vi har inte sett några skäl till inskränkningar som särskilt hänför sig till de verksamheter som berörs av vårt uppdrag.63 Redan av artikeln framgår att informationsplikten är begränsad på olika sätt, bl.a. inträder informationsplikt först vid ”höga risker” för enskildas rättigheter och den behöver heller inte fullgöras om tekniska eller

63 Jfr den bedömning som görs i Ds 2017:41 s. 194 f.

73

organisatoriska åtgärder redan genomförts av den personuppgifts- ansvarige. Om det blir aktuellt att lämna information om person- uppgiftsincidenter torde sådan information kunna utformas så att sekretessbelagda uppgifter inte lämnas ut (se t.ex. 18 kap. 8 § offentlighets- och sekretesslagen)

Rättelse och komplettering (artikel 16)

De flesta registerförfattningar hänvisar i dag till skyldigheten enligt personuppgiftslagen att rätta personuppgifter på begäran av den enskilde. Samma rättighet framgår av den första meningen i artikel 16. Denna rättighet innebär alltså inte någon förändring i förhållande till gällande rätt och det finns ingen anledning att inom ramen för vår utredning överväga om det finns skäl att göra inskränkningar i den.64

Artikel 16 innehåller också en nyhet genom att den föreskriver en rätt för den enskilde att få ofullständiga personuppgifter kompletterade ”bland annat genom att tillhandahålla ett komplet- terande utlåtande”. Rättigheten ska utövas ”med beaktande av ändamålet med behandlingen”. En motsvarande rättighet finns i det nya dataskyddsdirektivet.65 Som Utredningen om 2016 års data- skyddsdirektiv påpekar är det i viss mån oklart hur denna rättighet ska tolkas. Som utredningen anför följer det redan av förvalt- ningslagen att en enskild har rätt att ge in en skrivelse till en myndighet och där utveckla exempelvis skälen för en begäran. Utredningen anser att svensk rätt alltså redan kan anses uppfylla de EU-rättsliga kraven i denna del.66 Vi anser att det är rimligt att tolka bestämmelsen i dataskyddsförordningen på samma sätt som Utredningen om 2016 års dataskyddsdirektiv tolkar den motsvar- ande bestämmelsen i det nya dataskyddsdirektivet. Som ett tillägg

64Eftersom dataskyddsförordningen inte uttrycker rättigheten annorlunda än 1995 års dataskyddsdirektiv bör innebörden av rättigheten kunna tolkas i enlighet med den nuvarande rätten till rättelse, se exempelvis SOU 2015:39 s. 569. Rättigheten motsvaras också av artikel 16.1 i det nya dataskyddsdirektivet som kommer att genomföras i brottsdatalagen. Den närmare innebörden behandlas i SOU: 2017:29 s. 403 f.

65I de svenska språkversionerna av direktivet respektive förordningen används olika uttryckssätt i artiklarna – kompletterande utlåtande i förordningen och kompletterande inlaga i direktivet. Det torde inte finnas någon skillnad i betydelse, eftersom den engelska språkversionen använder samma uttryck i båda rättsakterna – supplementary statement.

66SOU 2017:29 s. 404.

74

anser vi att rätten till komplettering inte kan uppfattas som en möjlighet för en enskild att komplettera uppgifter genom att tillföra uppgifter till ett författningsreglerat register. Om det i författningen regleras vilka uppgifter registret ska innehålla och uppgifterna om den registrerade inte är ofullständiga i förhållande till författningens krav, innebär alltså inte artikel 16 någon rätt för den registrerade att föra in ytterligare uppgifter i registret. I sådana fall är omfattningen av vilka personuppgifter som ska behandlas redan övervägd med beaktande av ändamålet med behandlingen. Oavsett detta kan givetvis den registrerade ge in ett utlåtande till myndigheten med sina synpunkter på den aktuella behandlingen.

Rätten till radering (artikel 17)

Även rätten till radering finns enligt gällande rätt genom 28 § personuppgiftslagen – uttrycket utplåning i den bestämmelsen får anses innebära samma sak som radering.

Artikel 17 anger dock, till skillnad från 28 § personuppgiftslagen och det bakomliggande dataskyddsdirektivet (artikel 12 b), på ett utförligt sätt i vilka situationer den enskilde har rätt till radering. Samtidigt finns ett undantag från rätten till radering i artikel 17.3 som anger att punkten 1 (och 2) inte ska gälla i den utsträckning behandlingen är nödvändig för att bl.a. uppfylla en rättslig för- pliktelse i enlighet med medlemsstaternas nationella rätt eller för att utföra en uppgift av allmänt intresse eller vid myndighets- utövning. De grunder för behandling som anges i artikel 17.3 är alltså desamma som gör en behandling laglig i enlighet med artikel 6.1 c eller e. Med andra ord kan den registrerade inte framtvinga utplåning av personuppgifter som behövs för myndigheternas författningsreglerade verksamhet. Det kan tilläggas att behandling av personuppgifter som behövs för diarieföring eller för bevarande av allmänna handlingar alltid bör kunna betraktas som laglig med hänvisning till ett allmänt intresse, även om sådan behandling inte alltid behövs för myndighetens kärnverksamhet och därmed inte omfattas av någon författningsreglering som gäller specifikt för den aktuella myndigheten.

Vi anser alltså inte att det finns några skäl att inom ramen för vår utredning föreslå några inskränkningar i rätten till radering

75

enligt artikel 17. Det ska poängteras att detta inte står i någon motsättning till att skyldigheten att rätta personuppgifter ibland kan innebära att personuppgifter måste raderas från en viss informationssamling, exempelvis från ett register.67

Begränsning av behandling (artikel 18)

Rätten att få behandlingen av personuppgifter begränsad följer av artikel 18. Begreppet begränsning definieras i artikel 4.3 som en

”markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden”.

Dagens motsvarighet till begränsning är blockering enligt 28 § personuppgiftslagen. Den begränsning av behandling som avses med blockering är dock endast att personuppgifterna inte ska lämnas ut till tredje man. Av artikel 18.2 följer att begränsning i princip innebär att behandling av personuppgifterna utöver lagring inte längre får ske, utom i vissa undantagsfall.68 Rätten till begränsning är alltså inte helt jämförbar med rätten till blockering enligt gällande rätt.

Enligt artikel 18.1 finns det olika förutsättningar under vilka den registrerade har rätt att kräva begränsning av behandlingen. En av dem (punkten b) är att behandlingen är olaglig, men att den registrerade motsätter sig att uppgifterna raderas. En behandling av personuppgifter som är olaglig måste under alla förhållanden upphöra, i vart fall behandling utöver att uppgifterna i någon form bevaras, exempelvis därför att de behandlade uppgifterna förekom- mer i allmänna handlingar.69 Begränsning utesluter dock inte, som nämnts, att uppgifterna bevaras. Rätten till begränsning i samband

67Jfr SOU 2017:29 s. 405 och den däri gjorda hänvisningen till JO 2007/08 s. 67.

68Definitionen av begreppet begränsning görs på samma sätt i det nya dataskyddsdirektivet som i dataskyddsförordningen. Som Utredningen om 2016 års dataskyddsdirektiv anför framstår definitionen av begreppet som missvisande, bl.a. med beaktande av direktivets skäl

47(SOU 2017:29 s. 409). Begränsning av behandling tas upp även i skälen till data- skyddsförordningen (skäl 67) på samma sätt som i direktivets skäl 47. Utformningen av artikel 18.2 i förordningen, som inte har någon motsvarighet i direktivet, klargör ytterligare att begränsning måste vara en åtgärd som rent faktiskt gör att personuppgifterna inte behandlas vidare, oavsett hur detta åstadkoms.

69Ett exempel som ges av Utredningen om 2016 års dataskyddsdirektiv är tillvägagångsättet när det gällde polisens s.k. kringresanderegister – det olagliga registret togs bort, men två kopior sparades bl.a. för att kunna användas som bevisning (SOU 2017:29 s. 410 och vidare SOU 2015:39 s. 574 f. och 645 f.)

76

Ds 2017:58 Utgångspunkter

med olaglig behandling behöver alltså inte inskränkas som vi ser det.

En annan situation då behandlingen ska begränsas är om den personuppgiftsansvarige inte längre behöver personuppgifterna för behandling, men den registrerade behöver dem bl.a. för att göra gällande rättsliga anspråk (punkten c). Även i en sådan situation framstår det som självklart att behandlingen ska begränsas – det är ju inte lagligt att fortsätta behandla personuppgifter om det inte finns ett godtagbart ändamål med behandlingen. Att göra någon generell inskränkning i den registrerade rätt till begränsning av behandlingen i en sådan situation framstår därmed inte heller som befogat.

En tredje förutsättning för begränsning av behandlingen är att den registrerade bestrider uppgifternas korrekthet och den person- uppgiftsansvarige behöver tid att kontrollera deras riktighet. Vi anser inte att begränsningskravet i en sådan situation generellt kan sägas innebära en sådan olägenhet i en myndighets verksamhet att rättigheten behöver inskränkas. Det framstår som tämligen själv- klart att en myndighet kontrollerar uppgifters korrekthet oavsett om det är den enskilde själv eller någon annan som framför omständigheter som tyder på att uppgifterna inte stämmer. Detta följer inte minst av den personuppgiftsansvariges allmänna skyl- dighet att se till att personuppgifter är korrekta. Att behandlingen av uppgifterna, utöver att de bevaras, inte fortsätter under den tid det tar att fastställa riktigheten framstår även det som självklart. Det kan noteras att skyldigheten att begränsa behandlingen av personuppgifter inom det nya dataskyddsdirektivets tillämpnings- område (se artikel 16.3 i direktivet) kommer att gälla under i princip samma förutsättningar som enligt dataskyddsförordningens artikel 18.1 a och c och att det enligt direktivet inte finns några möjligheter att inskränka den personuppgiftsansvariges skyldig- heter i det avseendet. 70

Slutligen ska behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1. Vi återkommer i

70 Angående vad som är en korrekt uppgift, jfr SOU 2017:29 s. 258. Särskilt att märka är att personuppgifter som hänför sig till någons subjektiva uppfattning om något (exempelvis en förhörsutsaga) inte är oriktiga av det skälet att någon annan hävdar att de inte överensstämmer med verkligheten, inte ens om de rent faktiskt inte överensstämmer med verkligheten. Korrektheten har i sådana fall att göra med att utsagan återges på korrekt sätt.

77

nästa stycke till den närmare innebörden av artikel 21.1. Person- uppgiftsbehandlingen ska begränsas under den tid det tar för den personuppgiftsansvarige att visa att förutsättningar att upphöra med behandlingen p.g.a. den registrerade invändning inte före- ligger. Eftersom vi inte ser något generellt behov att inskränka rätten till invändningar enligt artikel 21.1 anser vi inte heller att rätten till begränsning bör inskränkas i det avseendet.

Det ska också noteras att det enligt artikel 18.2 finns möjligheter att fortsätta att behandla uppgifter trots att förutsätt- ningarna för begränsning föreligger, om det sker av skäl som rör ett viktigt allmänintresse i en medlemsstat. Vi har tidigare diskuterat om det som avses med viktigt allmänintresse kan antas skilja sig från vad som avses med allmänt intresse, uttryckssättet som används i artikel 6.1 e. Samma frågeställning aktualiseras när det gäller artikel 18.2. Vi hänvisar återigen till Dataskyddsutredningens bedömning att det får anses vara ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt.71 Med en sådan utgångspunkt torde det finnas tämligen långtgående möjligheter att fortsätta behandla person- uppgifter trots att behandlingen ska begränsas. Under alla för- hållanden menar vi att myndighetens skyldigheter enligt tryck- frihetsförordningen måste anses vara viktiga allmänna intressen och att myndigheten måste kunna behandla personuppgifter för att exempelvis lämna ut allmänna handlingar även om person- uppgiftsbehandlingen i övrigt ska begränsas.

Rätt att göra invändningar (artikel 21)

Enligt artikel 21 har den enskilde rätt att när som helst göra invändningar mot personuppgiftsbehandling som grundar sig på artikel 6.1 e eller f. Om en myndighet alltså har en rättslig förpliktelse (artikel 6.1 c) att föra exempelvis ett visst register, gäller inte rätten till invändningar enligt artikel 21.

Om den personuppgiftsansvarige, efter invändning från den registrerade, inte kan visa på tvingande berättigade skäl för

71 SOU 2017:39 s. 173 f.

78

behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk, får den personuppgiftsansvarige inte längre behandla personuppgifter avseende den registrerade. Som det får förstås ska den registrerades intressen etc. hänföra sig till den registrerades egen ”specifika situation” i enlighet med ut- tryckssättet i artikelns inledande mening. Som nämnts är artikel 21 kopplad till artikel 18 på så sätt att personuppgiftsbehandlingen också ska begränsas under den tid som behövs för att den person- uppgiftsansvarige ska kunna kontrollera om det finns berättigade skäl att fortsätta behandlingen (artikel 18.1 d).

Rätten till invändningar har en motsvarighet i 1995 års data- skyddsdirektiv, artikel 14, som också ger den registrerade rätt att göra invändningar och anger att personuppgiftsbehandlingen ska upphöra om skälen för invändningen är berättigade. Denna rättighet gäller dock endast om nationell rätt inte föreskriver något annat. Den generella rätten till invändningar genomfördes därför inte i personuppgiftslagen, utan i stället följer av 12 § andra stycket att den registrerade inte har rätt att invända mot behandling som är tillåten enligt lagen, utom i de fall då behandlingen grundar sig på samtycke (12 § första stycket) eller rör direkt marknadsföring (11 §).72

Rent allmänt finns det givetvis skäl för att personuppgifts- behandling vid en myndighet ska kunna fortgå även om den enskilde gör invändningar mot den. Artikel 21 innebär dock inget annat än att behandlingen också kan fortsätta, om inte den registrerades berättigade intressen av att behandlingen upphör väger tyngre än skälen för behandling. Det är svårt att avgöra på förhand i vilka fall ett berättigat intresse kan väga tyngre än allmänintresset av att personuppgiftsbehandlingen får fortgå. Möjligheten att göra invändningar kan innebära att en extra kontroll behövs av om personuppgiftsbehandlingen sker på ett lagligt och korrekt sätt och i övrigt verkligen behövs i det enskilda fallet. För invändningar som är helt obefogade torde det i många fall vara tillräckligt att hänvisa till de författningar som ger stöd för personuppgiftsbehandlingen för att det ska anses visat att intresset av behandling väger tyngre.

72 Se vidare prop. 1997/98:44 s. 122 f. och 65.

79

Inom ramen för vårt uppdrag ser vi därmed inga generella skäl att göra inskränkningar i rätten att göra invändningar enligt artikel 21.

Sammanfattning

Den enskildes rättigheter enligt dataskyddsförordningen innebär alltså sammanfattningsvis att den enskilde får i viss mån utökade möjligheter att invända mot behandling och få behandling begränsad, i vart fall under viss tid. Vi kan inte se att den enskildes möjligheter i dessa avseenden förhindrar sådan personuppgifts- behandling som är laglig och som behövs för att myndigheter ska kunna bedriva sin verksamhet. Att den enskilde ges vissa utökade rättigheter kan givetvis i några fall leda till att enskilda gör invändningar eller begär begränsning av behandling som senare visar sig vara obefogade. Enbart av det skälet finns det inte anledning att göra inskränkningar i den enskildes rättigheter, och det torde heller inte vara möjligt, eftersom inskränkningar endast kan vidtas under de förutsättningar som anges i artikel 23.

2.5.9Behovet av nya bestämmelser

Statiska eller dynamiska hänvisningar till dataskyddsförordningen?

För att en registerförfattning ska kunna tillämpas tillsammans med dataskyddsförordningen behövs i vissa fall hänvisningar till förord- ningens artiklar. En fråga som då ska övervägas är om hänvisningar ska göras till dataskyddsförordningen i den lydelse den har vid en viss tidpunkt (statiska hänvisningar) eller om hänvisningar ska avse dataskyddsförordningens vid varje tidpunkt gällande lydelse (dynamiska hänvisningar).

De bestämmelser vi föreslår som hänvisar till dataskydds- förordningen är av upplysande karaktär eller så begränsar eller preciserar de förordningens tillämpning på något område. Eftersom förordningen är direkt tillämplig finns det inga möjligheter för svenska myndigheter att i praktiken tillämpa en äldre lydelse av förordningen. Dynamiska hänvisningar i bestämmelser som har ett materiellt innehåll får visserligen ses över om innehållet i data- skyddsförordningen ändras. Genom en dynamisk hänvisnings-

80

teknik behöver dock lagstiftningen inte ändras om inte den förändrade lydelsen av förordningen också innebär någon för- ändring i sak.73 Det kan tilläggas att även om förordningen ändras i sak är det inte säkert att det finns något utrymme för att precisera eller begränsa dess tillämpning på något annat sätt än som redan gjorts. Även i sådana fall kan man med dynamiska hänvisningar undvika att göra lagändringar endast av formella skäl. Vi använder oss alltså i samtliga fall av en dynamisk hänvisningsteknik. Det kan tilläggas att även Dataskyddsutredningen i huvudsak använder sig av dynamiska hänvisningar, liksom flera andra utredningar som behandlar anpassningar till dataskyddsförordningen.74

Upplysande bestämmelse om dataskyddsförordningen

Som tidigare nämnts innehåller en hel del registerförfattningar i dag en bestämmelse som anger att registerförfattningen gäller utöver personuppgiftslagen. Syftet med sådana bestämmelser är att upplysa om den övergripande lagstiftningen. Även om det inte uttryckligen anges i en registerförfattning kommer person- uppgiftslagen att vara tillämplig, så länge inte registerförfattningen innehåller en avvikande reglering. I och med EU:s dataskydds- reform kommer det att vara antingen dataskyddsförordningen eller brottsdatalagen som ska tillämpas som det generella regelverket, beroende på vilket tillämpningsområde en viss sorts behandling omfattas av. Behovet av en upplysande bestämmelse om vilken övergripande reglering som är tillämplig har alltså snarast ökat i och med reformen. Flertalet andra utredningar har konstaterat att det finns ett behov att införa en bestämmelse om att en register- författning kompletterar dataskyddsförordningen. Vi delar i huvu- dsak den bedömningen. I vissa fall framstår dock en upplysande bestämmelse som överflödig. Det gäller författningar som i dag inte innehåller någon upplysande bestämmelse om förhållandet till personuppgiftslagen. För vissa författningar som ingår i vårt upp- drag gäller dessutom att de inte i första hand reglerar person- uppgiftsbehandling, utan andra frågor. Den personuppgifts-

73Jfr prop. 2015/16:156 s. 34.

74SOU 2017:39 s. 80–82 och jfr exempelvis Ds 2017:19 s. 104, Fi2017/02899/S3 s. 63 och Ds 2017:26 s. 36.

81

behandling som kan bli aktuell till följd av sådana författningar framstår också ofta som mindre omfattande och väl avgränsad. Det skulle därmed endast tynga författningstexten att införa upp- lysande bestämmelser, som dessutom skulle ha ett begränsat värde för tillämparen.

Bestämmelser om förhållandet till dataskyddslagen

När det gäller förhållandet till dataskyddslagen föreslår vidare flertalet utredningar att denna lag också tas upp i en upplysande bestämmelse gällande dataskyddsförordningen. Eftersom data- skyddslagen kommer att innehålla bestämmelser som mer generellt kompletterar dataskyddsförordningen menar även vi att en upp- lysande bestämmelse som hänvisar till dataskyddsförordningen bör ta upp dataskyddslagen.

Dataskyddslagen innehåller de generella bestämmelser som Dataskyddsutredningen ansett vara nödvändiga och lämpliga för att komplettera dataskyddsförordningen i svensk rätt. Den riktar sig inte endast till myndigheter. En del bestämmelser i dataskydds- lagen kommer inte att vara aktuella att tillämpa för vissa myndigheter, beroende på vilken verksamhet som ingår i deras uppdrag. Myndigheternas registerförfattningar kan också komma att innehålla avvikande bestämmelser, exempelvis om känsliga personuppgifter. När det gäller förhållandet till dataskyddslagen hade man därmed kunnat tänka sig en reglering som utgår ifrån att en viss registerförfattning gäller i stället för dataskyddslagen, om inte vissa bestämmelser uttryckligen anges som tillämpliga. Denna teknik har använts avseende personuppgiftslagens tillämplighet, framför allt i registerförfattningar som reglerar personuppgifts- behandlingen hos brottsbekämpande myndigheter. En fördel med denna lagtekniska lösning har ansetts vara att den är tydligare och underlättar för tillämparen.75 En viss ökad tydlighet skulle visser- ligen kunna uppnås med att välja en liknande teknik beträffande registerförfattningars förhållande till dataskyddslagen. Samtidigt utgör dataskyddslagen endast en begränsad del av den övergripande

75 Se exempelvis prop. 2004/05:164 s. 47 f., prop. 2009/10 :85 s. 80 f. och prop. 2011/12 :45 s. 76 f.

82

reglering som myndigheterna måste tillämpa framöver, eftersom dataskyddsförordningen samtidigt är direkt tillämplig. Att låta en registerförfattning gälla i stället för dataskyddslagen innebär därtill ett behov av att se över registerförfattningen varje gång dataskyddslagen ändras, så att inte hänvisningarna blir felaktiga eller missvisande.76 Vi har därför stannat för att inte använda en sådan lagstiftningsteknik, utan föreslår hänvisningar som upplyser om att dataskyddslagen gäller, om inte något annat följer av den aktuella registerförfattningen eller föreskrifter meddelade med stöd av den. När det gäller lagen (2000:344) om Schengens informa- tionssystem har vi dock gjort en till viss del annan bedömning, se vidare avsnitt 7.4.

Tillsyn

Bestämmelser om tillsyn finns i dag i personuppgiftslagen. När dataskyddsförordningen ska börja tillämpas kommer tillsyns- bestämmelser att finnas i förordningen i stället. Av 6 kap. 1 § dataskyddslagen kommer därtill att framgå att tillsynsmyndigheten har befogenheter som avser både efterlevnaden av dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. I 6 kap. dataskyddslagen finns vissa andra bestämmelser som Dataskyddsutredningen föreslår som komplement till dataskydds- förordningen och som avser tillsyn. Vi bedömer att det inte finns något behov av några ytterligare hänvisningar eller bestämmelser som avser tillsyn än vad som föreslås av Dataskyddsutredningen.77

Skadestånd och rättsmedel

Av 8 kap. 1 § dataskyddslagen framgår att rätten till skadestånd enligt dataskyddsförordningen också gäller vid överträdelse av dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Det behövs alltså inga hänvisningar till dataskyddsförordningen avseende skadestånd i registerförfatt- ningar som kompletterar förordningen (jfr motsatsvis dagens

76Jfr Lagrådets kritik av ”i stället för”-tekniken i prop. 2000/01:33 s. 345 f.

77Jfr Ds 2017:26 s. 62 f., Fi2017/02899/S3 s. 124 och SOU 2017:66 s. 298 f.

83

hänvisningar till personuppgiftslagen, som dock beror på att skadestånd i enlighet med bestämmelsen där endast gäller för behandling ”enligt denna lag”).78

Beslut om rättelse m.m. avseende personuppgiftsbehandling enligt en registerförfattning kommer att fattas med direkt tillämp- ning av dataskyddsförordningen. Sådana beslut kommer därmed att kunna överklagas med stöd av 8 kap. 2 § dataskyddslagen. Det finns alltså inget behov att införa några bestämmelser om över- klagande i registerförfattningar, i vart fall inte i dem som omfattas av vårt uppdrag.79

Sanktionsavgifter

Enligt artikel 83 i dataskyddsförordningen får tillsynsmyndigheten fatta beslut om sanktionsavgifter. Även myndigheter föreslås kunna bli skyldiga att betala sanktionsavgifter enligt 7 kap. 1 § dataskyddslagen.

Av artikel 83.5 b följer att sanktionsavgifter kommer att kunna åläggas om den enskildes rättigheter enligt artikel 12–22 åsidosatts. Dessa artiklar kommer att tillämpas direkt av myndigheterna och sanktionsavgifter kan alltså komma ifråga i sådana fall även utan att någon hänvisning görs till dataskyddsförordningen eller data- skyddslagen.

Av artikel 83.5 a följer att sanktionsavgift ska kunna åläggas om en personuppgiftsansvarig bryter mot grundläggande principer för behandling enligt, såvitt nu är av intresse, artiklarna 5, 6 och 9. Vi menar att överträdelser av bestämmelser i en registerförfattning i många fall bör kunna ses även som en överträdelse av artiklarna 5, 6 och 9. Många bestämmelser i registerförfattningar får, som vi redan utvecklat, ses som preciseringar av de allmänna principerna för personuppgiftsbehandling enligt artikel 5. Personuppgiftsbehand- ling som inte har stöd i den aktuella registerförfattningen torde inte heller ha stöd i någon annan författning som kan utgöra rätts- lig grund för behandlingen, och sådan behandling torde då också strida mot artikel 6. Behandling av känsliga personuppgifter i strid

78Jfr exempelvis Ds 2017:28 s. 184, Ds 2017:19 s. 157, Fi2017/02899/S3 s. 119, SOU 2017:66 s. 302.

79Jfr Ds 2017:28 s. 183, Fi2017/02899/S3 s. 129, SOU 2017:66 s. 306–309.

84

med en bestämmelse i en registerförfattning har inte det stöd i nationell rätt som krävs för att behandling ska få ske trots det grundläggande förbudet i förordningens artikel 9. Sammanfatt- ningsvis torde alltså överträdelser av en registerförfattnings be- stämmelser i de flesta fall kunna betraktas som en överträdelse även av dataskyddsförordningen och därmed föranleda sanktionsavgift. Det finns enligt vår mening ingen anledning att förtydliga eller hänvisa till detta förhållande, i vart fall inte i de registerför- fattningar som ingår i vårt uppdrag.80

2.6Allmänna överväganden om anpassningen av registerförfattningar till det nya dataskyddsdirektivet

2.6.1Rättslig grund för personuppgiftsbehandlingen

Enligt artikel 8.1 i det nya dataskyddsdirektivet är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt för de syften som också omfattas av direktivets allmänna tillämpningsområde, dvs. bekämpa brott m.m. Artikeln genomförs på generell nivå genom 2 kap. 1 § brottsdata- lagen. Av bestämmelsen framgår vidare att arbetsuppgiften i fråga ska framgå av en bindande unionsrättsakt, av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt en behörig myndighet att ansvara för en sådan uppgift. Utredningen om 2016 års dataskyddsdirektiv anför följande om kravet på rättslig grund.

En myndighets arbetsuppgifter styrs i huvudsak av dess instruktion, medan vilken personuppgiftsbehandling som kan aktualiseras inom ramlagens tillämpningsområde styrs av de materiella bestämmelserna för verksamheten. Inom ramlagens tillämpningsområde rör det sig framför allt om reglerna om utredning av brott, brott-målsprocess och straffverkställighet. Genom de författningar som reglerar den verk- samhet i vilken personuppgifterna behandlas, tillsammans med ram- lagen och registerförfattningarna, är enligt utredningens mening kravet

80 Jfr SOU 2017:66 s. 302–305 och Fi2017/02899/S3 s. 127.

85

i direktivet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt.81

Av de författningar som ingår i vårt uppdrag och som faller inom det nya dataskyddsdirektivets tillämpningsområde framgår att de inte bara innebär en särreglering av personuppgiftsbehandling, utan också ålägger Polismyndigheten en specifik uppgift att behandla vissa personuppgifter. När det gäller begreppet nödvändig gör Utredningen om 2016 års dataskyddsdirektiv i huvudsak samma bedömning som Dataskyddsutredningen – kravet är alltså inte så långtgående som att det ska vara omöjligt att utföra den aktuella uppgiften utan att behandla personuppgifter, utan det räcker att man kan konstatera att personuppgiftsbehandling behövs.82

Vi återkommer kort till frågan om rättslig grund i avsnitt 5.3, 6.3 och 7.3.1.

2.6.2Övergripande om möjligheten att införa och behålla särreglering

Ett direktiv innebär en skyldighet för medlemsstaterna att införa föreskrifter i överensstämmelse med direktivet. Medlemsstaterna är dock fria att bestämma form och tillvägagångssätt för genom- förandet. Detta innebär att medlemsstaterna inte är bundna av t.ex. ett direktivs terminologi och systematik, om väl det avsedda resultatet uppnås med en annan terminologi och systematik. Avgörande är att lagstiftningen uppnår det resultat i sak som direktivet eftersträvar. Det framgår vidare av det nya dataskydds- direktivet att det är ett minimidirektiv, dvs. det finns möjligheter för medlemsstaterna att införa starkare skyddsåtgärder för den enskildes rättigheter och friheter med avseende på personupp- giftsbehandling inom direktivets tillämpningsområde (artikel 1.3).

Det nya dataskyddsdirektivet innehåller i artikel 4 principer för personuppgiftsbehandling som i huvudsak överensstämmer med dataskyddsförordningens artikel 5, 1995 års dataskyddsdirektiv och därmed med personuppgiftslagen. Många bestämmelser i register- författningar kan, som redan behandlats i avsnitt 2.5.4 ses som

81SOU 2017:29 s. 238.

82A. a. s. 237.

86

preciseringar av dessa grundläggande principer och är därmed förenliga med det nya dataskyddsdirektivet likväl som med data- skyddsförordningen. Att det är förutsatt att nationell rätt kommer att innehålla specificeringar i förhållande till direktivet kan därtill sägas framgå av artikel 8.2 – bestämmelsen anger att medlems- staternas nationella rätt som reglerar behandling enligt direktivet åtminstone ska specificera syftet med behandlingen, vilka person- uppgifter som ska behandlas och behandlingens ändamål.

På direktivets område kommer brottsdatalagen bli den grund- läggande regleringen av personuppgiftsbehandling. I lagen har tagits in de bestämmelser som krävs för att genomföra direktivet, men också andra bestämmelser som motsvarar vad som i dag föreskrivs i skilda registerförfattningar inom direktivets tillämp- ningsområde. Utredningen om 2016 års dataskyddsdirektiv har gjort bedömningen att dessa bestämmelser är förenliga med direktivet. Utredningen har vidare bedömt att flertalet andra bestämmelser i nuvarande registerlagar är förenliga med direktivet och att förändringar därför inte behöver göras för att uppfylla direktivets krav, men däremot för att skapa en sammanhållen och fungerande reglering med hänsyn till införandet av brottsdata- lagen.83 Direktivet ställer dock i sig inga krav på att genomförandet ska ske endast i en lag eller liknande. En artikel i direktivet kan alltså genomföras i flera författningar om det skulle anses lämpligt i en medlemsstat.

2.6.3Bestämmelser som är förenliga med direktivet

Syfte och tillämpningsområde

Utredningen om 2016 års dataskyddsdirektiv har föreslagit en bestämmelse om syfte i brottsdatalagen (1 kap. 1 §). Liknande bestämmelser i registerförfattningar kan alltså inte anses strida mot direktivet.

När det gäller tillämpningsområde blir det naturligen så att detta måste utgå från samma tillämpningsområde som direktivet har (jfr 1 kap. 2 § brottsdatalagen). Detta hindrar dock inte att tillämp- ningsområdet för en viss registerförfattning avgränsas ytterligare

83 SOU 2017:74 s. 319.

87

exempelvis till att avse endast en viss myndighets verksamhet, en viss avgränsad informationssamling, exempelvis ett register, eller en viss behandlingssituation, exempelvis ett visst informations- utbyte.84

Personuppgiftsansvar

Av artikel 3.8 framgår att om ändamålen med och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller kriterier för hur den ska utses föreskrivas i unionsrätten eller nationell rätt. Direktivet ger alltså möjlighet att fastställa personuppgiftsansvaret i författning.85

Ändamålsbestämmelser

Utredningen om 2016 års dataskyddsdirektiv har gjort över- väganden som lett fram till att man inom direktivets område och för de registerförfattningar som omfattats av utredningens uppdrag har föreslagit ändringar i bestämmelser som för närvarande, och enligt sin ordalydelse, betraktas som s.k. ändamålsbestämmelser. Vi anser att utredningens resonemang om ändamålsbestämmelser, som föregåtts av Informationshanteringsutredningens över- väganden, är rimliga i och för sig. Utredningen om 2016 års data- skyddsdirektiv har dock inte gjort bedömningen att primära ändamålsbestämmelser, med det innehåll de har i dag, skulle strida mot direktivet. Oavsett om man uppfattar dessa bestämmelser som ändamålsbestämmelser eller preciseringar av personuppgifts- behandlingens rättsliga grunder (som utredningen menar att man bör göra) fyller de, som utredningen påpekar, en viktig funktion som avgränsande ramar för behandlingen. Sådana ramar innebär bl.a. ett skydd för den personliga integriteten och kan därmed inte anses strida emot direktivets krav.86 Utredningen menar dock att

84Jfr exempelvis Utredningen om 2016 års dataskyddsdirektivs överväganden och förslag till ändringar i lagen (2014:400) om Polismyndighetens elimineringsdatabas och lagen (2017:496) om internationellt polisiärt samarbete, SOU 2017:74 s. 133, 184, 753 f. och 755 f.

85Jfr SOU 2017:29 s. 298.

86SOU 2017:29 s. 242 och 253 samt SOU 2017:74 s. 383–392.

88

sekundära ändamålsbestämmelser som avser vidarebehandling inom det nya dataskyddsdirektivets tillämpningsområde inte är förenliga med direktivet eftersom artikel 4.2 kräver en proportionalitets- bedömning. Däremot anser utredningen att sekundära ändamåls- bestämmelser som avser utlämnanden som i stället omfattas av dataskyddsförordningen kan behållas i och för sig.87 Eftersom några sekundära ändamålsbestämmelser inom det nya dataskydds- direktivets område inte förekommer i de författningar som ingår i vårt uppdrag ser vi inte anledning att överväga den frågan.

Ytterligare stöd för att i vart fall primära ändamålsbestämmelser är tillåtna i nationell rätt är direktivets artikel 8.2 som anger att nationell rätt ska specificera ändamålen för behandlingen.88

Utlämnande av personuppgifter

Liksom i registerförfattningar inom dataskyddsförordningens till- lämpningsområde finns i registerförfattningar inom det nya data- skyddsdirektivets tillämpningsområde bestämmelser som reglerar utlämnande för att möjliggöra informationslämnande som annars skulle omfattas av sekretess. Sådana bestämmelser avser alltså inte att reglera dataskydd i och för sig. Sekretessbrytande bestämmelser innebär inte heller per automatik att det är tillåtet att behandla personuppgifter automatiserat. Samtidigt innebär sekretessbry- tande bestämmelser att det finns grundläggande förutsättningar för ett informationsutbyte som innehåller personuppgifter, ett infor- mationsutbyte som annars hade varit förhindrat av sekretess, jfr våra överväganden i avsnitt 2.5.4. Sekretessbrytande reglering i nationell rätt förhindras inte av direktivet. Utredningen om 2016 års dataskyddsdirektiv har överfört eller låtit sådana bestämmelser stå kvar i de registerförfattningar inom det nya dataskydds- direktivets tillämpningsområde som ingår i deras uppdrag.89

Som vi redan berört är en särskild fråga hur man ska se på bestämmelser som reglerar utlämnande av personuppgifter som

87SOU 2017:74 s. 392 respektive s. 397.

88Som Utredningen om 2016 års dataskyddsdirektiv anför kan det i och för sig anses oklart vilka krav på preciserade ändamålsbestämmelser i nationell rätt som direktivet ställer (SOU 2017:29 s. 244). Det är dock en annan fråga än den om direktivet tillåter ändamåls- bestämmelser, preciserade eller inte.

89SOU 2017:74 s. 324 f.

89

först behandlats för ändamål inom det nya dataskyddsdirektivets tillämpningsområde och sedan utlämnas för syften som faller utanför direktivet. Detta tas upp i direktivets artikel 9. Utred- ningen om 2016 års dataskyddsdirektiv har anfört att artikel 9 innebär att prövningen av om behandlingen är tillåten ska göras endast med utgångspunkt i förordningen och att behandlingen därmed ska ses som en ursprungsbehandling. Utredningen konsta- terar att det inte kan råda någon tvekan om att det är möjligt att i registerförfattningar reglera utlämnandefrågor som avser att uppgifter som från början behandlats inom det nya dataskydds- direktivets tillämpningsområde senare lämnas ut för syften som inte omfattas av direktivet.90 Vi delar denna bedömning. I artikel 9 anges att behandling för syften utanför direktivets tillämpnings- område inte får ske om den inte är tillåten enligt nationell rätt eller av unionsrätten.

Utredningen om 2016 års dataskyddsdirektiv föreslår en generell reglering av behandling för syften inom dataskyddsför- ordningens tillämpningsområde som innebär att sådan behandling får ske om det är säkerställt att behandlingen är nödvändig och proportionerlig för det ändamålet (2 kap. 22 § brottsdatalagen). En sådan bedömning av nödvändighet och proportionalitet behöver dock inte göras om en skyldighet att lämna uppgifter följer av lag eller förordning. (2 kap. 22 § tredje stycket).91

Vilka uppgifter som får behandlas

Registerförfattningar på direktivets område kan, liksom på förord- ningens, vara vad som kan kallas informationshanterings- författningar. Sådana tar sällan upp någon specificering av vilka personuppgifter som får behandlas (med undantag för särreglering av känsliga personuppgifter). I renodlade registerförfattningar brukar det däremot anges mer exakt vilka uppgifter som ska tas upp i ett visst register. Att sådana specificeringar är tillåtna får

90SOU 2017:29 s. 295.

91SOU 2017:74 s. 190 f. och 393.

90

anses framgå av artikel 8.2, som anger att nationell rätt ska inne- hålla preciseringar av vilka personuppgifter som får behandlas.92

Elektroniskt utlämnande av personuppgifter

Det kan i registerförfattningar inom det nya dataskyddsdirektivets tillämpningsområde förekomma reglering av i vilka former utlämnande får ske. Det gäller då vanligen olika former av elek- troniskt utlämnande. Som redan redogjorts för (avsnitt 2.5.4) avser direktåtkomst en form av utlämnande som bör skiljas från andra former av elektroniskt utlämnande, eftersom direktåtkomst har särskilda rättsliga följder som andra former av elektroniska utlämnanden inte har. Utredningen om 2016 års dataskyddsdirektiv föreslår bestämmelser om elektroniskt utlämnande i skilda register- författningar. Sådan särreglering får alltså anses vara förenlig med det nya dataskyddsdirektivet.

Åtkomst inom en myndighet

Bestämmelser som på olika sätt reglerar åtkomsten till person- uppgifter inom en myndighet bör, även med utgångspunkt i direktivet, kunna betraktas på samma sätt som sådan reglering i förhållande till dataskyddsförordningen. Det handlar alltså i vart fall om en precisering av artikel 4.1 c (personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas). Man kan också betrakta sådana bestämmelser som en precisering av principen i artikel 4.1 f (personuppgifter ska behandlas på ett sätt som säkerställer en lämplig säkerhet för dem). Utredningen om 2016 års dataskydds- direktiv föreslår en generell reglering av åtkomst i 3 kap. 6 § brottsdatalagen.

92 Vilka mer exakta krav som artikel 8.2 ställer i detta avseende kan alltså ifrågasättas i och för sig, men av bestämmelsen måste i vart fall anses följa att exakta angivelser i författning av att vissa personuppgifter ska behandlas i ett visst sammanhang är förenligt med direktivet.

91

Bevarande och gallring

I vissa av de författningar som ingår i vårt uppdrag finns gallrings- bestämmelser som tar upp en exakt tidpunkt när uppgifter ska gallras. Sådana bestämmelser är förenliga med direktivet, som innehåller både den allmänna principen att personuppgifter inte ska bevaras längre än vad som behövs för det ändamål de behandlas för (artikel 4.1 e) och en skyldighet för medlemsstaterna att fastställa lämpliga tidsgränser för radering av personuppgifter (artikel 5). Av den sistnämnda artikeln följer att om inte tidsgränser föreskrivs ska periodiska översyner av behovet av lagring göras. Artikeln har genomförts i 2 kap. 17 och 18 §§ brottsdatalagen.

Utredningen om 2016 års dataskyddsdirektiv har föreslagit en viss förändring i gallringsbestämmelser i de registerförfattningar som omfattas av utredningens uppdrag. Utredningen anser att begreppet gallring i huvudsak inte bör användas i bestämmelser som avser dataskydd. Vi överväger frågor om användandet av ordet gallring i avsnitt 5.5 och 6.5.

Bestämmelser som genomför vissa tidigare EU-rättsakter - artikel 60

Det nya dataskyddsdirektivet innehåller en artikel som avser förhållandet till tidigare EU-rättsakter inom området för polisiärt och straffrättsligt samarbete som trätt i kraft före den 6 maj 2016. I artikeln anges att det nya dataskyddsdirektivet inte ska påverka

”särskilda bestämmelser om skydd för personuppgifter” i sådana unionsrättsakter. Man kan fråga sig om formuleringen innebär att vissa andra bestämmelser i sådana rättsakter, om de inte innebär ett

”skydd”, därmed skulle kunna åsidosättas som en följd av det nya direktivet. Exempelvis kan det diskuteras om en EU-rättsakt vars bestämmelser innebär ett utvidgat informationsutbyte inom EU innebär ett skydd för personuppgifter.

Vi gör bedömningen att frågan får liten praktisk betydelse, eftersom flertalet bestämmelser i tidigare EU-rättsakter, som ger en rättslig grund för personuppgiftsbehandling och preciserar den på olika sätt, under alla förhållanden är förenliga med det nya dataskyddsdirektivet. Att tidigare upprättat informationsutbyte ska kunna fortgå och inte förhindras av den nya dataskyddsregleringen torde också vara syftet bakom artikel 60.

92

2.6.4Känsliga personuppgifter

Direktivets artikel 10, som avser känsliga personuppgifter, inne- håller en liknande reglering som den i artikel 9.1 och 9.2 g i data- skyddsförordningen. Det ställs alltså krav på att sådan behandling ska regleras i nationell rätt och att det ska finnas skyddsåtgärder för den registrerade. Utredningen om 2016 års dataskyddsdirektiv har också föreslagit ett genomförande som i huvudsak överensstämmer med regleringen i den föreslagna dataskyddslagen (jfr 2 kap. 11, 13 och 2 §§ brottsdatalagen med 3 kap. 3 § dataskyddslagen).

Båda EU-rättsakterna kan anses ge ett ganska stort utrymme för medlemsstaterna att utforma bestämmelser avseende känsliga personuppgifter. De generella bestämmelser som föreslås av Utredningen om 2016 års dataskyddsdirektiv torde vara förenliga även med dataskyddsförordningen och på samma sätt torde de föreslagna bestämmelserna i dataskyddslagen kunna användas även i registerförfattningar inom direktivets tillämpningsområde. För myndigheter som kommer att hantera personuppgifter både inom direktivets och förordningens tillämpningsområde och som kommer ha flera olika registerförfattningar att förhålla sig till torde det dock vara en fördel om regleringen är likalydande om det är möjligt. Vi återkommer till denna fråga i avsnitt 3.5.4 och 4.1.5.

2.6.5Bestämmelser som inte kan behållas

För författningar som reglerar personuppgiftsbehandling inom det nya dataskyddsdirektivets område måste, liksom på dataskydds- förordningens område, hänvisningar till personuppgiftslagen tas bort eftersom den lagen upphävs.93

Hänvisningar till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen måste också tas bort. Den nämnda lagen innehåller bestämmelser för att genomföra det s.k. dataskyddsrambeslutet, som upphör att gälla i och med att det nya dataskyddsdirektivet ska vara genomfört i nationell rätt (artikel 59 i

93 SOU 2017:39 s. 49 (förslaget till dataskyddslag, ikraftträdande och övergångsbestäm- melser p 2) och s. 78.

93

det nya dataskyddsdirektivet). Utredningen om 2016 års data- skyddsdirektiv har föreslagit att 2013 års lag upphävs.94

2.6.6Den enskildes rättigheter

Det finns likheter mellan det nya dataskyddsdirektivets reglering av den enskildes rättigheter och dataskyddsförordningens. Det nya direktivet innehåller dock ingen sådan rätt att invända mot behandlingen som den som finns i dataskyddsförordningen. Följaktligen kan den enskilde inte heller åstadkomma att behand- lingen begränsas i avvaktan på en utredning av om invändningarna är befogade. Det finns heller inga möjligheter att genom nationell rätt inskränka vad direktivet föreskriver om rättelse, radering och begränsning av behandlingen i artikel 16.1–16.3. Vi har därmed ingen anledning att göra några överväganden avseende direktivets reglering på detta område. Brottsdatalagens reglering kommer att genomföra direktivets krav i dessa avseenden.

När det gäller den enskildes rätt till information har direktivet genomförts i brottsdatalagen. Enligt brottsdatalagen gäller undan- tag från informationsplikten i den utsträckning det är föreskrivet i lag eller författning eller annars framgår av beslut som har meddelats med stöd av författning och om uppgifterna i sådana fall inte får lämnas ut med hänsyn till vissa särskilt uppräknade intressen, bl.a. att förebygga brott. Inom ramen för vårt uppdrag är frågan om informationsskyldighetens omfattning endast aktuell då det gäller lagen om belastningsregister. Våra överväganden finns i avsnitt 5.5.

2.6.7Behovet av nya bestämmelser

Upplysande bestämmelse om förhållandet till brottsdatalagen

Många registerförfattningar inom det nya dataskyddsdirektivets tillämpningsområde innehåller i dag en bestämmelse om för- hållandet till personuppgiftslagen. Personuppgiftslagen kommer,

94 SOU 2017:29 s. 56 (förslaget till brottsdatalag, ikraftträdande och övergångsbestämmelser p 2) och s. 145.

94

inom det nya dataskyddsdirektivets tillämpningsområde, att ersättas av brottsdatalagen. Utredningen om 2016 års dataskydds- direktiv föreslår bestämmelser, i de lagar som omfattas av den ut- redningens uppdrag, som anger att registerförfattningen i fråga gäller utöver brottsdatalagen.95 Vi delar utredningens bedömning att det är lämpligt att införa en sådan bestämmelse i flertalet av de författningar som ingår i vårt uppdrag och som omfattas av direktivets tillämpningsområde, i vart fall när lagstiftningen sedan tidigare innehåller hänvisningar till personuppgiftslagen. I författningar som däremot idag inte alls innehåller hänvisningar till personuppgiftslagen och inte heller i övrigt måste ändras materiellt som en följd av genomförandet av det nya dataskyddsdirektivet, menar vi dock att upplysande bestämmelser kan undvaras. Detta gäller särskilt om författningen i fråga endast till en begränsad del reglerar frågor som har med personuppgiftsbehandlingen i sig att göra.

Tillsyn

Bestämmelser om tillsyn finns i 5 kap. i brottsdatalagen. Tillsyns- området framgår av definitionen av tillsynsmyndighet i 1 kap. 6 §. Av definitionen följer att området för tillsyn är både brotts- datalagen och registerförfattningar inom brottsdatalagens tillämp- ningsområde.96 Det krävs alltså inte några bestämmelser i register- författningarna för att tillsyn ska kunna utövas på sätt som följer av det nya dataskyddsdirektivet.

Sanktionsavgifter

Utredningen om 2016 års dataskyddsdirektiv har föreslagit att ett administrativt sanktionssystem – sanktionsavgift – ska införas i brottsdatalagen. Utredningen anför att det nya dataskydds- direktivet ställer krav på effektiva sanktioner och att möjligheten att begära skadestånd inte uppfyller detta krav, samtidigt som en (ytterligare) kriminalisering inte är lämplig. Utredningen anför också att det ligger nära till hands att överväga samma sanktions-

95SOU 2017:29 s. 141.

96A. a. s. 433 f.

95

system inom det nya direktivets tillämpningsområde som inom dataskyddsförordningens, där Dataskyddsutredningen föreslår att sanktionsavgifter ska kunna tas ut även av myndigheter.97

Bestämmelser om sanktionsavgifter finns i 6 kap. brottsdata- lagen. I kapitlets inledande paragraf anges att sanktionsavgift kan tas ut vid överträdelser av vissa bestämmelser i brottsdatalagen. Det gäller exempelvis flertalet av de grundläggande kraven på behandling av personuppgifter i 2 kap. Utöver vad som följer av 6 kap. 1 § brottsdatalagen har Utredningen om 2016 års data- skyddsdirektiv gjort bedömningen att det i vissa fall finns anledning att i registerförfattningar särskilt ange att överträdelser av bestämmelser i dessa författningar kan medföra sanktionsavgift. Det gäller överträdelser av bestämmelserna om tillåtna rättsliga grunder för behandling av personuppgifter och hur länge person- uppgifter får behandlas, otillåten behandling av känsliga person- uppgifter och otillåtna sökningar.98

De registerförfattningar som ingår i vårt uppdrag och som vi föreslår ska gälla utöver brottsdatalagen är författningar som avser behandling i tydligt avgränsade behandlingssystem (belastnings- registret, misstankeregistret och Schengens informationssystem). Vilka personuppgifter som får behandlas och under hur lång tid är väl preciserat, liksom användningen av personuppgifter ur regist- ren. Behovet att införa särskilda sanktionsmöjligheter i register- författningarna bör ses mot bakgrund av att personuppgifts- behandlingen på så sätt får anses vara relativt begränsad.

Vi bedömer vidare att sanktionssystemet i brottsdatalagen kan tillämpas även utan att särskilda hänvisningar görs dit. Om person- uppgifter behandlas på ett sätt som strider mot författningarna torde sanktionsavgift kunna komma i fråga exempelvis för att det inte finns någon rättslig grund för behandlingen, för att person- uppgifterna behandlats under för lång tid eller för att myndigheten inte vidtagit tekniska eller organisatoriska åtgärder för att se till att behandlingen är författningsenlig. Det finns vidare alltid möjlighet för tillsynsmyndigheten att förelägga den personuppgiftsansvarige att vidta åtgärder. Om sådana förelägganden inte följs kan sanktionsavgifter komma i fråga på den grunden. När det gäller

97SOU 2017:29 s. 492–501.

98SOU 2017:74 s. 349–352.

96

efterlysta personer (som behandlas med stöd av efterlysnings- kungörelsen) kommer uppgifter om dem, om de behandlas i brottsbekämpande verksamhet, att omfattas av polisens brotts- datalags tillämpningsområde och därmed även sanktioneras genom den lagens bestämmelser (se vidare kap. 13).

Vi menar att om sanktionsavgifter ska införas är det tillräckligt, i vart fall i förhållande till de författningar som ingår i vårt uppdrag, att brottsdatalagen innehåller bestämmelser om sanktionsavgifter. Vi föreslår därför inga särskilda sanktionsbestämmelser för registerförfattningar som omfattas av det nya dataskyddsdirektivets tillämpningsområde.

Rättelse, radering, begränsning av behandlingen och skadestånd

Det nya dataskyddsdirektivets bestämmelser om rättelse, radering, begränsning och skadestånd (artiklarna 16 och 56) genomförs i brottsdatalagen. Bestämmelser om rättelse och begränsning av behandlingen av personuppgifter finns i 4 kap. 9 § brottsdatalagen. Eftersom bestämmelsen är generellt avfattad och inte begränsad till behandling som sker enbart enligt brottsdatalagen, behövs det ingen hänvisning till bestämmelsen i registerförfattningarna för att den ska kunna tillämpas, även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning. När det gäller radering anges däremot i 4 kap. 10 § att personuppgifter ska raderas om de behandlas i strid med vissa uppräknade bestämmelser i 2 kap. Bestämmelsen torde dock kunna tillämpas även vid vissa överträdelser av registerförfattningar. Vidare anges att uppgifter ska raderas om det krävs för att den person- uppgiftsansvarige ska utföra en rättslig förpliktelse. Av författnings- kommentaren till bestämmelsen framgår att en rättslig förpliktelse kan avse en skyldighet som rör hur personuppgifter får behandlas enligt brottsdatalagen, myndighetens registerförfattning eller någon annan författning om ett enskilt register, exempelvis lagen (1998:621) om misstankeregister.99 Det behövs alltså inga hänvisningar till bestämmelsen för att den ska bli tillämplig även på personuppgifts- behandling som sker med stöd av särreglering inom det nya data- skyddsdirektivets tillämpningsområde.

99 SOU 2017:29 s. 727.

97

När det däremot gäller skadestånd gäller brottsdatalagens bestämmelse om skada uppstått vid behandling av personuppgifter i strid med brottsdatalagen. På samma sätt som det i dag hänvisas till personuppgiftslagens bestämmelse om skadestånd i register- författningar, måste en motsvarande hänvisning göras i register- författningar till 7 kap. 1 § brottsdatalagen. Utredningen om 2016 års dataskyddsdirektiv föreslår genomgående sådana hänvisningar i de registerförfattningar som omfattas av utredningens uppdrag.100

Överklagande

I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. I 7 kap. 3 § finns en särskild bestämmelse om dröjsmålstalan. Även beslut med stöd av den paragrafen får överklagas. Enligt 7 kap. 4 § brottsdatalagen får tillsynsmyndighetens beslut enligt lagen eller enlig föreskrifter som har meddelats i anslutning till den överklagas till allmän förvalt- ningsdomstol. I 7 kap. 5 § brottsdatalagen föreskrivs att andra beslut enligt lagen än de nämnda inte får överklagas.

På samma sätt som den enskilde kan begära rättelse, kom- plettering, radering eller begränsning av behandlingen med stöd av brottsdatalagen, även om behandlingen sker i ett särskilt reglerat register eller enligt en annan registerförfattning, har den enskilde möjlighet att överklaga sådana beslut enligt brottsdatalagen. Det behövs inga hänvisningar i registerförfattningarna för att åstad- komma detta. Vi menar att upplysande hänvisningar om att över- klagande regleras i brottsdatalagen är överflödiga i de register- författningar som omfattas av vårt uppdrag.101

100SOU 2017:74 s. 352 f.

101Jfr SOU 2017:74 s. 353 f. där utredningen anger skäl till att upplysande bestämmelser om överklagande bör tas in i registerförfattningarna. En upplysande bestämmelse om överklagande föreslås dock inte i exempelvis lagen (2014:400) om Polismyndighetens elimineringsdatabas, se s. 133–136.

98

övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn enligt vad som närmare framgår av instruktionen och av annan relevant lagstiftning. Av instruktionen framgår också att Kustbevakning medverkar i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst (15 § i förordningen med instruktion).1

Kort om författningarnas innehåll

En allmän utgångspunkt för regleringen av Kustbevakningens personuppgiftsbehandling var att den tekniska utvecklingen och användandet av informationsteknik hade medfört behov av en ny författningsreglering som inte onödigtvis skulle förhindra en ändamålsenlig effektivisering av verksamheten och som skulle ge förutsättningar för ett både nationellt och internationellt informa- tionsutbyte. Vidare ansåg regeringen att en utgångspunkt var att regleringen, såvitt avsåg Kustbevakningens brottsbekämpande verksamhet, skulle motsvara vad som gäller för polisens brotts- bekämpande verksamhet.2

Lagen är indelad i fem kapitel. De två första innehåller bestämmelser för all personuppgiftsbehandling som omfattas av lagens tillämpningsområde, bl.a. lagens generella syfte, förhållandet till personuppgiftslagen, personuppgiftsansvar och behandling av känsliga personuppgifter. I det tredje och fjärde kapitlet regleras personuppgiftsbehandlingen i den brottsbekämpande verksam- heten och i det femte personuppgiftsbehandlingen inom den övriga operativa verksamheten. I förordningen finns kompletterande bestämmelser om bl.a. tillgång till personuppgifter (behörigheter, sökning och utlämnande), bevarande och gallring.

1Se vidare prop. 2011/12:45 s. 39–49.

2A. prop. s. 60 f.

100

3.3En ny kustbevakningsdatalag inom dataskyddsförordningens tillämpningsområde

Förslag: En ny kustbevakningsdatalag införs. Den nya lagen ska innehålla i huvudsak den reglering som finns i dagens kust- bevakningsdatalag och som omfattas av dataskyddsförord- ningens tillämpningsområde.

Skälen för förslaget: Som redogjorts för ovan är dagens kust- bevakningsdatalag i huvudsak uppdelad efter om person- uppgiftsbehandlingen sker i den brottsbekämpande verksamheten eller i den övriga operativa verksamheten. Lagen innehåller också allmänna bestämmelser avseende all personuppgiftsbehandling inom lagens tillämpningsområde. Förordningens bestämmelser är på samma sätt ibland allmänt tillämpliga och ibland en kom- plettering till en bestämmelse i lagen som avser endast brotts- bekämpning eller endast den övriga operativa verksamheten.

Under vårt arbete har det vid samråd med Utredningen om 2016 års dataskyddsdirektiv framkommit att den utredningen ser det som mest ändamålsenligt att dela upp den nuvarande kustbevak- ningsdatalagen på två författningar. Vi delar den bedömningen. På det sättet kommer bestämmelser som omfattas av det nya dataskyddsdirektivets tillämpningsområde och bestämmelser som kompletterar dataskyddsförordningen att finnas i varsin lag. Som Utredningen om 2016 års dataskyddsdirektiv framfört innebär EU:s dataskyddsreform att uppdelningen av regleringen av Kustbevakningens personuppgiftsbehandling måste göras på ett annat sätt än i dag. Utredningen framhåller att en reglering i två separata lagar blir tydligare och lättare att tillämpa. Utredningen om 2016 års dataskyddsdirektiv har i sitt slutbetänkande lagt fram förslag till ändringar i den nuvarande kustbevakningsdatalagen som innebär att den författningen byter namn till Kustbevakningens brottsdatalag. Kustbevakningens brottsdatalag kommer att omfatta personuppgiftsbehandling som Kustbevakningen i egenskap av

101

behörig myndighet utför i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.3

Vi lägger alltså fram ett förslag till en ny kustbevakningsdatalag som innehåller bestämmelser som avser personuppgiftsbehandling som inte rör brottsbekämpning, lagföring och upprätthållande av allmän ordning och säkerhet. Vi återkommer till gränsdragningen mellan Kustbevakningens brottsdatalag och vårt förslag till kustbevakningsdatalag i det följande, avsnitt 3.5.

Vi har, som vi tidigare anfört (se avsnitt 2.4) inte sett det som vår uppgift att på nytt pröva frågor om i vilken utsträckning som personuppgiftsbehandlingen överhuvudtaget behöver regleras eller vilket principiellt innehåll som enskilda bestämmelser bör ha. Vår utgångspunkt har varit att bevara så mycket som möjligt av rådande bestämmelser. Kustbevakningen har heller inte, vid vårt samråd med myndigheten, framfört att dagens reglering har några brister som medför praktiska problem i myndighetens verksamhet. Det som framförts från myndighetens sida är att regleringen bör anpassas så mycket som möjligt till vad som gäller för i första hand Polismyndigheten, i andra hand andra myndigheter med brotts- bekämpande uppdrag. Som vi närmare redogör för i det följande har vi därför i viss utsträckning föreslagit bestämmelser för den övriga operativa verksamheten som är likalydande med vad som föreskrivs för den brottsbekämpande verksamheten i den före- slagna brottsdatalagen.

3.4Överväganden om befintliga bestämmelser

Bedömning: Personuppgiftsbehandling i enlighet med kust- bevakningsdatalagen, som omfattas av dataskyddsförordningens tillämpningsområde, uppfyller kraven på rättslig grund i förordningens artikel 6.1 och 6.3.

Bestämmelserna i 1 kap. 1, 3–5 §§, 2 kap. 3, 4 och 6–10 §§ och i stort sett hela 5 kap. kustbevakningsdatalagen behöver inte ändras som en följd av dataskyddsförordningens reglering.

3 Utredningens författningsförslag avseende den nuvarande kustbevakningsdatalagen finns i SOU 2017:74 s. 121–132, de grundläggande övervägandena om tillämpningsområdet på s. 473–475.

102

Ds 2017:58 Kustbevakningsdatalagen och -förordningen

dataskyddsförordningen innehåller en direkt tillämplig reglering av denna princip.

Bestämmelsen i 1 kap. 2 § om tillämpningsområde är i princip förenlig med dataskyddsförordningen i de delar den berör förordningens tillämpningsområde. Bestämmelserna i 2 kap. 1–2 §§ som reglerar förhållandet till personuppgiftslagen är inte längre aktuella när den lagen upphävs. Skyldigheten att utse personuppgiftsombud (2 kap. 5 §) måste utgå som en följd av att dataskyddsförordningen innehåller en motsvarande reglering.

Övriga bestämmelser i den nuvarande kustbevaknings- datalagen (3 och 4 kap.) avser sådan personuppgiftsbehandling som omfattas av det nya dataskyddsdirektivets tillämpnings- område.

Kustbevakningsdataförordningens bestämmelser som berörs av dataskyddsförordningen är förenliga med denna, med undantag för 2 §. Förordningens 8 § innehåller en hänvisning till personuppgiftslagen och måste därför ändras redan av det skälet.

Skälen för bedömningen:

Dataskyddsförordningens krav på rättslig grund

Som vi tidigare anfört (se avsnitt 2.5.2) har Dataskyddsutredningen anfört att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse i dataskyddsförordningens mening. Kustbevakningens uppdrag i olika avseenden framgår av olika författningar, bl.a. myndighetens instruktion. Kustbevakningen utför alltså uppgifter av allmänt intresse i enlighet med data- skyddsförordningens artikel 6.1 e. Kustbevakningens person- uppgiftsbehandling får anses nödvändig för att myndigheten ska kunna utföra sina uppgifter och den kan också i förekommande fall vara ett led i myndighetsutövning. Att myndighetens uppdrag och befogenheter är författningsreglerade innebär att dataskydds-

103

förordningens samtliga krav på behandlingens rättsliga grund (artikel 6.1 och 6.3) är uppfyllda.4 Även kustbevakningsdatalagen bör anses utgöra en rättslig grund för personuppgiftsbehandlingen. Utöver de författningar som specifikt reglerar Kustbevakningens verksamhet finns också rättsliga grunder i sådan reglering som gäller allmänt för myndigheter, exempelvis skyldigheten att registrera och bevara allmänna handlingar. Vi återkommer till detta angående bestämmelsen i 2 kap. 6 § kustbevakningsdatalagen.

I det följande analyseras om de bestämmelser i kustbevak- ningsdatalagen som avser den operativa verksamheten, alltså den som inte omfattas av det nya dataskyddsdirektivets tillämpnings- område, är förenliga med dataskyddsförordningen. Som vi tidigare anfört är olika preciseringar av de mer övergripande principer som finns i förordningen tillåtna enligt artikel 6.2. Däremot är bestämmelser som endast upprepar något som redan framgår av förordningen inte längre möjliga att ha kvar i nationell rätt, eftersom detta strider mot principen om att förordningar är direkt tillämpliga och inte får implementeras i nationell rätt (se vidare avsnitt 2.3.2). Undantaget är om delar av förordningens bestäm- melser kan införas med stöd av de uttalanden som finns i förordningens skäl 8.

Kustbevakningsdatalagen innehåller också några bestämmelser som inte omfattas av vare sig dataskyddsförordningens eller det nya dataskyddsdirektivets tillämpningsområde, exempelvis regle- ring av föreskriftsrätt. Även sådana bestämmelser tas upp i redo- görelsen nedan.

Lagens syfte, tillämpningsområde m.m. (1 kap.)

Lagens första paragraf beskriver det allmänna syftet med regleringen. Som anförts i avsnitt 2.5.4 kan sådana övergripande bestämmelser om syfte, som återfinns i många registerförfatt- ningar, inte anses strida mot dataskyddsförordningen. Att lagens

4 Som tidigare beskrivits regleras Kustbevakningens verksamhet och befogenheter i flera författningar, däribland myndighetens instruktion. Samtliga författningar som möjliggör att Kustbevakningen vidtar åtgärder i någon bemärkelse kan anses vara rättsliga grunder för verksamheten och därmed för personuppgiftsbehandlingen i enlighet med artikel 6.3.

104

tillämpningsområde anges i 2 § är förenligt med dataskydds- förordningen, se vidare avsnitt 2.5.4.

I 2 § tredje stycket anges att kustbevakningsdatalagens bestäm- melser är subsidiära till bestämmelser i lagen (2017:496) om internationellt polisiärt samarbete eller föreskrifter till den lagen. Som framgår av andra avsnitt i denna promemoria (exempelvis avsnitt 7.2) är det inte självklart att begreppet polisiärt samarbete omfattar enbart samarbete för brottsbekämpning eller andra syften som omfattas av det nya dataskyddsdirektivets tillämpnings- område. Bestämmelser om uppgiftsutbyte i lagen om internatio- nellt polisiärt samarbete (6 kap.–10 kap.) rör dock enbart uppgifts- utbyte för brottsbekämpande ändamål. Lagen om internationellt polisiärt samarbete har alltså endast relevans i förhållande till personuppgiftsbehandlingen i den brottsbekämpande verksam- heten, som kommer att regleras i Kustbevakningens brottsdatalag.

Bestämmelsen i 2 a § rör tillämpningen av lag (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polis- samarbete och straffrättsligt samarbete inom Europeiska unionen. Denna lag kommer att upphävas i samband med att det nya dataskyddsdirektivet genomförs och bestämmelsen blir alltså inaktuell i framtiden.5

Av 3 § följer att vissa av lagens bestämmelser gäller även för juridiska personer. Eftersom behandling av uppgifter rörande juridiska personer inte omfattas av dataskyddsförordningens tillämpningsområde berörs inte heller denna bestämmelse av förordningens reglering i och för sig. Den kan därmed behållas i nationell rätt, se vidare våra allmänna överväganden, avsnitt 2.5.4.

I 4 § finns en definition av uttrycket gemensamt tillgängliga uppgifter. För sådana uppgifter gäller sedan särskilda dataskydds- bestämmelser. Att en nationell lagstiftning innehåller ett särskilt skydd för uppgifter som flera personer inom en myndighet har tillgång till får anses vara en sådan precisering av behandlingen som är tillåten i enlighet med artikel 6.2 (se vidare avsnitt 2.5.4).

Bestämmelsen i 5 § innehåller en beskrivning av lagens dispo- sition. Som vi återkommer till i avsnitt 3.5.1 blir bestämmelsen inaktuell när regleringen av kustbevakningens personuppgifts- behandling delas upp på två författningar.

5 Se vidare våra allmänna överväganden samt SOU 2017:29 s. 145.

105

Förhållandet till personuppgiftslagen (2 kap. 1 och 2 §§)

Som vi tidigare konstaterat måste alla hänvisningar till person- uppgiftslagen utgå när denna lag upphör att gälla. Istället bör ny författningsreglering införas som klargör förhållandet till bl.a. dataskyddsförordningen. Våra förslag till författningsreglering finns i avsnitt 3.5.2.

Tillgång till personuppgifter och personuppgiftsansvar (2 kap. 3 och 4 §§)

I 3 § finns en allmän bestämmelse om tillgången till person- uppgifter, som ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. En sådan bestämmelse får anses vara en sådan precisering av principen om integritet och konfidentialitet (artikel 5.1 f) som är tillåten enligt 6.2 dataskydds- förordningen. Att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter berörs inte av dataskydds- förordningen, eftersom förordningen inte reglerar frågor om normhierarki (se även avsnitt 2.5.4).

Att Kustbevakningen pekas ut som personuppgiftsansvarig (4 §) är förenligt med dataskyddsförordningen (se vidare avsnitt 2.5.4).

Skyldigheten att utse personuppgiftsombud (2 kap. 5 §)

Begreppet personuppgiftsombud kommer i och med de nya EU- rättsakterna att ersättas med dataskyddsombud. Skyldigheten att utse ett sådant ombud kommer att framgå av artikel 37.1 a i dataskyddsförordningen. Bestämmelsen i 2 kap. 5 § måste alltså utgå (se även avsnitt 2.5.7).

Behandling för diarieföring (2 kap. 6 §)

Enligt 2 kap. 6 § får personuppgifter alltid behandlas för diarie- föring och om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Bakgrunden till bestämmelsen är den generella skyldighet alla myndigheter har att dels diarieföra allmänna handlingar, dels kommunicera med

106

enskilda som kontaktar myndigheten. Sådan behandling av person- uppgifter kan inte alltid hänföras till vad som behövs eller är nödvändigt för ändamål som rör myndighetens egentliga verk- samhet. Därför ansåg regeringen att det fanns ett behov, som det får förstås främst för tydlighets skull, av en bestämmelse som klargjorde detta förhållande även i kustbevakningsdatalagen.6 Att i lagstiftning föreskriva ändamål för behandlingen måste, som anförs i avsnitt 2.5.4, anses vara förenligt med dataskyddsförordningen.

Behandling av känsliga personuppgifter (2 kap. 7 § och 5 kap. 4 §)

I våra allmänna överväganden (avsnitt 2.5.6) har vi beskrivit data- skyddsförordningens reglering av vad som däri kallas särskilda kategorier av personuppgifter och den reglering som Dataskydds- utredningen föreslår avseende denna särskilda kategori, som i svensk rätt kommer att benämnas känsliga personuppgifter. Vi menar att de bestämmelser som rör känsliga personuppgifter i dagens kustbevakningsdatalag i sak är jämförbara med vad som föreslås av Dataskyddsutredningen. Det skulle alltså vara möjligt i och för sig att behålla dessa bestämmelser oförändrade (2 kap. 7 § och 5 kap. 4 §). Det finns samtidigt andra alternativ, som vi överväger i kommande avsnitt.

I 2 kap. 7 § finns också en bestämmelse om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Bestämmelsen rör inte person- uppgiftsbehandlingen i sig och behöver därmed inte ändras som en följd av att dataskyddsförordningen ska börja tillämpas.

Elektroniskt utlämnande och särskiljande av uppgifter som rör brottsbekämpning (2 kap. 8–10 §§)

Bestämmelserna i 2 kap. 8 och 9 §§ rör utlämnande på medium för automatiserad behandling, bl.a. direktåtkomst. Bestämmelserna får anses vara sådana preciseringar av behandlingen som är förenliga med dataskyddsförordningens artikel 6.2 (se vidare avsnitt 2.5.4.). Detsamma gäller 2 kap. 10 §, som anger att personuppgifter ska

6 Prop. 2011/12:45 s. 92.

107

behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet. Denna bestämmelse kan sägas vara en precisering av artikel 5.1 b – det ska vid insamling och vidarebehandling av personuppgifter stå klart för vilka ändamål behandlingen sker.

Bestämmelserna är alltså i och för sig förenliga med data- skyddsförordningen. Vi lämnar dock förslag på vissa förändringar avseende elektroniskt utlämnande samt överväger om 2 kap. 10 § ska överföras till den nya kustbevakningsdatalagen eller inte i nästa avsnitt.

Ändamål, direktåtkomst och utlämnande (5 kap)

De flesta bestämmelser i 5 kap. är sådana som kan anses vara preciseringar i nationell rätt av principer i dataskyddsförordningen och därmed förenliga med förordningen i enlighet med artikel 6.2 (se vidare avsnitt 2.5.4). Det gäller:

–ändamål för behandlingen (primära och sekundära, 1 och 2 §§)

–direktåtkomst (5 §)

–utlämnande (6 §)

–bevarande och gallring (7 §).

Reglering av primära och sekundära ändamål och utlämnande kan också ses som rättsliga grunder för behandlingen, se vidare avsnitt 2.5.4. Där överväger vi också sekundära ändamålsbestämmelsers förenlighet med artikel 6.4 i dataskyddsförordningen.

I 5 kap. 3 § finns en bestämmelse som snarast får uppfattas som en upplysning av innebörd att om misstanke om brott uppstår vid behandling av personuppgifter i den övriga operativa verksamheten, ska 3 och 4 kap. tillämpas på den fortsatta behandlingen. En sådan upplysande bestämmelse rör inte dataskyddet som sådant och kan därmed i och för sig behållas. Som framgår av våra överväganden i nästa stycke menar vi dock att den inte behövs i en ny kustbevakningsdatalag.

Bestämmelsen om sökning i 5 kap. 4 § har behandlats ovan.

108

Särskilt om hänvisningen till finalitetsprincipen

I 5 kap. 2 § tredje stycket finns vad som kan kallas en hänvisning till finalitetsprincipen – bestämmelsen anger att utöver de uppräk- nande sekundära ändamålen får uppgiftsbehandling i ett enskilt fall ske för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Denna, och andra liknande bestämmelser i andra register- författningar, har tillkommit för att sekundära ändamål inte ska uppfattas som uttömande. Regeringen har dock gett uttryck för att bestämmelsen i och för sig inte är nödvändig för att uppnå detta syfte, utan att det för myndigheter vars registerförfattningar inte innehåller en liknande hänvisning ändå är möjligt att tillämpa finalitetsprincipen – under förutsättning att personuppgiftslagen i denna del är tillämplig på myndighetens personuppgiftsbehandling.7

Frågan är nu för vår del, om den aktuella bestämmelsen i kustbevakningsdatalagen kan behållas oförändrad, om den kan tas bort utan att det avsedda rättsläget förändras eller på vilket sätt den annars kan modifieras för att anpassas till dataskyddsförordningen.

Finalitetsprincipen har utvecklats i dataskyddsförordningen i förhållande till hur principen formuleras i 1995 års dataskydds- direktiv. I dataskyddsförordningen finns den grundläggande prin- cipen i artikel 5.1 b. Nyheten i förhållande till 1995 års direktiv är att det för vidarebehandling som inte har direkt stöd i nationell rätt (eller unionsrätten) finns anvisningar i artikel 6.4 om vad den personuppgiftsansvarige särskilt ska beakta vid bedömningen av det nya ändamålets förenlighet med det ursprungliga ändamålet för behandling.

Som vi tidigare anfört anser vi att det ofta inte är möjligt att i nationell rätt endast återupprepa vad som redan står i en direkt tillämplig förordning. Ett återgivande av förordningens ordalydelse kan dock i vissa fall motiveras med hänvisning till dataskydds- förordningens skäl 8. Där anges att medlemsstaterna kan införliva delar av förordningen i nationell rätt om det behövs för samstäm- migheten och för att göra nationella bestämmelser begripliga för tillämparen. Detta gäller, som det får förstås, i de fall medlems-

7 Prop. 2002/03:135 s. 56, jfr s. 160.

109

staterna har möjlighet enligt förordningen att precisera eller begränsa förordningens bestämmelser i nationell rätt. Bestämmelsen i 5 kap. 2 § tredje stycket innebär en viss begränsning av myndighetens möjligheter i förhållande till dataskyddsförordningen eftersom den anger att behandling utanför de särskilt angivna sekundära ändamålen bara ska ske i enskilda fall. Begränsningen som sådan är tillåten enligt förordningen (se vidare avsnitt 2.5.3). Att behålla bestämmelsen oförändrad skulle möjligen kunna motiveras med det som sägs i skäl 8. Vi anser dock inte att det är lämpligt, eftersom bestämmelsen i sin nuvarande utformning skulle kunna ge intryck av att de bedöm- ningsgrunder som anges i artikel 6.4 inte är tillämpliga. Vi gör vidare överväganden i avsnitt 3.5.8

Bestämmelser i förordningen

I 1 § anges förordningens syfte m.m. Bestämmelsen avser inte personuppgiftsbehandlingen i sig och påverkas därmed inte av dataskyddsförordningen.

I 3–5 §§ finns bestämmelser om behörigheter för tillgång till personuppgifter och sökning bland personuppgifter som i huvud- sak avser att Kustbevakningen får meddela närmare föreskrifter i dessa frågor. Som vi anfört i våra generella övervägden påverkas inte bestämmelser om föreskriftsrätt av dataskyddsförordningen.

Bestämmelserna i 6 och 7 §§ avser tillämpningen av bestäm- melser i 4 kap. i lagen, som avser personuppgiftsbehandlingen i den brottsbekämpande verksamheten. Dessa bestämmelser ska alltså inte överföras till en förordning som avser övrig operativ verk- samhet.

I 8–11 §§ finns bestämmelser som närmare preciserar förut- sättningarna för direktåtkomst och annat elektroniskt utlämnande av personuppgifter. Som vi tidigare anfört får bestämmelser som närmare preciserar i vilken elektronisk form personuppgifter får

8 Flera andra utredningar lämnar förslag och/eller gör överväganden avseende motsvarande bestämmelser i andra registerlagar. Inte alla är samstämmiga, utan flera olika modeller presenteras för hur hänvisningen till finalitetsprincipen ska utformas med beaktande av dataskyddsförordningens reglering. Se vidare exempelvis Ds 2017:19 s. 78 och161 f., Ds 2017:26 s. 21 och 42 och Ds 2017:28 s. 28 och 107 f.

110

lämnas ut anses vara förenliga med dataskyddsförordningen i enlighet med artikel 6.2.

I 12 och 13 §§ finns allmänna bestämmelser om gallring som avser både brottsbekämpande och övrig operativ verksamhet. Som vi redogjort för i avsnitt 2.5.4 förhindrar inte dataskydds- förordningen att mer preciserade bestämmelser om gallring förekommer i nationell rätt. Det finns heller inget som hindrar mer preciserade bestämmelser om bevarande för arkivering, eller bevarande för historiska, statistiska eller vetenskapliga ändamål. Alla dessa ändamål anses i sig vara förenliga med de ursprungliga ändamålen för behandling, men innebär samtidigt inte någon skyldighet för medlemsstaterna att bevara personuppgifter. Att ha bestämmelser som preciserar när bevarande ska ske för sådana ändamål är alltså förenligt med dataskyddsförordningen.

Bestämmelserna om gallring i 14–18 §§ rör den brottsbe- kämpande verksamheten och berörs därmed inte av dataskydds- förordningens tillämpningsområde.

Förordningens 19 och 20 §§ avser Kustbevakningens möjlig- heter att meddela närmare föreskrifter. Bestämmelserna rör alltså inte personuppgiftsbehandlingen i sig och berörs därmed inte av dataskyddsförordningen.

Merparten av bestämmelserna i kustbevakningsdataförord- ningen som omfattas av dataskyddsförordningens tillämpnings- område är alltså i och för sig förenliga med förordningen. I 8 § finns dock en hänvisning till personuppgiftslagen och bestäm- melsen måste ändras redan av den anledningen. Det finns också skäl att göra vissa andra förändringar i den nuvarande förordningens bestämmelser. Vi lämnar förslag i avsnitt 3.5.8.

Förordningens 2 §

I 2 § finns en bestämmelse om samråd med Datainspektionen när kustbevakningen planerar att ta i drift nya it-system av större omfattning eller göra betydande förändringar i befintliga system. I dataskyddsförordningen finns en omfattande reglering av den personuppgiftsansvariges skyldigheter när det gäller säkerhet (artikel 25), konsekvensbedömningar och samråd med tillsyns- myndigheten (artikel 35 och 36). Regleringen i kustbevaknings-

111

dataförordningen kan enligt vår mening inte uppfattas som en precisering av något som föreskrivs i förordningen, utan får istället betraktas som en sådan likartad reglering som inte längre får förekomma i nationell rätt.

3.5Överväganden om och förslag till bestämmelser i en ny kustbevakningsdatalag och -förordning

3.5.1Lagens tillämpningsområde och huvudsakliga innehåll

Förslag: Den nya kustbevakningsdatalagen ska innehålla bestämmelser som i huvudsak överensstämmer med bestäm- melserna i 1 kap. 1, 2, 3 och 4 §§, 2 kap. 3, 4, 6–9 §§ och 5 kap. i den nuvarande kustbevakningsdatalagen.

Lagens tillämpningsområde ska i stort överensstämma med tillämpningsområdet för det nuvarande 5 kap. Från lagens tillämpningsområde undantas sådan personuppgiftsbehandling som omfattas av Kustbevakningens brottsdatalag.

Hänvisningar till Kustbevakningens brottsbekämpande verk- samhet ska anpassas till utformningen av tillämpningsområdet för Kustbevakningens brottsdatalag.

Bedömning: Utöver våra förslag avseende information till den registrerade föranleder dataskyddsförordningens artiklar om rättigheter för den registrerade inga nya bestämmelser eller författningsändringar i förhållande till den nuvarande kust- bevakningsdatalagen.

Skälen för förslaget och bedömningen:

En ny lag – huvudsakligt innehåll och struktur

Som vi konstaterat ovan anser vi att flertalet bestämmelser som finns i den nuvarande kustbevakningsdatalagen och som berör den personuppgiftsbehandling som faller under dataskyddsförord- ningens tillämpningsområde är förenliga med förordningen. De bör därför fortsätta att gälla och, i enlighet med vad vi anfört i avsnitt

112

Ds 2017:58 Kustbevakningsdatalagen och -förordningen

3.3, tas in i en ny lag. Det gäller bestämmelser i 1 kap. 1, 2, 3 och 4 §§, 2 kap. 3–4 och 6–9 §§ och i stort sett hela 5 kap. Bestäm- melserna kan alltså tas in i den nya lagen i huvudsak oförändrade. Vi återkommer i avsnitt 3.5.2–3.5.7 med särskilda överväganden och förslag om hur bestämmelser om ändamål, känsliga person- uppgifter, elektroniskt utlämnande, information till den registre- rade och längsta tid för behandling av personuppgifter ska utformas i den nya lagen.

Utöver vissa förändringar i enskilda bestämmelser, som vi alltså återkommer till i de följande avsnitten, innebär vårt lagsförslag i förhållande till den nuvarande kustbevakningsdatalagen vissa ändringar i den nya lagens struktur. Eftersom antalet bestämmelser blir begränsat, till följd av att personuppgiftsbehandlingen i den brottsbekämpande verksamheten regleras i en egen lag, behöver den nya lagen inte vara kapitelindelad. När kapitelindelningen försvinner är det också befogat att placera vissa bestämmelser i en annan ordningsföljd än tidigare, för att göra författningen mer lättläst. Exempelvis bör sökförbudet för känsliga personuppgifter placeras i anslutning till den grundläggande bestämmelsen om behandling av sådana uppgifter.

Lagens tillämpningsområde och andra hänvisningar till den brottbekämpande verksamheten

Som tidigare nämnts är dagens kustbevakningsdatalag uppdelad mellan personuppgiftsbehandling i den brottsbekämpande verk- samheten och personuppgiftsbehandling i den övriga operativa verksamheten (framgår av 1 kap. 2 och 5 §§ samt lagens kapitel- indelning). Denna uppdelning stämmer inte helt och hållet överens med gränsdragningen mellan det nya dataskyddsdirektivets tillämp- ningsområde och dataskyddsförordningens. Utredningen om 2016 års dataskyddsdirektiv har föreslagit ett tillämpningsområde för brotts- datalagen som till viss del överensstämmer med vad som beskrivs som brottsbekämpande verksamhet enligt kustbevakningsdatalagen, näm- ligen förebygga, förhindra eller upptäcka brottslig verksamhet och utreda eller beivra brott. Istället för beivra brott används dock uttrycket lagföra brott i brottsdatalagen. Brottsdatalagen, och därmed register-

113

författningar inom brottsdatalagens övergripande tillämpningsområde, ska därtill omfatta, såvitt nu är av intresse,9 att upprätthålla allmän ordning och säkerhet. Brottsdatalagen avses dock inte omfatta övervakning av den allmänna ordningen.

När det gäller den personuppgiftsbehandling som i dag regleras i 5 kap. kustbevakningsdatalagen står det klart att ändamålen i 1 § 2– 4 inte faller inom ramen för vare sig brottsbekämpning, lagföring eller upprätthållande av allmän ordning och säkerhet. När det däremot gäller punkten 1 (sjöövervakning m.m.) innefattar den, enligt vad som kan utläsas ur propositionen till lagen, inte bara övervakning utan också upprätthållande av allmän ordning.10

För att följa den systematik som föreslås av Utredningen om 2016 års dataskyddsdirektiv kan alltså inte nuvarande gräns- dragning mellan brottsbekämpning och övrig operativ verksamhet behållas fullt ut. Rent lagtekniskt kan detta åstadkommas genom att lagens tillämpningsområde får omfatta personuppgifts- behandling i den operativa verksamheten, men inte sådan person- uppgiftsbehandling som omfattas av Kustbevakningens brotts- datalag.

Att gränsdragningen mellan de två nya författningarna är något annorlunda avfattad än den mellan dagens 3 och 4 kap. å ena sidan och 5 kap. å den andra för också med sig att första punkten i de sekundära ändamålsbestämmelserna, för närvarande 5 kap. 2 §, får anpassas så att det istället för brottsbekämpande verksamhet anges den verksamhet som Kustbevakningens brottsdatalag kommer att omfatta, dvs. brottsbekämpande och lagförande verksamhet samt verksamhet för att upprätthålla allmän ordning och säkerhet.

Gränsdragningen mellan upprätthållande och övervakning av allmän ordning och säkerhet

Som framgår redan av betänkandet Brottsdatalag (SOU 2017:29) uppstår en del gränsdragningsfrågor när det gäller att avgöra omfattningen av den nya brottsdatalagens, och tillhörande

9Här bortses från syftet att verkställa straffrättsliga påföljder, eftersom Kustbevakningen inte utför några uppgifter inom det området, jfr tillämpningsområdet för Kustbevakningens brottsdatalag (SOU 2017:74 s. 121).

10Prop. 2011/12:45 s. 68 och 156 f.

114

registerförfattningars, tillämpningsområde. Vissa sådana frågor är dock inte nya, utan måste besvaras också vid tillämpningen av dagens regelverk. Exempelvis är kustbevakningsdatalagens 3 och 4 kap., som rör brottsbekämpande verksamhet, inte tillämpliga på kontrollverksamhet, vilket kan förorsaka gränsdragningsproblem, särskilt i den praktiska verksamheten.11 Samma gränsdragnings- frågor kan komma att aktualiseras avseende kustbevakningsdata- lagen å ena sidan och Kustbevakningens brottsdatalag å den andra. Vidare har det även tidigare anförts att det kan vara svårt att skilja mellan brottsbekämpande och ordningshållande verksamhet.12 Med den kommande gränsdragningen tillkommer alltså att inom ramen för ordningshållande verksamhet hålla isär övervakning och upprätt- hållande av ordningen. Utredningen om 2016 års dataskydds- direktiv anför följande.

Utredningen konstaterar i delbetänkandet att det är personuppgifts- behandling i syfte att upprätthålla allmän ordning och säkerhet som omfattas av brottsdatalagens tillämpningsområde. Utgångspunkten är att det krävs fysisk närvaro på den plats där oordning förekommer eller riskerar att uppstå för att det ska vara fråga om upprätthållande av allmän ordning och säkerhet (se SOU 2017:29 s. 164 f. och 167).

När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid sådan verksamhet bör följaktligen omfattas av tillämpningsområdet för Kustbevakningens brottsdatalag. Detsamma bör gälla vid ingripanden och andra åtgärder för att avvärja konkreta brott.

Den verksamhet som består av allmän övervakning i trygghets- skapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs, ligger däremot utanför tillämpningsområdet. Sådan övervakning kan utföras t.ex. genom rutinmässig patrullering till sjöss eller flygövervakning eller övervakning med hjälp av kameror eller annan digital utrustning i en ledningscentral. Denna typ av över- vakning görs utan att den är inriktad mot en konkret störning eller konkret risk för störning. Allmän övervakning av sådant slag kan emellertid övergå till att ha ett ordningshållande syfte och därmed omfattas av tillämpningsområdet. Så är fallet om ledningscentralen tar radiokontakt med ett övervakat fartyg för att ge anvisningar om t.ex. vilken kurs fartyget ska hålla för att undvika ett avlyst vattenområde. I

11Prop 2011/12:45 s. 157, jfr SOU 2017:29 s. 198 f.

12Se vidare prop. 2009/10:85 s. 75. Det kan noteras att regeringen dock framhöll att gränsdragningsproblemen inte ska överdrivas.

115

dessa fall upprätthålls allmän ordning och säkerhet utan någon fysisk närvaro på platsen där oordning förekommer eller riskerar att uppstå.

Även vid rutinmässig patrullering till sjöss kan det upptäckas ord- ningsstörningar som kräver ingripande. Det är oftast först vid ingri- panden som det blir fråga om att behandla personuppgifter. Gräns- dragningen avseende vilket regelverk som gäller i enskilda fall blir ytterst en fråga för tillämpningen.13

Behövs särskilda bestämmelser om förhållandet till den brottsbekämpande verksamheten?

Av formuleringen av lagens tillämpningsområde kommer det att framgå att viss del av personuppgiftsbehandlingen i Kustbevak- ningens operativa verksamhet regleras av en annan lag, Kust- bevakningens brottsdatalag. Den nuvarande bestämmelsen i 2 kap. 10 § om att det av behandlingen klart ska framgå om ändamålet är brottsbekämpning bör ses mot bakgrund av att person- uppgiftsbehandlingen i hela den operativa verksamheten i dag regleras i samma lag. När det nu blir fråga om två separata författningar menar vi att det inte längre finns något behov av en motsvarande bestämmelse i den nya kustbevakningsdatalagen. Av samma anledning anser vi att bestämmelsen i 5 kap. 3 § inte behövs i den nya lagen. Det framgår redan av de sekundära ändamåls- bestämmelserna att personuppgifter får behandlas för att lämnas till den brottsbekämpande verksamheten. Att ett sådant överlämnande behövs om det i den övriga operativa verksamheten uppkommer misstanke om begången brottslighet är självklart.

Den enskildes rättigheter enligt dataskyddsförordningen

Vi har i våra allmänna utgångspunkter (avsnitt 2.5.8) gjort en genomgång av dataskyddsförordningens artiklar som reglerar den enskildes rättigheter, bl.a. till rättelse och begränsning av behand- lingen. Som vi angett där har vi inte sett några generella skäl för att inskränka den enskildes rättigheter i något avseende. Inte heller när det gäller Kustbevakningens personuppgiftsbehandling kan vi se att det finns något behov att göra inskränkningar i de rättigheter som

13 SOU 2017:74 s. 477 f.

116

följer av dataskyddsförordningen, utom när det gäller rätten till information, som vi behandlar i det följande (avsnitt 3.5.6).

3.5.2Förhållandet till dataskyddsförordningen och dataskyddslagen

Förslag: Lagen ska innehålla upplysande bestämmelser som anger att den kompletterar dataskyddsförordningen och att dataskyddslagen gäller vid behandling enligt lagen.

Skälen för förslaget:

En bestämmelse om att lagen kompletterar dataskyddsförordningen

Som vi tidigare anfört anser vi att det i registerförfattningar är lämpligt att ange att den aktuella registerlagen kompletterar data- skyddsförordningen. Den nya kustbevakningsdatalagen bör alltså innehålla en sådan upplysande bestämmelse. Innebörden av att lagen kompletterar dataskyddsförordningen är dels att lagens bestämmelser preciserar dataskyddsförordningens mer allmänna principer för personuppgiftsbehandling, dels att dataskyddsför- ordningen innehåller reglering av vissa frågor som inte tas upp i kustbevakningsdatalagen, exempelvis avseende rättelse, tillsyn och sanktioner.

Upplysande bestämmelse om dataskyddslagen

I svensk rätt kommer dataskyddsförordningen att, förutom olika registerförfattningar, kompletteras av dataskyddslagen. Data- skyddslagen kommer att innehålla generella bestämmelser om bl.a. sanktioner och tillsyn. Vidare innehåller lagen bestämmelser som i sak överensstämmer med vissa bestämmelser i personuppgiftslagen och som sedan länge gällt även för kustbevakningens person- uppgiftsbehandling, exempelvis en bestämmelse om att sekretess innebär att informationslämnande kan underlåtas (5 kap. 1 § data- skyddslagen). Det finns alltså flera bestämmelser i dataskyddslagen

117

som kan behöva tillämpas för Kustbevakningens personuppgifts- behandling.

Som vi anfört i våra allmänna överväganden (avsnitt 2.5.9) är vår utgångspunkt att det i registerförfattningar bör hänvisas generellt till dataskyddslagen, trots att vissa bestämmelser i den lagen inte kommer att bli aktuella att tillämpa med avseende på en del myndigheters personuppgiftsbehandling. När det gäller känsliga personuppgifter föreslår vi, som framgår i stycke 3.5.4, en reglering i kustbevakningsdatalagen som i viss mån avviker från data- skyddslagens. Att avvikande bestämmelser i annan författning ska tillämpas istället för dataskyddslagen följer redan av att dataskyddslagen är subsidiär till annan författning.

3.5.3Primära och sekundära ändamål samt finalitetsprincipen

Förslag: Bestämmelser om primära och sekundära ändamål ska utformas på samma sätt som i dag. Att de sekundära ändamålen inte är uttömande tydliggörs genom en hänvisning till finalitets- principen i dataskyddsförordningen.

Skälen för förslaget:

Ska ändamålsbestämmelser bli rättsliga grunder?

Utredningen om 2016 års dataskyddsdirektiv har föreslagit att de bestämmelser som för närvarande är ändamålsbestämmelser i registerförfattningar under det nya dataskyddsdirektivets tillämp- ningsområde ska omformuleras så att bestämmelserna i stället avser rättsliga grunder för behandlingen. Vi har övervägt om en motsvarande förändring bör göras även i kustbevakningsdatalagen. Ett skäl för det är att det torde underlätta för tillämparen om de olika regelverken är så likartade som möjligt, jfr våra överväganden om känsliga personuppgifter i nästa stycke. Rent språkligt skulle det inte innebära några stora förändringar i författningstexten – det skulle handla om att ta bort ordet ändamål och i stället skriva rättslig grund i en rubrik. Vi anser i och för sig att det finns många goda argument för att göra den förändring som föreslås både av

118

Utredningen om 2016 års dataskyddsdirektiv och av Informa- tionshanteringsutredningen i slutbetänkandet Myndighetsdatalag (SOU 2015:39). Samtidigt ingår de föreslagna förändringarna i större och mer övergripande lagstiftningsprodukter – genomföran- det av det nya dataskyddsdirektivet i det ena fallet och införandet av en generell myndighetsdatalag i det andra. Förslaget från Utredningen om 2016 års dataskyddsdirektiv bör ses i ljuset av att dataskyddsdirektivet bygger på att de olika ändamålen för behand- ling av personuppgifter som omfattas av direktivets tillämpnings- område är sinsemellan förenliga. Inom direktivets tillämpnings- område kommer alltså finalitetsprincipen inte att bli tillämplig enligt utredningens uppfattning.14 Dataskyddsförordningen bygger tvärtom på en uppdelning mellan ursprungliga ändamål och vidarebehandling i enlighet med artikel 6.4. Förordningen använder i dessa och andra sammanhang ordet ändamål, på ett sätt som stämmer väl överens med terminologin i flertalet svenska registerförfattningar. Om ändamålsbestämmelser omvandlas till rättsliga grunder menar vi att det kan uppstå en osäkerhet kring hur vidarebehandling av insamlade uppgifter får ske och hur finalitetsprincipen enligt förordningen ska tillämpas. Inom ramen för vårt begränsade uppdrag anser vi inte att vi har möjlighet att göra den typen av övergripande överväganden som skulle behövas för att genomföra en sådan förändring på förordningens område. Vi föreslår därför ingen ändring av terminologin i kustbevakningsdatalagen, utan menar att dagens reglering av primära och sekundära ändamål bör finnas kvar, i vart fall tills frågan kan övervägas i en annan ordning än inom ramen för vår utredning.

En omformulerad hänvisning till finalitetsprincipen

De primära ändamålen i kustbevakningsdatalagen är uttömande angivna, men inte de sekundära. Detta markeras genom en hänvisning till att finalitetsprincipen i enskilda fall får tillämpas för att utlämna uppgifter (utlämnande får alltså ske för andra ändamål

14 SOU 2017:29 s. 248.

119

än de uppräknade sekundära, om ett annat ändamål inte är oförenligt med insamlingsändamålet).

Som vi redan diskuterat anser vi att hänvisningen till finalitetsprincipen inte kan stå kvar helt oförändrad, utan att någon form av tillägg måste göras för att bestämmelsen inte ska uppfattas som om den utesluter tillämpningen av artikel 6.4. Vi anser inte att det är ett alternativ att låta bestämmelsen helt utgå, eftersom den innehåller en begränsning av finalitetsprincipens tillämpning som inte skulle följa av den direkt tillämpliga förordningen. Syftet med dagens bestämmelse är vidare att tydliggöra att de sekundära ändamålen inte är uttömande angivna, vilket är ytterligare ett skäl till att bestämmelsen i någon form bör finnas kvar. Vårt förslag är alltså att nuvarande bestämmelse överförs till den nya kustbevak- ningsdatalagen, men omformuleras så att den i så liten utsträckning som möjligt upprepar vad som framgår av dataskyddsförordningen och i stället hänvisar till artikel 5.1 b och 6.4.

Som tidigare redogjorts för måste varje behandling enligt dataskyddsförordningen vara laglig, vilket för myndigheters del innebär att det ska finnas en rättslig grund för behandlingen som är fastställd i nationell rätt eller i unionsrätten. En vidarebehandling som är förenlig med finlitetsprincipen behöver dock ingen ytterligare rättslig grund och någon bedömning måste alltså inte göras av om behandlingen är laglig enligt artikel 6.1 och 6.3. Detta förhållande framgår av skäl 50.

3.5.4Känsliga personuppgifter

Förslag: Begreppet känsliga personuppgifter ska omfatta de särskilda kategorier av personuppgifter som särregleras i artikel 9 i dataskyddsförordningen. Känsliga personuppgifter ska få behandlas under i princip samma förutsättningar som i dag men bestämmelsen ska i denna del anpassas till brottsdatalagens reglering. Sökmöjligheterna för sådana personuppgifter ska begränsas på samma sätt som i brottsdatalagen.

Skälen för förslaget: Som vi redogjort för ovan är den nuvarande regleringen av känsliga personuppgifter i kustbevakningsdatalagen i och för sig förenlig med dataskyddsförordningen. De kategorier av

120

personuppgifter som särregleras i artikel 9 i dataskyddsförord- ningen överensstämmer dock inte helt med den uppräkning som görs i 2 kap. 7 § första stycket kustbevakningsdatalagen. Sär- regleringen av känsliga personuppgifter bör omfatta samtliga de kategorier av uppgifter som anges i dataskyddsförordningen (se vidare våra allmänna överväganden, avsnitt 2.5.6). Detta bör åstad- kommas genom att bestämmelsen i den nya kustbevakningsdata- lagen hänvisar till artikel 9.1 dataskyddsförordningen, istället för den nuvarande uppräkningen av vilka personuppgifter som avses.

När det gäller förutsättningarna för att få behandla känsliga personuppgifter har Dataskyddsutredningen föreslagit en reglering i 3 kap. 3 § dataskyddslagen som är likartad den som finns i dagens kustbevakningsdatalag. Bestämmelsen som begränsar möjligheten att använda sådana personuppgifter vid sökning i 3 kap. 4 § dataskyddslagen är också likartad vad som gäller enligt 5 kap. 4 § i dagens kustbevakningsdatalag. Förslaget till reglering i brotts- datalagen överensstämmer i huvudsak också med regleringen i nuvarande 2 kap. 7 § kustbevakningsdatalagen och därtill med Dataskyddsutredningens förslag. Det finns alltså åtminstone tre alternativ till en reglering av behandlingen av känsliga person- uppgifter i kustbevakningsdatalagen – de bestämmelser som gäller för närvarande, en reglering i enlighet med den i brottsdatalagen eller bestämmelser som motsvarar dataskyddslagens. Det sist- nämnda alternativet skulle i praktiken innebära att regleringen av känsliga personuppgifter i kustbevakningsdatalagen kunde tas bort.

För kustbevakningens del anser vi att intresset av en likalydande lagstiftning för brottsbekämpande och annan operativ verksamhet väger tyngst. Förutsättningarna för att behandla känsliga person- uppgifter i den operativa verksamheten utanför det brotts- bekämpande verksamhetsområdet bör därför utformas i enlighet med brottsdatalagens reglering. Även restriktionerna när det gäller sökning bör utformas på samma sätt som i brottsdatalagen.

121

3.5.5Elektroniskt utlämnande av personuppgifter

Förslag: Elektroniskt utlämnande av personuppgifter som inte avser direktåtkomst ska få ske om det inte är olämpligt.

Skälen för förslaget: Som vi redogjort för i avsnitt 2.5.4 är det förenligt med dataskyddsförordningen i och för sig att ha nationella bestämmelser om utlämnande av uppgifter. Det kan vara bestämmelser som preciserar till vilka mottagare utlämnande får ske, i vilka situationer och i vilken form personuppgifter lämnas ut. Bestämmelser om utlämnande i dagens kustbevakningsdatalag är alltså inte oförenliga med dataskyddsförordningen.

När det gäller utlämnande på vad som brukar kallas medium för automatiserad behandling föreslår Utredningen om 2016 års data- skyddsdirektiv vissa förändringar i Kustbevakningens brottsdatalag m.fl. registerförfattningar som omfattas av den utredningens uppdrag. I dessa registerförfattningar kommer det för sådant elektroniskt utlämnande att föreskrivas att det får ske om det inte är olämpligt, i stället för dagens reglering, som i de flesta fall (liksom i den nuvarande kustbevakningsdatalagen) anger att enstaka personuppgifter får lämnas ut på detta sätt. Skälen för utredningens förslag är i korthet att den nuvarande regleringen kritiserats för att vara alltför restriktivt utformad och att detta kan leda till att myndigheterna inte kan dra nytta av effektivitetsvinsterna med ny teknik. Utredningen föreslår också att uttryckssättet i de nuvarande bestämmelserna moderniseras på så sätt att de ska avse elektroniskt utlämnande på annat sätt än genom direktåtkomst och inte längre innehålla begreppet medium för automatiserad behandling.15

Den utformning av bestämmelsen om elektroniskt utlämnande som Utredningen om 2016 års dataskyddsdirektiv föreslår är, liksom den nuvarande bestämmelsen, lika förenlig med data- skyddsförordningen som den nuvarande bestämmelsen, eftersom den också utgör en tillåten precisering i enlighet med artikel 6.2 och 6.3. Skälen för att förändra bestämmelsen om utlämnande på medium för automatiserad behandling som Utredningen om 2016

15 SOU 2017:74 s. 371–375.

122

års dataskyddsdirektiv lagt fram gör sig lika starkt gällande i den övriga operativa verksamheten som i den brottsbekämpande. Därtill kommer, som vi tidigare framhållit, att det torde underlätta för en myndighet, som har både brottsbekämpande och andra uppdrag, om regleringen av personuppgiftsbehandling är likadant utformad. Vi föreslår därför att bestämmelsen om utlämnande på medium för automatiserad behandling anpassas till regleringen i Kustbevakningens brottsdatalag.

3.5.6Information till den registrerade

Förslag: Information till den registrerade behöver inte lämnas om insamling av personuppgifter gjorts genom ljud- och bildupptagning, om inte behandlingen i övrigt innebär en direkt identifiering av någon person. Information behöver inte heller lämnas i vissa larmsituationer.

Skälen för förslaget:

Nuvarande inskränkningar av den enskildes rätt till information

I dag gäller personuppgiftslagens bestämmelser om information till den registrerade genom hänvisningen i 2 kap. 2 § 5 kustbevak- ningsdatalagen. Den registrerades rätt till information är dock inskränkt genom bestämmelsen i 2 § tredje stycket, som anger att information inte behöver lämnas vid behandling som består av insamling genom bild eller ljud och inte heller om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen. När det gäller insamling genom bild och ljud anförde regeringen att Kustbevakningen kan komma att samla in personuppgifter exem- pelvis genom filmning från kustbevakningsflyget av oljeutsläpp. Regeringen anförde att det i en sådan situation framstår inte bara som orimligt utan också praktiskt ogörligt att informera personer som kan komma att fångas på bild. När det gäller information i samband med larm anförde regeringen bl.a. att information till någon som ringer in för att larma kan försena en behövlig åtgärd och dessutom inte torde intressera personen som larmar. Behovet

123

av information om personuppgiftsbehandlingen i en larm- eller liknande situation ansågs dock få bedömas från fall till fall.16

Undantagen från information är välgrundade i och för sig, och företrädare för kustbevakningen har uttryckt att det finns ett stort praktiskt behov att kunna fortsätta tillämpa samma ordning som i dag. Frågan är då om det i och med tillämpningen av data- skyddsförordningen finns möjlighet att göra samma undantag från informationskravet i förordningen som i dag gäller i förhållande till personuppgiftslagen.

Dataskyddsförordningens krav på information

Dataskyddsförordningens krav på information till den registrerade vid insamling av personuppgifter finns i artikel 13 och 14. Utform- ningen av artiklarna skiljer sig åt på några punkter, och vilken av dem som ska tillämpas beror på om personuppgifterna samlas in från den enskilde själv (artikel 13) eller från någon annan källa (artikel 14). En skillnad mellan artiklarnas krav är de möjligheter som finns enligt artikel 14 att underlåta att informera den registre- rade i vissa situationer. En sådan undantagsmöjlighet är om infor- mationsgivningen skulle visa sig vara omöjlig eller medför en oproportionerlig ansträngning (14.5 b). Några motsvarande eller liknande möjligheter att underlåta att informera finns inte direkt angivna i artikel 13. I förhållande till både artikel 13 och 14 är det dock möjligt att föreskriva undantag i nationell rätt i enlighet med artikel 23.

Utöver artikel 13, 14 och 23 innehåller dataskyddsförordning en annan bestämmelse som kan få betydelse för kraven på informa- tionslämnande, nämligen artikel 11. Enligt artikeln ska den person- uppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla information för att identifiera den registrerade endast i syfte att följa förordningen, om ändamålet med behandling i och för sig inte kräver identifiering.

16 Prop. 2011/12:45 s. 81 f.

124

Kan undantaget för bild- och ljudupptagningar behållas?

Det finns några olika sätt att motivera att nuvarande undantag från informationsplikten vid insamling genom ljud och bild kan behållas. Som redogjorts för ovan öppnar artikel 14 upp för att informationslämning kan underlåtas om personuppgifter samlas in från en annan källa än den enskilde själv. Att ingen sådan möjlighet finns då personuppgifter samlas in direkt från den enskilde enligt artikel 13 skulle kunna tolkas som att tillämpningen av artikel 13 förutsätter en direkt kontakt mellan den registrerade och den personuppgiftsansvarige, exempelvis muntligen eller skriftligen. Insamling genom bildupptagning där den personuppgiftsansvarige inte befinner sig i den registrerades omedelbara närhet, exempelvis för att insamlingen sker genom en övervakningskamera eller, som i Kustbevakningens fall, från ett flygplan, skulle då falla under artikel 14. I de flesta fall skulle då informationslämning till personer på bildupptagningen kunna bedömas som omöjlig eller i vart fall medföra en oproportionerlig ansträngning.

I det här avseendet har dock innebörden av artikel 13 och 14 tolkats på olika sätt.17 Att bedöma insamling av personuppgifter genom ljud och bild som insamlade från en annan källa än från den enskilde själv kan vara en tolkning som inte skulle stå sig vid en EU-rättslig prövning.

Om informationsskyldigheten ska bedömas utifrån artikel 13 finns, som sagt, istället möjligheten att göra undantag, om förut- sättningar i artikel 23 kan anses uppfyllda. Det skulle i så fall, enligt vår mening, vara fråga om en inskränkning i syfte att skydda den registrerades rättigheter och friheter (artikel 23.1 i). Om den personuppgiftsansvarige skulle vara skyldig att efterforska identiteten på den som endast syns på en bild skulle detta riskera att bli ett integritetsintrång i sig. Genom identifieringen med namn etc. skulle ju personuppgiften bli sökbar på ett sätt som en bild aldrig kan vara. Själva efterforskningen kan ge personuppgiften spridning bland andra

17 Se redogörelsen i kommentaren till 23 § i Öman/Lindblom, Personuppgiftslagen, En kommentar, Zeteo, 2016. Som exempel ur redogörelsen kan nämnas att i prop. 2006/07:46 s. 86 f. anförs att endast personuppgifter insamlade genom någon form av direktkontakt med den enskilde är insamlade från denne själv. När det gäller personuppgifter insamlade genom kameraövervakning bedömer å andra sidan Datainspektionen att uppgifterna är insamlade från den enskilde själv, medan danska Datatilsynet dock verkar ha gjort en motsatt bedömning i liknande fall.

125

enskilda på ett sätt som riskerar att uppfattas som ett intrång, även om bilden kan framstå som helt harmlös. För att göra undantag enligt artikel 23 krävs, utöver att ett relevant syfte kan identifieras enligt 23.1, att den inskränkande lagstiftningen lever upp till kraven i artikel 23.2. Vi anser att kustbevakningsdatalagen får anses uppfylla dessa krav – en närmare genomgång görs längre fram i detta avsnitt.

Att efterforskning av en persons identitet kan vara ett integritetsintrång när behandlingen i övrigt inte kräver en sådan identifiering är samtidigt troligen ett av skälen bakom regleringen i artikel 11. Bestämmelsen i denna artikel ger ett självständigt stöd för att information till den enskilde kan underlåtas i situationer då denne i övrigt inte är direkt identifierad.

Enligt vår uppfattning bör man kunna se det förevarande undantaget från informationslämning antingen som en tillåten precisering av artikel 11 eller som ett tillåtet undantag i enlighet med artikel 23. Det är inte nödvändigt att i författningstexten ange vilken artikel undantaget grundar sig på. Oavsett vilken artikel som möjliggör undantaget anser vi att det bör göras ett tillägg till bestämmelsen som preciserar att undantaget avser situationer där en person inte är direkt identifierad. Att insamlingen sker genom ljud eller bild är inte i sig tillräckligt för att vare sig artikel 11 eller undantagsmöjligheterna i artikel 23 ska vara tillämpliga – det finns flera tänkbara situationer då insamling genom ljud eller bild kan ske på ett sådant sätt att information kan lämnas direkt till den registrerade, exempelvis om muntlig kommunikation med enskilda spelas in och bevaras.

Informationslämnande i larmsituationer

När det gäller information om personuppgiftsbehandling till den som larmar Kustbevakningen är syftet med bestämmelsen framför allt att de åtgärder som behöver vidtas med anledning av larmet inte ska försenas på ett sätt som kan äventyra deras effektivitet. Av bestämmelsen framgår att en prövning ska göras från fall till fall, vilket också framgår av förarbetsuttalandena. I larmsituationer där det kan vara befogat att underlåta att lämna information framstår det som självklart att det handlar om ett skyddsbehov, antingen för den registrerade själv, andra individer (exempelvis vid sjöräddning), allmän säkerhet eller något annat viktigt mål av generellt allmänt

126

intresse (exempelvis en miljöräddningsinsats). En inskränkning kan alltså göras i enlighet med artikel 23.1. Det kan anmärkas att det inledningsvis i artikel 23.1 också sägs att begränsningar enligt artikeln ska göras med respekt för andemeningen i de grund- läggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Som vi anfört i våra allmänna överväganden bör man kunna utgå ifrån att författ- ningar uppfyller sådana grundläggande krav (avsnitt 2.5.4).

För att vara tillåten måste inskränkande lagstiftning i enlighet med artikel 23 också uppfylla en rad andra krav som räknas upp i artikel 23.2.

Kraven enligt artikel 23.2 är tämligen svepande, särskilt i och med att artikeln inledningsvis anger att den nationella lagstiftningen ska uppfylla kraven ”åtminstone när så är relevant”. Vi menar att kustbevakningsdatalagen får anses nå upp till kraven i bestämmelsen. Lagen innehåller sådana bestämmelser som nämns i denna del av artikeln, bl.a. ändamålet med behandlingen, vilken myndighet som är personuppgiftsansvarig, bestämmelser som begränsar personuppgifts- behandlingen på olika sätt och därmed utgör skyddsåtgärder. Den bestämmelse om lagringstid som finns i kustbevakningsdatalagen innebär ingen absolut tidsfrist, men är den reglering som ansetts relevant i sammanhanget. Att lagstiftningen som helhet innebär en avvägning mellan verksamhetens effektivitet och de registrerades relevanta fri- och rättigheter framgår av lagens syfte (1 kap. 1 §) och de överväganden som gjorts i lagstiftningsärendet. Den införda begränsningens omfattning är klart avgränsad.

Den registrerade kan inte ges rätt att bli informerad om den aktuella begränsningen, eftersom det skulle motverka syftet med den (punkten h).

3.5.7Längsta tid för behandling

Förslag: Bestämmelserna i 5 kap. 7 § om gallring och bevarande för vissa ändamål samt om digital arkivering överförs till den nya kustbevakningsdatalagen. Formuleringar om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål ska anpassas till dataskyddsförordningens terminologi och därmed ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

127

Skälen för förslaget: Som vi redogjort för i våra allmänna över- väganden (avsnitt 2.5.4) anser vi att bestämmelser som innehåller en uttrycklig bestämmelse om gallring är förenliga med data- skyddsförordningen, liksom bestämmelser om föreskriftsrätt. Bestämmelserna i 5 kap. 7 § i den nuvarande kustbevaknings- datalagen är alltså i huvudsak förenliga med dataskyddsförord- ningen och behöver inte ändras som en följd av att förordningen ska börja tillämpas. En justering bör dock göras av uttryckssättet i bestämmelsen när det gäller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I dataskyddsförordningen används i stället i olika sammanhang uttryckssättet arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (exempelvis i artikel 5.1 b och e). Vi bedömer inte att de olika uttrycken innebär någon skillnad i sak.18

Som vi redogjort för i våra allmänna överväganden anser Utredningen om 2016 års dataskyddsdirektiv att begreppet gallring bör utmönstras ur registerförfattningar. Vi menar att det kan finnas goda skäl för utredningens ställningstagande, men att det inte är motiverat att ändra de aktuella bestämmelserna om bevarande och gallring såvitt avser Kustbevakningens övriga operativa verksamhet, av följande skäl.

I propositionen till den nuvarande kustbevakningsdatalagen gjorde regeringen överväganden avseende behovet av gallringsbestämmelser. Där framhölls särskilt att gallringsbestämmelserna i kustbevaknings- datalagen är utformade i syfte att skydda den personliga integriteten. Vidare anfördes att gallringsbestämmelserna innebär att gallring ska utföras, alltså ska de uppgifter som omfattas av bestämmelserna heller inte arkiveras.19 Att ändra gallringsbestämmelsen i 5 kap. 7 § kustbevakningsdatalagen skulle innebära att utgångspunkten såvitt avser allmänna handlingar inte längre är gallring utan bevarande, låt vara inte i den operativa verksamheten, utan inom ramen för det arkivrättsliga regelverket. En sådan materiell förändring menar vi inte ligger inom ramen för vårt uppdrag. Vi föreslår därför bestämmelser i den nya kustbevakningsdatalagen som i sak överensstämmer med 5 kap. 7 § kustbevakningsdatalagen.

18 Jfr Ds 2017:28 s. 177 och 180 f. I promemorian lämnas en utförlig redogörelse för regle- ringen i 1995 års dataskyddsdirektiv och regleringen i dataskyddsförordningen, se s. 178–180.

19 Prop. 2011/12:45 s. 79 och 175.

128

3.5.8En ny kustbevakningsdataförordning

Förslag: Bestämmelserna i 1, 4, 9, 10, 13 och 20 §§ i den nuvarande kustbevakningsdataförordningen förs över till en ny förordning med samma namn.

Skälen för förslaget: Kustbevakningsdatalagens förändrade till- lämpningsområde innebär att bestämmelser i den nuvarande förordningen som rör den brottsbekämpande verksamheten inte ska tas upp i en ny kustbevakningsdataförordning. Det gäller 6, 7 och 14–18 §§ i förordningen.

Som vi tidigare redogjort för menar vi att 2 § i den nuvarande kustbevakningsdataförordningen reglerar samma förhållanden som också tas upp i dataskyddsförordningen. Bestämmelsen tillför inte heller något i sak som kan uppfattas som en precisering av dataskyddsförordningens bestämmelser. Den bör därför inte föras över till den nya kustbevakningsdataförordningen.

Övriga bestämmelser i kustbevakningsdataförordningen, som omfattas av dataskyddsförordningens tillämpningsområde, är däremot förenliga med förordningen. Vi gör bedömningen att av de bestämmelser som är förenliga med dataskyddsförordningen bör 1, 4, 9, 10, 13 och 20 §§ föras över till den nya förordningen. Reste- rande bestämmelser i kustbevakningsdataförordningen behövs inte längre i regleringen, av följande skäl.

Bestämmelsen i 8 § reglerar utlämnande på medium för automatiserad behandling. Med den nya utformningen av bestäm- melsen om sådant utlämnande i kustbevakningsdatalagen blir paragrafen överflödig. Även 11 § hänvisar till den nuvarande lag- regleringen av utlämnande på medium för automatiserad behandling och blir överflödig när lagregleringen får en ny utformning.

Utredningen om 2016 års dataskyddsdirektiv har gjort bedöm- ningen att vissa bestämmelser om föreskriftsrätt som finns i förordningar som omfattas av deras utredningsuppdrag är över- flödiga även av andra skäl än de ovan nämnda. Det gäller föreskriftsrätt avseende helt interna förhållanden hos de behöriga myndigheterna. Utredningen menar att myndigheternas interna

129

förhållanden kan och bör regleras på annat sätt än i föreskrifter.20 Vi delar denna uppfattning och föreslår därför inga motsvarande bestämmelser i en ny kustbevakningsdataförordning. Bestämmel- serna i den nuvarande förordningens 3, 5 och 19 §§ överförs därmed inte till den nya förordningen.

När det gäller bestämmelsen om föreskriftsrätt avseende bevarande för historiska, statistiska eller vetenskapliga ändamål (13 §) menar vi att uttryckssättet bör anpassas till data- skyddsförordningen, som i detta sammanhang talar om arkivända- mål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål (artikel 5.1 e).

Det kan slutligen anmärkas att när det gäller 4 § i den nuvarande kustbevakningsdataförordningen föreslås den paragrafen upphöra att gälla i kustbevakningens brottsdataförordning. Detta beror inte på att den är inaktuell, utan på att en generell reglering kommer att införas i brottsdataförordningen (4 b §).21 Utredningen om 2016 års dataskyddsdirektiv föreslår också att 20 § i kustbevaknings- dataförordningen ska upphöra att gälla. Den regleringen ersätt dock av regleringen i 3 kap. 7 § brottsdatalagen. Vi menar att 20 § i förordningen fortfarande är relevant inom den nya kustbevaknings- dataförordningens tillämpningsområde.22

20SOU 2017:74 s. 376 f.

21Se vidare författningsförslagen, SOU 2017:29 s. 261 och s. 294.

22Även om föreskriftsrätten i många fall tas bort i enlighet med vad vi föreslår, kommer Kustbevakningen fortfarande ha en sådan rätt med avseende på medgivande av direktåtkomst (10 § i nuvarande kustbevakningsdataförordningen och 4 § i vårt förslag).

130

År 1999 infördes fler bestämmelser om vapenregister i vapen- lagen, bl.a. om vapenregistrens ändamål och en hänvisning till personuppgiftslagens reglering av rättelse och skadestånd.3 En re- dogörelse för den rättsliga regleringen och den praktiska hanteringen av vapenregistren finns i regeringens proposition (2013/14:110) En ny organisation för polisen.4 I samma proposi- tion lämnas de förslag som numera utgör regleringen av person- uppgiftsbehandling i vapenlagen. Skälen till förslagen var dels att den dåvarande regleringen ansågs komplex, dels att det låg i linje med den nya grundlagsbestämmelsen i 2 kap. 6 § regeringsformen att stärka enskildas integritetsskydd genom att införa uttryckliga bestämmelser om tillgång till personuppgifter och behandling av känsliga personuppgifter.5 Vidare ansågs det dåvarande regelverket, som bl.a. innebar både lokala och centrala vapenregister, hämma både en effektiv handläggning av vapenärenden och en effektiv brottsbekämpning.6

Kort om bestämmelserna om personuppgiftsbehandling i vapenlagen och -förordningen

Regleringen av personuppgiftsbehandlingen i vapenregister och vapenärenden finns i 1 a kap. vapenlagen och motsvarande kapitel i vapenförordningen. I lagen finns bestämmelser om person- uppgiftsansvar, personuppgiftsombud, behandling av känsliga person- uppgifter, tillgång till personuppgifter, rättelse och skadestånd samt innehållet i de fyra separata vapenregistren (vapeninnehavarregistret, vapenregistret, vapenhandlarregistret och registret över auktoriserade sammanslutningar för jakt- eller målskytte). För vapenregistren finns vidare bestämmelser om ändamål, bevarande och gallring och utlämnande av uppgifter ur registren.

I vapenförordningen finns bestämmelser om samkörning, till- gången till uppgifter och elektroniskt utlämnande.

3SFS 1999:74, prop. 1998/99:36.

4Prop. 2013/14:110 s. 483–488.

5A. prop. s. 488.

6A. prop. s. 493 f.

132

4.1.1Kort om det nya vapendirektivet

I maj 2017 antogs ett direktiv med ändringar av det tidigare om- nämnda vapendirektivet (Europaparlamentets och rådets direktiv (EU) 2017/853 av den 17 maj 2017 om ändring av rådets direktiv 91/477/EEG om kontroll av förvärv och innehav av vapen). En särskild utredare har fått i uppdrag att överväga hur ändringarna i vapendirektivet ska genomföras i svensk rätt.7 Ändringarna i vapen- direktivet kan komma att innebära nya och förändrade bestäm- melser i 1 a kap. vapenlagen. Vi anser inte att våra ställnings- taganden påverkas av förändringarna i vapendirektivet i och för sig. De tillägg eller förändringar i 1 a kap. vapenlagen som behövs för att genomföra direktivet ingår i vapenutredningens uppdrag. Det kan anmärkas att i den mån direktivet ställer krav på en utökad personuppgiftsbehandling har denna behandling en unionsrättslig grund och är därmed förenlig med artikel 6 i dataskydds- förordningen (se vidare nedan).

4.1.2Vilken EU-rättsakt är tillämplig?

Bedömning: Behandlingen av personuppgifter i vapenärenden och förandet av vapenregistren omfattas av dataskyddsförord- ningens tillämpningsområde.

Skälen för bedömningen: Bakom författningsregleringen av skjut- och andra vapen ligger, som framgår av det tidigare citatet ur vapenlagens förarbeten, den grundläggande synen att det behövs en sträng kontroll av innehav och bruk av vapen för att förhindra missbruk och olyckshändelser. Strävan att förhindra att vapen används i brottslig verksamhet är också, självfallet, ett viktigt syfte. Kontrollen av vapen bygger på att vapeninnehav är tillstånds- pliktigt. Handläggningen av vapenärenden kräver behandling av personuppgifter. Register över vem som fått tillstånd och för vilka vapen är vidare en grundläggande förutsättning för att tillstånds- kravet ska kunna upprätthållas på ett effektivt sätt, samtidigt som

7 Uppdrag att utreda vissa frågor på vapenlagstiftningens område (Ju 2017:E).

133

sådana register är en förutsättning för att kunna utreda och beivra brott med kopplingar till vapen.

Man skulle i och för sig kunna hävda att hela systemet med tillståndsplikt och registrering av innehavare, vapenhandlare och vapen har till syfte att förebygga brott och att förebygga hot mot den allmänna säkerheten. I så fall omfattas personuppgifts- behandlingen inte av dataskyddsförordningens tillämpningsom- råde, utan av det nya dataskyddsdirektivets. Utredningen om 2016 års dataskyddsdirektiv har dock gjort en annan bedömning och menar att personuppgiftsbehandlingen i vapenärenden och vapenregister inte omfattas av det nya dataskyddsdirektivet.8 Brottsdatalagen är därmed inte tillämplig på sådan behandling. I linje med denna bedömning ligger att personuppgiftsbehandlingen enligt vapenlagen i dag inte omfattas av polisdatalagen, polisens centrala registerförfattning avseende brottsbekämpande verk- samhet. Även vår utgångspunkt är att personuppgiftsbehandlingen i vapenärenden och i vapenregistren omfattas av dataskydds- förordningens tillämpningsområde. Detta innebär att syftet med behandlingen inte är att bekämpa brott i det nya dataskydds- direktivets mening, eller något annat av direktivets syften med behandlingen. Polismyndigheten är därmed inte heller att betrakta som en behörig myndighet i direktivets mening vid behandling i vapenärenden och i vapenregistren, eftersom uppgiften att ha hand om tillståndsprövning m.m. avseende vapen inte ingår i myndighetens brottsbekämpande uppdrag. De bestämmelser som reglerar registerföringen och behandlingen i registren, exempelvis för utlämnande, samt behandlingen i vapenärenden för att pröva frågor om tillstånd är alltså en reglering som måste vara förenlig med dataskyddsförordningen för att kunna behållas efter det att förordningen ska börja tillämpas.

Personuppgifter ur både vapenregistren och vapenärenden kan dock komma att användas i Polismyndighetens brottsbekämpande verksamhet. Utlämnande av uppgifter ur vapenregistren kan också ske till andra myndigheter med ett brottsbekämpande uppdrag och för sådana syften som omfattas av det nya dataskyddsdirektivet. Vi återkommer i nästa avsnitt till frågan hur man ska bedöma utlämnanden av personuppgifter ur vapenregistren och vapen-

8 SOU 2017:29 s. 254, s. 291 f., 308 och 697.

134

ärenden till brottsbekämpande verksamhet. Vi återkommer i avsnitt 4.1.5 med överväganden om det ska införas bestämmelser som klargör förhållandet mellan 1 a kap. vapenlagen och annan reglering av personuppgifter.

4.1.3Överväganden om befintliga bestämmelser

Bedömning: Personuppgiftsbehandling i enlighet med 1 a kap. vapenlagen uppfyller kraven på rättslig grund i dataskydds- förordningens artikel 6.1 och 6.3.

Bestämmelser i 1 a kap. 1, 3–5, 7–15 §§ vapenlagen samt bestämmelserna i vapenförordningen är förenliga med data- skyddsförordningen och behöver inte ändras till följd av att förordningen ska börja tillämpas.

Bestämmelsen i 1 a kap. 2 om personuppgiftsombud är inte förenlig med dataskyddsförordningen. Bestämmelsen i 1 a kap. 6 § om rättelse och skadestånd måste ändras som en följd av att personuppgiftslagen upphör att gälla.

Skälen för förslaget och bedömningen:

Dataskyddsförordningens krav på rättslig grund

Som tidigare anförts är det grundläggande syftet med vapenlag- stiftningen att vapeninnehav ska kunna kontrolleras så att generella risker med vapenanvändning, såsom olyckshändelser och brotts- lighet, ska kunna motverkas. Polismyndighetens uppdrag att pröva tillstånd till vapeninnehav får alltså betraktas som en uppgift av allmänt intresse. För att tillståndsplikten ska kunna upprätthållas på ett effektivt sätt krävs att personuppgifter behandlas vid till- ståndsprövningen och att vapeninnehavare och vapenhandlare registreras. Personuppgiftsbehandlingen är alltså nödvändig för att utföra uppgiften av allmänt intresse och är därtill ett led i den myndighetsutövning som krävs för att upprätthålla tillståndskravet. Att föra vapenregistren och att handlägga vapenärenden är vidare en rättslig förpliktelse för Polismyndigheten. Det finns alltså rättsliga grunder för personuppgiftsbehandlingen i enlighet med dataskyddsförordningens artikel 6.1 c och e.

135

Tillståndsplikten för innehav av skjutvapen och handel med skjutvapen framgår av 2 kap. vapenlagen. Av 2 kap. 2 § följer att Polismyndigheten beslutar om tillstånd. Den uppgift av allmänt intresse som är grunden för personuppgiftsbehandlingen är alltså författningsreglerad, vilket innebär att förordningens krav på att den rättsliga grunden ska vara fastställd i nationell rätt (artikel 6.3) är uppfyllt. Förandet av vapenregistren är vidare författnings- reglerat i 1 a kap. vapenlagen och i 1 a kap. i förordningen, vilket också bör kunna ses som en författningsreglering av den rättsliga grunden för personuppgiftsbehandlingen.

Medlemsstaterna är vidare förpliktade enligt unionsrätten att ha viss kontroll över vapeninnehav enligt rådets direktiv om kontroll av förvärv och innehav av vapen (91/477/EEG) (vapendirektivet). Medlemsstaterna är enligt direktivet bl.a. skyldiga att föreskriva om tillståndsplikt för vapeninnehav och handel med vapen. Medlems- staterna ska också föra register över skjutvapen som ska innehålla bl.a. ägares namn. Den uppgift av allmänt intresse som gör det nödvändigt att behandla personuppgifter för tillståndsprövning och i vapenregister är alltså fastställd både i nationell rätt och i unions- rätten.

När det gäller rättsliga förpliktelser enligt artikel 6.1 c i data- skyddsförordningen ska syftet med behandlingen vara fastställt i nationell rätt eller unionsrätt enligt artikel 6.3. Ändamålet med vapenregistret anges i 1 a kap. 8 §. Att det övergripande syftet med att registrera vapeninnehav är att det ska gå att upprätthålla kontrollen av skjutvapen och den lagstadgade tillståndsplikten får vidare anses framgå av författningsregleringen som helhet och även av vapendirektivet.

Regleringen är i huvudsak förenlig med dataskyddsförordningen

Vapenlagen och -förordningen innehåller i huvudsak den typ av bestämmelser som utgör preciseringar av de grundläggande principerna för personuppgiftsbehandling och som vi tidigare konstaterat är förenliga med dataskyddsförordningen (jfr avsnitt 2.5.4), nämligen

–utseende av personuppgiftsansvarig (1 §)

–begränsning av tillgången till personuppgifter (5 §)

136

–precisering av vilka uppgifter som ska föras i register (7 §)

–registrens ändamål (8 §)

–bevarande och gallring (10 och 11 §§)

–utlämnande för statistiska ändamål (12 §)

–utlämnande till utländska myndigheter (13 §)

–direktåtkomst för svenska myndigheter (14 §)

–precisering av när samkörning får ske (1 och 2 §§ i förord- ningen)

–krav på särskild behörighet för tillgång och för viss behandling (3 och 4 §§ i förordningen)9

–elektroniskt utlämnande av uppgifter (5 § i förordningen)

När det gäller föreskriftsrätt finns sådana bestämmelser i 1 a kap. 15 § i lagen och 1 a kap 5 § i förordningen. Bestämmelser om föreskriftsrätt reglerar inte personuppgiftsbehandlingen som sådan. Bestämmelserna påverkas därmed inte av dataskyddsförordningen (se även avsnitt 2.5.4).

Behandling i registren eller i vapenärenden för att utlämna personuppgifter till brottsbekämpande verksamhet, polisens egen eller andra brottsbekämpande myndigheters, är att betrakta som en vidarebehandling som regleras i dataskyddsförordningens artikel 6.4. Av bestämmelsen i dataskyddsförordningen framgår att vidare- behandling kan regleras i nationell rätt och att det i sådana fall inte krävs att den personuppgiftsansvarige gör någon självständig bedömning av om ändamålet för vidarebehandling är förenligt med insamlingsändamålet (jfr skäl 50). Den nationella regleringen av vidarebehandling av uppgifter i vapenregistren för utlämnande till brottsbekämpande verksamhet finns i 1 a kap. 8 § vapenlagen, som anger vapenregistrens ändamål. Regleringen får anses uppfylla kraven i artikel 6.4, dvs. den är en nödvändig och proportionell åtgärd och skyddar ett av de mål som anges i artikel 23.1, nämligen det som tas upp i artikelns punkt d (bl.a. brottsbekämpning och

9 I 1 a kap. 4 § hänvisas till polisdatalagen (2010:361). Bestämmelsen bör ändras för att anpassas till kommande förändringar i polisdatalagen. Utredningen om 2016 års dataskydds- direktiv lämnar förslag till denna följdändring i SOU 2017:74 s. 114.

137

lagföring av brott). Om uppgifter i ett vapenärende ska lämnas ut finns däremot ingen särskild författningsreglering i 1 a kap. vapen- lagen. Vi överväger frågor om sådant utlämnande under en särskild rubrik nedan.10

När det gäller ändamålsbestämmelser har vi, när det gäller kustbevakningsdatalagen, övervägt om det finns skäl för oss att föreslå ändringar som innebär bl.a. att begreppet ändamål inte längre ska användas i enlighet med de överväganden och förslag som lämnas av Utredningen om 2016 års dataskyddsdirektiv. Vi har valt att inte föreslå sådana förändringar i kustbevakningsdatalagens ändamåls- bestämmelser och ser inte annorlunda på frågan när det gäller 1 a kap. 8 § vapenlagen. Se vidare våra överväganden i avsnitt 3.5.3.

Känsliga personuppgifter (1 a kap. 3 och 4 §§)

Regleringen av behandling av känsliga personuppgifter i 1 a kap. vapenlagen överensstämmer med vad som gäller enligt andra registerförfattningar för myndigheter som har både brottsbe- kämpande och andra uppdrag, exempelvis Kustbevakningen. Vi har tidigare konstaterat att denna utformning av regleringen får anses förenlig med dataskyddsförordningen i och för sig (se avsnitt 3.4). Vi återkommer i det följande med överväganden om regleringen ändå bör ändras i viss utsträckning.

Behandling av personnummer och uppgifter om lagöverträdelser

Vapenregistren innehåller personnummer. Detta är en självklar förutsättning för att personförväxling inte ska kunna förekomma när det gäller vapeninnehavare. Att vapenregistren innehåller personnummer framgår inte direkt av regleringen av registren, däremot framkommer det i bestämmelsen om bevarande i 1 kap. 10 § och av bestämmelser om vad en ansökan om vapeninnehav ska

10 Jfr även prop. 2009/10:85 s. 307 där det görs uttalanden om användandet av uppgifter i den brottsbekämpande verksamheten som härrör från polisens övriga verksamhet. Av uttalandet framgår att sådana utlämnanden ska bedömas utifrån den reglering som gäller för person- uppgiftsbehandlingen i fråga – med andra ord personuppgiftslagen och i förekommande fall en registerförfattning. När dataskyddsförordningen börjar tillämpas förändras rättsläget på så sätt att bedömningen istället får göras på grundval av förordningen och i förekommande fall en registerförfattning.

138

innehålla (2 kap. 6 § vapenförordningen). Som framgår av våra allmänna överväganden finns en bestämmelse i dataskyddsför- ordningen som särskilt avser nationella identifikationsnummer – artikel 87. Av våra allmänna överväganden framgår också att det i viss mån är tveksamt vilka krav artikel 87 ställer på regleringen av personnummer. För det fall artikelns krav på skyddsåtgärder skulle anses tillämpligt på regleringen i vapenregistren, menar vi att detta krav får anses uppfyllt. Vapenregistrens författningsreglering får i sig anses innebära skyddsåtgärder eftersom den i olika avseenden avgränsar vilka register som förs, vad de innehåller, hur länge uppgifter bevaras och tillgången till uppgifter i registren. Användningen av uppgifter ur vapenregister och vapenärenden begränsas också av den tillämpliga sekretessregleringen (se vidare i det följande). Vidare kan anmärkas att behovet att av att använda personnummer är motiverat av att personer i registren kan identi- fieras på ett säkert sätt, vilket är förenligt med den reglering som föreslås i dataskyddslagen och som i sin tur av Dataskydds- utredningen bedömts förenlig med artikel 87.

I vapenärenden kan också förekomma behandling av uppgifter om fällande domar i brottmål. Att sådan behandling endast får ske under kontroll av en myndighet följer av artikel 10. När behandlingen utförs av en myndighet ställer artikeln inga övriga krav för att sådan behandling ska vara tillåten. Det kan ändå noteras att möjligheten att få ut uppgifter ur belastningsregistret i sig är författningsreglerad (lagen [1998:620] om belastningsregister) och att uppgifter om en enskilds personliga förhållanden i ärende enligt vapenlagen omfattas av sekretess, om det kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs (35 kap. 23 § offentlighets- och sekretesslagen [2009:400]).

Personuppgiftsombud (1 a kap. 2 §)

Enligt 1 a kap. 2 § ska Polismyndigheten utse personuppgifts- ombud. Begreppet personuppgiftsombud används i personuppgifts- lagen och kommer att bli inaktuellt när denna lag upphävs. Skyldig- heten att utse dataskyddsombud kommer att följa direkt av data- skyddsförordningen och bör därmed inte författningsregleras (se vidare avsnitt 2.5.7).

139

Rättelse och skadestånd (1 a kap. 6 §)

Enligt 1 a kap. 6 § vapenlagen tillämpas personuppgiftslagens bestämmelser om rättelse och skadestånd på motsvarande sätt vid behandling av personuppgifter enligt vapenlagen eller föreskrifter med stöd av lagen. Paragrafen måste ändras eftersom person- uppgiftslagen kommer att upphöra att gälla. Vi återkommer i det följande med vår bedömning av om det behövs nya bestämmelser om rättelse eller skadestånd (avsnitt 4.1.5).

Bevarande och gallring (1 a kap. 9 §)

Som vi tidigare konstaterat (avsnitt 2.3.2) är det inte förenligt med dataskyddsförordningen att ha kvar bestämmelser som endast upprepar vad som redan följer av förordningen. Det kan ifråga- sättas om bestämmelsen i 9 § är en sådan upprepning av förord- ningens princip om lagringsminimering (artikel 5.1 e) att den bör utgå. Vi menar dock att den får uppfattas som en precisering, eftersom den endast tar sikte på personuppgifter i vapenregistren och begränsar bevarandet i förhållande till vapenregistrens specifika ändamål. Den hänger också samman med bestämmelsen i 10 § och gör därmed reglering mer sammanhängande och begriplig (jfr dataskyddsförordningens skäl 8).

Vidarebehandling för syften som inte regleras i 1 a kap. vapenlagen

Ändamålsbestämmelserna i 1 a kap. 8 § vapenlagen ger endast stöd för behandling i vapenregistren för att ge information i brottsbekämpande verksamhet. I övrigt regleras utlämnande till svenska myndigheter genom bestämmelsen om direktåtkomst (14 §). Utlämnanden till andra myndigheter än de som fått direktåtkomst för andra syften än brottsbekämpning, liksom utlämnanden ur vapenärenden, får alltså bedömas utifrån det generellt tillämpliga regelverket om person- uppgiftsbehandling, för närvarande personuppgiftslagen, samt tillämp- liga sekretessbestämmelser.11 Ett exempel på utlämnanden som i dag

11 Jfr prop. 2009/10:85 s. 307. När det gäller uppgifter i vapenregister och vapenärenden är sådana sekretessbelagda om det inte står klart att uppgiften kan röjas utan fara för att vapen eller ammunition kommer till brottslig användning, 18 kap. 16 och 16 a §§. I vapenärenden regleras även sekretessen, som redogjorts för i texten ovan, i 35 kap. 23 §.

140

sker med tillämpning av finalitetsprincipen är att Kronofogde- myndigheten får uppgifter för tillgångsundersökningar enligt utsök- ningsbalken.12 Kronofogdemyndigheten efterlyste i det senaste lagstiftningsärendet gällande vapenregistren att sekundära ändamål skulle införas i lagen. Regeringen anförde att det visserligen rent allmänt finns goda skäl att precisera tillåtna utlämnanden, men att det saknades beredningsunderlag i den delen och att frågan därför inte kunde behandlas vidare. Regeringen angav att det, utan närmare författningsreglering, är finalitetsprincipen som styr när uppgifter kan lämnas och till vem.13

Det ingår inte i vårt uppdrag att lämna förslag till författ- ningsreglering som inte är nödvändig som en följd av EU:s data- skyddsreform. Vi saknar också möjlighet, inom ramen för vårt uppdrag, att tillräckligt utreda frågan om vilka sekundära ändamåls- bestämmelser som skulle behövas. Vi kan dock konstatera att det inte finns något hinder mot att finalitetsprincipen tillämpas även efter det att personuppgiftslagen ersatts av dataskydds- förordningen. Det som tillkommer vid tillämpningen, och som är en nyhet i förhållande till det gamla dataskyddsdirektivet och personuppgiftslagen, är de särskilda omständigheter som ska beaktas vid bedömningen och som räknas upp i artikel 6.4 i förordningen. Om en vidarebehandling kan anses motiverad utifrån finalitetsprincipen behöver den personuppgiftsansvarige däremot inte göra någon ytterligare bedömning av om behandlingen är laglig enligt artikel 6.1 och 6.3. Detta framgår av förordningens skäl 50.

När det gäller tillämpningen av artikel 6.4 framgår det samtidigt, som vi tidigare redogjort för, att vidarebehandling som följer av nationell rätt är tillåten utan att en prövning görs med beaktande av artikelns punkter a–e. Man kan i det sammanhanget fråga sig om samverkansskyldigheten myndigheter emellan och uppgiftsskyl- digheten i enlighet med 6 kap. 5 § offentlighets- och sekretesslagen kan anses vara en sådan nationell reglering som ersätter skyldig- heten för en utlämnande myndighet att göra en självständig prövning av finalitetsprincipen, i de fall då det inte finns sekundära ändamålsbestämmelser som ger stöd för ett utlämnande. Frågan om förhållandet mellan finalitetsprincipen, 6 kap. 5 § offentlighets-

124 kap. 9 § utsökningsbalken, jfr Handbok, Utmätning, KFM 901, Utgåva 7, s. 72.

13Prop. 2013/14:110 s. 497.

141

och sekretesslagen och sekundära ändamålsbestämmelser är inte ny. Det har i olika sammanhang hävdats att den lagreglering som 6 kap. 5 § offentlighets- och sekretesslagen utgör innebär att lag- stiftaren redan tagit ställning till finalitetsprincipen och att en myndighet alltså inte behöver göra någon ytterligare prövning av den principen vid utlämnande till en annan myndighet som kan ske i enlighet med den bestämmelsen.14 Ett sådant resonemang överfört till dataskyddsförordningens kontext skulle innebära att lag- regleringen i 6 kap. 5 § är en grund för vidarebehandling i nationell rätt som innebär att någon prövning i enlighet med artikel 6.4 inte skulle behöva göras. Samtidigt står dessa tidigare ställnings- taganden om finalitetsprincipens tillämpning i förhållande till 6 kap. 5 § inte oemotsagda.15 När det gäller vårt uppdrag och regleringen av personuppgiftsbehandlingen i 1 a kap. vapenlagen, kan vi inte göra annat än att hänvisa till att regeringen tidigare angett att finalitetsprincipen ska tillämpas när utlämnanden som inte närmare regleras i 1 a kap. vapenlagen övervägs. Frågan om tillämpningen av finalitetsprincipen i enlighet med dataskydds- förordningens artikel 6.4 skulle dock förtjäna att bli mer övergripande belyst. Eftersom den frågan har en mycket vidare betydelse än med avseende på de författningar som ingår i vårt uppdrag, menar vi att det måste ske i ett annat sammanhang, exempelvis i den fortsatta beredningen av Informationshanterings- utredningens förslag till myndighetsdatalag.16

14En redogörelse av olika uttalanden i denna fråga finns i Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39) s. 271–275. Informationshanteringsutredningens eget ställningstagande följer på s. 283 f. där det bl.a. anförs följande: ”När det gäller frågan om utlämnande av personuppgifter till andra myndigheter eller till enskilda är det alltså vår uppfattning att behandling i form av utlämnanden är förenliga med finalitetsprincipen så länge som utlämnandena som sådana sker i överensstämmelse med lag eller förordning enligt vilken uppgifterna får eller ska lämnas ut. Härmed avses i första hand utlämnanden till annan myndighet enligt 6 kap. 5 § OSL och utlämnanden av sekretessreglerade uppgifter till en annan myndighet eller enskild, på begäran eller på eget initiativ, som sker med stöd av någon sekretessbrytande bestämmelse. Vi menar alltså att lagstiftaren genom att reglera ett uppgiftslämnande får anses ha tagit ställning till att sådana utlämnanden som ska eller får ske inte är oförenliga med ursprungliga

ändamål.”

15Se föregående not.

16SOU 2015:39.

142

4.1.4Överväganden om och förslag till författningsändringar

Förslag: Bestämmelserna om utseende av personuppgiftsombud (1 a kap. 2 §) och rättelse och skadestånd (1 a kap. 6 §) upphävs. I 1 a kap. 2 § vapenlagen införs istället en upplysning om att 1 a kap. kompletterar dataskyddsförordningen och att data- skyddslagen är tillämplig på behandlingen enligt kapitlet.

Ordalydelsen i bestämmelserna om känsliga personuppgifter (1 a kap. 3 och 4 §§) anpassas till dataskyddsförordningens och brottsdatalagens reglering.

Bedömning: Ingen ny reglering av rättelse eller skadestånds- ansvar behövs. Det saknas skäl att införa några författnings- reglerade inskränkningar med avseende på artikel 16–21 i dataskyddsförordningen.

Skälen för förslaget och bedömningen:

Förhållandet till annan reglering av personuppgiftsbehandling

Vi har avseende andra författningar anfört att det finns skäl att införa en upplysande bestämmelse som avser bl.a. det förhållande att en författning kompletterar dataskyddsförordningen. Det gäller för- fattningar som i dag innehåller en reglering av förhållandet mellan den aktuella författningen och personuppgiftslagen. I 1 a kap. vapenlagen finns dock ingen bestämmelse som anger hur regleringen förhåller sig till personuppgiftslagen. Vi anser att det nu finns skäl att i 1 a kap. vapenlagen införa bestämmelser som klargör att det är dataskydds- förordningen som är tillämplig på behandlingen i vapenregister och i vapenärenden. För myndigheter som har i uppdrag både att bekämpa brott och utföra andra förvaltningsuppgifter torde det finnas ett sär- skilt behov av att lagstiftningen är så tydlig som möjligt när det gäller vilket eller vilka nya regelverk som är tillämpliga i olika situationer.

Som vi konstaterat måste bestämmelserna i 2 § om personupp- giftsombud utgå. Vi föreslår att innehållet i 2 § ersätts av en ny bestämmelse som anger att 1 a kap. vapenlagen kompletterar data- skyddsförordningen och att dataskyddslagen därtill är tillämplig (se vidare våra allmänna överväganden, avsnitt 2.5.9, om hur förhållandet till dataskyddslagen bör formuleras.)

143

Anpassning av bestämmelserna om känsliga personuppgifter

Som vi anfört tidigare i detta kapitel (avsnitt 4.1.4) är de nuvarande bestämmelserna om känsliga personuppgifter i och för sig förenliga med dataskyddsförordningen. Begreppet känsliga personuppgifter kommer dock, både i dataskyddslagen och i brottsdatalagen, få en vidare räckvidd än dagens begrepp. En justering bör därför göras så att samtliga de kategorier som omfattas av begreppet enligt dataskyddslagen och brottsdatalagen omfattas. Detta kan lämpligen åstadkommas genom att dagens uppräkning av personuppgifter som avses tas bort och ersätts med en hänvisning till den upp- räkning som görs i 9.1 dataskyddsförordningen (jfr 3 kap. 1 § data- skyddslagen).

När det gäller förutsättningarna i sak för att behandla känsliga personuppgifter har vi när det gäller kustbevakningsdatalagen (se avsnitt 3.5.4) konstaterat att det finns tre olika möjligheter som alla är förenliga med dataskyddsförordningen – att behålla bestämmel- serna oförändrade, att ta bort dem och låta dataskyddslagens reglering bli gällande eller att anpassa dem till vad som kommer att gälla enligt brottsdatalagen. Vi bedömer att det inte är någon större saklig skillnad mellan de tre alternativen. Det som bör vara utslags- givande är vilken konstruktion som kan anses underlätta för tilläm- paren. Polismyndigheten är, liksom Kustbevakningen, en myndig- het som kommer att ha att förhålla sig till flera olika regelverk om dataskydd, varav tre olika generella regleringar, nämligen brotts- datalagen, dataskyddsförordningen och dataskyddslagen. Vi menar att om regleringen så långt det är möjligt blir likalydande för myndigheten måste detta vara något som underlättar vid tillämp- ningen. Just när det gäller känsliga personuppgifter finns det en möjlighet att inom det område som i och för sig övergripande regleras av dataskyddsförordningen ha en reglering som överens- stämmer med den som kommer att gälla inom brottsdatalagens tillämpningsområde. Vi föreslår därför att regleringen av förutsätt- ningarna för att behandla känsliga personuppgifter och sökbegräns- ningar avseende sådana personuppgifter anpassas så att de överens- stämmer med brottsdatalagens.

144

Rättelse och skadestånd

Vi anser att dataskyddsförordningens bestämmelser om rättelse och skadestånd blir tillämpliga även om ingen särskild hänvisning görs i registerförfattningar, se vidare avsnitt 2.5.9. Den nuvarande bestämmelsen i 1 kap. 6 § vapenlagen kan alltså utgå och paragrafen upphävas.

Särskilt om begreppet gallring i 1 a kap. 11 §

Som vi tidigare redogjort för har Utredningen om 2016 års data- skyddsdirektiv väckt frågan om inte bestämmelser som använder ordet gallring bör ändras i vissa fall. När det gäller regelrätta register menar vi att det dock kan finnas skäl att ha kvar bestäm- melser om gallring, när syftet med bestämmelsen är att ge förut- sättningar för just en arkivrättslig gallring. Att syftet samtidigt är att skydda den enskildes integritet motiverar i sådana fall inte att terminologin förändras, se vidare våra överväganden om gallrings- bestämmelserna i belastningsregistret (avsnitt 5.5).

I 1 a kap. vapenlagen finns en bestämmelse som tar upp gallring

– det gäller gallring av uppgifter om hemvärnets personal i 11 §. Av förarbetsuttalanden framgår att bestämmelsen har flera syften, varav ett är att ge förutsättningar just för en arkivrättslig gallring – det sägs i propositionen att uppgifterna inte ska bevaras för historiska, vetenskapliga eller statistiska ändamål (i vart fall inte inom ramen för arkivering utförd av Polismyndigheten).17 Som framgår av propositionen var frågan om användningen av ordet gallring redan väckt i det lagstiftningsarbetet genom Riksarkivets remissyttrande. Vi menar att det inte finns skäl att nu ändra bestämmelsen om gallring i 1 a kap. 11 §.18

17Prop. 2013/14:110 s. 501–502.

18A. prop. s. 501.

145

Den enskildes rättigheter enligt förordningen – behov av inskränkningar?

Som tidigare redogjorts för innehåller dataskyddsförordningen direkt tillämpliga rättigheter för den enskilde med avseende på information, rättelse m.m. Eftersom rättigheterna i viss mån avviker från vad som gäller i dag enligt personuppgiftslagen anser vi att det bör övervägas vad förordningens bestämmelser innebär i praktiken för behandlingen i vapenärenden och vapenregistren och om några inskränkningar behöver göras enligt artikel 23.

Våra generella överväganden om enskildas rättigheter följer av avsnitt 2.5.8. Vi har kommit fram till att det i allmänhet inte är motiverat att införa inskränkningar i den registrerades rättigheter enligt förordningen. Vi har inte funnit några skäl som mer specifikt rör behandlingen av personuppgifter enligt 1 a kap. vapenlagen som leder till något annat ställningstagande.

4.2Förordningen om tillstånd till införsel av vissa farliga föremål

4.2.1Om författningen

Bakgrund

Förordningen (1990:415) om tillstånd till införsel av vissa farliga föremål (kallas förordningen om farliga föremål eller förordningen i det följande) innebär i princip ett införselförbud för föremål som inte är skjutvapen men som är ägnade att användas som vapen eller tillhyggen vid våldsutövning mot andra människor, exempelvis springstiletter och knogjärn.

Förordningen ska ses mot bakgrund av införandet av lagen (1988:254) om förbud beträffande knivar och andra farliga föremål (knivlagen). Genom knivlagen infördes förbud mot att inneha knivar, andra stick- och skärvapen och andra föremål som är ägnade att användas som vapen vid brott mot liv eller hälsa. Förbudet var först begränsat till att avse allmänna sammankomster och offentliga tillställningar. Redan två år efter ikraftträdandet utvidgades för-

146

budet till att avse allmän plats och inom skolområden.19 Ett ut- vidgat knivförbud ansågs vara ägnat att minska antalet våldsbrott med stick- och skärvapen och andra liknande tillhyggen.

När det gällde förbud mot saluförande och införsel av knivar m.m. anförde departementschefen följande.

Som utredningen anför måste en verksamhet som syftar till saluhållning av föremål som endast kan användas för våld mot andra människor anses som stötande. Samhällets avståndstagande mot sådana förfaranden bör tydligt markeras. Jag delar därför utredningens uppfattning att det bör införas ett förbud mot att bjuda ut gatustridsvapen till försäljning.

[…]

När det därefter gäller frågan om ett införselförbud för gatu- stridsvapen delar jag i och för sig utredningens uppfattning att det inte heller finns skäl att tillåta import av sådana.20

Ett förbud mot saluhållning av vissa farliga föremål infördes i knivlagen. Av framförallt författningstekniska skäl infördes dock inget införselförbud i lagen, utan regleringen infördes istället i förordning. Föreskriftsrätten följde av dåvarande vapenlagen (1973:1176), 1 § tredje stycket (jfr nuvarande 11 kap. 1 § a).21

19SFS 1990:413, prop. 1989/90:129.

20A. prop. s. 17.

21Se vidare a. prop. s. 17 f.

147

Förordningens innehåll

Förordningen om farliga föremål omfattar sju paragrafer. Enligt förordningen krävs tillstånd för att föra in vissa särskilt uppräknade farliga föremål, exempelvis springstiletter och knogjärn. Förut- sättningen för tillstånd är att den som vill föra in föremålet i fråga kan visa att det är avsett att ingå i en vapensamling eller innehas för något liknande ändamål. Polismyndigheten prövar frågor om tillstånd.

Den bestämmelse i förordningen som berör personuppgifts- behandling är 4 §, som anger att vissa bestämmelser i vapenlagen ska gälla ”i tillämpliga delar”. Till de uppräknade bestämmelserna hör 1 a kap. 7 §, som reglerar förandet av vapenregister och registrens innehåll. Polismyndigheten ska alltså föra ett register över personer som beviljas tillstånd att föra in ett sådant farligt föremål som omfattas av förordningens tillämpningsområde.

4.2.2Överväganden och förslag

Bedömning: Personuppgiftsbehandling i enlighet med för- ordningen om farliga föremål omfattas av dataskydds- förordningens tillämpningsområde. Personuppgiftsbehand- lingen har en rättslig grund i enlighet med dataskydds- förordningens artikel 6.1 och 6.3.

Förslag: I förordningen införs två nya hänvisningar, till 1 a kap. 2 § och 8 §§ vapenlagen.

Skälen för bedömningen och förslaget: Liksom när det gäller vapenlagen och personuppgiftsbehandling i vapenärenden och i vapenregistren skulle man kunna se personuppgiftsbehandling med anledning av införselförbudet av farliga föremål som en verksamhet som syftar till att förebygga brott och hot mot den allmänna säkerheten, i vart fall i vid bemärkelse. Som vi anfört gällande vapenlagen m.m. (se avsnitt 4.1.3) har vi dock som utgångspunkt de ställningstaganden som Utredningen om 2016 års dataskydds- direktiv har gjort när det gäller gränsdragningen för det nya dataskyddsdirektivet. Behandling av personuppgifter med anled-

148

ning av förordningen om farliga föremål bör betraktas på samma sätt som hanteringen av vapenärenden. Personuppgiftsbehandling som utförs i enlighet med förordningen om farliga föremål omfattas alltså av dataskyddsförordningens tillämpningsområde.

Eftersom Polismyndigheten getts i uppdrag att upprätthålla införselförbudet av farliga föremål genom att ge tillstånd och även registrera innehav av sådana föremål, får personuppgiftsbehandlingen anses vara nödvändig för att fullgöra en uppgift av allmänt intresse i enlighet med dataskyddsförordningens artikel 6.1 e. Uppgiften av allmänt intresse, och även personuppgiftsbehandlingen till viss del, är reglerad i författning och därmed är också kravet på rättslig grund enligt artikel 6.3 uppfyllt. Det kan tilläggas att allmän- intresset i att ha ett införselförbud för farliga föremål tydligt framgår om man ser regleringen i sitt sammanhang, tillsammans med vapenlagen, knivlagen och förarbetena till dessa lagar.

Förutom hänvisningen till bestämmelsen om vapenregister i vapenlagen innehåller förordningen om farliga föremål ingen närmare reglering av personuppgiftsbehandling. Dataskyddsför- ordningen innebär i sig inga krav på att personuppgiftsbehandling ska särregleras enligt nationell rätt. Dataskyddsförordningens bestämmelser är direkt tillämpliga på behandlingen oavsett om det finns nationell rätt som preciserar principerna i förordningen eller inte.

Som vi tidigare anfört ligger det inte inom ramen för vårt uppdrag att föreslå nya materiella bestämmelser om person- uppgiftsbehandling. Vi har däremot när det gäller flera författ- ningar föreslagit att det ska införas vad som får betraktas som i huvudsak upplysande bestämmelser, för att klargöra förhållandet mellan en registerförfattning och annan reglering. Det kan i och för sig ifrågasättas om sådana hänvisningar är nödvändiga i alla författningar. När det gäller förordningen om farliga föremål anser vi dock att den, genom hänvisningarna till vapenlagen och genom sitt innehåll och syfte i övrigt, har ett sådant samband med vapenlagstiftningen att det kan vara lämpligt att i förordningen hänvisa inte bara till 1 a kap. 7 § utan också till den bestämmelse som vi föreslår ska införas 1 a kap 2 §. Bestämmelsen är till för att klargöra förhållandet att det är dataskyddsförordningen som är tillämplig på personuppgiftsbehandlingen enligt förordningen om farliga föremål. Vi anser vidare att en hänvisning till 1 a kap. 8 § bör

149

införas. Uppgifterna om innehav av farliga föremål skulle kunna behövas för att utreda brott etc. En sådan vidarebehandling torde i och för sig vara tillåten med en tillämpning av den bedöm- ningsmodell som föreskrivs i 6.4 dataskyddsförordningen. Som vi utvecklat i avsnitt 4.1.4 kan dock nationell författningsreglering ersätta den prövning som föreskrivs i artikel 6.4, vilket torde underlätta för tillämparen. En hänvisning till 1 a kap. 8 § innebär att vidarebehandling i brottsbekämpande syften får anses följa av nationell rätt på det sätt som förutsätts i artikel 6.4.

150

Kort om författningarnas innehåll

I lagen om belastningsregister föreskrivs en skyldighet för Polis- myndigheten att med hjälp av automatiserad behandling föra ett belastningsregister som myndigheten är personuppgiftsansvarig för (1 §). Lagen innehåller sedan till största delen bestämmelser om belastningsregistrets innehåll (3–5 §§), utlämnande av uppgifter ur registret (6–15 §§) och gallring (16–18 §§). Regeringen har möjlighet att meddela närmare föreskrifter och förordningen om belastningsregister innehåller också mer detaljerade bestämmelser på dessa områden.

Inledningsvis i lagen finns bestämmelser om belastnings- registrets ändamål (2 §) och om förhållandet till andra lagar (personuppgiftslagen [1998:204] och lagen [2013:329] med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, 1 a § respektive 1 b §).

När det gäller rättigheter för den registrerade innehåller lagen dels bestämmelser om rätt till utdrag från registret till den registrerade själv, dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (9 § respektive 20 §).

Utbyte inom EU av uppgifter ur medlemsstaternas kriminalregister

Genom rådets rambeslut 2009/315/RIF om medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll (kallas rambeslutet om kriminalregister eller rambeslutet i det följande) skapades nya förbättrade möjligheter för medlems- staterna att rutinmässigt utbyta uppgifter ur de nationella kriminalregistren. Rambeslutet innebär en skyldighet att fort- löpande informera det land där en dömd person är medborgare om domar som meddelas i en annan medlemsstat. Sådana uppgifter ska registreras i medborgarstaten. På detta sätt ska kriminalregistret i den stat där en person är medborgare täcka in uppgifter från alla EU-länder. Som påpekas i förarbetena skedde även före genom- förandet av rambeslutet ett liknande informationsutbyte, men rambeslutet kräver ett något annorlunda och snabbare förfarande.2

2 Prop. 2011/12:163 s. 55.

152

Rambeslutet om kriminalregister innehåller också bestämmelser om utbyte av uppgifter efter särskild begäran från en medlemsstat. Bestämmelserna innebär en förenkling, genom att varje medlems- stat har utsett en centralmyndighet som administrerar uppgifts- lämnandet. Rambeslutet gör skillnad på om begäran sker i syfte att använda uppgifterna i ett brottmålsförfarande eller om det sker för andra ändamål. Medlemsstaterna har möjlighet att begränsa åtkomsten till uppgifter i andra syften än brottmålsförfaranden. Vid genomförandet ansåg regeringen att det var rimligt att ge andra medlemsstaters myndigheter, vars verksamhet med exempelvis tillståndsprövning motsvarar svenska myndigheters, tillgång till uppgifter ur belastningsregistret.3

Rambeslutet har genomförts i svensk rätt i huvudsak genom tillägg i lagen och förordningen om belastningsregister.4

Tillämpliga sekretessbestämmelser

För uppgifter i belastningsregistret råder absolut sekretess. Upp- gifter får inte lämnas ut utom i de fall som regleras i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar (35 kap. 3 § offentlighets- och sekretesslagen [2009:400]). Den absoluta sekretessen gäller dock bara i verksamhet som avser förande av eller uttag ur registret. När uppgifter tas ut av en myndighet för att användas i den egna verksamheten gäller istället i förekommande fall sekretess enligt de bestämmelser som gäller för denna verksamhet. Enskilda som fått uppgifter ur belastningsregistret avseende någon annan än dem själva är istället bundna av tystnadsplikt (19 §).

3Prop. 2011/12:163 s. 42 f.

4SFS 2012:762 och prop. 2011/12:163.

153

5.2Vilken EU-rättsakt är tillämplig?

Bedömning: Förandet av belastningsregistret och uttag ur registret i brottsbekämpande syften faller under det nya dataskyddsdirektivets tillämpningsområde. På annan behandling av personuppgifter i registret, exempelvis för att lämna belast- ningsuppgifter som underlag för olika slag av lämplighets- och tillståndsprövningar, tillämpas dataskyddsförordningen.

Skälen för bedömningen:

Dataskyddsdirektivet, dataskyddsförordningen eller båda?

Belastningsregistret är ett helt automatiserat register som inne- håller personuppgifter. Förandet av belastningsregistret och behandling av uppgifter i registret, exempelvis sökning och utläm- nande, innefattar alltså sådan personuppgiftsbehandling som kan falla antingen under dataskyddsförordningens eller det nya data- skyddsdirektivets tillämpningsområde. Det kan dock vara värt att notera att bestämmelser om uttag ur registret i och för sig inte tar sikte på att reglera frågor om dataskydd, utan är nödvändiga för att bryta den absoluta sekretess som råder för registret och som beskrivits ovan (avsnitt 5.1). Eftersom det dels är fråga om ett regelrätt register, dels om ett helt automatiserat sådant, kommer varje utlämnande som aktualiseras utifrån de sekretessbrytande bestämmelserna dock att innebära även att personuppgifter behandlas på sätt som omfattas av de dataskyddsrättsliga regel- verken (jfr vidare våra allmänna överväganden, avsnitt 2.5.4).

Belastningsregistret förs av en myndighet som har ett brotts- bekämpande uppdrag i det nya dataskyddsdirektivets mening.5 Belastningsregistret innehåller uppgifter om begångna brott och i påföljder för brott. Det innehåller också uppgifter om kontakt- förbud, förbud enligt 3 kap. 5 § lagen (2015:642) om europeisk skyddsorder och tillträdesförbud. Personuppgiftsbehandling

5 Enligt artikel 3.7 är definitionen av en behörig myndighet bl.a. en offentlig myndighet som har behörighet att förebygga, förhindra, utreda eller avslöja brott. Endast behöriga myndigheters personuppgiftsbehandling i brottsbekämpande syften omfattas av direktivets tillämpningsområde, se artikel 2.

154

avseende frågor om att meddela tillträdes- och kontaktförbud får anses omfattas av det nya dataskyddsdirektivets tillämpnings- område i och för sig, eftersom förbuden syftar till att beivra brott. Även en europeisk skyddsorder bör betraktas på samma sätt, eftersom sådana avser kontaktförbudsliknande skyddsåtgärder som har meddelats i en medlemsstat i EU och ska erkännas och verkställas i en annan medlemsstat. Lagen om europeisk skydds- order genomför ett EU-direktiv.6 Att uppgifter om en europeisk skyddsorder förs in i belastningsregistret kan alltså jämställas med att en uppgift om ett kontaktförbud registreras där.

Avgörande för vilken EU-rättsakt som är tillämplig är dock inte uppgiftens karaktär eller innehåll i och för sig. Att den myndighet som utför behandlingen har ett brottsbekämpande uppdrag är en förutsättning för att det nya dataskyddsdirektivet ska vara tillämpligt, men utöver detta måste också syftet med behandlingen vara att bekämpa brott eller något annat av de syften som anges i artikel 1.1 i direktivet.

Som redan redogjorts för anges i lagen att belastningsregistret har flera ändamål, varav vissa uttryckligen avser brottsbekämpning och lagföring av brott (2 § första stycket 1–3), medan det är mer ovisst hur man ska se på syftet med att tillhandahålla belast- ningsuppgifter för tillstånds- och lämplighetsprövningar m.m. (2 § första stycket 4). Det går alltså inte utan vidare att säga att samtliga angivna ändamål i 2 § är sådana som omfattas av det nya data- skyddsdirektivets tillämpningsområde eller av dataskydds- förordningens. För analysen av vilken EU-rättsakt som är till- lämplig har vi utgått ifrån att personuppgiftsbehandling i registret kan delas upp i två delar. Den ena avser förandet av registret, dvs. den behandling som behövs för att lägga in personuppgifter i registret och sedan bevara dem där. Den andra är sökningar i och uttag ur registret, som alltså görs för att informationen i registret behövs både i brottsbekämpande myndigheters verksamhet och i annan verksamhet, i huvudsak för olika tillstånds- och lämplighetsprövningar som görs både av Polismyndigheten och av andra myndigheter.

Innan vi kommer in på frågan om uttag ur registret överväger vi hur man ska se på förandet av registret. Denna fråga är central,

6 Se vidare prop. 2014/15:139.

155

eftersom den övergripande EU-rättsakt som är tillämplig på förandet av registret innehåller de grundläggande kraven på personuppgifternas behandling; deras riktighet, den enskildes rätt till registerutdrag, bevarande av uppgifterna m.m.

Vi menar att förandet av registret får anses ske för de syften som anges i 2 § första stycket 1–3 lagen om belastningsregister. Dessa syften är sådana som omfattas av det nya dataskydds- direktivets tillämpningsområde, nämligen att bekämpa och lagföra brott och verkställa straffrättsliga påföljder.7 Att utlämnande av uppgifter ur registret eventuellt kan komma att ske även för andra ändamål, såsom olika lämplighetsbedömningar (2 § första stycket 4), påverkar inte frågan om registrets grundläggande ändamål. Den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registret omfattas alltså av det nya dataskydds- direktivets tillämpningsområde. När uppgifter sedan söks fram och i förekommande fall utlämnas för något av de ändamål som anges i 2 § första stycket 1–3 är det nya dataskyddsdirektivet också tillämpligt.

Frågan är då hur man ska se på uttag ur registret när det gäller att ge information om brottslig belastning som underlag för olika tillstånds-och lämplighetsprövningar. Utredningen om 2016 års dataskyddsdirektiv anser att behandling i belastningsregistret för sådana ändamål i huvudsak inte kan betraktas som brotts- bekämpande i direktivets mening.8 Regeringen har å andra sidan gett uttryck för att behandling av uppgifter ur belastningsregistret vid tillståndsgivning eller i ett anställningsförfarande har som ändamål att i vid mening förebygga brott.9 Om ett sådant synsätt tillämpas skulle i princip samtliga behandlingar i belastnings- registret, både förandet av det, sökningar och uttag för utlämn- anden, falla inom det nya dataskyddsdirektivets tillämpnings- område. Den generella reglering som då skulle bli tillämplig på personuppgiftsbehandlingen i belastningsregistret skulle vara enbart brottsdatalagen (som kommer att genomföra det nya dataskyddsdirektivet i svensk rätt, se avsnitt 2.3.4). En sådan

7Jfr Europarådets rekommendation nr R(84)10 om kriminalregister och återanpassning av personer som dömts för brott.

8SOU 2017:29 s. 216.

9Prop. 2011/12:163 s. 50.

156

ordning skulle onekligen underlätta för Polismyndigheten som personuppgiftsansvarig.

Frågan om det nya dataskyddsdirektivets närmare gräns- dragning är komplex. Vi menar att det i och för sig inte framstår som omöjligt att i vissa avseenden ha en något vidare syn på det nya dataskyddsdirektivets tillämpningsområde än Utredningen om 2016 års dataskyddsdirektiv haft, exempelvis när det gäller belastningsregistret. Samtidigt har vi inte haft möjlighet att inom ramen för vårt uppdrag göra samma heltäckande analys av direk- tivets tillämpningsområde som utredningen har gjort. Denna analys faller ju också tydligt inom den utredningens uppdrag. Våra överväganden och våra förslag utgår därför från de slutsatser som utredningen dragit. Det slutliga ställningstagandet om det nya dataskyddsdirektivets tillämpningsområde får göras inom ramen för det fortsatta lagstiftningsarbetet. Skulle man då göra bedöm- ningen att dataskyddsförordningen inte alls ska tillämpas på personuppgiftsbehandlingen i belastningsregistret får våra författ- ningsförslag anpassas därefter. Våra överväganden torde vara till- räckligt beredningsunderlag för att det ska gå att göra en sådan justering.

Vilken behandling omfattas av dataskyddsförordningen respektive det nya dataskyddsdirektivet?

Som redan berörts är sökningar och i förekommande fall utläm- nanden av uppgifter enligt 2 § första stycket 1–3 sådan behandling för syften som omfattas av det nya dataskyddsdirektivets tillämpningsområde. Sökningar enligt 2 § första stycket 4 avser däremot i flertalet fall utlämnanden vars syfte inte är brotts- bekämpning etc.

Utöver 2 § finns det, som redan nämnts, flera bestämmelser både i lagen och i förordningen som reglerar frågor om utläm- nanden mer i detalj. Med ledning av författningstexten kan det i många fall avgöras om det är det nya dataskyddsdirektivet eller dataskyddförordningen som är tillämplig. I andra fall är regleringen generell på ett sätt som gör att en bedömning får göras från fall till fall. Vi gör nedan en så noggrann genomgång som vi anser vara möjlig med utgångspunkt från författningsregleringen och det

157

synsätt på det nya dataskyddsdirektivets tillämpningsområde som Utredningen om 2016 års dataskyddsdirektiv redovisar.

För Polismyndighetens sökningar i registret för ändamål som anges i 2 § första stycket 1 gäller alltså det nya dataskydds- direktivet. Även när det gäller behandling för utlämnande (oavsett om det sker genom direktåtkomst, se 19 § i förordningen, eller inte) till Skatteverket, Tullverket, Kustbevakningen, åklagar- myndigheten eller allmän domstol för ändamål i 2 § första stycket 1–3 (själva utlämnandet regleras i 6 § första stycket 2) blir direktivet tillämpligt. Utlämnande för tillsynsverksamhet som utförs av bl.a. riksdagens ombudsmän omfattas däremot inte av det nya dataskyddsdirektivet (6 § första stycket 1). När det gäller utlämnanden till förvaltningsdomstol (6 § första stycket 3) beror det på vad prövningen i förvaltningsdomstolen gäller. Enligt bestämmelsens hänvisning till 2 § handlar det om tillstånds- eller lämplighetsprövningar, men det kan också gälla andra frågor som regleras av författning. Som framgår av vår genomgång i det följande kan vissa sådana frågor falla inom det nya data- skyddsdirektivets tillämpningsområde, i huvudsak frågor som uppstår hos behöriga myndigheter avseende verkställighet av straff.

För svenska myndigheters tillgång, utöver vad som behandlats ovan, gäller alltså enligt 6 § första stycket 4 att utlämnande sker i den utsträckning det är särskilt föreskrivet. Sådana föreskrifter finns i förordningens bestämmelser i 10–18 §§ och 20 §. Av författningstexten framgår att utlämnanden enligt 11–18 och 20 §§ görs till myndigheter som inte har ett brottsbekämpande uppdrag och där ärendet i vilket uppgifterna ur belastningsregistret behövs inte omfattas av det nya dataskyddsdirektivets tillämpnings- områden. Detsamma gäller för 10 §, men med några undantag:

–utlämnande till regeringen (föredragande statsråd eller den statsrådet bemyndigar) i ärenden om utlämning för brott, nåd i brottmål, i ärenden om överförande av straffverkställighet enligt lagen (1972:260) om internationellt samarbete rörande verk- ställighet av brottmålsdom (delar av 10 § första stycket 1),10

10 SOU 2017:29 s. 207 och 220.

158

–en myndighet som har rätt att besluta om frihetsberövande åtgärd enligt lagarna om överlämnande eller utlämning för brott (del av 10 § första stycket 8),

–Kriminalvården, när uppgifter behövs för prövning av en fråga enligt fängelselagen (2010:610), lagen (1994:451) om intensiv- övervakning med elektronisk kontroll, lagen (1991:2041) om särskild personutredning i brottmål m.m., lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen eller lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen (delar av 10 § första stycket 10),11

–en övervakningsnämnd eller Kriminalvården, i ärenden om övervakning (10 § första stycket 11),12

–allmän domstol, i ärenden om omvandling enligt lagen (2006:45) om omvandling av fängelse på livstid (10 § första stycket 16),13

–Kronofogdemyndigheten, i ärenden enligt 3 kap. lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och 3 kap. lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen (10 § första stycket 19),14

–en migrationsdomstol eller Migrationsöverdomstolen, i mål om upphävande av allmän domstols beslut om utvisning på grund av brott, i fråga om den som ärendet gäller (10 § första stycket 20),15

–en åklagarmyndighet i ärenden enligt förordningen (2014:1553) om förebyggande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden inom Europeiska unionen (10 § första stycket 22).

11SOU 2017:29 s. 214, 217–219, 221 f.

12A. a. s. 222.

13A. a. s. 225.

14I SOU 2017:29 behandlas frågan om hur man ska se på personuppgiftsbehandling vid verkställighet av böter, s. 222 f. Övervägandena gäller dock svenska bötesstraff. Utredningen menar att Kronofogdemyndighetens indrivningsverksamhet inte ska ses som verkställighet av en påföljd, eftersom det inte görs någon skillnad när det gäller indrivning av böter eller andra statliga fordringar. När det gäller utländska bötesdomar handlar det dock inte enbart om indrivning, utan också om utfärdande av s.k. verkställighetsförklaring. Vi menar att detta bör innebära att direktivet är tillämpligt. Jfr även prop. 2012/13:73 s. 61.

15SOU 2017:74 s. 517 f.

159

I några fall som räknas upp i 10 § i förordningen får en bedömning göras från fall till fall. Tillgång till belastningsregistret för chefen för Justitiedepartementet, om utdraget behövs för att fullgöra en skyldighet Sverige har enligt en överenskommelse med en främmande stat (10 § första stycket 2 i förordningen), får bedömas utifrån innehållet i den aktuella överenskommelsen. När det gäller åklagarmyndighetens tillgång i ärenden där en prövning ska göras, beror det också på vad prövningen i det enskilda fallet gäller. Frågor om tillträdesförbud och kontaktförbud faller exempelvis inom det nya dataskyddsdirektivets tillämpningsområde.16 När det gäller prövningar som Kriminalvården gör enligt häkteslagen (2010:611) beror det nya dataskyddsdirektivets tillämpning på om den person prövningen gäller är frihetsberövad p.g.a. (misstanke om) brott eller av någon annan orsak. Häkteslagen är nämligen tillämplig även på vissa andra frihetsberövanden än anhållande, häktning, verkställighet eller ändring av påföljd.17

Utlämnande till utländska myndigheter enligt 11, 12 och 14 §§ i lagen samt 24–25 a §§ i förordningen görs, som framgår av bestämmelserna, i huvudsak för brottskämpande ändamål (att 11 § i lagen avser sådana ändamål framgår av 24 § i förordningen).18 Ett undantag torde vara när uppgifter ur det svenska registret behövs i ett utlänningsärende (12 § andra stycket).19 Vidare framgår av 24 § i förordningen att utlämnanden med stöd av 11 § kan ske för andra ändamål än brottsbekämpning etc. om det finns särskilda skäl. Utlämnanden som inte avser brottmålsförfaranden i enlighet med rambeslutet om kriminalregister (12 a i lagen) torde i de flesta fall omfattas av dataskyddsförordningens tillämpningsområde. På samma sätt som när det gäller svenska myndigheter skulle ett utlämnande utanför ett brottmålsförfarande dock kunna ha syften som omfattas av det nya dataskyddsdirektivet, exempelvis för avgörande av frågor om straffverkställighet.

16SOU 2017:29 s. 212 och 228 f.

17A. a. s. 192 f.

18Att överföra belastningsuppgifter till ett annat land för att dessa ska ingå i ett utländskt kriminalregister (24 c och 25 §§ i förordningen) anser vi omfattas av direktivets tillämp- ningsområde i enlighet med vår bedömning att förandet av belastningsregistret gör det – förandet av motsvarande register i ett annat land får anses ha samma syften som förandet av det svenska belastningsregistret.

19Jfr SOU 2017:29 s. 198 om utlänningskontroll.

160

Utlämnande enligt 24 b § i förordningen rör inte brotts- bekämpning, utan tillstånd och lämplighetsfrågor rörande den som ska bedriva yrkesmässig trafik. Bestämmelsen i 24 a § genomför en bestämmelse om tillgång till belastningsregister i enlighet med det s.k. rörlighetsdirektivet.20 Tillgången till kriminalregister i enlighet med rörlighetsdirektivet avser prövningar som ska göras av EES- medborgares uppehållsrätt i vissa fall då en person kan utgöra ett hot mot allmän ordning och säkerhet. För att en person ska anses utgöra ett sådant hot måste det enligt rörlighetsdirektivet röra sig om konkreta omständigheter som leder till en sådan bedömning (artikel 27 i rörlighetsdirektivet). Sådana prövningar är alltså inte ett led i en regelrätt kontrollverksamhet. Åtgärden innebär inte heller enbart en övervakning utan kan leda till att en EES-med- borgare avvisas eller utvisas. Vi menar att det därför ligger närmast till hands att bedöma sådana prövningar som upprätthållande av allmän ordning och säkerhet. Ett utlämnande ur det svenska belastningsregistret för en sådan prövning bör därför omfattas av det nya dataskyddsdirektivets tillämpningsområde.21

Utlämnande till andra enskilda än den som begär ett utdrag om sig själv (10 § i lagen och 21 § i förordningen) omfattas av dataskyddsförordningens tillämpningsområde. Visserligen framgår av bestämmelsen i lagen att utlämnande kan ske i fall som har betydelse för förebyggande eller beivrande av brott. Med utgångs- punkt i den tolkning av det nya dataskyddsdirektivet som Utred- ningen om 2016 års dataskyddsdirektiv gör kan dock inte sådana utlämnanden, som avser att ge information i anledning av anställning och andra uppdrag hos vissa företag (se 21 § i förord- ningen) anses ingå i direktivets tillämpningsområde.

20Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmed- borgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG. Om genomförandet i svensk rätt, se prop. 2005/06:77 och prop. 2013/14:81.

21Utredningen om 2016 års dataskyddsdirektiv tar inte upp prövningar enligt rörlighets- direktivet. För svenskt vidkommande är det i första hand Migrationsverket som kan komma att pröva frågor om EES-medborgares uppehållsrätt i vissa fall som bl.a. rör allmän ordning och säkerhet, se 8 kap. 11–14 §§ och 18 § utlänningslagen (2005:716).

161

Särskilt om utbyte av uppgifter ur medlemsstaternas kriminalregister

Som redogjorts för i avsnitt 5.1 utbyts uppgifter ur nationella kriminalregister inom EU i enlighet med rambeslutet om kriminalregister. I förhållande till det nya dataskyddsdirektivet är rambeslutet en sådan rättsakt som inte påverkas av direktivets ikraftträdande i enlighet med artikel 60.22 Uppgifter utbyts med stöd av rambeslutet inte enbart för syften som omfattas av direk- tivets tillämpningsområde, utan även för tillstånds- och lämplig- hetsfrågor m.m. (12 a § i lagen och 41 § i förordningen). Därmed kommer visst uppgiftsutbyte att omfattas av dataskydds- förordningens tillämpningsområde.

5.3Överväganden om befintliga bestämmelser i förhållande till det nya dataskyddsdirektivet

Bedömning: Bestämmelserna i 1, 2–7, 9, 11–18 och 21 §§ i lagen om belastningsregister och 1–10, 19, 22–24 a och 24 c–41 §§ i förordningen om belastningsregister är bestämmelser som helt eller delvis får betydelse för personuppgiftsbehandling inom det nya dataskyddsdirektivets tillämpningsområde. Bestämmelserna behöver inte ändras som en följd av att dataskyddsdirektivet ska genomföras i svensk rätt. Bestämmelserna i 1 a, 1 b och 20 §§ behöver upphävas eller ändras som en följd av att person- uppgiftslagen och lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen kommer att upphävas.

Skälen för bedömningen:

Inledning

I detta avsnitt görs en genomgång av de bestämmelser i lagen och förordningen om belastningsregister som reglerar person- uppgiftsbehandling inom det nya dataskyddsdirektivets tillämp-

22 SOU 2017:29 s. 156.

162

ningsområde. Som framgår anser vi att de flesta bestämmelser kan behållas oförändrade och vi redovisar här skälen för denna bedömning. I de fall vi identifierat behov av förändringar anges skälen även för detta. Våra förslag till förändringar och skälen till att vi utformar dem på ett visst sätt framgår sedan av avsnitt 5.5.

Utgångspunkten för våra överväganden är alltså, som vi redogjort för ovan, att den automatiserade personuppgifts- behandlingen som förandet av registret innebär, omfattas av det nya dataskyddsdirektivet. För att dataskyddsdirektivet ska bli korrekt genomfört avseende behandlingen i belastningsregistret måste därmed brottsdatalagen tillämpas, eftersom lagen om belastningsregister i sig inte reglerar alla de områden som ingår i direktivet. I våra överväganden nedan utgår vi alltså ifrån att brottsdatalagen är tillämplig på personuppgiftsbehandling som regleras av lagen och förordningen om belastningsregister. Våra förslag till hur detta förhållande ska författningsregleras och vilka följdändringar det för med sig följer i avsnitt 5.5. När vi analyserar bestämmelserna i lagen och förordningen om belastningsregister utgår vi dock i första hand från direktivets reglering, eftersom vi uppfattat vårt uppdrag så att vi ska göra en självständig analys av de ingående författningarnas förhållande till EU-rättsakterna. Sam- tidigt ska vi givetvis förhålla oss till andra utredningars författ- ningsförslag som får betydelse för tillämpningen av de författningar som ingår i vårt uppdrag.

Skyldigheten att föra registret, personuppgiftsansvar, registrets ändamål och innehåll

Att Polismyndigheten åläggs att föra ett belastningsregister innebär att myndigheten uttryckligen getts en uppgift som omfattas av de syften som ingår i direktivets tillämpningsområde. Bestämmelsen i 1 § är alltså förenlig med dataskyddsdirektivet och genomför kravet på att behandlingen ska ha en rättslig grund (artikel 8).

Att Polismyndigheten pekas ut som personuppgiftsansvarig i 1 § är också förenligt med direktivet (se vidare avsnitt 2.6.3). Att det finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (15 §) får ses som en precisering av vad som ingår i uppgiften att föra registret och i person-

163

uppgiftsansvaret. Bestämmelserna behöver alltså inte ändras p.g.a. direktivet.

Av artikel 8 i direktivet framgår att ändamål med behandlingen och vilka personuppgifter som får behandlas ska regleras i nationell rätt. Bestämmelserna i 2–5 §§ i lagen, som rör registrets ändamål och innehåll, är alltså även de förenliga med direktivet. Detsamma gäller 2–9 §§ i förordningen som avser registrets innehåll. Bestämmelsen i 1 § i förordningen är endast av upplysande karaktär och påverkas därmed inte av direktivet. I 26–35 §§ i förordningen specificeras vilka myndigheter som ska lämna uppgifter till Polismyndigheten för införande i registret. Myndigheterna i fråga har uppdrag att lagföra brott och verkställa straffrättsliga påföljder. Uppgiftsskyldigheten innebär indirekt en reglering av belastnings- registrets innehåll och är förenlig med dataskyddsdirektivet.

Det kan anmärkas att bestämmelsen i 4 a § i lagen genomför delar av det tidigare nämnda rambeslutet om kriminalregister och bestämmelsen påverkas därmed i och för sig inte av det nya dataskyddsdirektivet i enlighet med artikel 60 (se vidare avsnitt 2.6.3). Samtidigt kan man konstatera att införandet av person- uppgifter i belastningsregistret som bygger på utbytet enligt rambeslutet har en rättslig grund i unionsrätten, vilket givetvis också är förenligt med kraven i artikel 8.

Belastningsuppgifter som är känsliga personuppgifter

Belastningsregistret kan innehålla personuppgifter som är sådana särskilda kategorier av personuppgifter som regleras i artikel 10 i direktivet. I svensk rätt kommer sådana särskilda kategorier att kallas känsliga personuppgifter, se vidare avsnitt 2.6.4. Exempelvis kan en uppgift om påföljd avslöja förhållanden som rör en dömd persons psykiska hälsa. Att vissa känsliga personuppgifter kan komma att behandlas i belastningsregistret får anses förenligt med artikel 10 i det nya dataskyddsdirektivet. Kraven enligt artikel 10 är att sådan behandling ska följa av nationell rätt, vara absolut nödvändig och att det ska finnas lämpliga skyddsåtgärder. Samtliga dessa krav får anses uppfyllda. Den utförliga författnings- regleringen av belastningsregistret får anses i sig utgöra en skyddsåtgärd, liksom tillämpliga sekretessbestämmelser. Det är

164

absolut nödvändigt att behandla fullständiga uppgifter om alla dömda personer för att belastningsregistret ska fylla sitt syfte.

Direktivets artikel 10 har genomförts i 2 kap. 11 § brotts- datalagen. Förutsättningarna för att behandla känsliga personupp- gifter skiljer sig något från direktivets utformning, men behandlingen i belastningsregistret av sådana uppgifter får anses vara förenlig även med bestämmelsen i brottsdatalagen. Vi åter- kommer i avsnitt 5.5 med förslag i anledning av den sök- begränsning för känsliga personuppgifter som föreskrivs i brotts- datalagen (2 kap.14 §).

Förhållandet till annan reglering av personuppgiftsbehandling

I 1 a och b §§ regleras för närvarande förhållandet till person- uppgiftslagen och lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Eftersom båda dessa lagar kommer att upphävas måste bestämmelserna upphävas eller innehållet ändras (se vidare avsnitt 2.6.5). Vi återkommer med våra förslag till ändringar i avsnitt 5.5.

Bestämmelser om utlämnande ur registret till svenska myndigheter

I 6 § lagen om belastningsregister finns de grundläggande bestäm- melserna om svenska myndigheters möjligheter att få tillgång till uppgifter i belastningsregistret. Som redan redogjorts för kommer inte alla utlämnanden ur registret att omfattas av det nya dataskyddsdirektivets tillämpningsområde, se ovan, avsnitt 5.2 I förordningen om belastningsregister, 10–20 §§, specificeras ytter- ligare möjligheten att få ut uppgifter. Det är endast vissa utläm- nande i 10 §, samt regleringen av direktåtkomst i 19 § som avser brottsbekämpande ändamål.

Att specificera vilka uppgifter som får lämnas ut och i vilka fall får anses förenligt med det nya dataskyddsdirektivet. Den särskilda regleringen av direktåtkomst i 19 § är också förenlig med direktivet, se vidare våra allmänna överväganden, avsnitt 2.6.3.

Den reglering som avser utlämnanden ur registret för andra syften än brottsbekämpning etc. tar vi upp i nästa avsnitt (avsnitt 5.4). Att

165

uppgifter som först behandlats inom det nya dataskyddsdirektivets tillämpningsområde senare behandlas för andra syften är förenligt med dataskyddsdirektivet om sådan vidarebehandling är reglerad i nationell rätt eller unionsrätten (artikel 9). Författningsregleringen av sådant utlämnande genomför alltså även direktivets krav.

Polismyndighetens utlämnande av uppgifter ur registret till andra svenska myndigheter, både brottsbekämpande sådana och andra, är reglerad som en uppgiftsskyldighet (uppgifterna ska lämnas ut om de begärs, 6 §). Redan av denna anledning blir det inte aktuellt att göra någon prövning enligt 2 kap. 4 § (eller 2 kap. 22 §) brottsdatalagen23.

Särskilt om Polismyndighetens användning av uppgifter i registret för myndighetens egen brottsbekämpande verksamhet

Att Polismyndigheten kan använda belastningsregistret för brottsbekämpande syften regleras inte på annat sätt i lagen om belastningsregister än genom att denna användning omfattas av registrets ändamål i 2 §.

Enligt det nya dataskyddsdirektivets artikel 4.2 ställs vissa krav på vidarebehandling av personuppgifter inom direktivets tillämp- ningsområde. Om personuppgifter ska behandlas för ett annat ändamål än det för vilket de samlades in ska dels den person- uppgiftsansvarige vara bemyndigad att utföra en sådan behandling, dels ska behandlingen vara nödvändig och proportionerlig till detta andra ändamål. Artikeln i denna del genomförs i 2 kap. 4 § brottsdatalagen.24 En fråga är på vilket sätt direktivets och brotts- datalagens bestämmelser om ändamål och behandling för nya ändamål ska tillämpas när Polismyndigheten använder uppgifter ur belastningsregistret. Om det är fråga om en behandling för ett nytt ändamål gäller kraven på nödvändighet och proportionalitet.

När uppgifter tas in i belastningsregistret sker detta för flera ändamål i enlighet med 2 § lagen om belastningsregister. Ända- målen är av nödvändighet ganska vidsträckta. Användning av uppgifter i registret, däremot, torde (normalt sett) göras för endast ett specifikt ändamål som därtill i de flesta fall kan inordnas under

23Bestämmelserna framgår av förslag till ändringar i brottsdatalagen, SOU 2017:74 s. 189 f.

24SOU 2017:29 s. 684.

166

endast något av de mer allmänt hållna ändamålen i 2 §. Frågan är då om användning av uppgifter i registret ska anses ske för ett nytt ändamål i enlighet med direktivet och 2 kap. 4 § brottsdatalagen. Vi menar att så inte bör vara fallet. Utredningen om 2016 års data- skyddsdirektiv har gjort bedömningen att insamling av person- uppgifter kan ske för flera parallella ändamål.25 Av detta följer, menar vi, att en senare behandling för något av de ursprungliga ändamålen inte kan betraktas som en behandling för ett nytt ändamål. Detta resonemang borde gälla även om ändamålet vid den senare behandlingen har blivit mer preciserat än tidigare. Om Polismyndighetens behandling för brottsbekämpande ändamål inte görs för ett nytt ändamål ställer direktivet inga krav på nöd- vändighet och proportionalitet i enlighet med artikel 4.2 och någon prövning enligt 2 kap. 4 § brottsdatalagen behöver inte göras. (Där- emot gäller givetvis andra krav på behandlingen såsom att den ska ha ett berättigat ändamål, att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålet, se artikel 4.1 och 2 kap. 3 och 8 §§ brottsdatalagen).

Det kan anmärkas att lagen och förordningen om belast- ningsregister enbart reglerar förande och behandling av uppgifterna i belastningsregistret, i förekommande fall utlämnanden av sådana uppgifter. När uppgifter om en person lämnat registret och vidarebehandlas för exempelvis en brottsutredning, eller för något annat brottsbekämpande ändamål, blir andra regelverk tillämpliga beroende på vilken verksamhet den fortsatta behandlingen sker i.

Intresseavvägning före utlämnande

I 7 § finns en bestämmelse som berör svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att en myndighet alltid ska göra en intresseavvägning mellan skälet för begäran å ena sidan och den olägenhet eller det men en begäran innebär för den enskilde å den andra. Bestämmelsen är i och för sig tillämplig även om den begärande myndigheten inte utför en automatiserad personuppgiftsbehandling för att få tillgång till uppgifter i belastningsregistret. I praktiken har dock de brotts-

25 A. a. s. 243.

167

bekämpande myndigheterna direktåtkomst till registret och kommer alltså att utföra en självständig automatiserad person- uppgiftsbehandling för att få tillgång till belastningsuppgifter. För behandlingen gäller därmed kravet i brottsdatalagen på att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till det ändamål för vilket de behandlas (2 kap. 8 §). Intresseavvägningen enligt 7 § ställer dock ett särskilt krav på en myndighet som har möjlighet att få uppgifter ur registret. Det finns inget i direktivet som hindrar en sådan reglering, så länge den inte kan uppfattas som stridande mot direktivets principer för personuppgiftsbehandling. Vi anser att bestämmelsen inte kan uppfattas på det sättet. Snarare får den uppfattas som ett ytterligare skydd för den enskilde än direktivets krav på adekvans etc.26 Starkare skyddsåtgärder för den enskildes rättigheter och friheter är tillåtna enligt direktivets artikel 1.3. Bestämmelsen behöver alltså inte ändras p.g.a. direktivet.

Som vi tidigare redogjort för kommer 2 kap. 4 § brottsdatalagen inte att bli tillämplig på utlämnande ur registret till andra myndigheter, eftersom skyldighet att lämna uppgifterna följer av lagen om belastningsregister. Den proportionalitetsbedömning som ska göras enligt den bestämmelsen kommer alltså inte att bli tillämplig på sådana utlämnanden och kan därmed inte ersätta proportionalitetsbedömningen enligt 7 § lagen om belastnings- register.

Bestämmelser om utlämnande till den registrerade

På begäran kan en enskild få ett utdrag avseende sig själv ur belastningsregistret (9 §). Avgiftsfritt kan ett sådant utdrag lämnas en gång per år. En enskild har också möjlighet att få ett begränsat utdrag om sig själv för vissa angivna syften (9 § andra stycket). Vad de olika begränsade utdragen ska innehålla preciseras i förord- ningen (22 och 22 a §§). En begäran om utdrag ska vara skriftlig och undertecknad av den sökande (9 § tredje stycket). Det kan nämnas att 22 b och c §§ i förordningen genomför det tidigare nämnda rambeslutet om kriminalregister avseende uppgifter som

26 Jfr Registerutredningens resonemang i SOU 1997:65 s. 152 f.

168

ska lämnas ut till den enskilde själv om han eller hon är eller har varit medborgare i en annan av EU:s medlemsstater. Dessa bestämmelser berörs alltså inte av det nya dataskyddsdirektivet, enligt vad vi tidigare redogjort för (avsnitt 5.2).

I artikel 14 i det nya dataskyddsdirektivet regleras den registre- rades rättigheter när det gäller tillgång till personuppgifter och information om behandlingen. Artikeln genomförs i 4 kap. 3 § brottsdatalagen. Utöver uppgifter om vilka personuppgifter som behandlas, ska den enskilde få skriftlig information om varifrån uppgifterna kommer, den rättsliga grunden för behandlingen, ändamålet med behandlingen, mottagare av personuppgifterna, tid för lagring av dem, rätt att begära rättelse m.m. och uppgifter om möjligheten att lämna in klagomål.

Möjligheten för den enskilde att begära ett utdrag om sig själv enligt 9 § lagen om belastningsregister genomför alltså till viss del direktivets informationskrav, eftersom det ger den registrerade tillgång till vilka uppgifter om honom eller henne som behandlas i registret. Att den enskilde har möjlighet att i vissa fall begära ut mer begränsade utdrag bör ses som ett utökat skydd, eftersom den registrerade kan ha ett intresse av att kunna visa upp ett utdrag ur belastningsregistret som inte innehåller mer information än vad som är absolut nödvändigt. Att den enskilde har sådana möjligheter är förenligt med direktivet eftersom direktivet medger att medlemsstaterna föreskriver om starkare skydd för enskilda (artikel 1.3).

Utredningen om 2016 års dataskyddsdirektiv har anfört att regleringen av information till den enskilde i enlighet med lagen om belastningsregister är en uttömande särreglering av informations- skyldigheten vilken gäller före den generella rätten till register- utdrag i brottsdatalagen.27 Om den enskilde begär information enligt brottsdatalagen skulle han eller hon alltså inte få någon information om behandlingen i belastningsregistret, utan vara hänvisad till att begära ett separat registerutdrag enligt lagen om belastningsregister. Frågan är om detta är förenligt med direktivet. Som beskrivits ovan uppfyller utdraget enligt 9 § lagen om belastningsregister inte i alla delar direktivets krav på information när ett registerutdrag lämnas. Om den enskilde inte får den

27 SOU 2017:29 s. 384.

169

ytterligare information som ska lämnas enligt artikel 14 när han eller hon erhåller ett registerutdrag enligt 9 § är det fråga om en inskränkning av den enskildes rättigheter. Frågan är då om en sådan inskränkning är förenlig med direktivet.

Förutsättningarna för inskränkningar följer av artikel 15.1. Inskränkningar får endast göras för att tillgodose vissa särskilda syften som räknas upp i artikeln, punkterna a–e.

För att avgöra om en inskränkning är möjlig bör man först göra klart för sig vad det är för slags information som ska lämnas enligt artikel 14 i förhållande till personuppgiftsbehandlingen i belast- ningsregistret. Frågan om inskränkningar handlar ju om vilket motstående intresse, exempelvis att skydda en brottstutredning, som kan påverkas av informationslämnandet.

Kravet på information i artikel 14 avser i stort sett sådant som kan utläsas redan av lagen och förordningen om belastningsregister och brottsdatalagen i sig – det gäller ändamålet med behandlingen, den period under vilken personuppgifterna får behandlas (eller kriterier för hur tidsperioden fastställs), vilka personuppgifter som behandlas och varifrån de kommer, rätten att begära rättelse m.m., och rätten att lämna in klagomål. Det går därmed knappast att hitta några bärande skäl att begränsa sådan information till den registrerade med utgångspunkt från de syften som begränsningar måste ha enligt artikel 15. Sådan information torde kunna utformas tämligen standardiserat.

När det gäller information om mottagare är frågan hur specifika krav som direktivet egentligen ställer på denna information. Just att ge väldigt exakt information om vilka mottagare som faktiskt fått ett utdrag ur belastningsregistret skulle kunna skapa svårigheter för Polismyndigheten. Enskilda sökningar loggas visserligen, men av logguppgifterna framgår det inte alltid vem som är mottagare av uppgifterna, endast att en sökning gjorts av en tjänsteman på Polismyndigheten.28 Om polisen skulle behöva ta fram exakt information om mottagare och bevara sådan information för att kunna bifoga den i registerutdrag skulle detta innebära en administrativ börda för myndigheten. Detta är dock i sig inget relevant skäl, utifrån det nya dataskyddsdirektivet, att inskränka den enskildes rätt till information.

28 SOU 2017:29 s. 308.

170

Utredningen om 2016 års direktiv har dock tolkat rätten till information om mottagare som att den i princip överensstämmer med vad som gäller enligt personuppgiftslagen och 1995 års dataskyddsdirektiv. Information om mottagare kan alltså, enligt utredningen, hållas tämligen allmän.29 Även när det gäller infor- mation om mottagare bör därför Polismyndigheten kunna ge ut en standardiserad information om de mottagare eller kategorier av mottagare som följer av lagen och/eller förordningen om belast- ningsregister i sig. Om man tolkar informationskravet på det sättet framgår det också tydligt att det inte finns några bärande skäl, enligt artikel 15.1 a–e, att inskränka rätten till information.

Slutsatsen av det ovan anförda är alltså att skyldigheten att ge den registrerade tillgång till personuppgifter och information om behandlingen av dem även gäller för den behandling som sker i belastningsregistret. Vi delar den bedömning som Utredningen om 2016 års dataskyddsdirektiv gjort avseende förhållandet mellan informationskravet i brottsdatalagen och rätten till registerutdrag enligt lagen om belastningsregister, som alltså innebär att lagen om belastningsregister kommer att gälla istället för brottsdatalagen om den nuvarande utformningen av lagens bestämmelse om register- utdrag behålls. För att genomföra direktivet krävs alltså någon form av ändring i lagen om belastningsregister. Vi överväger olika alternativ i avsnitt 5.5.

Bestämmelser om utlämnande till utländska myndigheter

Utlämnande ur belastningsregistret till utländska myndigheter i brottsbekämpande syften regleras i huvudsak i 11, 12 och 14 §§ i lagen och i bestämmelserna i 24, 24 a och 24 c – 25 a §§ i förordningen. Även utlämnanden enligt 12 a § kan vara för syften som omfattas av det nya dataskyddsdirektivet (se en närmare redogörelse i avsnitt 5.2). Som redan anförts ovan förhindrar inte det nya dataskyddsdirektivet en närmare nationell reglering av utlämnande. Detta ställningstagande förändras inte av att regleringen gäller utländska myndigheter. Flera av bestämmelserna i förordningen rör uppgiftsutbytet enligt det tidigare nämnda

29 A. a. s. 380.

171

rambeslutet om kriminalregister. Sådan reglering påverkas inte av det nya dataskyddsdirektivet, i enlighet med vad som anförts tidigare (avsnitt 5.2).

När det gäller gränsöverskridande utbyte av personuppgifter som innebär en automatiserad behandling finns en särskild reglering av överföring till tredje land och internationella organisationer i det nya dataskyddsdirektivet. Direktivet genom- förs i detta avseende i 8 kap. brottsdatalagen. Bestämmelserna om utlämnande i lagen och förordningen om belastningsregister möjliggör ett uppgiftsutlämnande till tredje land genom att uppgiftsutbyte tillåts ske med Interpol och länder anslutna till Interpol. Om personuppgifterna behandlas helt eller delvis automatiserat för att överföras till tredje land måste de förut- sättningar som följer av 8 kap. brottsdatalagen också vara uppfyllda för att överföringen ska kunna ske. Regleringen av tredjelands- överföringar i 33–35 §§ personuppgiftslagen ersätts alltså, såvitt avser överföring för de syften som omfattas av direktivet, av 8 kap. brottsdatalagen.30

Gallring

Som anförts i våra generella överväganden (avsnitt 2.6.3) hindrar inte det nya dataskyddsdirektivet att tidsfrister för bevarande regleras i författning. Enligt direktivet är det t.o.m. en skyldighet för medlemsstaterna att bestämma närmare tidsfrister för radering och lagring (artikel 5). De bestämmelser som rör gallring i lagen om belastningsregister kan alltså i och för sig behållas (16–18 §§). Bestämmelsen i 17 a § genomför delar av rambeslutet om kriminalregister och påverkas därmed inte heller av det nya dataskyddsdirektivet, som redan redogjorts för (se avsnitt 5.2).

I nästa avsnitt överväger vi om det annars finns skäl att förändra ordalydelsen av de nuvarande gallringsbestämmelserna med hänsyn till de förslag som Utredningen om 2016 års dataskyddsdirektiv lämnar om gallring och längsta tid för behandling av person- uppgifter.

30 Jfr prop. 2009/10:85 s. 203, jfr s. 321 och s. 330.

172

Rättelse och skadestånd

Bestämmelsen i 20 § hänvisar till personuppgiftslagen och måste därför anpassas till att denna lag upphör och att brottsdatalagen i stället ska tillämpas. Vi lämnar förslag i avsnitt 5.5.

Användningsbegränsningar

När medlemsstaterna efter begäran utbyter uppgifter ur sina kriminalregister i enlighet med rambeslutet om kriminalregister har de rätt att ställa upp användningsbegränsningar. Uppgifterna får heller inte användas för andra ändamål än dem de begärdes för. Att svenska myndigheter har en skyldighet att respektera användnings- begränsningar i enlighet med rambeslutet följer av 21 § i lagen om belastningsregister. I 24 e och f §§ i förordningen om belastnings- register finns vissa ytterligare bestämmelser om användnings- begränsningar som Polismyndigheten kan ställa upp vid utläm- nande enligt rambeslutet.

Eftersom det nya dataskyddsdirektivet inte är avsett att påverka tidigare EU-rättsakter om informationsutbyte på området för polis- och straffrättsligt samarbete påverkas inte de nämnda bestämmelserna av direktivets reglering i enlighet med artikel 60.31 Det framgår av bestämmelsen i 21 § att den gäller oavsett vad som föreskrivs i annan författning. Den kommer därmed att gälla i stället för 2 kap. 20 § brottsdatalagen, som annars innebär att användningsbegränsningar i förhållande till andra medlemsstater inte får ställas upp om det inte finns någon sådan möjlighet i förhållande till svenska mottagare.

Avgifter för utdrag ur registret

Enligt 23 § i förordningen får avgift tas ut för utdrag ur registret, dels för vissa sådana begränsade utdrag som tidigare beskrivits och som kan lämnas till den registrerade själv, dels för utdrag till andra enskilda. Det nya dataskyddsdirektivet innebär att information enligt direktivet som en utgångspunkt ska vara avgiftsfri

31 Se även SOU 2017:29 s. 290 f.

173

(artikel 12.4) vilket genomförs i 4 kap. 12 § brottsdatalagen. Den information som avgiftsbeläggs i förordningen om belastnings- register avser dock information som går utöver vad som regleras i direktivet, enligt vad som tidigare anförts i detta avsnitt. Bestäm- melserna i 23 § påverkas därmed inte av direktivet.

Ansvar för lämnade uppgifter

I 36–37 §§ i förordningen finns bestämmelser om ansvar för inlämnade uppgifters riktighet och rättelse av felaktiga uppgifter. Bestämmelserna avser felaktigheter som upptäcks av de inblandade myndigheterna och alltså inte den enskildes rätt till rättelse. Såvitt avser behöriga myndigheter, vars uppgiftslämnande omfattas av direktivets tillämpningsområde, kan bestämmelserna ses som preciseringar av principen om att personuppgifter ska vara korrekta (artikel 4.1 d som genomförs i 2 kap. 7 § brottsdatalagen). Förord- ningens bestämmelser kan därmed anses genomföra direktivet i denna del och utgör en precisering i förhållande till bestämmelsen i brottdatalagen. De kan och bör därför behållas i förordningen.

Föreskriftsrätt

I 5 och 13 §§ i lagen och 38 och 39 §§ i förordningen finns bestämmelser om föreskriftsrätt. Bestämmelserna påverkas inte av det nya direktivet, se vidare våra allmänna överväganden, avsnitt 2.6.3.

Skyldighet att inhämta uppgifter ur registret

Domstolar har en skyldighet att inhämta ett utdrag ur belast- ningsregistret innan någon döms till vissa uppräknade påföljder (40 § i förordningen). Personuppgiftsbehandlingen för sådana inhämtanden sker i syfte att lagföra brott, och faller alltså under det nya dataskyddsdirektivets tillämpningsområde. Åliggandet är en precisering av i vilka situationer och för vilka ändamål uppgifter inhämtas ur belastningsregistret och får därmed anses förenligt

174

med direktivet. Syftet är ju för övrigt att tillförsäkra den som är tilltalad i brottmål en lagenlig bedömning i påföljdsfrågan.

Möjlighet att inhämta uppgifter med stöd av rambeslutet

1 41 § regleras myndigheters möjligheter att via Polismyndigheten begära uppgifter ur andra medlemsstaters kriminalregister med stöd av rambeslutet om kriminalregister. Som tidigare redogjorts för påverkar inte det nya dataskyddsdirektivet det uppgiftsutbyte som sker i enlighet med rambeslutet om kriminalregister. Samtidigt kan det konstateras att det inte strider mot direktivet att för- fattningsreglera informationsutbyte inom direktivets tillämp- ningsområde.

5.4Överväganden om befintliga bestämmelser i förhållande till dataskyddsförordningen

Bedömning: Bestämmelserna i 6–8, 10, 11, 12 a, 19 och 21 §§ lagen om belastningsregister samt 10–21, 23, 24 b och 41 §§ förordningen om belastningsregister avser, helt eller delvis, behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde. Bestämmelserna är förenliga med förord- ningen och några författningsändringar behöver inte göras till följd av att förordningen börjar tillämpas.

Skälen för bedömningen:

Inledning

Vi har tidigare konstaterat att förandet av belastningsregistret får anses falla under det nya dataskyddsdirektivets tillämpnings- område. Att dataskyddsförordningen också blir tillämplig på viss behandling i registret beror på att ändamålen med en del uttag ur registret inte avser brottsbekämpning, lagföring eller något annat av de ändamål som avses i artikel 2.2 d i dataskyddsförordningen och artikel 1.1 i det nya dataskyddsdirektivet.

175

I detta avsnitt bedömer vi de bestämmelser som vi menar reglerar behandling inom dataskyddsförordningens tillämpnings- område. Samma bestämmelser kan vara tillämpliga även på behandling inom det nya dataskyddsdirektivets område, exempelvis 7 §. Följden av att behandlingen i belastningsregistret ibland om- fattas av dataskyddsförordningens, ibland det nya dataskydds- direktivets tillämpningsområde, är alltså att vissa bestämmelser måste bedömas utifrån båda EU-rättsakternas krav.32

Vi bedömer att det är 6–8, 10, 11, 12 a, 19 och 21 §§ lagen om belastningsregister samt 10–21, 24 b och 41 §§ i förordningen om belastningsregister som innehåller de bestämmelser som ska bedömas med beaktande av dataskyddsförordningen. Som följer av våra överväganden nedan anser vi att bestämmelserna är förenliga med förordningen.

Myndigheters tillgång till uppgifter i belastningsregistret

Att Polismyndigheten gör uttag ur belastningsregistret för att lämna dem till andra myndigheter för prövningar i tillstånds- och lämplighetsfrågor eller använder uppgifterna för myndighetens egna prövningar för sådana ändamål får anses vara behandling för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Utläm- nandena är reglerade i författning, liksom de prövningar i sig som uppgifterna ur belastningsregistret behövs för. Kraven på rättslig grund och att denna ska vara fastställd i nationell rätt (artikel 6.1 och 6.3) är alltså uppfyllda.

Att författningsregleringen tydligt preciserar i vilka fall och för vilka ändamål utlämnanden får ske är vidare förenligt med artikel 6.2 och 6.3. Bestämmelserna i 6 § lagen om belastningsregister är därmed förenliga med dataskyddsförordningen, liksom de ytter- ligare preciseringar av utlämnande som finns i 10–20 §§ i för- ordningen om belastningsregister. Som vi redan berört reglerar 10 § i förordningens endast delvis utlämnanden för syften som omfattas av dataskyddsförordningens tillämpningsområde. Även när det gäller 19 § i förordningen berörs den endast av dataskydds-

32 Jfr Fi2017/02899/S3 s. 124 f.

176

förordningen i den mån direktåtkomsten kan utnyttjas för andra ändamål än brottsbekämpning etc.

Även regleringen i 8 § i lagen om belastningsregister som möjliggör utlämnande för statistiska ändamål är, i enlighet med det ovan anförda, förenlig med dataskyddsförordningen. Vi menar att det inte ingår i vårt uppdrag att analysera om de särskilda förutsättningarna i artikel 89 avseende behandling för statistiska ändamål är uppfyllda, eftersom denna behandling i sig inte regleras av lagen om belastningsregister.33

För den reglering som möjliggör utlämnande till utländska myndigheter för ändamål inom dataskyddsförordningens tillämp- ningsområde (dvs. 11 och 12 a §§ i lagen samt 24 och 24 b §§ i för- ordningen), gäller också de ovan gjorda bedömningarna – författ- ningsregleringen kan ses som en rättslig grund för utlämnanden och därtill en tillåten precisering av i vilka situationer behandling är tillåten. De utlämnande som regleras av 12 a § följer av rambeslutet om kriminalregister och personuppgiftsbehandlingen har alltså även en rättslig grund i unionsrätten. Utlämnanden enligt 11 § kan omfattas av dataskyddsförordningens tillämpningsområde (men även av det nya dataskyddsdirektivet, vilket bl.a. framgår av 24 § i förord- ningen). Man får utgå från att utlämnanden som ligger inom ramen för internationella överenskommelser eller EU-rättsakter har ett all- mänintresse som grund eller att personuppgiftsbehandling till följd av överenskommelsen eller EU-rättsakten är en rättslig förpliktelse. Även 11 § är alltså förenlig med dataskyddsförordningen. I förord- ningen (24 b §) preciseras ett utlämnande enligt 11 § för ändamål inom dataskyddsförordningens tillämpningsområde, nämligen då det gäller prövning av personer som ska bedriva yrkesmässig trafik. Regleringen har i detta fall både en unionsrättslig grund och ett tydligt allmänintresse som gör den förenlig med dataskydds- förordningen.

Om utlämnanden som inte avser brottsbekämpning skulle komma i fråga till ett tredje land ska dataskyddsförordningens särskilda reglering av sådana utlämnanden tillämpas, om utläm- nandet innebär en helt eller delvis automatiserad behandling, jfr vad

33 Det kan dock noteras att behandlingen är författningsreglerad i förordningen (2001:100) om den officiella statistiken och därtill omgärdad av vad som får betraktas som skydds- åtgärder för den enskilde i och med gällande sekretessreglering i 24 kap. 8 § första stycket offentlighets- och sekretesslagen (2009:400).

177

som sagts ovan om utlämnanden till tredje land inom brotts- datalagens tillämpningsområde.

Slutligen ska anmärkas att dataskyddsförordningens särskilda reglering avseende behandling av lagöverträdelser (artikel 10) inte ställer några krav när det gäller myndigheters behandling av sådana personuppgifter. Vi återkommer nedan till artikelns betydelse för utlämnande till enskilda.

Särskilt om Polismyndighetens egen användning av uppgifter för ändamål utanför brottsdatalagens tillämpningsområde

På samma sätt som när det gäller brottsbekämpande ändamål regleras Polismyndighetens egen användning av belastnings- registret för andra syften än brottsbekämpning inte på annat sätt än genom registrets ändamålsbestämmelser. Eftersom Polismyn- dighetens användning av uppgifter i registret för ändamål i enlighet med 2 § första stycket 4 i huvudsak torde omfattas av dataskydds- förordningens tillämpningsområde blir 2 kap. 22 § brottsdatalagen och den proportionalitetsprövning som framgår av andra stycket i den paragrafen tillämplig. Detta gäller, som det får förstås, även om behandlingen i och för sig inte görs för ett nytt ändamål i förhållande till det ursprungliga behandlingsändamålet (jfr vad vi framfört i föregående avsnitt om tillämpningen av 2 kap. 4 § brottsdatalagen). Vi diskuterar i nästa avsnitt (avsnitt 5.5) om denna ordning är lämplig eller inte.

Inhämtande av uppgifter i enlighet med rambeslutet om kriminalregister

Möjligheten att hämta in belastningsuppgifter från andra europeiska länder regleras i 41 § förordningen om belastnings- register. En sådan begäran kan alltså gälla för syften både inom och utom det nya dataskyddsdirektivets tillämpningsområde, vilket då i förekommande fall innebär att dataskyddsförordningen blir tillämplig. I den mån uppgiftslämnande innefattar en automatiserad behandling av personuppgifter innebär i sådana fall den nationella regleringen och, inte minst regleringen på EU-nivå, att det finns en rättslig grund för sådan personuppgiftsbehandling.

178

Vid inhämtande av uppgifter gäller användningsbegränsningen i 21 § i lagen. Att medlemsstaterna ställer upp användnings- begränsningar vid informationsutbyte i enlighet med EU-rättsakter kan inte anses strida mot dataskyddsförordningen, en sådan möjlighet kan snarast ses som en precisering av principen om ändamålsbegränsning i artikel 5.1 b.

Intresseavvägningen enligt 7 §

I 7 § finns, som tidigare beskrivits, en bestämmelse som innebär en skyldighet för en myndighet som begär ut uppgifter ur registret att alltid göra en avvägning mellan behovet av information och den enskildes intresse av att uppgifter inte inhämtas. Bestämmelsen riktar sig alltså till samtliga myndigheter som har möjlighet att få uppgifter ur registret, även myndigheter som inte är att anse som behöriga i det nya dataskyddsdirektivets mening. Det ska noteras att bestämmelsen gäller oavsett om en myndighet utför en automa- tiserad personuppgiftsbehandling för att begära uppgifter och/eller sedan automatiserat behandlar uppgifterna vidare. För en myn- dighet som behandlar uppgifterna automatiserat skulle man i och för sig kunna diskutera om bestämmelsen, på samma sätt som inom det nya dataskyddsdirektivets tillämpningsområde, utgör en dubbelreglering i förhållande till principen om uppgiftsminimering, som återfinns både i det nya dataskyddsdirektivet och i dataskydds- förordningen (artikel 5. 1 c). Som vi anfört i avsnitt 5.3 menar vi att 7 § lagen om belastningsregister ger ett starkare skydd än principen om uppgiftsminimering. Det är förenligt med dataskydds- förordningen att lagstiftaren begränsar myndigheters personupp- giftsbehandling ytterligare, utöver de begränsningar som kan följa av förordningen, se våra allmänna överväganden, avsnitt 2.5.3. Be- stämmelsen bör därför behållas oförändrad även inom dataskydds- förordningens tillämpningsområde.

Utlämnande till enskilda

Enskilda kan få ta del av uppgifter om andra enskilda i belast- ningsregistret. Det gäller dels i vissa anställningsärenden, dels om en enskild kan styrka att hans eller hennes rätt är beroende av

179

uppgifterna i fråga (10 § i lagen). Vilka anställningsärenden det kan vara fråga om preciseras i 21 § i förordningen.

Bestämmelser om utlämnande kan generellt sägas vara en sådan precisering som faller in under artikel 6.2 i dataskyddsförord- ningen. Behandlingen får anses ha en rättslig grund antingen i 6.1 c eller e i förordningen. Eftersom utlämnandet är lagreglerat och innebär att uppgifter ska lämnas ut under vissa angivna förutsätt- ningar kan man betrakta behandlingen som följande av en rättslig förpliktelse, som i det här fallet alltså gäller för Polismyndigheten som registerförare. Att det finns en möjlighet för enskilda som är ansvariga för viss verksamhet där det är av särskild vikt att bedöma lämpligheten hos den som ska anställas får därtill anses vara av allmänt intresse. Även den generella möjligheten att i vissa andra fall få information om en annan enskild bör kunna betraktas som ett allmänt intresse.

Eftersom bestämmelsen medger att uppgifter lämnas ut till andra än myndigheter måste samtidigt förordningens särskilda reglering av uppgifter om fällande domar i brottmål beaktas (artikel 10). Utlämnandet behöver i och för sig inte innebära att mottagaren har möjlighet att behandla uppgifterna i förordningens mening. Uppgifter till enskilda lämnas företrädesvis ut i pappersform. Behandling av uppgifter om fällande domar i brottmål är heller inte helt förbjuden enligt förordningen, om den regleras i nationell rätt som fastställer lämpliga skyddsåtgärder. Den tystnadsplikt som gäller för enskilda enligt 19 § bör bedömas som en sådan skyddsåtgärd. Bestämmelsen är därmed i sig förenlig med förordningen. Tystnadsplikten förhindrar att enskilda använder uppgifterna som erhållits för ytterligare behandling som innebär att uppgifterna sprids. Vidare kan anmärkas att Dataskyddsutredningen har föreslagit att en reglering motsvarande 21 § personuppgiftslagen tas in i 3 kap. 9 § dataskyddslagen. Den nya regleringen kommer, liksom nuvarande bestämmelse i person- uppgiftslagen, att innebära ett förbud för andra än myndigheter att behandla personuppgifter som rör fällande domar i brottmål. En auto- matiserad vidarebehandling av uppgifter som erhållits ur belast- ningsregistret är därmed inte tillåten enligt dataskyddslagen.

Slutligen ska nämnas att avgift tas ut för utdrag som begärs av enskilda (23 § i förordningen). Bestämmelsen avser inte en reglering av personuppgiftsbehandlingen i sig och påverkas därmed inte av dataskyddsförordningen.

180

Behandling av personnummer och känsliga personuppgifter

Behandlingar för utlämnande som faller under dataskyddsförord- ningens tillämpningsområde innebär (liksom givetvis behandlingar som faller under det nya dataskyddsdirektivets) behandling av personnummer. (Personnummer är en grundläggande uppgift om den enskilde i registret enligt 2 § i förordningen om belastnings- register). Som framgår av våra allmänna överväganden finns en bestämmelse i dataskyddsförordningen som särskilt avser natio- nella identifikationsnummer – artikel 87. Av våra allmänna överväganden framgår också att det i viss mån är tveksamt vilka krav artikel 87 ställer på regleringen av personnummer. För det fall artikelns krav på skyddsåtgärder är tillämpliga på regleringen i belastningsregistret, menar vi att detta krav får anses uppfyllt. Belastningsregistrets författningsreglering och tillämpliga sekretes- sbestämmelser får anses vara mer än tillräckliga skyddsåtgärder eftersom regleringen tydligt avgränsar användningen av person- uppgifter i registret. När uppgifter ur belastningsregistret lämnas ut till en enskild har denne tystnadsplikt, vilket också innebär ett skydd för den registrerade. Vidare är användandet av person- nummer i belastningsregistret klart motiverat utifrån behovet av en säker identifiering och överensstämmer därmed med de allmänna krav som ställs enligt 3 kap. 13 § dataskyddslagen. Samman- fattningsvis anser vi alltså att behandlingen av personnummer i belastningsregistret är förenlig med dataskyddsförordningen.

Som vi anfört i avsnitt 5.3 kan behandling av personuppgifter i belastningsregistret innebära en behandling av känsliga person- uppgifter. Möjligheten att behandla belastningsuppgifter för syften inom dataskyddsförordningens tillämpningsområde får anses förenlig med regleringen i 3 kap. 3 § 3 dataskyddslagen (dvs. behandlingen är absolut nödvändig för sitt ändamål och innebär inte ett otillbörligt intrång i den registrerades personliga integritet) och därmed med dataskyddsförordningen (jfr våra allmänna överväganden, avsnitt 2.5.6).

181

5.5Överväganden om och förslag till författningsändringar

Förslag: I lagen om belastningsregister ges 1 a § ett nytt innehåll som anger att lagen gäller utöver brottsdatalagen. Vidare införs en bestämmelse i paragrafen som innebär att sökbegränsningen i 2 kap. 14 § brottsdatalagen inte hindrar sökningar i belastningsregistret på brottsrubricering och verk- ställighet av påföljd.

Den nuvarande bestämmelsen i 1 b § upphävs och i stället införs en ny paragraf (en ny 1 b §) som anger att lagens bestämmelser kompletterar dataskyddsförordningens reglering i vissa fall och att dataskyddslagen också gäller för sådan behandling.

Ändamålen med belastningsregistret i 2 § anpassas till brotts- datalagens terminologi såvitt avser de brottsbekämpande myndigheternas användning av uppgifter ur registret.

Möjligheten att begära obegränsade registerutdrag ska inte längre regleras av lagen om belastningsregister utan av brottsdatalagen. Kravet på egenhändigt undertecknande av en begäran om utdrag (9 § fjärde stycket) ersätts med att Polismyndigheten ska säkerställa att begäran har gjorts av en behörig person.

Bestämmelsen i 20 § ändras så att en hänvisning görs till brottsdatalagens bestämmelser om skadestånd. Hänvisningen till personuppgiftslagen tas bort.

Bedömning: Bestämmelserna om gallring bör stå kvar oförändrade. Några bestämmelser som avser inskränkning i den registrerades rättigheter enligt det nya dataskyddsdirektivet eller dataskyddsförordningen behövs inte. Bestämmelser om sank- tionsavgifter behövs inte heller.

182

Skälen för förslaget och bedömningen:

Förhållandet till annan lagstiftning – 1 a och 1 b §§

Som tidigare angetts måste 1 a § ändras eftersom den hänvisar till personuppgiftslagen, som kommer att upphävas som en följd av den nya EU-regleringen. Bestämmelsen i 1 b § hänvisar till en annan författning som kommer att upphävas – lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Istället för det nuvarande innehållet i 1 a och 1 b §§ bör införas bestämmelser som klargör förhållandet till den nya generella regleringen av personuppgiftsbehandling – brottsdata- lagen, dataskyddsförordningen och dataskyddslagen.34

Liksom andra registerförfattningar som gäller inom det nya dataskyddsdirektivets tillämpningsområde bör det anges att lagen om belastningsregister gäller utöver brottsdatalagen, se vidare avsnitt 2.6.7.

När det gäller sökbegränsningen avseende känsliga person- uppgifter i 2 kap 14 § brottsdatalagen menar vi att vissa undantag bör göras. Vi menar också att förhållandet mellan informations- skyldigheten enligt 4 kap. 3 § och 9 § lagen om belastningsregister behöver regleras för att förtydliga vad som gäller. Dessa frågor behandlas vidare nedan. Som vi diskuterat ovan (avsnitt 5.3) skulle en viss tveksamhet kunna uppstå om tillämpningen av 2 kap. 4 § brottsdatalagen i förhållande till Polismyndighetens användning av uppgifter ur belastningsregistret för brottsbekämpande ändamål. Vi menar dock att det inte finns behov av att införa någon författ- ningsreglering som avser denna fråga, utan att den kan klargöras tillräckligt i författningskommentaren.

När det gäller dataskyddsförordningen anser vi att det bör anges som en upplysning att lagen kompletterar förordningen (se vidare våra generella överväganden, avsnitt 2.5.9). Man hade i och för sig kunnat helt undvara en hänvisning till dataskyddsförordningen med motiveringen att det framgår av brottsdatalagen i sig att vissa behandlingar av uppgifter, som från början samlats in och be- handlats inom tillämpningsområdet för brottsdatalagen, sedermera

34 Upphävande av 1 b § föreslås också av Utredningen om 2016 års dataskyddsdirektiv som en följd av utredningens förslag att 2013 års lag ska upphävas, se SOU 2017:74 s. 72.

183

kan komma att behandlas för syften som gör dataskydds- förordningen tillämplig i stället (2 kap. 22 §).35 Vi menar dock att det kan vara befogat att ha en sådan bestämmelse även i lagen om belastningsregister, så att det redan av den lagen framgår att behandlingen i registret kan komma att omfattas antingen av brottsdatalagens eller av dataskyddsförordningens tillämpnings- område.

I den upplysande bestämmelsen som tar upp dataskydds- förordningen bör också anges att dataskyddslagen gäller, se vidare våra överväganden om behovet av författningsreglering av förhållandet mellan registerförfattningar och dataskyddslagen, avsnitt 2.5.9.

Undantag från sökbegränsningen för känsliga personuppgifter

Utredningen om 2016 års dataskyddsutredning föreslår för de flesta registerförfattningar som gäller för behöriga myndigheters personuppgiftsbehandling att det ska göras vissa undantag från sökbegränsningen avseende känsliga personuppgifter som följer av 2 kap. 14 § brottsdatalagen.36 Eftersom någon sådan sökbe- gränsning inte finns i personuppgiftslagen kan sökningar i belast- ningsregistret i dag göras exempelvis med brottsrubriceringar eller uppgifter om verkställighet av påföljd som sökbegrepp. Det finns behov för de behöriga myndigheterna att kunna göra sådana sökningar och därför uppstår samma behov att göra undantag från brottsdatalagens sökbegränsning i belastningsregistret som i andra informationssamlingar hos de brottsbekämpande myndigheterna. Vissa av undantagen som görs i andra registerförfattningar blir dock inte aktuella vid sökningar i belastningsregistret, såsom sökningar avseende personers utseende eller religiösa övertygelse, eftersom sådana uppgifter inte förekommer i belastningsregistret.

352 kap. 21 § enligt förslaget i SOU 2017:29, ändrad till 2 kap. 22 § i SOU 2017:74, se s. 190 f.

36Se exempelvis förslaget till 2 kap. 5 § polisens brottsdatalag (s. 97 i SOU 2017:74) och överväganden till förslaget (a. a. s. 423–426).

184

Proportionalitetsprövningen enligt 2 kap. 22 §

Som vi redan nämnt kommer 2 kap. 22 § brottsdatalagen att bli tillämplig på Polismyndighetens egen användning av uppgifter ur belastningsregistret för olika lämplighets- och tillståndsprövningar. (Däremot inte på Polismyndighetens behandling för att lämna ut uppgifter för sådana ändamål till svenska myndigheter, eftersom utlämnandet följer av en uppgiftsskyldighet).

Den prövning som ska göras enligt 2 kap. 22 § andra stycket har föreslagits av Utredningen om 2016 års dataskyddsdirektiv och hänger samman med utredningens förslag om att sekundära ändamål inte längre ska regleras i vissa registerförfattningar inom brottsdatalagens tillämpningsområde. Bestämmelsen ska också ses tillsammans med den reglering som föreslås i 2 kap. 4 § brotts- datalagen, som innebär att en prövning av nödvändighet och proportionalitet ska göras innan personuppgifter behandlas för nya ändamål inom brottsdatalagens tillämpningsområde. Utredningen anför bl.a. att det skulle skapa en omotiverad skillnad att kräva en noggrannare prövning för behandling för nya ändamål inom brottsdatalagens tillämpningsområde än utanför det.37

Belastningsregistrets användning utanför brottsdatalagens tillämpningsområde, menar vi, kan inte sägas innebära en behandling för nya ändamål, eftersom samtliga ändamål för registret som regleras i 2 § gäller redan vid insamlandet av uppgifter till registret. Lagen om belastningsregister innehåller alltså inga sekundära ändamål på samma sätt som många andra register- författningar. Frågan är då om det verkligen är motiverat att 2 kap. 22 § ska tillämpas vid Polismyndighetens egen användning av registret för ändamål inom dataskyddsförordningens tillämpnings- område. Vi har gjort bedömningen att 2 kap. 4 § inte blir tillämplig när Polismyndigheten använder registret för brottsbekämpande ändamål. Om 2 kap. 22 § ska tillämpas när Polismyndigheten an- vänder registret för andra ändamål innebär det att högre krav ställs på sådan behandling än på behandling inom brottsdatalagens

37 SOU 2017:74 s. 398 f.

185

tillämpningsområde. Detta är dock knappast orimligt i och för sig.38

Däremot kan man hävda att tillämpningen av 2 kap. 22 § skapar en omotiverad skillnad mellan Polismyndighetens egen användning av registret och utlämnande till andra myndigheter -– eftersom den sistnämnda behandlingen beror på en uppgiftsskyldighet behövs ingen prövning i de fallen. Å andra sidan är de myndigheter som begär uppgifter skyldiga att göra en proportionalitetsprövning enligt 7 § lagen om belastningsregister.

Det bör också poängteras att en tillämpning av 2 kap. 22 § inte kan förutsättas förhindra någon användning av belastningsregistret som i dag är laglig. I de allra flesta fall bör en prövning i enlighet med bestämmelsen utfalla så att uppgifter kan behandlas på samma sätt som i dag, eftersom det får anses både nödvändigt och proportionerligt.

Det finns alltså argument både för och emot att 2 kap. 22 § ska vara tillämplig på Polismyndighetens behandling för ändamål utanför brottsdatalagens tillämpningsområde. Bestämmelsen är inte nödvändig för att genomföra något krav som följer av någon av EU-rättsakterna. Ett undantag skulle därmed kunna göras i lagen om belastningsregister, lämpligen i 1 a §, där ett annat undantag från brottsdatalagen tas in. Vi lämnar dock inget sådant förslag. En sådan reglering är inte nödvändig som en anpassning till EU- rättsakterna i sig och ligger därmed egentligen inte inom vårt uppdrag. Frågan hänger också så nära samman med annan reglering inom brottsdatalagens tillämpningsområde att den lämpligen bör övervägas vidare inom ramen för det lagstiftningsarbetet. Bl.a. bör det ha betydelse hur man ska se på 2 kap. 22 § i relation till andra register som förs av Polismyndigheten, exempelvis dna-registret, som förs för ändamål både inom och utanför brottsdatalagens tillämpningsområde.39

38Att ställa högre krav för att få vidarebehandla uppgifter utanför brottsdatalagens tillämp- ningsområde än inom tillämpningsområdet kan istället ses som den rimligaste ordningen, jfr Utredningen om 2016 års dataskyddsdirektiv, a. a. s. 399.

39Se 5 kap. 1 § polisens brottsdatalag (SOU 2017:74 s. 109). Dna-registret förs för brottsbe- kämpande syften, men även för att underlätta identifiering av avlidna personer (första stycket 4). Utredningen om 2016 års dataskyddsdirektiv har inte närmare utvecklat hur

2kap. 22 § ska tillämpas vid användning av dna-registret för detta ändamål.

186

Justering av ändamålen med belastningsregistret

Vi ger i andra avsnitt i denna promemoria uttryck för att vi tror att det kan underlätta för myndigheter som har att tillämpa flera olika författningar som rör personuppgiftsbehandling att författningarna använder sig av samma reglering och samma uttryckssätt så långt det är möjligt och om det inte finns sakliga skäl emot en sådan ordning. I lagen om belastningsregister tas ändamålen för registret upp i 2 §. Första punkten avser ändamålen att förebygga, upptäcka och utreda brott. Brottsdatalagens tillämpningsområde tar istället upp, såvitt nu är relevant, syftena att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott. Vi har tidigare anfört att vi menar att det grundläggande ändamålet med belast- ningsregistret är sådant att det nya dataskyddsdirektivet är tillämpligt på förandet av registret. Det framstår som en mer konsekvent och lättillämpad ordning om ändamålen i lagen om belastningsregister ansluter till brottsdatalagens uttryckssätt.

Även om ändamålen för belastningsregistret är kopplade till begreppet brott, som vanligtvis uppfattas som snävare än termen brottslig verksamhet, menar vi att någon större saklig skillnad inte kan anses föreligga just i detta fall. Bestämmelserna om ändamål i lagen om belastningsregister utformades i anslutning till tillämp- ningsområdet för 1998 års polisdatalag40, som också använde uttryckssätten förebygga och utreda brott. Utgångspunkten torde ha varit den ursprungliga lydelsen av 2 § polislagen (1984:387)41, som också angav förebygga och utreda brott som några av de verk- samheter som utgör polisens uppdrag. 1998 års polisdatalag omfattade dock inte endast behandling av uppgifter för utredning av konkreta brottsmisstankar, utan även uppgifter som behövdes för underrättelseverksamhet (vilket framgår bl.a. av 1 § och 3 § i lagen). Såvitt avsåg polisdatatalagen förändrades uttryckssättet genom införandet av 2010 års polisdatalag, bl.a. på så sätt att begreppet brottslig verksamhet togs in i ändamålen för behandling. Någon egentlig utvidgning av ändamålen var dock inte avsedd, utan utgångspunkten var alltjämt polisens uppgifter enligt 2 § polis- lagen.42 Senare har även 2 § polislagen ändrats så att uttryckssättet

40SFS 1998:622.

412 § ändrades genom SFS 2014:588, prop. 2013/14:110 s. 126.

42Se prop. 2009/10:85 s. 73–76.

187

brottslig verksamhet m.m. används. Ändringen avsåg inte att förändra polisens uppgifter i sak, utan var en anpassning till bl.a. den nya polisdatalagen.43 Att någon motsvarande justering inte har gjorts i lagen om belastningsregister kan alltså knappast ges inne- börden att de grundläggande ändamålen för polisens egen använd- ning av registret skulle vara inskränkta i förhållande till ändamålen för behandling enligt polisdatalagen (eller i förhållande till beskrivningen av kärnverksamheten enligt 2 § polislagen).

Vi menar alltså att det inte går att identifiera några sakliga skäl till att ändamålen i lagen om belastningsregister ska vara annorlunda utformade än annan reglering på det brottsbekämpande området. Eftersom brottsdatalagen kommer att bli den centrala författningen inom detta område, bör ändamålen i lagen om belastningsregister omformuleras för att bättre överensstämma med de syften som är bestämmande för den lagens tillämp- ningsområde.

Information till den registrerade

Som vi anfört i föregående avsnitt menar vi att det inte är förenligt med det nya dataskyddsdirektivet att ha kvar 9 § i lagen om belastningsregister som en särreglering i förhållande till brotts- datalagens krav på information. Den enskilde måste, med andra ord, kunna få information inte bara om vilka uppgifter som finns om honom eller henne i belastningsregistret, utan också den övriga information om behandlingen som följer av 4 kap. 3 § brotts- datalagen. En möjlighet att åstadkomma detta är att göra ett tillägg till bestämmelsen i 9 § första stycket som anger att även information i enlighet med brottsdatalagen ska lämnas då den enskilde begär ett registerutdrag. Ett annat sätt är att låta möjligheten att få ett registerutdrag enligt 9 § första stycket stå kvar och samtidigt i författningstexten förtydliga att den enskilde också kan begära information enligt 4 kap. 3 § brottsdatalagen. Den enskilde skulle då ha möjlighet att begära information både enligt 4 kap. 3 § brottsdatalagen och 9 § första stycket lagen om belastningsregister. För det fall en enskild först begärt information

43 Prop 2013/14:110 s. 577.

188

enligt 9 § första stycket lagen om belastningsregister och sedan begär information enligt brottsdatalagen, skulle själva register- utdraget inte behöva lämnas ut en andra gång med tillämpning av 4 kap. 3 § andra stycket. Båda dessa lösningar skulle dock innebära en dubbelreglering av den enskildes rätt till information. En sådan dubbelreglering fyller egentligen inte någon funktion, vare sig för Polismyndigheten eller den enskilde. Vi förordar därför en annan lösning, som innebär att 9 § första stycket utgår ur lagen om belastningsregister. Möjligheten att få ett registerutdrag är för den enskilde densamma, men en begäran får i stället göras i enlighet med 4 kap. 3 § brottsdatalagen. Det kan tilläggas att det inte finns något som hindrar att Polismyndigheten ger den enskilde möjlighet att begära information om endast behandlingen i belastnings- registret och inte om andra personuppgifter som eventuellt behandlas av Polismyndigheten. Om en person inte är intresserad av någon annan information är det givetvis inte ändamålsenligt för vare sig den personen eller för Polismyndigheten att all tillgänglig information om behandling av personuppgifter lämnas.

Som vi tidigare redogjort för menar vi att de begränsade utdrag som den enskilde kan begära med stöd av 9 § andra och tredje styckena ska betraktas som en extra skyddsåtgärd i förhållande till det nya dataskyddsdirektivets krav på information. Sådana utdrag utgör alltså en särreglering i förhållande till brottsdatalagen och bör därför även fortsättningsvis regleras i lagen om belastningsregister.

Möjlighet till elektronisk identitetskontroll vid begäran om registerutdrag – 9 § fjärde stycket

Enligt 9 § fjärde stycket ska den som begär ett utdrag om sig själv ur belastningsregistret göra det genom en skriftlig begäran som undertecknas av den sökande. Utredningen om 2016 års dataskyddsdirektiv har redogjort för överväganden bakom kravet på egenhändigt undertecknande som finns i 26 § andra stycket personuppgiftslagen samt anfört skäl att göra regleringen teknik- neutral, utan att behovet av en säker identifiering av den som gör en begäran eftersätts.44 Vi anser att kravet på egenhändigt under-

44 SOU 2017:29 s. 413–415.

189

tecknande av samma skäl kan utgå även när det gäller begäran om begränsade utdrag ur belastningsregistret. Den reglering som före- slås i brottsdataförordningen kommer att gälla med avseende på en begäran som görs enligt brottsdatalagen. Lagen om belastnings- register bör därför, liksom i dag, innehålla en egen reglering av kraven på en begäran om utdrag, men denna kan anpassas till vad som kommer att gälla enligt brottsdataförordningen.

Skadestånd och rättelse – 20 §

Som vi anför i våra allmänna överväganden (avsnitt 2.6.7) behövs inte någon hänvisning till bestämmelser om rättelse m.m. i brottsdatalagen för att dessa bestämmelser ska kunna tillämpas i stället för regleringen i personuppgiftslagen när denna lag upphävs. Det kan anmärkas att frågor om radering ur registret skulle kunna aktualiseras om ett avsnitt i registret är helt och hållet felaktigt, exempelvis med anledning av en personförväxling. Sådan radering är då möjlig med stöd av 4 kap. 9 §, eftersom raderingen i det fallet är det relevanta sättet att rätta personuppgiften.45 Någon hänvisning till brottsdatalagen behövs inte för att den enskilde ska kunna begära rättelse i det avseendet.

Att det fanns lagkrav på rättelse av personuppgifter ansågs vid genomförandet av rambeslutet om kriminalregister (se vidare avsnitt 5.1) som en förutsättning för att rambeslutets krav i artikel 5.2 kunde anses genomförda utan författningsändringar.46 Även när personuppgiftslagen upphävs kommer alltså rambeslutet vara genomfört i svensk rätt i denna del, utan några ytterligare författ- ningsändringar.

Som vi tidigare redogjort för kommer dataskyddsförordningen att vara tillämplig på vissa behandlingar som avser utlämnande ur registret. Som vi också anfört anser vi att förandet av registret dock faller under det nya dataskyddsdirektivets, och därmed brotts- datalagens, tillämpningsområde. Eftersom personuppgifternas korrekthet har att göra med vad som en gång förts in i registret kommer frågor om rättelse m.m. inte att bedömas enligt data-

45Se vidare SOU 2017:29 s. 405.

46Prop. 2011/12:163 s. 38 f.

190

skyddsförordningen. Detta gäller även om en eventuell felaktighet i registret skulle uppmärksammas i samband med ett utlämnande som i och för sig omfattas av dataskyddsförordningens tillämp- ningsområde.

För att 7 kap. 1 § brottsdatalagen om skadestånd ska gälla för behandling även enligt lagen om belastningsregister och före- skrifter med stöd av lagen behövs en hänvisning i lagen, se vidare våra allmänna överväganden, avsnitt 2.6.7.

Skadestånd enligt brottsdatalagen kan naturligtvis endast komma ifråga om skada orsakats vid behandling som omfattas av den lagens tillämpningsområde. Om skada uppkommit vid behandling som ska bedömas enligt dataskyddsförordningen blir förordningens skadeståndsreglering tillämplig. Som vi anfört i våra generella överväganden behövs inga hänvisningar till data- skyddsförordningen för att åstadkomma detta.

Sanktionsavgifter

Som vi redogör för i våra allmänna överväganden (avsnitt 2.6.7) anser vi att det inte behöver införas särskilda bestämmelser om sanktionsavgifter i registerförfattningar som ingår i vårt uppdrag och som omfattas av det nya dataskyddsdirektivets tillämp- ningsområde. Inte heller i förhållande till dataskyddsförordningen behövs bestämmelser om sanktioner, se vidare avsnitt 2.5.9.

Bör gallringsbestämmelserna omformuleras?

Som vi tidigare nämnt (se avsnitt 2.6.3) anser Utredningen om 2016 års dataskyddsdirektiv att det är motiverat att i vissa registerförfattningar som omfattas av det nya dataskyddsdirektivets tillämpningsområde renodla terminologin när det gäller gallring och längsta tid för behandling av personuppgifter. I korthet anser utredningen att begreppet gallring inte bör användas i register- författningar. Skälet är att gallring är ett begrepp som används i arkivrättsliga sammanhang och att det ursprungliga syftet med att gallra är att begränsa omfattningen av de allmänna arkiven.47

47 SOU 2017:29 s. 282 f. och SOU 2017:74 s. 358.

191

När det gäller lagen om belastningsregister anser vi att det inte finns tillräckliga skäl att ändra i gallringsbestämmelserna, av följande skäl. Belastningsregistret innehåller uteslutande allmänna handlingar (som dock som utgångspunkt är sekretessbelagda). Gallringsbestämmelserna i lagen är utformade utifrån både integritetshänsyn och hänsyn till det samhälleliga intresset av att det finns information om enskildas brottsliga belastning. Samtidigt innebär gallringsbestämmelserna att det finns lagstöd för att just gallra allmänna handlingar. Ett byte av terminologi från gallring till exempelvis längsta tid som uppgifterna får behandlas skulle inte innebära något annat än just en förändring av bestämmelsernas ordalydelse samt ett behov av att se över gallringsbestämmelser i annan författning och eventuellt göra ändringar eller tillägg där. Vi anser att bestämmelserna om gallring just i lagen om belastningsregister är utformade på ett ändamålsenligt sätt och att de inte heller ger upphov till några tillämpningsproblem. Det finns därmed inte skäl att ändra deras ordalydelse.

Behövs bestämmelser som inskränker den enskildes rättigheter?

Som vi anfört i våra allmänna överväganden (avsnitt 2.6.6) finns inga generella skäl för oss att överväga inskränkningar i den registrerades rättigheter enligt det nya dataskyddsdirektivet. Våra slutsatser när det gäller den enskildes rätt till information enligt direktivet och den rättighetens förhållande till lagen om belast- ningsregister framgår av avsnitt 5.3.

Även om vissa utlämnanden ur belastningsregistret ska bedömas enligt dataskyddsförordningen blir det, som anförts ovan, inte aktuellt att tillämpa vissa bestämmelser i förordningen, eftersom själva insamlandet av personuppgifter till registret och bevarandet i registret regleras av det nya dataskyddsdirektivet. Frågor om information, rättelse och radering, som i förordningen regleras i artiklarna 13–17, regleras därmed av brottsdatalagen. Teoretiskt kan man dock tänka sig en tillämpning av rätten till begränsning av behandling och rätten att göra invändningar mot behandling, eftersom den enskilde skulle kunna vända sig emot just ett visst, eller en viss typ av utlämnande, för ett sådant ändamål som inte omfattas av det nya dataskyddsdirektivet och därmed regleras av

192

dataskyddsförordningen. Samtidigt är det svårt att föreställa sig att det någonsin skulle kunna bli fråga om att faktiskt begränsa behandlingen i enlighet med artikel 18 eller artikel 21. Eftersom utlämnanden är författningsreglerade, liksom alla de olika tillstånds- eller lämplighetsprövningar i vilka belastningsuppgifter kan behövas, måste det i praktiken bli nära nog omöjligt för den enskilde att åberopa några relevanta skäl. Det torde i de allra flesta fall vara tillräckligt för Polismyndigheten att hänvisa till för- fattningsregleringen för att bemöta eventuella invändningar eller en begäran om begränsning, jfr vad vi anfört i våra allmänna överväganden, avsnitt 2.5.8. Vi anser därmed att det inte finns skäl att införa några bestämmelser som rör inskränkningar i den registrerades rättigheter enligt dataskyddsförordningen.

Slutligen ska anmärkas att om den registrerade begär rättelse av uppgifterna i registret i enlighet med 4 kap. 9 § brottsdatalagen och det inte genast går att fastställa om uppgifterna är korrekta eller inte, har Polismyndigheten en skyldighet enligt paragrafens andra stycke att begränsa behandlingen. En sådan begränsning torde omfatta utlämnanden eller annan behandling som i och för sig inte omfattas av brottsdatalagens tillämpningsområde. I vart fall kommer tekniska åtgärder för att begränsa behandlingen av praktiska skäl troligen att omfatta all vidare behandling, oavsett vilket regelverk som skulle varit tillämpligt på behandlingen om den utförts.

193

myndigheten är personuppgiftsansvarig för behandlingen (1 §). Registrets ändamål (2 §) överensstämmer med ändamålen för belastningsregistret, med det undantaget att misstankeregistret inte används av domstol för straffmätning eller val av påföljd och inte heller av åklagare för utfärdande av strafföreläggande.

I övrigt innehåller lagen om misstankeregister bestämmelser om utlämnande ur registret (5–12 §§), gallring (13 §), tystnadsplikt (14 §) samt rättelse och skadestånd (15 §). Den enskildes rätt att få ett utdrag om sig själv regleras i 8 a § men avser endast den situationen att den enskilde behöver ett utdrag enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn.

I förordningen om misstankeregister finns i huvudsak mer preciserade bestämmelser om vilka myndigheter och enskilda som har rätt att få utdrag ur registret (3–8 §§). Där finns också en mer detaljerad reglering av misstankeregistrets innehåll (2 §) och av vilka myndigheter som är skyldiga att lämna uppgifter till Polismyndigheten (10–13 §§).

Sekretess

Sekretess gäller för uppgifter i misstankeregistret om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs (35 kap. 1 § 7 offentlighets- och sekretesslagen [2009:400]).

6.2Vilken EU-rättsakt är tillämplig?

Bedömning: Förandet av misstankeregistret och behandling i registret i brottsbekämpande syften omfattas av det nya data- skyddsdirektivets tillämpningsområde. På annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter som underlag för olika slag av lämplighets- och tillstånds- prövningar, tillämpas dataskyddsförordningen.

196

Skälen för bedömningen:

Det nya dataskyddsdirektivet, dataskyddsförordningen eller båda?

Argumentationen om vilken EU-rättsakt som är tillämplig på behandlingen av personuppgifter enligt lagen och förordningen om belastningsregister kan i princip överföras till att gälla även för lagen och förordningen om misstankeregister. Vi hänvisar alltså till avsnitt 5.2 och redogör här för vår bedömning i korthet.

Misstankeregistret förs helt automatiserat och det innehåller personuppgifter. På behandlingen i registret är alltså antingen det nya dataskyddsdirektivet eller dataskyddsförordningen tillämplig. De båda rättsakterna kan inte vara tillämpliga samtidigt, dvs. på samma personuppgiftsbehandling. Däremot kan samma bestäm- melse i någon av de svenska författningarna reglera behandling både inom det nya dataskyddsdirektivets tillämpningsområde och inom dataskyddsförordningens.

Vi har sett det som ändamålsenligt att först överväga vilken EU- rättsakt som ska tillämpas på förandet av registret. Bestämmelser i lagen och förordningen som reglerar registrets innehåll, bevarande i registret och gallring ur registret ska då bedömas utifrån denna EU-rättsakt. Frågor om rättelse m.m. som kan uppkomma avse- ende innehållet i registret ska också bedömas på grundval av den EU-rättsakt som är tillämplig på förandet av registret.

Polismyndigheten är en behörig myndighet i det nya data- skyddsdirektivets mening. Även om flera ändamål med miss- tankeregistret pekas ut i 2 § i lagen, menar vi att det grundläggande syftet med att föra ett register är de brottsbekämpande ändamål som anges i 2 § första stycket 1 och 2. Förandet av registret omfattas därmed av det nya dataskyddsdirektivets tillämpnings- område. Behandling i registret för att tillgodose brottsbekämpande myndigheters behov att ta del av uppgifterna för sådana syften omfattas också av direktivet.

När det gäller behandling i registret för olika tillstånds- och lämplighetsprövningar är syftet däremot inte att bekämpa brott i det nya dataskyddsdirektivets mening, även om man kan argu- mentera för att sådana prövningar har betydelse för att förebygga brott i vid bemärkelse. Behandling för att utlämna uppgifter ur registret för sådana syften omfattas därmed av dataskydds- förordningens tillämpningsområde. Även Polismyndighetens egen

197

användning av registret för sådana syften omfattas av dataskydds- förordningen.

Vår bedömning av personuppgiftsbehandlingen i misstanke- registret överensstämmer med den som Utredningen om 2016 års dataskyddsdirektiv har gjort.1

Vilken behandling omfattas av dataskyddsförordningen respektive det nya dataskyddsdirektivet?

Behandling i misstankeregistret i enlighet med de ändamål som anges i 2 § första stycket 1 och 2 avser behandling för syften inom det nya dataskyddsdirektivets tillämpningsområde. Polismyndighetens utlämnanden till andra svenska myndigheter för sådana ändamål i enlighet med 5 § första stycket 1 omfattas därmed av direktivet.

När det gäller uttag ur registret för sådana lämplighets-, tillstånds- och andra prövningar som avses i 2 § första stycket 3 är det i många fall i stället dataskyddsförordningen som är tillämplig, eftersom syftet med sådana uttag ofta inte omfattas av direktivet. Av de utlämnanden som regleras i 3–7 §§ i förordningen om miss- tankeregister torde följande utlämnanden omfattas av det nya dataskyddsdirektivets tillämpningsområde.2

–utlämnanden för ärenden som rör brott eller straffverkställighet till det statsråd som är föredragande i ärendet (delar av 3 § 1, motsvaras av delar av 10 § första stycket 1 förordningen om belastningsregister)

–utlämnande till migrationsdomstol eller Migrationsöver- domstolen i mål om upphävande av allmän domstols beslut om utvisning på grund av brott (3 § 10, motsvaras av 10 § första stycket 20 förordningen om belastningsregister)

–utlämnanden till Kriminalvården för prövningar enligt fängelse- lagen (2010:610), lagen (1994:451) om intensivövervakning med elektronisk kontroll, lagen (1991:2041) om särskild person- utredning i brottmål m.m., (delar av 4 § 3, motsvaras av delar av 10 § första stycket 10 förordningen om belastningsregister),

1SOU 2017:29 s. 216.

2För hänvisningar till bedömningar gjorda i SOU 2017:29, se motsvarande uppställning i avsnitt 5.2.

198

–utlämnande till en övervakningsnämnd eller Kriminalvården, i ärenden om övervakning (4 § 4, motsvaras av 10 § första stycket 11 förordningen om belastningsregister).

Vissa utlämnanden som föreskrivs i förordningen om miss- tankeregister får bedömas från fall till fall, beroende på det mer specifika syftet med varje utlämnande. Det gäller åklagarmyndig- hetens tillgång till uppgifter enligt 3 § 2 (motsvaras av 10 § första stycket 3 förordningen om belastningsregister) som kan gälla frågor om tillträdesförbud och kontaktförbud, som omfattas av det nya dataskyddsdirektivets tillämpningsområde. När det gäller pröv- ningar som Kriminalvården gör enligt häkteslagen (2010:611) beror det på om den person prövningen gäller är frihetsberövad p.g.a. (misstanke om) brott eller av någon annan orsak (del av 4 § 3, motsvaras av del av 10 § 10 förordningen om belastningsregister). Häkteslagen är nämligen tillämplig även på vissa andra frihets- berövanden än anhållande, häktning eller verkställighet eller ändring av påföljd.

Utlämnande för statistiska ändamål (7 § i lagen, motsvaras av 8 § lagen om belastningsregister) omfattas av dataskyddsförordningens tillämpningsområde, liksom utlämnanden till enskilda enligt 8 § (motsvaras av 10 § lagen om belastningsregister).

När det gäller utlämnanden genom direktåtkomst får det avgöras från fall till fall om utlämnanden sker för syften som omfattas av det nya dataskyddsdirektivet eller av förordningen.

När det gäller utlämnande till utländska myndigheter framgår det av lagen om misstankeregister att utlämnanden till utländska polis- eller åklagarmyndigheter inom Interpol i huvudsak sker för brottsbekämpande ändamål (10 §, motsvaras av 12 § andra stycket lagen om belastningsregister). Utlämnanden enligt 9 § i lagen får bedömas utifrån det syfte som kan utläsas ur den internationella överenskommelsen som är aktuell i det enskilda fallet (9 § motsvaras av 11 § lagen om belastningsregister).

199

6.3Överväganden om befintliga bestämmelser i förhållande till det nya dataskyddsdirektivet

Bedömning: Bestämmelserna i 1, 2–7, 8 a–13 §§ i lagen om miss- tankeregister, 1–4, 6, 8 a, 10–18 §§ i förordningen om miss- tankeregister är bestämmelser som helt eller delvis får betydelse för personuppgiftsbehandling inom det nya dataskyddsdirektivets tillämpningsområde. Bestämmelserna behöver inte ändras som en följd av att dataskyddsdirektivet ska genomföras i svensk rätt. Bestämmelserna i 1 a, 1 b och 15 §§ i lagen behöver upphävas eller ändras som en följd av att personuppgiftslagen och lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen kommer att upphävas.

Skälen för bedömningen:

Inledning

I detta avsnitt görs en genomgång av de bestämmelser i lagen och förordningen om misstankeregister som reglerar personuppgifts- behandling inom det nya dataskyddsdirektivets tillämpnings- område. Som framgår anser vi att de flesta bestämmelser kan behållas oförändrade och vi redovisar här skälen för denna bedömning. I de fall vi identifierat behov av förändringar anges skälen även för detta. Våra förslag till förändringar och skälen till att vi utformat dem på ett visst sätt framgår sedan av avsnitt 6.5.

Utgångspunkten för våra överväganden är alltså, som vi redo- gjort för ovan, att den automatiserade personuppgiftsbehandling som förandet av registret innebär omfattas av det nya data- skyddsdirektivet. För att dataskyddsdirektivet ska bli korrekt genomfört avseende behandlingen i misstankeregistret måste därmed brottsdatalagen tillämpas, eftersom lagen om misstanke- register i sig inte reglerar alla de områden som ingår i direktivet. I våra överväganden nedan utgår vi alltså ifrån att brottsdatalagen är tillämplig på personuppgiftsbehandling som regleras av lagen och förordningen om misstankeregister. Våra förslag till hur detta förhållande ska författningsregleras och vilka följdändringar det för

200

med sig följer i avsnitt 6.5. När vi analyserar bestämmelserna i lagen och förordningen om misstankeregister utgår vi dock i första hand från direktivets reglering, eftersom vi uppfattat vårt uppdrag så att vi ska göra en självständig analys av de ingående författningarnas förhållande till EU-rättsakterna, samtidigt som vi givetvis ska förhålla oss till andra utredningars författningsförslag som får betydelse för tillämpningen av de författningar som ingår i vårt uppdrag.

Skyldigheten att föra registret, personuppgiftsansvar, registrets ändamål och innehåll

Att Polismyndigheten åläggs att föra ett misstankeregister innebär att myndigheten uttryckligen getts en uppgift som omfattas av de syften som ingår i direktivets tillämpningsområde. Bestämmelsen i 1 § är alltså förenlig med dataskyddsdirektivet och genomför kravet på att behandling ska vara laglig (artikel 8).

Att Polismyndigheten pekas ut som personuppgiftsansvarig i 1 § är också förenligt med direktivet (se vidare avsnitt 2.6.3). Att det finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (12 §) får ses som en precisering av vad som ingår i uppgiften att föra registret och i personuppgiftsansvaret. Bestämmelserna behöver alltså inte ändras p.g.a. direktivet.

Av artikel 8 i direktivet framgår att ändamål med behandlingen och vilka personuppgifter som får behandlas ska regleras i nationell rätt. Bestämmelserna i 2–4 §§ i lagen, som rör registrets ändamål och innehåll, är alltså även de förenliga med direktivet. Detsamma gäller 2 § i förordningen som avser registrets innehåll. Bestäm- melsen i 1 § i förordningen är endast av upplysande karaktär och påverkas därmed inte av direktivet. I 10–13 §§ i förordningen specificeras vilka myndigheter som ska lämna uppgifter till Polismyndigheten för införande i registret. Myndigheterna i fråga har uppdrag att lagföra brott och verkställa straffrättsliga påföljder. Uppgiftsskyldigheten innebär indirekt en reglering av misstanke- registrets innehåll och är förenlig med dataskyddsdirektivet.

201

Känsliga personuppgifter

Rubriceringen på det brott som en misstanke avser skulle i vissa fall kunna betraktas som en känslig personuppgift, exempelvis då rubriceringen gäller sexualbrott.3 Att vissa känsliga personuppgifter kan komma att behandlas i misstankeregistret får anses förenligt med artikel 10 i det nya dataskyddsdirektivet. Kraven enligt artikel 10 är att sådan behandling ska följa av nationell rätt, vara absolut nödvändig och att det ska finnas lämpliga skyddsåtgärder. Samtliga dessa krav får anses uppfyllda. Den utförliga författningsregle- ringen av misstankeregistret får anses i sig utgöra en skyddsåtgärd, liksom tillämpliga sekretessbestämmelser. Det är absolut nöd- vändigt för syftet med behandlingen att behandla uppgifter om brottsrubricering i misstankeregistret.

Direktivets artikel 10 har genomförts i 2 kap. 11 § brottsdata- lagen. Förutsättningarna för att behandla sådana uppgifter skiljer sig något från direktivets utformning, men behandlingen i miss- tankeregistret av sådana uppgifter får anses vara förenlig även med bestämmelsen i brottsdatalagen. Vi återkommer i avsnitt 6.5 med förslag i anledning av den sökbegränsning för känsliga person- uppgifter som föreskrivs i brottsdatalagen (2 kap.14 §).

Förhållandet till annan reglering av personuppgiftsbehandling

I 1 a och b §§ regleras för närvarande förhållandet till person- uppgiftslagen och lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Som vi redogör för i avsnitt 5.3 kommer båda dessa lagar upphävas som en följd av EU:s dataskyddsreform. Bestämmelserna i 1 a och b §§ måste alltså ändras och anpassas till detta förhållande. Vi återkommer med våra förslag till ändringar i avsnitt 6.5.

3 SOU 2017:74 s. 872.

202

Bestämmelser om utlämnande ur registret till svenska myndigheter

I 5 § lagen om misstankeregister finns de grundläggande bestäm- melserna om svenska myndigheters möjlighet att få tillgång till uppgifter i misstankeregistret. Som redan redogjorts för kommer inte alla utlämnanden ur registret att omfattas av det nya data- skyddsdirektivets tillämpningsområde, se ovan, avsnitt 6.2. I för- ordningen om misstankeregister specificeras ytterligare möjlig- heten att få ut uppgifter. Det är endast vissa utlämnanden i 3 och 4 §§ samt regleringen av direktåtkomst i 6 § som avser brotts- bekämpande ändamål.

Att specificera vilka uppgifter som får lämnas ut och i vilka fall får anses förenligt med det nya dataskyddsdirektivet. Den särskilda regleringen av direktåtkomst i 6 § är också förenlig med direktivet, se vidare våra allmänna överväganden, avsnitt 2.6.3.

Den reglering som avser utlämnanden ur registret för andra syften än brottsbekämpning etc. tar vi upp i nästa avsnitt (avsnitt 6.4). Att uppgifter som först behandlats inom det nya data- skyddsdirektivets tillämpningsområde senare behandlas för andra syften är förenligt med dataskyddsdirektivet om sådan vidare- behandling är reglerad i nationell rätt eller unionsrätten (artikel 9). Författningsregleringen av sådant utlämnande genomför alltså även direktivets krav.

Polismyndighetens utlämnande av uppgifter ur registret till andra svenska myndigheter, både brottsbekämpande sådana och andra, är reglerad som en uppgiftsskyldighet (uppgifterna ska lämnas ut om de begärs, 5 § i lagen). Redan av denna anledning blir det inte aktuellt att göra någon prövning enligt 2 kap. 4 § (eller 2 kap. 22 §) brottsdatalagen.

Särskilt om Polismyndighetens användning av uppgifter i registret för myndighetens egen brottsbekämpande verksamhet

Att Polismyndigheten kan använda misstankeregistret för brotts- bekämpande syften regleras inte på annat sätt i lagen om miss- tankeregister än genom att denna användning omfattas av registrets ändamål i 2 § första stycket 1. Vi har i avsnitt 5.3 diskuterat om man ska bedöma Polismyndighetens behandling i belastnings- registret för behov inom den egna verksamheten för något av de

203

ändamål som anges i 2 § första stycket 1 i den lagen, som motsvarar ändamålsbestämmelsen i lagen om misstankeregister, som behand- ling för ett nytt ändamål i det nya dataskyddsdirektivets och brottsdatalagens mening. I sådana fall skulle direktivet, som i denna del genomförs i 2 kap. 4 § brottsdatalagen, ställa särskilda krav på att behandlingen ska vara nödvändig och proportionerlig för att vara tillåten. Vår slutsats är att behandling i enlighet med de ändamål som anges i 2 § första stycket 1 lagen om belastnings- register inte bör anses vara för ett nytt ändamål och att 2 kap. 4 § brottsdatalagen därmed inte ska tillämpas. Vi gör samma bedöm- ning när det gäller Polismyndighetens behandling för sådana ändamål i misstankeregistret. För en utförligare redogörelse hän- visar vi till avsnitt 5.3.

Det kan anmärkas att lagen och förordningen om misstanke- register enbart reglerar förande och behandling av uppgifterna i registret, i förekommande fall utlämnanden av uppgifterna. När uppgifter om en person ”lämnat” registret och vidarebehandlas för exempelvis en brottsutredning, eller för något annat brotts- bekämpande ändamål, blir andra regelverk tillämpliga beroende på vilken verksamhet den fortsatta behandlingen sker i.

Intresseavvägning före utlämnande

I 6 § finns en bestämmelse som berör alla svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att en myndighet alltid ska göra en intresseavvägning mellan skälet för begäran å ena sidan och den olägenhet eller det men en begäran innebär för den enskilde å den andra. Samma intresseavvägning finns i 7 § lagen om belastningsregister. Vi har när det gäller 7 § lagen om belastningsregister kommit fram till att bestämmelsen är förenlig med det nya dataskyddsdirektivet. Vi gör samma bedömning avseende 6 § lagen om misstankeregister. För en utförligare diskussion, se avsnitt 5.3.

204

Utlämnande till den registrerade

Den som är registrerad i misstankeregistret kan, enligt 8 a § i lagen (som preciseras i 8 a § i förordningen), få ett registerutdrag beträffande sig själv om det behövs enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn. Möjligheten att få ett sådant särskilt anpassat registerutdrag får betraktas som ett skydd för den enskildes integritet – registerutdraget är begränsat så att inte mer informa- tion om den enskilde ska framgå än vad som är nödvändigt med beaktande av syftet med utdraget.4 Denna särskilda informations- skyldighet i förhållande till den registrerade strider inte mot det nya dataskyddsdirektivet, eftersom direktivet under alla förhåll- anden tillåter starkare skyddsåtgärder.

Om den enskilde begär allmän information om vilka person- uppgifter som behandlas om honom eller henne med stöd av 4 kap. 3 § brottsdatalagen får denna begäran när det gäller uppgifter i misstankeregistret prövas i enlighet med brottsdatalagens reglering och gällande sekretessbestämmelser.5

Bestämmelser om utlämnande till utländska myndigheter

Utlämnande ur misstankeregistret till utländska myndigheter i brottsbekämpande syften regleras i huvudsak i 10 § i lagen om misstankeregister, men även utlämnanden i enlighet med 9 § skulle kunna omfattas av det nya dataskyddsdirektivet beroende på syftet med utlämnanden. Som redan anförts förhindrar inte det nya data- skyddsdirektivet en närmare nationell reglering av utlämnande- frågor. Detta ställningstagande förändras inte av att regleringen gäller utländska myndigheter.

När det gäller gränsöverskridande utbyte av personuppgifter som innebär en automatiserad behandling finns en särskild reglering av överföring till tredje land och internationella organisa- tioner i det nya dataskyddsdirektivet. Direktivet genomförs i detta avseende i 8 kap. brottsdatalagen. Bestämmelserna om utlämnande i lagen om misstankeregister möjliggör ett uppgiftsutlämnande till

4Jfr prop. 2006/07:37 s. 17 f.

5Jfr dock SOU 2017:29 s. 384.

205

tredje land genom att uppgiftsutbyte tillåts ske med Interpol och länder anslutna till Interpol. Om personuppgifterna behandlas helt eller delvis automatiserat för att överföras till tredje land måste de förutsättningar som följer av 8 kap. brottsdatalagen också vara uppfyllda för att överföringen ska kunna ske. Regleringen av tredjelandsöverföringar i 33–35 §§ personuppgiftslagen ersätts alltså, såvitt avser överföring för de syften som omfattas av direktivet, av 8 kap. brottsdatalagen.6

Gallring

Som anförts i våra allmänna överväganden (avsnitt 2.6.3) hindrar inte det nya dataskyddsdirektivet att tidsfrister för bevarande regleras i författning. Enligt direktivet är det t.o.m. en skyldighet för medlemsstaterna att bestämma närmare tidsfrister för radering och lagring (artikel 5). De bestämmelser som rör gallring i lagen om misstankeregister kan alltså i och för sig behållas (13 §).

I nästa avsnitt överväger vi om det annars finns skäl att förändra ordalydelsen av de nuvarande gallringsbestämmelserna med hänsyn till de förslag som Utredningen om 2016 års dataskyddsdirektiv lämnar när det gäller frågor om gallring och längsta tid för be- handling av personuppgifter.

Rättelse och skadestånd

Bestämmelsen i 15 § hänvisar till personuppgiftslagen och måste därför anpassas till att denna lag upphör och att brottsdatalagen i stället ska tillämpas. Vi lämnar förslag i avsnitt 6.5.

Ansvar för lämnade uppgifter

I 14 och 15 §§ i förordningen finns bestämmelser om ansvar för lämnade uppgifters riktighet och rättelse av felaktiga uppgifter. Bestämmelserna avser felaktigheter som upptäcks av de inblandade myndigheterna och alltså inte den enskildes rätt till rättelse. Såvitt

6 Jfr prop. 2009/10:85 s. 203, jfr s. 321 och s. 330.

206

avser behöriga myndigheter, vars uppgiftslämnande omfattas av direktivets tillämpningsområde, kan bestämmelserna ses som preci- seringar av principen om att personuppgifter ska vara korrekta (artikel 4.1 d som genomförs i 2 kap. 7 § brottsdatalagen). Förord- ningens bestämmelser kan därmed anses genomföra direktivet i denna del och utgör en precisering i förhållande till bestämmelsen i brottdatalagen. De kan och bör därför behållas i förordningen.

Föreskriftsrätt

I 4 och 11 §§ i lagen och 16–18 §§ i förordningen finns bestäm- melser om föreskriftsrätt. Bestämmelserna påverkas inte av det nya direktivet, se vidare våra allmänna överväganden, avsnitt 2.6.3.

6.4Överväganden om befintliga bestämmelser i förhållande till dataskyddsförordningen

Bedömning: Bestämmelserna i 5–8, 9–11 och 14 §§ i lagen om misstankeregister samt 3–8 §§ i förordningen om misstanke- register avser, helt eller delvis, behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde. Bestäm- melserna är förenliga med förordningen och några författ- ningsändringar behöver inte göras till följd av att förordningen börjar tillämpas.

Skälen för bedömningen:

Inledning

Vi har tidigare konstaterat att förandet av misstankeregistret får anses omfattas av det nya dataskyddsdirektivets tillämpnings- område. Att dataskyddsförordningen också blir tillämplig på viss behandling i registret beror på att ändamålet med en del behandling i registret inte avser brottsbekämpning, lagföring eller något annat av de ändamål som avses i artikel 2.1 d i dataskyddsförordningen och artikel 1.1 i det nya dataskyddsdirektivet.

207

I detta avsnitt bedömer vi de bestämmelser som vi menar reglerar behandling inom dataskyddsförordningens tillämpnings- område. Samma bestämmelser kan vara tillämpliga även på behandling inom det nya dataskyddsdirektivets område. Följden av att behandlingen i misstankeregistret ibland omfattas av data- skyddsförordningens, ibland av det nya dataskyddsdirektivets tillämpningsområde är alltså att vissa bestämmelser måste bedömas utifrån båda EU-rättsakternas krav.7

Vi bedömer att det är 5–8, 9–11 och 14 §§ i lagen om miss- tankeregister samt 3–8 §§ i förordningen om misstankeregister som innehåller de bestämmelser som ska bedömas med beaktande av dataskyddsförordningen. Som följer av våra överväganden nedan anser vi att bestämmelserna är förenliga med förordningen.

Myndigheters tillgång till uppgifter i misstankeregistret

Att Polismyndigheten gör uttag ur misstankeregistret för att lämna dem till andra myndigheter för prövningen i tillstånds- och lämplighetsfrågor eller för myndighetens egna prövningar för så- dana ändamål får anses vara behandling för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Utlämnandena är reglerade i författ- ning, liksom de prövningar i sig som uppgifterna ur misstanke- registret behövs för. Kraven på rättslig grund och att denna ska vara fastställd i nationell rätt (artikel 6.1 och 6.3) är alltså uppfyllda.

Det kan tilläggas att när det gäller visst uppgiftsutbyte inom EU får personuppgiftsbehandlingen även anses ha rättsliga grunder som fastställts i unionsrätten. Det gäller exempelvis utlämnande med stöd av 5 a § i förordningen, som avser prövningar av Tullverket i enlighet med Europaparlamentets och rådets förord- ning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen och de förordningar som meddelas med stöd av den förordningen.

Att författningsregleringen tydligt preciserar i vilka fall och för vilka ändamål utlämnanden får ske är vidare förenligt med artikel 6.2 och 6.3. Bestämmelserna i 5 § lagen om misstankeregister är därmed förenliga med dataskyddsförordningen, liksom de ytter-

7 Jfr Fi2017/02899/S3 s. 124 f.

208

ligare preciseringar av utlämnande som finns i 3–7 §§ i förord- ningen om misstankeregister. Som vi redan berört reglerar bestäm- melserna i förordningen endast delvis utlämnanden för syften som omfattas av dataskyddsförordningens tillämpningsområde. Även när det gäller 6 § berörs den endast av dataskyddsförordningen i den mån direktåtkomsten kan utnyttjas för andra ändamål än brottsbekämpning etc.

Även regleringen i 7 § i lagen om misstankeregister som möjliggör utlämnande för statistiska ändamål är, i enlighet med det ovan anförda, förenlig med dataskyddsförordningen. Vi menar att det inte ingår i vårt uppdrag att analysera om de särskilda förut- sättningarna i artikel 89 avseende behandling för statistiska ända- mål är uppfyllda, eftersom denna behandling i sig inte regleras av lagen om misstankeregister.8

För den reglering som möjliggör utlämnande till utländska myndigheter (9 och 10 §§ i lagen) för ändamål inom dataskydds- förordningens tillämpningsområde gäller också de ovan gjorda bedömningarna – författningsregleringen kan ses som fastställandet av en rättslig grund för utlämnanden och därtill en tillåten precisering av i vilka situationer behandling är tillåten. Man får utgå från att utlämnanden som ligger inom ramen för internationella överenskommelser eller EU-rättsakter (9 §) har ett allmänintresse som grund eller att personuppgiftsbehandling till följd av överens- kommelsen eller EU-rättsakten är en rättslig förpliktelse.

Om utlämnanden som inte avser brottsbekämpning skulle komma i fråga till ett tredje land ska dataskyddsförordningens särskilda reglering av sådana utlämnanden tillämpas, om ut- lämnandet innebär en helt eller delvis automatiserad behandling, jfr vad som sagts ovan om utlämnanden till tredje land inom brotts- datalagens tillämpningsområde.

8 Det kan dock noteras att behandlingen är författningsreglerad i förordningen (2001:100) om den officiella statistiken och därtill omgärdad av vad som får betraktas som skydds- åtgärder för den enskilde i och med gällande sekretessreglering i 24 kap. 8 § första stycket offentlighets- och sekretesslagen (2009:400).