Regeringens proposition 2018/19:65

Personuppgiftsbehandling i viss verksamhet som Prop.

rör allmän ordning och säkerhet – anpassningar 2018/19:65 till EU:s dataskyddsreform

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 14 mars 2019

Stefan Löfven

Mikael Damberg (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår en ny kustbevakningsdatalag samt ändringar av vissa andra lagar som reglerar personuppgiftsbehandling i verksamhet som rör allmän ordning och säkerhet.

EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Förordningen kräver att svenska författningar anpassas för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. EU:s nya dataskyddsdirektiv har genomförts i huvudsak genom brottsdatalagen som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar men om det finns bestämmelser i andra författningar som avviker gäller de före den lagen.

I propositionen finns förslag till en ny kustbevakningsdatalag som kompletterar dataskyddsförordningen samt förslag till anpassningar till EU:s dataskyddsreform genom bl.a. ändringar i vapenlagen och lagen om belastningsregister. Utöver en anpassning till dataskyddsreformen innebär förslagen även en förenklad reglering av den behandling av person- uppgifter som sker vid uppbörd av böter, t.ex. när en person frivilligt betalar utdömda böter.

Den nya lagen och lagändringarna föreslås träda i kraft den 30 juni 2019.

1

Prop. 2018/19:65

2

Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

8

2

Lagtext

..............................................................................................

9

 

2.1

Förslag till kustbevakningsdatalag .....................................

9

 

2.2

Förslag till lag om ändring i vapenlagen (1996:67)..........

13

2.3Förslag till lag om ändring i lagen (1998:620) om

belastningsregister ............................................................

16

2.4Förslag till lag om ändring i lagen (1998:621) om

misstankeregister ..............................................................

19

2.5Förslag till lag om ändring i lagen (2000:344) om

Schengens informationssystem ........................................

22

2.6Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400) ................................................

24

2.7Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom

brottsdatalagens område ...................................................

26

2.8Förslag till lag om ändring i lagen (2018:1694) om

Tullverkets behandling av personuppgifter inom

 

brottsdatalagens område ...................................................

30

2.9Förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter

 

inom brottsdatalagens område ..........................................

33

3 Ärendet och dess beredning ............................................................

34

4 Bakgrund och utgångspunkter ........................................................

35

4.1

Personuppgiftslagen och 1995 års

 

 

dataskyddsdirektiv............................................................

35

4.2

EU:s dataskyddsreform ....................................................

36

 

4.2.1

Dataskyddsförordningen och 2016 års

 

 

 

dataskyddsdirektiv...........................................

36

 

4.2.2

Dataskyddslagen..............................................

37

 

4.2.3

Brottsdatalagen ................................................

37

 

4.2.4

Gränsdragningen mellan

 

 

 

dataskyddsförordningen och

 

 

 

brottsdatalagen.................................................

37

4.3Utgångspunkter för anpassningarna av de aktuella

 

 

registerförfattningarna ......................................................

38

5

Allmänna överväganden om anpassningar till

 

 

dataskyddsförordningen och dataskyddslagen ................................

39

 

5.1

Dataskyddsförordningens tillämpningsområde ................

39

 

5.2

Rättslig grund för personuppgiftsbehandlingen................

40

5.3Övergripande om möjligheten att behålla och införa

särreglering.......................................................................

41

5.4Bestämmelser som är förenliga med

dataskyddsförordningen ...................................................

42

5.4.1Bestämmelser om syfte och

 

tillämpningsområde .........................................

42

5.4.2

Bestämmelser om personuppgiftsansvar .........

43

 

 

5.4.3

Ändamålsbestämmelser ..................................

43

 

 

5.4.4

Bestämmelser om utlämnande ........................

44

 

 

5.4.5

Bestämmelser om vilka uppgifter som får

 

 

 

 

behandlas ........................................................

45

 

 

5.4.6

Åtkomst till personuppgifter inom

 

 

 

 

myndigheten och sökbegränsningar ...............

46

 

 

5.4.7

Bestämmelser om bevarande och gallring ......

47

 

 

5.4.8

Bestämmelser om föreskriftsrätt.....................

48

 

5.5

Bestämmelser som inte kan behållas ...............................

48

 

5.6

Känsliga personuppgifter.................................................

49

 

5.7

Bestämmelser om registrerades rättigheter......................

50

 

 

5.7.1

Rättelse och komplettering .............................

50

 

 

5.7.2

Radering .........................................................

51

 

 

5.7.3

Begränsning av behandling ............................

52

 

 

5.7.4

Invändningar...................................................

53

 

 

5.7.5

Information om personuppgiftsincidenter ......

54

 

5.8

Behovet av nya bestämmelser .........................................

55

 

 

5.8.1

Bestämmelser om förhållandet till den

 

 

 

 

generella dataskyddsregleringen.....................

55

 

 

5.8.2

Det behövs inga bestämmelser om

 

 

 

 

skadestånd eller överklagande ........................

56

 

 

5.8.3

Det behövs inga bestämmelser om tillsyn

 

 

 

 

eller administrativa sanktionsavgifter .............

57

6

Allmänna överväganden om anpassningar till

 

 

dataskyddsdirektivet och brottsdatalagen.......................................

58

 

6.1

Övergripande om anpassningar till

 

 

 

dataskyddsdirektivet och brottsdatalagen ........................

58

 

6.2

Rättslig grund för personuppgiftsbehandlingen...............

58

6.3Bestämmelser som är förenliga med

 

dataskyddsdirektivet och brottsdatalagen ........................

59

 

6.3.1

Bestämmelser om syfte och

 

 

 

tillämpningsområde ........................................

59

 

6.3.2

Bestämmelser om personuppgiftsansvar ........

59

 

6.3.3

Ändamålsbestämmelser ..................................

60

 

6.3.4

Bestämmelser om utlämnande ........................

61

 

6.3.5

Bestämmelser om vilka uppgifter som får

 

 

 

behandlas ........................................................

61

 

6.3.6

Bestämmelser om gallring ..............................

62

 

6.3.7

Bestämmelser om föreskriftsrätt.....................

62

6.4

Bestämmelser som inte kan behållas ...............................

63

6.5

Bestämmelser om registrerades rättigheter......................

63

6.6

Behovet av nya bestämmelser .........................................

64

 

6.6.1

Bestämmelser om förhållandet till den

 

 

 

generella dataskyddsregleringen.....................

64

 

6.6.2

Bestämmelser om tillsyn ................................

64

 

6.6.3

Bestämmelser om administrativa

 

 

 

sanktionsavgifter.............................................

65

 

6.6.4

Bestämmelser om skadestånd .........................

68

 

6.6.5

Bestämmelser om överklagande .....................

68

7 Ny Kustbevakningsdatalag.............................................................

69

Prop. 2018/19:65

3

Prop. 2018/19:65

4

7.1

Nuvarande reglering .........................................................

69

7.2Kustbevakningens personuppgiftsbehandling inom

 

 

dataskyddsförordningens område vilar på rättslig

 

 

 

grund

................................................................................

70

 

7.3

En ny kustbevakningsdatalag inom

 

 

 

dataskyddsförordningens tillämpningsområde .................

71

 

7.4

Den nya kustbevakningsdatalagens innehåll ....................

72

 

 

7.4.1

Lagens tillämpningsområde och

 

 

 

 

förhållandet till dataskyddsförordningen

 

 

 

 

och dataskyddslagen........................................

72

 

 

7.4.2

Lagens syfte, tillgången till

 

 

 

 

personuppgifter och personuppgiftsansvar ......

74

 

 

7.4.3

Ändamålsbestämmelser och

 

 

 

 

finalitetsprincipen ............................................

75

 

 

7.4.4

Känsliga personuppgifter.................................

78

 

 

7.4.5

Utlämnande av personuppgifter och

 

 

 

 

direktåtkomst ...................................................

80

 

 

7.4.6

Information till den registrerade ......................

82

 

 

7.4.7

Bevarande och gallring....................................

85

 

 

7.4.8

Bestämmelser som inte behövs i den nya

 

 

 

 

kustbevakningsdatalagen .................................

87

8

Lagen om belastningsregister..........................................................

87

 

8.1

Kort om författningen.......................................................

87

8.2Är brottsdatalagen eller dataskyddsförordningen

tillämplig? ........................................................................

88

8.3Vilka ändringar bör göras som en följd av

 

dataskyddsreformen?........................................................

91

 

8.3.1

Bestämmelsernas förhållande till

 

 

 

brottsdatalagen och

 

 

 

dataskyddsförordningen ..................................

91

 

8.3.2

Skyldighet att föra belastningsregistret,

 

 

 

personuppgiftsansvar samt registrets

 

 

 

ändamål och innehåll .......................................

92

 

8.3.3

Förhållandet till andra bestämmelser om

 

 

 

personuppgiftsbehandling................................

94

 

8.3.4

Utlämnanden av uppgifter ur

 

 

 

belastningsregistret för användning vid

 

 

 

svenska myndigheter .......................................

95

 

8.3.5

Enskildas rätt till utdrag ur

 

 

 

belastningsregistret för egen användning ........

98

 

8.3.6

Utlämnanden av uppgifter ur

 

 

 

belastningsregistret för andra enskildas

 

 

 

användning ....................................................

101

 

8.3.7

Utlämnanden av uppgifter ur

 

 

 

belastningsregistret för användning vid

 

 

 

utländska myndigheter...................................

102

 

8.3.8

Gallring..........................................................

103

 

8.3.9

Rättelse och skadestånd .................................

104

 

8.3.10

Användningsbegränsningar ...........................

105

9

Lagen om misstankeregister..........................................................

105

9.1

Är brottsdatalagen eller dataskyddsförordningen

Prop. 2018/19:65

 

tillämplig?......................................................................

106

9.2Vilka ändringar bör göras som en följd av

dataskyddsreformen? .....................................................

108

9.2.1

Bestämmelsernas förhållande till

 

 

brottsdatalagen och

 

 

dataskyddsförordningen................................

108

9.2.2

Skyldighet att föra misstankeregistret,

 

 

personuppgiftsansvar samt registrets

 

 

ändamål och innehåll ....................................

109

9.2.3

Förhållandet till andra bestämmelser om

 

 

personuppgiftsbehandling.............................

111

9.2.4

Utlämnanden av uppgifter ur

 

 

misstankeregistret för användning vid

 

 

svenska myndigheter ....................................

112

9.2.5

Enskildas rätt till utdrag ur

 

 

misstankeregistret för egen användning .......

115

9.2.6

Utlämnanden av uppgifter ur

 

 

misstankeregistret för andra enskildas

 

 

användning ...................................................

116

9.2.7

Utlämnanden av uppgifter ur

 

 

misstankeregistret för användning vid

 

 

utländska myndigheter..................................

116

9.2.8

Gallring.........................................................

117

9.2.9

Rättelse och skadestånd ................................

118

10 Vapenlagen ..................................................................................

119

10.1Är brottsdatalagen eller dataskyddsförordningen

tillämplig?......................................................................

119

10.2Vilka ändringar bör göras som en följd av

 

dataskyddsreformen? .....................................................

122

 

10.2.1

Bestämmelsernas förhållande till

 

 

 

brottsdatalagen och

 

 

 

dataskyddsförordningen................................

122

 

10.2.2

Personuppgiftsansvar,

 

 

 

personuppgiftsombud och förhållandet till

 

 

 

andra bestämmelser om

 

 

 

personuppgiftsbehandling.............................

123

 

10.2.3

Skyldighet att föra vapenregistren samt

 

 

 

registrens ändamål och innehåll....................

124

 

10.2.4

Känsliga personuppgifter..............................

125

 

10.2.5

Tillgång till personuppgifter .........................

126

 

10.2.6

Rättelse och skadestånd ................................

126

 

10.2.7

Bevarande och gallring .................................

127

 

10.2.8

Utlämnande av uppgifter ..............................

128

11 Lagen om Schengens informationssystem ...................................

130

11.1

Schengensamarbetet ......................................................

130

11.2

Lagens innehåll..............................................................

131

11.3Är brottsdatalagen eller dataskyddsförordningen

tillämplig?......................................................................

132

5

Prop. 2018/19:65

6

11.4Vilka ändringar bör göras som en följd av

 

dataskyddsreformen?......................................................

133

 

11.4.1

Skyldighet att föra SIS-registret,

 

 

 

personuppgiftsansvar samt registrets

 

 

 

ändamål och innehåll .....................................

133

 

11.4.2

Förhållandet till andra bestämmelser om

 

 

 

personuppgiftsbehandling..............................

136

 

11.4.3

Förbud mot registrering av vissa känsliga

 

 

 

personuppgifter..............................................

136

 

11.4.4

Utlämnanden ur SIS-registret ........................

137

 

11.4.5

Användningsbegränsningar ...........................

138

 

11.4.6

Bevarande och gallring..................................

140

 

11.4.7

Rättelse, skadestånd och överklagande .........

141

 

11.4.8

Genomförandet av rådsbeslutet .....................

142

12 Regleringen om registrering av förelägganden och uppbörd av

 

böter

..............................................................................................

146

12.1

Utdömande och föreläggande av böter ...........................

146

 

12.1.1

Bötesstraff .....................................................

146

 

12.1.2

Annan betalningsskyldighet som omfattas

 

 

 

av reglerna om uppbörd.................................

147

12.2

Uppbörd av böter............................................................

148

 

12.2.1

Verkställighet av uppbörd av böter ...............

148

 

12.2.2

Vad omfattas av reglerna om uppbörd?.........

149

 

12.2.3

Uppbördsförfarandet .....................................

150

12.3

Nuvarande reglering av personuppgiftsbehandlingen ....

151

12.4

Tillämplig reglering efter dataskyddsreformen ..............

153

12.5Personuppgiftsbehandling vid registrering av

 

 

förelägganden .................................................................

154

 

 

12.5.1

Personuppgiftsbehandlingen ska styras av

 

 

 

 

myndigheternas registerförfattningar ............

154

 

 

12.5.2

Myndigheternas registerförfattningar

 

 

 

 

behöver inte anpassas ....................................

155

 

 

12.5.3

Sekretess........................................................

158

 

12.6

Personuppgiftsbehandling vid uppbörd av böter ............

159

 

 

12.6.1

Personuppgiftsbehandlingen ska styras av

 

 

 

 

myndigheternas registerförfattningar ............

159

 

 

12.6.2

Bestämmelserna om gemensamt

 

 

 

 

tillgängliga uppgifter bör styra

 

 

 

 

personuppgiftsbehandlingen ..........................

161

 

 

12.6.3

Rättslig grund ................................................

164

 

 

12.6.4

Gemensamt tillgängliga uppgifter .................

164

 

 

12.6.5

Längsta tid för behandling.............................

165

 

 

12.6.6

Uppbörd av viten ...........................................

167

 

 

12.6.7

Sekretess........................................................

169

13

Ikraftträdande- och övergångsbestämmelser.................................

174

14

Konsekvenser av förslagen ...........................................................

175

15

Författningskommentar .................................................................

176

 

15.1

Förslaget till kustbevakningsdatalag ..............................

176

 

15.2

Förslaget till lag om ändring i vapenlagen (1996:67).....

182

15.3Förslaget till lag om ändring i lagen (1998:620) om

belastningsregister .........................................................

184

15.4Förslaget till lag om ändring i lagen (1998:621) om

misstankeregister ...........................................................

187

15.5Förslaget till lag om ändring i lagen (2000:344) om

Schengens informationssystem......................................

190

15.6Förslaget till lag om ändring i offentlighets- och

sekretesslagen (2009:400) .............................................

191

15.7Förslaget till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom

brottsdatalagens område ................................................

192

15.8Förslaget till lag om ändring i lagen (2018:1694) om

Tullverkets behandling av personuppgifter inom

 

brottsdatalagens område ................................................

194

15.9Förslaget till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter

 

inom brottsdatalagens område .......................................

196

Bilaga 1

Sammanfattning av promemorian EU:s

 

 

dataskyddsreform – anpassningar av vissa

 

 

författningar om allmän ordning och säkerhet (Ds

 

 

2017:58) ........................................................................

197

Bilaga 2

Promemorians lagförslag ...............................................

200

Bilaga 3

Förteckning över remissinstanserna ..............................

213

Bilaga 4

Sammanfattning av promemorian Uppbörd av böter

 

 

efter EU:s dataskyddsreform (Ds 2018:3) .....................

214

Bilaga 5

Promemorians lagförslag ...............................................

216

Bilaga 6

Förteckning över remissinstanserna ..............................

225

Bilaga 7

Lagrådsremissens lagförslag..........................................

226

Bilaga 8

Lagrådets yttrande .........................................................

252

Utdrag ur protokoll vid regeringssammanträde den 14 mars 2019 ......

256

Prop. 2018/19:65

7

Prop. 2018/19:65

1

Förslag till riksdagsbeslut

 

Regeringens förslag:

1.Riksdagen antar regeringens förslag till kustbevakningsdatalag.

2.Riksdagen antar regeringens förslag till lag om ändring i vapenlagen (1996:67).

3.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:620) om belastningsregister.

4.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:621) om misstankeregister.

5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem.

6.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.

8.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

9.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

8

2

Lagtext

Prop. 2018/19:65

 

Regeringen har följande förslag till lagtext.

2.1Förslag till kustbevakningsdatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Kust- bevakningens operativa verksamhet som rör

1.sjöövervakning,

2.räddningstjänst,

3.samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och

4.internationellt samarbete.

Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till annan reglering

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

Lagens tillämpning på juridiska personer

5 § Följande bestämmelser om personuppgifter gäller även vid

behandling av uppgifter om juridiska personer:

9

Prop. 2018/19:65 1. 6 § om personuppgiftsansvar,

2.7–11 §§ om ändamålen för behandlingen,

3.15 § om tillgången till personuppgifter, och

4.24 § om bevarande och gallring.

Personuppgiftsansvar

6 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Ändamål

7 § Personuppgifter får behandlas om det är nödvändigt för att

1.bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,

2.bedriva räddningstjänst,

3.samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,

4.utreda och besluta i ärenden om vattenföroreningsavgift och ta emot sådana avgifter, eller

5.fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.

8 § Utöver vad som anges i 7 § får personuppgifter behandlas om

1.behandlingen är nödvändig för diarieföring, eller

2.uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

9 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1.Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

2.någon annan myndighets verksamhet, om

a)Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med en viss uppgift, eller

b)informationen tillhandahålls inom ramen för myndighets- överskridande samverkan, eller

3. likartad verksamhet hos en utländsk myndighet.

10 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldigheten att lämna uppgifter följer av lag eller förordning, till någon annan.

11 § Personuppgifter som behandlas enligt 7 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

10

Behandling av känsliga personuppgifter

12 § Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.

13 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

Uppgifter som beskriver en persons utseende

14 § Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till vad varje tjänste- man behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

16 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.

Med gemensamt tillgängliga uppgifter avses personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.

Utlämnande av personuppgifter

17 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.

18 § Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av 20–22 §§.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Direktåtkomst

20 § Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse känsliga person- uppgifter.

Prop. 2018/19:65

11

Prop. 2018/19:65

21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska och utländska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § i denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.

22 § En svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Information till den registrerade

23 § Information enligt artikel 13 i EU:s dataskyddsförordning behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Bevarande och gallring

24 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.

Denna lag träder i kraft den 30 juni 2019.

12

2.2

Förslag till lag om ändring i vapenlagen

Prop. 2018/19:65

 

(1996:67)

 

Härigenom föreskrivs i fråga om vapenlagen (1996:67)1 dels att 1 a kap. 2 och 9 §§ ska upphöra att gälla,

dels att nuvarande 1 a kap. 1 § ska betecknas 1 a kap. 2 §,

dels att 1 a kap. 3, 4, 6 och 10 §§ och rubriken närmast före 1 a kap. 6 § ska ha följande lydelse,

dels att rubriken närmast före 1 a kap. 1 § ska sättas närmast före 1 a kap. 2 §,

dels att det ska införas två nya paragrafer, 1 a kap. 1 och 1 a §§, och närmast före 1 a kap. 1 § en ny rubrik av följande lydelse,

Nuvarande lydelse

Föreslagen lydelse

1 a kap.

Förhållandet till annan reglering

1 §

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförord- ning.

Vid behandling av person- uppgifter som omfattas av EU:s dataskyddsförordning gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

1 Senaste lydelse av

 

1 a kap. 1 § 2014:591

 

1 a kap. 2

§ 2014:591

13

1 a kap. 9

§ 2014:591.

Prop. 2018/19:65

 

 

 

 

 

 

1 a §

 

 

 

 

 

 

 

 

 

 

Vid behandling av person-

 

 

 

 

 

 

 

uppgifter som omfattas av brotts-

 

 

 

 

 

 

 

datalagen (2018:1177) gäller be-

 

 

 

 

 

 

 

stämmelserna

i

detta kapitel

 

 

 

 

 

 

 

utöver den lagen.

 

 

 

 

 

 

 

 

3 §2

 

 

 

Uppgifter om en person får inte

Om uppgifter om en person

behandlas enbart på grund av vad

behandlas, får de kompletteras

som är känt om personens ras

med känsliga personuppgifter när

eller

etniska

ursprung,

politiska

detta är absolut nödvändigt för

åsikter, religiösa eller filosofiska

syftet med behandlingen. Känsliga

övertygelse,

 

medlemskap

i

personuppgifter får också be-

fackförening,

 

 

hälsa

 

eller

handlas om det är nödvändigt för

sexualliv.

 

 

 

 

 

diarieföring eller om uppgifterna

 

 

 

 

 

 

 

har lämnats till Polismyndigheten

 

 

 

 

 

 

 

i en anmälan eller liknande och

 

 

 

 

 

 

 

behandlingen

är

nödvändig

för

 

 

 

 

 

 

 

handläggningen.

 

 

Om uppgifter om en person

Vad som avses med känsliga

behandlas på annan grund, får de

personuppgifter

framgår

av

kompletteras med sådana upp-

artikel 9.1 i EU:s dataskydds-

gifter som avses i första stycket

förordning och 2 kap. 11–13 §§

när det är absolut nödvändigt för

brottsdatalagen (2018:1177).

 

syftet

med

 

behandlingen.

 

 

 

 

Uppgifter som avses i första

 

 

 

 

stycket får också behandlas om det

 

 

 

 

är nödvändigt

för diarieföring

 

 

 

 

eller om uppgifterna har lämnats

 

 

 

 

till

Polismyndigheten

i

en

 

 

 

 

anmälan eller

 

liknande

och

 

 

 

 

behandlingen

är

nödvändig

för

 

 

 

 

handläggningen.

 

 

 

 

 

 

 

 

 

 

 

 

 

4 §3

 

 

 

Vid

sökning i

personuppgifter

Det är förbjudet att utföra

som behandlas med stöd av denna

sökningar i syfte att få fram ett

lag får uppgifter som avslöjar ras,

urval av personer grundat på

etniskt ursprung, politiska åsikter,

känsliga personuppgifter.

 

religiös

eller

filosofisk

 

 

 

 

övertygelse,

 

medlemskap

i

 

 

 

 

fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

2Senaste lydelse 2014:591.

3Senaste lydelse 2014:591.

14

Bestämmelsen om skadestånd i
7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Rättelse och skadestånd4

Skadestånd vid personuppgifts-

Prop. 2018/19:65

 

behandling som omfattas av

 

 

brottsdatalagen

 

6 §5

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 15 §.

 

 

 

 

10 §6

 

 

 

 

Utan hinder av vad som sägs i

Uppgifter

om

skjutvapen och

9 § ska uppgifter om skjutvapen

sådana vapendelar som avses i 2 a

och sådana vapendelar som avses

kap. ska bevaras i vapenregister i

i 2 a kap. bevaras i vapenregister i

20 år. Detsamma gäller uppgifter

20 år. Detsamma gäller uppgifter

om

namn,

adress

och

om

namn,

adress

och

organisations-

eller

person-

organisations-

 

 

eller

nummer avseende den som har

personnummer avseende den som

meddelats

tillstånd att

inneha

har meddelats tillstånd att inneha

skjutvapen eller tillstånd att driva

skjutvapen eller tillstånd att driva

handel med skjutvapen.

 

handel med skjutvapen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Denna lag träder i kraft den 30 juni 2019.

4

Senaste lydelse 2014:591.

 

5

Senaste lydelse 2014:591.

15

6

Senaste lydelse 2014:591.

Prop. 2018/19:65

16

2.3Förslag till lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs i fråga om lagen (1998:620) om belastnings- register

dels att 1 a, 2, 9 och 20 §§ och rubriken närmast före 20 § ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 1 b, 5 a och 22 §§, och närmast före 5 a och 22 §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 a §1

Denna lag gäller utöver Denna lag gäller utöver personuppgiftslagen (1998:204). brottsdatalagen (2018:1177).

1 b §2

Vid behandling av person- uppgifter som inte omfattas av brottsdatalagen (2018:1177) kom- pletterar denna lag Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av person- uppgifter enligt första stycket gäller lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 §3

Belastningsregistret ska föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos

1Senaste lydelse 2013:331.

2Tidigare 1 b § upphävd genom 2018:1243.

3Senaste lydelse 2014:593.

1. Polismyndigheten,

Säker-

1. Polismyndigheten,

Säker- Prop. 2018/19:65

hetspolisen,

Skatteverket,

Tull-

hetspolisen, Skatteverket,

Tull-

verket och Kustbevakningen för att

verket och Kustbevakningen för att

förebygga,

upptäcka och

utreda

förebygga, förhindra eller upptäcka

brott,

 

 

brottslig verksamhet och

utreda

 

 

 

brott,

 

2.åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,

3. allmänna

domstolar

för

3. allmänna

domstolar

för

straffmätning och val av påföljd

straffmätning och val av påföljd,

och

 

 

och

 

 

4.Polismyndigheten och andra myndigheter vid sådan lämplighets- prövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.

 

Sökbegrepp vid sökning i registret

 

5 a §

 

 

 

 

 

Sökförbudet

i 2 kap. 14 § brotts-

 

datalagen hindrar inte att brotts-

 

rubriceringar

 

och

uppgifter om

 

verkställighet

 

av påföljd

används

 

som sökbegrepp vid sökning i

 

belastningsregistret.

 

 

9 §4

 

 

 

 

En enskild har rätt att på begäran

En enskild har rätt att på begäran

skriftligen få ta del av samtliga

skriftligen få ta del av samtliga

uppgifter ur registret om sig själv.

uppgifter ur registret om sig själv.

Sådana uppgifter ska på begäran

Om sådana uppgifter finns har den

lämnas ut utan avgift en gång per

enskilde även rätt att få sådan

kalenderår.

skriftlig information

som

anges i

 

4 kap. 3 § första stycket 1–8 brotts-

 

datalagen

(2018:1177).

Upp-

 

gifterna ska på begäran lämnas ut

 

utan avgift en gång per kalenderår.

En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret

1.för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,

2.enligt bestämmelser i skollagen (2010:800),

3.enligt bestämmelser i lagen (2018:1219) om försäkringsdistribution,

4.enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,

5.enligt bestämmelser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller

4 Senaste lydelse 2018:1224.

17

Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
22 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring i 1618 §§, om över- trädelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska be- stämmas till högst 10 000 000 kronor.

Prop. 2018/19:65

6. enligt bestämmelser i

lagen

(2013:852)

om registerkontroll av

 

personer som ska arbeta med barn.

 

 

 

 

 

 

Regeringen eller den myndighet som regeringen bestämmer får meddela

 

föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket

 

1–3 ska innehålla.

 

 

 

 

 

 

 

 

Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag

 

som avses i andra stycket 4–6 ska innehålla.

 

 

 

 

 

En begäran om uppgifter ur

En begäran om uppgifter ur

 

registret ska vara skriftlig och

registret ska vara skriftlig. Polis-

 

undertecknad av den sökande.

myndigheten

ska

säkerställa

att

 

 

 

 

 

begäran görs av en behörig person.

 

Rättelse och skadestånd

 

Skadestånd vid personuppgifts-

 

 

 

 

 

behandling som omfattas av

 

 

 

 

 

 

brottsdatalagen

 

 

 

 

 

 

20 §

 

 

 

 

 

Bestämmelserna

i personupp-

Bestämmelsen om skadestånd i

 

giftslagen (1998:204) om rättelse

7 kap.

1 §

brottsdatalagen

 

och skadestånd

gäller

vid

(2018:1177)

ska

tillämpas

om

 

behandling

av personuppgifter

behandling

av

personuppgifter

 

enligt denna lag eller enligt

som omfattas av brottsdatalagen

 

föreskrifter

som

har meddelats

skett i strid med denna lag eller

 

med stöd av lagen.

 

 

föreskrifter som har meddelats i

 

 

 

 

 

anslutning till den.

 

Denna lag träder i kraft den 30 juni 2019.

18

2.4

Förslag till lag om ändring i lagen (1998:621)

Prop. 2018/19:65

 

om misstankeregister

 

Härigenom föreskrivs i fråga om lagen (1998:621) om misstankeregister dels att 1 a, 2, 8 a och 15 §§ och rubriken närmast före 15 § ska ha

följande lydelse,

dels att det ska införas tre nya paragrafer, 1 b, 4 a och 16 §§, och närmast före 4 a och 16 §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 a §1

Denna lag gäller utöver Denna lag gäller utöver personuppgiftslagen (1998:204). brottsdatalagen (2018:1177).

1 b §2

Vid behandling av person- uppgifter som inte omfattas av brottsdatalagen (2018:1177) kom- pletterar denna lag Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av person- uppgifter enligt första stycket gäller lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning och före- skrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 §3

Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos

1. Polismyndigheten,

Säker-

1. Polismyndigheten,

Säker-

hetspolisen, Skatteverket,

Tull-

hetspolisen, Skatteverket,

Tull-

verket och Kustbevakningen för att

verket och Kustbevakningen för att

samordna förundersökningar mot

samordna förundersökningar mot

1Senaste lydelse 2013:332.

2Tidigare 1 b § upphävd genom 2018:1244.

3 Senaste lydelse 2014:594.

19

Bestämmelsen om skadestånd i
7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med denna lag eller
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, har rätt att få ett begränsat utdrag ur registret.
Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig. Polis- myndigheten ska säkerställa att begäran görs av en behörig person.
Skadestånd vid personuppgifts- behandling som omfattas av brottsdatalagen

Prop. 2018/19:65

en person och för att

förebygga,

en person och för att förebygga,

 

upptäcka och utreda brott,

förhindra eller upptäcka

brottslig

 

 

 

verksamhet och utreda brott,

 

2. åklagarmyndigheter för beslut

2. åklagarmyndigheter för beslut

 

om förundersökning och åtal och

om förundersökning och åtal, och

 

3. Polismyndigheten

och andra

myndigheter vid sådan

lämplig-

hetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.

Sökbegrepp vid sökning i registret

4 a §

Sökförbudet i 2 kap. 14 § brotts- datalagen hindrar inte att brotts- rubriceringar används som sök- begrepp vid sökning i misstanke- registret.

8 a §4

En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn har rätt att få ett begränsat utdrag ur registret. Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.

En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.

Rättelse och skadestånd

15 §

Bestämmelserna i personupp- giftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt

20

4 Senaste lydelse 2015:988.

föreskrifter som har meddelats

föreskrifter som har

meddelats i

Prop. 2018/19:65

med stöd av lagen.

anslutning till den.

 

 

 

 

 

Administrativa sanktionsavgifter

 

 

 

vid personuppgiftsbehandling

 

 

 

 

som omfattas av brottsdatalagen

 

 

 

16 §

 

 

 

 

 

En sanktionsavgift får tas ut av

 

 

 

den personuppgiftsansvarige

vid

 

 

 

överträdelse av bestämmelsen om

 

 

 

gallring i 13 §, om överträdelsen

 

 

 

skett vid behandling av person-

 

 

 

uppgifter som omfattas av brotts-

 

 

 

datalagen.

 

 

 

 

 

Sanktionsavgiften

ska

be-

 

 

 

stämmas till högst

10 000 000

 

 

 

kronor.

 

 

 

 

 

 

 

 

 

Denna lag träder i kraft den 30 juni 2019.

21

Prop. 2018/19:65

22

2.5Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs i fråga om lagen (2000:344) om Schengens informationssystem1

dels att 15 § ska upphöra att gälla,

dels att rubriken närmast före 15 § ska utgå,

dels att 16 och 17 §§ och rubrikerna närmast före 16 och 17 §§ ska ha följande lydelse,

dels att rubriken närmast före 7 § ska lyda ”Förbud mot registrering av vissa uppgifter”,

dels att det ska införas två nya paragrafer, 1 a och 1 b §§, och närmast före 1 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

 

 

Förhållandet till annan reglering

 

1 a §

 

 

 

 

 

 

Denna

lag

gäller

utöver

 

brottsdatalagen (2018:1177).

 

 

1 b §

 

 

 

 

 

 

Vid behandling av person-

 

uppgifter som inte omfattas av

 

brottsdatalagen

(2018:1177)

 

kompletterar denna lag Europa-

 

parlamentets och rådets förord-

 

ning

(EU)

2016/679

av

den

 

27 april 2016 om skydd för fysiska

 

personer

med

avseende

 

behandling

av

personuppgifter

 

och om det fria flödet av sådana

 

uppgifter och om upphävande av

 

direktiv 95/46/EG (allmän data-

 

skyddsförordning).

 

 

 

Vid behandling av person-

 

uppgifter enligt

första

stycket

 

gäller

lagen (2018:218)

med

 

kompletterande bestämmelser till

 

EU:s

dataskyddsförordning

och

 

föreskrifter som har meddelats i

anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1Senaste lydelse av 15 § 2014:595.

En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring och bevarande av personuppgifter i 11 och 14 §§, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska be- stämmas till högst 10 000 000 kronor.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen

Skadestånd

Skadestånd vid personuppgifts-

 

behandling som omfattas av

 

brottsdatalagen

16 §2

Vid behandling av person- uppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller i fråga om skadestånd 48 § första stycket personuppgiftslagen (1998:204).

Överklagande3

17 §4

Polismyndighetens beslut enligt 15 § får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Denna lag träder i kraft den 30 juni 2019.

2Paragrafen fick sin nuvarande beteckning genom 2010:380 (jfr 2013:162).

3Senaste lydelse 2010:380 (jfr 2013:162).

4Senaste lydelse 2014:595.

Prop. 2018/19:65

23

Prop. 2018/19:65

24

2.6Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 35 kap. 1 och 4 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Lydelse enligt SFS 2018:1716

Föreslagen lydelse

35kap. 1 §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3.angelägenhet som avser säkerhetsprövning enligt säkerhetsskydds- lagen (2018:585),

4. annan verksamhet som syftar

4. annan verksamhet som syftar

till att förebygga, uppdaga, utreda

till att förebygga, uppdaga, utreda

eller beivra brott och som bedrivs

eller beivra brott eller verkställa

av

en

åklagarmyndighet,

uppbörd och som bedrivs av en

Polismyndigheten,

Säkerhets-

åklagarmyndighet,

Polismynd-

polisen,

Skatteverket,

Tullverket

igheten, Säkerhetspolisen, Skatte-

eller Kustbevakningen,

 

verket, Tullverket eller Kust-

 

 

 

 

bevakningen,

 

5.register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdata- lagens område eller som annars behandlas med stöd av de bestämmelserna,

6.register som förs enligt lagen (1998:621) om misstankeregister,

7.register som förs av Skatteverket enligt lagen (2018:1696) om Skat- teverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,

8.särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller

9.register som förs av Tullverket enligt lagen (2018:1694) om Tull- verkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2018/19:65

4 §1

I annat fall än som avses i 1 § första stycket 5 och 6 och 3 § gäller sekretess i verksamhet som avser förande av eller uttag ur register

1.för uppgift som har tillförts ett 1. för uppgift som har tillförts särskilt register som förs över register över strafförelägganden

strafföreläggande och föreläg- och förelägganden av ordningsbot, gande av ordningsbot,

2.för annan uppgift hos Polismyndigheten, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,

3.för belastningsuppgift som har tillförts vägtrafikregistret, och

4.för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten.

Sekretessen enligt första stycket 1 gäller inte i ärende om strafföreläggande eller föreläggande av ordningsbot.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 30 juni 2019.

1 Senaste lydelse 2017:1076.

25

Prop. 2018/19:65

26

2.7Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs i fråga om lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område

dels att 1 kap. 1 och 6 §§, 2 kap. 1 §, 3 kap. 2 och 3 §§, 4 kap. 6 och 9– 11 §§ och 7 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 4 kap. 3 § ska lyda ”Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd”,

dels att det ska införas en ny paragraf, 4 kap. 5 a §, av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

1 §

Denna lag gäller utöver brottsdatalagen (2018:1177) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar

personuppgifter:

 

 

 

1. Polismyndigheten,

om

1. Polismyndigheten,

om

uppgifterna behandlas i syfte att

uppgifterna behandlas i syfte att

förebygga, förhindra eller upptäcka

förebygga, förhindra eller upptäcka

brottslig

verksamhet,

utreda eller

brottslig verksamhet, utreda

eller

lagföra

brott eller

upprätthålla

lagföra brott, verkställa uppbörd

allmän ordning och säkerhet,

eller upprätthålla allmän ordning

 

 

 

och säkerhet,

 

2.Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och

3.Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgif- terna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

För Ekobrottsmyndigheten och

För Ekobrottsmyndigheten och

Säkerhetspolisen gäller endast 1–4

Säkerhetspolisen gäller endast 1–4

och 7 kap.

kap. och 7 kap.

6 §

Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.4 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter,

4. 4 kap. 1–4 och 6–11 §§ om

4. 4 kap. 1–4 och 5 a–11 §§ om

längsta tid som personuppgifter får

längsta tid som personuppgifter får

behandlas,

behandlas,

5.5 kap. 18–20 §§ om behandling av personuppgifter i penning- tvättsregister, och

6.5 kap. 21 och 22 §§ om behandling av personuppgifter i det interna- tionella registret.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- Prop. 2018/19:65 lagen (2018:1177) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2kap. 1 §

Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

 

3. verkställa uppbörd,

3. upprätthålla allmän ordning

4. upprätthålla allmän ordning

och säkerhet, eller

och säkerhet, eller

4. fullgöra förpliktelser som

5. fullgöra förpliktelser som

följer av internationella åtaganden.

följer av internationella åtaganden.

3kap. 2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

5. Uppgifter som har rapporterats till Polismyndighetens lednings- centraler.

6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4.Uppgifter som förekommer i ett ärende om uppbörd.

5.Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

6.Uppgifter som har rapporterats till Polismyndighetens lednings- centraler.

7.Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

8.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna

fullgöras.27

Prop. 2018/19:65 Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

3 §

Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.

Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 6.

4 kap.

5 a §

Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämp- ningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes. Personuppgifter som avser värdeförverkande eller företagsbot får dock behandlas i tio år.

 

 

6 §

 

Personuppgifter som

har gjorts

Personuppgifter som

har gjorts

gemensamt tillgängliga

med stöd

gemensamt tillgängliga

med stöd

av 3 kap. 2 § första stycket 1, 2

av 3 kap. 2 § första stycket 1, 2

eller 47 får som längst behandlas

eller 58 får som längst behandlas

under den tid som anges i 7–11 §§.

under den tid som anges i 7–11 §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 7–11 §§.

9 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som

uppgifterna behandlades i avslutades.

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter det att ärendet som

uppgifterna behandlades i avslutades.

 

 

10 §

 

 

Personuppgifter som

behandlas

Personuppgifter som

behandlas

 

med stöd av 3 kap.

2 § första

med stöd av 3 kap.

2 § första

 

stycket 5 eller 6 får inte behandlas

stycket 6 eller 7 får inte behandlas

28

längre än ett år efter utgången av

längre än ett år efter utgången av

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 8 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som
uppgifterna behandlades i avslutades.

det kalenderår då de behandlades automatiserat första gången.

det kalenderår då de behandlades Prop. 2018/19:65 automatiserat första gången.

11 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som

uppgifterna behandlades i avslutades.

7kap. 1 §

En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–4 eller 7–11 §, 5 kap.

3. 4 kap. 2–4, 5 a eller 7–11 §,

7, 15, 16, 20, 22 eller

26 §

eller

5 kap. 7, 15, 16, 20, 22 eller 26 §

6 kap. 6 § om längsta

tid

som

eller 6 kap. 6 § om längsta tid som

personuppgifter får behandlas.

 

personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Denna lag träder i kraft den 30 juni 2019.

29

Prop. 2018/19:65

2.8Förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs i fråga om lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område

dels att 1 kap. 1 och 4 §§, 2 kap. 1 §, 3 kap. 2 §, 4 kap. 7, 10 och 11 §§ och 5 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 4 kap. 4 § ska lyda ”Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd”,

dels att punkt 2 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 1 §

Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personupp- gifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personupp- gifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.

30

4 §

Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4. 4 kap. 1–5 och 8–11 §§ om

4. 4 kap. 1–5, 6 a och 8–11 §§

längsta tid som personuppgifter får

om längsta tid som personuppgifter

behandlas.

får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:1177) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap.

1 §

Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott, eller

2. utreda eller lagföra brott,

Prop. 2018/19:65

 

3. verkställa uppbörd, eller

 

3. fullgöra förpliktelser som

4. fullgöra förpliktelser som

 

följer av internationella åtaganden.

följer av internationella åtaganden.

 

3 kap.

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och

b)är allvarligt kriminellt belastad.

3.Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4.Uppgifter som förekommer i

 

 

ett ärende om uppbörd.

4. Uppgifter som har rapporterats

5. Uppgifter som har rapporterats

till Tullverkets ledningscentraler.

till Tullverkets ledningscentraler.

5. Uppgifter som behandlas i

6. Uppgifter som behandlas i

syfte att

fullgöra internationella

syfte att

fullgöra internationella

åtaganden, om det krävs för att den

åtaganden, om det krävs för att den

aktuella

förpliktelsen ska kunna

aktuella

förpliktelsen ska kunna

fullgöras.

 

fullgöras.

 

Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

4 kap.

6 a §

Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämp- ningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes.

 

 

7 §

 

 

Personuppgifter som

har gjorts

Personuppgifter som

har gjorts

 

gemensamt tillgängliga

med stöd

gemensamt tillgängliga

med stöd

31

Prop. 2018/19:65

av 3 kap. 2 § första stycket 1, 2, 4

av 3 kap. 2 § första stycket 1, 2, 5

 

eller 5 får som längst behandlas

eller 6 får som längst behandlas

 

under den tid som anges i 8–11 §§.

under den tid som anges i 8–11 §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177)

gäller inte vid tillämpningen av 8–11 §§.

 

 

 

 

 

 

 

 

 

 

10 §

 

 

 

 

 

Personuppgifter som

behandlas

Personuppgifter som

behandlas

med

stöd

av

3 kap.

2 §

första

med

stöd

av

3 kap.

2 §

första

stycket 4 får inte behandlas längre

stycket 5 får inte behandlas längre

än ett år efter utgången av det

än ett år efter utgången av det

kalenderår

de behandlades

kalenderår

de behandlades

automatiserat första gången.

 

automatiserat första gången.

 

 

 

 

 

 

11 §

 

 

 

 

 

Personuppgifter som

behandlas

Personuppgifter som

behandlas

med

stöd

av

3 kap.

2 §

första

med

stöd

av

3 kap.

2 §

första

stycket 5 får inte behandlas längre

stycket 6 får inte behandlas längre

än ett år efter utgången av det

än ett år efter utgången av det

kalenderår då ärendet som upp-

kalenderår då ärendet som upp-

gifterna behandlades i avslutades.

gifterna behandlades i avslutades.

5 kap.

1 §

En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–5 eller 8–11 § om

3. 4 kap. 2–5, 6 a eller 8–11 § om

längsta tid som personuppgifter får

längsta tid som personuppgifter får

behandlas.

behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

2. Genom lagen upphävs tullbrottsdatalagen (2017:447).

3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

Denna lag träder i kraft den 30 juni 2019.

32

2.9Förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs att punkt 4 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område ska upphöra att gälla.

Denna lag träder i kraft den 30 juni 2019.

Prop. 2018/19:65

33

Prop. 2018/19:65

3

Ärendet och dess beredning

 

Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskydds- direktivet.

Inrikesministern gav i oktober 2016 en utredare i uppdrag att biträda Justitiedepartementet med att undersöka vilka anpassningar som är behövliga eller lämpliga och lämna förslag på de författningsändringar som EU:s dataskyddsreform föranleder i fråga om den personuppgifts- reglering som departementets enhet för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap ansvarar för och som inte tagits om hand av Dataskyddsutredningen (SOU 2017:39) eller Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29 och SOU 2017:74). Uppdraget redovisades i november 2017 i promemorian EU:s dataskyddsreform – anpassningar av vissa författningar om allmän ordning och säkerhet (Ds 2017:58). En sammanfattning av promemorian och dess lagförslag finns i bilaga 1 och bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/09003/L4).

Justitieministern gav i april 2014 en utredare i uppdrag att biträda departementet med att utreda bl.a. hur behandlingen av personuppgifter vid ärendehandläggning respektive uppbörd av böter i samband med förelägganden av ordningsbot samt vid uppbörd av böter efter strafförelägganden och uppbörd av domstolsböter bör regleras. Uppdraget redovisades i januari 2015 i promemorian Uppbörd av böter (Ds 2015:5). Justitieministern gav sedan i november 2017 en utredare i uppdrag att biträda departementet med att se över de författningsförslag som lämnades i Ds 2015:5 och lämna förslag på de ändringar som behövs med anledning av EU:s dataskyddsreform. Uppdraget redovisades i februari 2018 i promemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3). En sammanfattning av promemorian och dess lagförslag finns i bilaga 4 och bilaga 5. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2018/01394/L4).

I denna proposition behandlas både förslagen i Ds 2017:58 (kapitel 4– 11) och i Ds 2018:3 (kapitel 12).

34

Lagrådet

Prop. 2018/19:65

Regeringen beslutade den 17 januari 2019 att inhämta Lagrådets yttrande

 

över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8.

 

Regeringen följer i allt väsentligt Lagrådets förslag. Lagrådets synpunkter

 

och förslag behandlas i avsnitt 6.6.5 och 7.4.2 och i författnings-

 

kommentaren.

 

I förhållande till lagrådsremissen föreslås ändringar i ikraftträdande- och

 

övergångsbestämmelserna till lagen (2018:1694) om Tullverkets

 

behandling av personuppgifter inom brottsdatalagens område. Förslaget är

 

författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets

 

hörande skulle sakna betydelse. Regeringen har därför inte inhämtat

 

Lagrådets yttrande över det förslaget.

 

Vidare har några språkliga och redaktionella ändringar gjorts.

 

4Bakgrund och utgångspunkter

4.1Personuppgiftslagen och 1995 års dataskyddsdirektiv

Den generella regleringen om behandling av personuppgifter inom EU har hittills funnits i Europaparlamentets och rådets direktiv 95/46/EG av den

24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

(1995 års dataskyddsdirektiv). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av person- uppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Direktivet har genomförts i svensk rätt huvudsakligen genom person- uppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen, som gäller för myndigheter och enskilda som behandlar personuppgifter, följer i princip samma struktur som direktivet och innehåller bestämmelser om bl.a. personuppgifts- ansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen har emellertid ett vidare tillämpningsområde än direktivet, bl.a. eftersom den omfattar även områden som faller utanför unionsrätten och inte gör något generellt undantag för personuppgiftsbehandling på straffrättens område.

Personuppgiftslagen är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande regler i en annan författning. Det finns en stor mängd sådana bestämmelser i vad som brukar kallas särskilda registerförfattningar eller annan sektorsspecifik reglering. Dessa reglerar framför allt hur olika myndigheter får behandla personuppgifter och är ibland avgränsade till att avse ett specifikt register. Syftet med sådana författningar är att anpassa personuppgiftsregleringen till de särskilda

behov som myndigheterna har i sina respektive verksamheter samt att göra

35

Prop. 2018/19:65 avvägningar mellan verksamhetens behov av effektivitet och den enskildes rätt till skydd för sin integritet.

4.2EU:s dataskyddsreform

4.2.1Dataskyddsförordningen och 2016 års dataskyddsdirektiv

Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning (dataskydds- förordningen) som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling i främst den brotts- bekämpande sektorn (dataskyddsdirektivet).

Dataskyddsförordningen utgör från och med den 25 maj 2018 grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med förordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen baseras till stor del på den struktur och reglering som finns i 1995 års dataskyddsdirektiv, men är i många avseenden mer detaljerad och innehåller även en rad nyheter. Förordningen är direkt tillämplig i alla EU:s medlemsstater men både förutsätter och medger samtidigt kompletterande och specificerande nationella bestämmelser av olika slag.

Dataskyddsdirektivet, som ska vara genomfört i nationell rätt senast den

6 maj 2018, innehåller bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, samt att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. På många områden överensstämmer regleringen i dataskyddsdirektivet med motsvarande i dataskyddsförordningen.

Av artikel 2.2 d i dataskyddsförordningen jämförd med artikel 1.1 i dataskyddsdirektivet framgår att förordningen inte gäller för sådan personuppgiftsbehandling som omfattas av direktivets tillämpnings- område.

Viss behandling av personuppgifter undantas från både dataskydds- direktivets och dataskyddsförordningens tillämpningsområde. Det gäller bl.a. personuppgiftsbehandling i verksamhet som inte omfattas av unions- rätten (artikel 2 i respektive rättsakt).

36

4.2.2

Dataskyddslagen

Prop. 2018/19:65

Som en nödvändig följd av att dataskyddsförordningen är direkt tillämplig upphävdes personuppgiftslagen den 25 maj 2018. Samtidigt trädde lagen

(2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) i kraft.

Dataskyddslagen innehåller kompletterande bestämmelser av generell karaktär till dataskyddsförordningen och reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, begränsningar av vissa rättigheter och skyldigheter, administrativa sanktionsavgifter samt skadestånd och överklagande. Dataskyddslagen utvidgar dessutom tillämpningen av bestämmelserna i dataskydds- förordningen till att, med vissa undantag, gälla även vid personuppgifts- behandling i verksamhet som inte omfattas av unionsrätten.

Dataskyddslagen är subsidiär till annan författning. I den mån data- skyddsförordningen medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till dataskyddslagen.

4.2.3Brottsdatalagen

Dataskyddsdirektivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), innehållande bestämmelser om hantering av personuppgifter inom direktivets tillämpningsområde. Brottsdatalagen, som trädde i kraft den 1 augusti 2018, innehåller bestämmelser bl.a. om rättslig grund och ändamål för behandling av personuppgifter, känsliga personuppgifter, längsta tid som personuppgifter får behandlas, personuppgiftsansvarigas skyldigheter, enskildas rättigheter, administrativa sanktionsavgifter samt skadestånd och överklagande.

Även brottsdatalagen är subsidiär till annan författning. I den mån dataskyddsdirektivet medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till brottsdatalagen.

4.2.4Gränsdragningen mellan dataskyddsförordningen och brottsdatalagen

Flera av de registerförfattningar som omfattas av förslagen i denna

 

proposition reglerar behandling av personuppgifter för syften som ligger i

 

gränsområdet mellan dataskyddsförordningens och brottsdatalagens

 

tillämpningsområden.

 

Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att

 

den som behandlar personuppgifterna är en myndighet som fullgör

 

arbetsuppgifter inom brottsdatalagens tillämpningsområde eller annars

 

anförtrotts myndighetsutövning i samma syften. Utöver kravet på att

 

personuppgiftsbehandlingen görs av en sådan myndighet uppställer

 

brottsdatalagen också krav på att behandlingen i det enskilda fallet sker för

 

vissa syften, för att den behandlande myndigheten ska anses vara en

 

behörig myndighet och lagen ska bli tillämplig. Typen av

 

personuppgiftsbehandling, vilken verksamhet den behandlas i eller

 

personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som

 

ska tillämpas. En myndighets behandling av samma personuppgift kan

37

 

Prop. 2018/19:65 därför antingen styras av brottsdatalagens eller dataskyddsförordningens regler.

38

Att syftet i det enskilda fallet är avgörande för om personuppgifts- behandling omfattas av brottsdatalagen eller inte innebär att det är möjligt att en registerförfattning, som tidigare kompletterat personuppgiftslagen, framöver både kommer gälla utöver brottsdatalagen och komplettera dataskyddsförordningen.

Regeringen återkommer till frågor om gränsdragningen mellan dataskyddsförordningen och dataskyddsdirektivet i flera av de avsnitt där behovet av anpassningar i de enskilda registerförfattningarna prövas. Redan här kan emellertid hänvisas till propositionen Brottsdatalag, där ytterligare ett antal allmänna principer att tillämpa vid bedömningen av om brottsdatalagen är tillämplig eller inte redovisas (prop. 2017/18:232 s. 111–113).

4.3Utgångspunkter för anpassningarna av de aktuella registerförfattningarna

Regeringens bedömning: Detta lagstiftningsärende bör begränsas till att hantera de ändringar i de aktuella registerförfattningarna som behövs eller är lämpliga med hänsyn till EU:s dataskyddsreform.

Utformningen av bestämmelserna i registerförfattningarna bör så långt möjligt anpassas till motsvarande bestämmelser i andra författ- ningar på dataskyddsområdet.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm har framfört att det

bör övervägas om inte dataskyddslagar avseende en och samma myndighet ska slås samman till en lag som reglerar all personuppgiftsbehandling i myndighetens verksamhet. Alternativt att de lagar som ska komplettera brottsdatalagen bör lyftas in som kapitel i den lagen och motsvarande för de bestämmelser i lagar som reglerar annan verksamhet än brottsbekämpande sådan. Dataskydd.net har ifrågasatt lämpligheten av den existerande särregleringen på dataskyddsområdet av enskilda databaser samt efterlyst en genomlysning av registerförfattningarna med avseende på vilka av deras bestämmelser som faktiskt bidrar till ett starkare integritetsskydd och vilka som inte gör det. Ett antal remissinstanser, däribland Justitiekanslern och Kammarrätten i Stockholm, har påtalat vikten av att bestämmelserna i de olika registerförfattningarna på dataskyddsområdet ges en så likartad utformning som möjligt och att en del av de bestämmelser som föreslås i promemorian skiljer sig från motsvarande i andra författningar.

Skälen för regeringens bedömning: Den utredare som bistått Justitie- departementet med utarbetandet av promemorian har endast haft i uppdrag att undersöka vilka anpassningar av personuppgiftsregleringen i de aktuella registerförfattningarna som är behövliga eller lämpliga med anledning av EU:s dataskyddsreform. En utgångspunkt för detta arbete har varit att den författningsreglering som för närvarande finns avseende personuppgiftsbehandling ska behållas oförändrad i så stor utsträckning

som möjligt och att det inte finns skäl att nu ompröva redan gjorda Prop. 2018/19:65 ställningstaganden och överväganden i den mån de fortfarande är

relevanta. Dataskyddsförordningen började tillämpas den 25 maj 2018 och brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Även om utredaren gjort den övergripande bedömningen att befintlig personuppgiftsreglering i huvudsak är förenlig med de nämnda rättsakterna, är det angeläget att anpassningarna görs så snart det är möjligt.

Mot den bakgrunden finns inte utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändringar av sådana slag som Förvaltningsrätten i Stockholm och Dataskydd.net föreslår finns alltså inte.

Som Justitiekanslern och Kammarrätten i Stockholm har påtalat är det, inte minst för att underlätta för de enskilda tillämparna, av vikt att det dataskyddsrättsliga regelverket ges en så enhetlig utformning som möjligt. Vid utformningen av de ändringar som föreslås i detta lagstiftningsärende måste därför hänsyn tas till regleringens utformning i andra författningar på dataskyddsområdet.

5Allmänna överväganden om anpassningar till dataskyddsförordningen och dataskyddslagen

5.1Dataskyddsförordningens tillämpningsområde

Regeringens bedömning: Den behandling av personuppgifter som regleras i de aktuella registerförfattningarna omfattas av bestäm- melserna i dataskyddsförordningen, i den utsträckning behandlingen inte omfattas av dataskyddsdirektivets tillämpningsområde.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Av artikel 2 i dataskydds- förordningen framgår att förordningens materiella tillämpningsområde är avgränsat till behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (se definitionen i artikel 4.6). Samtliga registerförfattningar som omfattas av propositionen reglerar sådan personuppgiftsbehandling som är helt eller delvis automatiserad eller avser regelrätta register. Den behandling av personuppgifter som sker enligt de aktuella författningarna är alltså sådan att den omfattas av dataskyddsförordningens tillämpningsområde, såvida inte något av undantagen i artikel 2.2 är aktuellt.

39

Prop. 2018/19:65 Det undantag från dataskyddsförordningens tillämpningsområde som återfinns i artikel 2.2 a innebär att förordningen inte ska tillämpas på behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Utsträckningen av undantaget är inte helt klar. Genom regleringen i 1 kap. 2 § dataskyddslagen har tillämpningsområdet för bestämmelserna i dataskyddsförordningen emellertid utsträckts i svensk rätt till att omfatta även sådan personuppgiftsbehandling som annars skulle ha undantagits enligt artikel 2.2 a. Det nämnda undantaget påverkar därför inte tillämpligheten av dataskyddsförordningens bestämmelser vad gäller nu aktuella författningar. Detsamma gäller undantaget i artikel 2.2 b avseende verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.

De nu aktuella registerförfattningarna avser samtliga personuppgifts- behandling vid olika myndigheter. Undantaget från förordningens tillämp- ningsområde i artikel 2.2 c, rörande behandling som en fysisk person utför i verksamhet av rent privat natur, är därför inte heller aktuellt.

Enligt artikel 2.2 d undantas slutligen personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde från dataskydds- förordningens tillämpningsområde. Såvida personuppgiftsbehandlingen enligt registerförfattningarna inte omfattas av dataskyddsdirektivets, och därmed även brottsdatalagens, tillämpningsområde omfattas den alltså av bestämmelserna i dataskyddsförordningen.

5.2Rättslig grund för personuppgiftsbehandlingen

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling av person- uppgifter är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av de villkor som räknas upp i bestämmelsen är uppfyllt. De olika villkoren är i viss mån överlappande och kan därför vara tillämpliga samtidigt avseende en och samma behandling. Den behandling av personuppgifter som myndigheter utför kommer huvudsakligen att ske med stöd av de rättsliga grunder som kommer till uttryck i artikel 6.1 c eller e, vilka enligt artikel 6.3 första stycket ska fastställas i enlighet med unionsrätten eller nationell rätt.

I normalfallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e (propositionen Ny dataskyddslag, prop. 2017/18:105, s. 53 f.). Enligt nämnda artikel gäller att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. All verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, anses vara av allmänt intresse och även privata aktörer kan utföra uppgifter av allmänt intresse (prop. 2017/18:105 s. 56–59). Av 2 kap. 2 § 1 data- skyddslagen följer att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.

40

Tydliga uppdrag att behandla personuppgifter i författning, exempelvis Prop. 2018/19:65 en myndighets instruktion, kan dock också utgöra en rättslig förpliktelse.

Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den

personuppgiftsansvarige. Begreppet omfattar i första hand offentligrättsliga förpliktelser och av 2 kap. 1 § dataskyddslagen följer att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Gemensamt för artikel 6.1 c och e är att personuppgiftsbehandlingen ska vara nödvändig i förhållande till den rättsliga grunden för att vara laglig. Detta innebär inte att det måste vara omöjligt att utföra en uppgift utan att behandla personuppgifter, utan det är tillräckligt att personuppgifts- behandlingen bidrar till effektivitetsvinster. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 f.).

Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är tillämplig, omgärdas varje behandling av personuppgifter också av andra krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all person- uppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den första principen som läggs fast i artikel 5.1 är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a). Vidare ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Uppgifterna ska även bl.a. vara adekvata och riktiga och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas.

5.3Övergripande om möjligheten att behålla och införa särreglering

Regeringens bedömning: Dataskyddsförordningen ger fortsatt ut- rymme för sådan sektorsspecifik särreglering om behandling av person- uppgifter inom offentlig sektor som finns i de aktuella register- författningarna.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

41

Prop. 2018/19:65 Skälen för regeringens bedömning: Trots att dataskyddsförordningen är direkt tillämplig i alla EU:s medlemsstater kan den, framför allt när det gäller den offentliga sektorn, sägas ha en direktivliknande karaktär på så vis att den tillåter att dess regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter. Av artikel 6.3 framgår vidare att vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de all- männa villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Förordningen innehåller också andra artiklar som tillåter kompletterande bestämmelser i vissa avseenden, exempelvis när det gäller särskilda kategorier av personuppgifter (artikel 9.2 g) och inskränkningar av den registrerades rättigheter (artikel 23). Som framgår av den bedömning regeringen har gjort i propositionen Ny dataskyddslag innebär detta att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter inom offentlig sektor som finns i registerförfattningarna (prop. 2017/18:105 s. 21 f.).

5.4Bestämmelser som är förenliga med dataskyddsförordningen

5.4.1Bestämmelser om syfte och tillämpningsområde

Regeringens bedömning: Bestämmelser i registerförfattningar som anger syftet med lagen eller avgränsar dess tillämpningsområde till en viss verksamhet eller en viss typ av behandling är förenliga med data- skyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Vissa registerförfattningar inleds med en allmän bestämmelse som anger syftet med lagstiftningen. Detta kan exempelvis vara att möjliggöra personuppgiftsbehandling och samtidigt skydda människors personliga integritet. Sådana bestämmelser har inget direkt materiellt innehåll och utgör i sig ingen reglering av den

42

förekommande personuppgiftsbehandlingen. Bestämmelser av detta slag Prop. 2018/19:65 är därför förenliga med dataskyddsförordningen.

Regeringen delar bedömningen i promemorian att också bestämmelser som avgränsar tillämpningsområdet för en viss registerförfattning är förenliga med dataskyddsförordningen. Eftersom särreglering är möjlig enligt förordningen måste den nationella lagstiftaren också kunna specificera inom vilken verksamhet eller för vilken typ av personuppgifts- behandling en viss särreglering gäller.

5.4.2Bestämmelser om personuppgiftsansvar

Regeringens bedömning: Bestämmelser i registerförfattningar som preciserar personuppgiftsansvaret är förenliga med dataskydds- förordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att en personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt enligt samma artikel. Dataskydds- förordningen ger alltså möjlighet att fastställa eller precisera person- uppgiftsansvaret i författning. Sådana bestämmelser i register- författningarna är därför förenliga med dataskyddsförordningen.

5.4.3

Ändamålsbestämmelser

 

 

 

Regeringens bedömning: Ändamålsbestämmelser i registerförfatt-

 

ningar är förenliga med dataskyddsförordningen.

 

 

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Dataskydd.net ifrågasätter promemorians bedöm-

 

ning och menar att denna bygger på en sammanblandning mellan vad som

 

i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna

 

rättsliga grunder för behandling. Övriga remissinstanser yttrar sig inte över

 

bedömningen.

 

Skälen för regeringens bedömning: Registerförfattningar – däribland

 

de nu aktuella – innehåller vanligen ändamålsbestämmelser som anger den

 

yttersta ram inom vilken personuppgifter får behandlas. I vissa för-

 

fattningar kategoriseras ändamålen som primära och sekundära ändamål.

 

De primära ändamålen reglerar behandlingen av de personuppgifter som

 

behövs i den berörda myndighetens egen verksamhet. De sekundära ända-

 

målen reglerar i vilken utsträckning personuppgifter som behandlas för

 

något av de primära ändamålen får behandlas för att lämnas ut till andra

43

 

 

Prop. 2018/19:65 myndigheter eller till enskilda för att tillgodose deras behov. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra.

Ändamålsbestämmelser av detta slag kan ses som sådana specifika bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen och säkerställer en laglig och rättvis behandling och som är tillåtna enligt artikel 6.2 i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 c och e. Av artikel 6.3 framgår också att den rättsliga grunden för sådan personuppgifts- behandling kan innehålla ändamålsbegränsningar. I enlighet med artikel

23.2a i förordningen ska dessutom, när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser. Dataskydds- förordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar och regeringen ansluter sig därför till bedömningen i promemorian.

Det sagda innebär att ändamålsbestämmelser i många fall torde kunna ses som en del av den rättsliga grunden för personuppgiftsbehandlingen. Dataskydd.net har påtalat att det kan finnas en risk för sammanblandning av begreppen i myndigheternas praktiska behandling av personuppgifter. I brottsdatalagen och de registerförfattningar som uteslutande reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde görs av detta skäl en tydligare åtskillnad mellan bestämmelser om rättslig grund och ändamål (prop. 2017/18:232 och propositionen Brottsdatalag – kompletterande lagstiftning, prop. 2017/18:269). Regeringen återkommer till frågor om utformningen av ändamålsbestämmelserna i samband med behandlingen av de enskilda registerförfattningarna.

5.4.4Bestämmelser om utlämnande

Regeringens bedömning: Sekretessbrytande bestämmelser i register- författningar om utlämnande av personuppgifter, liksom bestämmelser om elektroniskt utlämnande, är förenliga med dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning

Bestämmelser om utlämnande av personuppgifter

Som framgår av föregående avsnitt kan frågor om utlämnande regleras i sekundära ändamålsbestämmelser. Många registerförfattningar innehåller emellertid bestämmelser om utlämnande av personuppgifter vars syfte är att möjliggöra ett uppgiftsutbyte som annars skulle förhindras av sekretess. Uppgiftsskyldighet mellan svenska myndigheter bryter exempelvis eventuell sekretess och kan förekomma i registerförfattningar (10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). När det gäller utländska

myndigheter föreskrivs normalt sett inte uppgiftsskyldighet utan att

44

uppgifter får lämnas ut under vissa förutsättningar. Även sådana Prop. 2018/19:65 bestämmelser innebär att sekretessbelagda uppgifter kan lämnas (8 kap.

3§ offentlighets- och sekretesslagen).

Även om sekretessbrytande bestämmelser inte i första hand reglerar

förutsättningar för automatiserad personuppgiftsbehandling får de en sådan betydelse för personuppgiftsbehandlingen att de bör ingå i en bedömning av regleringens förenlighet med dataskyddsförordningen. Sekretessbrytande bestämmelser möjliggör nämligen utlämnanden som annars inte hade kunnat komma i fråga. Uppgiftsskyldighet för en myndighet som för ett automatiserat register som innehåller person- uppgifter kommer dessutom alltid innebära en automatiserad person- uppgiftsbehandling för att kunna fullgöras.

Regeringen delar bedömningen i promemorian att regler som syftar till att bryta sekretess får anses vara sådana preciseringar av principer om personuppgiftsbehandling som är tillåtna enligt artikel 6.2. Att automat- iserat utlämnande kan regleras i nationell rätt har också stöd i artikel 6.3, av vilken det framgår att den rättsliga grunden kan innehålla bestämmelser om till vilka ”enheter” personuppgifter får lämnas och för vilka ändamål. Även om sekretessbrytande bestämmelser inte är ändamålsbestämmelser i egentligen mening framgår dessutom ofta syftet med utlämnandet av bestämmelserna.

Elektroniskt utlämnande av personuppgifter

I registerförfattningar regleras ibland vissa särskilda tekniska former av utlämnande, exempelvis s.k. direktåtkomst. I artikel 6.3 nämns särskilt ”typer av behandling och förfaranden för behandling”. Regeringen delar därför bedömningen i promemorian att nationella bestämmelser som preciserar förutsättningarna för elektroniskt utlämnande, inklusive direktåtkomst, får anses förenliga med dataskyddsförordningen.

5.4.5Bestämmelser om vilka uppgifter som får behandlas

Regeringens bedömning: Bestämmelser i registerförfattningar om vilka uppgifter som får behandlas är generellt förenliga med dataskyddsförordningen. I de fall bestämmelsen innebär att person- eller samordningsnummer ska behandlas måste lämpliga skydds- åtgärder finnas.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I registerförfattningar föreskrivs ofta vilka personuppgifter som får behandlas. Detta kan göras allmänt genom en bestämmelse om att möjligheten att behandla personuppgifter gäller personuppgifter som behövs för ett visst angivet ändamål. I författningar som avser ett särskilt register kan dessutom mer precisa bestämmelser finnas, där en uppräkning ibland görs av de personuppgifter som ska ingå i registret.

45

Prop. 2018/19:65 I artikel 6.3 i dataskyddsförordningen sägs uttryckligen att den rättsliga grunden kan innehålla bestämmelser om vilka uppgifter som får behandlas. En bestämmelse om vilka uppgifter som får behandlas kan också uppfattas som en precisering som syftar till att följa principen om uppgiftsminimering i artikel 5.1 c och det följer därmed även av artikel 6.2 att nationell rätt kan innehålla sådana bestämmelser. Generellt är bestämmelser av nämnda slag alltså förenliga med dataskydds- förordningen.

I de fall det i bestämmelsen föreskrivs att person- eller samordnings- nummer ska ingå i registret krävs emellertid ytterligare överväganden. Sådana uppgifter har nämligen getts en särställning i dataskydds- förordningen genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen, och villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter (artikel 87). I 3 kap. 10 § dataskyddslagen har sådana särskilda villkor ställts upp. Enligt bestämmelsen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. I samband med införandet av bestämmelsen konstaterades att en bestämmelse som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 3 kap. 10

§dataskyddslagen måste leva upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter (prop. 2017/18:105 s. 101 f.).

I några av de registerförfattningar som behandlas i propositionen finns sådana bestämmelser som anger att person- eller samordningsnummer ska eller får behandlas i vissa sammanhang. För att dessa ska vara förenliga med dataskyddsförordningen krävs alltså att det finns lämpliga skyddsåtgärder enligt artikel 87. Regeringen återkommer till dessa frågor i samband med att de enskilda bestämmelserna behandlas.

5.4.6Åtkomst till personuppgifter inom myndigheten och sökbegränsningar

Regeringens bedömning: Bestämmelser i registerförfattningar som begränsar åtkomsten till personuppgifter inom myndigheten samt bestämmelser om sökbegränsningar är förenliga med dataskydds- förordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I registerförfattningar kan den interna åtkomsten till personuppgifter regleras, exempelvis vilka uppgifter som får göras gemensamt tillgängliga. Med detta begrepp brukar avses tillgänglighet för en vidare krets tjänstemän inom myndigheten. Andra begränsande bestämmelser kan vara att det anges att åtkomsten till person- uppgifter för varje tjänsteman ska begränsas till vad som är nödvändigt för

46

att han eller hon ska kunna fullgöra sin arbetsuppgift eller bestämmelser Prop. 2018/19:65 som reglerar behörigheter att ta del av personuppgifter.

En annan typ av reglering som kan sägas minska åtkomsten till personuppgifter är bestämmelser som begränsar sökmöjligheterna, exempelvis genom att ange att vissa sökbegrepp inte får användas.

Regeringen delar bedömningen i promemorian att bestämmelser som på sådana sätt begränsar åtkomsten till personuppgifter får ses som preciseringar av antingen principen om uppgiftsminimering (artikel 5.1 c) eller principen om integritet och konfidentialitet (artikel 5.1 f). De bör därför betraktas som tillåtna kompletteringar i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

5.4.7Bestämmelser om bevarande och gallring

Regeringens bedömning: Bestämmelser i registerförfattningar om gallring är förenliga med dataskyddsförordningen.

Det måste bedömas från fall till fall om bestämmelser i register- författningar om att man inte får bevara personuppgifter när uppgifterna inte längre behövs för vissa ändamål är förenliga med dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Att personuppgifter inte får lagras i identifierbar form under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas är en grundläggande princip för behandling av personuppgifter enligt artikel 5.1 e i dataskyddsförordningen. Vad gäller bevarande för exempelvis arkivändamål av allmänt intresse anges i bestämmelsen samtidigt att sådant bevarande är tillåtet under förutsättning att bl.a. tekniska åtgärder säkerställer den registrerades rättigheter.

Bestämmelser i registerförfattningar om bevarande och gallring kan ha formen av absoluta tidsgränser för när en uppgift ska gallras eller när den inte längre får bevaras. En precisering av när uppgifter senast ska gallras är en integritetsskyddande åtgärd, och av artikel 6.3 i dataskydds- förordningen framgår att lagringstid kan regleras i nationell rätt. Sådana bestämmelser om gallring är alltså förenliga med dataskyddsförordningen (jfr propositionen Anpassning av utlänningsdatalagen till EU:s data- skyddsreform, prop. 2017/18:254, s. 52 f.).

Det förekommer också bestämmelser som mer allmänt anger att bevarande av personuppgifter inte får ske eller att gallring ska ske, om personuppgifterna inte längre behövs för vissa ändamål. När det gäller sådana bestämmelser kan det ifrågasättas om de tillför något utöver dataskyddsförordningens allmänna princip om lagringsminimering. Vissa sådana bestämmelser fyller dock en funktion i förtydligande syfte och bör behållas med stöd av skäl 8 i dataskyddsförordningen. En bedömning av om bestämmelserna bör behållas måste därför göras i det enskilda fallet med hänsyn till den närmare utformningen av bestämmelsen.

I de nya registerförfattningarna på brottsdatalagens område används inte

längre begreppet gallring, eftersom bedömningen gjorts att begreppet inte

47

Prop. 2018/19:65 bör användas i bestämmelser som avser dataskydd (prop. 2017/18:269 s. 122 f.). Regeringen återkommer till denna fråga i anslutning till att gallringsbestämmelserna i de enskilda registerförfattningarna behandlas.

48

5.4.8Bestämmelser om föreskriftsrätt

Regeringens bedömning: Dataskyddsförordningen påverkar inte nuvarande bestämmelser i registerförfattningar om rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om personuppgiftsbehandling.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Registerförfattningar som är lagar ger ofta en rätt för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter i något eller några avseenden som rör personuppgiftsbehandling, eller upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar sådana föreskrifter. Regeringen delar bedömningen i promemorian att sådana bestämmelser inte berörs av dataskyddsförordningen. Förordningen använder ofta uttryck som nationell rätt eller bestämmelser, se exempelvis artikel 6.2 eller 6.4. Som framgår av skäl 41 avses inte heller med uttrycket rättslig grund eller lagstiftningsåtgärd att det måste vara fråga om en lag antagen av ett nationellt parlament. Att frågor regleras i förordnings- eller föreskriftsform får alltså i sig anses vara förenligt med dataskydds- förordningen.

5.5Bestämmelser som inte kan behållas

Regeringens bedömning: Bestämmelser i registerförfattningar som innehåller hänvisningar till personuppgiftslagen och bestämmelser om skyldighet att utse personuppgiftsombud kan inte behållas.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I samband med att dataskydds- lagen trädde i kraft upphävdes personuppgiftslagen. Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagen måste därför tas bort, antingen genom att bestämmelserna upphävs eller genom att hänvisningar i stället görs till dataskyddsförordningen och dataskydds- lagen. Regeringen återkommer till behovet av sådana bestämmelser (se avsnitt 5.8.1).

I registerförfattningar föreskrivs ibland en skyldighet för den person- uppgiftsansvarige att utse personuppgiftsombud. Begreppet härrör från personuppgiftslagen och har varit nödvändigt för att genomföra 1995 års dataskyddsdirektiv. I dataskyddsförordningen finns i stället bestämmelser om dataskyddsombud (artikel 37). Av förordningen framgår en direkt

skyldighet att utse sådant ombud om personuppgiftsbehandling genomförs Prop. 2018/19:65 av en myndighet eller ett offentligt organ (artikel 37.1 a). Bestämmelser

om skyldighet att utse personuppgiftsombud innebär därför en otillåten nationell reglering av en direkt tillämplig bestämmelse i dataskydds- förordningen. Sådana bestämmelser bör därför inte behållas.

5.6Känsliga personuppgifter

Regeringens bedömning: Bestämmelser i de befintliga register- författningarna som i förhållande till regleringen i dataskyddslagen inskränker myndigheters möjligheter att behandla känsliga personuppgifter, eller i vart fall inte utvidgar dessa, är förenliga med dataskyddsförordningen.

Det måste bedömas från fall till fall om bestämmelser i de befintliga registerförfattningarna som i förhållande till regleringen i dataskydds- lagen utvidgar myndigheters möjligheter att behandla känsliga personuppgifter är förenliga med dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Artikel 9 i dataskyddsför- ordningen innehåller särskild reglering av behandling av särskilda kategorier av personuppgifter. Med detta begrepp avses sådana uppgifter som i personuppgiftslagen benämndes känsliga personuppgifter, alltså uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Dessutom omfattar begreppet genetiska och biometriska uppgifter samt uppgifter om sexuell läggning. I dataskyddslagen används numera begreppet känsliga personuppgifter om samtliga uppgifter som omfattas av regleringen i artikel 9.

Utgångspunkten enligt artikel 9.1 är att behandling av känsliga person- uppgifter är förbjuden. Från förbudet görs sedan vissa undantag i artikel

9.2.För personuppgiftsbehandling som utförs av myndigheter är det i första hand undantaget i artikel 9.2 g som kan bli aktuellt. Enligt detta tillåts behandling av känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Den nationella rätten ska i så fall uppfylla vissa krav, bl.a. ska den vara förenlig med det väsentliga innehållet i rätten till dataskydd.

I prop. 2017/18:105 har regeringen närmare analyserat kraven för att kunna göra undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter. Detta har bl.a. utmynnat i den generella regleringen i 3 kap. 3 § dataskyddslagen av myndigheters möjligheter att under vissa förutsättningar behandla känsliga personuppgifter med stöd av artikel 9.2 g samt tillhörande sökförbud.

Regeringen har alltså tidigare gjort bedömningen att det är förenligt med dataskyddsförordningen att myndigheter ges möjlighet att behandla känsliga personuppgifter i den utsträckning som framgår av 3 kap. 3 §

dataskyddslagen. Även de bestämmelser i registerförfattningarna som i

49

Prop. 2018/19:65 förhållande till 3 kap. 3 § dataskyddslagen inskränker, eller i vart fall inte utvidgar, myndigheters möjligheter att behandla känsliga uppgifter bör i enlighet med detta vara förenliga med dataskyddsförordningen.

50

Även bestämmelser som ger utrymme för en behandling i större omfattning än 3 kap. 3 § dataskyddslagen är tänkbar, men förenligheten med dataskyddsförordningen måste då prövas särskilt.

5.7Bestämmelser om registrerades rättigheter

Dataskyddsförordningen innehåller en rad bestämmelser om registrerades rättigheter, såsom rätt till rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18), att göra invändningar mot behandling (artikel 21) samt att få information om personuppgiftsincidenter (artikel 34). Motsvarigheter till dessa rättigheter finns delvis i personuppgiftslagen, medan de i andra delar innebär nyheter i svensk rätt.

I den mån rättigheterna innebär att den registrerade, i större utsträckning än vad som tidigare gällt, kan förhindra eller försvåra personuppgifts- behandlingen vid någon myndighet finns det, som anges i promemorian, anledning att överväga att utnyttja möjligheterna till inskränkningar i artikel 23 i dataskyddsförordningen. Regeringen gör i detta avsnitt sådana bedömningar avseende ovannämnda rättigheter.

Dataskyddsförordningen innehåller dessutom bestämmelser om reg- istrerades rätt till information i artikel 13–15. Dessa bestämmelser behandlas inte i detta avsnitt, utan regeringen återkommer till vissa överväganden kring bestämmelserna i anslutning till att de enskilda registerförfattningarna behandlas.

5.7.1Rättelse och komplettering

Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt till rättelse eller komplettering enligt artikel 16 i dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Artikel 16 i dataskydds- förordningen innehåller en rätt för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade. Motsvarande rätt fanns tidigare i 28 § personuppgiftslagen, vilken de flesta registerförfattningar hänvisar till. Bestämmelsen i artikel 16 om rätt till rättelse innebär inte någon förändring i förhållande till vad som gällt sedan tidigare. Regeringen delar därför bedömningen i promemorian att det saknas anledning att inom ramen för detta lagstiftningsärende överväga om det finns skäl att göra inskränkningar i denna rättighet.

Artikel 16 i dataskyddsförordningen innehåller även en rätt för den registrerade att få ofullständiga personuppgifter kompletterade, bland annat genom att tillhandahålla ett kompletterande utlåtande. Denna rättighet, som också återfinns i artikel 16.1 i dataskyddsdirektivet, saknade

motsvarighet i personuppgiftslagen. I prop. 2017/18:232 s. 247 konstateras Prop. 2018/19:65 att det är oklart vad motsvarande bestämmelse i dataskyddsdirektivet

syftar på, men att en möjlig tolkning är att den registrerade ska ha rätt att ge in en skrivelse till den personuppgiftsansvarige där den registrerade utvecklar skälen för sin begäran. En sådan rätt följer redan av förvaltningslagen och regeringen delar därför bedömningen i promemorian att det inte finns skäl att inskränka den enskildes rätt till komplettering.

I detta sammanhang förtjänar det att påpekas att rätten till komplettering inte kan uppfattas som en rättighet för en registrerad att tillföra uppgifter till ett författningsreglerat register. Om det i författningen regleras vilka uppgifter registret ska innehålla och uppgifterna om den registrerade inte är ofullständiga i förhållande till författningens krav, innebär alltså inte artikel 16 någon rätt för den registrerade att föra in ytterligare uppgifter i registret. I sådana fall är omfattningen av vilka personuppgifter som ska behandlas redan övervägd med beaktande av ändamålet med behandlingen. Oavsett detta kan givetvis den registrerade ge in ett utlåtande till myndigheten med sina synpunkter på den aktuella behandlingen.

5.7.2Radering

Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt att få sina personuppgifter raderade enligt artikel 17 i dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Artikel 17 i dataskyddsför- ordningen innehåller en rätt för den registrerade att under vissa förhållanden få sina personuppgifter raderade, exempelvis då personuppgifterna har behandlats på olagligt sätt (artikel 17.1 d). Motsvarande rätt fanns i 28 § personuppgiftslagen, där i stället uttrycket utplåning användes. Till skillnad från i 28 § personuppgiftslagen anges dock i artikel 17 på ett utförligt sätt i vilka situationer den enskilde har rätt till radering.

Samtidigt finns ett undantag från rätten till radering i artikel 17.3 som anger att rätten till radering inte ska gälla i den utsträckning behandlingen är nödvändig för att bl.a. uppfylla en rättslig förpliktelse som kräver behandling enligt medlemsstaternas nationella rätt eller för att utföra en uppgift av allmänt intresse eller vid myndighetsutövning. De grunder för behandling som anges i artikel 17.3 är alltså desamma som gör en behandling laglig i enlighet med artikel 6.1 c eller e. Den enskilde kan alltså inte framtvinga radering av personuppgifter som behövs för myndigheternas författningsreglerade verksamhet.

Som anförs i promemorian bör behandling av personuppgifter som behövs för diarieföring eller för bevarande av allmänna handlingar alltid kunna betraktas som laglig med hänvisning till ett allmänt intresse, även

om sådan behandling inte alltid behövs för myndighetens kärnverksamhet

51

Prop. 2018/19:65 och därmed inte omfattas av någon författningsreglering som gäller specifikt för den aktuella myndigheten.

52

Mot bakgrund av ovanstående delar regeringen bedömningen i promemorian att det inte finns skäl att i de aktuella registerförfattningarna föreslå några inskränkningar i rätten till radering enligt artikel 17.

5.7.3Begränsning av behandling

Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den enskildes rätt att begära att behandlingen av hans eller hennes personuppgifter begränsas enligt artikel 18 i dataskydds- förordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Artikel 18 i dataskyddsför- ordningen innehåller en rätt för den registrerade att under vissa förhållanden kräva att personuppgiftsbehandlingen begränsas. Begreppet begränsning av behandling definieras i artikel 4.3 som en ”markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden”. Motsvarigheten till begränsning i personuppgiftslagen var blockering enligt 28 §. Den begränsning av behandling som avses med blockering är dock endast att personuppgifterna inte ska lämnas ut till tredje man. Av artikel 18.2 följer i stället att begränsning i princip innebär att behandling av personuppgifterna utöver lagring inte längre får ske, med vissa undantag. Rätten till begränsning är alltså inte helt jämförbar med rätten till blockering enligt tidigare gällande rätt.

Enligt artikel 18.1 finns det olika förutsättningar under vilka den registrerade har rätt att kräva begränsning av behandlingen. En av dem (led b) är att behandlingen är olaglig, men den registrerade motsätter sig att uppgifterna raderas. Som konstaterats ovan finns inte skäl för att inskränka rätten till radering i motsvarande situation. I enlighet med detta anser regeringen att det inte heller finns skäl för att inskränka rätten till begränsning i samband med olaglig behandling.

En annan situation då behandlingen ska begränsas enligt artikel 18.1 är när den personuppgiftsansvarige inte längre behöver personuppgifterna för behandling, men den registrerade behöver dem bl.a. för att göra gällande rättsliga anspråk (led c). Även i en sådan situation framstår det som rimligt att behandlingen ska begränsas; det är ju inte lagligt att fortsätta behandla personuppgifter om det inte finns ett godtagbart ändamål med behandlingen. Inte heller i sådana situationer finns därför skäl att inskränka rätten till begränsning.

En tredje förutsättning för begränsning av behandlingen är att den registrerade bestrider uppgifternas korrekthet och den person- uppgiftsansvarige behöver tid att kontrollera deras riktighet (led a). Regeringen delar bedömningen i promemorian att begränsningskravet i en sådan situation inte generellt kan sägas innebära en sådan olägenhet i en myndighets verksamhet att rättigheten bör inskränkas. Att myndigheter kontrollerar uppgifters korrekthet, oavsett om det är den enskilde själv

eller någon annan som framför omständigheter som tyder på att Prop. 2018/19:65 uppgifterna inte stämmer, framstår som självklart och följer redan av den personuppgiftsansvariges allmänna skyldighet att se till att person-

uppgifter är korrekta. Att behandlingen av uppgifterna, utöver att de bevaras, i normalfallet inte fortsätter under den tid det tar att fastställa riktigheten framstår även det som rimligt. Av artikel 18.2 följer dessutom att behandling av personuppgifter för skäl som rör ett viktigt allmänintresse inte förhindras av rätten till begränsning. Det kan också noteras att skyldigheten att begränsa behandlingen av personuppgifter inom dataskyddsdirektivets tillämpningsområde (artikel 16.3 i direktivet) kommer att gälla under i princip samma förutsättningar som enligt dataskyddsförordningens artikel 18.1 a och c och att det enligt direktivet inte finns några möjligheter att inskränka den personuppgiftsansvariges skyldigheter i det avseendet (jfr 4 kap. 9 § andra stycket brottsdatalagen som genomför artikel 16.3). Mot denna bakgrund finns enligt regeringen inte heller skäl att inskränka rätten till begränsning enligt artikel 18.1 a.

Slutligen ska behandlingen, enligt led d, begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 (se nästa avsnitt). Personuppgiftsbehandlingen ska begränsas under den tid det tar för den personuppgiftsansvarige att visa att förutsättningar att upphöra med behandlingen på grund av invändningen inte föreligger. I linje med att regeringen inte ser något generellt behov av att inskränka rätten till invändningar enligt artikel 21.1, och med beaktande av möjligheten att ändå behandla personuppgifter för skäl som rör ett viktigt allmänintresse, anser regeringen inte heller att rätten till begränsning bör inskränkas i det avseendet.

5.7.4Invändningar

Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den enskildes rätt att göra invändningar enligt artikel 21 i dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Artikel 21 i dataskyddsför- ordningen innehåller en rätt för den registrerade att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot personuppgiftsbehandling som grundar sig på artikel 6.1 e eller f. Om en myndighet har en rättslig förpliktelse (artikel 6.1 c) att föra exempelvis ett visst register, gäller alltså inte rätten att göra invändningar enligt artikel 21.

Efter invändning från den registrerade får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan visa på avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätten till invändningar har en motsvarighet i 1995 års data-

skyddsdirektiv, artikel 14, som också ger den registrerade rätt att göra

53

Prop. 2018/19:65 invändningar och anger att personuppgiftsbehandlingen ska upphöra om skälen för invändningen är berättigade. Denna rättighet gäller dock endast om nationell rätt inte föreskriver något annat och någon generell rätt till invändningar genomfördes inte i personuppgiftslagen. I stället följde av 12 § andra stycket personuppgiftslagen att den registrerade inte hade rätt att invända mot behandling som var tillåten enligt lagen, utom i de fall då behandlingen grundade sig på samtycke (12 § första stycket) eller rörde direkt marknadsföring (11 §).

Som regeringen konstaterat i tidigare lagstiftningsärende fyller rätten att göra invändningar en viktig funktion ur rättssäkerhetssynpunkt (prop. 2017/18:105 s. 105). Detta innebär att en inskränkning i denna rätt bör föregås av noggranna överväganden.

Som anförs i promemorian finns det rent allmänt skäl för att personuppgiftsbehandling vid en myndighet ska kunna fortgå även om den enskilde gör invändningar mot den. En stor del av den personuppgiftsbehandling som regleras i registerförfattningarna sker emellertid med stöd av bl.a. artikel 6.1 c och som framgår ovan gäller den enskildes rätt att invända inte mot sådan behandling. Rätten att invända berör alltså endast sådan behandling som sker enbart med stöd av artikel

6.1e. Redan av detta skäl är behovet av en inskränkning av rätten att invända begränsat. Det kan också konstateras att det för invändningar som är helt obefogade vanligtvis bör vara tillräckligt att hänvisa till de författningar som ger stöd för personuppgiftsbehandlingen för att det ska anses visat att intresset av behandling väger tyngre. Mot denna bakgrund delar regeringen bedömningen i promemorian att det i detta lagstiftnings- ärende inte finns tillräckliga skäl för några inskränkningar i rätten att göra invändningar enligt artikel 21.

5.7.5Information om personuppgiftsincidenter

Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt till information om personuppgifts- incidenter enligt artikel 34 i dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Enligt artikel 34 i dataskydds- förordningen ska den personuppgiftsansvarige utan dröjsmål informera den registrerade om personuppgiftsincidenter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Information krävs emellertid inte om den personuppgiftsansvarige antingen genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som påverkats av incidenten eller vidtagit ytterligare åtgärder som säkerställer att hög risk för registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå. Den enskilde behöver inte heller informeras om sådan information skulle innebära en oproportionell ansträngning, då ska istället allmänheten informeras eller en liknande åtgärd vidtas.

54

Informationsplikten enligt artikel 34 inträder alltså först vid Prop. 2018/19:65 personuppgiftsincidenter som är allvarliga för den enskilde och är även då

begränsad på olika sätt. De direkt tillämpliga undantagen från informationsplikten omfattar dock inte situationen att de uppgifter som ska lämnas till den registrerade omfattas av sekretess eller tystnadsplikt. I fall då redan informationen om att den registrerades personuppgifter behandlas vid viss myndighet i sig omfattas av sekretess har regeringen därför i andra lagstiftningsärenden ansett att informationsplikten enligt artikel 34 bör inskränkas till att inte omfatta sådana uppgifter som inte får lämnas ut till den registrerade (propositionen Anpassning av domstolsdatalagen till EU:s dataskyddsförordning, prop. 2017/18:113, s.

35–37 och prop. 2017/18:254 s. 38 f.).

I promemorian har gjorts bedömningen att skäl för inskränkningar av informationsplikten saknas avseende den personuppgiftsbehandling som regleras i nu aktuella registerförfattningar. Den information som ska lämnas till den enskilde torde som regel kunna utformas så att sekretessbelagda uppgifter inte lämnas ut. Det har inte heller vid remitteringen eller i övrigt framkommit att redan informationen om att den registrerades personuppgifter behandlas enligt registerförfattningarna, skulle vara så känslig att det motiverar en inskränkning av informations- plikten. Regeringen anser därför att det inte finns skäl att inskränka den registrerades rätt till information om personuppgiftsincidenter enligt artikel 34.

5.8Behovet av nya bestämmelser

5.8.1Bestämmelser om förhållandet till den generella dataskyddsregleringen

Regeringens bedömning: I registerförfattningarna bör det införas be- stämmelser som klargör att lagen kompletterar dataskyddsför- ordningen.

I registerförfattningarna bör det även införas bestämmelser som anger att dataskyddslagen och föreskrifter som meddelas i anslutning till lagen gäller, om inte något annat följer av registerförfattningen eller föreskrifter som meddelats i anslutning till den.

Hänvisningarna till dataskyddsförordningen i registerförfattningarna bör vara dynamiska.

Promemorians bedömning överensstämmer med regeringens, med det undantaget att det i promemorian inte hänvisas till föreskrifter som meddelats i anslutning till dataskyddslagen.

Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.

Skälen för regeringens bedömning: Sedan den 25 maj 2018 utgör dataskyddsförordningen den generella regleringen för behandling av personuppgifter utanför den föreslagna brottsdatalagens tillämpnings- område. Registerförfattningarna kommer alltså, i den utsträckning de reglerar personuppgiftsbehandling inom förordningens tillämpnings-

55

Prop. 2018/19:65 område, att innehålla bestämmelser som kompletterar dataskydds- förordningen. Regeringen delar bedömningen i promemorian att det bör införas bestämmelser i registerförfattningarna som upplyser om detta.

Författningarna kommer även att behöva innehålla vissa andra hänvisningar till dataskyddsförordningen. Det är fråga om bestämmelser av upplysningskaraktär eller bestämmelser som begränsar eller preciserar förordningens tillämpning på något område. Som konstateras i promemorian bör hänvisningarna, i likhet med vad som med några få undantag gäller i dataskyddslagen, vara dynamiska (prop. 2017/18:105 s. 24 f.). Valet av dynamiska hänvisningar innebär att hänvisningarna kommer att omfatta eventuella ändringar i dataskyddsförordningen. Detta hindrar dock inte att den nationella lagstiftningen kan komma att behöva ändras om förordningens innehåll förändras.

Dataskyddslagen innehåller de bestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Regeringen delar bedömningen i promemorian att det i registerförfattningarna bör upplysas om detta samt om att dataskyddslagen är subsidiär i förhållande till bestämmelserna om behandling av personuppgifter i registerförfattningarna eller föreskrifter som meddelats i anslutning till dessa. Eftersom det sagda även gäller föreskrifter som meddelats i anslutning till dataskyddslagen anser regeringen, till skillnad från vad som föreslås i promemorian, att de upplysande bestämmelserna i registerförfattningarna bör hänvisa även till dessa.

Regeringen återkommer till utformningen av bestämmelserna om förhållandet till den generella dataskyddsregleringen i samband med att de enskilda registerförfattningarna behandlas.

 

5.8.2

Det behövs inga bestämmelser om skadestånd eller

 

 

överklagande

 

 

 

Regeringens bedömning: Dataskyddsförordningen medför inget

 

behov av bestämmelser om skadestånd eller överklagande i register-

 

författningarna.

 

 

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens bedömning: Av 7 kap. 1 § dataskyddslagen

 

framgår att rätten till ersättning från den personuppgiftsansvarige eller

 

personuppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning också

 

gäller vid överträdelse av dataskyddslagen och andra föreskrifter som

 

kompletterar dataskyddsförordningen. Det behövs därför inga hän-

 

visningar till dataskyddsförordningen avseende skadestånd i register-

 

författningar som kompletterar förordningen.

 

Personuppgiftsansvariga myndigheters beslut avseende personuppgifts-

 

behandling enligt en registerförfattning kommer framöver att fattas med

 

direkt tillämpning av dataskyddsförordningen. Sådana beslut kommer

 

därmed att kunna överklagas med stöd av 7 kap. 2 § dataskyddslagen. Det

 

finns alltså inget behov att införa några bestämmelser om överklagande i

56

nu aktuella registerförfattningar.

 

 

5.8.3Det behövs inga bestämmelser om tillsyn eller administrativa sanktionsavgifter

Regeringens bedömning: Dataskyddsförordningen medför inget behov av bestämmelser om tillsyn eller administrativa sanktions- avgifter i registerförfattningarna.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Tillsynsmyndighetens behörighet, uppgifter och befogenheter regleras utförligt i artikel 55–59 i dataskyddsförordningen. Enligt dessa bestämmelser har tillsyns- myndigheten bl.a. befogenhet att behandla klagomål från registrerade, utfärda varningar och reprimander mot personuppgiftsansvariga, rikta förelägganden mot personuppgiftsansvariga samt besluta om begränsning av eller förbud mot viss behandling. Enligt artikel 83 i dataskydds- förordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra de personuppgiftsansvariga administrativa sanktionsavgifter vid överträd- elser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlems- staten.

Den föreslagna dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra föreskrifter som komplett- erar dataskyddsförordningen. I kapitel 6 finns även kompletterande bestämmelser avseende tillsynsmyndighetens handläggning och beslut. Vad gäller sanktionsavgifter anges det i 6 kap. 1 § dataskyddslagen att sanktionsavgifter ska få tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Bestämmelsen reglerar även avgiftens storlek. I kapitel 6 finns även vissa kompletterande bestämmelser om sanktions- avgifter.

I prop. 2017/18:105 utvecklar regeringen skälen för att tillsyns- myndigheten ska ha möjlighet att ta ut administrativa sanktionsavgifter från myndigheter (s. 139–142). Regeringen anser att det saknas skäl att inom ramen för nu aktuella registerförfattningars tillämpningsområde ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen (i den utsträckning brottsdatalagen inte är tillämplig) kommer att gälla inom registerförfattningarnas område, under förutsättning att annat inte följer av författningarna eller föreskrifter som har meddelats i anslutning till dessa, krävs det inte någon särskild reglering i registerförfattningarna för att dataskyddslagens bestämmelser om tillsyn och sanktionsavgifter ska bli tillämpliga. Regeringen delar därför bedömningen i promemorian att det, såvitt gäller personuppgiftsbehandling som omfattas av data- skyddsförordningen, inte bör införas några regler om tillsyn eller om sanktionsavgifter i registerförfattningarna.

Prop. 2018/19:65

57

Prop. 2018/19:65

6

Allmänna överväganden om

 

anpassningar till dataskyddsdirektivet och brottsdatalagen

6.1Övergripande om anpassningar till dataskyddsdirektivet och brottsdatalagen

Ett EU-rättsligt direktiv innebär en skyldighet för medlemsstaterna att införa föreskrifter i överensstämmelse med direktivet. Medlemsstaterna är dock fria att bestämma form och tillvägagångssätt för genomförandet; avgörande är att lagstiftningen uppnår det resultat i sak som direktivet eftersträvar. Av artikel 8.2 i dataskyddsdirektivet – som anger att medlemsstaternas nationella rätt som reglerar behandling enligt direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål – framgår dessutom att det är förutsatt att nationell rätt kommer att innehålla specificeringar i förhållande till direktivet. Eftersom dataskyddsdirektivet är ett s.k. minimidirektiv (se artikel 1.3) finns också möjligheter för med- lemsstaterna att införa starkare skyddsåtgärder än vad direktivet kräver för den enskildes rättigheter och friheter med avseende på personupp- giftsbehandling inom direktivets tillämpningsområde.

På dataskyddsdirektivets område är brottsdatalagen den grundläggande regleringen av personuppgiftsbehandling. Lagen genomför direktivet på ett generellt plan och dess bestämmelser har bedömts vara förenliga med direktivet. I den mån en fråga är reglerad i brottsdatalagen och ingen särreglering är nödvändig i registerförfattningarna, tillgodoses alltså direktivets krav redan genom brottsdatalagen. Om det i stället är så att en registerförfattning bör innehålla särreglering i förhållande till brottsdatalagen krävs, förutom att den är förenlig med direktivet, överväganden kring hur bestämmelsen kommer att förhålla sig till brottsdatalagen.

 

6.2

Rättslig grund för personuppgiftsbehandlingen

 

Enligt artikel 8.1 i dataskyddsdirektivet är behandling av personuppgifter

 

laglig endast om behandlingen är nödvändig för att en behörig myndighet

 

ska kunna utföra en uppgift för brottsbekämpande eller något av de andra

 

ändamål som omfattas av direktivets tillämpningsområde. För att vara

 

laglig måste behandlingen också ske på grundval av unionsrätt eller

 

nationell rätt.

 

Artikeln genomförs på generell nivå genom bestämmelsen i 2 kap. 1 §

 

brottsdatalagen. Av denna framgår att personuppgifter får behandlas om

 

det är nödvändigt för att en behörig myndighet ska kunna utföra en

 

arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig

 

verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd

 

eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften måste

 

också framgå av en lag, en förordning eller ett särskilt beslut i vilket

58

regeringen uppdragit åt den behöriga myndigheten att utföra en sådan

uppgift. Utöver detta får personuppgifter, enligt 2 kap. 2 § brottsdatalagen, Prop. 2018/19:65 även behandlas om det är nödvändigt för diarieföring eller om uppgifterna

har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Liksom motsvarande bestämmelse i dataskyddsförordningen innehåller dataskyddsdirektivet och brottsdatalagen alltså krav på att personuppgifts- behandlingen måste vara nödvändig i förhållande till ändamålet med behandlingen. Regeringen har tidigare gjort bedömningen att detta begrepp har samma innebörd som i dataskyddsförordningen (prop. 2017/18:105 s. 46 f. och prop. 2017/18:232 s. 117). Se vidare vad som sagts om begreppet i avsnitt 5.2.

Utan att ta slutlig ställning till de enskilda författningarnas förenlighet med artikel 8.1 kan redan nu konstateras att alla de registerförfattningar som behandlas i propositionen och som reglerar personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde, innehåller bestämmelser som ålägger Polismyndigheten en specifik uppgift att föra register av olika slag, i syfte att informationen i registren bl.a. ska användas av Polismyndigheten eller andra behöriga myndigheter för sådana syften som anges i 2 kap. 1 § brottsdatalagen.

6.3Bestämmelser som är förenliga med dataskyddsdirektivet och brottsdatalagen

6.3.1Bestämmelser om syfte och tillämpningsområde

Regeringens bedömning: Bestämmelser i registerförfattningar som anger syftet med lagen eller avgränsar dess tillämpningsområde till viss verksamhet eller viss typ av behandling är förenliga med dataskydds- direktivet och brottsdatalagen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Som konstaterats i avsnitt 5.4.1 har bestämmelser om syftet med en viss registerförfattning inget direkt materiellt innehåll och utgör därför i sig ingen reglering av den förekommande personuppgiftsbehandlingen. Sådana bestämmelser är således förenliga med dataskyddsdirektivet.

Regeringen delar bedömningen i promemorian att också bestämmelser som avgränsar tillämpningsområdet för en viss registerförfattning är förenliga med dataskyddsdirektivet och brottsdatalagen (se vidare prop. 2017/18:269 s. 98–100).

6.3.2Bestämmelser om personuppgiftsansvar

Regeringens bedömning: Bestämmelser i registerförfattningar som preciserar personuppgiftsansvaret är förenliga med dataskydds- direktivet och brottsdatalagen.

59

Prop. 2018/19:65 Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Av definitionen i artikel 3.8 i dataskyddsdirektivet framgår att personuppgiftsansvarig är en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt enligt samma artikel. Dataskydds- direktivet ger alltså möjlighet att fastställa personuppgiftsansvaret i författning och brottsdatalagen innehåller inte några bestämmelser som förhindrar detta. Sådana bestämmelser i registerförfattningarna är därför förenliga med dataskyddsdirektivet och brottsdatalagen.

6.3.3Ändamålsbestämmelser

Regeringens bedömning: Ändamålsbestämmelserna i de aktuella registerförfattningarna som reglerar personuppgiftsbehandling på dataskyddsdirektivets område är förenliga med dataskyddsdirektivet och brottsdatalagen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Dataskydd.net ifrågasätter promemorians bedöm-

ning och menar att denna bygger på en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning: De nu aktuella register- författningarna som reglerar personuppgiftsbehandling inom dataskydds- direktivets område innehåller samtliga bestämmelser om ändamålen med de register som ska föras enligt författningarna. Som framgått av avsnitt

5.4.3och som Dataskydd.net påtalat kan det ifrågasättas om sådana bestämmelser är ändamålsbestämmelser i egentlig mening eller om de utgör preciseringar av personuppgiftsbehandlingens rättsliga grunder. Oavsett hur de betecknas fyller de en funktion som avgränsande ramar för personuppgiftsbehandlingen och kan inte anses strida emot direktivets krav (jfr prop. 2017/18:232 s. 123 f.). Ändamålsbestämmelserna i de ak- tuella registerförfattningarna som reglerar personuppgiftsbehandling på dataskyddsdirektivets område är alltså förenliga med direktivet och brotts- datalagen. Detta utesluter inte att det kan finnas skäl att anpassa bestämm- elserna till dataskyddsdirektivet och brottsdatalagen, vilket regeringen återkommer till när de enskilda registerförfattningarna behandlas.

60

6.3.4

Bestämmelser om utlämnande

Prop. 2018/19:65

Regeringens bedömning: Sekretessbrytande bestämmelser i register- författningar om utlämnande av personuppgifter och bestämmelser som reglerar elektroniskt utlämnande är förenliga med dataskyddsdirektivet och brottsdatalagen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning

Bestämmelser om utlämnande av personuppgifter

Som redogjorts för i föregående kapitel innehåller många register- författningar bestämmelser om utlämnande av personuppgifter vars syfte är att möjliggöra ett uppgiftsutbyte som annars skulle förhindras av sekretess. Även om sådana bestämmelser alltså inte i första hand avser att reglera dataskydd innebär de att det finns grundläggande förutsättningar för ett informationsutbyte som annars hade varit förhindrat av sekretess. Dataskyddsdirektivet lägger inga hinder för sådana sekretessbrytande bestämmelser och de nya registerförfattningarna på brottsdatalagens område innehåller sådana bestämmelser (prop. 2017/18:269 s. 100 f.).

Elektroniskt utlämnande av personuppgifter

Som framgått regleras i registerförfattningar ibland vissa särskilda tekniska former av utlämnande, exempelvis s.k. direktåtkomst. Regeringen har i prop. 2017/18:269 konstaterat att dataskyddsdirektivet inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut samt att bestämmelserna om direktåtkomst och elektroniskt utlämnande i övrigt i de registerförfattningar som behandlas i propositionen är förenliga med direktivet (s. 132–136). Regeringen delar bedömningen i promemorian att detsamma gäller motsvarande bestämmelse i nu aktuella register- författningar.

6.3.5Bestämmelser om vilka uppgifter som får behandlas

Regeringens bedömning: Bestämmelser i registerförfattningar om vilka uppgifter som får behandlas är förenliga med dataskyddsdirektivet och brottsdatalagen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Som redogjorts för i föregående kapitel föreskrivs i registerförfattningar ofta vilka personuppgifter som får behandlas, antingen genom en allmän bestämmelse eller genom mer precisa bestämmelser såsom uppräkningar av de personuppgifter som ska

ingå i ett visst register. Regeringen delar bedömningen i promemorian att

61

Prop. 2018/19:65 artikel 8.2 i dataskyddsdirektivet, som anger att nationell rätt ska innehålla preciseringar av vilka personuppgifter som får behandlas, måste anses medföra att sådana specificeringar är tillåtna enligt direktivet.

6.3.6Bestämmelser om gallring

Regeringens bedömning: Bestämmelser i registerförfattningar om gallring är förenliga med dataskyddsdirektivet och brottsdatalagen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Dataskyddsdirektivet innehåller både en skyldighet för medlemsstaterna att föreskriva att personuppgifter inte ska bevaras längre än vad som behövs för det ändamål de behandlas för (artikel 4.1 e) och en skyldighet för medlemsstaterna att fastställa lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet att bevara uppgifterna (artikel 5). I 2 kap. 17 § och 2 kap. 18 § brottsdatalagen finns generella bestämmelser om längsta tid för bevarande av uppgifter och periodisk översyn.

I flera av registerförfattningarna finns gallringsbestämmelser som anger en exakt tidpunkt för när uppgifter ska gallras. Sådana bestämmelser är, i enlighet med artikel 5, förenliga med direktivet och en tillåten särreglering i förhållande till 2 kap. 18 § brottsdatalagen.

Som angetts i föregående kapitel används gallringsbegreppet inte längre i de nya registerförfattningarna på brottsdatalagens område, eftersom man bedömt att det inte bör användas i bestämmelser som avser dataskydd. Regeringen återkommer till denna fråga i anslutning till att gallrings- bestämmelserna i de enskilda registerförfattningarna behandlas.

6.3.7 Bestämmelser om föreskriftsrätt

Regeringens bedömning: Dataskyddsdirektivet påverkar inte nuvarande bestämmelser i registerförfattningar om rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om personuppgiftsbehandling.

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens bedömning: Som redogjorts för i föregående

 

kapitel ger registerförfattningar ofta en rätt för regeringen eller den

 

myndighet regeringen bestämmer att meddela föreskrifter i något eller

 

några avseenden som rör personuppgiftsbehandling, eller upplyser om att

 

regeringen eller den myndighet regeringen bestämmer meddelar sådana

 

föreskrifter. Sådana bestämmelser berörs inte av dataskyddsdirektivet

 

eftersom detta, i likhet med dataskyddsförordningen, inte förhindrar att

 

frågor om personuppgiftsbehandling regleras i förordnings- eller

 

föreskriftsform. Att frågor regleras i förordnings- eller föreskriftsform får

62

alltså anses vara förenligt med dataskyddsdirektivet.

 

6.4

Bestämmelser som inte kan behållas

Prop. 2018/19:65

Regeringens bedömning: Bestämmelser i registerförfattningar som innehåller hänvisningar till personuppgiftslagen kan inte behållas.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Som framgått upphävdes person- uppgiftslagen den 25 maj 2018. Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagen måste därför tas bort, antingen genom att bestämmelserna upphävs eller genom att hänvisningar i stället görs till brottsdatalagen.

6.5Bestämmelser om registrerades rättigheter

Regeringens bedömning: Det behövs inte några bestämmelser i registerförfattningarna om den registrerades rätt till rättelse, radering eller begränsning av behandling av personuppgifter.

För det fall nuvarande bestämmelser i en registerförfattning innebär en uttömmande reglering av den enskildes rätt till information, måste bestämmelsernas förenlighet med dataskyddsdirektivet övervägas särskilt.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Liksom dataskyddsförordningen innehåller dataskyddsdirektivet i artikel 16 bestämmelser om rätt för den registrerade till rättelse, radering och begränsning av behandling av personuppgifter. Till skillnad från dataskyddsförordningen innehåller direktivet emellertid inga möjligheter att i nationell rätt inskränka dessa rättigheter.

Bestämmelserna om rätt till rättelse och begränsning av behandling genomförs i 4 kap. 9 § brottsdatalagen. Eftersom denna bestämmelse inte är begränsad till behandling som sker enbart enligt brottsdatalagen behövs det ingen hänvisning till bestämmelsen i registerförfattningarna för att den ska kunna tillämpas, även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning.

Bestämmelsen om rätt till radering genomförs i 4 kap. 10 § brottsdatalagen. Denna bestämmelse innebär att den personuppgiftsansvarige, på begäran av den registrerade, ska radera personuppgifter om de behandlas i strid med vissa uppräknade bestämmelser i 2 kap. brottsdatalagen. Detsamma gäller om det krävs radering för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Av prop. 2017/18:232 s. 472 framgår att en rättslig förpliktelse kan avse en skyldighet som rör hur personuppgifter får behandlas enligt brottsdatalagen, myndighetens registerförfattning eller annan författning om ett enskilt register, t.ex. lagen (1998:621) om misstankeregister. Också denna bestämmelse blir därför, utan att någon

63

Prop. 2018/19:65 hänvisning krävs, tillämplig även om den personuppgift som den re- gistrerade begär raderad behandlas med stöd av en registerförfattning.

När det gäller den registrerades rätt att få del av egna personuppgifter som behandlas samt information om behandlingen genomförs direktivet i 4 kap. 3 § brottsdatalagen. Enligt 4 kap. 5 § samma lag finns emellertid möjlighet att i annan författning inskränka rätten till information, om detta sker i vissa specificerade syften. För det fall en registerförfattning innehåller en uttömmande reglering av den enskildes rätt till information (dvs. reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för 4 kap. 3 § brottsdatalagen), måste det därför övervägas om detta är en tillåten inskränkning eller inte. Regeringen återkommer särskilt till frågan i avsnitt 8.3.5.

Liksom dataskyddsförordningen innehåller dataskyddsdirektivet en rätt för den registrerade att få information om personuppgiftsincidenter (artikel 31). Eftersom 3 kap. 11 § brottsdatalagen, till skillnad från artikel 34 i dataskyddsförordningen, innebär att sådan information inte behöver lämnas ut om det rör uppgifter som enligt lag eller annan författning inte får lämnas ut av hänsyn till vissa angivna intressen, saknas emellertid behov av sådana överväganden som gjorts i avsnitt 5.7.5.

6.6Behovet av nya bestämmelser

6.6.1Bestämmelser om förhållandet till den generella dataskyddsregleringen

Regeringens bedömning: I registerförfattningar som kommer att gälla utöver brottsdatalagen bör det införas bestämmelser som klargör detta.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I prop. 2017/18:269 föreslås att det, i de registerförfattningar som kommer att gälla utöver brottsdatalagen, ska införas bestämmelser som anger att lagen i fråga gäller utöver brottsdatalagen (se s. 101 f.). Av de skäl som anges där bör detsamma gälla även nu aktuella lagar som kommer att gälla utöver brottsdatalagen.

6.6.2Bestämmelser om tillsyn

Regeringens bedömning: Dataskyddsdirektivet medför inget behov av bestämmelser om tillsyn i registerförfattningarna.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: 5 kap. brottsdatalagen innehåller bestämmelser om tillsyn. Av 5 kap. 2 § framgår, liksom av definitionen av tillsynsmyndighet i 1 kap. 6 §, att tillsynen omfattar all personuppgifts-

behandling inom brottsdatalagens tillämpningsområde. Tillsynen omfattar

64

alltså även personuppgiftsbehandling enligt registerförfattningarna, i den Prop. 2018/19:65 mån registerförfattningarna gäller utöver brottsdatalagen. Det krävs därför

inte några särskilda bestämmelser i registerförfattningarna för att tillsyn ska kunna utövas i enlighet med kraven i dataskyddsdirektivet.

6.6.3Bestämmelser om administrativa sanktionsavgifter

Regeringens förslag: Det ska införas bestämmelser i lagen om belastningsregister, lagen om misstankeregister och lagen om Schengens informationssystem om att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i för- fattningarna om bevarande och gallring av personuppgifter, om överträdelsen skett vid personuppgiftsbehandling som omfattas av brottsdatalagens tillämpningsområde.

Sanktionsavgiften ska vara högst 10 000 000 kronor.

Promemorians bedömning överensstämmer inte med regeringens. I promemorian görs bedömningen att det inte behövs särskilda be- stämmelser om sanktionsavgifter i registerförfattningarna.

Remissinstanserna: Datainspektionen anser att sanktionsavgifter ska kunna utdömas även vid överträdelse av nu aktuella registerförfattningar som gäller utöver brottsdatalagen. Övriga remissinstanser yttrar sig inte över promemorians bedömning.

Skälen för regeringens förslag

Ska en administrativ sanktionsavgift kunna tas ut?

I direktivet överlåts det till medlemsstaterna att välja sanktioner. Enligt artikel 57 ska medlemsstaterna föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och vidta de åtgärder som krävs för att säkerställa att de genomförs. Sanktionerna ska vara effektiva, proportionerliga och avskräckande. Enligt skäl 89 ska både fysiska och juridiska personer, oavsett om de är privaträttsliga eller offentligrättsliga subjekt, kunna träffas av sanktioner om de överträder bestämmelserna om personuppgiftsbehandling.

Bestämmelser om möjlighet att ta ut administrativa sanktionsavgifter vid överträdelser av bestämmelser i brottsdatalagen har tagits in i 6 kap. den lagen. Sanktionsavgifter har bedömts kunna säkerställa efterlevnaden av bestämmelser i brottsdatalagen på nödvändigt sätt och har ansetts vara den lämpligaste reaktionen på överträdelser av regleringen även för myndigheternas del (prop. 2017/18:232 s. 313–317).

I propositionen Brottsdatalag – kompletterande lagstiftning har regeringen gjort bedömningen att det inte finns skäl att välja någon annan lösning i fråga om sanktioner vid överträdelser av bestämmelser i de där behandlade registerförfattningarna som gäller utöver brottsdatalagen, än den som har valts för överträdelser av bestämmelserna i brottsdatalagen (prop. 2017/18:269 s. 113–115). Av dessa registerförfattningar framgår därför att sanktionsavgift även kan tas ut vid överträdelse av de

bestämmelser i författningarna om tillåtna rättsliga grunder för behandling

65

Prop. 2018/19:65

av personuppgifter, särskilda upplysningar och längsta tid för behandling

 

av personuppgifter, som ersätter, preciserar eller på annat sätt kompletterar

 

en bestämmelse i brottsdatalagen.

 

I promemorian konstateras att nu aktuella registerförfattningar som ska

 

gälla utöver brottsdatalagen avser behandling i tydligt avgränsade

 

behandlingssystem och att både vilka personuppgifter som får behandlas

 

och under hur lång tid är väl preciserat, liksom användningen av

 

personuppgifter ur registren. Personuppgiftsbehandlingen anses med

 

hänsyn till detta vara relativt begränsad. Som Datainspektionen påtalat kan

 

emellertid det faktum att regleringen av personuppgiftsbehandlingen i ett

 

register är väl preciserad inte i sig innebära att behandlingen är begränsad.

 

Personuppgiftsbehandlingen i de aktuella registren måste tvärtom snarast

 

betecknas som omfattande. Som Datainspektionen också påtalat rör

 

registren dessutom mycket integritetskänsliga personuppgifter, varför

 

felaktig behandling av dessa kan få långtgående konsekvenser för enskilda

 

som drabbas. Detta talar enligt regeringens mening för att

 

sanktionsavgifter ska kunna tas ut även vid överträdelser av bestämmelser

 

i dessa registerförfattningar.

 

I promemorian görs bedömningen att detta, genom sanktionssystemet i

 

brottsdatalagen, bör vara möjligt även utan särskilda bestämmelser i

 

registerförfattningarna om sanktionsavgifter. Exempelvis anges att

 

överträdelser i form av att personuppgifter behandlats under för lång tid,

 

dvs. överträdelser av registerförfattningarnas bestämmelser om bevarande

 

och gallring, bör kunna medföra sanktionsavgift enligt regleringen i

 

brottsdatalagen. De aktuella registerförfattningarna innehåller emellertid

 

en mycket preciserad reglering, innefattande särskilt angivna tider, av när

 

personuppgifter av olika slag inte längre får behandlas i de specifika

 

registren. Överträdelser av sådana bestämmelser kan enligt regeringens

 

mening knappast anses vara en överträdelse också av den allmänt hållna

 

bestämmelsen i 2 kap. 17 § brottsdatalagen om att personuppgifter inte får

 

behandlas under längre tid än vad som är nödvändigt med hänsyn till

 

ändamålet med behandlingen. Utan särskilda bestämmelser om detta i

 

registerförfattningarna kommer det alltså inte vara möjligt att påföra

 

sanktionsavgifter vid överträdelser av bestämmelserna i register-

 

författningarna om bevarande och gallring av personuppgifter. Regeringen

 

anser därför att sådana bestämmelser bör införas.

 

Datainspektionen har framfört att det är önskvärt att frågan om

 

sanktionsavgifter regleras fullt ut i de tillämpliga registerförfattningarna,

 

så att den sanktionsskyldighet som ska gälla framgår klart och tydligt. Det

 

finns därför skäl att, liksom i propositionen Brottsdatalag –

 

kompletterande lagstiftning, även överväga behovet av särskilda

 

bestämmelser om sanktionsavgifter vid överträdelse av bestämmelser i

 

registerförfattningarna om tillåtna rättsliga grunder för behandling av

 

personuppgifter.

 

Till skillnad från de registerförfattningar som behandlades i den nämnda

 

propositionen innehåller de nu aktuella registerförfattningarna emellertid

 

inga uttryckliga bestämmelser om rättslig grund. Tvärtom är den rättsliga

 

grunden reglerad genom ett flertal olika bestämmelser i respektive

 

författning, såsom bestämmelser om skyldigheten att föra visst register,

 

om ändamålet med registret och om vilka uppgifter som registret ska

66

innehålla. Särskilda bestämmelser om sanktionsavgifter vid överträdelse

av bestämmelserna om tillåtna rättsliga grunder för behandlingen av personuppgifter, i nu aktuella registerförfattningar, skulle därför behöva hänvisa till ett flertal olika bestämmelser på ett sådant sätt att detta knappast skulle innebära en klarare och tydligare reglering av sanktionsskyldigheten än den som återfinns i brottsdatalagen.

Mot bakgrund av ovanstående gör regeringen bedömningen att det, i de aktuella registerförfattningarna som gäller utöver brottsdatalagen, endast bör införas särskilda bestämmelser om att sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelser i register- författningarna om bevarande och gallring av personuppgifter. Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift.

I enlighet med resonemanget i avsnitt 5.8.3 bör bestämmelserna om sanktionsavgift begränsas till överträdelser som skett vid behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Eftersom vapenlagens bestämmelser om bevarande och gallring i vapenregistren bara träffar behandling som omfattas av dataskydds- förordningens tillämpningsområde (se avsnitt 10.2.7), innebär begräns- ningen att det saknas behov av någon bestämmelse om sanktionsavgift i vapenlagen trots att den vid viss personuppgiftsbehandling gäller utöver brottsdatalagen.

Hur hög bör sanktionsavgiften vara?

Enligt 6 kap. 3 § första och andra styckena brottsdatalagen ska sanktions- avgift tas ut med ett lägre belopp vid mindre allvarliga överträdelser och med ett högre belopp vid allvarligare överträdelser. Det framgår av paragrafen vilka överträdelser som är mindre allvarliga respektive allvarliga.

Överträdelse av brottsdatalagens bestämmelser om längsta tid för behandling av personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i registerförfattningarna. Det finns inte anledning att i registerförfattningarna avvika från de belopp som fastställs i brottsdatalagen. En bestämmelse som anger det högsta belopp som kan komma i fråga bör finnas i var och en av registerförfattningarna.

Vem ska betala en sanktionsavgift?

Den som är personuppgiftsansvarig ansvarar även för den behandling som ett personuppgiftsbiträde utför. Sanktionsavgift ska bara kunna tas ut av ett personuppgiftsbiträde i de fall där biträdet brutit mot uttryckliga skyldigheter enligt brottsdatalagen. Eftersom registerförfattningarna inte innehåller några sådana skyldigheter för personuppgiftsbiträden bör sanktionsavgift för överträdelser av bestämmelser i registerförfattningarna endast kunna tas ut av personuppgiftsansvariga. Om ett personuppgifts- biträde i strid med brottsdatalagen har bestämt ändamålen med och medlen för behandlingen är biträdet att anse som personuppgiftsansvarig för den behandlingen och sanktionsavgift kan då tas ut i samma utsträckning som av en personuppgiftsansvarig (se 3 kap. 19 § andra stycket brottsdata- lagen). Det kommer då att gälla även vid överträdelse av bestämmelser i en registerförfattning.

Prop. 2018/19:65

67

Prop. 2018/19:65 Brottsdatalagens handläggningsbestämmelser gäller

I brottsdatalagen finns det bestämmelser i 6 kap. 3 § tredje stycket, 4 och 5 §§ om hur sanktionsavgiften ska bestämmas och i 6 kap. 6 och 7 §§ om vad som gäller i fråga om beslut om sanktionsavgift. Att registerförfattningar föreslås gälla utöver brottsdatalagen innebär att de handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna. Några bestämmelser om handläggningen behövs därför inte i registerförfattningarna.

6.6.4Bestämmelser om skadestånd

Regeringens bedömning: I registerförfattningar som gäller utöver brottsdatalagen måste det anges att bestämmelsen i brottsdatalagen om skadestånd ska tillämpas vid behandling av personuppgifter som sker i strid med registerförfattningen eller föreskrifter som har meddelats i anslutning till den.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Dataskyddsdirektivets bestämm- else om skadestånd (artikel 56) genomförs i 7 kap. 1 § brottsdatalagen. Bestämmelsen i brottsdatalagen gäller endast om skada uppstått vid behandling av personuppgifter i strid med den lagen. I registerförfattningar som gäller utöver brottsdatalagen måste det därför införas en bestämmelse som innebär att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med registerförfattningen eller föreskrifter som har meddelats i anslutning till den.

6.6.5Bestämmelser om överklagande

Regeringens bedömning: Registerförfattningarna bör inte innehålla några bestämmelser om överklagande.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Brottsdatalagen innehåller gene- rella bestämmelser om överklagande. I 7 kap. 2 § brottsdatalagen före- skrivs att beslut enligt lagen i fråga om rättelse eller komplettering, rade- ring eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut enligt lagen om att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. Enligt 7 kap. 3 § får tillsynsmyndighetens beslut enligt lagen eller enligt föreskrifter som har meddelats i anslutning till den

68

överklagas till allmän förvaltningsdomstol. I 7 kap. 4 § föreskrivs att andra Prop. 2018/19:65 beslut enligt lagen än de nu nämnda inte får överklagas.

I brottsdatalagen anges uttömmande vilka beslut av behöriga myndigheter som får överklagas. Rätten att överklaga omfattar enbart sådana beslut som en myndighet har fattat i egenskap av per- sonuppgiftsansvarig och som berör den enskilde och går honom eller henne emot. Några andra beslut av en behörig myndighet får inte överklagas. Polismyndigheten kommer – med undantag för beslut om information om behandling i belastningsregistret till den registrerade (se avsnitt 8.3.5) – att fatta samtliga beslut som rör enskilda och som kan gå dem emot med stöd av brottsdatalagen. Besluten kommer därför att kunna överklagas enligt brottsdatalagen. Därmed finns det inte något behov av särskilda bestämmelser om överklagande av sådana beslut i registerförfatt- ningarna. I lagrådsremissen föreslogs en särskild bestämmelse i lagen om belastningsregister om rätt att överklaga Polismyndighetens beslut i fråga om information till den registrerade. Lagrådet har emellertid ifrågasatt behovet av en sådan bestämmelse och pekat på att den riskerar att leda till felaktiga motsatsslut. Mot bakgrund av vad som gäller i fråga om överklagbarhet enligt förvaltningslagen (jfr 41 § förvaltningslagen) bedömer regeringen att det saknas behov av att införa en särskild bestämmelse om överklagbarhet i den aktuella registerförfattningen.

I enlighet med regeringens ställningstagande i avsnitt 6.6.3 ska det i vissa av registerförfattningarna anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktions- avgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av bestämmelserna i registerförfattningarna. Tillsyns- myndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs således inte i någon av registerförfattningarna.

7Ny Kustbevakningsdatalag

7.1

Nuvarande reglering

 

Kustbevakningens uppdrag och befogenheter

 

Kustbevakningens uppgifter framgår i huvudsak av myndighetens

 

instruktion (förordning [2007:853] med instruktion för Kustbevakningen).

 

Kustbevakningens rättsliga befogenheter, särskilt när det gäller

 

brottsbekämpning, ordningshållning och kontroll och tillsyn, regleras

 

samtidigt i ett flertal andra författningar. Detta beror bl.a. på att

 

Kustbevakningen är den myndighet som getts ett övergripande ansvar för

 

myndighetsutövning till sjöss i det svenska territoriet. För en utförlig

 

beskrivning av myndighetens verksamhet och den rättsliga regleringen

 

kan hänvisas till propositionen En ny kustbevakningslag (prop.

 

2018/19:16). En kortfattad beskrivning är att verksamheten är indelad i två

 

huvudområden, sjöövervakning och räddningstjänst. I uppgiften att

 

bedriva

sjöövervakning ingår att bistå andra myndigheter med

69

Prop. 2018/19:65 övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn enligt vad som närmare framgår av instruktionen och av annan relevant lagstiftning. Av myndighetens instruktion framgår också att Kustbevakningen medverkar i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst.

Kustbevakningsdatalagen från 2012

Tidigare har kustbevakningsdatalagen (2012:45) gällt vid all behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör brottsbekämpning, övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, samt internationellt samarbete. I prop. 2017/18:269 bedömde regeringen emellertid att Kustbevakningens personuppgiftsbehandling, som en följd av dataskyddsreformen, fortsättningsvis bör regleras i två olika register- författningar. Den del av Kustbevakningens personuppgiftsbehandling som omfattas av brottsdatalagen regleras därför sedan den 1 januari 2019 i stället i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Samma datum upphävdes kustbevakningsdatalagen formellt, men ska enligt en övergångsbestämmelse till Kustbevakningens brottsdatalag fortsätta att gälla vid behandling av personuppgifter utanför brottsdatalagens tillämpningsområde. I det följande benämns den upphävda kustbevakningsdatalagen 2012 års kustbevakningsdatalag; vad som avses är då lagen i dess utformning före den 1 januari 2019.

2012 års kustbevakningsdatalag är indelad i fem kapitel. De två första innehåller bestämmelser som avser all personuppgiftsbehandling som omfattas av lagens tillämpningsområde och rör bl.a. lagens syfte, förhållandet till personuppgiftslagen, personuppgiftsansvar och be- handling av känsliga personuppgifter. I de tredje och fjärde kapitlen regleras sedan särskilt personuppgiftsbehandlingen i den brotts- bekämpande verksamheten, bestämmelser som alltså inte längre ska tillämpas, och i det femte regleras behandlingen av personuppgifter inom den övriga operativa verksamheten.

 

7.2

Kustbevakningens personuppgiftsbehandling

 

 

inom dataskyddsförordningens område vilar på

 

 

rättslig grund

 

 

 

Regeringens bedömning: Den behandling av personuppgifter som

 

regleras i 2012 års kustbevakningsdatalag och som omfattas av

 

dataskyddsförordningens tillämpningsområde är nödvändig för att

 

utföra en uppgift av allmänt intresse.

 

 

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens bedömning: Som framgår av avsnitt 5.2 måste

70

varje

behandling av personuppgifter inom dataskyddsförordningens

tillämpningsområde vila på någon av de rättsliga grunderna i artikel 6.1 i Prop. 2018/19:65 förordningen. Behandlingen är exempelvis laglig om den är nödvändig för

att utföra en uppgift av allmänt intresse (led e) som är fastställd enligt nationell rätt (artikel 6.3). Som också konstaterats i avsnitt 5.2 anses all verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, vara av allmänt intresse. Något som kommit till uttryck i 2 kap. 2 § data- skyddslagen, där det slagits fast att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.

De uppdrag som Kustbevakningen har att utföra och dess befogenheter framgår av olika författningar, bl.a. myndighetens instruktion. När Kustbevakningen behandlar personuppgifter sker detta alltså för att utföra uppgifter av allmänt intresse som följer av lag eller annan författning. Sådan behandling måste också som utgångspunkt anses nödvändig, i enlighet med vad som konstaterats om detta krav i avsnitt 5.2. Kustbevakningens behandling av personuppgifter inom dataskydds- förordningens tillämpningsområde kan således ske med stöd av åtminst- one artikel 6.1 e (inte sällan torde även artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse vara tillämplig). Detta gäller under förutsättning att övriga krav i dataskyddsförordningen, såsom principerna för personuppgiftsbehandling i artikel 5.1, är uppfyllda och att inte bestämmelserna i kustbevakningsdatalagen innebär någon inskränkning av möjligheterna till behandling.

7.3En ny kustbevakningsdatalag inom dataskyddsförordningens tillämpningsområde

Regeringens förslag: En ny kustbevakningsdatalag införs. Den nya lagen ska innehålla i huvudsak den reglering som fanns i 2012 års kust- bevakningsdatalag och som omfattas av dataskyddsförordningens tillämpningsområde.

Den nya kustbevakningsdatalagen ska i förhållande till 2012 års kustbevakningsdatalag ges en delvis ny struktur.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

förslag.

Skälen för regeringens förslag: Till grund för införandet av Kustbevakningens brottsdatalag ligger bedömningen att en ordning med två separata regleringar blir tydligare och enklare att tillämpa för Kustbevakningens del, än en lösning som innebär att dataskydds- förordningens och dataskyddsdirektivets krav regleras i en och samma lag. Något skäl att omvärdera denna bedömning har inte framkommit under beredningen av detta ärende. En ny kustbevakningsdatalag bör därför införas, i vilken den del av Kustbevakningens personuppgiftsbehandling som ligger inom dataskyddsförordningens tillämpningsområde regleras. I enlighet med de utgångspunkter som behandlats i avsnitt 4.3 bör den nya

lagen, med de ändringar som behövs eller är lämpliga för att anpassa

71

Prop. 2018/19:65 bestämmelserna till dataskyddsförordningen, motsvara regleringen i 2012 års kustbevakningsdatalag av personuppgiftsbehandling på dataskydds- förordningens område (dvs. 1, 2 och 5 kap.).

Utöver förändringar i enskilda bestämmelser, som behandlas i följande avsnitt, innebär förslaget till ny kustbevakningsdatalag att regleringen av

Kustbevakningens personuppgiftsbehandling inom dataskydds- förordningens område ges en i viss mån ny struktur. Eftersom antalet bestämmelser blir begränsat, till följd av att personuppgiftsbehandlingen i den brottsbekämpande verksamheten regleras i en egen lag, behöver den nya lagen inte vara kapitelindelad. När kapitelindelningen försvinner är det också befogat att placera vissa bestämmelser i en annan ordningsföljd än tidigare, för att göra författningen mer lättläst.

 

7.4

Den nya kustbevakningsdatalagens innehåll

 

7.4.1

Lagens tillämpningsområde och förhållandet till

 

 

dataskyddsförordningen och dataskyddslagen

 

 

 

Regeringens förslag: Den nya kustbevakningsdatalagen ska gälla vid

 

behandling av personuppgifter i Kustbevakningens operativa

 

verksamhet som rör sjöövervakning, räddningstjänst, samordning av

 

civila behov av sjöövervakning och förmedling av civil sjöinformation

 

samt internationellt samarbete. Från tillämpningsområdet undantas

 

sådan personuppgiftsbehandling som omfattas av Kustbevakningens

 

brottsdatalag.

 

Vissa av lagens bestämmelser om personuppgifter ska gälla även vid

 

behandling av uppgifter om juridiska personer.

 

Lagen ska innehålla upplysande bestämmelser som anger att den

 

kompletterar dataskyddsförordningen samt att dataskyddslagen och

 

föreskrifter som har meddelats i anslutning till den lagen gäller vid

 

behandling av personuppgifter enligt kustbevakningsdatalagen, om inte

 

något annat följer av kustbevakningsdatalagen eller föreskrifter som

 

meddelats i anslutning till denna.

 

 

 

Promemorians förslag överensstämmer i sak med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

förslag.

 

 

Skälen för regeringens förslag

 

Den grundläggande bestämmelsen om tillämpningsområdet

 

Enligt 1 kap. 2 § första stycket gällde 2012 års kustbevakningsdatalag vid

 

behandling av personuppgifter i Kustbevakningens operativa verksamhet

 

som rör brottsbekämpning, övrig sjöövervakning, räddningstjänst,

 

samordning av civila behov av sjöövervakning och förmedling av civil

 

sjöinformation, och internationellt samarbete. Bestämmelser om tillämp-

 

ningsområdet är i sig förenliga med dataskyddsförordningen (se avsnitt

 

5.4.1) och den nya kustbevakningsdatalagen bör innehålla en motsvarande

 

bestämmelse. Eftersom personuppgiftsbehandlingen i den del av Kust-

72

bevakningens operativa verksamhet som rör brottsbekämpning omfattas

 

 

av Kustbevakningens brottsdatalag, måste emellertid den punkten utgå från uppräkningen.

Även behandling av personuppgifter i Kustbevakningens sjö- övervakning som inte rör brottsbekämpning omfattas i viss mån av Kustbevakningens brottsdatalag. Främst gäller detta vid sådana ingripanden mot ordningsstörningar som innebär ett upprätthållande av allmän ordning och säkerhet (se vidare prop. 2017/18:269, avsnitt 9.2, för en närmare genomgång av gränsen för Kustbevakningens brottsdatalags tillämpningsområde). För att undvika att viss personuppgiftsbehandling i den operativa verksamheten omfattas av både den nya kustbevaknings- datalagen och Kustbevakningens brottsdatalag bör det därför framgå av bestämmelsen om lagens tillämpningsområde att kustbevaknings- datalagen inte gäller vid behandling av personuppgifter som omfattas av Kustbevakningens brottsdatalag.

Liksom 2012 års kustbevakningsdatalag (1 kap. 2 § andra stycket) bör den nya kustbevakningsdatalagen endast gälla om personuppgifts- behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (jfr prop. 2017/18:254 s. 19).

I 1 kap. 2 § tredje stycket 2012 års kustbevakningsdatalag anges att lagens bestämmelser är subsidiära till bestämmelserna i lagen (2017:496) om internationellt polisiärt samarbete eller i föreskrifter som meddelats i anslutning till den lagen. Bestämmelserna om uppgiftsutbyte i den lagen (6–10 kap.) rör emellertid endast uppgiftsutbyte för brottsbekämpande ändamål och saknar därför relevans i förhållande till personuppgifts- behandlingen i de delar av Kustbevakningens operativa verksamhet som kommer att regleras i den nya kustbevakningsdatalagen. Någon bestämmelse om förhållandet till lagen om internationellt polisiärt samarbete behöver därför inte tas in i den nya kustbevakningsdatalagen.

Tillämpning på uppgifter om juridiska personer

Av 1 kap. 3 § i 2012 års kustbevakningsdatalag följer att vissa av be- stämmelserna om personuppgifter även gäller vid behandling av uppgifter om juridiska personer. Eftersom behandling av sådana uppgifter inte omfattas av dataskyddsförordningen berörs bestämmelsen inte av denna och kan därmed behållas i den nya kustbevakningsdatalagen, i den mån den hänvisar till bestämmelser som avser behandling inom den nya lagens tillämpningsområde. Därutöver bör bestämmelsen, liksom motsvarande bestämmelse i Kustbevakningens brottsdatalag, även hänvisa till den ändamålsbestämmelse som möjliggör behandling som är nödvändig för diarieföring eller för handläggning när uppgifter lämnats i en anmälan eller liknande (se avsnitt 7.4.3).

Förhållandet till dataskyddsförordningen och dataskyddslagen

I 2012 års kustbevakningsdatalag finns bestämmelser om förhållandet till personuppgiftslagen (2 kap. 1–2 §§). I enlighet med bedömningarna i avsnitt 5.8.1 bör den nya kustbevakningsdatalagen i stället innehålla bestämmelser som upplyser om att lagen kompletterar dataskydds-

Prop. 2018/19:65

73

Prop. 2018/19:65 förordningen samt att även bestämmelserna i den subsidiära dataskydds- lagen, och i föreskrifter som meddelats i anslutning till denna, gäller vid behandlingen av personuppgifter om inte annat följer av kustbevaknings- datalagen eller föreskrifter som meddelats i anslutning till denna.

7.4.2Lagens syfte, tillgången till personuppgifter och personuppgiftsansvar

Regeringens förslag: Den nya kustbevakningsdatalagen ska innehålla bestämmelser om lagens syfte, tillgången till personuppgifter och personuppgiftsansvar som motsvarar bestämmelserna i 2012 års kustbevakningsdatalag.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Stockholm har, med hänvisning

till att Kustbevakningens brottsdatalag inte innehåller motsvarande, ifrågasatt att kustbevakningsdatalagen ska innehålla en bestämmelse om lagens syfte. Övriga remissinstanser yttrar sig inte över promemorians förslag.

Skälen för regeringens förslag: Av 1 kap. 1 § i 2012 års kustbevak- ningsdatalag framgår att syftet med lagen är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Som konstaterats i avsnitt 5.4.1 är sådana allmänna bestämmelser om lagens syfte förenliga med dataskydds- förordningen. I enlighet med de ovan redovisade utgångspunkterna för detta lagstiftningsärende bör den nya kustbevakningsdatalagen därför innehålla en bestämmelse med motsvarande innehåll. Att Kust- bevakningens brottsdatalag, som Kammarrätten i Stockholm påtalat, inte innehåller någon sådan bestämmelse beror på att den lagen gäller utöver brottsdatalagen, som redan innehåller en sådan bestämmelse. Detsamma gäller i andra registerförfattningar som reglerar samma myndighets personuppgiftsbehandling inom dataskyddsförordningens respektive brottsdatalagens tillämpningsområde, exempelvis domstolsdatalagen (2015:728) och lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område.

I 5 kap. 1 § andra stycket i 2012 års kustbevakningsdatalag finns en bestämmelse som innebär att de personuppgifter som behandlas av Kustbevakningen för andra ändamål än brottsbekämpning får göras gemensamt tillgängliga. Av 1 kap. 4 § framgår att man med ”gemensamt tillgängliga uppgifter” avser personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av. I enlighet med bedömningen i avsnitt 5.4.6 måste sådana bestämmelser anses vara tillåtna preciseringar av personuppgiftsbehandlingen enligt artikel 6.2 i dataskyddsförordningen. Även den nya kustbevaknings- datalagen bör därför innehålla motsvarande bestämmelser. Lagrådet har ifrågasatt innebörden av uttrycket ”som görs” i den befintliga definitionen av gemensamt tillgängliga uppgifter. Regeringen konstaterar emellertid att

74

uttrycket ”som görs eller har gjorts” används genomgående i de författ- Prop. 2018/19:65 ningar som innehåller bestämmelser om gemensamt tillgängliga uppgifter,

däribland 3 kap. 1 § Kustbevakningens brottsdatalag. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör någon ändring i detta avseende därför inte göras i den nya kustbevakningsdatalagen.

I 2 kap. 3 § i 2012 års kustbevakningsdatalag finns en bestämmelse som innebär att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Som fram- går av avsnitt 5.4.6 är även detta att se som en sådan precisering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Också upplysningen i bestämmelsens andra stycke, att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter, är förenlig med dataskydds- förordningen (se avsnitt 5.4.8). Bestämmelsen bör därför behållas i den nya kustbevakningsdatalagen, med det förtydligandet att föreskriftsrätten följer av 8 kap. 7 § regeringsformen.

I enlighet med bedömningen i avsnitt 5.4.2 är även utpekandet av Kust- bevakningen som personuppgiftsansvarig i 2 kap. 4 § 2012 års kustbevakningsdatalag förenligt med dataskyddsförordningen och bör därför föras över till den nya lagen.

7.4.3Ändamålsbestämmelser och finalitetsprincipen

Regeringens förslag: Den nya kustbevakningsdatalagen ska innehålla primära och sekundära ändamålsbestämmelser som motsvarar bestämmelserna i 2012 års kustbevakningsdatalag.

Lagen ska också, liksom 2012 års kustbevakningsdatalag, innehålla en bestämmelse om att personuppgifter som behandlas enligt en primär ändamålsbestämmelse även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag överensstämmer i sak med regeringens, men innebär att finalitetsprincipen regleras genom en hänvisning till artikel 5.1

boch 6.4 a–e i dataskyddsförordningen.

Remissinstanserna: Kammarrätten i Stockholm konstaterar att det av

flera utredningar förts fram att det ibland har skett en sammanblandning av tillåtna rättsliga grunder för behandling av personuppgifter och ändamålsbestämmelser samt att Kustbevakningens brottsdatalag och andra registerförfattningar på brottsdatalagens område, i stället för ändamålsbestämmelser, innehåller bestämmelser som avser rättsliga grunder för behandlingen. Kammarrätten framhåller att det kan framstå som mindre lämpligt att det i olika författningar som reglerar myndigheters behandling av personuppgifter används olika terminologi. Kammarrätten noterar även att Kustbevakningen föreslås få behandla personuppgifter enligt den primära ändamålsbestämmelsen i 7 § om det behövs för att utföra vissa närmare angivna arbetsuppgifter, medan begreppet nödvändigt används i motsvarande bestämmelse i Kustbevakningens brottsdatalag. Begreppet nödvändigt bör enligt kammarrätten användas

genomgående. Dataskydd.net anser att ändamålsbestämmelserna är

75

Prop. 2018/19:65 onödiga eftersom det skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling.

Skälen för regeringens förslag

Ändamålsbestämmelserna i 2012 års kustbevakningsdatalag

I likhet med många andra registerförfattningar innehåller 2012 års kustbevakningsdatalag verksamhetsspecifika ändamålsbestämmelser, som anger den yttersta ram inom vilken personuppgifter får behandlas. Inom dataskyddsförordningens tillämpningsområde får Kustbevakningen i den operativa verksamheten, enligt 5 kap. 1 §, behandla personuppgifter om det behövs för att a) bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som kustbevakningen är skyldig att utföra, b) bedriva räddningstjänst, c) samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter, d) utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller e) fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst. Enligt 2 kap. 6 § får Kustbevakningen därutöver behandla personuppgifter om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2012 års kustbevakningsdatalag finns även sekundära ändamåls- bestämmelser. Enligt 5 kap. 2 § första stycket får personuppgifter som behandlas enligt 5 kap. 1 § även behandlas om det är nödvändigt för att tillhandahålla information som behövs i a) Kustbevakningens brotts- bekämpande verksamhet, b) en annan myndighets verksamhet om Kust- bevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och c) likartad verksamhet hos en utländsk myndighet. Enligt bestämmelsens andra stycke får samma personuppgifter även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.

Bör ändamålsbestämmelser motsvarande dem i 2012 års kustbevakningsdatalag finnas i den nya kustbevakningsdatalagen?

I enlighet med bedömningen i avsnitt 5.4.3 är ändamålsbestämmelser av detta slag, som anpassar tillämpningen av dataskyddsförordningen och sä- kerställer en laglig och rättvis behandling, tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Detta innebär att ändamålsbestämmelser mot- svarande de nuvarande kan föras in i den nya kustbevakningsdatalagen.

Som Dataskydd.net påtalat och som framgår av avsnitt 5.4.3 innebär sådana ändamålsbestämmelser emellertid att en sammanblandning kan ske mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandlingen. Av detta skäl görs, som också Kammarrätten i Stockholm noterat, i brottsdatalagen och ett flertal registerförfattningar som uteslutande reglerar personuppgiftsbehandling

inom brottsdatalagens tillämpningsområde en tydligare åtskillnad mellan

76

bestämmelser om rättslig grund och ändamål. Några motsvarande ändringar har dock inte föreslagits i övriga registerförfattningar som anpassats till dataskyddsförordningen (se exempelvis domstolsdatalagen och lagen [2001:183] om behandling av personuppgifter i verksamhet med val och folkomröstningar). Att, i stället för primära och sekundära ändamålsbestämmelser, införa bestämmelser i den nya kustbevaknings- datalagen av det slag som föreslagits på dataskyddsdirektivets område skulle alltså innebära ett avsteg från den systematik som för närvarande gäller inom dataskyddsförordningens område.

Mot bakgrund av ovanstående gör regeringen bedömningen att även den nya kustbevakningsdatalagen bör innehålla primära och sekundära ändamålsbestämmelser. Dessa bör motsvara de bestämmelser i 2012 års kustbevakningsdatalag som idag gäller inom dataskyddsförordningens tillämpningsområde, med de mindre justeringar som följer av att tillämpningsområdet för Kustbevakningens brottsdatalag inte bestäms helt i enlighet med tillämpningsområdet för 3 och 4 kap. i 2012 års lag. Detta innebär framför allt att den sekundära ändamålsbestämmelsen som möjliggör behandling av personuppgifter för att tillhandahålla information som behövs i Kustbevakningens brottsbekämpande verksamhet i stället ska hänvisa till Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

Upprätthållande av allmän ordning och säkerhet omfattas alltså av den sekundära ändamålsbestämmelsen, till skillnad från sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss som omfattas av den primära ändamålsbestämmelsen. En utgångspunkt vid gränsdrag- ningen mellan dessa är att det för att viss verksamhet ska kunna anses utgöra ett upprätthållande av allmän ordning och säkerhet krävs fysisk närvaro på den plats där oordning förekommer eller riskerar att uppstå. När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Den verksamhet som består av allmän övervakning i trygghetsskapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs är i stället att se som övervakning av den allmänna ordningen och säkerheten (se vidare beträffande gränsdragningen i prop. 2017/18:269 s. 190 f.).

Ett grundläggande krav enligt artikel 6.1 b–f i dataskyddsförordningen är att behandlingen ska vara nödvändig. Regeringen har i ett tidigare lagstiftningsärende bedömt att terminologin i registerförfattningarnas ändamålsbestämmelser i detta avseende bör anpassas till dataskydds- förordningens terminologi, eftersom det är olämpligt att använda begrepp i svenska registerförfattningar som kan ge det felaktiga intrycket att det ställs lägre krav på behandlingen i de svenska registerförfattningarna än i dataskyddsförordningen (propositionen Anpassningar av register- författningar på arbetsmarknadsområdet till EU:s dataskyddsförordning, prop. 2017/18:112, s. 53). I enlighet med den synpunkt som Kammarrätten i Stockholm framfört bör dessutom samma begrepp användas i kust- bevakningsdatalagen som i Kustbevakningens brottsdatalag. I den primära ändamålsbestämmelsen i 7 § bör därför anges att Kustbevakningen får behandla personuppgifter för angivna ändamål om det är nödvändigt.

Prop. 2018/19:65

77

Prop. 2018/19:65 Bör finalitetsprincipen regleras i den nya kustbevakningsdatalagen?

Till skillnad från de primära ändamålen i 2012 års kustbevakningsdatalag är de sekundära inte uttömmande angivna. Av 5 kap. 2 § tredje stycket framgår att personuppgifter som behandlas enligt 5 kap. 1 § i ett enskilt fall även får behandlas för att tillhandahålla information för något annat ändamål än de som anges i de sekundära ändamålsbestämmelserna, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen).

Enligt regeringens bedömning bör finalitetsprincipen utgöra den yttersta ram inom vilken personuppgifter får behandlas även enligt den nya kustbevakningsdatalagen. Som anges i promemorian gäller principen visserligen enligt artikel 5.1 b i dataskyddsförordningen vid sådan be- handling. Enligt regeringens uppfattning bör detta dock av tydlighetsskäl framgå direkt av lagen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål i 7–10 §§ en sådan ändamålsbegränsning som får införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen (propositionen anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folk- omröstningar, prop. 2017/18:115, s. 17).

 

7.4.4

Känsliga personuppgifter

 

 

 

Regeringens förslag: Begreppet känsliga personuppgifter ska omfatta

 

sådana personuppgifter som avses i artikel 9 i dataskyddsförordningen.

 

Känsliga personuppgifter ska få behandlas under samma förut-

 

sättningar som i dag och förbudet mot att använda känsliga

 

personuppgifter som sökbegrepp ska behållas.

 

Bestämmelsen om förbud mot att använda känsliga personuppgifter

 

som sökbegrepp ska anpassas språkligt till regleringen i dataskydds-

 

förordningen och brottsdatalagen.

 

Den nuvarande bestämmelsen om att uppgifter som beskriver en

 

persons utseende ska utformas på ett objektivt sätt ska föras in i den nya

 

lagen, men placeras i en egen paragraf.

 

 

 

Promemorians förslag överensstämmer i sak med regeringens, men

 

innehåller en uttrycklig bestämmelse om att känsliga personuppgifter som

 

utgångspunkt inte får behandlas. I promemorian föreslås att bestämmelsen

 

om uppgifter som beskriver en persons utseende ska placeras tillsammans

 

med bestämmelserna om känsliga personuppgifter.

 

Remissinstanserna: Förvaltningsrätten i Stockholm ifrågasätter om det

 

är nödvändigt att Kustbevakningen ska få behandla känsliga

 

personuppgifter för diarieföring. Förvaltningsrätten påtalar också att

 

förslaget innebär att sådan behandling, liksom behandling av känsliga

 

personuppgifter som lämnats i en anmälan eller liknande, får ske redan om

 

det är nödvändigt och inte bara om det är absolut nödvändigt.

 

Dataskydd.net anser att den föreslagna regleringen i praktiken innebär att

 

känsliga personuppgifter alltid kommer att kunna behandlas och att

 

regleringen därför framstår som oärlig. Dessutom är den enligt

 

Dataskydd.net svår att förstå. Juridiska fakulteten vid Lunds universitet

78

påtalar att det, under rubriken ”Känsliga personuppgifter”, i 12 § tredje

 

 

stycket finns en bestämmelse som avser uppgifter som beskriver en persons utseende. Är det så att denna inte endast tar sikte på känsliga personuppgifter, skulle detta enligt fakulteten bli tydligare om be- stämmelsen placeras i en egen paragraf. Dessutom ifrågasätter fakulteten behovet av bestämmelsen, som innebär att de uppgifter som avses ska utformas på ett objektivt sätt med respekt för människovärdet, eftersom detta följer redan av 1 kap. 9 § regeringsformen.

Skälen för regeringens förslag: Som redogjorts för i avsnitt 5.6 har begreppet känsliga personuppgifter i dataskyddsförordningen utvidgats till att avse fler kategorier av personuppgifter än vad som hittills gällt enligt både personuppgiftslagen och 2012 års kustbevakningsdatalag. Regl- eringen av behandlingen av känsliga personuppgifter i den nya kust- bevakningsdatalagen bör därför omfatta även de nya kategorierna av personuppgifter, vilket lämpligen åstadkoms genom att regleringen i den nya lagen hänvisar till artikel 9.1 i dataskyddsförordningen.

Utgångspunkten enligt 2012 års kustbevakningsdatalag är att känsliga personuppgifter inte får behandlas (2 kap. 7 § första stycket). Detsamma bör gälla även fortsättningsvis. Eftersom det följer direkt av artikel 9.1 i dataskyddsförordningen att känsliga personuppgifter inte får behandlas anser regeringen, till skillnad från vad som föreslås i promemorian, emellertid inte att det behövs någon uttrycklig bestämmelse om detta i den nya lagen.

Enligt 2012 års kustbevakningsdatalag finns undantag som innebär att Kustbevakningen i vissa situationer får behandla känsliga personuppgifter. Enligt 2 kap. 7 § andra stycket får uppgifter om en person, som behandlas på annan grund, kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Den restriktivitet som ligger i begreppet ”absolut nödvändigt” har ansetts innebära att behovet av att göra sådana kompletteringar måste prövas noga i det enskilda fallet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för en utredning (propositionen Kustbevakningsdatalag, prop. 2011/12:45, s. 200 och prop. 2017/18:232 s. 447). Ett annat exempel kan vara Kustbevakningens behandling av fingeravtryck vid in- eller utresekontroll enligt 9 kap. 8 c § utlänningslagen (2005:716).

Som har konstaterats i avsnitt 5.6 är bestämmelser som i förhållande till regleringen i dataskyddslagen inte utvidgar möjligheterna att behandla känsliga personuppgifter förenliga med artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i 2 kap. 7 § andra stycket 2012 års kustbevakningsdatalag motsvarar inte helt regleringen i 3 kap. 3 § dataskyddslagen, och skulle kunna tolkas som en viss utvidgning av möjligheten att behandla känsliga personuppgifter. Regeringen har emellertid i propositionen Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning (prop. 2017/18:248) bedömt att en liknande bestämmelse i förslaget till Kriminalvårdens datalag är förenlig med dataskyddsförordningen. Något skäl att i detta ärende göra någon annan bedömning finns inte. Enligt 2 kap. 6 § andra stycket får känsliga personuppgifter vidare behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Detta motsvarar i sak regleringen i 3 kap. 3 § första stycket 1 och 2 dataskydds- lagen, men en särreglering är motiverad av tydlighetsskäl.

Prop. 2018/19:65

79

Prop. 2018/19:65 I 2012 års kustbevakningsdatalag finns även ett förbud mot att använda känsliga personuppgifter som sökbegrepp vid sökning i personuppgifter, med undantag för uppgifter som beskriver en persons utseende (5 kap. 4 §). Motsvarande bör enligt regeringens bedömning gälla även i den nya kustbevakningsdatalagen. Ett sådant sökförbud får anses utgöra en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelsen bör emellertid anpassas språkligt så att den motsvarar sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen och motsvarande bestämmelse i brottsdata- lagen.

Av ovanstående följer att bestämmelserna om tillåten behandling av känsliga personuppgifter i 2012 års kustbevakningsdatalag är förenliga med dataskyddsförordningen. Något skäl att i den nya kustbevaknings- datalagen, som Förvaltningsrätten i Stockholm föreslagit, inskränka Kustbevakningens möjligheter att behandla känsliga personuppgifter finns därför inte enligt regeringen. Regeringen delar inte heller den uppfattning som Dataskydd.net framfört, dvs. att undantagen till huvudregeln är sådana att huvudregeln i sig blir onödig eller missvisande. Motsvarande bestämmelser bör således införas i den nya lagen.

Bestämmelsen om känsliga personuppgifter i 2 kap. 7 § 2012 års kust- bevakningsdatalag innehåller i tredje stycket även en påminnelse om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Som Juridiska fakulteten vid Lunds universitet påtalat följer detta redan av regeringsformens krav på objektiv- itet och saklighet. Som regeringen konstaterade i samband med införandet av 2012 års kustbevakningsdatalag finns emellertid anledning att i detta sammanhang särskilt betona vikten av att denna typ av uppgifter utformas på ett sätt som inte kan uppfattas som kränkande (prop. 2011/12:45 s. 95 f). Motsvarande bestämmelse gäller dessutom i Kustbevakningens brotts- bekämpande verksamhet enligt 2 kap. 7 § andra stycket brottsdatalagen, varför det framstår som lämpligt att motsvarande regel förs in i den här föreslagna lagen. Signalementsuppgifter är i de flesta fall inte känsliga personuppgifter och motsvarande bestämmelse i brottsdatalagen har därför inte placerats i regleringen som avser känsliga personuppgifter (prop. 2017/18:232 s. 144). Av samma skäl bör bestämmelsen även i den nya kustbevakningsdatalagen, såsom Juridiska fakulteten vid Lunds universitet föreslagit, placeras åtskild från regleringen av känsliga personuppgifter.

 

7.4.5

Utlämnande av personuppgifter och

 

 

direktåtkomst

 

 

 

Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på

 

annat sätt än genom direktåtkomst om det inte är olämpligt.

 

I övrigt ska regleringen av utlämnade av personuppgifter och direkt-

 

åtkomst i den nya kustbevakningsdatalagen motsvara bestämmelserna

 

om detta i 2012 års kustbevakningsdatalag, med undantag för en hän-

 

visning till offentlighets- och sekretesslagen.

 

 

80

Promemorians förslag överensstämmer i sak med regeringens.

 

 

Remissinstanserna: Förvaltningsrätten i Stockholm anser av

Prop. 2018/19:65

tydlighetsskäl att det, i stället för en hänvisning till bestämmelsen om

 

känsliga personuppgifter, bör framgå uttryckligen av bestämmelserna om

 

direktåtkomst att denna inte får avse känsliga personuppgifter.

 

Datainspektionen avstyrker förslaget om att personuppgifter ska få lämnas

 

ut elektroniskt om det inte är olämpligt, eftersom det inte utan närmare

 

analys kan avgöras om det innebär en proportionerlig utvidgning i

 

förhållande till enskildas personliga integritet.

 

Skälen för regeringens förslag

 

Utlämnande av personuppgifter

 

I 2012 års kustbevakningsdatalag finns bestämmelser om utlämnande av

 

personuppgifter som behandlas inom dataskyddsförordningens tillämp-

 

ningsområde i 2 kap. 8 § och 5 kap. 6 §. Av förstnämnda bestämmelse

 

följer att enstaka personuppgifter får lämnas ut på ett medium för

 

automatiserad behandling. Bestämmelsen innehåller också en upplysning

 

om att regeringen meddelar föreskrifter om att uppgifter får lämnas ut på

 

ett sådant medium även i andra fall. I enlighet med bedömningarna i

 

avsnitt 5.4.4 och 5.4.8 är bestämmelsen förenlig med dataskydds-

 

förordningen och behöver alltså i och för sig inte ändras. I Kust-

 

bevakningens brottsdatalag, liksom i andra författningar på dataskydds-

 

direktivets område, ges emellertid större utrymme för sådana utlämnanden

 

och dessutom har uttrycket ”utlämnande på medium för automatiserad

 

behandling” ersatts med ”elektroniskt utlämnande”. De personuppgifter

 

som behandlas enligt Kustbevakningens brottsdatalag torde typiskt sett

 

vara mer integritetskänsliga än de som kommer att behandlas enligt den

 

nya kustbevakningsdatalagen. Regeringen anser därför, till skillnad från

 

Datainspektionen, att regleringen är proportionerlig i förhållande till

 

enskildas personliga integritet (jfr prop. 2017/18:269 s. 136). Dessutom

 

torde det underlätta för Kustbevakningen om regleringen av utlämnande

 

så långt möjligt är likadant utformad i myndighetens båda

 

registerförfattningar. I enlighet med vad som gäller enligt Kust-

 

bevakningens brottsdatalag bör det därför även i kustbevakningsdatalagen

 

föreskrivas att personuppgifter får lämnas ut elektroniskt på annat sätt än

 

genom direktåtkomst om det inte är olämpligt samt i anslutning till detta

 

upplysas om att regeringen med stöd av 8 kap. 7 § regeringsformen kan

 

meddela föreskrifter om begränsning av möjligheten att lämna ut person-

 

uppgifter elektroniskt. För vägledning i fråga om när elektroniskt

 

utlämnande ska anses olämpligt kan hänvisas till regeringens resonemang

 

i prop. 2017/18:269 s. 136.

 

Bestämmelsen i 5 kap. 6 § 2012 års kustbevakningsdatalag innehåller en

 

upplysning om att regeringen i förordning kan meddela ytterligare

 

bestämmelser om uppgiftslämnande. I enlighet med vad som angetts i

 

avsnitt 5.4.8 är en sådan upplysningsbestämmelse förenlig med

 

dataskyddsförordningen och bör därför tas in även i den nya

 

kustbevakningsdatalagen, med det förtydligandet att regeringens

 

föreskriftsmöjlighet följer av 8 kap. 7 § regeringsformen. Bestämmelsen i

 

5 kap. 6 § 2012 års kustbevakningsdatalag innehåller dessutom en

 

upplysning om att bestämmelser om att uppgifter får lämnas ut även finns

 

i offentlighets- och sekretesslagen (2009:400). Regeringen har vad gäller

81

Prop. 2018/19:65 bl.a. Kustbevakningens brottsdatalag gjort bedömningen att en sådan upplysning inte fyller någon funktion och därför inte bör införas i den nya lagen (prop. 2017/18:269 s. 112). Något skäl att nu göra någon annan bedömning saknas. Någon sådan upplysning bör därför inte heller införas i den nya kustbevakningsdatalagen.

Direktåtkomst

I 2012 års kustbevakningsdatalag finns bestämmelser om direktåtkomst i 2 kap. 9 § och 5 kap. 5 §. Den förstnämnda bestämmelsen säger att utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av kustbevakningsdatalagen. Bestämmelsen innehåller även en upplysning om var i lagen bestämmelser om direktåtkomst finns. I enlighet med resonemanget i avsnitt 5.4.4 är bestämmelsen förenlig med dataskyddsförordningen och bör därför tas in även i den nya kust- bevakningsdatalagen.

I 5 kap. 5 § finns upplysningar om att regeringen meddelar föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av den primära ändamålsbestämmelsen och om att utländska myndigheter får ha sådan åtkomst samt om att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet. Som konstaterats i avsnitt 5.4.8 är sådana upplysningsbestämmelser förenliga med dataskyddsförordningen. De bör därför föras över till den nya kustbevakningsdatalagen, med det förtydligandet att föreskriftsmöjligheten följer av 8 kap. 7 § regerings- formen. Av regleringen i 5 kap. 5 § följer vidare både att direktåtkomst endast får avse personuppgifter som har gjorts gemensamt tillgängliga och att direktåtkomst inte får avse känsliga personuppgifter. Även detta är förenligt med dataskyddsförordningen (se avsnitt 5.4.4) och bör gälla också enligt den nya lagen. Liksom Förvaltningsrätten i Stockholm anser regeringen att det bör framgå uttryckligen av bestämmelserna om direktåtkomst att sådan inte får avse känsliga personuppgifter. Slutligen innehåller regleringen en bestämmelse som innebär att en svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Som framgår av avsnitt 5.4.6 är detta förenligt med dataskyddsförordningen och motsvarande bör därför gälla även fortsättningsvis. Promemorians förslag i denna del bör därför justeras så att det framgår att bestämmelsen endast avser svenska myndigheter.

 

7.4.6

Information till den registrerade

 

 

 

Regeringens förslag: Kustbevakningen ska inte vara skyldig att lämna

 

information till den registrerade enligt artikel 13 i dataskydds-

 

förordningen när insamling av personuppgifter görs genom bilder eller

 

ljud, såvida behandlingen i övrigt inte innebär en direkt identifiering av

 

en person. Sådan information ska inte heller behöva lämnas när det i

 

larmsituationer inte finns tid för det.

 

 

82

Promemorians förslag överensstämmer med regeringens.

 

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.

Skälen för regeringens förslag

Bör nuvarande inskränkningar i rätten till information behållas?

Genom en hänvisning i 2 kap. 2 § första stycket 5 2012 års kust- bevakningsdatalag gäller i dag bl.a. bestämmelsen i 23 § personuppgifts- lagen vid Kustbevakningens behandling av personuppgifter. Av denna följer att Kustbevakningen, i samband med att uppgifter om en person samlas in från personen själv, självmant ska lämna denne information om behandlingen av uppgifterna. Denna rätt till information inskränks emellertid genom bestämmelsen i 2 kap. 2 § tredje stycket 2012 års kustbevakningsdatalag, på så sätt att information inte behöver lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud och inte heller om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Undantaget för insamling genom bilder och ljud motiverades med hänvisning till att Kustbevakningen bl.a. bedriver spaning med kustbevakningsflyg och i samband med det filmar exempelvis oljeutsläpp från fartyg. I en sådan situation framstår det, menade regeringen, inte bara som orimligt utan också som praktiskt ogörligt att informera den eller de personer som kan tänkas komma att fångas på bild om att deras personuppgifter behandlas. Dessutom ansågs att värdet av sådan information kan ifrågasättas. När det gäller information i samband med larm anförde regeringen bl.a. att sådan information till någon som ringer in i avsikt att larma, eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd, både riskerar att försena den efterfrågade åtgärden i det enskilda fallet och att leda till negativa konsekvenser i stort för den verksamhet som bedrivs. Det ifrågasattes också om den enskilde i en sådan situation överhuvudtaget är intresserad av informationen (prop. 2011/12:45 s. 81 f.).

Av promemorian framgår att företrädare för Kustbevakningen uttryckt att det finns ett stort praktiskt behov av att kunna fortsätta tillämpa samma ordning som i dag. I den mån dataskyddsförordningen tillåter det bör mot- svarande därför gälla även när den nya kustbevakningsdatalagen tillämpas.

Dataskyddsförordningens krav på information

Dataskyddsförordningens krav på information till den registrerade vid insamling av personuppgifter finns i artiklarna 13 och 14. Utformningen av dessa skiljer sig åt på några punkter, och vilken av dem som ska tillämpas beror på om personuppgifterna samlas in från den enskilde själv (artikel 13) eller från någon annan källa (artikel 14). En skillnad mellan bestämmelserna är att artikel 14 ger möjlighet att underlåta att informera den registrerade i vissa situationer, bl.a. om informationsgivningen skulle visa sig vara omöjlig eller medför en oproportionerlig ansträngning (artikel 14.5 b). Någon liknande möjlighet att underlåta att informera finns däremot inte angiven i artikel 13. Emellertid finns det möjlighet att i nationell rätt, med stöd av artikel 23, göra inskränkningar av rätten till

Prop. 2018/19:65

83

Prop. 2018/19:65 information också i fall då personuppgifterna samlas in från den enskilde själv.

84

Utöver nämnda reglering innehåller dataskyddsförordningen ytterligare en bestämmelse som kan få betydelse för kraven på informa- tionslämnande, nämligen artikel 11. Enligt denna ska den person- uppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen, om de ändamål för vilka personuppgifterna behandlas inte kräver identifiering.

Det kan i sammanhanget också noteras att dataskyddsförordningens krav på information är mer långtgående än motsvarande krav i 4 kap. brottsdatalagen. Skälen för att något undantag från informations- skyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar, eller i samband med larm, inte behövs i Kustbevakningens brottsdatalag är därför inte relevanta vid regleringen av personuppgiftsbehandling på dataskyddsförordningens område (prop. 2017/18:269 s. 103 f.).

Kan inskränkningen vid insamling genom bilder eller ljud behållas?

När personuppgifter samlas in genom bilder eller ljud anses de insamlade från den enskilde själv (propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 84–86 och prop. 2017/18:269 s. 103 f.). Detta bör gälla även när den personuppgifts- ansvarige inte befinner sig i den registrerades omedelbara närhet, exempelvis vid insamling från ett flygplan. Den enskildes rätt till information i sådana situationer ska därför bedömas enligt artikel 13 i dataskyddsförordningen.

För att inskränkningar ska kunna göras i nationell rätt krävs att förut- sättningarna för detta i artikel 23 är uppfyllda. Regeringen anser att den föreslagna regleringen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och att den även i övrigt måste anses utgöra en sådan inskränkning i syfte att säkerställa ett sådant viktigt mål av generellt allmänt intresse som regleras i artikel 23.1 e. De delar av Kustbevakningens verksamhet som omfattas av undantaget, exempelvis spaning med kustbevakningsflyg, bedrivs för sådana allmänna intressen. I den verk- samheten är det inte möjligt att lämna information när uppgifterna erhålls på det sätt som föreskrivs i artikel 13 i dataskyddsförordningen. Den aktuella inskränkningen är således en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa viktiga mål av generellt allmänt intresse.

En inskränkning med stöd av artikel 23 kräver, förutom ett godtagbart syfte enligt artikel 23.1, även att den nationella lagstiftningen lever upp till kraven i artikel 23.2 på att vissa specifika bestämmelser ska finnas, när så är relevant. I likhet med vad som anförs i promemorian bedömer regeringen att den föreslagna kustbevakningsdatalagen uppfyller dessa krav. Lagen innehåller de i sammanhanget relevanta bestämmelser som nämns i artikel 23.2, däribland bestämmelser om ändamålet med behandlingen och om vilken myndighet som är personuppgiftsansvarig. Den föreslagna begränsningens omfattning är också klart avgränsad och de bestämmelser i lagen som begränsar personuppgiftsbehandlingen på olika sätt måste anses utgöra tillräckliga

skyddsåtgärder. Den föreslagna bestämmelsen om bevarande och gallring Prop. 2018/19:65 (se nästa avsnitt) innebär vidare att kravet på en specifik bestämmelse om

lagringstid måste anses uppfyllt.

Regeringen delar därför bedömningen i promemorian att regleringen kan ses som en inskränkning i enlighet med artikel 23. Den föreslagna inskränkningen ligger också väl i linje med regleringen i artikel 11, som ger ett självständigt stöd för att information till den enskilde kan underlåtas i situationer då denne inte är direkt identifierad.

Det faktum att insamlingen sker genom bilder eller ljud är dock i sig inte tillräckligt för att den ska vara tillåten. Det finns nämligen flera tänkbara situationer då insamling genom bilder eller ljud sker på ett sådant sätt att information kan lämnas direkt till den registrerade, exempelvis om muntlig kommunikation med enskilda spelas in och bevaras. Regeringen anser därför att det bör framgå direkt av den föreslagna bestämmelsen att inskränkningen i rätten till information endast gäller såvida behandlingen i övrigt inte innebär en direkt identifiering av en person.

Kan inskränkningen vid insamling i samband med larm behållas?

Syftet med inskränkningen av rätten till information när någon larmar Kustbevakningen är framför allt att de åtgärder som behöver vidtas med anledning av larmet inte ska försenas på ett sätt som kan äventyra deras effektivitet. Av bestämmelsen framgår att en prövning ska göras från fall till fall; det är alltså endast de fall där det faktiskt inte finns tid att lämna information som träffas. Inskränkningen måste därför anses uppfylla kraven i artikel 23.1 på nödvändighet och proportionalitet. Eftersom den dessutom syftar till att säkerställa allmän säkerhet eller något annat viktigt mål av generellt allmänt intresse enligt artikel 23.1 c och e, exempelvis vid en miljöräddningsinsats, eller skyddet av den registrerades eller andras rättigheter och friheter enligt artikel 23.1 i, exempelvis vid en sjöräddningsinsats, uppfyller den därför kraven i artikel 23.1. Vidare är begränsningens omfattning klart avgränsad och som redan konstaterats uppfyller den nya kustbevakningsdatalagen även i övrigt kraven i artikel

23.2.Den nu gällande inskränkningen av den enskildes rätt till information är därför tillåten enligt artikel 23 och kan föras in även i den nya kustbevakningsdatalagen.

7.4.7

Bevarande och gallring

 

 

 

Regeringens förslag: Bestämmelser om gallring, bevarande och digital

 

arkivering som rör personuppgiftsbehandling på dataskyddsförordningens

 

område överförs från 2012 års kustbevakningsdatalag till den nya

 

kustbevakningsdatalagen. Formuleringen om bevarande för historiska,

 

statistiska eller vetenskapliga ändamål ändras, i enlighet med

 

dataskyddsförordningens terminologi, till att avse arkivändamål av allmänt

 

intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

 

ändamål.

 

 

 

 

Promemorians förslag överensstämmer med regeringens.

 

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden ifråga-

 

sätter bedömningen att det inte är motiverat att ändra bestämmelserna om

85

Prop. 2018/19:65 bevarande och gallring till att i stället avse längsta tid för behandling av personuppgifter, i enlighet med regleringen i Kustbevakningens brottsdatalag, eftersom regleringen främst syftar till att skydda den enskildes integritet och inte utgör regler för arkivering. Övriga remissinstanser yttrar sig inte över promemorians förslag.

Skälen för regeringens förslag: I 2012 års kustbevakningsdatalag finns regleringen om bevarande och gallring av personuppgifter som behandlas inom dataskyddsförordningens tillämpningsområde i 5 kap. 7 §. Av bestämmelsen följer att personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelsen innehåller också en upplysning om att regeringen meddelar föreskrifter om digital arkivering.

Att personuppgifter inte får bevaras längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas följer redan av artikel 5.1 e i dataskyddsförordningen. En bestämmelse om gallring innebär emellertid inte bara att uppgiften inte längre får behandlas i förordningens mening, utan även att arkivrättslig gallring ska ske. Bestämmelsen i 5 kap. 7 § 2012 års kustbevakningsdatalag innebär alltså en precisering i förhållande till artikel 5.1 e. Bestämmelsen, även vad gäller upplysningarna om föreskriftsrätt (se avsnitt 5.4.8), är därför förenlig med dataskydds- förordningen. och behöver inte ändras som en följd av införandet av denna. En justering bör dock göras av uttryckssättet i den del som avser föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I dataskyddsförordningen används i stället i olika sammanhang, exempelvis i artikel 5.1 b och e, uttrycket arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Regeringen bedömer inte att justeringen innebär någon skillnad i sak.

Som Säkerhets- och integritetsskyddsnämnden påtalat och som nämnts i avsnitt 5.4.7 används begreppet gallring inte längre i vissa registerförfattningar på brottsdatalagens område, bl.a. Kustbevakningens brottsdatalag, eftersom bedömningen gjorts att begreppet inte bör användas i bestämmelser som avser dataskydd. Motsvarande ändringar har emellertid inte föreslagits i någon av de registerförfattningar som reglerar personuppgiftsbehandling endast på dataskyddsförordningens område. Eftersom den nya kustbevakningsdatalagen endast kommer att reglera sådan personuppgiftsbehandling, skulle en ändring av gallringsbestämm- elsen i enlighet med vad Säkerhets- och integritetsskyddsnämnden föreslagit innebära ett avsteg från den systematik som för närvarande gäller på dataskyddsförordningens område. Regeringen anser därför att det, i vart fall inom ramen för detta lagstiftningsärende, inte bör göras någon sådan ändring av bestämmelsen.

86

7.4.8

Bestämmelser som inte behövs i den nya

Prop. 2018/19:65

 

kustbevakningsdatalagen

 

Regeringens bedömning: Den nya kustbevakningsdatalagen bör, till skillnad från 2012 års kustbevakningsdatalag, inte innehålla några bestämmelser om personuppgiftsombud, om markering av vilken verksamhet som behandlingen rör eller om tillämpliga regler när en misstanke om brott eller brottslig verksamhet uppstår.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I 2012 års kustbevakningsdatalag finns ytterligare några bestämmelser av betydelse för behandlingen av personuppgifter inom dataskyddförordningens tillämpningsområde. Som framgår av avsnitt 5.5 kan bestämmelsen i 2 kap. 5 § om att Kustbevakningen ska utse personuppgiftsombud emellertid inte föras in i den nya kustbevakningsdatalagen. Inte heller bör den nya lagen innehålla någon motsvarighet till bestämmelsen i 2 kap. 10 §, av vilken det framgår att personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet. Bestämmelsen måste nämligen, som anges i promemorian, ses mot bakgrund av att personuppgiftsbehandlingen i hela den operativa verksamheten i dag regleras i samma lag och något motsvarande behov kan inte anses finnas när frågorna nu kommer att regleras i två separata författningar. Detsamma gäller slutligen bestämmelsen i 5 kap. 3 § 2012 års kustbevakningsdatalag, som upplyser om att regleringen i 3 och 4 kap. tillämpas om det uppstår misstanke om brott eller brottslig verksamhet när Kustbevakningen behandlar personuppgifter i annan operativ verksamhet än den brottsbekämpande.

8Lagen om belastningsregister

8.1

Kort om författningen

 

Författningens innehåll

 

I lagen om belastningsregister föreskrivs en skyldighet för Polismyndig-

 

heten att med hjälp av automatiserad behandling föra ett belastnings-

 

register som myndigheten är personuppgiftsansvarig för (1 §).

 

I lagens inledning finns bestämmelser om belastningsregistrets ändamål

 

(2 §) och om förhållandet till personuppgiftslagen (1 a §). Lagen innehåller

 

till största delen bestämmelser om belastningsregistrets innehåll (3–5 §§),

 

utlämnande av uppgifter ur registret (6–15 §§) och gallring (16–18 §§).

 

Regeringen har möjlighet att meddela närmare föreskrifter och

 

förordningen (1999:1134) om belastningsregister innehåller också mer

 

detaljerade bestämmelser på dessa områden.

 

När det gäller rättigheter för den registrerade innehåller lagen dels

 

bestämmelser om rätt till utdrag från registret till den registrerade själv,

87

Prop. 2018/19:65 dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (9 § respektive 20 §).

Utbyte inom EU av uppgifter ur medlemsstaternas kriminalregister

Genom rådets rambeslut 2009/315/RIF om medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll (här kallat rambeslutet om kriminalregister eller rambeslutet) skapades förbättrade möjligheter för medlemsstaterna att rutinmässigt utbyta uppgifter ur de nationella kriminalregistren. Rambeslutet innebär en skyldighet att fortlöpande informera det land där en dömd person är medborgare om domar som meddelas i en annan medlemsstat. Sådana uppgifter ska registreras i medborgarstaten. På detta sätt ska kriminalregistret i den stat där en person är medborgare täcka in uppgifter från alla EU-länder.

Rambeslutet om kriminalregister innehåller också bestämmelser om utbyte av uppgifter efter särskild begäran från en medlemsstat. Bestämmelserna innebär en förenkling, genom att varje medlemsstat har utsett en centralmyndighet som administrerar uppgiftslämnandet. Rambeslutet gör skillnad på om begäran sker i syfte att använda uppgifterna i ett brottmålsförfarande eller om det sker för andra ändamål. Medlemsstaterna har möjlighet att begränsa åtkomsten till uppgifter i andra syften än brottmålsförfaranden. Vid genomförandet ansåg regeringen att det var rimligt att ge andra medlemsstaters myndigheter, vars verksamhet med exempelvis tillståndsprövning motsvarar svenska myndigheters, tillgång till uppgifter ur belastningsregistret (propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater, prop. 2011/12:163, s. 42 f.).

Rambeslutet har genomförts i svensk rätt i huvudsak genom tillägg i lagen och förordningen om belastningsregister.

Tillämpliga sekretessbestämmelser

För uppgifter i belastningsregistret råder absolut sekretess. Uppgifter får inte lämnas ut utom i de fall som regleras i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar (35 kap. 3 § offentlighets- och sekretesslagen [2009:400]). Den absoluta sekretessen gäller dock bara i verksamhet som avser förande av eller uttag ur registret. När uppgifter tas ut av en myndighet för att användas i den egna verksamheten gäller i stället i förekommande fall sekretess enligt de bestämmelser som gäller för denna verksamhet. Enskilda som fått uppgifter ur belastningsregistret avseende någon annan än dem själva är i stället bundna av tystnadsplikt (19 §).

8.2Är brottsdatalagen eller dataskyddsförordningen tillämplig?

Regeringens bedömning: Förandet av belastningsregistret och be- handling av personuppgifter för utlämnande ur registret i brotts- bekämpande syfte omfattas av brottsdatalagen.

88

När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter ur belastningsregistret som underlag för olika slag av lämplighets- och tillståndsprövningar, tillämpas dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten menar att myndighetens

hantering av belastningsregistret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde, annars kommer regleringens komplexitet att medföra svårigheter som inte motsvaras av någon integritetsvinst för de registrerade. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Både brottsdatalagen och dataskyddsförordningen kan vara tillämpliga

Belastningsregistret är ett helt automatiserat register som innehåller personuppgifter. Förandet av belastningsregistret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.

Belastningsregistret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Registret innehåller framförallt uppgifter om begångna brott och påföljderna för dessa. Härutöver innehåller belastningsregistret även uppgifter om kontakt- förbud, förbud enligt 3 kap. 5 § lagen (2015:642) om europeisk skyddsorder och tillträdesförbud. Personuppgiftens karaktär eller innehåll är emellertid inte avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig. Utöver detta måste också syftet med behandlingen vara något av de som anges i 1 kap. 2 § brottsdatalagen, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Av bestämmelsen i 2 § lagen om belastningsregister framgår att belastningsregistret har flera syften. Vissa av dessa avser uttryckligen brottsbekämpning och lagföring av brott (2 § första stycket 1–3), medan det är mer ovisst hur man ska se på syftet att tillhandahålla belast- ningsuppgifter för tillstånds- och lämplighetsprövningar m.m. (2 § första stycket 4). Det går därför inte utan vidare att säga att belastningsregistrets samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde eller av dataskyddsförordningen. Regeringen anser att det, för den fortsatta analysen av vilken av författningarna som är tillämplig, är lämpligt att dela upp den personuppgiftsbehandling som sker enligt lagen om belastningsregister i två delar. Den ena avser förandet av registret, dvs. den behandling som behövs för att lägga in personuppgifter i registret och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registret, som alltså görs för att informationen i registret behövs antingen i behöriga myndigheters brottsbekämpande verksamhet,

Prop. 2018/19:65

89

Prop. 2018/19:65 eller i annan verksamhet och då i huvudsak för olika tillstånds- och lämplighetsprövningar som görs både av Polismyndigheten och av andra myndigheter.

Det är av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.

Regeringens bedömning är, liksom den i promemorian, att förandet av registret primärt måste anses ske för de syften som anges i 2 § första stycket 1–3 lagen om belastningsregister. Dessa syften är sådana som omfattas av brottsdatalagen, nämligen att bekämpa och lagföra brott och verkställa straffrättsliga påföljder. Att utlämnande av uppgifter ur registret även kan komma att ske för andra ändamål, såsom olika lämplighetsbedömningar, kan enligt regeringens mening inte påverka frågan om registrets grundläggande syfte. Den behandling av person- uppgifter det innebär att samla in uppgifterna och bevara dem i registret omfattas alltså av brottsdatalagen. När uppgifter sedan söks fram och i förekommande fall utlämnas för något av de ändamål som anges i 2 § första stycket 1–3 är brottsdatalagen också tillämplig.

När det sedan gäller hur man ska se på behandling för utlämnande ur registret när det gäller att ge information om brottslig belastning som underlag för olika tillstånds- och lämplighetsprövningar är det visserligen riktigt att det, som Polismyndigheten påtalat, skulle underlätta för Polis- myndigheten som personuppgiftsansvarig om även sådan behandling kunde omfattas av brottsdatalagen. Regeringen kan emellertid konstatera att utrymmet för sådana hänsyn är begränsat, eftersom brottsdatalagen inte kan ges ett vidare tillämpningsområde än dataskyddsdirektivet. Regeringen konstaterar vidare att den aktuella frågan, som en av många gränsdragningsfrågor, har behandlats av Utredningen om 2016 års dataskyddsdirektiv i delbetänkandet Brottsdatalag (SOU 2017:29 s. 215 f.). Där görs bedömningen att behandling av personuppgifter för sådana

ändamål ligger utanför den föreslagna brottsdatalagens tillämpningsområde. I propositionen Brottsdatalag (prop. 2017/18:232 s.112) har regeringen förklarat att den delar de bedömningar som Utredningen om 2016 års dataskyddsdirektiv har gjort när det gäller tillvägagångssätt i gränsdragningsfrågor samt för vägledning hänvisat till de bedömningar som utredningen gjort rörande enskilda verksamheter inom myndigheterna. Något bärande skäl för att i det här ärendet göra någon annan bedömning av den aktuella gränsdragningsfrågan finns enligt regeringen inte. Den behandling av personuppgifter som sker för utlämnande ur belastningsregistret i syfte att ge underlag för olika tillstånds- och lämplighetsprövningar omfattas alltså inte av brottsdatalagens tillämpningsområde, utan av dataskyddsförordningens.

Den närmare gränsdragningen mellan brottsdatalagen och dataskyddsförordningen

Som konstaterats är dels förandet av belastningsregistret, dels sökningar och i förekommande fall utlämnanden av uppgifter enligt 2 § första stycket

1–3 lagen om belastningsregister sådan behandling av personuppgifter

90

som sker för syften som omfattas av brottsdatalagens tillämpningsområde. Prop. 2018/19:65 Detta gäller oavsett om sökningar och utlämnanden sker genom

direktåtkomst eller inte. Motsvarande behandling enligt 2 § första stycket

4 avser däremot i flertalet fall utlämnanden vars syfte inte är brotts- bekämpning eller annat som omfattas av brottsdatalagen.

Utöver 2 § finns det, som redan nämnts, flera bestämmelser både i lagen och i förordningen om belastningsregister som i detalj reglerar framförallt frågor om utlämnanden enligt 2 § första stycket 4. Med ledning av författningstexten kan det i många av dessa fall avgöras om det är brottsdatalagen eller dataskyddförordningen som är tillämplig. I andra fall är regleringen generell på ett sätt som gör att en bedömning måste göras från fall till fall. I promemorian har gjorts en noggrann genomgång (Ds 2017:58 s. 158–161) av hur man bör se på nämnda bestämmelser, med utgångspunkt i det synsätt på dataskyddsdirektivets – och därmed brottsdatalagens – tillämpningsområde som Utredningen om 2016 års dataskyddsdirektiv redovisat och som regeringen i prop. 2017/18:232 i stort anslutit sig till. De ställningstaganden som gjorts i promemorian kan tjäna som vägledning vid bedömningen av gränsdragningsfrågor.

Utbyte av uppgifter ur medlemsstaternas kriminalregister

Som redogjorts för i avsnitt 8.1 utbyts uppgifter ur nationella kriminalregister inom EU i enlighet med rambeslutet om kriminalregister. I förhållande till det nya dataskyddsdirektivet är rambeslutet en sådan rättsakt som inte påverkas av direktivets ikraftträdande i enlighet med artikel 60 (prop. 2017/18:232 s. 91). Uppgifter utbyts med stöd av rambeslutet inte enbart för syften som omfattas av direktivets tillämpningsområde, utan även för tillstånds- och lämplighetsfrågor m.m. (12 a § i lagen om belastningsregister). Därmed kommer visst uppgifts- utbyte att omfattas av dataskyddsförordningens tillämpningsområde.

8.3Vilka ändringar bör göras som en följd av dataskyddsreformen?

8.3.1Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen

Regeringens bedömning: Bestämmelserna i 1, 2–7, 9, 11–18, 20 och 21 §§ lagen om belastningsregister avser personuppgiftsbehandling som omfattas av brottsdatalagen.

Bestämmelserna i 1, 6–8, 10, 11, 12 a, 15, 19–21 §§ lagen om belastningsregister avser behandling av personuppgifter som omfattas av dataskyddsförordningen.

Promemorians bedömning överensstämmer i huvudsak med reger- ingens. I promemorian har dock 1 och 15 §§ lagen om belastningsregister inte bedömts avse behandling av personuppgifter som omfattas av dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

91

Prop. 2018/19:65 Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att regleringen i brottsdatalagen blir tillämplig på förandet av belastningsregistret, men att dataskyddsförordningen ändå blir tillämplig på viss behandling i belastningsregistret beroende på att ändamålen med en del utlämnanden ur registret inte avser brottsbekämpning eller något annat av de ändamål som avses i artikel 2.2 d i dataskyddsförordningen. Som en följd av detta kommer vissa bestämmelser i lagen om belastningsregister – sådana som blir tillämpliga vid utlämnanden av uppgifter för olika ändamål – att reglera person- uppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.

Regeringen instämmer i den bedömning som gjorts i promemorian att bestämmelserna i 1, 2–7, 9, 11–18 och 20–21 §§ är sådana att de avser personuppgiftsbehandling som omfattas av brottsdatalagen och alltså måste vara förenliga med denna och dataskyddsdirektivet.

Regeringen instämmer även i den bedömning som gjorts i promemorian att bestämmelserna i 6–8, 10, 11, 12 a, 19 och 21 §§ är sådana att de avser personuppgiftsbehandling som omfattas av dataskyddsförordningen och alltså måste vara förenliga med denna.

Både utpekandet i 1 § andra meningen av Polismyndigheten som personuppgiftsansvarig och bestämmelsen i 15 § att Polismyndigheten ska pröva en begäran om att uppgifter ska lämnas ut avser, förutom behandling av uppgifter för ändamål som omfattas av brottsdalagen, även behandling för utlämnanden ur registret i sådana syften som omfattas av förordningen. Till skillnad från den bedömning som gjorts i promemorian anser regeringen därför att dessa bestämmelser även bör vara förenliga med dataskyddsförordningen.

8.3.2Skyldighet att föra belastningsregistret, personuppgiftsansvar samt registrets ändamål och innehåll

Regeringens förslag: Ändamålen med belastningsregistret ska anpassas till brottsdatalagens terminologi.

Regeringens bedömning: Bestämmelserna om skyldighet att föra belastningsregistret, om personuppgiftsansvar och om registrets innehåll i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Dataskydd.net motsätter sig att ändamålen med belastningsregistret anpassas till brottsdatalagen med hänvisning till att den föreslagna anpassningen inte är avsedd att innebära någon ändring i sak. Övriga remissinstanser yttrar sig inte över promemorians förslag och bedömning.

92

Skälen för regeringens förslag och bedömning

Bestämmelserna om skyldighet att föra belastningsregistret, om ändamålen med registret, om personuppgiftsansvar och om registrets innehåll är förenliga med dataskyddsreformen

I 1 § lagen om belastningsregister åläggs Polismyndigheten att föra ett belastningsregister och pekas ut som personuppgiftsansvarig för behandlingen av personuppgifter i registret. Åläggandet att föra registret innebär att Polismyndigheten getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemangen i avsnitt 5.4.2 och 6.3.2 är det vidare förenligt med både dataskyddsförordningen och dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig. Att det dessutom finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (15 §) får enligt regeringen ses som en precisering av vad som ingår i uppgiften att föra registret och i personuppgiftsansvaret. Varken 1 § eller 15 § behöver alltså ändras som en följd av regleringen i dataskyddsförordningen eller dataskyddsdirektivet.

I 2 § lagen om belastningsregister finns bestämmelser om ändamålen med förandet av belastningsregistret och i 3–5 §§ om vilka uppgifter som registret ska innehålla. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra ett belastningsregister, genomför kravet i artikel 8 i direktivet på att personuppgiftsbehandlingen ska ha rättslig grund.

Bestämmelserna om vad registret ska innehålla innebär dessutom en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i belastningsregistret, som ska tillämpas i stället för bestämmelserna i 2 kap. 11–12 §§ brottsdatalagen. Det följer av att exempelvis en uppgift om påföljd kan avslöja förhållanden kring den dömdes hälsa. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 10, förutom att behandlingen måste vara tillåten enligt nationell rätt, att den är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. Den utförliga författningsregleringen av belastningsregistret utgör i sig en skyddsåtgärd, liksom den stränga sekretess som gäller för uppgifter i registret. Det är absolut nödvändigt att behandla fullständiga uppgifter om alla dömda personer för att belastningsregistret ska fylla sitt syfte. Bestämmelserna i 2 § och 3–5 §§ är alltså förenliga med dataskyddsdirektivet.

Ändamålen med belastningsregistret bör anpassas till brottsdatalagens terminologi

De ändamål för vilka belastningsregistret förs regleras, som framgått, i 2

§lagen om belastningsregister. 2 § första stycket 1 avser ändamålen att förebygga, upptäcka och utreda brott, medan brottsdatalagens tillämpningsområde, såvitt nu är relevant, avser syftena att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott. Eftersom bestämmelserna i brottsdatalagen är tillämpliga på den personuppgifts- behandling som förandet av registret innebär, har i promemorian gjorts bedömningen att det framstår som en mer konsekvent och lättillämpad

Prop. 2018/19:65

93

Prop. 2018/19:65 ordning om den nämnda ändamålsbestämmelsen också ansluter till brottsdatalagens uttryckssätt.

I enlighet med vad som anges i promemorian och som Dataskydd.net påtalat innebär den föreslagna anpassningen inte någon egentlig ändring av ändamålsbestämmelsens omfattning, utan innebär just en språklig anpassning till brottsdatalagens uttryckssätt. Ett uttryckssätt som även används i andra författningar som Polismyndigheten har att tillämpa, exempelvis lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag). Regeringen delar med hänsyn till detta bedömningen i promemorian att den föreslagna ändringen i någon mån kan bidra till en, framför allt för Polismyndigheten, mer lättillämpad ordning samt att det inte finns några sakliga skäl emot den. Den föreslagna ändringen i 2 § första stycket 1 lagen om belastnings- register bör därför genomföras.

 

8.3.3

Förhållandet till andra bestämmelser om

 

 

personuppgiftsbehandling

 

 

 

Regeringens förslag: Hänvisningen till personuppgiftslagen ersätts

 

med en upplysning om att lagen om belastningsregister gäller utöver

 

brottsdatalagen. Vidare införs en bestämmelse som innebär att

 

sökförbudet i brottsdatalagen inte hindrar att uppgifter om brotts-

 

rubriceringar och om verkställighet av påföljd används vid sökning i

 

belastningsregistret.

 

En ny bestämmelse införs som anger att lagen om belastningsregister

 

kompletterar dataskyddsförordningen när det gäller behandling av

 

personuppgifter som inte omfattas av brottsdatalagen, samt att

 

dataskyddslagen och föreskrifter som har meddelats i anslutning till den

 

lagen också gäller för sådan behandling, om inte något annat följer av

 

lagen om belastningsregister eller föreskrifter som har meddelats i

 

anslutning till den lagen.

 

 

 

Promemorians förslag överensstämmer i huvudsak med regeringens. I

 

förslaget till ny 1 b § anges inte att även föreskrifter som har meddelats i

 

anslutning till dataskyddslagen gäller för behandlingen och även i övrigt

 

har förslaget i promemorian till ny 1 b § en något annorlunda utformning.

 

Bestämmelsen om undantag från brottsdatalagens sökförbud har också en

 

annan placering i promemorian.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

förslag.

 

 

Skälen för regeringens förslag: Som framgått ovan kommer

 

bestämmelserna i lagen om belastningsregister att tillämpas på person-

 

uppgiftsbehandling både inom brottsdatalagens och dataskydds-

 

förordningens tillämpningsområde. I det förra fallet kommer lagen alltså

 

att gälla utöver brottsdatalagen och i det senare kommer bestämmelserna i

 

stället att komplettera dataskyddsförordningen samtidigt som även

 

dataskyddslagen och föreskrifter som har meddelats i anslutning till den

 

lagen gäller om inte annat följer av lagen eller förordningen om

 

belastningsregister. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1

94

bör därför

införas bestämmelser som klargör detta, samtidigt som

 

 

hänvisningen till den upphävda personuppgiftslagen måste utgå. För att så Prop. 2018/19:65 långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet bör bestämmelsen i 1 b § ges en något annorlunda

utformning än den som föreslagits i promemorian.

I föregående avsnitt konstateras att det är förenligt med dataskydds- direktivet att s.k. känsliga personuppgifter behandlas i belastnings- registret, i den utsträckning sådan behandling följer av bestämmelserna om vad registret ska innehålla. Det följer emellertid av bestämmelsen i 2 kap.

14 § brottsdatalagen att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Som konstateras i promemorian finns behov för de, i brottsdatalagens mening, behöriga myndigheterna att kunna göra vissa sådana sökningar i belastningsregistret. Regeringen delar därför bedömningen i promemorian att det i lagen om belastningsregister bör anges att sökförbudet i 2 kap. 14

§brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar och om verkställighet av påföljd används vid sökning i belastningsregistret.

8.3.4Utlämnanden av uppgifter ur belastningsregistret för användning vid svenska myndigheter

Regeringens bedömning: Bestämmelserna om utlämnande till svenska myndigheter i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Kraven på nödvändighet och proportionalitet i brottsdatalagen ska tillämpas vid behandling för uttag ur belastningsregistret åt Polismyndigheten i andra syften än brottsbekämpande.

Promemorians bedömning överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att det bör införas ett

undantag från kravet på nödvändighet och proportionalitet i 2 kap. 22 § brottsdatalagen när Polismyndigheten behandlar personuppgifter som ska användas av den egna myndigheten i syften som faller utanför brottsdatalagens tillämpningsområde. I annat fall menar myndigheten att det uppstår en omotiverad skillnad mellan Polismyndighetens egen användning av belastningsregistret och utlämnande till andra myndigheter. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Bestämmelserna om när svenska myndigheter har rätt att få ut uppgifter ur belastningsregistret är förenliga med dataskyddsreformen

I 6 § lagen om belastningsregister finns de grundläggande bestämmelserna om svenska myndigheters möjligheter att få tillgång till uppgifter i belastningsregistret samt ett bemyndigande för regeringen att meddela föreskrifter om att en svensk myndighet får ha direktåtkomst till registret. Som framgått ovan kommer viss behandling av personuppgifter för utlämnanden med stöd av denna bestämmelse att omfattas av det nya dataskyddsdirektivets tillämpningsområde och annan av dataskydds- förordningens.

95

Prop. 2018/19:65 Regeringen delar bedömningen i promemorian att det måste anses förenligt med dataskyddsdirektivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske, även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften. Sådan vidarebehandling är nämligen tillåten enligt artikel 9 i direktivet om den är tillåten enligt nationell rätt eller unionsrätten. Som framgår av avsnitt

6.3.4är även en särskild reglering av direktåtkomst förenlig med direktivet.

Regeringen gör vidare bedömningen att Polismyndighetens behandling av personuppgifter i belastningsregistret för utlämnande till andra myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde är nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse. Förpliktelsen följer direkt av antingen lagen eller förordningen om belastningsregister. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskydds- förordningen. Regeringen delar därför bedömningen i promemorian att bestämmelsen i 6 § lagen om belastningsregister även är förenlig med dataskyddsförordningen.

Bestämmelsen i 8 § lagen om belastningsregister, som endast reglerar personuppgiftsbehandling som omfattas av dataskyddsförordningen, möjliggör utlämnande för vissa statistiska ändamål. Bestämmelsen är ett uttryck för finalitetsprincipen, vilken gäller redan enligt artikel 5.1 b i dataskyddsförordningen. Förutom att möjliggöra behandling av personuppgifter fyller bestämmelsen en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17).

Bestämmelsen om proportionalitetsprövning är förenlig med dataskyddsreformen

I 7 § lagen om belastningsregister finns en bestämmelse som berör svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att myndigheten får begära att få uppgifter ur registret endast om skälet för att få ut uppgifterna uppväger den olägenhet detta innebär för den enskilde. Bestämmelsen riktar sig till såväl de brottsbekämpande myndigheterna som till andra myndigheter.

Bestämmelsen måste anses vara en precisering av kravet på korrekthet i

2 kap. 7 § brottsdatalagen respektive artikel 5.1 i dataskyddsförordningen. Något hinder mot att en registerförfattning innehåller sådan precisering av regleringen i brottsdatalagen finns inte. Eftersom bestämmelsen bidrar till att göra dataskyddsregleringen mer begriplig kan den inte heller, mot bakgrund av skäl 8 i dataskyddsförordningen, anses utgöra ett otillåtet införlivande av delar av förordningen. Bestämmelsen i 7 § är således förenlig med dataskyddsreformen.

96

Behandling för utlämnande åt andra myndigheter än Polismyndigheten

På förandet av belastningsregistret tillämpas regleringen i brottsdatalagen. I samband med behandling av personuppgifter för utlämnande ur belastningsregistret blir brottsdatalagens bestämmelser om behandling av personuppgifter både för nya ändamål inom lagens tillämpningsområde och för ändamål utanför lagens tillämpningsområde därför av intresse.

Av 2 kap. 4 § brottsdatalagen framgår bl.a. att personuppgifter får be- handlas för ett nytt ändamål inom lagens tillämpningsområde endast om det säkerställts att det är nödvändigt och proportionerligt att uppgifterna behandlas för det nya ändamålet. På samma vis framgår av 2 kap. 22 § brottsdatalagen att personuppgifter får behandlas för ett ändamål utanför lagens tillämpningsområde endast om det säkerställts att det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.

Enligt båda bestämmelserna ska någon prövning av nödvändighet och proportionalitet emellertid inte göras i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning. Regleringen i 6 § lagen om belastningsregister av Polismyndighetens utlämnande av uppgifter ur belastningsregistret till andra svenska myndigheter, både brotts- bekämpande sådana och andra, är utformad som en sådan uppgifts- skyldighet (uppgifterna ska lämnas ut om de begärs). Vid utlämnanden till andra myndigheter blir det därför inte aktuellt för Polismyndigheten att göra någon prövning, varken enligt 2 kap. 4 § eller 22 § brottsdatalagen.

Behandling av personuppgifter för uttag ur belastningsregistret åt Polismyndigheten för användning i brottsbekämpande syften

Polismyndighetens egen användning av uppgifter ur belastningsregistret för brottsbekämpande syften regleras inte på annat sätt i lagen om belastningsregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Av denna bestämmelse följer, som framgått, att när uppgifter tas in i belastningsregistret så sker detta för flera ändamål. Användning av uppgifter i registret görs däremot normalt sett endast för ett specifikt ändamål, som i de flesta fall kan inordnas under något av de mer allmänt hållna ändamålen i 2 §. Frågan blir då om Polismyndighetens användning av uppgifter i registret för brottsbekämpande syften ska anses ske för ett nytt ändamål i enlighet med 2 kap. 4 § brottsdatalagen.

Regeringen delar bedömningen i promemorian att så inte bör vara fallet. I propositionen Brottsdatalag har konstaterats att insamling av person- uppgifter kan ske för flera parallella ändamål (prop. 2017/18:232 s. 120). Av detta följer enligt regeringen att en senare behandling för något av de ursprungliga ändamålen inte kan betraktas som en behandling för ett nytt ändamål. Eftersom Polismyndighetens egen användning av uppgifter ur belastningsregistret för brottsbekämpande syften således inte kan anses ske för ett nytt ändamål, blir det inte aktuellt med någon prövning enligt 2 kap. 4 § brottsdatalagen inför behandling av uppgifter för sådana uttag.

Behandling för uttag åt Polismyndigheten för användning i syften som inte är brottsbekämpande

Inte heller Polismyndighetens egen användning av uppgifter ur belastningsregistret för andra syften än brottsbekämpande regleras på annat sätt i lagen om belastningsregister än genom att sådan användning

Prop. 2018/19:65

97

Prop. 2018/19:65 omfattas av registrets ändamål i 2 §. Någon uppgiftsskyldighet föreskrivs alltså inte och kravet i 2 kap. 22 § brottsdatalagen på nödvändighet och proportionalitet blir därmed tillämpligt. Polismyndigheten måste alltså, innan den behandlar personuppgifter i belastningsregistret för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, göra en prövning av om det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.

Polismyndigheten menar att detta innebär en omotiverad skillnad mellan Polismyndighetens egen användning av belastningsregistret och ut- lämnande till andra myndigheter. Som framgått är även andra myndigheter som begär uppgifter ur belastningsregistret emellertid, i enlighet med 7 § lagen om belastningsregister, skyldiga att göra en proportionalitets- prövning innan uppgifter begärs ut. Att Polismyndigheten i vissa fall måste göra en prövning enligt 2 kap. 22 § brottsdatalagen innan myndigheten använder uppgifter ur belastningsregistret i sin verksamhet innebär alltså inte i praktiken att högre krav ställs för sådan behandling än för behandling vid utlämnanden åt andra myndigheter. Däremot innebär det att högre krav ställs för Polismyndighetens användning utanför brottsdatalagens tillämpningsområde än för myndighetens användning i brottsbekämpande syfte. Regeringen delar emellertid bedömningen i promemorian att en tillämpning av 2 kap. 22 § brottsdatalagen inte kan förutsättas förhindra någon användning av uppgifter ur belastningsregistret i Polismyndighetens verksamhet som i dag är laglig. I de allra flesta fall bör en prövning i enlighet med bestämmelsen alltså utfalla så att uppgifter kan behandlas på samma sätt som i dag, eftersom det får anses både nödvändigt och proportionerligt (se även prop. 2017/18:232 s. 137). Mot denna bakgrund gör regeringen bedömningen att det inte finns skäl att införa någon sådan bestämmelse om uppgiftsskyldighet som skulle medföra att Polismyndigheten, innan den behandlar personuppgifter för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, inte behöver göra någon prövning enligt 2 kap. 22 § brottsdata- lagen.

8.3.5Enskildas rätt till utdrag ur belastningsregistret för egen användning

Regeringens förslag: Det ska av bestämmelsen om enskildas rätt till utdrag ur belastningsregistret i lagen om belastningsregister framgå att den enskildes rätt till utdrag även omfattar viss övrig information som anges i brottsdatalagen.

Kravet på ett egenhändigt undertecknande av en begäran om utdrag ur belastningsregistret ersätts med att Polismyndigheten ska säkerställa att begäran görs av en behörig person.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att den enskildes rätt att på begäran få information om behandling av personuppgifter i belastningsregistret, utöver be- gränsade utdrag för specifika syften, helt ska regleras genom bestämm- elsen i 4 kap. 3 § brottsdatalagen.

98

Remissinstanserna: Riksdagens ombudsmän påtalar att det gäller absolut sekretess för uppgifter om enskilds personliga förhållanden i verksamhet som avser förande av eller uttag ur belastningsregistret, vilket kan innebära att bestämmelsen i 4 kap. 3 § brottsdatalagen inte medför någon rätt att på begäran få information om behandling av personuppgifter i belastningsregistret. Förvaltningsrätten i Stockholm anser att det i 9 § lagen om belastningsregister bör anges uttryckligen vad som står i 4 kap. 3 § brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Dataskydd.net menar att den föreslagna bestämmelsen begränsar privatpersoners rätt till information alltför mycket och att regleringen i stället bör ta sin utgångspunkt i den enskildes rätt till information enligt dataskyddsförordningen.

Skälen för regeringens förslag

Bestämmelsen om enskildas rätt till uppgifter ur belastningsregistret om sig själva är inte förenlig med dataskyddsdirektivet och brottsdatalagen

En enskild har enligt 9 § första stycket lagen om belastningsregister rätt att på begäran få ta del av samtliga uppgifter ur belastningsregistret om sig själv. För vissa angivna syften kan en enskild också få ett begränsat utdrag (9 § andra stycket).

Som redogjorts för i avsnitt 6.5 har dataskyddsdirektivets bestämmelser om den registrerades rättigheter när det gäller tillgång till personuppgifter och information om behandlingen genomförts i 4 kap. 3 § brottsdatalagen. Utöver uppgifter om vilka personuppgifter som behandlas, ska den enskilde få skriftlig information om varifrån uppgifterna kommer, den rättsliga grunden för behandlingen, ändamålen med behandlingen, mottagare eller kategorier av mottagare av personuppgifterna, hur länge personuppgifterna får behandlas, rätten att begära rättelse, radering eller begränsning av behandlingen samt uppgifter om möjligheten att lämna in klagomål till tillsynsmyndigheten.

Möjligheten för den enskilde att begära att få del av uppgifter ur belastningsregistret om sig själv enligt 9 § lagen om belastningsregister uppfyller alltså bara till viss del direktivets informationskrav, eftersom den endast ger den registrerade tillgång till vilka uppgifter om honom eller henne som behandlas i registret. I promemorian har gjorts bedömningen att bestämmelsen i 9 § om information till den enskilde är en sådan uttömmande reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för bestämmelsen i 4 kap. 3 § brottsdatalagen (se även SOU 2017:29 s. 384). Regeringen delar denna bedömning.

Eftersom ett utdrag enligt 9 § lagen om belastningsregister alltså inte i alla delar uppfyller dataskyddsdirektivets krav på information (dvs. motsvarande 4 kap. 3 § brottsdatalagen) skulle 9 § lagen om belastnings- register i den nuvarande lydelsen innebära en inskränkning av den enskildes rättigheter. Av 4 kap. 5 § brottsdatalagen framgår att en sådan inskränkning endast får göras för att tillgodose vissa i bestämmelsen uppräknade syften. Som konstateras i promemorian är emellertid kravet på vilken information som ska lämnas sådant att det rör uppgifter som i princip kan utläsas redan av innehållet i lagen och förordningen om belastningsregister samt brottsdatalagen. Att inskränka rätten till sådan information kan inte tillgodose något av de i 4 kap. 5 § brottsdatalagen

Prop. 2018/19:65

99

Prop. 2018/19:65 uppräknade syftena. 9 § belastningsregistret i dess nuvarande utformning innebär alltså en otillåten inskränkning av den registrerades rätt till information enligt dataskyddsdirektivet och brottsdatalagen.

Enskildas rätt till utdrag bör även i fortsättningen regleras i lagen om belastningsregister

För att dataskyddsdirektivet ska vara korrekt genomfört måste den enskilde tillförsäkras rätt inte bara till information om vilka uppgifter om honom eller henne som behandlas i belastningsregistret, utan också till den övriga information om behandlingen som anges i 4 kap. 3 § brotts- datalagen. I promemorian föreslås att detta sker genom att bestämmelsen i 9 § första stycket lagen om belastningsregister ersätts med en upplysning om att en enskilds rätt att på begäran få information om behandling av personuppgifter följer av 4 kap. 3 § brottsdatalagen.

Som Riksdagens ombudsmän påtalat råder emellertid enligt 35 kap. 3 § offentlighets- och sekretesslagen (2009:400) s.k. absolut sekretess för uppgifter om enskilds personliga förhållanden i verksamhet som avser förande av eller uttag ur belastningsregistret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar. Utan någon hänvisning till brottsdatalagen i 35 kap. 3 § offentlighets- och sekretesslagen kan bestämmelsen i 4 kap. 3 § brottsdatalagen därför inte medföra någon rätt till information om vilka uppgifter som behandlas i belastningsregistret. Detta innebär att den enskildes rätt till utdrag ur belastningsregistret även i fortsättningen bör regleras i 9 § lagen om belastningsregister.

Ett alternativ som diskuteras i promemorian är att det görs ett tillägg till bestämmelsen i 9 § första stycket som anger att även information i enlighet med brottsdatalagen ska lämnas då den enskilde begär ett registerutdrag, dvs. sådan information utöver vilka uppgifter om den enskilde som behandlas i belastningsregistret som följer av 4 kap. 3 § brottsdatalagen. I promemorian har ansetts att detta skulle utgöra en dubbelreglering av den enskildes rätt till information som inte fyller någon funktion. Regeringen delar inte den uppfattningen. Med en uttrycklig reglering av den enskildes rätt till information enligt brottsdatalagen i samma paragraf som den befintliga rätten till utdrag ur belastningsregistret tydliggörs att regleringen om den enskildes rätt till information är uttömmande. För den enskilde är det också av värde att det tydligt framgår hur rätten till utdrag och till information enligt brottsdatalagen förhåller sig till varandra. Regeringen anser därför att en sådan lösning bör väljas.

En sådan bestämmelse skulle, som Dataskydd.net har föreslagit, även kunna innehålla rätt till ytterligare information. Detta skulle emellertid innebära ett avsteg från vad som i övrigt gäller på dataskyddsdirektivets område. Med hänsyn till intresset av enhetlighet på dataskyddsområdet anser regeringen därför inte att så bör ske.

Till skillnad från Förvaltningsrätten i Stockholm anser regeringen att det är tillräckligt att en hänvisning görs i 9 § första stycket till sådan skriftlig information som anges i 4 kap. 3 § första stycket 1–8 brottsdatalagen. Att uppgifter enligt 9 § första stycket endast lämnas avgiftsfritt en gång per år

överensstämmer med vad som enligt 4 kap. 12 § brottsdatalagen gäller för

100

information enligt 4 kap. 3 § den lagen; någon ändring i denna del behöver Prop. 2018/19:65 därför inte göras.

Slutligen kan konstateras att bestämmelsen i 9 § andra stycket lagen om belastningsregister, som ger den enskilde möjlighet att för vissa angivna syften få ett mer begränsat utdrag ur belastningsregistret, inte kan anses oförenlig med dataskyddsdirektivet.

Det bör inte längre krävas att en begäran om uppgifter ur belastnings- registret är egenhändigt undertecknad

En enskilds begäran om uppgifter ur belastningsregistret ska enligt 9 § femte stycket lagen om belastningsregister vara skriftlig och undertecknad av den sökande. Att begäran ska vara undertecknad innebär bl.a. att en sådan begäran inte kan göras elektroniskt. Samtidigt har regeringen gjort bedömningen att en enskilds begäran om uppgifter enligt 4 kap. 3 § brottsdatalagen bör kunna göras både på papper och elektroniskt, vilket också ligger i linje med avsikten i direktivet att underlätta för den registrerade att utöva sina rättigheter (prop. 2017/18:232 s. 254 f.).

Mot denna bakgrund saknas skäl att vidhålla kravet på att en begäran om uppgifter ur belastningsregistret måste vara undertecknad av den enskilde. I stället bör det, som föreslås i promemorian, ankomma på Polismyndigheten att säkerställa att begäran gjorts av en behörig person.

8.3.6Utlämnanden av uppgifter ur belastningsregistret för andra enskildas användning

Regeringens bedömning: Bestämmelserna om utlämnande till andra enskilda och om tystnadsplikt i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens bedömning: I 10 § lagen om belastnings-

 

register regleras möjligheten för enskilda att ta del av uppgifter ur

 

belastningsregistret om andra enskilda. Av bestämmelsen följer att sådan

 

rätt finns om uppgifterna behövs för att pröva en fråga om anställning eller

 

uppdrag i vissa verksamheter, vilka preciseras i förordningen om

 

belastningsregister. Dessutom har en enskild som kan styrka att hans eller

 

hennes rätt är beroende av uppgifter ur belastningsregistret om en annan

 

enskild rätt att ta del av sådana uppgifter, om regeringen medger att de får

 

lämnas ut.

 

Regeringen delar bedömningen i promemorian att Polismyndighetens

 

behandling av personuppgifter för sådana utlämnanden är nödvändig för

 

att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse (dvs. att

 

lämna ut uppgifterna). Förpliktelsen följer dessutom antingen av

 

författning, när uppgifterna behövs för att pröva en fråga om anställning

 

eller uppdrag, eller av beslut som har meddelats med stöd av lag, när

 

regeringen medgett att uppgifter får lämnas ut. I enlighet med 2 kap. 1 §

 

dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i

 

dataskyddsförordningen. Som framgått ovan måste bestämmelser om

101

 

Prop. 2018/19:65 utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.

Eftersom bestämmelsen innebär att uppgifter ur belastningsregistret lämnas ut till andra än myndigheter måste även dataskyddsförordningens särskilda reglering av behandling av personuppgifter som rör fällande domar i brottmål beaktas (artikel 10). Denna reglering tillsammans med bestämmelserna i 3 kap. 8–9 §§ dataskyddslagen innebär att möjligheterna för enskilda att behandla sådana personuppgifter är starkt begränsade. I enlighet med 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får sådan behandling emellertid ske dels om den är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, dels om behandlingen är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. Dessa situationer torde regelmässigt vara för handen i de fall då utlämnande sker med stöd av 10 § lagen om belastningsregister. Som anges i promemorian måste i sådana fall bestämmelsen i 19 § lagen om belastningsregister, om tystnadsplikt för den som med stöd av lagen fått del av uppgifter om någon annans personliga förhållanden, anses vara en sådan i nationell rätt fastställd skyddsåtgärd som föreskrivs i artikel 10.

Ett utlämnande till en enskild kan dessutom vara tillåtet även om den enskilde inte har möjlighet att vidarebehandla uppgifterna på sådant vis – dvs. på automatisk väg eller för behandling i ett register – att behandlingen faller under regleringen i dataskyddsförordningen. Typiskt sett torde inte heller finnas behov av sådan vidarebehandling när uppgifterna ska användas för sådana syften som anges i 10 § lagen om belastningsregister.

Mot bakgrund av det ovan anförda delar regeringen bedömningen i promemorian att bestämmelserna i 10 och 19 §§ lagen om belastnings- register är förenliga med dataskyddsförordningen och att det saknas skäl att ändra bestämmelserna.

8.3.7Utlämnanden av uppgifter ur belastningsregistret för användning vid utländska myndigheter

Regeringens bedömning: Bestämmelserna om utlämnande till ut- ländska myndigheter i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Utlämnande av uppgifter ur belastningsregistret till utländska myndigheter regleras i 11–14 §§ lagen om belastningsregister samt genom bestämmelser i förordningen om belastningsregister. Bestämmelserna i 11–12 a och 14 §§ innebär att uppgifter ur registret ska eller får lämnas till olika utländska myndigheter i vissa angivna situationer. Utlämnande kan exempelvis ske om utlämnandet följer av en internationell överenskommelse (11 §), om det begärs av utländsk domstol eller polis- eller åklagarmyndighet för vissa angivna syften (12 §), om överflyttning av verkställighet av påföljd har

102

skett (14 §) eller om begäran görs med stöd av en EU-rättsakt (11 och 12 a Prop. 2018/19:65 §§).

Regleringen avser utlämnanden av uppgifter både för användning i sådana syften som faller under dataskyddsdirektivets tillämpningsområde och för användning i sådana syften som faller under dataskyddsförordningens tillämpningsområde. Som framgått i avsnitt

8.3.4delar regeringen bedömningen i promemorian att det måste anses förenligt med direktivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske. Det gäller även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften.

I de fall uppgifter ur belastningsregistret ska lämnas kommer vidare Polismyndighetens behandling för utlämnande till utländska myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde, i enlighet med bedömningen i avsnitt 8.3.4, att vara nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse som följer direkt av lag eller förordning. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. Det är ett allmänt intresse att utlämnande av uppgifter ur belastningsregistret kan ske till utländska myndigheter i de situationer som regleras i 11–12 a och 14 §§ lagen om belastningsregister. Polis- myndighetens behandling av personuppgifter för utlämning i enlighet med dessa bestämmelser, både när uppgifterna ska lämnas till utländska myndigheter och när de får göra det, är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten även med stöd av artikel 6.1 e i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskydds- förordningen.

Regeringen delar således bedömningen i promemorian att bestämm- elserna i 11–12 a och 14 §§ lagen om belastningsregister inte behöver ändras med anledning av dataskyddsreformen. Detsamma gäller bestämm- elsen i 13 § om föreskriftsrätt, som inte reglerar personuppgiftsbehandling som sådan.

För fullständighetens skull bör i sammanhanget slutligen uppmärk- sammas att det vid överföring av uppgifter till tredjeland och internationella organisationer finns särskild reglering i både 8 kap. brottsdatalagen och kapitel V i dataskyddsförordningen, som också måste vara uppfylld för att överföring ska kunna ske.

8.3.8Gallring

Regeringens bedömning: Bestämmelserna om gallring i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

103

Prop. 2018/19:65 Skälen för regeringens bedömning: Som konstaterats i avsnitt 6.3.6 är bestämmelser om gallring som innehåller en tidpunkt för när uppgifter ska gallras, såsom 17 och 18 §§ lagen om belastningsregister, förenliga med dataskyddsdirektivet. Detsamma måste anses gälla bestämmelsen i 16 §, som reglerar gallring i de fall det registrerade avgörandet ändrats till den registrerades fördel samt då den registrerade avlidit. Bestämmelsen i 17 a § genomför delar av rambeslutet om kriminalregister och påverkas därmed inte av dataskyddsdirektivet (se avsnitt 8.2).

Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. Detta är emellertid inte en direkt följd av dataskyddsreformen, utan syftar till att förtydliga att det rör sig om dataskyddsregler och inte arkivrättsliga regler. Samtidigt har, som framgår i avsnitt 7.4.7, motsvarande inte föreslagits i samband med de ändringar i registerförfattningar på dataskyddsförordningens område som skett i anledning av dataskyddsreformen. Eftersom lagen om belastningsregister reglerar behandling av personuppgifter såväl på brottsdatalagens område som på dataskyddsförordningens kan det inte sägas strida mot systematiken i dataskyddsregleringen att behålla de nuvarande bestämmelserna om gallring. I promemorian föreslås inte heller några ändringar.

Eftersom det inte är nödvändigt som en följd av dataskyddsreformen bör det mot denna bakgrund inte i nuläget göras några ändringar i bestämmelserna om gallring.

8.3.9Rättelse och skadestånd

Regeringens förslag: Av lagen om belastningsregister ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den. I övrigt regleras inte frågor om rättelse och skadestånd i lagen om belastningsregister.

Promemorians förslag överensstämmer i sak med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm menar att det i 20 §

lagen om belastningsregister bör anges uttryckligen vad som står i 7 kap. 1 § brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Övriga remissinstanser yttrar sig inte över förslaget.

Skälen för regeringens förslag: I 20 § lagen om belastningsregister regleras frågor om skadestånd och rättelse. Bestämmelsen hänvisar i dag till reglerna i personuppgiftslagen.

Eftersom förandet av belastningsregistret omfattas av brottsdatalagen kommer det endast vara aktuellt att pröva frågor om rättelse enligt bestämmelserna i denna. Som konstaterats i avsnitt 6.5 kan bestämmelsen i 4 kap. 9 § brottsdatalagen om rättelse tillämpas även om den person- uppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning. 20 § lagen om belastningsregister bör därför inte längre innehålla någon reglering av frågor om rättelse.

104

För att regleringen ska vara förenlig med dataskyddsdirektivet måste det, i Prop. 2018/19:65 enlighet med bedömningen i avsnitt 6.6.4, däremot framgå av 20 § att

bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör detta, till skillnad från vad Förvaltningsrätten i Stockholm föreslagit, ske genom en hänvisning till

7 kap. 1 § brottsdatalagen. Förslaget motsvarar därigenom regleringen i de nya registerförfattningarna på brottsdatalagens område (prop. 2017/18:269).

Om skada orsakas i samband med behandling för utlämnande som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. 20 § lagen om belastningsregister bör därför inte omfatta frågor om skadestånd vid sådan behandling.

8.3.10Användningsbegränsningar

Regeringens bedömning: Bestämmelsen om användningsbegräns- ningar i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: När medlemsstaterna efter begäran utbyter uppgifter ur sina kriminalregister i enlighet med rambeslutet om kriminalregister har de rätt att ställa upp användningsbegränsningar. Uppgifterna får heller inte användas för andra ändamål än dem de begärdes för. Att svenska myndigheter har en skyldighet att respektera sådana användningsbegränsningar följer av 21 § lagen om belastningsregister. Eftersom det nya dataskyddsdirektivet inte är avsett att påverka tidigare EU-rättsakter om informationsutbyte på området för polis- och straffrättsligt samarbete påverkas inte den nämnda bestämmelsen av direktivets reglering i enlighet med artikel 60.

Av bestämmelsen i 21 § framgår vidare att den gäller oavsett vad som föreskrivits i annan författning. Bestämmelsen kommer därför att gälla i stället för 2 kap. 20 § brottsdatalagen, som annars inneburit att användningsbegränsningar i förhållande till andra medlemsstater inte får ställas upp om det inte finns någon sådan möjlighet i förhållande till svenska mottagare.

9Lagen om misstankeregister

I lagen om misstankeregister föreskrivs en skyldighet för Polismyndig- heten att med hjälp av automatiserad behandling föra ett register med

105

Prop. 2018/19:65 uppgifter om dem som är skäligen misstänkta för brott (misstanke- registret), vilket Polismyndigheten är personuppgiftsansvarig för (1 §).

I lagens inledning finns bestämmelser om misstankeregistrets ändamål (2 §) och om förhållandet till personuppgiftslagen (1 a §). Lagen innehåller till största delen bestämmelser om misstankeregistrets innehåll (3–4 §§), utlämnande av uppgifter ur registret (5–12 §§) och gallring (13§). Regeringen har möjlighet att meddela närmare föreskrifter och förordningen (1999:1135) om misstankeregister innehåller också mer detaljerade bestämmelser på dessa områden.

När det gäller rättigheter för den registrerade innehåller lagen dels be- stämmelser om rätt till utdrag från registret till den registrerade själv, dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (8 a § respektive 15 §).

Sekretess gäller för uppgifter i misstankeregistret om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs (35 kap. 1 § 6 offentlighets- och sekretesslagen [2009:400]). Uppgifterna i registret kan också vara sådana att bestämmelserna i 18 kap. offentlighets- och sekretesslagen blir tillämpliga.

9.1Är brottsdatalagen eller dataskyddsförordningen tillämplig?

Regeringens bedömning: Förandet av misstankeregistret och be- handling av personuppgifter för utlämnanden ur registret i brottsbekämpande syfte omfattas av brottsdatalagen.

När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter om misstankar som underlag för olika slag av lämplighets- och tillståndsprövningar, tillämpas dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten menar att myndighetens

hantering av misstankeregistret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde, annars kommer regleringens komplexitet att medföra svårigheter som inte motsvaras av någon integritetsvinst för de registrerade. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Både brottsdatalagen och dataskyddsförordningen kan vara tillämpliga

Misstankeregistret är ett helt automatiserat register som innehåller personuppgifter. Förandet av misstankeregistret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.

106

Misstankeregistret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Registret innehåller uppgifter om den som har fyllt 15 år och som är skäligen misstänkt för brott samt om den mot vilken utredning inletts i mål om förvandling av böter och om den som har begärts överlämnad eller utlämnad för brott. Personuppgiftens karaktär eller innehåll är emellertid inte avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig. Utöver detta måste också syftet med behandlingen vara något av de syften som anges i 1 kap. 2 § brottsdatalagen, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Av bestämmelsen i 2 § lagen om misstankeregister framgår att miss- tankeregistret har flera syften. Vissa av dessa avser uttryckligen brotts- bekämpning och lagföring av brott (2 § första stycket 1–2), medan det är mer ovisst hur man ska se på syftet att tillhandahålla uppgifter om misstankar för tillstånds- och lämplighetsprövningar m.m. (2 § första stycket 3). Det går därför inte utan vidare att säga att misstankeregistrets samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde eller av dataskyddsförordningen. Liksom vad gäller personuppgiftsbehandling i belastningsregistret anser regeringen att det, för den fortsatta analysen av vilken av författningarna som är tillämplig, är lämpligt att dela upp den personuppgiftsbehandling som sker enligt lagen om misstankeregister i två delar. Den ena avser förandet av registret, dvs. den behandling som behövs för att lägga in personuppgifter i registret och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registret, som alltså görs för att informationen i registret behövs antingen i behöriga myndigheters brottsbekämpande verksamhet, eller i annan verksamhet och då i huvudsak för olika tillstånds- och lämplighetsprövningar som görs både av Polismyndigheten och av andra myndigheter.

Som framgått av föregående kapitel är det av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.

Regeringens bedömning är, liksom den i promemorian, att förandet av registret primärt måste anses ske för de syften som anges i 2 § första stycket 1–2 lagen om misstankeregister. Dessa syften är sådana som omfattas av brottsdatalagen, nämligen att bekämpa och lagföra brott. Att utlämnande av uppgifter ur registret även kan komma att ske för andra ändamål, såsom olika lämplighetsbedömningar, kan enligt regeringens mening inte påverka frågan om registrets grundläggande syfte. På den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registret blir därför regleringen i brottsdatalagen tillämplig. När uppgifter sedan söks fram och i förekommande fall utlämnas för något av de ändamål som anges i 2 § första stycket 1–2 är brottsdatalagen också tillämplig.

Prop. 2018/19:65

107

Prop. 2018/19:65 När det sedan gäller hur man ska se på behandling för utlämnande ur registret i syfte att ge information om misstankar som underlag för olika tillstånds- och lämplighetsprövningar hänvisar regeringen till det resonemang som förts om motsvarande behandling för utlämnande ur belastningsregistret i avsnitt 8.2. Till skillnad från Polismyndigheten gör regeringen alltså bedömningen att den behandling av personuppgifter som sker för utlämnande ur misstankeregistret i syfte att ge underlag för olika tillstånds- och lämplighetsprövningar inte omfattas av brottsdatalagens tillämpningsområde, utan av dataskyddsförordningens.

Den närmare gränsdragningen mellan brottsdatalagen och dataskyddsförordningen

Som konstaterats är dels förandet av misstankeregistret, dels sökningar och i förekommande fall utlämnanden av uppgifter enligt 2 § första stycket 1–2 lagen om misstankeregister sådan behandling av personuppgifter som sker för syften som omfattas av brottsdatalagens tillämpningsområde. Detta gäller oavsett om sökningar och utlämnanden sker genom direktåtkomst eller inte. Motsvarande behandling enligt 2 § första stycket 3 avser däremot i flertalet fall utlämnanden vars syfte inte är brotts- bekämpning eller annat som omfattas av brottsdatalagen.

Utöver 2 § finns det, som redan nämnts, flera bestämmelser både i lagen och i förordningen om misstankeregister som i detalj reglerar framförallt frågor om utlämnanden enligt 2 § första stycket 3. Med ledning av författningstexten kan det i många av dessa fall avgöras om det är brottsdatalagen eller dataskyddförordningen som är tillämplig. I andra fall är regleringen generell på ett sätt som gör att en bedömning måste göras från fall till fall. I promemorian har gjorts en genomgång (Ds 2017:58 s. 198 f.) av hur man bör se på nämnda bestämmelser, med utgångspunkt i det synsätt på dataskyddsdirektivets – och därmed brottsdatalagens – tillämpningsområde som Utredningen om 2016 års dataskyddsdirektiv redovisat och som regeringen i prop. 2017/18:232 i stort anslutit sig till. De ställningstaganden som gjorts i promemorian kan tjäna som vägledning vid bedömningen av gränsdragningsfrågor.

9.2Vilka ändringar bör göras som en följd av dataskyddsreformen?

9.2.1Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen

Regeringens bedömning: Bestämmelserna i 1, 2–6, 8 a–13 och 15 §§ lagen om misstankeregister avser personuppgiftsbehandling som omfattas av brottsdatalagen.

Bestämmelserna i 1, 5–8, 9–12 och 14–15 §§ lagen om misstanke- register avser behandling av personuppgifter som omfattas av dataskyddsförordningen.

108

Promemorians bedömning överensstämmer i huvudsak med reger- Prop. 2018/19:65 ingens. I promemorian har dock 1, 12 och 15 §§ lagen om misstanke-

register inte bedömts avse behandling av personuppgifter som omfattas av dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.

Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att regleringen i brottsdatalagen blir tillämplig på förandet av misstankeregistret, men att dataskyddsförordningen ändå blir tillämplig på viss behandling i misstankeregistret beroende på att ändamålen med en del utlämnanden ur registret inte avser brottsbekämpning eller något annat av de ändamål som avses i artikel 2.2 d i dataskyddsförordningen. Som en följd av detta kommer vissa bestämmelser i lagen om misstankeregister – sådana som blir tillämpliga vid utlämnanden av uppgifter för olika ändamål – att reglera personuppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.

Regeringen instämmer i den bedömning som gjorts i promemorian att bestämmelserna i 1, 2–6, 8 a–13 och 15 §§ är sådana att de avser personuppgiftsbehandling som omfattas av brottsdatalagen och alltså måste vara förenliga med denna och dataskyddsdirektivet.

Regeringen instämmer även i den bedömning som gjorts i promemorian att bestämmelserna i 5–8, 9–11 och 14 §§ är sådana att de avser person- uppgiftsbehandling som omfattas av dataskyddsförordningen och alltså måste vara förenliga med denna.

Utpekandet i 1 § andra meningen av Polismyndigheten som person- uppgiftsansvarig, bestämmelsen i 12 § att Polismyndigheten ska pröva en begäran om att uppgifter ska lämnas ut samt bestämmelsen om rättelse och skadestånd i 15 § avser alla, förutom behandling av uppgifter för ändamål som omfattas av brottsdalagen, även behandling för utlämnanden ur registret i sådana syften som omfattas av förordningen. Till skillnad från den bedömning som gjorts i promemorian anser regeringen därför att dessa bestämmelser även bör vara förenliga med dataskyddsförordningen.

9.2.2Skyldighet att föra misstankeregistret, personuppgiftsansvar samt registrets ändamål och innehåll

Regeringens förslag: Ändamålen med misstankeregistret ska anpassas till brottsdatalagens terminologi.

Regeringens bedömning: Bestämmelserna om skyldighet att föra misstankeregistret, om personuppgiftsansvar och om registrets innehåll i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians förslag och bedömning överensstämmer med

 

regeringens.

 

Remissinstanserna: Dataskydd.net motsätter sig att ändamålen med

 

misstankeregistret anpassas till brottsdatalagen med hänvisning till att den

109

 

Prop. 2018/19:65

110

föreslagna anpassningen inte är avsedd att innebära någon ändring i sak. Övriga remissinstanser yttrar sig inte över promemorians förslag och bedömning.

Skälen för regeringens förslag och bedömning

Bestämmelserna om skyldighet att föra misstankeregistret, om ändamålen med registret, om personuppgiftsansvar och om registrets innehåll är förenliga med dataskyddsreformen

I 1 § lagen om misstankeregister åläggs Polismyndigheten att föra ett misstankeregister och pekas ut som personuppgiftsansvarig för behandlingen av personuppgifter i registret. Åläggandet att föra registret innebär att Polismyndigheten getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemangen i avsnitt 5.4.2 och 6.3.2 är det vidare förenligt med både dataskyddsförordningen och dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig. Att det dessutom finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (12 §) får enligt regeringen ses som en precisering av vad som ingår i uppgiften att föra registret och i personuppgiftsansvaret. Varken 1 § eller 12 § behöver alltså ändras som en följd av regleringen i dataskyddsförordningen eller dataskyddsdirektivet.

I 2 § lagen om misstankeregister finns bestämmelser om ändamålen med förandet av misstankeregistret och i 3–4 §§ om vilka uppgifter som registret ska innehålla. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra ett misstankeregister, genomför kravet i artikel 8 i direktivet på att personuppgiftsbehandlingen ska ha rättslig grund.

Bestämmelserna om vad registret ska innehålla innebär dessutom en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i misstankeregistret, som ska tillämpas i stället för bestämmelserna i 2 kap. 11–12 §§ brottsdatalagen. Det följer av att en uppgift om rubriceringen på det brott som en misstanke avser kan betraktas som en känslig personuppgift, exempelvis då rubriceringen gäller sexualbrott. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 10, förutom att behandlingen måste vara tillåten enligt nationell rätt, att den är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. Den utförliga författnings- regleringen av misstankeregistret utgör i sig en skyddsåtgärd, liksom den stränga sekretess som gäller för uppgifter i registret. Det är absolut nödvändigt att behandla fullständiga uppgifter om alla misstänkta för att misstankeregistret ska fylla sitt syfte. Bestämmelserna i 2–4 §§ är alltså förenliga med dataskyddsdirektivet.

Ändamålen med misstankeregistret bör anpassas till brottsdatalagens terminologi

De ändamål för vilka misstankeregistret förs regleras, som framgått, i 2 § lagen om misstankeregister. 2 § första stycket 1 avser, förutom samordning av förundersökningar mot en person, ändamålen att förebygga, upptäcka och utreda brott, medan brottsdatalagens tillämpningsområde, såvitt nu är

relevant, avser syftena att förebygga, förhindra eller upptäcka brottslig Prop. 2018/19:65 verksamhet och utreda brott. Eftersom bestämmelserna i brottsdatalagen

är tillämpliga på den personuppgiftsbehandling som förandet av registret innebär, har i promemorian gjorts bedömningen att det framstår som en mer konsekvent och lättillämpad ordning om den nämnda ändamåls- bestämmelsen också ansluter till brottsdatalagens uttryckssätt.

Av samma skäl som motiverar motsvarande ändring i lagen om belastningsregister (se avsnitt 8.3.2) anser regeringen, även med beaktande av vad Dataskydd.net påtalat, att den föreslagna ändringen i 2 § första stycket 1 lagen om misstankeregister bör genomföras.

9.2.3Förhållandet till andra bestämmelser om personuppgiftsbehandling

Regeringens förslag: Hänvisningen till personuppgiftslagen ersätts med en upplysning om att lagen om misstankeregister gäller utöver brottsdatalagen. Vidare införs en bestämmelse som innebär att sökförbudet i brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar används vid sökning i misstankeregistret.

En ny bestämmelse införs som anger att lagen om misstankeregister

kompletterar dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för sådan behandling, om inte något annat följer av lagen om misstankeregister eller föreskrifter som har meddelats i anslutning till den lagen.

Promemorians förslag överensstämmer i huvudsak med regeringens. I förslaget till ny 1 b § anges inte att även föreskrifter som har meddelats i anslutning till dataskyddslagen gäller för behandlingen och även i övrigt har förslaget i promemorian en något annorlunda utformning. Bestämmelsen om undantag från brottsdatalagens sökförbud har också en annan placering i promemorian.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.

Skälen för regeringens förslag: Som framgått ovan kommer bestämmelserna i lagen om misstankeregister att tillämpas på person- uppgiftsbehandling både inom brottsdatalagens och dataskydds- förordningens tillämpningsområde. I det förra fallet kommer lagen alltså att gälla utöver brottsdatalagen och i det senare kommer bestämmelserna i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av lagen eller förordningen om misstankeregister. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1 bör därför införas bestämmelser som klargör detta, samtidigt som hänvisningen till den upphävda personuppgiftslagen måste utgå. För att så långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet bör bestämmelsen i 1 b § ges en något annorlunda ut- formning än den som föreslagits i promemorian.

111

Prop. 2018/19:65 I föregående avsnitt konstateras att det är förenligt med dataskydds- direktivet att s.k. känsliga personuppgifter behandlas i misstankeregistret, i den utsträckning sådan behandling följer av bestämmelserna om vad registret ska innehålla. Det följer emellertid av bestämmelsen i 2 kap. 14

112

§brottsdatalagen att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Som konstateras i promemorian finns behov för de, i brottsdatalagens mening, behöriga myndigheterna att kunna göra vissa sådana sökningar i misstankeregistret. Regeringen delar därför bedömningen i promemorian att det i lagen om misstankeregister bör anges att sökförbudet i 2 kap. 14 § brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar används vid sökning i misstankeregistret.

9.2.4Utlämnanden av uppgifter ur misstankeregistret för användning vid svenska myndigheter

Regeringens bedömning: Bestämmelserna om utlämnande till svenska myndigheter i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.

Kraven på nödvändighet och proportionalitet i brottsdatalagen ska tillämpas vid behandling för uttag ur misstankeregistret åt Polismyndigheten i andra syften än brottsbekämpande.

Promemorians bedömning överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att det bör införas ett

undantag från kravet på nödvändighet och proportionalitet i 2 kap. 22 § brottsdatalagen när Polismyndigheten behandlar personuppgifter som ska användas av den egna myndigheten i syften som faller utanför brottsdatalagens tillämpningsområde. I annat fall menar myndigheten att det uppstår en omotiverad skillnad mellan Polismyndighetens egen användning av misstankeregistret och utlämnande till andra myndigheter. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Bestämmelserna om när svenska myndigheter har rätt att få ut uppgifter ur misstankeregistret är förenliga med dataskyddsreformen

I 5 § lagen om misstankeregister finns de grundläggande bestämmelserna om svenska myndigheters möjligheter att få tillgång till uppgifter i misstankeregistret samt ett bemyndigande för regeringen att meddela föreskrifter om att en svensk myndighet får ha direktåtkomst till registret. Bestämmelsen innehåller även en upplysning om viss reglering i 10 kap. offentlighets- och sekretesslagen, vilken saknar dataskyddsrättslig betydelse. Som framgått ovan kommer viss behandling av personuppgifter för utlämnanden med stöd av bestämmelsen att omfattas av det nya dataskyddsdirektivets tillämpningsområde och annan av dataskydds- förordningens.

Regeringen delar bedömningen i promemorian att det måste anses förenligt med dataskyddsdirektivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske, även i de fall det

innebär att uppgifter som först behandlats inom direktivets Prop. 2018/19:65 tillämpningsområde sedan kommer att behandlas för andra syften. Sådan vidarebehandling är nämligen tillåten enligt artikel 9 i direktivet om den

är tillåten enligt nationell rätt eller unionsrätten. Som framgår av avsnitt

6.3.4är även en särskild reglering av direktåtkomst förenlig med direktivet.

Regeringen gör vidare bedömningen att Polismyndighetens behandling av personuppgifter i misstankeregistret för utlämnande till andra myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde är nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse. Förpliktelsen följer direkt antingen av lagen eller förordningen om misstankeregister. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskydds- förordningen. Regeringen delar därför bedömningen i promemorian att bestämmelsen i 5 § lagen om misstankeregister även är förenlig med dataskyddsförordningen.

Bestämmelsen i 7 § lagen om misstankeregister, som endast reglerar personuppgiftsbehandling som omfattas av dataskyddsförordningen, möjliggör utlämnande för vissa statistiska ändamål. Bestämmelsen är ett uttryck för finalitetsprincipen, vilken gäller redan enligt artikel 5.1 b i dataskyddsförordningen. Förutom att möjliggöra behandling av person- uppgifter fyller bestämmelsen en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17).

Bestämmelsen om proportionalitetsprövning är förenlig med dataskyddsreformen

I 6 § lagen om misstankeregister finns en bestämmelse som berör svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att myndigheten får begära att få uppgifter ur registret endast om skälet för att få ut uppgifterna uppväger den olägenhet detta innebär för den enskilde. Bestämmelsen riktar sig till såväl de brottsbekämpande myndigheterna som till andra myndigheter.

Bestämmelsen motsvarar fullt ut bestämmelsen i 7 § lagen om belastningsregister och av samma skäl som i avsnitt 8.3.4 anförts till stöd för att den bestämmelsen är förenlig med dataskyddsreformen, bedömer regeringen att detta även gäller 6 § lagen om misstankeregister.

Behandling för utlämnande åt andra myndigheter än Polismyndigheten

På förandet av misstankeregistret tillämpas regleringen i brottsdatalagen. I samband med behandling av personuppgifter för utlämnande ur misstankeregistret blir bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen om behandling av personuppgifter för nya ändamål inom lagens tillämpningsområde och för ändamål utanför lagens tillämpningsområde därför av intresse.

113

Prop. 2018/19:65 Som redogörs för i avsnitt 8.3.4 innebär dessa bestämmelser krav på prövning av nödvändighet och proportionalitet när personuppgifter ska behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde eller för ett ändamål utanför lagens tillämpningsområde, såvida skyldighet att lämna uppgifterna inte följer av lag eller förordning. I likhet med motsvarande bestämmelse i lagen om belastningsregister innebär emellertid 5 § lagen om misstankeregister en sådan uppgiftsskyldighet (uppgifterna ska lämnas ut om de begärs). Vid utlämnanden till andra myndigheter blir det därför inte aktuellt för Polismyndigheten att göra någon prövning, varken enligt 2 kap. 4 § eller 22 § brottsdatalagen.

Behandling av personuppgifter för uttag ur misstankeregistret åt

Polismyndigheten för användning i brottsbekämpande syften

Polismyndighetens egen användning av uppgifter ur misstankeregistret för brottsbekämpande syften regleras inte på annat sätt i lagen om misstankeregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Av denna bestämmelse följer, som framgått, att när uppgifter tas in i misstankeregistret så sker detta för flera ändamål. Användning av uppgifter i registret görs däremot normalt sett endast för ett specifikt ändamål, som i de flesta fall kan inordnas under något av de mer allmänt hållna ändamålen i 2 §. I enlighet med den bedömning regeringen gjort av motsvarande förhållande vad gäller Polismyndighetens användning av uppgifter i belastningsregistret (se avsnitt 8.3.4), innebär detta emellertid inte att Polismyndighetens användning av uppgifter ur misstankeregistret för brottsbekämpande syften ska anses ske för ett nytt ändamål i enlighet med 2 kap. 4 § brottsdatalagen. Det blir därför inte aktuellt med någon prövning enligt den bestämmelsen inför behandling av uppgifter för sådana uttag.

Behandling för uttag åt Polismyndigheten för användning i syften som inte är brottsbekämpande

Inte heller Polismyndighetens egen användning av uppgifter ur misstankeregistret för andra syften än brottsbekämpande regleras på annat sätt i lagen om misstankeregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Någon uppgiftsskyldighet föreskrivs alltså inte och kravet i 2 kap. 22 § brottsdatalagen på nödvändighet och proportionalitet blir därmed tillämpligt. I likhet med vad som gäller vid motsvarande användning av uppgifter ur belastningsregistret måste Polismyndigheten alltså, innan den behandlar personuppgifter i misstankeregistret för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, göra en prövning av om det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.

Polismyndigheten menar att detta innebär en omotiverad skillnad mellan Polismyndighetens egen användning av misstankeregistret och ut- lämnande till andra myndigheter. Regeringen gör emellertid samma överväganden beträffande detta som beträffande motsvarande synpunkt angående Polismyndighetens egen användning av belastningsregistret (se avsnitt 8.3.4).

114

9.2.5Enskildas rätt till utdrag ur misstankeregistret för egen användning

Regeringens förslag: Kravet på ett egenhändigt undertecknande av en begäran om ett begränsat utdrag ur misstankeregistret ersätts med att Polismyndigheten ska säkerställa att begäran görs av en behörig person.

Regeringens bedömning: Bestämmelsen om enskildas rätt att begära ett begränsat utdrag ur misstankeregistret om sig själv i lagen om misstankeregister är inte en sådan avvikande bestämmelse som ersätter brottsdatalagens reglering om en enskilds rätt till information om vilka personuppgifter som behandlas om honom eller henne. Någon ändring i övrigt av bestämmelsen behövs därför inte för att den ska vara förenlig med dataskyddsdirektivet.

Promemorians förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag och bedömning.

Skälen för regeringens förslag och bedömning: En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, har enligt 8 a § första stycket lagen om misstankeregister rätt att få ett begränsat utdrag ur misstankeregistret (vad ett sådant utdrag ska innehålla framgår av 8 a § förordningen om misstankeregister). I övrigt innehåller lagen om misstankeregister inga bestämmelser om enskilds rätt till utdrag ur registret avseende sig själv.

Bestämmelsen om möjlighet för den enskilde att för visst syfte få ett begränsat utdrag ur misstankeregistret kan, liksom motsvarande bestämmelse i 9 § andra stycket lagen om belastningsregister, inte anses oförenlig med dataskyddsdirektivet (se avsnitt 8.3.5). Bestämmelsen reglerar endast möjligheten att få begränsade utdrag för användning i ett specifikt syfte och bör, till skillnad från regleringen om enskilds rätt till utdrag om sig själv i 9 § lagen om belastningsregister, inte ses som en sådan uttömmande reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för bestämmelsen i 4 kap. 3 § brottsdatalagen. Bestämmelsen i 8 a § första stycket lagen om misstankeregister kan alltså behållas samtidigt som direktivets krav på information till den enskilde uppfylls genom möjligheten att begära information enligt 4 kap. 3 § brottsdatalagen; en begäran som prövas i enlighet med brottsdatalagens reglering och gällande sekretessbestämmelser.

En enskilds begäran om uppgifter ur misstankeregistret ska enligt 8 a § andra stycket lagen om misstankeregister vara skriftlig och undertecknad av den sökande. Regeringen föreslår i avsnitt 8.3.5, beträffande motsvarande bestämmelse i 9 § fjärde stycket lagen om belastnings- register, att kravet på egenhändigt undertecknande ska ersättas med ett krav på Polismyndigheten att säkerställa att begäran gjorts av en behörig person. Av samma skäl bör detta även gälla enskilds begäran om uppgifter ur misstankeregistret.

Prop. 2018/19:65

115

Prop. 2018/19:65 9.2.6

Utlämnanden av uppgifter ur misstankeregistret

 

för andra enskildas användning

Regeringens bedömning: Bestämmelserna om utlämnande till andra enskilda och om tystnadsplikt i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I 8 § lagen om misstankeregister regleras möjligheten för enskilda att ta del av uppgifter ur misstankeregistret om andra enskilda. Av bestämmelsen följer att sådan rätt finns om uppgifterna behövs för att pröva en fråga om anställning eller uppdrag i vissa verksamheter, vilka preciseras i förordningen om misstankeregister. Dessutom har en enskild som kan styrka att hans eller hennes rätt är beroende av uppgifter ur misstankeregistret om en annan enskild rätt att ta del av sådana uppgifter, om regeringen medger att de får lämnas ut. Av 14 § lagen om misstankeregister följer vidare en tystnadsplikt för den som med stöd av lagen fått del av uppgifter om någon annans personliga förhållanden.

Bestämmelserna är identiska med de i avsnitt 8.3.6 behandlade bestämmelserna i 10 och 19 §§ lagen om belastningsregister, vilka regeringen har bedömt vara förenliga med dataskyddsförordningen (se avsnitt 8.3.6). Av samma skäl gäller detta även de nu aktuella bestämmelserna i lagen om misstankeregister och även i övrigt saknas skäl att ändra dessa.

9.2.7Utlämnanden av uppgifter ur misstankeregistret för användning vid utländska myndigheter

Regeringens bedömning: Bestämmelserna om utlämnande till ut- ländska myndigheter i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Utlämnande av uppgifter ur misstankeregistret till utländska myndigheter regleras i 9–11 §§ lagen om misstankeregister samt genom bestämmelser i förordningen om misstankeregister. Bestämmelserna i 9–10 §§ innebär att uppgifter ur registret får lämnas till utländska myndigheter om utlämnandet följer av en internationell överenskommelse eller till polis- eller åklagarmyndighet i stater som är anslutna till Interpol om det behövs för vissa angivna syften.

Regleringen avser utlämnanden av uppgifter både för användning i sådana syften som faller under dataskyddsdirektivets tillämpningsområde och för användning i sådana syften som faller under dataskydds- förordningens tillämpningsområde. Som framgått i avsnitt 9.2.4 delar

regeringen bedömningen i promemorian att det måste anses förenligt med

116

direktivet att specificera vilka uppgifter ur registret som får lämnas ut och Prop. 2018/19:65 i vilka fall detta får ske. Det gäller även i de fall det innebär att uppgifter

som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften.

Det är ett allmänt intresse att utlämnande av uppgifter ur misstankeregistret kan ske till utländska möjligheter i de situationer som regleras 9–10 §§ lagen om misstankeregister. Polismyndighetens behandling av personuppgifter för utlämning i enlighet med dessa bestämmelser är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten med stöd av artikel 6.1 e i dataskydds- förordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämm- elser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.

Regeringen delar således bedömningen i promemorian att bestämm- elserna i 9–10 §§ lagen om misstankeregister inte behöver ändras med anledning av dataskyddsreformen. Detsamma gäller bestämmelsen i 11 § om föreskriftsrätt, som inte reglerar personuppgiftsbehandling som sådan.

För fullständighetens skull bör i sammanhanget slutligen uppmärk- sammas att det vid överföring av uppgifter till tredjeland och internationella organisationer finns särskild reglering i både 8 kap. brottsdatalagen och kapitel V i dataskyddsförordningen, som också måste vara uppfylld för att överföring ska kunna ske.

9.2.8Gallring

Regeringens bedömning: Bestämmelsen om gallring i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Bestämmelsen rörande gallring i 13 § lagen om misstankeregister innebär att gallring av uppgifter i misstankeregistret ska ske när den aktuella misstanken har slutligt behandlats i någon form. Bestämmelsen får anses innebära en precisering av när uppgifterna inte längre är nödvändiga för det ändamål de behandlas för, dvs. när de enligt artikel 4.1 e i dataskyddsdirektivet inte längre får bevaras, och måste därför anses förenlig med dataskyddsdirektivet.

Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. Detta är emellertid inte en direkt följd av dataskyddsreformen, utan syftar till att förtydliga att det rör sig om dataskyddsregler och inte arkivrättsliga regler. Samtidigt har, som framgår i avsnitt 7.4.7, motsvarande inte föreslagits i samband med de ändringar i registerförfattningar på dataskyddsförordningens område som skett i anledning av dataskyddsreformen. Eftersom lagen om misstankeregister reglerar behandling av personuppgifter såväl på brottsdatalagens område som på dataskyddsförordningens kan det inte sägas strida mot systematiken i dataskyddsregleringen att, på samma vis

som föreslagits beträffande lagen om belastningsregister, behålla den

117

Prop. 2018/19:65 nuvarande bestämmelsen om gallring. I promemorian föreslås inte heller några ändringar.

Eftersom det inte är nödvändigt som en följd av dataskyddsreformen bör det mot denna bakgrund inte i nuläget göras några ändringar i bestämmelsen om gallring.

9.2.9Rättelse och skadestånd

Regeringens förslag: Av lagen om misstankeregister ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om misstankeregister eller föreskrifter som meddelats i anslutning till den. I övrigt regleras inte frågor om rättelse och skadestånd i lagen om misstankeregister.

Promemorians förslag överensstämmer i sak med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm menar att det i 15 §

lagen om misstankeregister bör anges uttryckligen vad som står i 7 kap. 1

§brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Övriga remissinstanser yttrar sig inte över förslaget.

Skälen för regeringens förslag: I 15 § lagen om misstankeregister regleras frågor om skadestånd och rättelse. Bestämmelsen hänvisar i dag till reglerna i personuppgiftslagen.

Eftersom förandet av misstankeregistret omfattas av brottsdatalagen kommer det endast vara aktuellt att pröva frågor om rättelse enligt bestämmelserna i denna. Som konstaterats i avsnitt 6.5 kan bestämmelsen i 4 kap. 9 § brottsdatalagen om rättelse tillämpas även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning. 15 § lagen om misstankeregister bör därför inte längre innehålla någon reglering av frågor om rättelse.

För att regleringen ska vara förenlig med dataskyddsdirektivet måste det, i enlighet med bedömningen i avsnitt 6.6.4, däremot framgå av 15 § att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om misstankeregister eller föreskrifter som har meddelats i anslutning till denna, om behandlingen omfattas av brottsdatalagen. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör detta, till skillnad från vad Förvaltningsrätten i Stockholm föreslagit, ske genom en hänvisning till 7 kap. 1 § brottsdatalagen. Förslaget motsvarar därigenom regleringen i andra registerförfattningar på brottsdatalagens område samt vad som i detta ärende föreslagits i lagen om belastningsregister (se avsnitt 8.3.9).

Om skada orsakas i samband med behandling för utlämnande som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. 15 § lagen om misstankeregister bör därför inte omfatta frågor om skadestånd vid sådan behandling.

118

10

Vapenlagen

Prop. 2018/19:65

 

Vapenlagen, som kompletteras av vapenförordningen (1996:70), gäller skjutvapen och ammunition samt vissa därmed jämställda föremål. I lagen regleras en mängd frågor rörande vapen, bl.a. frågor om tillstånd att inneha vapen och om hanteringen av vapen. Lagen innehåller också straff- bestämmelser.

Därutöver finns i lagen en bestämmelse, 1 a kap. 7 §, som ålägger Polis- myndigheten att med hjälp av automatiserad behandling föra separata register (vapenregistren) över:

1.personer och organisationer som har meddelats tillstånd att inneha skjutvapen eller ammunition eller tillstånd att låna skjutvapen samt personer som tillhör hemvärnets personal och som av Försvarsmakten har tilldelats skjutvapen för förvaring i bostaden (vapeninnehavar- registret),

2.de skjutvapen för vilka tillstånd till innehav har meddelats samt skjutvapen som upphittats eller anmälts stulna eller försvunna (vapenregistret),

3.personer och organisationer som har meddelats tillstånd att driva handel med skjutvapen, fysiska personer som har ett betydande inflytande över en sådan juridisk person som har tillstånd att driva handel med skjutvapen, personer som har godkänts att som föreståndare eller ersättare svara för sådan verksamhet samt personer och organisationer som har meddelats tillstånd att ta emot skjutvapen för översyn eller reparation (vapenhandlarregistret), och

4.sammanslutningar som har auktoriserats enligt vapenlagen (registret över auktoriserade sammanslutningar för jakt- eller målskytte).

Även resterande bestämmelser i 1 a kap. innehåller regler om person- uppgiftsbehandling, både sådan som sker i vapenregistren och sådan som sker i vapenärenden.

För uppgifter i vapenregister och vapenärenden gäller sekretess om det inte står klart att uppgiften kan röjas utan fara för att vapen eller ammunition kommer till brottslig användning (18 kap. 16 och 16 a §§ offentlighets- och sekretesslagen). I vapenärenden gäller dessutom sekretess för uppgifter om enskilds personliga förhållanden, om det kan antas att den enskilde eller närstående lider men om uppgiften röjs (35 kap. 23 § offentlighets- och sekretesslagen).

10.1Är brottsdatalagen eller dataskyddsförordningen tillämplig?

Regeringens bedömning: Behandling av personuppgifter i vapen- ärenden samt förandet av vapenregistren och behandling av person- uppgifter för utlämnande ur registren i annat än brottsbekämpande syfte omfattas av dataskyddsförordningen.

Behandling av personuppgifter för utlämnande ur registren i brotts- bekämpande syfte omfattas av brottsdatalagen.

119

Prop. 2018/19:65 Promemorians bedömning överensstämmer delvis med regeringens. I promemorian görs bedömningen att all behandling av personuppgifter som omfattas av regleringen i vapenlagen omfattas av dataskyddsförordningen.

Remissinstanserna: Polismyndigheten menar att förandet av vapen- registren bör anses falla under dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Personuppgiftsbehandling i vapenärenden

Det är Polismyndigheten som handlägger vapenärenden, dvs. person- uppgiftsbehandlingen i vapenärenden görs av en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Avgörande för om brottsdatalagen eller dataskyddsförordningen ska anses tillämplig på behandlingen är då, som redogjorts för tidigare, om syftet med behandlingen är att bekämpa brott eller något annat av de syften som anges i 1 kap. 2 § brottsdatalagen.

Som anges i promemorian skulle hela systemet i vapenlagen med tillståndsplikt och registrering kunna anses ha till syfte att förebygga såväl brottslig verksamhet som hot mot den allmänna säkerheten. Av propositionen Brottsdatalag framgår emellertid att begreppen ”förebygga brottslig verksamhet” och ”upprätthålla allmän ordning och säkerhet” i 1 kap. 2 § brottsdatalagen inte varit avsedda att ges en så vidsträckt tillämpning (prop. 2017/18:232 s. 94–98 och 429–432).

Utredningen om 2016 års dataskyddsdirektiv har också gjort bedömningen att hanteringen av vapenärenden inte kan anses ske i verksamhet som omfattas av brottsdatalagen (se exempelvis s. 291 f. och 697 i SOU 2017:29). Som redogjorts för i avsnitt 8.2 har regeringen i förarbetena till brottsdatalagen hänvisat till de bedömningar som Utredningen om 2016 års dataskyddsdirektiv gjort rörande enskilda verksamheter inom myndigheterna.

Regeringen gör mot denna bakgrund bedömningen att behandling av personuppgifter i vapenärenden omfattas av dataskyddsförordningen.

Personuppgiftsbehandling i vapenregistren

Som framgått är det Polismyndigheten som för vapenregistren. Även personuppgiftsbehandlingen i dessa görs alltså av en myndighet som kan vara behörig. Avgörande blir då återigen om syftet med behandlingen är sådant att brottsdatalagen kan anses tillämplig.

I promemorian har som grund för bedömningen att all person- uppgiftsbehandling i vapenregistren omfattas av dataskyddsförordningen hänvisats dels till att Utredningen om 2016 års dataskyddsdirektiv i SOU 2017:29 gjort denna bedömning, dels till att detta ligger väl i linje med att sådan personuppgiftsbehandling inte omfattas av polisdatalagen.

Av 1 a kap. 8 § vapenlagen framgår att vapenregistren ska ha till ändamål att underlätta handläggningen av frågor om tillstånd enligt vapenlagen och att ge information om sådana uppgifter som behövs för att

förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda

120

eller beivra brott med anknytning till skjutvapen. I propositionen till polisdatalagen (prop. 2009/10:85 s. 76) har regeringen också, med hänvisning till tidigare förarbetsuttalanden, uttalat att vapenregistren förs delvis för brottsbekämpande ändamål. Detta är skälet till att behandling av personuppgifter enligt vapenlagen uttryckligen måste undantas från polisdatalagens tillämpningsområde, som endast omfattar behandling av personuppgifter i brottsbekämpande verksamhet. Det bör även noteras att de uttalanden som gjorts i SOU 2017:29, och som kommenterats ovan, endast tar sikte på personuppgiftsbehandling i vapenärenden och inte i vapenregistren.

Det går således inte att utan vidare säga att vapenregistrens samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde

eller av dataskyddsförordningens. Liksom vad gäller personuppgiftsbehandling i belastnings- och misstankeregistren anser regeringen att det, för den fortsatta analysen av vilket av de nya dataskyddsregelverken som är tillämpligt, är lämpligt att dela upp den personuppgiftsbehandling som sker i vapenregistren i två delar. Den ena avser förandet av registren, dvs. den behandling som behövs för att lägga in personuppgifter i registren och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registren, som alltså primärt görs för att informationen i registren behövs antingen i Polismyndighetens handläggning av frågor om tillstånd enligt vapenlagen eller i verksamhet som bedrivs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott med anknytning till skjutvapen.

Som framgått i tidigare kapitel är det av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.

Personuppgifterna i vapenregistren härrör från vapenärenden, dvs. inte från brottsbekämpande verksamhet. Samtliga uppgifter i registren är också sådana att de kan komma till användning vid Polismyndighetens handläggning av frågor om tillstånd enligt vapenlagen. Regeringen gör därför, till skillnad från Polismyndigheten, bedömningen att det grundläggande syftet med förandet av vapenregistren inte kan anses vara sådant som omfattas av brottsdatalagen. Detta betyder att den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registren omfattas av dataskyddsförordningen. Detsamma gäller när uppgifter sedan söks fram och i förekommande fall utlämnas för att användas vid handläggningen av frågor om tillstånd enligt vapenlagen.

Att utlämnande av uppgifter ur registren även kan komma att ske för brottsbekämpande ändamål påverkar inte frågan om registrets grund- läggande syfte. Den behandling av personuppgifter som sker för utlämnande i sådant syfte omfattas emellertid av regleringen i brottsdatalagen, se motsvarande resonemang i avsnitt 8.2 och 9.1 om behandlingen av personuppgifter i belastnings- och misstankeregistren.

Prop. 2018/19:65

121

Prop. 2018/19:65

122

10.2Vilka ändringar bör göras som en följd av dataskyddsreformen?

10.2.1Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen

Regeringens bedömning: Bestämmelserna i 1 a kap. 1–14 §§ vapen-

lagen avser personuppgiftsbehandling som omfattas av dataskyddsförordningen.

Bestämmelserna i 1 a kap. 1–4, 6, 8 och 13–14 §§ vapenlagen avser dessutom behandling av personuppgifter som omfattas av brottsdata- lagen.

Promemorians bedömning överensstämmer inte med regeringens. Som en följd av bedömningen i promemorian att all behandling av person- uppgifter som omfattas av regleringen i vapenlagen omfattas av dataskyddsförordningen, utgår man i promemorian även från att bestämmelserna i 1 a kap. vapenlagen endast rör sådan behandling.

Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.

Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att dataskyddsförordningen blir tillämplig på behandling av personuppgifter i vapenärenden samt på förandet av vapenregistren och behandling av personuppgifter för utlämnande ur registren i annat än brottsbekämpande syfte, medan regleringen i brottsdatalagen blir tillämplig på behandling för utlämnande ur registren i brottsbekämpande syfte. Detta innebär, på samma sätt som beträffande lagen om belastningsregister och lagen om misstankeregister, att vissa bestämmelser i vapenlagen – sådana som blir tillämpliga vid utlämnanden av uppgifter ur vapenregistren för olika ändamål – kommer att reglera person- uppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.

Bestämmelserna om behandling av personuppgifter i vapenregister och vapenärenden är samlade i 1 a kap. vapenlagen. Ingen av bestämmelserna är sådan att den endast kan bli tillämplig vid behandling av person- uppgifter som sker för utlämnande ur vapenregistren i brottsbekämpande syfte. Samtliga bestämmelser i 1 a kap. vapenlagen avser därför behandling av personuppgifter som omfattas av dataskyddsförordningen och måste alltså vara förenliga med denna.

Några av bestämmelserna är sådana att de endast får betydelse för behandling av personuppgifter som behövs för att lägga in personuppgifter i registren och sedan bevara dem där, dvs. för förandet av registren, eller för behandling i vapenärenden. Någon prövning av om de nu nämnda bestämmelserna är förenliga med brottsdatalagen och dataskydds- direktivet behöver därför inte göras. Detta gäller bestämmelsen om tillgång till personuppgifter (5 §), bestämmelsen om Polismyndighetens skyldighet att föra vapenregistren och deras innehåll (7 §), bestämmelserna om bevarande och gallring av uppgifter i vapenregistren (9–11 §§) samt bestämmelsen om utlämnande av uppgifter för att framställa rättsstatistik

(12 §). Merparten av bestämmelserna i 1 a kap. är enligt regeringens Prop. 2018/19:65 bedömning emellertid sådana att de kan få betydelse även för behandling

av personuppgifter inom brottsdatalagens tillämpningsområde och alltså måste vara förenliga även med denna och med dataskyddsdirektivet.

10.2.2Personuppgiftsansvar, personuppgiftsombud och förhållandet till andra bestämmelser om personuppgiftsbehandling

Regeringens förslag: Bestämmelsen om skyldighet att utse person- uppgiftsombud i vapenlagen upphävs.

En ny bestämmelse ska införas som upplyser om att bestämmelserna om personuppgiftsbehandling i vapenlagen kompletterar dataskydds- förordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för behandling som omfattas av dataskyddsförordningen, om inte något annat följer av bestämmelserna om personuppgiftsbehandling i vapenlagen eller av föreskrifter som har meddelats i anslutning till bestämmelserna.

En ny bestämmelse ska införas som klargör att vapenlagens

bestämmelser om personuppgiftsbehandling gäller utöver brottsdatalagen vid behandling av personuppgifter som omfattas av den lagen.

Regeringens bedömning: Bestämmelsen om personuppgiftsansvar bör inte ändras som en följd av dataskyddsreformen.

Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås ingen bestämmelse som upplyser om att 1 a kap. vapenlagen gäller utöver brottsdatalagen. Även i övrigt har förslaget i promemorian en något annorlunda utformning.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag och bedömning.

Skälen för regeringens förslag och bedömning: I 1 a kap. 1 § vapen- lagen pekas Polismyndigheten ut som personuppgiftsansvarig för behandlingen av personuppgifter i vapenregister och vapenärenden. Som framgår av avsnitt 5.4.2 och 6.3.2 är bestämmelsen förenlig med både dataskyddsförordningen och dataskyddsdirektivet.

Enligt 1 a kap. 2 § vapenlagen ska Polismyndigheten utse ett eller flera personuppgiftsombud för behandlingen av personuppgifter i vapenregister och vapenärenden samt anmäla till tillsynsmyndigheten när sådant ombud utses eller entledigas. I enlighet med bedömningen i avsnitt 5.5 är sådana bestämmelser otillåtna med hänsyn till dataskyddsförordningen. Bestämmelsen bör därför upphävas.

Som framgått ovan kommer bestämmelserna i 1 a kap. vapenlagen att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpningsområde. I det förra fallet kommer bestämmelserna alltså att gälla utöver brottsdatalagen och i det senare kommer de i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av 1 a kap. vapenlagen eller

123

Prop. 2018/19:65 föreskrifter som meddelats i anslutning till detta. I enlighet med bedöm- ningarna i avsnitt 5.8.1 och 6.6.2 bör därför införas bestämmelser som klargör detta. Eftersom största delen av den personuppgiftsbehandling som sker enligt vapenlagen omfattas av dataskyddsförordningen, bör be- stämmelsen som rör förhållandet till dataskyddsförordningen och data- skyddslagen placeras före den som rör förhållandet till brottsdatalagen.

10.2.3Skyldighet att föra vapenregistren samt registrens ändamål och innehåll

Regeringens bedömning: Bestämmelserna i vapenlagen om skyldighet att föra vapenregistren samt om registrens ändamål och innehåll bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: 1 a kap. 7 § vapenlagen innehåller ett åläggande för Polismyndigheten att föra vapenregistren samt de grundläggande bestämmelserna om vad registren ska innehålla. Dessa bestämmelser, tillsammans med bestämmelsen i 1 a kap. 8 § om ända- målen med förandet av registren, uppfyller kravet i dataskydds- förordningen på att personuppgiftsbehandlingen i registren ska ha rättslig grund. Den behandling av personuppgifter som sker när Polismyndigheten lägger in och sedan bevarar personuppgifter i registren är nödvändig för att myndigheten ska kunna fullgöra den, i lag reglerade, rättsliga förpliktelsen att föra registren. Behandlingen får därför, i enlighet med 2 kap. 1 § dataskyddslagen, ske med stöd av artikel 6.1 c i dataskyddsförordningen. Sådan behandling bör dessutom anses vara nödvändig för att Polismyndigheten ska kunna utföra sin uppgift att pröva tillstånd enligt vapenlagen – en uppgift som utan tvekan är av allmänt intresse. Behandlingen är därmed, liksom behandlingen av personuppgifter i vapenärenden, tillåten även med stöd av artikel 6.1 e i dataskyddsförordningen, i enlighet med 2 kap. 2 § dataskyddslagen. Några ändringar i 1 a kap. 7–8 §§ vapenlagen behöver därför inte göras som en följd av dataskyddsreformen.

I sammanhanget bör även noteras att vapenregistren innehåller personnummer, även om det inte framgår uttryckligen av bestämmelserna om vapenregistrens innehåll i 1 a kap. vapenlagen. Som konstateras i promemorian är detta en självklar förutsättning för att personförväxling inte ska kunna förekomma när det gäller vapeninnehavare. Att personnummer behandlas är således klart motiverat med hänsyn till vikten av en säker identifiering och därmed tillåtet enligt 3 kap. 10 § dataskyddslagen.

124

10.2.4

Känsliga personuppgifter

Prop. 2018/19:65

Regeringens förslag: Begreppet känsliga personuppgifter ska omfatta sådana personuppgifter som avses i artikel 9 i dataskyddsförordningen och 2 kap. 11–13 §§ brottsdatalagen.

Förbudet mot att behandla känsliga personuppgifter ska inte längre framgå av lagen.

Bestämmelsen om förbud mot att använda känsliga personuppgifter som sökbegrepp ska anpassas språkligt till regleringen i dataskyddsförordningen och brottsdatalagen.

Promemorians förslag överensstämmer i sak med regeringens, men

 

innehåller en uttrycklig bestämmelse om att känsliga personuppgifter som

 

utgångspunkt inte får behandlas.

 

 

 

Remissinstanserna: Dataskydd.net anser att det är otydligt när det

 

enligt 1 a kap. 3 § vapenlagen kan vara ”absolut nödvändigt” att behandla

 

känsliga personuppgifter samt att någon bestämmelse om sök-

 

begränsningar inte behövs eftersom den sortens tekniska funktionalitet

 

borde följa redan av artikel 25 i dataskyddsförordningen. Övriga remiss-

 

instanser yttrar sig inte över förslaget.

 

 

 

Skälen för regeringens förslag: Bestämmelsen i 1 a kap. 3 §

 

vapenlagen i dess nuvarande lydelse innebär att uppgifter om en person

 

inte får behandlas enbart på grund av vad som är känt om personens ras

 

eller etniska ursprung, politiska åsikter, religiösa eller filosofiska

 

övertygelse, medlemskap i fackförening, hälsa eller sexualliv (dvs.

 

känsliga personuppgifter enligt personuppgiftslagen). Om uppgifter om en

 

person behandlas på annan grund får de emellertid kompletteras med

 

sådana uppgifter när det är absolut nödvändigt för syftet med

 

behandlingen. Känsliga personuppgifter får dessutom behandlas om det är

 

nödvändigt för diarieföring eller om uppgifterna har lämnats till

 

Polismyndigheten i en anmälan eller liknande och behandlingen är

 

nödvändig för handläggningen. Motsvarande bestämmelse i

 

kustbevakningsdatalagen har i avsnitt 7.4.4 bedömts förenlig med

 

dataskyddsförordningen. Bestämmelsen motsvarar också regleringen i 2

 

kap. 2 och 11 §§ brottsdatalagen och får följaktligen anses vara förenlig

 

även med dataskyddsdirektivet.

 

 

 

Som framgår av avsnitt 5.6 har begreppet känsliga personuppgifter i

 

dataskyddsförordningen och dataskyddslagen utvidgats till att omfatta

 

ytterligare kategorier av

uppgifter.

Detsamma gäller

enligt

 

brottsdatalagen. Vapenlagens bestämmelser om behandling av känsliga

 

personuppgifter bör därför anpassas till att omfatta även dessa kategorier

 

av personuppgifter genom att regleringen i den nya lagen hänvisar till

 

artikel 9.1 i dataskyddsförordningen och 2 kap. 11–13 §§ brottsdatalagen.

 

Det följer direkt av artikel 9.1 i dataskyddsförordningen och 2 kap. 11–

 

12 §§ brottsdatalagen att känsliga personuppgifter som utgångspunkt inte

 

får behandlas. Regeringen anser därför, till skillnad från vad som

 

föreslagits i promemorian, inte att det behövs någon uttrycklig be-

 

stämmelse om det i vapenlagen.

 

 

 

Vapenlagen innehåller även ett förbud mot att använda känsliga

 

personuppgifter som sökbegrepp vid sökning i personuppgifter (1 a kap. 4

 

§). Förbudet är förenligt

med både

dataskyddsförordningen

och

125

 

 

 

 

Prop. 2018/19:65 dataskyddsdirektivet och bör behållas. Bestämmelsen bör emellertid anpassas språkligt på samma vis som motsvarande bestämmelse i den föreslagna kustbevakningsdatalagen (se avsnitt 7.4.4).

Dataskydd.net anser att det är otydligt när det kan vara ”absolut nödvändigt” att behandla känsliga personuppgifter. Begreppet ”absolut nödvändigt” används emellertid redan i 1 a kap. 3 § vapenlagen, liksom i motsvarande bestämmelser i andra registerförfattningar. Innebörden av begreppet utvecklas närmare i avsnitt 7.4.4. Intresset av en enhetlig reglering på dataskyddsområdet talar därför starkt för att det även fortsättningsvis bör användas i bestämmelsen. Detsamma gäller bestämmelsen om sökbegränsningar.

10.2.5Tillgång till personuppgifter

Regeringens bedömning: Bestämmelsen i vapenlagen om tillgång till personuppgifter inom Polismyndigheten bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: I 1 a kap. 5 § vapenlagen före- skrivs att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen har i avsnitt 5.4.6 gjort bedömningen att bestämmelser i register- författningar som begränsar tillgång till personuppgifter inom myndigheten är förenliga med dataskyddsförordningen. Det finns därför inget behov av att ändra bestämmelsen i 1 a kap. 5 § vapenlagen.

 

10.2.6

Rättelse och skadestånd

 

 

 

Regeringens förslag: Av vapenlagen ska det framgå att

 

brottsdatalagens bestämmelse om skadestånd ska tillämpas om

 

behandling av personuppgifter som omfattas av brottsdatalagen skett i

 

strid med bestämmelserna i vapenlagen eller föreskrifter som meddelats

 

i anslutning till dessa. I övrigt regleras inte frågor om rättelse och

 

skadestånd vid personuppgiftsbehandling i vapenlagen.

 

 

 

Promemorians förslag överensstämmer delvis med regeringens. I

 

promemorian föreslås att 1 a kap. vapenlagen inte ska innehålla några

 

bestämmelser om skadestånd.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

förslag.

 

 

Skälen för regeringens förslag: I 1 a kap. 6 § vapenlagen regleras

 

frågor om rättelse och skadestånd. Bestämmelsen hänvisar idag till

 

reglerna i den upphävda personuppgiftslagen.

 

Eftersom behandling av personuppgifter i vapenärenden och vid förande

 

av vapenregistren omfattas av dataskyddsförordningen kommer frågor om

 

rättelse att prövas enligt regleringen i förordningen. Bestämmelsen om

126

rättelse i artikel 16 är direkt tillämplig och som konstaterats i avsnitt 5.7.1

 

 

saknas det skäl att i registerförfattningarna inskränka den enskildes rätt till Prop. 2018/19:65 rättelse enligt bestämmelsen. 1 a kap. 6 § vapenlagen bör därför inte längre

innehålla någon reglering av frågor om rättelse.

På samma vis blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering av skadestånd tillämplig utan att någon hänvisning krävs. 1 a kap.

6 § vapenlagen bör därför inte heller reglera frågor om skadestånd vid sådan behandling.

Skada kan även orsakas i samband med behandling för utlämnande som omfattas av brottsdatalagen. För att regleringen ska vara förenlig med dataskyddsdirektivet måste det därför, i enlighet med bedömningen i avsnitt 6.6.4, framgå av 1 a kap. 6 § vapenlagen att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med bestämmelserna i vapenlagen eller föreskrifter som har meddelats i anslutning till dessa, om behandlingen omfattas av brottsdatalagen.

10.2.7Bevarande och gallring

Regeringens förslag: Bestämmelsen i vapenlagen om bevarande av personuppgifter i vapenregister har samma innehåll som artikel 5.1 e i dataskyddsförordningen och ska därför upphävas.

Regeringens bedömning: Bestämmelsen i vapenlagen om gallring bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer inte med regeringens. I promemorian föreslås inga ändringar i bestämmelserna om bevarande av uppgifter.

Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.

Skälen för regeringens förslag och bedömning: 1 a kap. 9–10 §§ innehåller bestämmelser om bevarande av uppgifter i vapenregistren. Enligt 9 § får uppgifter i vapenregistren inte bevaras där längre än vad som behövs för något av de ändamål som anges i 8 §, dvs. de ändamål för vilka uppgifterna behandlas i registren. I 10 § görs sedan undantag från detta beträffande vissa uppgifter, som ska bevaras i 20 år.

Som framgår av avsnitt 5.4.7 måste en bedömning göras från fall till fall om det är motiverat att i registerförfattningar ha kvar bestämmelser om bevarande av personuppgifter som motsvarar bestämmelsen i artikel 5.1 e i förordningen. Personuppgifter i vapenregistren behandlas endast för de ändamål som anges i 1 a kap. 8 § och regeringen anser därför, till skillnad från den bedömning som görs i promemorian, att 1 a kap. 9 § vapenlagen måste anses vara en sådan bestämmelse som inte tillför något utöver artikel 5.1 e. Bestämmelsen i 1 a kap. 9 § bör således upphävas. Eftersom undantagsbestämmelsen i 10 § – som i enlighet med vad som anförts i avsnitt 5.4.7 är förenlig med dataskyddsförordningen – hänvisar till 9 § måste en följdändring göras i denna.

1 a kap. 11 § vapenlagen innehåller en bestämmelse om gallring av uppgifter i vapeninnehavarregistret om personer som tillhör hemvärnets personal. Enligt bestämmelsen ska sådana uppgifter gallras när

Försvarsmakten har meddelat att uppgiften inte längre är aktuell.

127

Prop. 2018/19:65 Tidpunkten då en sådan uppgift inte längre är aktuell torde i regel motsvara tidpunkten då uppgiften inte längre behövs för vapeninnehavarregistrets ändamål. En bestämmelse om gallring innebär emellertid inte bara att uppgiften inte längre får behandlas i registret utan även att arkivrättslig gallring ska ske. Bestämmelsen i 1 a kap. 11 § vapenlagen innebär alltså en precisering i förhållande till artikel 5.1 e och är därför förenlig med dataskyddsförordningen. I enlighet med vad som anförts om motsvarande bestämmelser i lagen om belastningsregister (avsnitt 8.3.8) finns inte skäl att inom ramen för detta lagstiftningsärende göra några ändringar i registerförfattningarnas gallringsbestämmelser som inte krävs för att de ska vara förenliga med dataskyddsreformen.

10.2.8Utlämnande av uppgifter

Regeringens bedömning: Bestämmelserna i vapenlagen om utlämnande av uppgifter för statistiska ändamål och till utländska myndigheter samt bestämmelsen om direktåtkomst behöver inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning

Utlämnande till svenska myndigheter

Ändamålsbestämmelsen i 1 a kap. 8 § vapenlagen ger endast stöd för utlämnande ur vapenregistren för att ge information i brottsbekämpande verksamhet. I övrigt regleras utlämnande till svenska myndigheter genom bestämmelsen om utlämnande till myndighet som ansvarar för att framställa rättsstatistik i 12 § samt genom bestämmelsen om direktåtkomst i 14 §.

Eftersom det redan av artikel 5.1 b i dataskyddsförordningen följer att ytterligare behandling för statistiska ändamål är tillåten i enlighet med den s.k. finalitetsprincipen skulle det kunna ifrågasättas om det är lämpligt att behålla 12 § i lagen. Förutom att möjliggöra behandling av personuppgifter fyller bestämmelsen emellertid även en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17). Bestämmelsen i 14 § innebär att Säkerhets- polisen, Tullverket och Kustbevakningen får medges direktåtkomst till vapenregister. Som konstaterats i avsnitt 5.4.4 och 6.3.4 är bestämmelser som preciserar förutsättningarna för elektroniskt utlämnande, inklusive direktåtkomst, förenliga med både dataskyddsförordningen och dataskyddsdirektivet. Bestämmelserna i 12 och 14 §§ behöver således inte ändras som en följd av dataskyddsreformen.

Som konstateras i promemorian innebär avsaknaden i övrigt av be- stämmelser som reglerar utlämnanden till svenska myndigheter att

utlämnanden ur vapenregistren till andra svenska myndigheter än de

128

ovannämnda, liksom utlämnanden ur vapenärenden, måste bedömas Prop. 2018/19:65 utifrån det generellt tillämpliga regelverket om personuppgiftsbehandling

samt tillämpliga sekretessbestämmelser. Hittills har detta, i enlighet med

9 § d personuppgiftslagen, inneburit att sådana utlämnanden skett med tillämpning av finalitetsprincipen, dvs. personuppgifter har kunnat lämnas ut för ändamål som inte är oförenliga med det ändamål som de samlades in för. Det kommer även i fortsättningen, nu i enlighet med artikel 5 b i dataskyddsförordningen, att vara finalitetsprincipen tillsammans med tillämpliga sekretessbestämmelser som avgör om utlämnande av personuppgifter kan ske till svenska myndigheter i andra fall än enligt 12 och 14 §§. Det som tillkommer är att Polismyndigheten, såvida den aktuella vidarebehandlingen inte grundar sig på nationell rätt, måste beakta de omständigheter som räknas upp i artikel 6.4 a–e vid bedömningen av om finalitetsprincipen ger stöd för utlämnande.

Utlämnande till utländska myndigheter

Utlämnande av uppgifter ur vapenregistren till utländska myndigheter regleras i 1 a kap. 13 § vapenlagen. Bestämmelsen innebär att person- uppgifter som behandlas i vapenregistren, om det är förenligt med svenska intressen, får lämnas till Interpol eller Europol, eller polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att mottagaren ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller till utländsk underrättelse- eller säkerhetstjänst. Uppgifter får även lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överens- kommelse. Regleringen avser framför allt utlämnanden av uppgifter för användning i sådana syften som omfattas av dataskyddsdirektivets tillämpningsområde, men kan även avse utlämnanden för användning i

sådana syften som omfattas av dataskyddsförordningens tillämpningsområde. En bestämmelse motsvarande 1 a kap. 13 § vapenlagen finns i 2 kap. 7 § polisens brottsdatalag och är därmed förenlig med direktivet.

Det är ett allmänt intresse att utlämnande av uppgifter ur vapenregistren kan ske till utländska möjligheter i de situationer som regleras i 1 a kap. 13 § vapenlagen. Polismyndighetens behandling av personuppgifter för utlämning i enlighet med denna bestämmelse är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten med stöd av artikel 6.1 e i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskydds- förordningen.

Mot bakgrund av ovanstående delar regeringen bedömningen i promem- orian att bestämmelsen i 1 a kap. 13 § vapenlagen inte behöver ändras med anledning av dataskyddsreformen.

129

Prop. 2018/19:65

11

Lagen om Schengens informations-

 

system

11.1Schengensamarbetet

1985 ingick Frankrike, Tyskland och Beneluxstaterna ett avtal om att successivt avveckla personkontrollerna vid de gemensamma gränserna och att utveckla det polisiära och rättsliga samarbetet mellan staterna, det s.k. Schengenavtalet. Avtalet var ett separat mellanstatligt avtal utanför EU. Efter hand har fler av EU:s medlemsstater anslutit sig till avtalet, däribland Sverige år 1996.

De viktigaste reglerna för samarbetet, bl.a. de praktiska åtgärderna för att genomföra avvecklingen av personkontrollerna vid de inre gränserna, fanns ursprungligen i Schengenkonventionen som började tillämpas 1995. I samband med Amsterdamfördragets ikraftträdande den 1 maj 1999 införlivades emellertid Schengenregelverket i EU-rätten. Detta innebär att samarbetet numera äger rum i den vanliga EU-strukturen, dvs. under medverkan av EU:s institutioner. Regelverket omfattar olika EU-rättsakter som utvecklar bestämmelserna i det ursprungliga Schengenavtalet och Schengenkonventionen.

När det gäller Schengens informationssystem, här kallat SIS, har reglerna om detta i Schengenkonventionen ersatts av tre EU-rättsakter; ett rådsbeslut och två förordningar. Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), här kallat rådsbeslutet, är en reglering som faller inom den tidigare s.k. pelarstrukturen, som gällde för EU-samarbetet innan Lissabonfördraget trädde i kraft. Rådsbeslutet avser tredjepelarfrågor, dvs. polisiärt och straffrättsligt samarbete mellan EU:s medlemsstater. Utöver rådsbeslutet regleras användningen av SIS av två EU- förordningar.1 Den ena avser gränskontroll och immigrationskontroll. Den andra avser tillgång till SIS för de enheter inom medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon. Regleringen av SIS har nyligen varit föremål för översyn och tre nya förordningar om SIS har beslutats2, vilka kommer att ersätta ovan nämnda rättsakter. De nya förordningarna utvidgar

 

1 Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006

 

om inrättande, drift och användning av andra generationen av Schengens

 

informationssystem (SIS II) respektive Europaparlamentets och rådets förordning (EG) nr

 

1986/2006 av den 20 december 2006 om tillträde till andra generationen av Schengens

 

informationssystem (SIS II) för de enheter i medlemsstaterna som ansvarar för att utfärda

 

registreringsbevis för fordon.

 

2 Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om

 

användning av Schengens informationssystem för återvändande av tredjelandsmedborgare

 

som vistas olagligt i medlemsstaterna, Europaparlamentets och rådets förordning (EU)

 

2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens

 

informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen

 

om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr

 

1987/2006 samt Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28

 

november 2018 om inrättande, drift och användning av Schengens informationssystem

 

(SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande

130

av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets

förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU.

också användningsområdet till att även avse arbetet med återvändande av Prop. 2018/19:65 tredjelandsmedborgare som vistas olagligt på EU:s territorium. Merparten av bestämmelserna i dessa förordningar ska börja tillämpas på datum som

kommissionen ska fastställa senast tre år från förordningarnas ikraftträdande. SIS är ett datasystem som fungerar som ett efterlysningshjälpmedel och, i viss mån, även som ett spaningshjälpmedel. I SIS kan varje Schengenstat

föra in uppgifter om personer och om fordon eller andra föremål som är efterlysta eller eftersökta och samtidigt begära att en viss åtgärd ska vidtas om personen eller föremålet påträffas vid en gränskontroll eller i en annan Schengenstat. Det kan exempelvis vara fråga om att begära att en person som misstänks för brott ska gripas och omhändertas, att uppgifter ska lämnas om var en försvunnen person befinner sig eller att uppgifter ska lämnas om var ett föremål som ska beslagtas har påträffats.

Någon skyldighet för medlemsstaterna att vidta de åtgärder som en annan stat har begärt finns inte. Vilka åtgärder som ska vidtas vid en träff i SIS styrs i stället av den nationella rätten i den medlemsstat på vars territorium en efterlyst person eller ett efterlyst föremål påträffas.

Tekniskt består SIS dels av en nationell enhet (fortsättningsvis SIS- registret), som är ett nationellt register för varje Schengenstat, dels en central teknisk stödfunktion. Med hjälp av den tekniska stödfunktionen innehåller varje Schengenstats nationella register uppgifter som är identiska med uppgifterna i de andra staternas nationella register. Varje Schengenstat använder sitt nationella register för att lägga in framställningar om åtgärder och för att söka i SIS. SIS kan sägas utgöra ett verktyg för att kompensera det borttagande av gränskontrollen som Schengenkonventionen innebär.

11.2Lagens innehåll

Lagen (2000:344) om Schengens informationssystem (lagen om SIS), tillsammans med den kompletterande förordningen (2000:836) om Schengens informationssystem (förordningen om SIS), genomförde tidigare Schengenkonventionen och numera rådsbeslutet i svensk rätt (propositionen SIS II – en andra generation av Schengens informationssystem, prop. 2009/10:86). Tidigare reglerade lagen om SIS hela användningen av SIS, men när regleringen på EU-nivå delades upp i ett rådsbeslut och två förordningar togs bestämmelser i lagen som avsåg användning inom förordningarnas tillämpningsområde bort. Lagen om SIS innehåller emellertid fortfarande vissa upplysande bestämmelser om regleringen i de båda EU-förordningarna. Den har ännu inte anpassats till de nya EU-förordningarna.

I lagen föreskrivs en skyldighet för Polismyndigheten – som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen – att med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS (dvs. SIS-registret) samt att behandla viss tilläggsinformation (1 §).

I lagens inledning finns bestämmelser om ändamålen med registret (2 §) och därefter om vilka uppgifter som får registreras och andra förutsättningar för att registrering ska få ske (3–7 §§). Lagen innehåller

131

Prop. 2018/19:65 också bestämmelser om vilka myndigheter som kan få ut uppgifter ur registret, hur uppgifterna får användas och vad som gäller för gallring av uppgifterna (9–11 §§). Därutöver finns bestämmelser om s.k. tilläggsinformation, som inte registreras i SIS men utbyts mellan Schengenstaterna, exempelvis efter att en sökning i systemet har lett till en träff (12–14 §§). Slutligen innehåller lagen bestämmelser om rättelse, skadestånd och överklagande (15–17 §§).

132

När det gäller sekretess för uppgifterna i registret finns en särskild sekretessbestämmelse i 37 kap. 6 § offentlighets- och sekretesslagen (2009:400). Avsikten med denna är att garantera sekretess för uppgifter som i förekommande fall inte omfattas av sekretess enligt andra bestäm- melser. Lagen om SIS innehåller en upplysning som hänvisar till offentlighets- och sekretesslagen (8 §).

11.3Är brottsdatalagen eller dataskyddsförordningen tillämplig?

Regeringens bedömning: Behandlingen av personuppgifter i SIS- registret, såväl för förandet av registret som för utlämnande, omfattas antingen av brottsdatalagen eller av dataskyddsförordningen. Det är syftet med registreringen av den behandlade personuppgiften i det enskilda fallet som är avgörande för vilken rättsakt som är tillämplig vid den fortsatta behandlingen.

Detta innebär att samtliga bestämmelser om personuppgiftsbehandling i lagen om SIS avser behandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten menar att personuppgifts-

behandlingen i SIS-registret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning: SIS är ett datasystem som innehåller personuppgifter. Förandet av registret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.

SIS-registret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Som nämnts ovan inordnas också rådsbeslutet under området polisiärt och straffrättsligt samarbete. Detta är emellertid inte i sig avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig, men utöver detta måste också syftet med behandlingen vara att bekämpa brott eller något annat av de syften som anges i 1 kap. 2 § brottsdatalagen.

Vid genomförandet av Schengenkonventionen konstaterade regeringen att mycket av informationsutbytet inom SIS skulle komma att avse

underrättelseverksamhet och utredning om brott. Dock skulle vissa Prop. 2018/19:65 uppgifter kunna lämnas i helt andra syften, exempelvis uppgifter om

personer som ska införas på spärrlista samt uppgifter om försvunna personer och personer som ska omhändertas för sin egen säkerhet (propositionen Polissamarbete m.m. med anledning av Sveriges anslutning till Schengen, prop. 1999/2000:64, s. 151). Sådana uppgifter kan även enligt dagens reglering föras in i SIS-registret. Svenska framställningar om tillfälligt omhändertagande av en person med hänsyn till dennes eller annans säkerhet kan exempelvis, enligt 5 § förordningen om Schengens informationssystem, avse personer som tvångsvårdas med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall eller lagen (1991:1128) om psykiatrisk tvångsvård. Sådana framställningar kan även avse personer som ska omhändertas enligt bestämmelser i föräldrabalken eller lagen (1989:14) om erkännande och verkställighet av utländska vårdnadsavgöranden m.m. och om överflyttning av barn. Den personuppgiftsbehandling som sker i SIS-registret, både för att lägga in och bevara uppgifter och för sökningar och utlämnanden, med anledning av en sådan framställan kan inte anses ske i brottsbekämpande eller något av de andra syften som anges i 1 kap.

2 § brottsdatalagen.

Mot bakgrund av ovanstående gör regeringen, till skillnad från Polismyndigheten, bedömningen att en registrering av personuppgifter i SIS-registret och den fortsatta behandlingen av uppgifterna i registret kan omfattas antingen av brottsdatalagens eller dataskyddsförordningens tillämpningsområde. Vilket regelverk som blir tillämpligt måste avgöras från fall till fall, beroende på syftet med registreringen.

Både förandet av registret och annan behandling av personuppgifter i det kan alltså omfattas antingen av brottsdatalagen eller dataskydds- förordningen. Detta innebär, till skillnad från vad som gäller enligt de övriga registerförfattningarna, att samtliga bestämmelser om person- uppgiftsbehandling i lagen om SIS kommer att reglera sådan behandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen. Samtliga sådana bestämmelser i lagen måste därför vara förenliga med både brottsdatalagen och dataskyddsförordningen.

11.4Vilka ändringar bör göras som en följd av dataskyddsreformen?

11.4.1Skyldighet att föra SIS-registret, personuppgifts- ansvar samt registrets ändamål och innehåll

Regeringens bedömning: Bestämmelserna om skyldighet att föra SIS- registret och om personuppgiftsansvar samt om registrets ändamål och innehåll i lagen om SIS bör inte ändras som en följd av dataskydds- reformen.

Promemorians bedömning överensstämmer med regeringens.

133

Prop. 2018/19:65 Remissinstanserna: Dataskydd.net påtalar behovet av en robust process för att säkerställa att registreringen enligt 6 § lagen om SIS efterföljs. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Bestämmelsernas förenlighet med dataskyddsdirektivet

I 1 § lagen om SIS åläggs Polismyndigheten att föra ett register som ska vara den svenska nationella enheten i SIS samt att behandla viss tilläggs- information. Polismyndigheten pekas också ut som personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Åläggandet att föra registret och behandla tilläggsinformation innebär att Polismyndigheten uttryckligen getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemanget i avsnitt 6.3.2 är det även förenligt med

dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig.

I 2 § lagen om SIS finns bestämmelser om ändamålen med förandet av SIS-registret och i 3–6 §§ om vilka framställningar och uppgifter som får, och i vissa fall ska, föras in i registret samt under vilka förutsättningar detta får ske. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra registret och behandla tilläggsinformation, genomför kravet i artikel 8 i dataskyddsdirektivet på att personuppgiftsbehandlingen ska ha rättslig grund.

Bestämmelsen i 4 § första stycket 3 lagen om SIS – av vilken det bl.a. framgår att fingeravtryck, dvs. biometriska uppgifter, får föras in i SIS- registret – innebär dessutom en särskild reglering av i vilken mån sådana personuppgifter som avses i 2 kap. 12 § brottsdatalagen får behandlas i registret. För att sådana uppgifter ska få behandlas krävs enligt artikel 10 i dataskyddsdirektivet, förutom att den måste vara tillåten enligt nationell rätt, att behandlingen är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. För att SIS- registret ska kunna uppfylla sitt ändamål krävs att korrekt identifiering kan ske av de personer som omfattas av införda framställningar, något som underlättas i väsentlig grad av att fingeravtryck får föras in i registret. En säker identifiering minimerar också risken för att personer felaktigt ska bli föremål för åtgärder till följd av en framställning. Möjligheten att behandla fingeravtryck infördes dessutom mot bakgrund av intresset av att underlätta samarbetet mellan medlemsstaterna och öka effektiviteten i brottsbekämpningen (prop. 2009/10:86 s. 27 f.). Regeringen anser därför att sådan behandling måste anses absolut nödvändig. Dessutom utgör den utförliga författningsregleringen av SIS-registret – särskilt begränsningen av användningen av bl.a. fingeravtryck i 10 § fjärde stycket – i sig en skyddsåtgärd, liksom de tillämpliga sekretessbestämmelserna. Bestämmelserna i 1–6 §§ är alltså förenliga med dataskyddsdirektivet.

134

Bestämmelsernas förenlighet med dataskyddsförordningen

Som framgår av resonemanget i avsnitt 5.4.2 är det förenligt med dataskyddsförordningen att Polismyndigheten pekas ut som person- uppgiftsansvarig. På samma sätt som beträffande dataskyddsdirektivet uppfyller bestämmelserna i 2–6 §§, tillsammans med åläggandet för Polismyndigheten att föra registret och behandla tilläggsinformation i 1 §, kravet i dataskyddsförordningen på att personuppgiftsbehandlingen i registret ska ha rättslig grund. Den behandling av personuppgifter som sker när Polismyndigheten lägger in och sedan bevarar personuppgifter i registren samt hanterar tilläggsinformation, är nödvändig för att myndigheten ska kunna fullgöra den i lag reglerade rättsliga förpliktelsen att föra registret och behandla tillhörande tilläggsinformation. Behandlingen får därför, i enlighet med 2 kap. 1 § dataskyddslagen, ske med stöd av artikel 6.1 c i dataskyddsförordningen.

Bestämmelsen i 4 § första stycket 3 lagen om SIS innebär en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i SIS-registret, som ska tillämpas i stället för bestämmelserna i 3 kap. 3 § dataskyddslagen. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 9.2 g i dataskyddsförordningen att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt regeringen är dessa krav uppfyllda. Även beträffande framställningar som faller inom dataskyddsförordningens område är det av stor vikt att korrekt identifiering kan ske, exempelvis av eftersökta personer som ska omhändertas enligt föräldrabalken eller för tvångsvård när de påträffas. Som konstaterats infördes bestämmelsen bland annat mot bakgrund av intresset av att underlätta samarbetet mellan medlemsstaterna i sådana avseenden, vilket får anses vara ett viktigt allmänt intresse. Möjligheten att behandla fingeravtryck i SIS-registret måste också anses vara en i förhållande till detta syfte proportionerlig åtgärd och kan inte anses oförenlig med det väsentliga innehållet i rätten till dataskydd. I enlighet med bedömningen ovan finns dessutom lämpliga skyddsåtgärder. Bestämmelserna i 1–6 §§ är alltså förenliga med dataskyddsförordningen.

Regeringen konstaterar slutligen att det, som framgått i avsnitt 4.3, inte finns utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändrad tillsyn av efterlevnaden av lagen om SIS, såsom Dataskydd.net efterfrågar, finns alltså inte.

Prop. 2018/19:65

135

Prop. 2018/19:65 11.4.2 Förhållandet till andra bestämmelser om personuppgiftsbehandling

Regeringens förslag: En ny bestämmelse införs som anger att lagen om SIS gäller utöver brottsdatalagen.

En ny bestämmelse införs som anger att lagen om SIS kompletterar dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen också gäller för sådan behandling, om inte annat följer av lagen om SIS eller föreskrifter som har meddelats i anslutning till den lagen.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att det i de nya paragraferna även ska anges vilka bestämmelser i lagen om SIS som ska tillämpas i stället för vissa specifika bestämmelser i brottsdatalagen respektive dataskyddslagen. Dessutom ges 1 b § även i övrigt en något annorlunda utformning.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.

Skälen för regeringens förslag: Som framgått ovan kommer bestämmelserna i lagen om SIS att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpnings- område. I det förra fallet kommer lagen alltså att gälla utöver brottsdata- lagen och i det senare kommer bestämmelserna i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av lagen eller förordningen om SIS. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1 bör därför införas bestämmelser som klargör detta.

I promemorian föreslås att det av tydlighetsskäl även bör anges vilka bestämmelser i lagen om SIS som utgör sådan särskild reglering som ska tillämpas i stället för regleringen av motsvarande frågor i brottsdatalagen respektive dataskyddslagen. Att bestämmelser i annan lag eller förordning som avviker från brottsdatalagen eller dataskyddslagen ska tillämpas i stället för dessa lagar framgår emellertid redan av 1 kap. 5 § brottsdata- lagen respektive 1 kap. 6 § dataskyddslagen. Upplysningar om detta har därför som regel inte förts in i de registerförfattningar som hittills anpassats till dataskyddsreformen och föreslås inte heller föras in i övriga nu aktuella registerförfattningar. För att så långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet anser regeringen därför att sådana upplysningar inte heller bör föras in i lagen om SIS. Av samma skäl bör bestämmelsen i 1 b § även i övrigt ges en något annorlunda utformning än den som föreslagits i promemorian.

 

11.4.3

Förbud mot registrering av vissa känsliga

 

 

personuppgifter

 

 

 

Regeringens bedömning: Bestämmelsen om förbud mot registrering

 

av vissa känsliga personuppgifter i lagen om SIS bör inte ändras som

136

en följd av dataskyddsreformen.

 

 

Promemorians bedömning överensstämmer med regeringens.

Prop. 2018/19:65

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens bedömning: Bestämmelsen i 7 § lagen om SIS

 

innebär ett förbud för Polismyndigheten att registrera uppgifter i SIS som

 

avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk

 

övertygelse, medlemskap i fackförening, eller uppgifter som rör hälsa eller

 

sexualliv.

 

Bestämmelsen genomför artikel 56 i rådsbeslutet (prop. 2009/10:86

 

s. 45) och är därmed förenlig med dataskyddsdirektivet redan genom

 

bestämmelsen i artikel 60 om dataskyddsdirektivets förhållande till redan

 

gällande unionsrättsakter. Som framgått omfattar begreppet känsliga

 

personuppgifter i dataskyddsförordningen, förutom uppgifter av de slag

 

som räknas upp i 7 § lagen om SIS, även genetiska och biometriska

 

uppgifter samt uppgifter om sexuell läggning. I enlighet med

 

resonemanget i avsnitt 5.6 finns därför skäl att överväga om 7 § måste

 

utökas till att även omfatta dessa typer av uppgifter. Redan av

 

begränsningen i 4 § lagen om SIS av vilka uppgifter som får registreras i

 

SIS-registret, när det gäller framställningar som rör personer, följer dock

 

att varken genetiska uppgifter eller uppgifter om sexuell läggning får

 

registreras. Det finns därför inget behov av att lägga till dessa typer av

 

uppgifter till uppräkningen i 7 § för att bestämmelsen ska vara förenlig

 

med dataskyddsförordningen. Vad gäller biometriska uppgifter tillåter 4 §

 

däremot viss registrering. Som konstaterats i avsnitt 11.4.1 är

 

Polismyndighetens behandling av uppgifterna i de fallen emellertid

 

förenlig med dataskyddsförordningen. Inte heller biometriska uppgifter

 

måste därför nämnas i 7 § för att denna ska vara förenlig med

 

dataskyddsförordningen. Något skäl att ändra bestämmelsen som en följd

 

av dataskyddsreformen finns alltså inte.

 

11.4.4

Utlämnanden ur SIS-registret

 

 

 

Regeringens bedömning: Bestämmelsen om utlämnanden ur SIS-

 

registret i lagen om SIS bör inte ändras som en följd av

 

dataskyddsreformen.

 

 

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Dataskydd.net efterfrågar en omvärdering av 9 §

 

lagen om SIS, som utökar SIS-registret bortom vad som föreskrivs i

 

europeisk rätt. Övriga remissinstanser yttrar sig inte över bedömningen.

 

Skälen för regeringens bedömning: I 9 § lagen om SIS finns de

 

grundläggande bestämmelserna om möjligheterna att få tillgång till

 

uppgifter i SIS-registret. I bestämmelsens första stycke föreskrivs att

 

uppgifter som finns i registret ska lämnas ut om det begärs av

 

Säkerhetspolisen, åklagarmyndigheter, Tullverket eller Kustbevakningen

 

när dessa utför undersökningar och andra kontroller än gränskontroller i

 

sin verksamhet för att förebygga och utreda brott. Eftersom de nämnda

 

myndigheterna alla kan vara behöriga myndigheter i brottsdatalagens

 

mening, innebär begränsningen till verksamheter för att förebygga och

 

utreda

brott att denna del av bestämmelsen endast reglerar

137

 

 

Prop. 2018/19:65 personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde. Som regeringen konstaterat beträffande motsvarande reglering i lagarna om belastningsregister och misstankeregister måste det anses förenligt med dataskyddsdirektivet att specificera i vilka fall uppgifter ur registret får lämnas ut. 9 § första stycket lagen om SIS är alltså förenlig med dataskyddsdirektivet.

Av bestämmelsens andra stycke framgår att de båda EU-förordningarna som också reglerar SIS innehåller bestämmelser om utlämnande av uppgifter och direktåtkomst till SIS-registret i vissa fall. Eftersom dessa upplysningar inte i sig utgör någon reglering av personuppgiftsbehandling påverkas de inte av dataskyddsreformen.

Bestämmelsens tredje stycke innehåller en särskild reglering av rätten att få s.k. kompletterande uppgifter enligt 3 a §, dvs. uppgifter om personer som kan förväxlas med en person som registrerats och vars identitet har missbrukats. Regleringen innebär att sådana uppgifter endast får lämnas till en myndighet som har rätt att få ut uppgifter om den registrering som de kompletterande uppgifterna avser och som behöver uppgifterna för att undvika en felaktig identifiering. Bestämmelsen medför inte i sig någon rätt till uppgifter ur SIS-registret, utan utgör i stället en begränsning i de fall det på annan grund finns rätt att få ut sådana uppgifter. Regeringen bedömer att detta måste anses förenligt med både dataskyddsförordningen och dataskyddsdirektivet.

I bestämmelsens fjärde stycke bemyndigas regeringen att meddela föreskrifter om att myndigheter som prövar ansökningar om visering och uppehållstillstånd ska ha tillgång till uppgifter som avses i 3 § andra stycket, dvs. uppgifter om personer som tagits upp på den s.k. spärrlistan. Som konstaterats ovan måste det anses förenligt med dataskyddsdirektivet att specificera i vilka fall uppgifter ur registret får lämnas ut, vilket också innebär att ett bemyndigande till regeringen att göra detta är förenligt med direktivet. Detsamma gäller i förhållande till dataskyddsförordningen, eftersom de av regeringen meddelade föreskrifterna innebär att Polismyndighetens behandling av personuppgifter i SIS-registret för utlämnande blir nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse som följer direkt av en författning.

Slutligen bemyndigas regeringen i bestämmelsens femte stycke att meddela föreskrifter om att de myndigheter som nämns i första och fjärde styckena får ha direktåtkomst till SIS-registret. Som framgår av avsnitt

5.4.4och 6.3.4 är en särskild reglering av direktåtkomst förenlig med såväl dataskyddsförordningen som dataskyddsdirektivet.

Som konstaterats i avsnitt 4.3 finns inte utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändringar av sådant slag som Dataskydd.net efterfrågar finns alltså inte.

11.4.5Användningsbegränsningar

Regeringens bedömning: Bestämmelserna om användnings- begränsningar i lagen om SIS bör inte ändras som en följd av data-

138skyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: 10 § lagen om SIS innehåller vissa generella begränsningar av användningen av uppgifter i SIS-registret, nämligen att de inte får överföras eller göras tillgängliga för ett tredjeland eller en internationell organisation (första stycket) och inte heller i övrigt användas i annat syfte än det som den registrerande staten har angett vid registreringen, om inte den staten lämnat sitt samtycke (andra stycket). 10

§innehåller även vissa begränsningar som endast avser användningen av uppgifter som med stöd av 3 a § registrerats för att undvika person- förväxling (tredje stycket) samt användningen av fotografier och fingeravtryck (fjärde stycket). I 13 § lagen om SIS finns en bestämmelse om att tilläggsinformation endast får användas för att uppnå det syfte för vilket den har mottagits.

Artikel 54 i rådsbeslutet innehåller ett förbud mot att uppgifter som behandlas i SIS-registret överförs eller görs tillgängliga för ett tredjeland eller en internationell organisation. Bestämmelsen i 10 § första stycket lagen om SIS genomför detta förbud (prop. 2009/10:86 s. 36–38) och är därmed förenlig med dataskyddsdirektivet redan genom bestämmelsen i artikel 60 om dataskyddsdirektivets förhållande till redan gällande unionsrättsakter. Dataskyddsförordningen innehåller inte någon motsvarande bestämmelse om förhållandet till redan gällande unionsrättsakter. Begränsningen i 10 § första stycket lagen om SIS måste emellertid, tillsammans med lagens övriga reglering av utlämnanden av uppgifter, anses utgöra en sådan precisering av de enheter till vilka uppgifter får lämnas ut som är tillåten enligt artikel 6.3 i dataskydds- förordningen.

Bestämmelsen i 10 § andra stycket lagen om SIS genomför delar av artikel 46 i rådsbeslutet (prop. 2009/10:86 s. 36–38). Därmed är bestämmelsen förenlig med dataskyddsdirektivet redan genom bestämmelsen i artikel 60. Bestämmelsen i 10 § andra stycket lagen om SIS reglerar för vilka ändamål de registrerade uppgifterna får användas och är enligt regeringens bedömning att se som en sådan ändamålsbestämmelse som, i enlighet med resonemanget i avsnitt 5.4.3, är förenlig även med dataskyddsförordningen.

Genom bestämmelserna i 10 § tredje och fjärde styckena lagen om SIS genomförs artikel 22 och 51.2 i rådsbeslutet (prop. 2009/10:86 s. 38 f.). I enlighet med artikel 60 i dataskyddsdirektivet är därmed även dessa bestämmelser förenliga med direktivet. Dessutom är bestämmelserna, i enlighet med bedömningen ovan, att se som sådana ändamåls- bestämmelser som är förenliga också med dataskyddsförordningen.

Artikel 8 i rådsbeslutet innehåller allmänna bestämmelser om utbyte av tilläggsinformation. Genom 13 § lagen om SIS genomförs delar av dessa bestämmelser (artikel 8.2), vilket innebär att även 13 § är förenlig med dataskyddsdirektivet genom bestämmelsen i artikel 60. Eftersom 13 § är att se som en ändamålsbestämmelse är den, på samma vis som bestämmelserna i 10 § andra-fjärde styckena, också förenlig med dataskyddsförordningen. Såväl 10 § som 13 § är alltså förenliga med dataskyddsreformen och bör därför inte ändras som en följd av denna.

Prop. 2018/19:65

139

Prop. 2018/19:65

140

11.4.6Bevarande och gallring

Regeringens bedömning: Bestämmelserna om bevarande och gallring i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: 11 § lagen om SIS innehåller en bestämmelse om bevarande och gallring av uppgifter som Polismyndigheten fört in i SIS-registret och 14 § innehåller en bestämmelse om bevarande och gallring av tilläggsinformation som utgörs av personuppgifter som tagits emot från en annan stat.

Av 11 § första stycket framgår att uppgifter som omfattas av bestämmelsen inte får bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med registreringen, dvs. detsamma som redan följer av principen om lagringsminimering i artikel 5.1 e i dataskydds- förordningen. Som framgår av avsnitt 5.4.7 måste en bedömning göras från fall till fall om det är lämpligt att i registerförfattningar ha kvar bestämmelser om bevarande av personuppgifter som motsvarar bestämmelsen i artikel 5.1 e i förordningen. 11 § första stycket innehåller också bestämda tidsgränser inom vilka de personuppgifter som förts in i registret ska gallras. Enligt bestämmelsens andra stycke finns dock möjlighet för Polismyndigheten att, innan gallringstiden löpt ut, besluta att en uppgift ska stå kvar i registret om det är nödvändigt för att uppnå syftet med registreringen. Delar av regleringen i 11 § första och andra styckena motsvarar alltså vad som redan följer av dataskyddsförordningen, men ett borttagande av dessa delar ur bestämmelsen skulle innebära att den samlade regleringen blir svårtillgänglig. Regleringen, som är förenlig med artikel 6.3 i dataskyddsförordningen, bör därför behållas. Regleringen är även förenlig med artikel 4.1 e och 5 i dataskyddsdirektivet, som inte innehåller något förbud mot sådan dubbelreglering som i viss mån uppstår i förhållande till 2 kap. 17 § brottsdatalagen.

I 11 § tredje stycket finns en kompletterande reglering som säger att uppgifter som registrerats med stöd av 3 a § ska gallras samtidigt som uppgifterna i den registrering som de hänför sig till. Sådana uppgifter ska dock gallras tidigare om den person som de avser begär det. I enlighet med bedömningarna i avsnitt 5.4.7 och 6.3.6 är även denna reglering förenlig med dataskyddsreformen.

Av 14 § följer att sådan tilläggsinformation som omfattas av bestämm- elsen endast får bevaras under så lång tid som behövs för att uppnå det syfte för vilket den har mottagits. Informationen får dock aldrig bevaras längre än ett år efter det att de uppgifter i SIS som den avser har gallrats. Bestämmelsens första led motsvarar principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen. Det kan därför ifrågasättas om den delen av bestämmelsen behöver behållas Att låta detta led utgå och endast ha kvar det senare ledet – som i sig utgör en enligt artikel 6.2 och 6.3 tillåten precisering – skulle emellertid innebära att den samlade regleringen beträffande bevarande av tilläggsinformation blir svårbegriplig. I enlighet med skäl 8 i dataskyddsförordningen bör därför även första ledet i 14 § anses förenligt med dataskyddsförordningen.

Bestämmelsen är även förenlig med dataskyddsdirektivet eftersom detta, Prop. 2018/19:65 som konstaterats, inte innehåller något förbud mot den dubbelreglering

som uppstår i förhållande till 2 kap. 17 § brottsdatalagen.

Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. I enlighet med vad som anförts beträffande motsvarande bestämmelser i lagen om belastningsregister (avsnitt 8.3.8) bör det emellertid inte i nuläget göras några ändringar i bestämmelserna om gallring i lagen om SIS.

11.4.7Rättelse, skadestånd och överklagande

Regeringens förslag: Bestämmelsen om rättelse m.m. i lagen om SIS ska upphävas.

Av lagen om SIS ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om SIS eller med föreskrifter som meddelats i anslutning till den. Frågor om skadestånd vid behandling av personuppgifter som omfattas av dataskydds- förordningen ska inte regleras i lagen om SIS.

Bestämmelsen om överklagande i lagen om SIS ska upphävas.

Promemorians förslag överensstämmer i sak med regeringens. Remissinstanserna: Dataskydd.net menar att hänvisningen till

skadeståndsbestämmelsen i brottsdatalagen begränsar enskildas rätt till skadestånd i förhållande till skadeståndsbestämmelsen i artikel 82 i dataskyddsförordningen. Övriga remissinstanser yttrar sig inte över förslaget.

Skälen för regeringens förslag: I 15 § lagen om SIS regleras Polismyndighetens skyldighet att rätta, blockera eller utplåna personuppgifter som myndigheten har registrerat, om de är rättsligt eller sakligt felaktiga. När Polismyndighetens behandling av personuppgifter i SIS-registret omfattas av dataskyddsförordningen kommer be- stämmelserna om rättelse, radering och begränsning av behandling i artikel 16–18 emellertid att vara direkt tillämpliga och som konstateras i avsnitt 5.7 saknas det skäl att i de nu aktuella registerförfattningarna inskränka den enskildes rätt i dessa avseenden. Lagen om SIS bör därför inte längre innehålla någon reglering av rättelse, blockering eller utplåning på dataskyddsförordningens område. När Polismyndighetens behandling av personuppgifter i SIS-registret i stället omfattas av brottsdatalagen kan, som konstaterats i avsnitt 6.5, bestämmelserna om rättelse, radering och begränsning av behandling i 4 kap. 9–10 §§ brottsdatalagen tillämpas. Därför bör lagen om SIS inte heller innehålla någon reglering av rättelse, blockering eller utplåning på brottsdatalagens område. 15 § lagen om SIS bör alltså upphävas.

I 16 § lagen om SIS regleras frågor om skadestånd genom en hänvisning till reglerna i personuppgiftslagen. För att bestämmelsen ska vara förenlig med dataskyddsdirektivet måste det, i enlighet med bedömningen i avsnitt 6.6.4, i stället framgå att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid

med lagen om SIS eller föreskrifter som meddelats i anslutning till den,

141

Prop. 2018/19:65 om behandlingen omfattas av brottsdatalagen. Om skada orsakas i samband med behandling som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, i stället dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. Att 16 § lagen om SIS därför inte bör omfatta frågor om skadestånd vid sådan behandling innebär alltså inte, såsom Dataskydd.net anför, någon begränsning av den enskildes rätt till skadestånd vid personuppgiftsbehandling som omfattas av dataskydds- förordningens tillämpningsområde.

I enlighet med bedömningarna i avsnitt 5.8.2 och 6.6.5 saknas behov av bestämmelser om överklagande i lagen om SIS. Bestämmelsen i 17 § om rätten att överklaga Polismyndighetens beslut enligt 15 § bör därför upphävas.

 

11.4.8

Genomförandet av rådsbeslutet

 

 

 

Regeringens bedömning: Det behövs inte någon ytterligare reglering

 

för att rådsbeslutet om inrättande, drift och användning av andra

 

generationen av Schengens informationssystem (SIS II) ska vara

 

korrekt genomfört även efter det att personuppgiftslagen upphävts.

 

 

 

Promemorians bedömning överensstämmer med regeringens.

 

Remissinstanserna: Ingen remissinstans invänder mot promemorians

 

bedömning.

 

Skälen för regeringens förslag och bedömning

 

Genomförandet av rådsbeslutet

 

När rådsbeslutet genomfördes i svensk rätt skedde detta i huvudsak genom

 

ändringar i lagen och förordningen om SIS samt genom den befintliga

 

regleringen i personuppgiftslagen (prop. 2009/10:86). Vissa artiklar i

 

rådsbeslutet ansågs alltså inte kräva några lagstiftningsåtgärder eftersom

 

den befintliga regleringen i personuppgiftslagen bedömdes genomföra

 

kraven i dessa artiklar. Detta gäller artikel 10 om datasäkerhet, artikel 12

 

om loggning, artikel 14 om personalutbildning, artikel 49 om datakvalitet,

 

artikel 57 om skydd för personuppgifter i enlighet med Europarådets

 

konvention om skydd för enskilda vid automatisk databehandling av

 

personuppgifter, artikel 59.1 om rätt till rättslig prövning av vissa frågor

 

samt artikel 64.1 om skadestånd.

 

För att rådsbeslutet även efter upphävandet av personuppgiftslagen ska

 

anses korrekt genomfört i svensk rätt krävs alltså att också den generella

 

reglering som ersatt personuppgiftslagen – dvs. dataskyddsförordningen

 

och dataskyddslagen respektive brottsdatalagen – kan anses genomföra

 

kraven i de nämnda artiklarna i rådsbeslutet.

 

Datasäkerhet, loggning och utbildning av personal

 

Artikel 10 i rådsbeslutet gäller datasäkerhet och innehåller en tämligen

 

utförlig lista på åtgärder som ska vidtas av medlemsstaterna för att

 

garantera säkerheten för uppgifter i SIS och i utbytet av s.k.

 

tilläggsinformation, särskilt vad gäller obehörig åtkomst. Artikel 10

142

innehåller också krav på att användningen av uppgifter i SIS ska kunna

 

 

kontrolleras samtidigt som artikel 12 innehåller specifika skyldigheter att, i kontrollsyfte, logga uppgifter om sökningar och utbyte av uppgifter i systemet. Artikel 14 avser ett krav på att personal vid myndigheter som har tillgång till SIS ska ha lämplig utbildning.

När rådsbeslutet genomfördes i svensk rätt gjorde regeringen bedömningen att personuppgiftslagens grundläggande krav på åtgärder för att åstadkomma en lämplig säkerhetsnivå, samt möjligheterna att meddela kompletterande föreskrifter, var tillräckliga för att uppfylla säkerhetskraven enligt artikel 10 i rådsbeslutet (prop. 2009/10:86 s. 25). Beträffande artikel 12 konstaterade regeringen att skyldigheten att logga uppgifter i kontrollsyfte kan sägas utgöra ett led i uppfyllandet av de grundläggande skyldigheter som åligger Rikspolisstyrelsen (numera Polismyndigheten) som personuppgiftsansvarig när det gäller behandling och skydd av uppgifterna. Därför ansågs det närmast handla om att se till att det tekniska systemet fungerar på ett sådant sätt att det uppfyller rådsbeslutets krav när det gäller loggningsuppgifter och det konstaterades att i den mån reglering krävs kan det ske på förordningsnivå (prop. 2009/10:86 s. 25 f.). En bestämmelse om loggning infördes också i 23 § förordningen om SIS. Vad gäller bestämmelserna om utbildning av personal i artikel 14 ansåg regeringen att det även ligger i Rikspolis- styrelsens (numera Polismyndighetens) uppgift som personuppgifts- ansvarig att se till att personer som ges tillgång till SIS har den utbildning som krävs (prop. 2009/10:86 s. 26).

Brottsdatalagen innehåller än mer specifika bestämmelser om datasäkerhet än personuppgiftslagen. 3 kap. 2 § avser den personuppgifts- ansvariges skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifter, och principerna om inbyggt dataskydd och dataskydd som standard gäller enligt 3 kap. 3 och 4 §§. Dessa bestämmelser, tillsammans med bestämmelsen i 23 § förordningen om SIS, uppfyller enligt regeringens bedömning kraven i artikel 10 på datasäkerhet och i artikel 12 på loggning när behandlingen av personuppgifter i SIS-registret sker på brottsdatalagens område. Regeringen bedömer vidare att det, på samma vis som enligt personuppgiftslagen, måste anses ligga i Polismyndighetens uppgift som personuppgiftsansvarig enligt brottsdatalagen att se till att personer som ges tillgång till SIS har tillräcklig utbildning (i 3 kap. 2 § brottsdata- förordningen finns också en bestämmelse om skyldighet att anta och dokumentera interna strategier för dataskydd, som bl.a. kan avse interna regelverk som behandlar utbildning av personal, se SOU 2017:29 s. 302). Även kravet i artikel 14 är alltså uppfyllt när behandlingen av personuppgifter i SIS-registret sker på brottsdatalagens område.

Också dataskyddsförordningen innehåller bestämmelser om den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder till skydd för behandlade personuppgifter (artikel 24 och 32) samt om inbyggt dataskydd och dataskydd som standard (artikel 25). Bestämmelserna motsvarar i huvudsak vad som gäller enligt brottsdatalagen och regeringen bedömer att dessa, tillsammans med 23 § förordningen om SIS, uppfyller rådsbeslutets krav på datasäkerhet och loggning. Även av Polismyndighetens uppgift som personuppgifts- ansvarig enligt dataskyddsförordningen följer en skyldighet att se till att den personal som har tillgång till SIS-registret har lämplig utbildning

Prop. 2018/19:65

143

Prop. 2018/19:65

144

enligt artikel 39.1 b, som säger att det dataskyddsombud som Polis- myndigheten är skyldig att utnämna bl.a. ska ha till uppgift att övervaka efterlevnaden av den personuppgiftsansvariges strategi för utbildning av personal som deltar i behandling. Även kravet i artikel 14 är alltså uppfyllt när behandlingen av personuppgifter i SIS-registret sker på dataskydds- förordningens område.

Uppgifternas kvalitet

Enligt artikel 49 i rådsbeslutet ansvarar den medlemsstat som lägger in en registrering i SIS för att uppgifterna är korrekta, aktuella och att det finns lagstöd för registreringen. Artikeln innehåller därutöver detaljerade bestämmelser om förfarandet när uppgifter misstänks vara felaktiga eller ha lagrats i strid med rådsbeslutet.

När rådsbeslutet genomfördes i svensk rätt konstaterade regeringen att Rikspolisstyrelsen (numera Polismyndigheten) som personuppgifts- ansvarig har att följa bl.a. skyldigheten enligt 9 § h personuppgiftslagen att se till att alla rimliga åtgärder vidtas för att rätta, blockera och utplåna felaktiga personuppgifter (prop. 2009/10:86 s. 40). Några lagstiftnings- åtgärder ansågs därmed inte krävas för att genomföra artikel 49. Råds- beslutets bestämmelser om förfarandet medlemsstaterna emellan vid misstänkta felaktigheter i registret reglerades i 17 § förordningen om SIS.

Brottsdatalagens grundläggande krav på behandling av personuppgifter innefattar att de ska behandlas författningsenligt och på ett korrekt sätt (2 kap. 6 §), att de ska vara korrekta och, om nödvändigt, uppdaterade (2 kap. 7 §) samt att alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga rättas (2 kap. 5 §). Även dataskydds- förordningen innehåller motsvarande krav på behandling av person- uppgifter (se särskilt artikel 5 a och 5 d). Regeringen gör därför bedömningen att regleringen i såväl brottsdatalagen som dataskydds- förordningen, tillsammans med bestämmelsen i 17 § förordningen om SIS, genomför kraven i artikel 49 i rådsbeslutet.

Dataskydd i enlighet med dataskyddskonventionen

I artikel 57 i rådsbeslutet anges att personuppgifter som behandlas med tillämpning av rådsbeslutet ska skyddas i enlighet med Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och senare ändringar av denna (dataskyddskonventionen).

Vid genomförandena av Schengenkonventionen (som innehöll motsvarande bestämmelse) och rådsbeslutet bedömde regeringen att de allmänna skyddsreglerna i personuppgiftslagen, tillsammans med de möjligheter som finns att vid behov meddela kompletterande bestämmelser i förordning eller myndighetsföreskrifter, var tillräckliga för att genomföra kravet på dataskydd i enlighet med dataskyddskonventionen (prop. 2009/10:86 s. 45).

Ett av de övergripande syftena med både dataskyddsdirektivet och dataskyddsförordningen är att förstärka och harmonisera skyddet för enskilda vid behandling av personuppgifter inom unionen. Av skäl 68 i dataskyddsdirektivet och skäl 105 i dataskyddsförordningen framgår också att kommissionen, vid bedömningen av om ett tredjeland erbjuder

en adekvat dataskyddsnivå, bör beakta tredjelandets anslutning till data- Prop. 2018/19:65 skyddskonventionen. Mot denna bakgrund delar regeringen bedömningen

i promemorian att det, utan någon mer djupgående analys av dataskyddskonventionen, är möjligt att utgå ifrån att de nya EU- rättsakterna och därmed även brottsdatalagen uppfyller konventionens krav på dataskydd.

Skadestånd samt rätt till rättslig prövning av vissa frågor

Artikel 59.1 i rådsbeslutet innehåller en bestämmelse som innebär att en framställning om att få tillgång till, rätta, radera, eller erhålla information eller få gottgörelse i samband med en registrering i SIS ska kunna göras till domstol eller behörig myndighet av den enskilde som berörs av registreringen.

Vid genomförandet av rådsbeslutet konstaterade regeringen att bestämmelsen i 52 § personuppgiftslagen, som möjliggör överklagande till allmän förvaltningsdomstol av Rikspolisstyrelsens beslut att inte lämna information till en enskild, genomför rätten till rättslig prövning när det gäller att få ut uppgifter ur registret och annan information som har samband med en registrering. För att genomföra artikel 59.1 i den del som avser rätt till rättslig prövning av en begäran om rättelse eller radering ansågs i stället att en särskild regel om rätt att överklaga vissa beslut behövde tas in i lagen om SIS, dvs. 17 § som regeringen i avsnitt 11.4.7 föreslår ska upphävas (prop. 2009/10:86 s. 46–48).

Regeringen konstaterar att artikel 59.1, i ovan nämnda delar, fortsättningsvis kommer att genomföras genom bestämmelserna om överklagande i 7 kap. 2 § brottsdatalagen och 7 kap. 2 § dataskyddslagen som, avseende behandling på brottsdatalagens respektive dataskydds- förordningens område, ger den enskilde rätt att till allmän förvaltningsdomstol överklaga Polismyndighetens beslut i frågor om information och tillgång till personuppgifter samt rättelse och radering.

Enligt artikel 64.1 i rådsbeslutet ska medlemsstaterna, i enlighet med sin nationella lagstiftning, ansvara för skador som drabbar en person genom användningen av den nationella delen av SIS (dvs. SIS-registret) och som framgått ovan omfattar rätten till rättslig prövning enligt artikel 59.1 också sådana anspråk på skadestånd. Vid genomförandet av rådsbeslutet ansåg regeringen att dessa båda bestämmelser genomfördes genom hänvisningen i 16 § lagen om SIS till 48 § personuppgiftslagen (prop. 2009/10:86 s. 46– 48 och 53). Regeringen konstaterar att bestämmelserna fortsättningsvis kommer att genomföras genom bestämmelsen i 7 kap. 1 § dataskyddslagen samt genom den föreslagna hänvisningen i 16 § lagen om SIS till 7 kap. 1 § brottsdatalagen (se avsnitt 11.4.7).

145

Prop. 2018/19:65

12

Regleringen om registrering av

 

146

förelägganden och uppbörd av böter

12.1Utdömande och föreläggande av böter

Böter, som är en påföljd för brott, kan utgå i form av dagsböter, penningböter eller normerade böter och tillfaller staten. Böter kan användas antingen som självständig påföljd för mindre allvarliga brott där böter förekommer i straffskalan eller i kombination med annan påföljd oavsett om böter är föreskrivet för brottet eller inte. Bötesstraff verkställs i första hand genom uppbörd.

Det är emellertid inte bara bötesstraff som verkställs genom uppbörd, utan även vissa viten utdömda av allmän domstol och sådan särskild rättsverkan av brott som innefattar betalningsskyldighet. Reglerna om uppbörd omfattar alltså mer än bara bötesstraff och när ordet böter används i det följande omfattas därför även vite utdömt av allmän domstol och särskild rättsverkan som innefattar betalningsskyldighet, om inte annat framgår. När endast böter avses används ordet bötesstraff.

12.1.1Bötesstraff

Ett bötesstraff bestäms antingen genom att domstol dömer ut det eller genom att den enskilde godtar det påföljdsförslag som en brotts- bekämpande myndighet har angett i ett strafföreläggande eller ett föreläggande av ordningsbot.

Domstol kan besluta om bötesstraff när åtal väcks, dels som självständig påföljd för brott av mindre allvarligt slag, dels i kombination med villkorlig dom, skyddstillsyn eller ungdomsvård.

Ansvarsfrågan för brott kan även tas upp av åklagare genom strafföreläggande, förutsatt att brottet hör under allmänt åtal och att böter ingår i straffskalan för brottet (48 kap. 1 § och 4 § första stycket rättegångsbalken). Vid Tullverket finns det särskilt förordnade befattningshavare, s.k. tullåklagare, som är särskilda åklagare enligt 7 kap. 8 § rättegångsbalken och som även de kan utfärda strafföreläggande för vissa typer av brott (1 och 32 §§ lagen [2000:1225] om straff för smuggling). Ett strafföreläggande får enligt 48 kap. 4 § rättegångsbalken under vissa förutsättningar också avse villkorlig dom eller sådan påföljd i förening med böter när det är uppenbart att rätten skulle döma till sådan påföljd. Har målsäganden anmält enskilt anspråk avseende betalningsskyldighet och är omständigheterna sådana att åklagaren enligt 22 kap. 2 § första stycket rättegångsbalken är skyldig att utföra måls- ägandens talan, ska strafföreläggandet enligt 48 kap. 5 a § rätte- gångsbalken även ta upp det enskilda anspråket.

Om föreläggandet godkänns ska den förelagde enligt 48 kap. 9 § rät- tegångsbalken underteckna en förklaring om att gärningen erkänns och att det straff, den särskilda rättsverkan och det enskilda anspråk som ingår i föreläggandet godtas. Den förelagde kan också välja att godkänna strafföreläggandet genom att betala det belopp som anges på inbetalningskortet. Utöver ett bötesbelopp kan ett strafföreläggande även

omfatta särskild rättsverkan (se nedan). Betalningen gäller i de flesta fall Prop. 2018/19:65 som ett godkännande. Ett föreläggande är alltså att anse som godkänt när

det skriftliga godkännandet eller betalningen kommer in till en behörig myndighet. När föreläggandet godkänts gäller det som en dom som har fått laga kraft.

Föreläggande av ordningsbot får enligt 48 kap. 13 § rättegångsbalken utfärdas för brott för vilket inte är föreskrivet annat straff än penningböter, om Riksåklagaren i enlighet med 48 kap. 14 § rättegångsbalken har bestämt ordningsbot för brottet (se Riksåklagarens föreskrifter [1999:178] om ordningsbot för vissa brott). Detta gäller dock med de betydande begränsningar som följer av bestämmelsen i 48 kap. 15 § rättegångsbalken, som anger när föreläggande av ordningsbot inte får utfärdas. Så är fallet bl.a. om den misstänkte förnekar gärningen eller om det finns ett enskilt anspråk. Ett föreläggande av ordningsbot innehåller i de allra flesta fall endast ett bötesstraff. Enligt 5 § ordningsbots- kungörelsen är det emellertid under vissa förutsättningar möjligt att i ett föreläggande även ta upp frågan om förverkande om föreläggandet avser vissa brott enligt ordningslagen (1993:1617) eller lagen om straff för smuggling. I övrigt får föreläggande inte utfärdas för brott som är förenade med förverkande av egendom eller annan sådan särskild rättsverkan.

När ett föreläggande av ordningsbot har utfärdats registreras uppgifterna om det i ett särskilt tekniskt system, kallat Orbit, som Polismyndigheten ansvarar för. Systemet används även av Tullverket. De förelägganden som Kustbevakningen utfärdar registreras manuellt i systemet av Polis- myndigheten. Orbit innehåller det register över förelägganden av ordningsbot som Polismyndigheten för med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot (se avsnitt 12.3).

Om föreläggandet av ordningsbot godkänns undertecknar den förelagde en förklaring om att gärningen erkänns och att det straff och den särskilda rättsverkan som ingår i föreläggandet godtas. Den förelagde kan också välja att godkänna föreläggandet genom att betala det belopp som anges på inbetalningskortet. När föreläggandet godkänts gäller det som en dom som har fått laga kraft.

12.1.2Annan betalningsskyldighet som omfattas av reglerna om uppbörd

Vite

Vite är ett på förhand bestämt belopp, vars funktion är att vara ett påtryckningsmedel för en person att följa ett beslut eller åtagande. Domstol eller annan myndighet kan sätta ut vite för att uppnå en prestation, t.ex. inom ramen för ett pågående ärende (s.k. förfarandevite), eller för att ge eftertryck till sitt slutliga beslut om ett visst resultat (s.k. materiellt vite). Vite kan inte sättas ut utan uttryckligt författningsstöd. Ett vite som är riktat till en eller flera bestämda personer beslutas genom ett vitesföreläggande. I föreläggandet anges då ett visst belopp som den förelagde senare kan bli skyldig att betala som en följd av att han eller hon

inte har uppfyllt den angivna prestationen, åtgärden eller resultatet.

147

Prop. 2018/19:65 Särskild rättsverkan av brott

Särskild rättsverkan av brott är en författningsreglerad följd av ett brott som varken är en påföljd eller en skyldighet att betala skadestånd (se 1 kap. 8 § brottsbalken). Förutom förverkande av egendom och företagsbot omfattas bl.a. olika slag av betalningsförpliktelser, exempelvis avgift enligt lagen om brottsofferfond.

Förverkande delas upp i sakförverkande och värdeförverkande. Sak- förverkande innebär att viss specifik egendom förklaras förverkad. Ägaren eller rättighetsinnehavaren förlorar därigenom sin rätt till egendomen. Värdeförverkande innebär att värdet av viss egendom eller vissa förtjänster förklaras förverkade. Det innebär en förpliktelse för den enskilde att betala ett angivet belopp. Beslut om förverkande kan meddelas av domstol vid prövningen av ansvarsfrågan för det brott som förverkandet grundar sig på. Förverkande får även tas upp i ett strafföreläggande och ett föreläggande av ordningsbot enligt reglerna i 48 kap. rättegångsbalken.

Företagsbot är en sanktion som har till syfte att komplettera det individuella straffansvaret vid brott i näringsverksamhet. Domstol får enligt 36 kap. 7 § brottsbalken på yrkande av åklagare ålägga näringsidkare företagsbot för brott för vilket är föreskrivet strängare straff än penningböter och som har begåtts i utövningen av näringsverksamhet. Företagsbot kan åläggas både fysiska och juridiska personer. Företagsbot får enligt 48 kap. 4 § tredje stycket rättegångsbalken tas upp i ett strafföreläggande om den inte överstiger 500 000 kronor. Företagsbot får däremot inte tas upp i ett föreläggande av ordningsbot.

Den som döms för ett eller flera brott där fängelse ingår i straffskalan ska enligt 1 § lagen (1994:419) om brottsofferfond åläggas att betala en avgift på 800 kronor. Detsamma gäller enligt 48 kap. 2 § tredje stycket rät- tegångsbalken när ansvarsfrågan för brott tas upp i ett föreläggande. Avgiften går till en särskild fond, brottsofferfonden.

Bestämmelserna om särskild rättsverkan tillämpas enligt 48 kap. 2 § tredje stycket rättegångsbalken även på tilltalads skyldighet att ersätta staten för kostnad för provtagning och analys av blod, urin och saliv som har gjorts för utredning av brottet.

 

12.2

Uppbörd av böter

 

12.2.1

Verkställighet av uppbörd av böter

 

Regleringen av verkställighet av bötesstraff finns i bötesverkställighets-

 

lagen (1979:189) och bötesverkställighetsförordningen (1979:197).

 

Bötesstraff verkställs genom uppbörd eller indrivning. Uppbörd innebär

 

att den bötfällde får möjlighet att frivilligt betala böterna till en behörig

 

myndighet. Polismyndigheten är uppbördsmyndighet. Genom betalningen

 

är straffet verkställt. Sker inte frivillig betalning får bötesstraffet

 

verkställas tvångsvis genom indrivning. Indrivning hanteras av

 

Kronofogdemyndigheten. När det är föreskrivet att verkställighet ska ske

 

genom uppbörd har den enskilde alltså möjlighet att frivilligt betala innan

 

statens fordran överlämnas för indrivning.

 

Reglerna om verkställighet av bötesstraff gäller också för vissa viten och

148

sådan särskild rättsverkan av brott som innefattar betalningsskyldighet.

De närmare förutsättningarna för uppbörd regleras i 3 § bötes- Prop. 2018/19:65 verkställighetsförordningen. Verkställighet på grund av föreläggande eller

på grund av dom eller slutligt beslut som meddelats av allmän domstol ska i första hand ske genom uppbörd. Från den huvudregeln finns två undantag, nämligen om flera är solidariskt betalningsskyldiga eller om kvarstad har beslutats till säkerhet för fullgörande av betalnings- skyldigheten. I sådana fall ska verkställighet i stället ske genom indrivning direkt efter att domen eller beslutet fått laga kraft eller föreläggandet godkänts.

12.2.2Vad omfattas av reglerna om uppbörd?

Bötesstraff

Enligt 3 § bötesverkställighetsförordningen ska bötesstraff på grund av strafföreläggande, föreläggande av ordningsbot eller dom eller slutligt beslut från allmän domstol som huvudregel verkställas genom uppbörd. Alla bötesformerna – dagsböter, penningböter och normerade böter – kan alltså förekomma i uppbördsverksamheten.

Uppbörden sker enligt 2 § bötesverkställighetslagen så snart domen eller beslutet har meddelats eller strafföreläggandet eller föreläggandet av ordningsbot har utfärdats. Betalning kan också göras i förtid, som förskott (se nedan). Den bötfällde är dock inte skyldig att betala bötesstraffet förrän domen har fått laga kraft eller föreläggandet har godkänts.

Viten

Reglerna om bötesverkställighet gäller också för vite (25 kap. 9 § brottsbalken och 1 § andra stycket bötesverkställighetslagen). Av 3 § bötesverkställighetsförordningen följer att reglerna om uppbörd dock endast omfattar viten som dömts ut av allmän domstol i en dom eller ett slutligt beslut. Verkställighet sker i dessa fall på samma sätt som av bötesstraff, dvs. i första hand genom uppbörd. Viten som dömts ut i dom eller beslut från annan domstol eller beslut från myndighet verkställs i stället redan från början genom indrivning. Detsamma gäller beslut av en allmän domstol som inte är att anse som slutliga, t.ex. utdömt vite för att någon inte har inställt sig enligt kallelse till en förhandling.

Särskild rättsverkan

Beslut om sådan särskild rättsverkan av brott som innefattar betal- ningsskyldighet verkställs enligt 1 § andra stycket bötesverkställighets- lagen på samma sätt som bötesstraff, dvs. i första hand genom uppbörd. Det gäller beslut om värdeförverkande och företagsbot, om beloppet inte avser en solidariskt ålagd betalningsskyldighet eller har säkrats genom kvarstad (se ovan). Bestämmelserna om uppbörd gäller även för avgift enligt lagen om brottsofferfond samt för skyldighet att ersätta staten för kostnad för provtagning och analys av blod, urin och saliv.

149

Prop. 2018/19:65 12.2.3 Uppbördsförfarandet

Förskottsbetalning

Enligt 2 § andra stycket bötesverkställighetslagen får den misstänkte, trots att dom, strafföreläggande eller föreläggande av ordningsbot inte har meddelats respektive utfärdats, betala förskott på böter som kan komma att åläggas honom eller henne. Det görs genom ett förfarande med deposition av böter. En förskottsbetalning innebär inte ett godkännande av ett senare föreläggande.

Förskottsbetalning av böter görs enligt 2 § bötesverkställighets- förordningen till Polismyndigheten. I mål som Tullverket eller Kust- bevakningen hanterar får förskottsbetalning även göras till dessa myndigheter. Betalningen får tas emot av polisman, tull- eller kust- bevakningstjänsteman. Kvitto på betalningen ska lämnas och medlen ska redovisas till Polismyndigheten eller Tullverket. Betalning som har gjorts till Kustbevakningen ska redovisas till Polismyndigheten.

När bötesbeloppet har blivit fastslaget i ett föreläggande eller en dom ska Polismyndigheten eller Tullverket, om verket mottagit medlen, ta förskottsbetalningen i anspråk för verkställighet. Att sådana förskotts- medel tas i anspråk för betalning av böter anses enligt 4 § andra stycket bötesverkställighetslagen som uppbörd.

Den praktiska hanteringen vid uppbörd

Som framgått sker uppbörd genom att den bötfällde frivilligt betalar böterna till Polismyndigheten, eller i vissa fall genom förskottsbetalning till Tullverket. När en domstol dömer ut ett belopp som enligt 3 § bötesverkställighetsförordningen kan bli föremål för uppbörd, ska domstolen upplysa den bötfällde om möjligheten till frivillig betalning. När böter utfärdas i ett strafföreläggande eller ett föreläggande av ordningsbot ska den bötfällde på liknande sätt uppmanas att snarast betala böterna, om han eller hon godkänner föreläggandet (se 5 § strafföreläggandekungörelsen och 6 § ordningsbotskungörelsen).

När Polismyndigheten har fått information om att en dom har meddelats eller att det har utfärdats ett strafföreläggande eller ett föreläggande av ordningsbot skickar Polismyndigheten ut ett inbetalningskort till den bötfällde. Av inbetalningskortet framgår det vilket sammanlagt belopp som ska betalas. När det gäller föreläggande av ordningsbot är det normalt den tjänsteman vid Polismyndigheten, Tullverket eller Kustbevakningen som beslutar om föreläggandet som lämnar inbetalningskortet direkt på plats när föreläggandet utfärdas. I de fall där den förelagde inte är närvarande eller begär rådrum med godkännandet när föreläggandet utfärdas skickas inbetalningskortet ut tillsammans med föreläggandet.

Även om uppbördsförfarandet inleds omedelbart när en dom har meddelats eller ett föreläggande har utfärdats, är den bötfällde inte skyldig att betala beloppet innan domen eller föreläggandet har fått laga kraft. I många fall kan strafföreläggande och ordningsbotsföreläggande godkännas genom betalning, men i vissa fall förutsätts ett skriftligt godkännande. Om böterna inte betalas i tid kan de överlämnas till Kronofogdemyndigheten för indrivning.

150

Informationshanteringen vid uppbörd

Prop. 2018/19:65

Polismyndigheten använder flera it-system i uppbördsverksamheten. För

 

ärenden om uppbörd av böter på grund av föreläggande av ordningsbot

 

använder myndigheten ett nytt system som kallas Pur. Systemet hanterar

 

t.ex. utskick av påminnelser, registrering av att betalning har kommit in

 

och överföring av uppgifter till Kronofogdemyndigheten för indrivning.

 

För ärenden om verkställighet av bötesstraff på grund av

 

strafförelägganden respektive dom eller slutligt beslut av allmän domstol

 

använder Polismyndigheten i dagsläget två andra system, kallade Ubsf

 

(hanteringen av ärenden om verkställighet på grund av strafförelägganden)

 

och Ubdom (hanteringen av ärenden om bötesverkställighet på grund av

 

dom eller slutligt beslut). Avsikten är att dessa system ska avvecklas och

 

att alla uppbördsärenden ska hanteras i Pur. Själva betalningen hanteras i

 

ekonomisystemet Agresso.

 

Det system som åklagarna använder i ärenden om strafföreläggande,

 

Cåbra, överför uppgifter till Polismyndigheten för bl.a. uppbörd.

 

Uppgifterna förs in i systemet Ubsf.

 

Tullverkets system Envis som används i Tullverkets ärenden om

 

strafföreläggande, överför de uppgifter som behövs för uppbörden till

 

Polismyndigheten. Uppgifterna förs in i systemet Ubsf.

 

De uppgifter från tingsrätter som behandlas i brottmål och som behövs

 

för uppbörden förs från de allmänna domstolarnas mål- och

 

ärendehanteringssystem Vera till Polismyndigheten via RI-systemen där

 

uppgifterna görs om och sedan registreras i Ubdom.

 

De personuppgifter som Polismyndigheten behöver för sin upp-

 

bördsverksamhet överförs alltså som regel automatiserat. Uppgifter om

 

böter från hovrätt och Högsta domstolen förs in manuellt i Ubdom.

 

Detsamma gäller uppgifter från de allmänna domstolarna om utdömda

 

viten.

 

12.3Nuvarande reglering av personuppgiftsbehandlingen

Myndigheternas registerförfattningar

 

 

Polismyndigheten,

Tullverket, Kustbevakningen, Åklagarmyndigheten

 

och Ekobrottsmyndigheten hanterar samtliga personuppgifter i sitt arbete

 

med utfärdande av ordningsbot och strafföreläggande. Merparten av

 

personuppgiftsbehandlingen på brottsdatalagens område i dessa

 

myndigheter styrs från och med den 1 januari 2019 av nya

 

registerförfattningar som gäller utöver brottsdatalagen:

polisens

 

brottsdatalag, lagen (2018:1694) om Tullverkets behandling av person-

 

uppgifter inom brottsdatalagens område (Tullverkets brottsdatalag),

 

Kustbevakningens brottsdatalag och lagen (2018:1697) om åklagar-

 

väsendets behandling av personuppgifter inom brottsdatalagens område

 

(åklagarväsendets brottsdatalag).

 

 

På samma vis som beträffande brottsdatalagen är det syftet med

 

behandlingen – exempelvis att utreda eller lagföra brott – som avgör om

 

myndigheternas

registerförfattningar blir tillämpliga.

Register-

 

författningarna specificerar även vilka uppgifter som myndigheterna får

151

Prop. 2018/19:65 behandla personuppgifter för, dvs. vilka de tillåtna rättsliga grunderna för behandlingen är. Härutöver innehåller registerförfattningarna bl.a. särskilda bestämmelser om gemensamt tillgängliga uppgifter, längsta tid för behandling av vissa typer av uppgifter samt administrativa sanktionsavgifter vid överträdelser av vissa bestämmelser. Polisens brottsdatalag innehåller även särskilda bestämmelser om behandlingen av personuppgifter i vissa register som polismyndigheten för.

Särreglering för strafförelägganden och förelägganden om ordningsbot

För Polismyndighetens och Tullverkets del finns särskilda bestämmelser för delar av den personuppgiftsbehandling som sker vid registrering av förelägganden samt vid uppbörd av böter i förordningen (1997:902) om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot.

Förordningen om register över strafförelägganden

Enligt förordningen om register över strafförelägganden får det med hjälp av automatisk databehandling föras register över strafförelägganden.

Enligt 2 § får Tullverket föra register över strafförelägganden. Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, visst uppgiftslämnande och framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafföreläggande- register får innehålla.

Enligt 4 § ska Polismyndigheten föra ett register över uppbörd i ärenden om strafförelägganden. Registret får enligt 7 § användas för uppbörd enligt bötesverkställighetslagen i ärenden om strafföreläggande. Det får också användas för tillsyn, planering, uppföljning och framställning av statistik. I 10 § anges vilka uppgifter registret får innehålla.

Tidigare omfattade förordningen om register över strafförelägganden även åklagares behandling av personuppgifter vid hanteringen av strafförelägganden. De bestämmelserna utmönstrades dock i samband med tillkomsten av åklagardatalagen (propositionen Åklagardatalag, prop. 2014/15:63, s. 44–45).

Förordningen om register över förelägganden av ordningsbot

I förordningen om register över förelägganden av ordningsbot ges Polismyndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot. All registrering av förelägganden av ordningsbot hanteras i registret. Polismyndigheten är personupp- giftsansvarig för registret men Tullverket är personuppgiftsansvarig för uppgifter i de ärenden som handläggs av verket.

Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter och för tillsyn, planering, uppföljning och framställning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.

152

12.4

Tillämplig reglering efter dataskyddsreformen

Prop. 2018/19:65

Regeringens bedömning: Behandling av personuppgifter vid registrering av strafföreläggande och föreläggande av ordningsbot omfattas av brottsdatalagen.

Behandling av personuppgifter vid uppbörd av böter omfattas av brottsdatalagen, utom när det gäller uppbörd av vissa viten. Sådan personuppgiftsbehandling omfattas av dataskyddsförordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

Skälen för regeringens bedömning: Den registrering av förelägganden samt den uppbördsverksamhet som omfattas av förslagen i detta kapitel utförs av Polismyndigheten och Tullverket. Dessa myndigheter har bland annat till uppgift att utreda och lagföra brott samt verkställa straffrättsliga påföljder (åtminstone i form av uppbörd) och kan därmed vara behöriga i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Avgörande för om brottsdatalagen eller dataskyddsförordningen ska vara tillämplig på den personuppgiftsbehandling som sker i dessa verksamheter är då, som redogjorts för tidigare, om syftet med behandlingen är sådant som anges i 1 kap. 2 § brottsdatalagen.

Myndigheternas arbete i samband med förelägganden är att hänföra till deras uppgift att utreda och lagföra brott. Den personuppgiftsbehandling som utförs när ett bötesstraff föreläggs genom ett strafföreläggande eller ett föreläggande av ordningsbot ligger därför inom brottsdatalagens tillämpningsområde. Detsamma gäller enligt regeringens bedömning sådant enskilt anspråk som kan tas upp i ett strafföreläggande. De processuella reglerna om talan om ansvar för brott tillämpas även på sådant enskilt anspråk och frågan måste då anses så oupplösligt förenad med ansvarsfrågan att brottsdatalagen bör tillämpas vid personuppgiftsbehandlingen (prop. 2017/18:232 s. 112 f.). Slutligen bör även den behandling av personuppgifter som utförs när särskild rättsverkan tas upp i förelägganden omfattas av brottsdatalagen; om inte annat så följer detta av att frågan, på samma vis som vad gäller enskilt anspråk, är oupplösligt förenad med ansvarsfrågan. Detta innebär att all personuppgiftsbehandling vid registrering av förelägganden omfattas av brottsdatalagen.

Uppbörd är en del av verkställigheten av bötesstraff. Syftet med personuppgiftsbehandlingen vid uppbörd av själva bötesstraffet ligger därmed inom brottsdatalagens tillämpningsområde. Detsamma måste, av samma skäl som ovan, anses gälla uppbörd av belopp som avser särskild rättsverkan av brott. All personuppgiftsbehandling som sker vid uppbörd av bötesstraff och särskild rättsverkan av brott omfattas alltså av brottsdatalagen.

När det slutligen gäller viten omfattar reglerna om uppbörd, som framgår av avsnitt 12.2.2, endast viten som dömts ut av allmän domstol i en dom eller ett slutligt beslut. Sådana viten kan avse t.ex. att en förälder ska lämna ifrån sig sitt barn vid umgänge. Det kan också vara viten enligt miljöbalken eller plan- och bygglagen. Syftet med personupp-

153

Prop. 2018/19:65 giftsbehandlingen vid uppbörd av sådana viten ligger utanför brotts- datalagens tillämpningsområde. Det finns dock viten som skulle kunna omfattas av brottsdatalagens tillämpningsområde. Ett exempel är att någon vid vite kallas att inställa sig till förhör under förundersökningen enligt 23 kap. 6 a § rättegångsbalken. Frågor om utdömande av sådana viten prövas enligt 23 kap. 6 b § av åklagaren, men det finns även möjlighet att begära rättens prövning. Detta innebär att personuppgiftsbehandlingen i samband med uppbörd av de flesta viten inte omfattas av brottsdatalagen utan av dataskyddsförordningen, men att det är syftet i det enskilda fallet som är avgörande för vilken av rättsakterna som ska tillämpas.

12.5Personuppgiftsbehandling vid registrering av förelägganden

12.5.1Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar

Regeringens bedömning: Behandlingen av personuppgifter vid registrering av förelägganden bör styras av polisens brottsdatalag respektive Tullverkets brottsdatalag.

Detta innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller personuppgiftsbehandling i samband med registrering av strafförelägganden och förelägganden av ordningsbot.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Sveriges advokatsamfund lyfter vikten av en hög

säkerhetsnivå vid behandling av personuppgifter som angår brott eller lagföring för brott. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning: Enligt förordningen om register över förelägganden av ordningsbot får Polismyndigheten behandla personuppgifter i ett register över förelägganden av ordningsbot. Registret får användas för såväl handläggning av ärenden om föreläggande av ordningsbot som uppbörd av böter på grund av sådana förelägganden. Numera använder Polismyndigheten två olika tekniska system i ordningsbotsverksamheten – Orbit för utfärdade förelägganden och Pur för uppbörd. Det förs alltså inte längre ett samlat ordningsbotsregister, utan personuppgiftsbehandlingen är uppdelad beroende på vilket syfte den har.

Tullverket för ett register över strafförelägganden med stöd av förordningen om register över strafförelägganden. De förelägganden av ordningsbot som Tullverket utfärdar registreras i Polismyndighetens it- system med stöd av förordningen om register över förelägganden av ordningsbot.

Utfärdande av förelägganden ingår i myndigheternas uppgift att lagföra brott. Personuppgiftsbehandlingen vid utfärdande av föreläggande av ordningsbot och tullåklagares utfärdande av strafföreläggande styrs av

myndigheternas registerförfattningar medan registrering av förelägganden

154

regleras i förordningen om register över strafförelägganden och Prop. 2018/19:65 förordningen om register över förelägganden av ordningsbot. Regeringen

har emellertid i tidigare lagstiftningsärende uttalat att en utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (prop. 2017/18:269 s. 100). Den behandling av personuppgifter som åklagare utför vid registrering av strafförelägganden styrs från den 1 januari 2019 av åklagarväsendets brottsdatalag. Det finns mot den bakgrunden inte längre skäl att reglera personuppgiftsbehandling vid registrering av förelägganden särskilt. Vid införandet av polisdatalagen gjordes bedömningen att Rikspolisstyrelsens register över förelägganden av ordningsbot huvudsakligen var ett stöd för polisen vid verkställighet av påföljder. Registret ansågs därför primärt ha ett annat ändamål än brottsbe- kämpning och falla utanför polisdatalagens tillämpningsområde (prop. 2009/10:85 s. 76 f.). Att registret i lika hög grad används vid utfärdande av förelägganden berördes inte. Det finns därför inget hinder mot att nu låta Polismyndighetens behandling av personuppgifter vid registrering av förelägganden – vilken sker i syfte att lagföra brott – styras av polisens brottsdatalag. Det finns inte heller något som hindrar att Tullverkets motsvarande personuppgiftsbehandling styrs av Tullverkets brottsdatalag.

Polisens brottsdatalag och Tullverkets brottsdatalag bör därför styra den personuppgiftsbehandling som utförs av respektive myndighet vid registrering av förelägganden. Det innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller personuppgifts- behandling i samband med registrering av strafföreläggande och föreläggande av ordningsbot.

Som Sveriges advokatsamfund påpekar är det av vikt att personuppgifter av aktuellt slag behandlas på ett säkert sätt. Regeringen konstaterar att regleringen om säkerheten för personuppgifter i 3 kap. 8–11 §§ brottsdatalagen blir direkt tillämplig på den personuppgiftsbehandling som sker vid Polismyndighetens och Tullverkets registrering av förelägganden, liksom på efterföljande behandling i uppbördsverksamheten. Det finns därför inte något behov av att reglera dessa frågor särskilt.

12.5.2Myndigheternas registerförfattningar behöver inte anpassas

Regeringens bedömning: Polismyndighetens behandling av personuppgifter vid registrering av förelägganden av ordningsbot bör inte regleras som ett särskilt register i polisens brottsdatalag.

Det behövs inte någon särskild bestämmelse om hur länge Polismyndigheten respektive Tullverket får behandla personuppgifter i ärenden om strafföreläggande och föreläggande av ordningsbot.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

bedömning.

155

Prop. 2018/19:65

156

Skälen för regeringens bedömning

Vissa register särregleras i polisens brottsdatalag

I förarbetena till polisdatalagen angav regeringen att målsättningen bör vara att i möjligaste mån undvika särregleringar av vissa speciella informa- tionssamlingar eller viss personuppgiftsbehandling för att regleringen så långt möjligt ska vara teknikneutral. Regeringen konstaterade dock att det finns viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (prop. 2009/10:85 s. 229). Vissa register regleras därför särskilt i 5 kap. polisens brottsdatalag. Det gäller dna-registren, fingeravtrycks- och signalementsregister, penning- tvättsregister, det internationella registret samt tillträdesförbudsregistret.

Skälen till varför de olika registren regleras särskilt skiljer sig åt (prop. 2009/10:85 s. 231, 235, 241 f. och 245 f.). Dna-registren och fingeravtrycks- och signalementsregistren regleras särskilt på grund av att det är speciella slag av uppgifter som behandlas. Dessutom förutsätter det s.k. Prümrådsbeslutet att varje medlemsstat har nationella register över dna-profiler och fingeravtryck för att andra medlemsstater ska kunna medges direktåtkomst till dem. När det gäller penningtvättsregister och det internationella registret är skälet till särregleringen att de allmänna reglerna om gemensamt tillgängliga uppgifter inte passar för den personuppgiftsbehandling som krävs. Personuppgifter som behandlas i penningtvättsregister har inte alltid det nödvändiga sambandet med konkreta brott eller brottslig verksamhet som krävs för att få göra uppgifterna gemensamt tillgängliga. Framför allt bestämmelserna om sökbegränsningar och hur länge uppgifter får behandlas passar mindre väl för behandling av personuppgifter i det internationella registret.

Regeringen delar bedömningen i promemorian att varken uppgifternas karaktär eller verksamhetens natur är sådan att det motiverar att personuppgiftsbehandlingen vid registrering av ordningsbots- förelägganden regleras som ett särskilt register i 5 kap. polisens brottsdatalag. Det bör emellertid ändå övervägas om bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag är ändamåls- enliga eller om det finns skäl att särreglera personuppgiftsbehandlingen.

I Tullverkets brottsdatalag finns det ingen motsvarande särreglering av register. Det finns därför inte skäl att överväga motsvarande fråga för Tullverkets personuppgiftsbehandling.

Reglerna om gemensamt tillgängliga uppgifter är ändamålsenliga

I 3 kap. polisens brottsdatalag finns det särskilda regler om uppgifter som har gjorts gemensamt tillgängliga. Gemensamt tillgängliga uppgifter är sådana uppgifter som fler än ett fåtal personer har tillgång till. Det saknar betydelse hur många som faktiskt tar del av uppgifterna, det avgörande är att det finns möjlighet att ta del av dem. Reglerna i 3 kap. gäller inte för de register som regleras särskilt i 5 kap.

I 3 kap. 2 § första stycket polisens brottsdatalag anges vilka per- sonuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som förekommer i ärenden om utredning av eller lagföring för brott. Utfärdande av förelägganden av ordningsbot ingår i uppgiften att utreda och lagföra brott. Registrerade förelägganden får alltså göras gemensamt tillgängliga enligt dagens reglering.

För att värna den personliga integriteten finns det särskilda be- gränsningar vid sökning i gemensamt tillgängliga uppgifter. I 3 kap. 5 § regleras vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer och andra liknande identitets- beteckningar i automatiserade behandlingssystem. Det gäller bl.a. upp- gifter om att någon är anmäld för brott eller är eller har varit misstänkt för brott. Något tillägg behöver därför inte göras i bestämmelsen.

I 3 kap. 6 § görs undantag från begränsningsregeln i 5 §. Begräns- ningsregeln gäller inte vid sökning i en viss handling eller i ett visst ärende och inte heller vid sökning som under vissa förutsättningar görs av särskilt angivna tjänstemän i underrättelseverksamhet, för att utreda mycket allvarliga brott eller för att samordna utredningar om brott som kan vara systematiska. Den gäller inte heller för sökning som görs av tjänstemän vid Polismyndighetens ledningscentraler på begäran av en polisman som verkställer ett ingripande. Det finns inte behov av något ytterligare undantag från begränsningsregeln i 5 § när det gäller registrering av förelägganden.

Enligt 3 kap. 7 § får bl.a. Säkerhetspolisen, Tullverket och Kust- bevakningen medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga. Det är de myndigheter som enligt 4 § förordningen om register över förelägganden av ordningsbot får ha direktåtkomst till registret. Tullverkets och Kustbevakningens direktåtkomst är i dag begränsad till uppgifter i de ärenden i registret som handläggs hos respektive myndighet. Enligt 3 kap. 6 § brottsdatalagen ska tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen omfattar även att tillgången till personuppgifter i system som myndigheten får tillgång till genom direktåtkomst ska begränsas (prop. 2017/18:232 s. 181). Direkt- åtkomsten blir därför inte vidare för att den generella bestämmelsen om direktåtkomst till gemensamt tillgängliga personuppgifter blir tillämplig.

Sammantaget är bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag ändamålsenliga för den personuppgiftsbehandling som förekommer vid registrering av ordningsbotsförelägganden. Personuppgiftsbehandlingen bör därför inte regleras som ett särskilt register i 5 kap. polisens brottsdatalag.

Det behövs inte någon särreglering av hur länge personuppgifter får behandlas

Enligt 10 § förordningen om register över förelägganden av ordningsbot ska uppgifter i registret gallras senast sex år efter det kalenderår då föreläggandet utfärdades. Uppgifter i ett strafförelägganderegister ska enligt 19 § förordningen om register över strafförelägganden gallras senast tre år efter det kalenderår då föreläggandet utfärdades.

Enligt huvudregeln i 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Bestämmelsen kompletteras av bestämmelser i registerförfattningarna om hur länge olika kategorier av gemensamt tillgängliga uppgifter får behandlas. I 4 kap. 4 § polisens brottsdatalag och 4 kap. 5 § Tullverkets brottsdatalag anges hur länge personuppgifter i förundersökningar får behandlas för ändamål inom

Prop. 2018/19:65

157

Prop. 2018/19:65 registerförfattningens tillämpningsområde. Av första stycket i respektive paragraf framgår att uppgifterna får behandlas fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft om förundersökningen har lett till åtal. Om förundersökningen har lagts ner eller avslutats på annat sätt än genom åtal får de enligt andra stycket behandlas fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Enligt tredje stycket gäller bestämmelserna även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

158

I den mån strafförelägganden inte föregås av en förundersökning omfattas de av bestämmelsen om förenklade utredningar i 23 kap. 22 § rättegångsbalken. Det gör även förelägganden av ordningsbot. Det innebär att det redan av regleringen i polisens brottsdatalag och Tullverkets brottsdatalag kommer att följa att personuppgifter i strafförelägganden och förelägganden av ordningsbot som längst får behandlas i fem år från utgången av det kalenderår då föreläggandet godkändes. Den längsta tiden för behandling blir alltså något kortare för personuppgifter i förelägganden av ordningsbot medan den blir längre för personuppgifter i ärenden om strafförelägganden. Ingen remissinstans har invänt mot detta. Det finns därför inte behov av någon särskild reglering av hur länge personuppgifter i ärenden om föreläggande får behandlas. En förutsättning för att uppgifterna ska få fortsätta att behandlas är att de behövs för något eller några av lagens ändamål.

12.5.3Sekretess

Regeringens förslag: Sekretess ska gälla i verksamhet som avser förande av eller uttag ur register, för uppgift som har tillförts register över strafföreläggande och föreläggande av ordningsbot.

Sekretessen ska inte gälla i ärende om strafföreläggande eller föreläggande av ordningsbot.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

förslag.

Skälen för regeringens förslag: I 35 kap. offentlighets- och sekretesslagen regleras sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. Sekretessen enligt 35 kap. 1 § skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter som förekommer i utredning enligt bestämmelserna om förundersökning i brottmål (punkt 1), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen (punkt 4), register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag eller som annars behandlas med stöd av de bestämmelserna (punkt 5), misstankeregistret (punkt 6) och register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av den lagen (punkt 9). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller endast om det inte står klart att uppgiften kan röjas utan

att den enskilde eller någon närstående lider skada eller men. Enligt Prop. 2018/19:65 35 kap. 6 § gäller sekretessen inte för beslut att väcka åtal eller att inte

inleda eller lägga ner en förundersökning.

Bestämmelser om sekretess för vissa andra av Polismyndighetens register än de som anges i 35 kap. 1 § finns i 35 kap. 3 och 4 §§. Sek- retessen enligt dessa paragrafer är absolut, vilket innebär att uppgifterna ska hemlighållas utan någon skadeprövning om de begärs ut. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot. Bestämmelsen innebär bl.a. att, i annat fall än som avses i 35 kap. 1 § första stycket 5 och 6 och 3 §, sekretess gäller i verksamhet som avser förande av eller uttag ur register för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot (punkt

1). Sekretess gäller dock inte i ärende om strafföreläggande eller föreläggande av ordningsbot.

Skälen för att uppgifter i belastningsregistret och i register över strafförelägganden och förelägganden av ordningsbot omfattas av absolut sekretess görs sig alltjämt gällande när det gäller registrerade förelägganden. Vid införandet av åklagardatalagen konstaterade rege- ringen att sekretessbestämmelsen i 35 kap. 4 § offentlighets- och sekretesslagen inte behövde ändras med anledning av att förordningen om register över strafförelägganden skulle upphävas i den del som rörde åklagarväsendet (prop. 2014/15:63 s. 118). Bestämmelsen kan alltså behållas även om förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot skulle upphävas i de delar som gäller personuppgiftsbehandling i samband med registrering av strafföreläggande och föreläggande av ordningsbot. Eftersom registren inte längre kommer att regleras särskilt bör bestämmelsen dock formuleras om så att sekretessen avser uppgift som har tillförts register över strafförelägganden eller förelägganden av ordningsbot. Sekretessen bör som tidigare inte omfatta uppgifter i ärenden om strafföreläggande eller förläggande av ordningsbot.

12.6Personuppgiftsbehandling vid uppbörd av böter

12.6.1Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar

Regeringens förslag: Polisens brottsdatalag ska gälla när Polismyndigheten i egenskap av behörig myndighet behandlar person- uppgifter i syfte att verkställa uppbörd. Tullverkets brottsdatalag ska gälla när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa uppbörd.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att Polisens brottsdatalag och Tullverkets brottsdatalag ska gälla när respektive myndighet i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa straffrättsliga påföljder.

159

Prop. 2018/19:65 Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.

Skälen för regeringens förslag: Av 3 § bötesverkställighets- förordningen framgår att Polismyndigheten är central uppbördsmyndighet. Även Tullverket bedriver viss uppbördsverksamhet eftersom myndigheten enligt 4 § bötesverkställighetsförordningen kan ta medel som betalts in som förskottsbetalning av böter i anspråk för betalning av böterna och det enligt 4 § andra stycket bötesverkställighetslagen anses som uppbörd.

Som framgår av avsnitt 12.4 ligger personuppgiftsbehandling vid uppbörd av böter till största delen inom brottsdatalagens tillämp- ningsområde. När det gäller personuppgiftsbehandling vid uppbörd av vite är det dock dataskyddsförordningen som i de allra flesta fall är tillämplig. Både brottsdatalagen och dataskyddsförordningen kan vid behov kompletteras av mer preciserade bestämmelser i andra författningar.

Tillämpningsområdet för både polisens och Tullverkets brottsdatalag utgår, på samma sätt som brottsdatalagen, från syftet med personuppgiftsbehandlingen och att myndigheten agerar i egenskap av behörig myndighet. De båda lagarna gäller när Polismyndigheten respektive Tullverket, i egenskap av behörig myndighet, behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott eller, vad gäller Polismyndigheten, upprätthålla allmän ordning och säkerhet. Med hänvisning till att förslaget i promemorian om Polismyndighetens behandling av personuppgifter vid uppbörd av böter var under beredning, avstod regeringen däremot från att lämna några förslag när det gäller Polismyndighetens personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder (prop. 2017/18:269 s. 145). Det finns emellertid inget som hindrar att tillämpningsområdet för både polisens brottsdatalag och Tullverkets brottsdatalag omfattar personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder.

Ett alternativ till att reglera personuppgiftsbehandling i samband med uppbörd av böter i en särskild författning är alltså att låta den styras av polisens respektive Tullverkets brottsdatalag. En sådan lösning ligger väl i linje med utgångspunkten att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (prop. 2017/18:269 s. 100). Nackdelen är att regleringen av personuppgiftsbehandlingen i samband med uppbörd av böter då inte hålls samman, eftersom uppbörd av vite i de flesta fall ligger utanför brottsdatalagens och registerförfattningarnas tillämpnings- områden. Det är dock en mycket liten del av personuppgiftsbehandlingen som inte omfattas av dessa författningars tillämpningsområde. En särskild lag om personuppgiftsbehandling vid uppbörd av böter skulle dessutom behöva förhålla sig till både brottsdatalagen och dataskyddsförordningen, vilket innebär att det ändå inte blir samma regler som gäller för all personuppgiftsbehandling. Mot den bakgrunden talar övervägande skäl för att hålla samman myndigheternas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i myndigheternas respektive registerförfattning. Polisens respektive Tullverkets brottsdatalag bör därför styra den personuppgiftsbehandling vid uppbörd av böter som ligger inom brottsdatalagens tillämpningsområde.

160

I promemorian har föreslagits att detta bör ske genom att tillämpnings- Prop. 2018/19:65 området för registerförfattningarna ändras så att det också omfattar per- sonuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder.

Regeringen konstaterar att en sådan reglering skulle få till följd att även personuppgiftsbehandling som Polismyndigheten utför vid annat verkställande av straffrättsliga påföljder än uppbörd av böter omfattas av polisens brottsdatalag, exempelvis skulle Polismyndighetens person- uppgiftsbehandling vid verkställande av utvisning på grund av brott kunna komma att träffas. Något underlag för att bedöma om en sådan utvidgning är lämplig, eller om den skulle kräva ytterligare följdändringar än de som föreslås i kommande avsnitt, innehåller inte promemorian. Regeringen anser därför att ändringen av tillämpningsområdet för polisens respektive Tullverkets brottsdatalag bör begränsas till att även omfatta person- uppgiftsbehandling i syfte att verkställa uppbörd.

Regeringen återkommer i avsnitt 12.6.6 till frågan om hur den person- uppgiftsbehandling i samband med uppbörd av viten som ligger utanför brottsdatalagens tillämpningsområde bör regleras.

12.6.2Bestämmelserna om gemensamt tillgängliga uppgifter bör styra personuppgiftsbehandlingen

Regeringens bedömning: Polismyndighetens behandling av person- uppgifter i samband med uppbörd av böter bör inte regleras som ett särskilt register i polisens brottsdatalag.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Sveriges advokatsamfund är tveksamt till en

reglering som innebär att personuppgifter ska kunna behandlas för nya ändamål efter en särskild prövning av nödvändighet och proportionalitet, eftersom det blir svårt att förutse vilka nya ändamål personuppgifterna skulle kunna komma att användas för. Samfundet förordar därför en exklusiv uppräkning av de ytterligare ändamål som skulle kunna komma i fråga, så att de registrerade ges en rimlig chans att kunna förutse för vilka ändamål uppgifterna kan behandlas. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Personuppgiftsbehandlingen bör särregleras bara om det finns särskilda skäl för det

Som framgått i avsnitt 12.5.1 har målsättningen sedan polisdatalagens till- komst varit att i möjligaste mån undvika särregleringar av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Av skäl som redovisats i samma avsnitt regleras ändå vissa av de register som Polismyndigheten för särskilt i 5 kap. polisens brottsdatalag.

Regeringen delar bedömningen i promemorian att varken uppgifternas karaktär eller verksamhetens natur är sådan att det motiverar att personuppgiftsbehandlingen vid uppbörd av böter regleras som ett särskilt register i 5 kap. polisens brottsdatalag. Det bör emellertid ändå övervägas

om bestämmelserna om gemensamt tillgängliga uppgifter i polisens

161

Prop. 2018/19:65

162

brottsdatalag är ändamålsenliga eller om det finns skäl att särreglera personuppgiftsbehandlingen.

I Tullverkets brottsdatalag finns det ingen motsvarande särreglering av register. Med hänsyn till det finns det inte skäl att överväga någon särreglering. Det blir i stället fråga om att anpassa vissa bestämmelser i Tullverkets brottsdatalag, vilket behandlas i avsnitt 12.6.3–12.6.5.

Rättslig grund och ändamål för behandling

I 2 kap. 1 § polisens brottsdatalag anges de tillåtna rättsliga grunderna för behandling av personuppgifter. Där anges att personuppgifter får behandlas om det är nödvändigt för att Polismyndigheten ska kunna utföra vissa uppgifter, bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet och utreda eller lagföra brott. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften.

Enligt 2 kap. 3 § första stycket brottsdatalagen får personuppgifter behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Innan uppgifterna behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det finns en tillåten rättslig grund för den nya behandlingen och att den är nödvändig och proportionerlig för det nya ändamålet. Ska uppgifterna i stället behandlas för ett nytt ändamål utanför brottsdatalagens tillämpningsområde ska det enligt 2 kap. 22 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet; i det fallet följer kravet på rättslig grund i stället direkt av dataskyddsförordningen. Bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen ersätter de sekundära ändamålsbestämmelser som tidigare funnits i 2 kap. 8 § polisdatalagen (prop. 2017/18:269 s. 152).

Av bötesverkställighetslagen och bötesverkställighetsförordningen framgår att böter verkställs genom uppbörd eller indrivning och att Polismyndigheten har till uppgift att bedriva uppbördsverksamhet. Om bestämmelsen om tillåten rättslig grund i polisens brottsdatalag anpassas så att den ger stöd för att behandla personuppgifter i uppbörds- verksamheten (se avsnitt 12.6.3) blir även bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen om behandling för nya ändamål tillämpliga. De nämnda bestämmelserna reglerar generellt möjligheterna till sådan behandling på brottsdatalagens område och regeringen har i samband med införandet av polisens brottsdatalag bedömt att denna härutöver inte bör innehålla sådan särskild reglering som Sveriges advokatsamfund föreslår (prop. 2017/18:269 s. 139–142). Något skäl för en annan bedömning avseende just personuppgiftsbehandlingen i ärenden om uppbörd finns inte. Till skillnad från Sveriges advokatsamfund anser regeringen därför inte att det finns något behov av särskilda ändamålsbestämmelser för uppbördsverksamheten.

Vilka personuppgifter som får behandlas behöver inte regleras

Enligt 2 kap. 8 § brottsdatalagen ska personuppgifter som behandlas vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med

hänsyn till ändamålen med behandlingen. Detta innebär att ovid- Prop. 2018/19:65 kommande uppgifter inte får behandlas och att en fortlöpande bedömning

måste göras (prop. 2017/18:232 s. 445).

Som konstateras i promemorian skiljer sig behovet av att behandla personuppgifter åt beroende på om ändamålet är att registrera ordningsbotsförelägganden eller att verkställa bötesstraff. Numera behandlas personuppgifter vid registrering av förelägganden och vid uppbörd i olika system, vilket gör att inte alla uppgifter som får registreras enligt dagens reglering i fortsättningen är adekvata och relevanta för ändamålet att verkställa bötesstraff. Det finns anledning att särskilt påpeka att det i uppbördsärenden inte finns behov av att behandla uppgifter om den brottsliga gärningen. Där räcker det med uppgiften om att böter har dömts ut och med vilket belopp. Uppgifter om den brottsliga gärningen är därför varken adekvata eller relevanta för ändamålet att verkställa bötesstraffet och får inte behandlas i det sammanhanget.

Utöver bestämmelsen i 2 kap. 8 § brottsdatalagen finns i 5 kap. polisens brottsdatalag, för vissa av de register som där regleras särskilt, särskilda bestämmelser om registers innehåll. Regeringen delar emellertid bedömningen i promemorian att det inte finns tillräckliga skäl för att på motsvarande vis särreglera personuppgiftsbehandlingen i samband med uppbörd av böter.

Reglerna om gemensamt tillgängliga uppgifter är ändamålsenliga

 

Som redogjorts för i avsnitt 12.5.2 finns det i 3 kap. polisens brottsdatalag

 

särskilda bestämmelser om uppgifter som har gjorts gemensamt

 

tillgängliga, dvs. sådana uppgifter som fler än ett fåtal personer har tillgång

 

till. Reglerna i 3 kap. gäller inte för de register som regleras särskilt i 5 kap.

 

För att uppbördsverksamheten ska kunna bedrivas effektivt måste fler

 

än ett fåtal personer inom Polismyndigheten kunna behandla per-

 

sonuppgifter i ärenden om uppbörd. Det innebär att uppgifter i upp-

 

bördsärenden måste kunna göras gemensamt tillgängliga om person-

 

uppgiftsbehandlingen inte regleras som ett särskilt register. Eftersom

 

straffverkställighet inte omfattas av tillämpningsområdet för polisens

 

brottsdatalag i dag måste bestämmelsen om vilka uppgifter som får göras

 

gemensamt tillgängliga anpassas för att uppgifter i ärenden om uppbörd

 

av böter ska kunna göras gemensamt tillgängliga (se avsnitt 12.6.4). Som

 

framgår av avsnitt 12.6.5 behövs det även bestämmelser om hur länge

 

personuppgifter

får

behandlas

i uppbördsverksamheten. Att

 

bestämmelserna om gemensamt tillgängliga uppgifter i övrigt är

 

ändamålsenliga för personuppgiftsbehandlingen i samband med uppbörd

 

av böter behandlas i avsnitt 12.6.4.

 

 

Personuppgiftsbehandling i samband med uppbörd av böter bör inte

 

regleras som ett särskilt register i polisens brottsdatalag

 

Som konstaterats är varken personuppgifternas karaktär eller

 

verksamhetens natur sådan att det finns skäl att särreglera

 

personuppgiftsbehandlingen vid uppbörd av böter. Bestämmelserna om

 

gemensamt tillgängliga uppgifter behöver anpassas för att omfatta även

 

personuppgifter i ärenden om uppbörd men är i övrigt ändamålsenliga. Det

 

finns inte heller

behov

av några

bestämmelser utöver de allmänna

163

 

 

 

 

Prop. 2018/19:65 bestämmelser som finns i brottsdatalagen och polisens brottsdatalag för att styra personuppgiftsbehandlingen. Sammantaget innebär detta att det inte finns skäl att reglera personuppgiftsbehandlingen vid uppbörd av böter som ett särskilt register i polisens brottsdatalag. Den bör i stället styras av bestämmelserna om gemensamt tillgängliga uppgifter.

12.6.3Rättslig grund

Regeringens förslag: Bestämmelserna om rättsliga grunder i polisens brottsdatalag och Tullverkets brottsdatalag ska ändras så att personuppgifter även får behandlas om det är nödvändigt för att verkställa uppbörd.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att personuppgifter ska få behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att verkställa straffrättsliga påföljder.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.

Skälen för regeringens förslag: De tillåtna rättsliga grunderna för personuppgiftsbehandling regleras i 2 kap. 1 § polisens brottsdatalag res- pektive 2 kap. 1 § Tullverkets brottsdatalag. Där anges att personuppgifter får behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Polismyndigheten får även behandla personuppgifter om det är nödvändigt för att upprätthålla allmän ordning och säkerhet. När tillämpningsområdet för register- författningarna nu föreslås omfatta personuppgiftsbehandling i syfte att verkställa uppbörd bör även de tillåtna rättsliga grunderna för person- uppgiftsbehandling omfatta verkställighet av uppbörd.

12.6.4Gemensamt tillgängliga uppgifter

Regeringens förslag: Bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag och Tullverkets brottsdatalag ska ändras så att även personuppgifter som förekommer i ett ärende om uppbörd ska få göras gemensamt tillgängliga.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians

förslag.

Skälen för regeringens förslag: I 3 kap. 2 § första stycket polisens brottsdatalag och 3 kap. 2 § första stycket Tullverkets brottsdatalag anges vilka personuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. När tillämpningsområdet för registerförfattningarna nu föreslås omfatta även verkställighet av uppbörd bör bestämmelserna ändras så att uppgifter i ärenden om uppbörd av böter kan göras gemensamt till- gängliga.

164

För att värna den personliga integriteten finns det särskilda be- Prop. 2018/19:65 gränsningar vid sökning i gemensamt tillgängliga uppgifter. I 3 kap. 5 § i

båda registerförfattningarna regleras vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i automatiserade behandlingssystem. Det gäller bl.a. uppgifter om att någon är anmäld för brott eller är eller har varit misstänkt för brott. Syftet med bestämmelserna är att det vid en initial allmän sökning bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara polisiärt intressanta eller av motsvarande intresse för Tullverket (prop. 2017/18:269 s. 165 och s. 185). Ur det perspektivet bör det vara tillräckligt att uppgifter om att någon är anmäld för eller har varit misstänkt för brott kan tas fram. Något tillägg behöver därför inte göras i bestämmelserna i fråga.

I 3 kap. 6 § i båda registerförfattningarna görs undantag från be- gränsningsregeln i 5 §. Begränsningsregeln gäller inte vid sökning i en viss handling eller i ett visst ärende och inte heller vid sökning som under vissa förutsättningar görs av särskilt angivna tjänstemän i underrättelse- verksamhet, för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller för att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Den gäller inte heller för sökning som görs av tjänstemän vid Polismyndig- hetens eller Tullverkets ledningscentraler på begäran av en polisman eller tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Det finns inte behov av något ytterligare undantag från begränsningsregeln i 5 §.

Enligt 4 § förordningen om register över förelägganden av ordningsbot får Säkerhetspolisen, Tullverket och Kustbevakningen ha direktåtkomst till registret. Tullverkets och Kustbevakningens direktåtkomst är begränsad till uppgifter i de ärenden i registret som handläggs hos respektive myndighet. Enligt uppgift från Polismyndigheten har någon direktåtkomst till uppbördsregistret inte medgetts. För det fall det skulle finnas behov av att medge direktåtkomst till uppgifterna kan det göras med stöd av bestämmelsen i 3 kap. 7 § polisens brottsdatalag, enligt vilken bl.a. Säkerhetspolisen, Kustbevakningen och Tullverket får medges direkt- åtkomst till uppgifter som har gjorts gemensamt tillgängliga.

I 4 kap. i båda registerförfattningarna finns bestämmelser om längsta tid för behandling av olika kategorier av gemensamt tillgängliga uppgifter. Vad som i detta avseende bör gälla för uppgifter i ärenden om uppbörd behandlas i följande avsnitt.

12.6.5

Längsta tid för behandling

 

 

 

Regeringens förslag: I polisens brottsdatalag och Tullverkets

 

brottsdatalag ska det införas bestämmelser om att personuppgifter i ett

 

ärende om uppbörd inte får behandlas för ändamål inom

 

registerförfattningens tillämpningsområde längre än fem år efter

 

utgången av det kalenderår då domstolens avgörande fick laga kraft

 

eller strafföreläggandet eller föreläggandet av ordningsbot godkändes.

 

Polismyndigheten ska dock få behandla personuppgifter som avser

 

värdeförverkande eller företagsbot i tio år.

165

 

 

Prop. 2018/19:65

166

De föreslagna bestämmelserna ska även gälla för uppgifter om juridiska personer.

En överträdelse av de föreslagna bestämmelserna ska kunna medföra en administrativ sanktionsavgift.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Sveriges advokatsamfund är tveksamt till den

föreslagna beloppsbegränsningen av sanktionsavgifterna, detta bl.a. med hänsyn till att det kan signalera att det anses avsevärt mindre allvarligt när myndigheter åsidosätter bestämmelserna än när det är fråga om andra aktörers åsidosättanden. Övriga remissinstanser yttrar sig inte över förslaget.

Skälen för regeringens förslag: Enligt huvudregeln i 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Bestämmelsen kompletteras av bestämmelser i 4 kap. polisens brottsdatalag och 4 kap. Tullverkets brottsdatalag om hur länge olika kategorier av gemensamt tillgängliga uppgifter får behandlas. Eftersom registerförfattningarna hittills inte har omfattat någon form av straffverkställighet finns det inga bestämmelser som tar sikte på hur länge personuppgifter som behandlas i uppbördsverksamheten får behandlas.

I dag gäller en generell gallringsfrist på sex år enligt 19 § förordningen om register över strafförelägganden och 10 § förordningen om register över förelägganden av ordningsbot. Behovet av att behandla personuppgifter i uppbördsärenden bortfaller när böterna har betalats. I de fall böterna inte betalas finns det dock behov av att behandla uppgifterna så länge betalningsförpliktelsen gäller. Enligt 35 kap. 7 § brottsbalken bortfaller böter och utdömda viten som regel när fem år har gått från det att domen fick laga kraft eller föreläggandet godkändes. Samma preskriptionsfrist gäller för avgift enligt lagen om brottsofferfond (2 § den lagen). Beslut om förverkande och företagsbot förfaller som regel först om verkställighet inte har skett inom tio år från det att beslutet fick laga kraft (36 kap. 15 § brottsbalken).

Regeringen delar bedömningen i promemorian att preskriptionstiden bör styra hur länge personuppgifter i uppbördsärenden får behandlas. Det innebär att personuppgifter i ärenden om uppbörd inte bör få behandlas längre än fem år efter utgången av det kalenderår när domstolens avgörande fick laga kraft eller föreläggandet godkändes. Avser uppgifterna värdeförverkande eller företagsbot bör de dock få behandlas i tio år. Detta bör regleras i polisens och Tullverkets brottsdatalagar. Eftersom Tullverket inte hanterar uppbördsärenden där det förekommer värdeförverkande eller företagsbot finns emellertid inte behov av att föreskriva att sådana uppgifter får behandlas under längre tid än fem år i Tullverkets brottsdatalag.

Den nya bestämmelsen om längsta tid för behandling av personuppgifter i uppbördsärenden föranleder vissa följdändringar i register- författningarna. Enligt 1 kap. 6 § första stycket 4 polisens brottsdatalag och 1 kap. 4 § första stycket 4 Tullverkets brottsdatalag gäller bestämmelserna i 4 kap. i respektive lag om längsta tid som person- uppgifter får behandlas också vid behandling av uppgifter om juridiska personer. Eftersom ärenden om uppbörd kan avse även juridiska personer

bör bestämmelsen om hur länge personuppgifter får behandlas i ärenden Prop. 2018/19:65 om uppbörd gälla även för uppgifter om juridiska personer.

Överträdelse av bestämmelserna om längsta tid som personuppgifter får behandlas kan enligt 7 kap. 1 § första stycket 3 polisens brottsdatalag och

5 kap. 1 § första stycket 3 Tullverkets brottsdatalag föranleda sanktionsavgift. Även överträdelse av den föreslagna bestämmelsen om hur länge personuppgifter får behandlas i uppbördsärenden bör kunna föranleda sanktionsavgift. Vid överträdelser av bestämmelser om längsta tid för behandling på brottsdatalagens område gäller genomgående att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor, oavsett om det är en myndighet eller annan som ansvarar för överträdelsen. Något skäl att vid nu aktuella överträdelser, som Sveriges advokatsamfund föreslagit, frångå denna beloppsbegränsning finns inte.

12.6.6Uppbörd av viten

Regeringens bedömning: Behandlingen av personuppgifter vid uppbörd av viten inom dataskyddsförordningens tillämpningsområde bör styras av dataskyddsförordningen och dataskyddslagen.

Detta innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Skaraborgs tingsrätt noterar att det ansetts att det

finns behov av att införa en tidsbegränsning för behandlingen av personuppgifter i de ärenden om uppbörd som faller inom brottsdatalagens tillämpningsområde, men inte i de ärenden om uppbörd som faller utanför. Med hänsyn till att uppbördsregistret enligt promemorian inte kommer att innehålla uppgifter om för vilket eller vilka brott böterna har dömts ut, menar tingsrätten att det får antas att det inte på grund av de registrerade personuppgifternas känslighet finns skäl att tydligare reglera tidsbegränsningen för de uppbördsärenden som faller inom brottsdatalagens tillämpningsområde än för de som faller utanför. Tingsrätten anser att skillnaden i den föreslagna regleringen därför framstår som omotiverad. Övriga remissinstanser yttrar sig inte över bedömningen.

Skälen för regeringens bedömning

Regeringen har i avsnitt 12.4 bedömt att personuppgiftsbehandlingen vid uppbörd av de flesta viten inte omfattas av brottsdatalagen utan av dataskyddsförordningen. Vid sådan behandling blir alltså förordningen och de kompletterande bestämmelserna i dataskyddslagen tillämpliga. Frågan är om den regleringen är tillräcklig eller om det behövs ytterligare kompletterande bestämmelser.

Rättslig grund för behandling av personuppgifter

Som redogjorts för i avsnitt 5.2 anses all verksamhet som myndigheter

bedriver, inom ramen för sin befogenhet, vara av allmänt intresse. Av

167

Prop. 2018/19:65 2 kap. 2 § dataskyddslagen följer att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning.

I 1 § bötesverkställighetslagen föreskrivs att böter verkställs genom upp- börd eller indrivning och att lagens bestämmelser om böter även gäller vite. Hur uppbörd går till och när det får ske regleras i den lagen och i bötesverkställighetsförordningen. Att det är Polismyndigheten som är uppbördsmyndighet framgår av 3 § bötesverkställighetsförordningen.

Genom denna reglering har Polismyndigheten, i lag och förordning, ålagts en uppgift av allmänt intresse. Det finns därmed en rättslig grund enligt artikel 6.1 e dataskyddsförordningen för Polismyndighetens personuppgiftsbehandling i samband med uppbörd av vite.

Någon kompletterande reglering av behandlingen av personuppgifter behövs inte

Som vidare redogjorts för i avsnitt 5.2 finns det, förutom det grundläggande kravet på rättslig grund, ytterligare krav som varje behandling av personuppgifter måste uppfylla för att vara tillåten. Dessa anges bl.a. i artikel 5.1 i dataskyddsförordningen, som i huvudsak motsvarar de grundläggande krav på behandlingen som finns i 2 kap. brottsdatalagen. I sammanhanget finns skäl att särskilt nämna kraven på att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (led b) och att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till det ändamål för vilka de behandlas (led c). Regeringen bedömer att dessa bestämmelser, på samma sätt som när det gäller motsvarande bestämmelser i brottsdatalagen (se avsnitt 12.6.2), är tillräckliga för att styra personuppgiftsbehandlingen i samband med uppbörd av vite.

Personuppgifter får enligt artikel 5.1 e dataskyddsförordningen inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I avsnitt 12.6.5 har regeringen föreslagit att motsvarande bestämmelse i 2 kap. 17 § första stycket brottsdatalagen ska kompletteras av bestämmelser om längsta tid för behandling i polisens brottsdatalag och Tullverkets brottsdatalag. Skaraborgs tingsrätt har påtalat att uppbördsregistret inte kommer att innehålla uppgifter om för vilket eller vilka brott som böter dömts ut och att det därför inte finns skäl att tydligare reglera tidsbegränsningen för de uppbördsärenden som faller inom brottsdatalagens tillämpningsområde än för de som faller utanför. Regeringen instämmer i och för sig i att det inte med hänvisning till personuppgifternas känslighet finns skäl för att reglera frågan om längsta tid för behandling olika beroende på om behandlingen omfattas av brottsdatalagen eller inte. Med hänsyn till att relativt få uppbördsärenden rör viten är det emellertid inte rimligt att införa en särreglering bara för att kunna reglera hur länge personuppgifterna får behandlas i dessa ärenden. Vid bedömningen av hur länge det kan anses nödvändigt att behandla personuppgifterna kan ledning i stället hämtas i den bestämmelse om längsta tid för behandling i polisens brottsdatalag som gäller för övriga

uppbördsärenden. Tiden för behandling i den bestämmelsen utgår från

168

preskriptionstiden för betalningsförpliktelsen. Viten preskriberas fem år Prop. 2018/19:65 efter det att domen eller beslutet fick laga kraft. Längre tid än så bör

uppgifter i uppbördsärenden som rör vite aldrig behöva behandlas. Sammanfattningsvis är dataskyddsförordningen och dataskyddslagen

tillräckliga för att styra Polismyndighetens personuppgiftsbehandling i samband med uppbörd av viten. Någon ytterligare reglering behövs inte.

Förordningarna om register över strafförelägganden och register över förelägganden av ordningsbot bör upphävas

Regeringen har i avsnitt 12.5.1 konstaterat att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller registrering av föreläg- ganden. En följd av förslagen att personuppgiftsbehandlingen vid uppbörd ska styrs av brottsdatalagen och registerförfattningarna (se avsnitt 12.6.1) respektive dataskyddsförordningen med kompletterande lagstiftning blir att förordningarna bör upphävas även i de delar som gäller uppbörd av böter. Förordningarna bör därmed upphävas helt.

12.6.7Sekretess

Regeringens förslag: Bestämmelsen i offentlighets- och sekretesslagen om sekretess till skydd för den enskilde i viss verksamhet som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, ska ändras så att sekretess även gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i verksamhet som syftar till att verkställa uppbörd.

Regeringens bedömning: Ingen särskild sekretessbrytande bestämmelse behöver införas som en följd av den föreslagna ändringen i offentlighets- och sekretesslagen.

Promemorians förslag och bedömning överensstämmer delvis med

 

regeringens. I promemorian föreslås att sekretessen ska gälla om uppgiften

 

förekommer i verksamhet som syftar till att verkställa straffrättsliga

 

påföljder.

 

 

 

 

 

Remissinstanserna:

Riksdagens

ombudsmän

och

Svenska

 

Journalistförbundet påtalar att den föreslagna utformningen av

 

sekretessbestämmelsen innebär att denna kommer att träffa all

 

straffverkställighet som de i bestämmelsen angivna myndigheterna

 

bedriver och att det i promemorian inte redovisas några skäl till varför även

 

andra uppgifter än de i uppbördsverksamheten ska omfattas eller vilka

 

följder en sådan förändring kan få. Journalistförbundet, som även menar

 

att den föreslagna regleringen passar dåligt in i offentlighets- och

 

sekretesslagens systematik, avstyrker förslaget medan Riksdagens

 

ombudsmän anser att frågorna bör utredas om regeringen avser att gå

 

vidare med förslaget. Förvaltningsrätten i Malmö är tveksam till

 

resonemanget att 10 kap. 2 § offentlighets- och sekretesslagen kan

 

användas som stöd

för ett regelmässigt uppgiftslämnande från

169

 

 

 

 

 

Prop. 2018/19:65

170

Polismyndigheten till Kronofogdemyndigheten i samband med indrivning. Förvaltningsrätten påtalar även att det i promemorian saknas en analys av om det överhuvudtaget behövs en sekretessbrytande bestämmelse, som förvaltningsrätten uppfattar det är innehållet i ett verkställbart strafföreläggande eller en ordningsbot inte sekretessreglerat, samt en analys av om bestämmelsen i indrivningsförordningen (1993:1229) om vilka uppgifter som ska lämnas till Kronofogdemyndigheten i samband med en begäran om indrivning, i kombination med 6 § bötes- verkställighetslagen, är en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen. Sveriges advokatsamfund påpekar att det kan tänkas att de berörda myndigheterna väljer informationstekniska lösningar för behandlingen av de aktuella personuppgifterna som innebär att någon utomstående, t.ex. en extern leverantör av tjänster, sköter informationshanteringen. Enligt samfundet blir det svårt att genomföra en sådan lösning utan att de aktuella personuppgifterna kommer att anses utlämnade till leverantörerna. Samfundet anser därför att problematiken med att uppgifter som omfattas av sekretess med ett omvänt skaderekvisit kan komma att lämnas ut för behandling av en extern leverantör inte i tillräcklig grad har beaktats i promemorian.

Skälen för regeringens förslag och bedömning

Nuvarande reglering

I 35 kap. offentlighets- och sekretesslagen regleras sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. Sekretessen enligt 35 kap. 1 § skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen avser enligt första stycket 4 uppgifter som, utan att direkt hänföra sig till förundersökning eller

tvångsmedel i brottmål, gäller Åklagarmyndighetens,

Ekobrottsmyndighetens, Polismyndighetens, Säkerhetspolisens, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Genom bestämmelsen är det möjligt att hemlighålla uppgifter som mer allmänt hänför sig till de uppräknade myndigheternas brottsbekämpande verksamhet. Den är bl.a. tillämplig på sådana personregister som förs av Polismyndigheten och som inte omfattas av särskilda bestämmelser i kapitlet och på sådan automatiserad behandling som inte sker i registerform (Offentlighets- och sekretesslagen

En kommentar, Eva Lenberg, Ulrika Geijer och Anna Tansjö, supplement 16, juli 2017, s. 35:1:4–35:1:5). Enligt punkterna 5 och 6 i samma stycke gäller sekretess för uppgifter i register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag och enligt lagen (1998:621) om misstankeregister. Register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av samma lag omfattas av sekretess enligt punkten 9.

Bestämmelser om sekretess för vissa andra av polisens register än de som anges i 35 kap. 1 § finns i 35 kap. 3 och 4 §§. Sekretessen enligt dessa paragrafer är absolut, vilket innebär att uppgifterna ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut. I 3 § regleras sekretessen

för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot. Sekretess gäller dock inte i ärende om strafföreläggande eller föreläggande av ordningsbot.

Sekretessens styrka

Sekretessen enligt 35 kap. 4 § första stycket 1 offentlighets- och sek- retesslagen gäller för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot. Det innebär att uppgifter i ärenden om uppbörd som gäller böter som dömts ut av domstol inte omfattas av sekretess enligt bestämmelsen. Något skäl till den skillnaden finns inte. Regleringen av sekretess för uppgifter i uppbördsverksamheten bör vara densamma oavsett vilken typ av avgörande som har föranlett ärendet.

Uppgifter i belastningsregistret är föremål för absolut sekretess, eftersom uppgifter om lagöverträdelser anses så integritetskänsliga att de inte bör lämnas ut. Med hänsyn till att även register över strafföreläggande och föreläggande av ordningsbot innehåller uppgifter om lagöverträdelser skyddas även dessa uppgifter av absolut sekretess. När det inte längre förs ett sammanhållet register över förelägganden av ordningsbot utan man skiljer mellan register över utfärdade förelägganden och register över uppbörd finns det skäl att överväga om den absoluta sekretessen för uppbördsregister bör behållas.

Som framgår av avsnitt 12.6.2 ska uppbördsregistret inte innehålla några uppgifter om för vilket eller vilka brott böterna har dömts ut. Förekomsten i registret visar i och för sig att någon har gjort sig skyldig till en lagöverträdelse, men eftersom det inte ska framgå vilken överträdelse det är fråga om kan det ifrågasättas om registret numera är att jämställa med belastningsregistret. Det ligger enligt regeringen närmare till hands att

jämföra uppgifterna i Polismyndighetens och Tullverkets uppbördsverksamhet med uppgifterna i Kronofogdemyndighetens indrivningsverksamhet. Enligt 34 kap. 2 § offentlighets- och sekretesslagen gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- eller indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Sekretessen i indrivningsverksamheten gäller alltså med samma styrka som sekretessen i brottsbekämpande verksamhet.

Absolut sekretess bör endast användas i undantagsfall för att skydda särskilt integritetskänsliga uppgifter. Trots att sekretessen i dag är absolut och att det inte framkommit några avgörande invändningar mot att behålla den ordningen delar regeringen bedömningen i promemorian att sekretessen för uppgifter i uppbördsverksamheten bör ha samma styrka som för uppgifter i den brottsbekämpande verksamheten och i Kronofogdemyndighetens indrivningsverksamhet. Sekretess bör därför gälla om det inte står klart att uppgifterna kan lämnas ut utan skada eller men för den enskilde eller närstående till honom eller henne.

Sveriges advokatsamfund har i sammanhanget påtalat att det kan föreligga en problematik om uppgifter som omfattas av sekretess med ett

Prop. 2018/19:65

171

Prop. 2018/19:65 s.k. omvänt skaderekvisit behöver lämnas ut för behandling av en extern leverantör. Regeringen konstaterar emellertid att frågor om hur Polismyndigheten tekniskt bör hantera de personuppgifter som föreslås omfattas av sekretessbestämmelsen, exempelvis vilka system som bör användas eller om externa leverantörer bör anlitas, inte kan behandlas i detta lagstiftningsärende. Som Sveriges advokatsamfund också noterar i sitt yttrande har bl.a. frågor av det slag som samfundet lyfter behandlats av Digitaliseringsrättsutredningen, vars betänkande (SOU 2018:25) för närvarande bereds i regeringskansliet.

172

Sekretessens räckvidd

Sekretess till skydd för enskild i brottsbekämpande verksamhet regleras som nyss nämnts framför allt i 35 kap. 1 § offentlighets- och sekretesslagen. Det finns inget som hindrar att även straffverkställighet omfattas av bestämmelsen. Till skillnad från Svenska Journalistförbundet anser regeringen alltså inte att en sådan placering skulle strida mot systematiken i offentlighets- och sekretesslagen. 35 kap. i lagen innehåller redan idag ett flertal bestämmelser om sekretess för uppgifter som hanteras efter det att lagföring skett, exempelvis 3 § om uppgifter i verksamhet som avser förande av eller uttag ur belastningsregistret.

Punkten 5 gäller uppgifter som behandlas i register som Polis- myndigheten för enligt 5 kap. polisens brottsdatalag eller som annars behandlas med stöd av de bestämmelserna. Enligt förarbetena till den ändring av bestämmelsen som gjordes i samband med polisens omorganisation är det register över dna-profiler, signalements- och fingeravtrycksregister, penningtvättsregister och det internationella registret och den behandling som sker i registren som avses (propositionen En ny organisation för polisen, prop. 2013/14:110, s. 643). Den omfattar alltså inte uppgifter som i övrigt behandlas enligt polisens brottsdatalag.

Det finns en motsvarande bestämmelse för Tullverket, punkt 9, som gäller register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av lagen. Eftersom det inte finns några särskilt reglerade register i Tullverkets brottsdatalag torde sekretessen enligt den punkten gälla för alla uppgifter som behandlas enligt lagen, dvs. även uppgifter i ärenden om uppbörd när lagen nu föreslås styra även sådan behandling.

För Polismyndighetens del framstår det som mest lämpligt att göra ett tillägg i punkten 4, eftersom den bestämmelsen bl.a. är tillämplig på sådana register som förs av Polismyndigheten och som inte regleras särskilt i polisens brottsdatalag. I promemorian föreslås att sekretessen ska gälla i verksamhet som syftar till att verkställa straffrättsliga påföljder. Som Riksdagens ombudsmän och Svenska Journalistförbundet har påtalat kommer en sådan utformning av sekretessbestämmelsen emellertid innebära att denna även träffar annan straffverkställighet än verkställighet av uppbörd. I vart fall kommer detta gälla Åklagarmyndighetens hantering av frågor om yttranden om rättspsykiatrisk vård och utfärdande av arresteringsorder som rör straffverkställighet (prop. 2017/18:269 s. 357). Regeringen delar nämnda remissinstansers uppfattning att tillräckligt underlag för att nu föreslå en sådan utvidgning av sekretessbestämmelsen saknas. I stället bör sekretessen gälla endast i verksamhet som syftar till

att verkställa uppbörd (jfr de i avsnitt 12.6.1 föreslagna ändringarna av Prop. 2018/19:65 bestämmelserna om tillämpningsområdena för polisens brottsdatalag och

Tullverkets brottsdatalag).

Finns det behov av en sekretessbrytande bestämmelse?

Som konstateras i promemorian måste Polismyndigheten, trots den föreslagna sekretessen, kunna lämna ut uppgifter till Åklagarmyndigheten, Ekobrottsmyndigheten, Tullverket och Kustbevakningen när uppgifterna kan vara av betydelse i ett ärende hos den mottagande myndigheten. Dessutom måste uppgifter kunna lämnas till Kronofogdemyndigheten i samband med begäran om indrivning.

Enligt 2 kap. 8 § polisens brottsdatalag har Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tull- verket, Kustbevakningen och Skatteverket rätt att, trots sekretess enligt

35 kap. 1 § offentlighets- och sekretesslagen, ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Eftersom förslaget innebär att uppgifter i ärenden om uppbörd får göras gemensamt tillgängliga och att sekretessen för uppgifter i verksamhet för att verkställa uppbörd ska regleras i 35 kap. 1 § offentlighets- och sekretesslagen finns det inte behov av att införa någon sekretessbrytande bestämmelse i förhållande till de brottsbekämpande myndigheterna.

Böter ska enligt 6 § bötesverkställighetslagen lämnas för indrivning om uppbörd inte ska ske eller om uppbörd inte har lett till full betalning. I promemorian görs bedömningen att bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen – som säger att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet – innebär att det inte heller behöver införas någon särskild sekretessbrytande bestämmelse för att Polismyndigheten ska kunna lämna böter till Kronofogdemyndigheten för indrivning. Som Förvaltningsrätten i Malmö påtalat är bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen emellertid avsedd att användas mycket restriktivt (regeringens proposition med förslag till sekretesslag m.m., prop. 1979/80:2, s. 465 och 494). Regeringen delar därför förvaltningsrättens uppfattning att det är tveksamt om bestämmelsen kan användas som stöd för ett regelmässigt uppgiftslämnande från Polismyndigheten till Kronofogdemyndigheten i samband med indrivning.

Förvaltningsrätten i Malmö har vidare påtalat att det av indrivnings- förordningen framgår vilka uppgifter som ska lämnas till Kronofogde- myndigheten i samband med en begäran om indrivning samt att promemorian saknar en analys av om denna reglering i kombination med

6 § bötesverkställighetslagen är en sådan sekretessbrytande uppgifts- skyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen.

Av 10 kap. 28 § första stycket offentlighets- och sekretesslagen framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Enligt 6 § bötesverkställighetslagen ska böter lämnas till indrivning om uppbörd inte

ska ske eller om uppbörd inte har lett till full betalning. I 6 §

173

Prop. 2018/19:65 bötesverkställighetsförordningen förtydligas att Polismyndigheten ska begära indrivning av dels obetalda böter som har ålagts genom allmän domstols lagakraftvunna dom eller slutliga beslut eller genom godkänt föreläggande och som varit föremål för uppbörd, dels böter som har ålagts genom allmän domstols lagakraftvunna dom eller slutliga beslut och som undantagits från uppbörd enligt 3 §. Av 6 § indrivningsförordningen framgår slutligen vilka uppgifter som en ansökan om indrivning ska innehålla. Tillsammans innebär dessa bestämmelser i lag och förordning att Polismyndigheten ålagts en uppgiftsskyldighet. I den mån de omfattas av sekretess, kan de uppgifter som Polismyndigheten ska lämna till Kronofogdemyndigheten i samband med begäran om indrivning därför lämnas med stöd av 10 kap. 28 § offentlighets- och sekretesslagen. Detta innebär att det inte heller för sådant uppgiftslämnande behöver införas någon särskild sekretessbrytande bestämmelse.

13Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Författningsändringarna ska träda i kraft den 30 juni 2019.

Regeringens bedömning: Det behövs inte några särskilda övergångsbestämmelser.

Promemoriornas förslag: Överensstämmer inte med regeringens. I Ds 2017:58 föreslås att ändringar i bestämmelser som rör brottsdatalagens tillämpningsområde ska träda i kraft den 1 maj 2018, att ändringar i bestämmelser som endast rör dataskyddsförordningens tillämpnings- område ska träda i kraft den 25 maj 2018 samt att de förra bestämmelserna ska vara tillämpliga i sin tidigare lydelse fram till den 25 maj 2018 på personuppgiftsbehandling som inte omfattas av brottsdatalagens tillämpningsområde. I Ds 2018:3 föreslås att ändringarna ska träda i kraft den 1 januari 2019.

Remissinstanserna: Ingen remissinstans invänder mot promemoriornas förslag.

Skälen för regeringens förslag och bedömning: Dataskydds- förordningen började tillämpas den 25 maj 2018 och brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Merparten av de nu aktuella registerförfattningarna ska både komplettera förordningen och gälla utöver brottsdatalagen. Övriga ska antingen komplettera förordningen eller gälla utöver brottsdatalagen. Författningsändringarna bör därför träda i kraft så snart som möjligt. Regeringen föreslår mot den bakgrunden att de ska träda i kraft den 30 juni 2019.

Eftersom samtliga författningsändringar föreslås träda i kraft samtidigt saknas behov av övergångsbestämmelser av det slag som föreslås i Ds 2017:58. Även i övrigt saknas behov av övergångsbestämmelser.

174

14

Konsekvenser av förslagen

Prop. 2018/19:65

 

Regeringens bedömning: Förslagen kan medföra marginellt ökade kostnader för berörda myndigheter. Dessa kostnader ryms inom befintliga anslag.

Förslagen medför i sig ingen förändring av skyddet för enskildas personliga integritet.

Förslagen har inte några konsekvenser för de berörda myndigheternas verksamhet eller för brottsbekämpningen. Förslagen har inte heller någon påverkan på jämställdheten mellan kvinnor och män. De medför inte några sociala eller miljömässiga konsekvenser.

Promemoriornas bedömning överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemoriornas

bedömning.

Skälen för regeringens bedömning: Inledningsvis kan det konstateras att varken konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser eller av brottsdatalagens bestämmelser analyseras inom ramen för propositionen.

När det gäller konsekvenserna av de förslag som läggs fram ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i de behandlade författningarna kvarstår oförändrade och att flera bestämmelser anpassas till dataskyddsförordningen och brottsdatalagen utan att det sakliga innehållet förändras på ett avgörande sätt. Framför allt i de delar som avser regleringen om registrering och uppbörd av böter innebär förslagen emellertid förändringar, i form av förenklingar, som går utöver vad som är rena anpassningar till den nya dataskyddsregleringen. I de fall förslagen innebär materiella förändringar medför detta inte att det ställs några nya krav på de berörda myndigheterna.