Innehåll

3.4Belastningsregistret, misstankeregistret och Schengens

5.8Sveriges åtgärder för att uppfylla konventionens krav rörande

9.15Upplysningar till allmänheten om behandlingar som inte

10.1En författningsreglering som ger polisen möjlighet att arbeta

10.2Kriminalunderrättelseverksamhet och kriminalunderrättelse-

10.3En särskilda reglering om behandling av uppgifter om enskilda

10.4Utformning av regler om behandling av uppgifter om enskilda

13.3Utformning av regler om behandling av personuppgifter i

16.3Förslag till lag om ändring i säkerhetsskyddslagen (1996:627) 259

16.4Förslag till lag om ändring i lagen (2000:344) om Schengens

Sammanfattning

Några utgångspunkter

Utredningens direktiv innebär ett uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och att påtala eventuella brister särskilt från integritetssynpunkt. Utredningen skall överväga om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.

Sedan den 1 april 1999 gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1988:622). Den nya lagen bygger på personuppgiftslagen (1998:204) och innehåller bara de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om behandling av personuppgifter i polisens verksamhet. Övriga lagar inom detta område utgörs av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och lagen (2000:344) om Schengens informationssystem.

Nämnda lagar har utgjort utgångspunkten för vårt arbete. Bland övriga rättskällor av betydelse bör särskilt nämnas Europolkonventionen, Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

Målsättningen med våra förslag är att de skall utgöra en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. En utgångspunkt för oss i arbetet har varit att hinder för ett rationellt utnyttjande av datorstöd inte bör ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten.

Vi har i enlighet med direktiven inventerat de register som förs inom polisen. Den befintliga registerstrukturen har uppkommit främst som följd av Datainspektionens tillstånd för polisen att föra olika

enskilda register och är således inte resultatet av någon övergripande planering.

Ett stort antal register förs, såväl centralt som lokalt. Registren kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen

–register som förs med stöd av särskilda regler i lagstiftningen,

–register som förs med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen, och

–register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av tillstånd från Datainspektionen.

Det traditionella registerbegreppet har vid flera tillfällen kritiserats. Dagens system inom polisen byggs företrädesvis som ärendehanteringssystem och inte som traditionella register. I ärendehanteringssystem lagras hela aktmaterial. Systemen är anpassade för fritextsökning. Vi finner dock inte anledning att i lagstiftningen ersätta begreppet register som beteckning för vissa fastställda informationsmängder med något annat begrepp.

Nya arbetsmetoder och ny teknik

Inom en mycket snar framtid lär praktiskt taget allt skrivarbete komma att utföras med hjälp av datorer. En realistisk lagstiftning måste ta hänsyn till de nya förhållandena. Manuell behandling av information, däribland personuppgifter, är inte längre ett realistiskt alternativ till automatiserad behandling av information. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet.

Polisen skall enligt nyare uttalanden från statsmakterna arbeta problemorienterat och verka brottsförebyggande. Arbetet skall vara proaktivt och inte reaktivt inriktat. För att kunna verka brottsförebyggande måste dock polisen inhämta och bearbeta information om enskilda personer i större utsträckning än som skedde vid ett traditionellt reaktivt arbetssätt. Det ligger därför i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt.

Användningen av digital teknik för behandling av ljud och bild är i hög grad ägnad att höja kvaliteten på polisens brottsutredningar. Detta gäller framför allt beträffande digitala bilder. Eftersom den digitala tekniken får anses utgöra automatiserad behandling blir dock bestämmelserna i personuppgiftslagen tillämpliga i den utsträckning

behandlingen avser digitala bilder eller ljud som innehåller personuppgifter.

Polisens intranät används i första hand för att sprida verksamhetsrelaterad information inom polismyndigheterna.

Informationsutbytet med Europol

Sverige har anslutit sig till Europolkonventionen. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna. Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter bearbetas och analyseras sedan hos Europol. Resultatet av bearbetningen och analyserna delges därefter medlemsländerna.

Polisdatalagen medger inte att personuppgifter som härrör från kriminalunderrättelseverksamhet behandlas automatiserat annat än i särskilda undersökningar eller kriminalunderrättelseregister. Härigenom har informationsutbytet med Europol kommit att allvarligt försvåras.

En nordisk jämförelse

Som underlag för våra överväganden har vi inhämtat upplysningar om vilka regler som gäller i Danmark, Finland och Norge beträffande automatiserad behandling av personuppgifter i polisens verksamhet. Jämförelsen visar att den svenska lagstiftningen är mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna.

En ny polisdatalag

I enlighet med direktiven för utredningen har vi analyserat konsekvenserna av den nya regleringen om polisens rätt att behandla personuppgifter automatiserat. Vi har vid vår analys av lagstiftningen kommit fram till att det behöver göras ändringar av regleringen i polisdatalagen. Ändringarna som vi anser erfordras är relativt omfattande. Vi anser därför att en ny lag om behandling av personuppgifter i polisens verksamhet som ersätter den nuvarande polisdatalagen bör införas. Även den nya lagen bör ges namnet polisdatalagen.

De särskilda lagarna om belastningsregister, om misstankeregister och om Schengens informationssystem bör vara kvar oförändrade.

Den nya polisdatalagen bör vara heltäckande och upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet.

Den nya lagens syfte bör liksom personuppgiftslagen vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Den nya lagen bör gälla vid behandling av personuppgifter i sådan polisverksamhet som avses i 2 § 1–3 polislagen (1984:387), dvs. i den egentliga polisverksamheten.

Lagen bör gälla vid behandling av personuppgifter i form av bilder eller ljud, dock ej vid sådan behandling som består i insamling av personuppgifter genom upptagning av bilder eller ljud. Lagen bör inte gälla vid insamling av personuppgifter genom teleavlyssning, teleövervakning eller kameraövervakning.

Det digitala referensbiblioteket över barnpornografiska framställningar som förs av Rikskriminalpolisen behöver inte regleras särskilt i lagstiftningen.

Den nya polisdatalagen bör gälla enbart i polisens verksamhet. Lagen bör därför inte omfatta Ekobrottsmyndigheten.

Grundläggande bestämmelser om behandling av personuppgifter i den nya polisdatalagen

Personuppgiftslagens definitioner av begreppen behandling av personuppgifter, blockering av personuppgifter, mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsombud, tillsynsmyndigheten och tredje man samt polisdatalagens definition av begreppet DNA-analys bör finnas med även i en ny lag för polisen.

Bestämmelsen i 9 § personuppgiftslagen om grundläggande krav på behandling av personuppgifter bör även i fortsättningen gälla i polisens verksamhet. Även särbestämmelsen om gallring i 13 § polisdatalagen bör vara kvar.

Rikspolisstyrelsen bör även i fortsättningen vara ensam personuppgiftsansvarig för de centrala registren i polisens verksamhet. En bestämmelse som ger Rikspolisstyrelsen möjlighet att besluta verkställighetsföreskrifter bör ingå i en ny polisdataförordning.

Personuppgifter bör få behandlas endast om behandlingen är nödvändig för att polisen skall kunna utföra polisverksamhet som består i att

1.förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2.övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller

3.bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Den nya lagen bör inte hindra att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Bestämmelsen i 5 § polisdatalagen om behandling av känsliga personuppgifter bör gälla även i fortsättningen.

Bestämmelsen i 22 § personuppgiftslagen om behandling av personnummer och samordningsnummer bör gälla på polisområdet. Dock bör samtycke inte kunna åberopas som grund för behandling.

I 10 och 11 §§ polisdatalagen finns bestämmelser om behandling av uppgifter om kvarstående misstankar. Dessa bestämmelser bör oförändrat gälla även i fortsättningen.

Någon bestämmelse om förbud mot överföring av personuppgifter till tredje land motsvarande 33 § personuppgiftslagen bör inte gälla i den egentliga polisverksamheten. En följd av detta blir att offentliga personuppgifter kan spridas på Internet. Av integritetsskäl bör dock en efterlysning av en person med anledning av att han eller hon avvikit från verkställande av påföljd för brott eller med anledning av att han eller hon misstänks för brott, få ske på Internet endast om

1.domen eller misstanken avser ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet, eller

2.personen kan antas vara farlig för annans personliga säkerhet. Reglerna i 23–27 §§ personuppgiftslagen om information till regist-

rerade bör även i fortsättningen gälla i polisens verksamhet. Det behövs dock därutöver ytterligare två undantag från polisens informationsplikt. I fall uppgifter om en enskild person samlas in från personen själv, bör information heller inte behöva lämnas, om

– det finns bestämmelser om antecknandet eller utlämnandet av personuppgifter i författning, eller

– uppgifterna samlas in i samband med larm eller annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige.

I stället för att som i dag avse registrerade bör bestämmelserna i den nya lagen om information avse enskilda.

Bestämmelserna i 28 § personuppgiftslagen om rättelse bör även i fortsättningen gälla på polisområdet. Bestämmelserna bör dock avse den enskilde i stället för den registrerade.

När det gäller säkerheten vid behandling bör liksom i dag bestämmelserna i 30–32 §§ personuppgiftslagen gälla i polisens verksamhet. Regeln i 32 § om tillsynsmyndighetens rätt att besluta om säkerhetsåtgärder bör dock meddelas genom förordning. Därutöver bör det i den nya lagen finnas en bestämmelse som föreskriver att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till information om uppgifterna.

Bestämmelsen i 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen bör liksom i dag gälla för polisen.

I 6–8 §§ polisdatalagen och i 15–16 §§ polisdataförordningen finns bestämmelser om utlämnande av uppgifter. Bestämmelserna bör oförändrade föras över till en ny polisdatalag respektive en ny polisdataförordning.

Bestämmelserna i 36–41 §§ personuppgiftslagen och 3–7 §§ personuppgiftsförordningen om anmälan till tillsynsmyndigheten och personuppgiftsombudets uppgifter, i 13 § personuppgiftsförordningen om bemyndiganden, i 2 § polisdataförordningen om förhandskontroll, och i 14 § polisdataförordningen om underrättelseskyldighet bör gälla även i fortsättningen för polisen.

Om den personuppgiftsansvarige har utsett ett personuppgiftsombud och anmälan därför inte behöver göras, bör anmälan i stället göras till personuppgiftsombudet. En ny polisdatalag bör innehålla en bestämmelse härom.

Bestämmelsen i 42 § personuppgiftslagen om upplysningar till allmänheten om behandlingar som inte anmälts bör gälla för polisen.

Personuppgiftslagens bestämmelser i 43–47 §§ personuppgiftslagen och i 2 § personuppgiftsförordningen om Datainspektionens befogenheter bör gälla på polisområdet. Bestämmelserna bör dock meddelas i förordning.

Bestämmelserna i 48 § personuppgiftslagen och i 9 § polisdatalagen om skadestånd bör gälla för polisen också i fortsättningen. Den nya regeln bör dock avse enskilda och inte registrerade. Någon straffbestämmelse motsvarande 49 § personuppgiftslagen behövs inte i den nya lagen.

Bestämmelserna i 51 § personuppgiftslagen om överklagande bör i sak gälla även i fortsättningen för polisen. Dessutom bör det i en ny lag föreskrivas att en myndighets beslut om rättelse och om information som skall lämnas efter ansökan skall överklagas hos kammarrätten.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Vid utformningen av en lag om behandling av personuppgifter i polisens verksamhet måste beaktas att polisens arbete skall vara inriktat främst på brottsförebyggande verksamhet.

Polisdatalagen innehåller en reglering om behandling av personuppgifter i kriminalunderrättelseverksamhet och i kriminalunderrättelseregister. Regleringen har kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande.

En lag om behandling av personuppgifter bör handla om just behandling av personuppgifter och inte vara inriktad på att reglera vissa verksamheter eller arbetsmetoder hos polisen. Bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister bör bl.a. av det skälet inte vara kvar i en ny polisdatalag. Bestämmelserna härom bör i stället ersättas av bestämmelser om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot.

De personuppgifter som kommer att omfattas av sistnämnda regler är först och främst sådana som avser personer som inte är misstänkta för något konkret brott, men väl för att ha utövat eller utöva brottslig verksamhet. Uppgifterna kan dock även avse andra personer, t.ex. personer som lämnat upplysningar om iakttagelser m.m. utan att själva vara misstänkta.

Uppgifter om en enskild person som det inte finns någon misstanke om brott mot bör få behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Alla uppgifter som är nödvändiga för ändamålet med behandlingen bör få behandlas. Om uppgifter om en person som det över huvud taget inte finns någon misstanke mot behandlas, bör uppgiften förses med en anteckning om detta förhållande. Vid aktuell behandling av personuppgifter bör uppgifterna förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Aktuell behandling av personuppgifter bör få ske för att underlätta övervakning av personer som kan antas komma att begå brott. Behandling i detta syfte bör dock endast få avse dömda personer som antingen är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Den personuppgiftsansvarige bör särskilt besluta de ändamål och villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet. När det gäller villkor i övrigt kan det

t.ex. röra sig om hur information skall inhämtas, hur arbetet skall ske och avrapporteras samt säkerheten vid behandling m.m.

Personuppgifter som behandlas enligt här aktuella bestämmelser bör få bevaras högst tre år från det att uppgifterna om personen samlades in. Uppgifter som behandlas för att underlätta övervakning av personer som kan antas komma att begå brott bör dock få bevaras till dess att uppgifterna gallras ur belastningsregistret.

Bestämmelserna om aktuell behandling av personuppgifter bör inte gälla personuppgifter

–i en förundersökning, eller

–i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Det allmänna spaningsregistret

Det föreligger ett mycket stort behov av det allmänna spaningsregistret (ASP) inom brottsbekämpningen. ASP är viktigt bl.a. för att närpolisverksamheten skall kunna fungera.

Det bör i den nya polisdatalagen införas särskilda regler om ASP. Lagregleringen bör i allt väsentligt ge polisen rätt att fortsätta den behandling av personuppgifter som i dag förekommer.

ASP bör få föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott. Bestämmelserna i den nya polisdatalagen om behandling av uppgifter om kvarstående misstankar bör inte gälla vid behandling av personuppgifter i ASP.

I ASP bör uppgifter som kan hänföras till en enskild person få föras in endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott och om registreringen är av särskild betydelse för brottsbekämpningen. Uppgifter om transportmedel eller andra varor som kan antas ha samband med brott bör få registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med en upplysning om att det inte finns någon misstanke mot denne. I lagen bör vidare anges vilka typer av personuppgifter som får eller skall registreras i ASP.

Personuppgifter i ASP bör som regel gallras senast tre år efter det att uppgifter om att den registrerade kan misstänkas för att ha begått brott senast infördes. Om den senaste händelsen avser misstanke om ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet bör dock uppgifterna få stå kvar i fem år efter den senaste registreringen.

Uppgifter ur ASP bör under vissa förutsättningar få lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet. Polismyndigheterna bör få ha direkt åtkomst till uppgifter i ASP.

Ytterligare bestämmelser om vissa register m.m.

Den nya polisdatalagen bör utöver regler om ASP innehålla särskilda regler om register med uppgifter om DNA-analyser i brottmål och om fingeravtrycks- och signalementsregister.

Bestämmelserna i 22–28 §§ polisdatalagen och i 11 § polisdataförordningen om register med uppgifter om DNA-analyser i brottmål bör gälla även i fortsättningen.

Särskilda författningsregler om den behandling av personuppgifter i Statens kriminaltekniska laboratoriums verksamhet som sker med anledning av laboratoriets DNA-analyser bör inte införas.

Bestämmelserna i 29–31 §§ polisdatalagen om fingeravtrycks- och signalementsregister bör gälla även i fortsättningen. Sådana register bör dock utöver vad som framgår av 30 § polisdatalagen även få innehålla uppgifter om brottskoder.

Det behövs inte någon särskild författningsreglering för eventuella centrala system motsvarande de lokala system som i dag används, t.ex. rationell anmälningsrutin (RAR), datoriserad utredningsrutin – tvångsmedel (DurTvå) och kommunikationscentralernas system (KC- systemen).

Säkerhetspolisen

En ändring av Säkerhetspolisens organisation bestående i en sammanslagning mellan Säkerhetspolisen och Rikskriminalpolisen övervägs för närvarande. Våra förslag utgår från den nuvarande organisationen av Säkerhetspolisen.

Bestämmelserna i den nya polisdatalagen om behandling av personuppgifter i Säkerhetspolisens verksamhet bör i huvudsak ha samma innebörd som i dag. Den särskilda lagregleringen om SÄPO- registret bör dock inte vara kvar i den nya lagen. Några särskilda registerbestämmelser för Säkerhetspolisen bör inte heller i övrigt införas.

Säkerhetspolisen bör få behandla personuppgifter för att underlätta

–spaning i syfte att förebygga och avslöja brott mot rikets säkerhet,

–spaning i syfte att bekämpa terrorism och

– registerkontroll enligt säkerhetsskyddslagen.

Bestämmelserna i den nya polisdatalagen om behandling av uppgifter om kvarstående misstankar och om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot bör inte gälla för Säkerhetspolisen.

Ikraftträdande

Den nya polisdatalagen bör kunna träda i kraft den 1 juli 2003, då polisdatalagen (1998:622) bör upphöra att gälla. Vi har bedömt att några övergångsbestämmelser till den nya lagen inte behövs.

Konsekvenser

Vi har genomfört konsekvensanalyser enligt 14 och 15 §§ kommitté- förordningen (1998:1474). Våra förslag bör ge polisen bättre förutsättningar att arbeta problemorienterat och verka brottsförebyggande.

Enligt vår bedömning ger de förslag som vi lämnar inte upphov till kostnader som inte ryms inom berörda myndigheters anslag. Förslagen i övrigt får inte några sådana konsekvenser som motiverar en särskild redovisning.

Författningsförslag

1 Förslag till polisdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Syftet med lagen

1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i polisens verksamhet.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i polisens verksamhet för att

1.förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

2.övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller

3.bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Lagen gäller också behandling av sådana uppgifter som avses i 5 kap. 10 och 11 §§.

3 § Lagen gäller inte för behandling av personuppgifter som företas med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2000:344) om Schengens informationssystem.

Lagen gäller heller inte vid insamling av personuppgifter genom teleavlyssning, teleövervakning eller kameraövervakning. Lagen gäller vid övrig behandling av personuppgifter i form av bilder eller ljud, dock ej vid sådan behandling som består i insamling av personuppgifter genom upptagning av bilder eller ljud.

Vid behandling av personuppgifter i form av bilder eller ljud skall vad som i lagen sägs om insamling tillämpas när uppgifterna första gången behandlas efter det att insamlingen avslutats.

4 § Vid annan behandling av personuppgifter i polisens verksamhet än som avses i 2 eller 3 § gäller personuppgiftslagen (1998:204).

5 § Bestämmelserna i 1 och 2 kap., 3 kap. 1 och 2 §§, 4 kap. samt 6 och 7 kap. gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad samt även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 3 kap. 3–11 §§ och 5 kap. gäller endast automatiserad behandling av personuppgifter.

Definitioner

6 § I denna lag används följande beteckningar med nedan angiven betydelse.

Behandling (av personuppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Blockering (av personuppgifter) En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

2 kap. Grundläggande principer vid behandling av personuppgifter

Grundläggande krav på behandlingen av personuppgifter

1 § Den personuppgiftsansvarige skall se till att

1.personuppgifter behandlas bara om det är lagligt,

2.personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

3.personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

4.personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

5.de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

6.inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

7.de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

8.alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

9.gallring sker av personuppgifter som inte längre behövs för ändamålet med behandlingen om inte annat anges i denna lag.

Vad som sagts i första stycket 9 gäller inte personuppgifter

1.i en förundersökning, eller

2.i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

2 § Vid tillämpning av 1 § första stycket 4 gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i 1 § första stycket 9. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den enskilde bara om den enskilde har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den enskildes vitala intressen.

När behandlingen av personuppgifter är tillåten

3 § Personuppgifter får behandlas bara om behandlingen är nödvändig för att sådan polisverksamhet som anges i 1 kap. 2 § första stycket skall kunna utföras.

Lagen hindrar inte att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

3 kap. Vissa behandlingar av personuppgifter

Behandling av känsliga personuppgifter

1 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning.

Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, om det är oundgängligen nödvändigt för syftet med behandlingen.

Behandling av personnummer

2 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

1.ändamålet med behandlingen,

2.vikten av en säker identifiering, eller

3.något annat beaktansvärt skäl.

Behandling av uppgifter om kvarstående misstankar

3 § Om en förundersökning mot en person har lagts ned på grund av bristande bevisning får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast under förutsättning att

1.den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och

2.uppgifterna behövs för att förundersökningen skall kunna tas upp på nytt.

4 § Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast

1.om förundersökningen tas upp på nytt eller

2.för prövning av ett särskilt rättsmedel enligt 58 kap. rättegångsbalken.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

Syften med behandlingen

5 § Uppgifter om en enskild person som det inte finns någon misstanke om brott mot får behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer.

Uppgifter om en enskild person som det inte finns någon misstanke mot skall förses med en upplysning om detta förhållande.

6 § Personuppgifter som behandlas enligt 5 § skall förses med upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

7 § Personuppgifter som behandlas enligt 5 § för att underlätta övervakning av personer som kan antas komma att begå brott får endast avse dömda personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Beslut om villkor för behandlingen

8 § Den personuppgiftsansvarige skall särskilt besluta ändamål för behandlingen av personuppgifter och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i enskildas personliga integritet.

Gallring

9 § Personuppgifter som behandlas enligt 5 § får inte bevaras längre tid än tre år från det att uppgifterna om personen samlades in. Sådana personuppgifter som avses i 7 § får dock bevaras senast till dess att uppgifterna om personen gallras ur belastningsregistret.

Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Behandling av personuppgifter som inte omfattas av bestämmelserna

10 § Bestämmelserna i 5–9 §§ gäller inte behandling av personuppgifter

1.i en förundersökning eller

2.i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Behandling av uppgifter på Internet om efterlysningar av enskilda personer

11 § En efterlysning av en person med anledning av att han eller hon avvikit från verkställighet av påföljd för brott eller med anledning av att han eller hon misstänks för brott, får göras allmänt tillgänglig på Internet endast om

1.domen eller misstanken avser ett brott för vilket inte lindrigare straff än fängelse i två år är föreskrivet eller

2.personen kan antas vara farlig för annans personliga säkerhet.

4 kap. Särskilt om behandling av personuppgifter hos Säkerhetspolisen

1 § Säkerhetspolisen får utan hinder av bestämmelserna i 3 kap. 3– 10 §§ behandla personuppgifter för att underlätta

1.spaning i syfte att förebygga och avslöja brott mot rikets säkerhet,

2.spaning i syfte att bekämpa terrorism och

3.registerkontroll enligt säkerhetsskyddslagen (1996:627).

5 kap. Register

Spaningsregister

Ändamål

1 § Rikspolisstyrelsen får föra ett allmänt spaningsregister för polisens spaningsverksamhet. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

2 § Det allmänna spaningsregistret får föras i syfte att underlätta tillgången till uppgifter med anknytning till polisverksamhet som består i att förebygga, upptäcka och utreda brott.

Innehåll

3 § Det allmänna spaningsregistret får innehålla uppgifter som kan hänföras till en enskild person endast om den som avses med uppgiften kan misstänkas för att ha begått ett brott och om registreringen är av särskild betydelse för brottsbekämpningen.

Uppgifter om transportmedel eller andra varor som kan antas ha samband med ett brott eller om hjälpmedel som kan antas ha använts i samband med ett brott får registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot denne.

4 § Det allmänna spaningsregistret får innehålla följande uppgifter om en enskild person:

1.upplysningar om varifrån den registrerade uppgiften kommer och om uppgiftslämnarens trovärdighet,

2.identifieringsuppgifter,

3.vistelseadress,

4.uppgifter om särskilda fysiska kännetecken,

5.uppgifter om verkställighet av påföljd för brott,

6.uppgifter om varor, brottshjälpmedel och transportmedel,

7.ärendenummer och

8.varning om att personen tidigare varit beväpnad, våldsam eller flyktbenägen.

Det allmänna spaningsregistret skall alltid innehålla uppgifter om de omständigheter och händelser som gett anledning att anta att den registrerade begått brott.

Gallring

5 § Uppgifter i det allmänna spaningsregistret om en registrerad person skall gallras senast tre år efter det att uppgifter om att denne kan misstänkas för att ha begått ett brott senast infördes. Om den senast införda uppgiften avser misstanke om ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet behöver dock uppgifterna inte gallras förrän fem år efter att den senaste uppgiften infördes.

Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.

Bestämmelser som inte gäller

6 § Bestämmelserna i 3 kap. 3 och 4 §§ gäller inte vid behandling av personuppgifter i det allmänna spaningsregistret.

Register med uppgifter om DNA-analyser i brottmål

Ändamål

7 § Uppgifter om resultat av DNA-analyser får behandlas endast för att underlätta identifiering av personer i samband med utredning av brott. Rikspolisstyrelsen får föra register (DNA-register och spårregister) i enlighet med 8–12 §§ över de uppgifter som behandlas. Rikspolisstyrelsen är personuppgiftsansvarig för behandling av uppgifter i registren.

Sådana uppgifter som avses i första stycket får även behandlas i

1.i en förundersökning eller

2.i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

DNA-register

8 § Ett DNA-register får innehålla uppgifter om resultatet av DNA- analyser som har gjorts under utredning av ett brott och som avser personer som har dömts för

1.ett sådant brott mot en persons liv eller hälsa, personliga integritet eller säkerhet som avses i 3, 4, 6, 8, 12 eller 17 kap. brottsbalken, om brottet kan leda till fängelse i mer än två år,

2.ett allmänfarligt brott som avses i 13 kap. brottsbalken, om brottet kan leda till fängelse i mer än två år, eller

3.försök, förberedelse, stämpling, anstiftan eller medhjälp till ett sådant brott som avses i 1 eller 2.

9 § Registreringen av ett analysresultat skall begränsas till uppgifter som ger information om den registrerades identitet. Analysresultat som kan ge upplysning om den registrerades personliga egenskaper får inte registreras.

Utöver vad som sägs i första stycket får DNA-registret endast innehålla upplysningar som visar i vilket ärende analysen har gjorts och vem analysen avser.

Spårregister

10 § Ett spårregister får innehålla uppgifter om DNA-analyser som har gjorts under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver uppgifter om analysresultat får ett spårregister endast innehålla upplysningar som visar i vilket ärende analysen har gjorts.

11 § Uppgifter i spårregister får endast jämföras med analysresultat

1.som inte kan hänföras till en identifierbar person,

2.som finns i DNA-registret, eller

3.som kan hänföras till en person som är misstänkt för brott.

Gallring

12 § Uppgifter i DNA-registret skall gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i spårregister skall gallras senast trettio år efter registreringen.

Prover från personer som inte är misstänkta för brott

13 § Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys från någon som inte är misstänkt för brottet får provet inte användas för något annat ändamål än det för vilket det togs. Ett sådant prov får inte heller sparas efter det att målet slutligt har avgjorts.

Fingeravtrycks- och signalementsregister

Ändamål

14 § För att underlätta identifiering av personer i samband med brott får Rikspolisstyrelsen behandla uppgifter i fingeravtrycks- och signalementsregister. Ett sådant register får användas för identifiering av okända personer även i andra fall. Rikspolisstyrelsen är personuppgiftsansvarig för behandling av uppgifter i registren.

Sådana uppgifter som avses i första stycket får även behandlas i

1.i en förundersökning eller

2.i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

Uppgifter som får behandlas

15 § Fingeravtrycks- och signalementsregister får endast innehålla uppgifter om den som är misstänkt eller dömd för brott eller som har fått lämna fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. I ett sådant register får endast antecknas uppgifter om

1.fingeravtryck,

2.signalement,

3.identifieringsuppgifter,

4.ärendenummer och

5.brottskoder.

Gallring

16 § Uppgifter i fingeravtrycks- eller signalementsregister om en misstänkt person skall gallras när förundersökning eller åtal mot personen läggs ned eller när åtal ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade skall behandlas med stöd

av 3 kap. 3 och 4 §. När dessa uppgifter gallras skall även uppgifter i fingeravtrycks- och signalementsregister gallras.

Om den registrerade döms skall uppgifterna i registret gallras senast vid den tidpunkt då uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Regeringen får meddela föreskrifter om gallring av uppgifter om den som har lämnat fingeravtryck enligt lagen (1991:572) om särskild utlänningskontroll.

6 kap. Information till den enskilde, rättelse och säkerheten vid behandling

Information till den enskilde

Information som skall lämnas självmant

1 § Om uppgifter om en enskild person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den enskilde information om behandlingen av uppgifterna.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om antecknandet eller utlämnandet av personuppgifterna i författning.

Information enligt första stycket behöver heller inte lämnas om uppgifterna samlas in i samband med ett larm eller en annan liknande underrättelse och larmet eller underrättelsen kräver omedelbara insatser från den personuppgiftsansvarige.

2 § Om personuppgifterna har samlats in från någon annan källa än den enskilde, skall den personuppgiftsansvarige självmant lämna den enskilde information om behandlingen av uppgifterna när de antecknas. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om antecknandet eller utlämnandet av personuppgifterna i författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den enskilde, skall dock information lämnas senast i samband med att så sker.

Vad informationen skall omfatta

3 § Information enligt 1 eller 2 § skall omfatta

1.uppgift om den personuppgiftsansvariges identitet,

2.uppgift om ändamålen med behandlingen, och

3.all övrig information som behövs för att den enskilde skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den enskilde redan känner till.

Information som skall lämnas efter ansökan

4 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

1.vilka uppgifter om den sökande som behandlas,

2.varifrån dessa uppgifter har hämtats,

3.ändamålen med behandlingen, och

4.till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

5 § I den utsträckning det är särskilt föreskrivet i författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den enskilde gäller inte bestämmelserna i 1–4 §§.

Rättelse

6 § Den personuppgiftsansvarige är skyldig att på begäran av den enskilde snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Säkerheten vid behandling

7 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 8 § första stycket.

Om det i annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i polisens verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.

8 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1.de tekniska möjligheter som finns,

2.vad det skulle kosta att genomföra åtgärderna,

3.de särskilda risker som finns med behandlingen av personuppgifterna och

4.hur pass känsliga de behandlade personuppgifterna är.

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

9 § Direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.

7 kap. Övriga bestämmelser

Förhållandet till offentlighetsprincipen

1 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka Rikspolisstyrelsens eller en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att Rikspolisstyrelsen eller en polismyndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 2 kap. 2 § tredje stycket gäller inte för Rikspolisstyrelsens eller en polismyndighets användning av personuppgifter i allmänna handlingar.

Utlämnande av uppgifter

2 § Uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.

3 § Uppgifter får lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Regeringen får meddela föreskrifter om att uppgifter på begäran får lämnas till polis- eller åklagarmyndighet i en stat som är ansluten till Interpol om det behövs för att myndigheten eller organisationen skall kunna förebygga, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas ut enligt vad som framgår av 1 kap. 3 § tredje stycket sekretesslagen (1980:100).

4 § Regeringen får meddela föreskrifter om att uppgifter får lämnas ut även i andra fall än som sägs i 2 och 3 §§.

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

5 § Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

Om det finns ett personuppgiftsombud skall anmälan göras till personuppgiftsombudet

6 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 5 § första stycket inte göras till tillsynsmyndigheten. Anmälan om sådan behandling av personuppgifter som avses i 5 § första stycket skall då i stället göras till personuppgiftsombudet.

Personuppgiftsombudets uppgifter

7 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för

behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

8 § Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som omfattas av anmälningsskyldighet till tillsynsmyndigheten eller till personuppgiftsombudet. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 5 § skulle ha innehållit.

9 § Personuppgiftsombudet skall hjälpa enskilda att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Förhandskontroll av särskilt integritetskänsliga behandlingar

10 § Regeringen får meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 5 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten till tillsynsmyndigheten enligt 6 §.

Upplysningar till allmänheten om behandlingar som inte anmälts

11 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 5 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Skadestånd

12 § Den personuppgiftsansvarige skall ersätta den enskilde för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Detta gäller dock inte vid behandling av personuppgifter enligt konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.

Överklagande

13 § Tillsynsmyndighetens beslut enligt förordning som har meddelats för verkställighet av denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även

om det överklagas.

14 § Rikspolisstyrelsens eller en polismyndighets beslut om rättelse och om information som skall lämnas enligt 6 kap. 4 § överklagas till kammarrätten.

_________

Denna lag träder i kraft den 1 juli 2003, då polisdatalagen (1998:622) upphör att gälla.

2 Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 5 kap 1 och 7 §§, 7 kap. 41 § och 9 kap. 17 § sekretesslagen (1980:100) skall ha följande lydelse.

5 kap.

1 §

Sekretess gäller för uppgift som hänför sig till

1.förundersökning i brottmål,

2.angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3.verksamhet som rör utredning i frågor om näringsförbud,

4.åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, eller

5.Finansinspektionens verksamhet som rör övervakning enligt insiderstrafflagen (2000:1086),

om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.

brottsbekämpande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verksamhet hos myndighet för att biträda åklagarmyndighet, polismyndighet, skattemyndighet, Tullverket eller Kustbevakningen med att uppdaga, utreda eller beivra brott samt hos tillsynsmyndighet i konkurs och inom exekutionsväsendet för uppgift som angår misstanke om att en gäldenär har begått brott som avses i 11 kap. brottsbalken eller annat brott som har samband med gäldenärens näringsverksamhet.

I fråga om uppgift i allmän handling som hänför sig till sådan underrättelseverksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om uppgift i allmän handling i övrigt gäller sekretessen i högst fyrtio år.

7 §

Sekretess gäller i verksamhet som avser rättslig hjälp på begäran av annan stat för uppgift som hänför sig till

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som angår tvångsmedel,

om det kan antas att den rättsliga hjälpen begärts under förutsättning att uppgiften inte röjs.

Motsvarande sekretess gäller hos polismyndighet och åklagarmyndighet samt hos Rikspolisstyrelsen, Tullverket och Kustbevakningen, för uppgift i en angelägenhet som avses i 3 § 1 och 6 lagen (2000:344) om Schengens informationssystem. Utan hinder av sekretessen enligt detta stycke får uppgift lämnas ut enligt vad som föreskrivs i polisdatalagen (1998:622) och lagen om Schengens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio

år.

7 kap.

41 §

Sekretess gäller hos polismyndighet och åklagarmyndighet, samt hos Rikspolisstyrelsen, Tullverket, Kustbevakningen och Migrationsverket, för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem

1.om omhändertagande av en person som har efterlysts för utlämning,

2.om att en person skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlista),

3.om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet, samt

4.om dold övervakning eller särskilda kontrollåtgärder, om det inte står klart att uppgiften kan lämnas ut utan att den enskilde eller någon honom närstående lider men.

Sekretess gäller hos myndighet som prövar ansökningar om visering och uppehållstillstånd för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en sådan framställning som avses i första stycket 2 under samma förutsättningar som anges i första stycket.

9 kap.

17 §

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1.i utredning enligt bestämmelserna om förundersökning i brottmål,

2.i angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3.i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4.i åklagarmyndighets, polismyndighets, skattemyndighets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott,

5.i Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller polismyndighet i brottmål,

7.i register som förs enligt lagen (1998:621) om misstankeregister,

8.i register som förs av Riksskatteverket enligt lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9.i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

10.i register som förs av Tullverket enligt lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag,

om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men.

Sekretess gäller i verksamhet, som avses i första stycket, för anmälan eller utsaga från enskild, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs.

Utan hinder av sekretessen får en skadelidande, eller den som den skadelidande överlåtit sin rätt till, ta del av en uppgift

1.i en nedlagd förundersökning eller i en förundersökning som avslutats med ett beslut om att åtal inte skall väckas,

2.i en annan brottsutredning som utförts enligt bestämmelserna i 23 kap. rättegångsbalken och som avlutats på annat sätt än med beslut att väcka åtal, med strafföreläggande eller med föreläggande av ordningsbot, eller

3.i en avslutad utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, om den skadelidande, eller den som den skadelidande överlåtit sin rätt till, behöver uppgiften för att kunna få ett anspråk på skadestånd eller på bättre rätt till viss egendom tillgodosett och det inte bedöms vara av synnerlig vikt för den som uppgiften rör eller någon närstående till honom att den inte lämnas ut.

Utan hinder av sekretessen får en uppgift också lämnas ut

1.till enskild enligt vad som föreskrivs i den särskilda lagstiftningen om unga lagöverträdare,

2.till enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har stöd i den lagen,

rättegångsbalken.

Utan hinder av sekretessen får polisen på begäran av en enskild som lidit person- eller sakskada vid en trafikolycka lämna uppgift om identiteten hos en trafikant som haft del i olyckan.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio

år.

_________

1.Denna lag träder i kraft den 1 juli 2003.

2.Äldre bestämmelser om sekretess gäller fortfarande i fråga om uppgifter som hänför sig till tiden före ikraftträdandet.

3 Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§ säkerhetsskyddslagen (1996:627) skall ha följande lydelse

21 §

Utlämnande av uppgifter vid registerkontroll får omfatta

1. för säkerhetsklass 1 eller 2: varje uppgift som finns tillgänglig om den kontrollerade och, om det är oundgängligen nödvändigt, om make eller sambo, och

2. för säkerhetsklass 3: upp- 2. för säkerhetsklass 3: uppgifter om den kontrollerade i gifter om den kontrollerade i belastningsregistret, misstankebelastningsregistret och miss-

–3 kap. 1, 2, 5 och 6 §§ brottsbalken,

–4 kap. 1–6 och 8–9 a §§ brottsbalken,

–6 kap. 1 och 2 §§ brottsbalken,

–8 kap. 4–6 §§ brottsbalken,

–9 kap. 3 och 4 §§ brottsbalken,

–12 kap. 3 § brottsbalken,

–13 kap. 1–5 b och 7 §§ brottsbalken,

–16 kap. 1–3, 5, 6 och 8 §§ brottsbalken,

–17 kap. 1 § brottsbalken,

–18 kap. 1 och 3–5 §§ brottsbalken,

–19 kap. brottsbalken,

–1 och 3 §§ narkotikastrafflagen (1968:64), och

–9 kap. 1 § vapenlagen (1996:67).

Även uppgift om försök och förberedelse till dessa gärningar får lämnas ut.

________

Denna lag träder i kraft den 1 juli 2003.

4 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem skall ha följande lydelse.

Registret skall endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive

_________

Denna lag träder i kraft den 1 juli 2003.

5 Förslag till polisdataförordning

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen (0000:00).

I förordningen (1970:517) om rättsväsendets informationssystem finns särskilda föreskrifter om automatiserad behandling av personuppgifter i rättsväsendets informationssystem.

Undantag från gallring

2 § Riksarkivet får, efter samråd med Rikspolisstyrelsen, meddela föreskrifter om att uppgifter som skall gallras enligt 2 kap. 1 § 9, 3 kap. 9 § eller 5 kap. 5 § polisdatalagen (0000:00) får bevaras för historiska, statistiska och vetenskapliga ändamål.

Behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot

3 § Uppgifter som behandlas enligt 3 kap. 5 § polisdatalagen (0000:00) får lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet endast om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Spaningsregister

4 § Polismyndigheterna får ha direkt åtkomst till det allmänna spaningsregistret.

Uppgifter ur det allmänna spaningsregistret får lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, en tullmyndighet eller en skattemyndighet endast om uppgiften kan antas ha särskild betydelse

för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Register med uppgifter om DNA-analyser i brottmål

5 § Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter får ha direkt åtkomst till register med uppgifter om DNA-analyser i brottmål. Polismyndigheterna och åklagarmyndigheternas åtkomst skall dock begränsas till uppgifter om huruvida någon förekommer i register med uppgifter om DNA-analyser i brottmål eller inte.

Tillsynsmyndighet

6 § Datainspektionen är tillsynsmyndighet enligt polisdatalagen (0000:00).

Datainspektionens befogenheter

7 § Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 6 kap. 8 § polisdatalagen (0000:00).

I 10 § finns det bestämmelser om Datainspektionens möjligheter att förena beslutet med vite.

8 § Datainspektionen har rätt att för sin tillsyn på begäran få

1.tillgång till de personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och

3.tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

9 § Om Datainspektionen inte efter begäran enligt 8 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

10 § Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten

genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 7 § som vunnit laga kraft, får Datainspektionen föreskriva vite.

11 § Innan Datainspektionen beslutar om vite enligt 9 eller 10 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får Datainspektionen dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.

Ett vitesföreläggande skall delges den personuppgiftsansvarige.

12 § Datainspektionen får hos Länsrätten i Stockholms län ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

Anmälan till Datainspektionen

13 § Anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) gäller inte för behandling av personuppgifter som utförs till följd av Rikspolisstyrelsens eller en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmän handling.

14 § Anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) gäller inte för behandling av personuppgifter i löpande text.

15 § Datainspektionen får meddela föreskrifter om undantag från anmälningsskyldigheten enligt 7 kap. 5 § första stycket polisdatalagen (0000:00) för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

16 § Datainspektionen skall med automatiserad behandling registrera de behandlingar av personuppgifter som anmälts till inspektionen enligt 7 kap. 5 § första stycket polisdatalagen (0000:00).

Förhandskontroll

17 § Automatiserad behandling av personuppgifter som ger upplysning om att en person är dömd eller misstänkt för brott skall anmälas för förhandskontroll till Datainspektionen tre veckor i förväg.

Första stycket gäller inte om behandlingen utförs

1.i en polismyndighets diarium över inkomna ärenden,

2.till följd av en polismyndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut en allmän handling,

3.till följd av bestämmelserna i arkivlagen (1990:782) eller arkivförordningen (1991:446),

4.enligt förordningen (1970:517) om rättsväsendets informationssystem,

5.enligt de särskilda föreskrifterna om register i 5 kap. polisdatalagen (0000:00),

6.i en förundersökning eller i en brottsutredning som handläggs enligt 23 kap. 22 § rättegångsbalken eller enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

7.i ett ärende som rör en enskild person hos en polismyndighet,

8.hos Säkerhetspolisen eller

9.i löpande text och endast avser enstaka personuppgifter.

Underrättelseskyldighet

18 § Justitiekanslern och en domstol som förordnar om beslag på skrift på vilken tryckfrihetsförordningen skall tillämpas eller på en film eller annan upptagning av ljud eller bilder på vilken yttrandefrihetsgrundlagen skall tillämpas skall underrätta Rikspolisstyrelsen om beslutet. Detsamma gäller om beslaget hävs eller förfaller eller om domstolen förordnar om att konfiskering av en sådan skrift eller upptagning skall verkställas.

Utlämnande av uppgifter

19 § Rikspolisstyrelsen får lämna ut uppgifter om efterlysta personer och avlägsnanden ur landet samt om beslut som har samband därmed till Regeringskansliet, Arbetsmarknadsstyrelsen, Migrationsverket, Utlänningsnämnden, länsstyrelserna, polis- och åklagarmyndigheterna, Kustbevakningen, tullmyndigheterna, de svenska beskickningarna och konsulaten samt de centrala utlänningsmyndigheterna i Danmark, Finland, Island och Norge.

20 § Uppgifter som behandlas enligt polisdatalagen (0000:00) får, om det är förenligt med svenska intressen, lämnas ut till

1.utländsk underrättelse- eller säkerhetstjänst och

2.polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen skall kunna förebygga, upptäcka, utreda eller beivra brott.

Bemyndiganden

21 § Datainspektionen får i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter om

1.i vilka fall behandling av personuppgifter är tillåten,

2.vilka krav som ställs på den personuppgiftsansvarige,

3.i vilka fall användning av personnummer eller samordningsnummer är tillåten,

4.vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla,

5.vilken information som skall lämnas till registrerade och hur informationen skall lämnas,

6.anmälan till inspektionen och förfarandet när anmälda uppgifter har ändrats.

22 § Rikspolisstyrelsen får efter samråd med Datainspektionen meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen (0000:00) och denna förordning.

_________

Denna förordning träder i kraft den 1 juli 2003, då polisdataförordningen (1999:81) upphör att gälla.

6 Förslag till förordning om ändring i sekretessförordningen (1980:657)

Härigenom föreskrivs att 5 § sekretessförordningen (1980:657) skall ha följande lydelse.

Nuvarande lydelse

5 §

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 15 kap. 1 § första stycket sekretesslagen (1980:100).

Myndigheter

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

åklagarmyndigheterna utdrag ur folkbokföringsdatabasen, utdrag ur belastningregistret, misstankeregistret och andra register som förs med stöd av polisdatalagen (1998:622), utdrag ur körkortsregistret samt rekvisitioner av sådana utdrag

Föreslagen lydelse

5 §

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 15 kap. 1 § första stycket sekretesslagen (1980:100).

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

________

Denna förordning träder i kraft den 1 juli 2003.

8 Förslag till förordning om ändring i folkbokföringsförordningen (1991:749)

Härigenom föreskrivs att 5 § folkbokföringsförordningen (1991:749) skall ha följande lydelse.

Nuvarande lydelse

5 §

Samordningsnummer enligt 18 a § folkbokföringslagen (1991:481) får tilldelas för de ändamål och på begäran av de myndigheter som anges nedan.

Ändamål

3.Utfärdande av pass och Passmyndigheten registrering i passregistret

4.Registrering i socialförsäk- Allmänna försäkringskassan ringsregister

6.Registrering i körkorts- och Länsstyrelsen och Vägverket bilregistret

7.Registrering i register över Totalförsvarets pliktverk totalförsvarspliktiga

Samordningsnummer får på begäran av Regeringskansliet även tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Tilldelning enligt första stycket 1 och 2 får ske även om den enskildes identitet inte med säkerhet kunnat fastställas av den myndighet som begär tilldelningen.

Samordningsnummer tilldelas av den skattemyndighet som Riksskatteverket bestämmer.

Föreslagen lydelse

5 §

Samordningsnummer enligt 18 a § folkbokföringslagen (1991:481) får tilldelas för de ändamål och på begäran av de myndigheter som anges nedan.

Myndigheter

1. Registrering i skatteregister

2. Registrering i belastningsregister, misstankeregister, och register som förs enligt polisdatalagen (0000:00) eller i rättsväsendets informationssystem

3. Utfärdande av pass och registrering i passregistret

4. Registrering i socialförsäkringsregister

5. Sjömansregistrering

6. Registrering i körkorts- och bilregistret

7. Registrering i register över totalförsvarspliktiga

Samordningsnummer får på begäran av Regeringskansliet även tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Tilldelning enligt första stycket 1 och 2 får ske även om den enskildes identitet inte med säkerhet kunnat fastställas av den myndighet som begär tilldelningen.

Samordningsnummer tilldelas av den skattemyndighet som Riksskatteverket bestämmer.

_______

Denna förordning träder i kraft den 1 juli 2003.

9 Förordning om ändring i förordningen (1996:730) med instruktion för Registernämnden

Härigenom föreskrivs att 1 och 11 §§ förordningen (1996:730) med instruktion för Registernämnden skall ha följande lydelse.

1 §

Registernämnden har till uppgift att i ärenden om registerkontroll enligt säkerhetsskyddslagen (1996:627) pröva frågor om utlämnande av

1.uppgifter från register som omfattas av lagen (1998:620) om belastningsregister,

2.uppgifter från register som omfattas av lagen (1998:621) om misstankeregister,

Nämnden skall pröva frågor om utlämnande av uppgifter även i sådana fall som avses i 10 § förordningen (1989:149) om bevaknings-

Denna förordning träder i kraft den 1 juli 2003.

1 Utredningens uppdrag och arbete

1.1Utredningens direktiv

Utredningens direktiv (dir. 1999:99) innebär ett uppdrag att följa genomförandet av den nya polisregisterlagstiftningen och att påtala eventuella brister särskilt från integritetssynpunkt.

En inventering skall enligt direktiven göras av de register som förs inom polisen med stöd av personuppgiftslagen (1998:204) och polisdatalagen (1998:622) samt, övergångsvis, med stöd av Datainspektionens tillstånd. En kartläggning av i vilken utsträckning personuppgifter behandlas automatiserat på annat sätt än i traditionella register skall också ske. Vidare skall undersökas hur informationsutbytet med Europol fungerar.

Utredningsarbetet skall innefatta en särskild analys av vilka konsekvenser den nya lagstiftningen om polisens register har fått för den enskildes personliga integritet. I det sammanhanget skall effekten av all den lagstiftning som på något sätt påverkar polisens tillgång till och behandling av personuppgifter beaktas. Vid utredningen skall konsekvenserna av nya arbetssätt och ny teknik följas. Resultatet av analysen skall ställas mot de effekter lagstiftningen har fått för polisens brottsförebyggande och brottsbekämpande verksamhet.

I utredningsuppdraget ingår också att uppmärksamma eventuella tillämpningssvårigheter och belysa eventuella brister i lagstiftningen. En fråga som särskilt skall uppmärksammas i det sammanhanget är hur personuppgiftslagens bestämmelser om information till den registrerade tillämpas.

På grundval av inventeringen skall utredningen överväga om något av de register som för närvarande förs med Datainspektionens tillstånd är av sådan omfattning att det bör författningsregleras och i så fall föreslå en sådan reglering.

I uppdraget ingår också att utreda hur utvecklingen av den digitala tekniken påverkat polisens arbetsmetoder t.ex. i form av lagring av

personuppgifter i form av bilder, ljud etc. I det sammanhanget skall också övervägas om det digitala referensbibliotek över barnpornografiska framställningar som Rikskriminalpolisen för bör lagregleras.

Mot bakgrund av det som framkommit vid analysen av konsekvenserna av den nya lagstiftningen, skall övervägas om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom ökade möjligheter till insyn eller kontroll, för att lagstiftningen skall uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet.

Direktiven är i sin helhet bifogade i bilaga 1 till betänkandet. Regeringen har beslutat att överlämna tre skrivelser till utredningen.

Två av skrivelserna har överlämnats till regeringen av Datainspektionen. Dessa skrivelser innefattar synpunkter på viss behandling av personuppgifter, som företas av Rikspolisstyrelsen och av Statens kriminaltekniska laboratorium. Den tredje skrivelsen har lämnats till regeringen av Registernämnden och har rubriken Ang. Registernämndens granskning av Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen. Regeringens beslut och de aktuella skrivelserna är bifogade i bilaga 2 till betänkandet.

1.2Utredningsarbetet

Utredningsarbetet har bedrivits under åren 2000 och 2001 varvid tretton utredningssammanträden har hållits. Vid dessa sammanträden har företrädare för Rikspolisstyrelsen och Säkerhetspolisen lämnat information till oss. Dessutom har vi gjort studiebesök hos Rikspolisstyrelsen, Säkerhetspolisen och Polismyndigheten i Stockholms län, varvid företrädare för dessa myndigheter förevisat olika register och ärendehanteringssystem som används.

I maj 2001 genomförde vi en hearing, varvid belystes en rad frågeställningar avseende polisens rätt att behandla personuppgifter automatiserat. I synnerhet diskuterades olika tillämpningssvårigheter och brister i personuppgiftslagen och polisdatalagen, vilka polisen anser föreligger. Vid hearingen deltog personuppgiftsombuden vid Rikspolisstyrelsen och polismyndigheterna i landet samt företrädare för Justitiedepartementet, Datainspektionen, Ekobrottsmyndigheten, RIF- rådet, Rikspolisstyrelsen, Riksåklagaren, Statens kriminaltekniska laboratorium och Säkerhetspolisen. Ytterligare inbjudna som deltog vid hearingen var f.d. generaldirektören Mats Börjesson och f.d. universitetslektorn Jan Evers.

Samråd har i enlighet med direktiven skett med Rikspolisstyrelsen, Datainspektionen och Registernämnden. Vidare har samråd ägt rum med Statens kriminaltekniska laboratorium. Riksåklagaren och Ekobrottsmyndigheten medverkade som nämnts vid hearingen och därigenom har erforderligt samråd enligt direktiven skett även med dessa myndigheter. Vi har också i enlighet med direktiven följt arbetet med den lagstiftning som föranleds av Sveriges tillträde till Schengen. Det har under utredningens gång förekommit kontakter också med andra, varvid kan nämnas IT-kommissionen och Beredningen för rättsväsendets utveckling.

För att kunna göra en jämförelse med lagstiftningen i Danmark, Finland och Norge har vi inhämtat upplysningar från Datatilsynet i Danmark, från Datatilsynet i Norge och från Dataombudsmannen i Finland.

Vi överlämnade i oktober 2000 en skrivelse till regeringen. I skrivelsen föreslog vi att regeringen skulle ta initiativ till att övergångsbestämmelserna till polisdatalagen ändrades. Enligt vårt förslag borde tidpunkten då bestämmelserna i datalagen (1973:289) skulle upphöra att gälla beträffande polisens register, ändras från den 30 september 2001 till utgången av år 2003. Förslaget i skrivelsen har lett till lagstiftning, se punkten 2 i övergångsbestämmelserna till polisdatalagen (prop. 2000/01:91, bet. 2000/01:JuU22, rskr. 2000/01:206).

2Några utgångspunkter för vårt arbete

I det här kapitlet redovisar vi vissa utgångspunkter får vårt arbete. Vi redogör i första hand för den rättsliga ramen för behandling av personuppgifter i polisens verksamhet. Redovisningen innefattar också vissa övergripande synpunkter på avvägningen mellan behovet av effektivitet och av integritetsskydd vid utformning av regler på det aktuella området.

2.1Utvecklingen av datorstöd i polisens verksamhet

Användningen av informationsteknik hos myndigheter har ökat i snabb takt under senare år, inte minst inom rättsväsendet. Registerutredningen redogör i sitt betänkande för denna utveckling (SOU 1997:65 s. 75 ff.). Praktiskt taget allt skrivarbete utförs i dag med hjälp av någon form av informationsbehandlingsteknik. Det beror bl.a. på att tekniken som sådan utvecklats, blivit säkrare, lättare att använda och billigare. Utvecklingen av informationsteknik (IT) är mycket betydelsefull för polisens möjligheter att effektivisera verksamheten, vilket är nödvändigt med hänsyn till samhällets utveckling och brottslighetens internationalisering. En ökad användning av IT är vidare nödvändig för att polisen skall kunna möta statsmakternas krav på en mera kostnadseffektiv och i övrigt rationell verksamhet. Det pågår därför ett intensivt arbete med att utveckla IT dels för polisens interna behov, dels för ett förbättrat samarbete mellan rättsväsendets myndigheter. Polisen utvecklar kontinuerligt nya IT-system för att på olika sätt stödja verksamheten.

Samarbetet mellan rättsväsendets myndigheter kan också förbättras med informationsteknik och användningen av sådan teknik utgör också en förutsättning för att Sverige skall kunna uppfylla sina åtaganden inom det internationella brottsbekämpande samarbetet.

I samband med att riksdagens justitieutskott behandlade budgetpropositionen för år 2001 ställde sig utskottet bakom regeringens prioriteringar, bland dem att utredningsverksamheten skulle förstärkas så att fler brott kan klaras upp (bet. 2000/01:JuU1 s. 29 f.).

I budgetpropositionen redovisade regeringen vidare sin uppfattning om hur rättsväsendet skall utvecklas (utg.omr. 4, avsnitt 4.4.2). I det sammanhanget anfördes att teknikutvecklingen ger rättsväsendet nya verktyg och möjligheter men samtidigt kräver att verksamheterna och regelverken kring dem anpassas för att man skall kunna ta till vara de möjligheter som den nya tekniken ger. För att utnyttja rättsväsendets resurser så effektivt som möjligt, höja kvaliteten i verksamheten och skapa attraktiva arbetsplatser skall myndigheterna ges förutsättningar att utnyttja den nya tekniken. Rättsväsendets IT-strukturer skall kunna samverka med varandra för att förhindra dubbelarbete.

Budgetpropositionen innehöll också en redovisning av genomförda och planerade insatser på detta område. Här (avsnitt 4.5.1) anförde regeringen att de nya registren för misstanke- och belastningsuppgifter samt den första etappen av DurTvå, som är ett stöd för förundersökningsprocessen, hade tagits i bruk under år 1999. Enligt regeringen var det angeläget att följa hur systemen utnyttjas i polisverksamheten och säkerställa de effektivitetsvinster som systemen möjliggör.

Också resultatredovisningen i budgetpropositionen (avsnitt 4.6.1) innehöll uppgifter av intresse. Sålunda upplystes att polisväsendets IT- kostnader uppgår till ca 730 miljoner kronor per år. Vidare noterades att Rikspolisstyrelsen under år 1999 initierat en översyn av polisväsendets IT-verksamhet. Regeringen refererade också en granskning av polisens IT-stöd som Riksrevisionsverket (RRV) genomfört (RRV 2000:8). Enligt RRV tillbringar poliser i medeltal 2,5 timmar per dag vid sitt IT-stöd. RRV fann också stora brister i tillgänglighet och användbarhet. IT-stödet var bl.a. inte tillgängligt i bilar och på brottsplatser. Det fanns också brister i förvaltning och genomförande av nyinvesteringarna.

Regeringen anförde vidare att Rikspolisstyrelsen har utarbetat en gemensam strategi för IT och annan verksamhetsutveckling. Inom styrelsen har skapats en utvecklings- och strategienhet som fått ett helhetsansvar för all verksamhetsutveckling, inklusive utveckling och förvaltning av IT-system. För att säkerställa ett lokalt inflytande över verksamheten har ett utvecklingsråd skapats, där bl.a. chefen för Statens kriminaltekniska laboratorium och åtta länspolismästare ingår. Rådet har, enligt vad regeringen anförde, en viktig funktion som garant för att utvecklingsarbetet motsvarar det verksamheten efterfrågar.

I detta sammanhang bör även nämnas att regeringen den 7 december 2000 beslutat att en beredning skall tillkallas med uppgift att verka för rättsväsendets utveckling (dir. 2000:90). Beredningen skall bl.a. undersöka möjligheterna att förkorta den genomsnittliga genomströmningstiden från brottsanmälan till dom och straffverkställighet. I direktiven nämns särskilt att det är en uppgift för beredningen att överväga på vilket sätt den moderna tekniken på ett bättre sätt än i dag kan stödja brottmålsprocessen och därigenom också bidra till bl.a. kortare genomströmningstider. Uppdraget i denna del innefattar även att undersöka om det i lagstiftningen finns hinder mot ett effektivare utnyttjande av IT-stödet i rättsväsendets verksamhet. Förslag skall presenteras i delbetänkanden av beredningen efter hand som olika frågor behandlas. Senast före utgången av år 2003 skall beredningen redovisa det vid detta tillfälle aktuella läget inom rättsväsendet för de frågor som det ankommer på beredningen att överväga samt en plan för det fortsatta arbetet.

Åtgärder för kortare genomströmningstider har också föreslagits av RRV i rapporten Brottmålskedjan – rättsadministrativ analys med internationella jämförelser (RRV 2001:3).

I justitieutskottets betänkande 2000/01:JuU11 behandlades frågor om polisens IT-stöd med anledning av motionsyrkanden om att polisen bör ha tillgång till datorer i bilarna och om att polisen bör ha ett bättre IT-stöd än i dag. Motionsyrkandena avslogs. Som bakgrund till sina överväganden hänvisade utskottet till ovan nämnda uttalanden i budgetpropositionen för år 2001.

Det upplystes i nyss nämnda betänkande att utskottets uppföljningsgrupp nyligen har tagit upp frågan om polisens IT-stöd och att en utfrågning har hållits med företrädare för Rikspolisstyrelsen. Vid utfrågningen lämnades information om strategin för utvecklingen av IT-stödet. Sammanfattningsvis framkom därvid följande. Inom polisen finns behov av information och kunskap i många olika avseenden. Det är för att kunna ta fram sådan information, göra den tillgänglig, automatisera flödet och underlätta kommunikation mellan enheter som IT är viktigt. Till skillnad från tidigare arbetar man nu så att verksamheten och tekniken skall integreras. Här handlar det bl.a. om att utgå från verksamhetsprocesser, exempelvis handläggningen av en anmälan fram till dess att förundersökningen överlämnas till åklagaren. För att åstadkomma en bättre styrning finns bl.a. det ovan nämnda utvecklingsrådet. Framöver kommer man att beställa system, inte ta fram dem själva. Många projekt måste av olika skäl genomföras stegvis. Systemen måste också kunna kommunicera med varandra. Gjorda investeringar måste tas till vara innan nya görs, och i den mån nya system införs måste de bygga bl.a. på ett genomtänkt säkerhetskoncept. I det sammanhanget

framkom att orsaken till att e-post inte används externt är just att säkerheten inte kan garanteras, vilket är särskilt viktigt inom polisverksamheten. De nya polisbilar som levereras är utrustade med datorstöd. Det ankommer sedan på respektive polismyndighet att beställa dessa. På sikt hoppas man bl.a. kunna arbeta med röststyrd utrustning i bilar.

Den redogörelse som vi har lämnat ovan ger en uppfattning om hur omfattande det utvecklingsarbete är som bedrivs för att effektivisera informationsförsörjningen inom polisen och rättsväsendet i övrigt. I kapitel 4 redogör vi för några särskilt betydelsefulla konsekvenser av bruket av ny teknik.

2.2Den nya rättsliga ramen för informationsbehandling

2.2.1Regleringen i huvudsak

Under de senaste åren har genomförts omfattande ny lagstiftning som medfört en ny utgångspunkt för behandling av personuppgifter. Syftet har varit att anpassa lagstiftningen till den nya informationstekniken. En viktig ambition för lagstiftningen om polisens register har varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet.

Eftersom våra förslag har sin utgångspunkt i den nya lagstiftningen ges här en översiktlig presentation av den svenska lagstiftningen avseende behandling av personuppgifter samt av Sveriges åtaganden inom det internationella polisiära samarbetet med anledning av Europolkonventionen och Schengenkonventionen. Vissa artiklar i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna som har betydelse för vårt arbete redovisas också här. Vidare tar vi upp Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

2.2.2Personuppgiftslagen

I personuppgiftslagen (1988:204) genomförs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Syftet med direktivet är att det skall skapas en gemensam hög nivå på integritetsskyddet, vilket i sin tur skall leda till att personuppgifter skall kunna flöda fritt mellan EU:s

medlemsstater. Dessa får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten (exempelvis den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område). Den svenska personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180) är dock generellt tillämplig och omfattar även sådant som faller utanför gemenskapsrätten, i den mån det inte finns särreglering i andra författningar. Lagen innehåller de generella regler som följer av EG-direktivet i fråga om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerheten vid behandlingen m.m.

Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.

Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis samla in, söka, bevara och sprida uppgifter. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad, dvs. i första hand datoriserad. Även manuell behandling av sådana uppgifter kan dock omfattas av lagen, nämligen om uppgifterna skall ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

En personuppgiftsansvarig skall se till att personuppgifter behandlas bara om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda,

uttryckligt angivna och berättigade ändamål samt inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen samt att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när behandling av uppgifter är tillåten. Detta är i princip fallet när den tilltalade har lämnat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige eller tredje man till vilken personuppgifter lämnas skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Personuppgiftslagen förbjuder andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet.

2.2.3Den nya polisregisterlagstiftningen

Allmänt

Polisens möjligheter att föra kriminal- och polisregister reglerades tidigare av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes, och förs, också med stöd av Datainspektionens tillstånd enligt datalagen.

Sedan den 1 april 2000 gäller en ny lag om behandling av personuppgifter hos polisen, polisdatalagen (1998:622). Lagen bygger på personuppgiftslagen och innehåller de särregler som ansetts nödvändiga i polisens verksamhet. Polisdatalagen utgör en del av den nya lagstiftningen om polisens register. Lagstiftningen består av fyra lagar, nämligen lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem och polisdatalagen (1998:622). Lagen om belast-

1 januari 2000 medan lagen om Schengens informationssystem trädde i kraft den 1 december 2000. Förarbetena till lagen om belastningsregister, lagen om misstankeregister och polisdatalagen utgörs av prop. 1997/98:97, bet. 1997/98:JuU20 och rskr. 1997/98:276. Förarbetena till lagen om Schengens informationssystem finns i prop. 1999/2000:64, bet. 1999/2000:JuU17 och rskr. 1999/2000:215.

Polisdatalagen

Polisdatalagen utgår från personuppgiftslagen och innehåller endast de särbestämmelser som är nödvändiga för polisens verksamhet. Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och regler om vissa särskilda register. För sådan behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om misstankeregister eller lagen om Schengens informationssystem gäller inte polisdatalagen.

Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet för att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Den innehåller även särskilda regler om behandling av uppgifter i kriminalunderrättelseverksamhet.

Slutligen innehåller polisdatalagen också särskilda bestämmelser om vissa register som förs med hjälp av automatiserad behandling, dvs. dataregister. Dessa register är kriminalunderrättelseregister, register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregister samt SÄPO-registret.

Lagen om belastningsregister

Enligt lagen (1998:620) om belastningsregister skall Rikspolisstyrelsen föra ett rikstäckande belastningsregister. Ändamålet med belastningsregistret skall vara att ge information om sådana belastningsuppgifter som behövs i verksamhet hos polis- och tullmyndigheter för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och vid utfärdande av strafförelägganden samt hos allmänna domstolar för val av påföljd och straffmätning. Uppgifter i registret skall också få användas av polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning

och annan prövning som anges i lag eller förordning samt av enskilda om det är av särskild betydelse i den enskildes verksamhet. I lagen om belastningsregister bemyndigas regeringen att föreskriva att en myndighet får ha direktåtkomst till belastningsregistret.

Alla påföljder för brott skall registreras i belastningsregistret. Belastningsregistret skall vidare innehålla uppgifter om den som har

ålagts förvandlingsstraff för böter, den som med tillämpning av 30 kap. 6 § brottsbalken har förklarats fri från påföljd, den som skall utvisas eller utlämnas samt om den som har meddelats besöksförbud. Vissa uppgifter om den som är dömd i utlandet skall också registeras. Respekten för den personliga integriteten kommer till uttryck i begränsningar när det gäller utlämnande av uppgifter ur belastningsregistret. För registret gäller enligt 7 kap. 17 § sekretesslagen (1980:100) absolut sekretess, dvs. uppgifter får endast lämnas ut enligt vad som är särskilt föreskrivet. Regeringen bemyndigas i lagen om belastningsregister att utfärda föreskrifter om registrets närmare innehåll. Det kan bl.a. gälla uppgifter om utvisning, intagning i eller utskrivning från sjukvårdsinrättning av den som av domstol överlämnats till psykiatrisk vård samt uppgifter om resning.

Lagen om misstankeregister

Enligt lagen (1998:621) om misstankeregister skall Rikspolisstyrelsen föra ett rikstäckande register med uppgifter om dem som är skäligen misstänkta för brott. Misstankeregistret skall föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos polis- och tullmyndigheter för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagarmyndigheter för beslut om förundersökning och åtal. Registret får även användas av andra myndigheter som har att utföra lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning. Slutligen får registret användas för att – i den utsträckning regeringen föreskriver – till enskild lämna uppgift som är av särskild betydelse i dennes verksamhet.

Lagen om Schengens informationssystem

Sverige har anslutit sig till Schengensamarbetet (prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 1997/98:121). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den

betydelsen att personkontrollerna vid nationsgränserna mellan Schengenstaterna skall upphöra. Den andra är att kampen skall stärkas mot internationell kriminalitet och illegal invandring.

Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS). SIS består av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter. Registret är uppbyggt som ett spanings- och efterlysningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att någon åtgärd skall vidtas när en efterlyst person eller ett efterlyst fordon påträffas. I SIS förekommer endast identifieringsuppgifter av registrerade personer. De kompletterande uppgifter som behövs för att ett land som har påträffat en efterlyst skall kunna verkställa en begärd åtgärd lämnas över först när det blir aktuellt i varje enskilt fall genom direkt kontakt mellan de berörda länderna.

En medverkan i Schengensamarbetet såvitt gäller SIS kräver som framgått att det byggs upp ett register som skall vara den nationella enheten i Schengens informationssystem. Lagen (2000:344) om Schengens informationssystem innehåller regler om behandling av personuppgifter i denna nationella enhet.

Lagen om SIS innehåller bestämmelser om vilka framställningar som får föras in i registret. Det regleras vilka personuppgifter som får föras in i registret, vem som får använda uppgifter ur det och ett förbud mot att använda uppgifter för annat ändamål än det som uppgiften registrerats för. Det finns i lagen också bestämmelser om bl.a. rättelse av felaktiga uppgifter. I den mån inte lagen om SIS innehåller avvikande regler blir personuppgiftslagens bestämmelser tillämpliga.

Europol

Medlemsstaterna i Europeiska unionen har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effektiviteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definierad brottslighet, t.ex. grova narkotikabrott eller gränsöverskridande handel med barn som utnyttjas sexuellt.

I kapitel 5 finns en förhållandevis detaljerad beskrivning av hur informationsutbytet med Europol fungerar.

2.2.4Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna gäller som svensk lag här i landet. Artiklarna 8 och 13 i konventionen har betydelse för myndigheters rätt att behandla personuppgifter.

Artikel 8 föreskriver att var och en har rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Såvitt gäller laglighetskriteriet krävs, utöver att intrånget skall grundas på nationell lag, att den åberopade lagen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsinskränkande tolkning av lagen skall kunna förutses och lagen skall vara allmänt tillgänglig. De syften för vilka intrång tillåts har tolkats ganska extensivt av Europadomstolen, men domstolen avgör vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Ett rättighetsintrång bedöms således nödvändigt endast om det svarar mot ett mycket angeläget socialt behov och om det står i rimlig proportion till det syfte som skall uppnås.

I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, skall ha tillgång till ett effektivt rättsmedel inför en nationell myndighet och detta även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde skall ha tillgång till en nationell instans för att få saken prövad och erhålla rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan därmed vara tillräcklig.

Europadomstolen har avgjort ett mål mellan en schweizisk medborgare och schweiziska staten, vilket bl.a. handlade om huruvida en anteckning om en privatperson i schweiziska säkerhetspolisens akt utgjort en kränkning av artikel 8. I målet uppkom även fråga om en kränkning av artikel 13 i konventionen hade skett. Ett referat av målet

(Amann mot Schweiz; dom den 16 februari 2000 i mål 27798/95) redovisas i det följande.

Hermann Amann sålde hårborttagningsutrustning för kvinnor. År 1981 fick han ett telefonsamtal från en kvinna vid dåvarande sovjetiska ambassaden i Bern, varvid kvinnan beställde viss sådan utrustning. Ambassaden var emellertid avlyssnad av den schweiziska säkerhetstjänsten, vilket ledde till att företagaren blev föremål för utredning och registrering i säkerhetspolisens register. De registrerade uppgifterna om Hermann Amann angav att det var fråga om spioneri med östblocket. Hermann Amann fick år 1990 reda på att dessa uppgifter förekom och väckte då skadeståndstalan mot säkerhetspolisen. Hans talan ogillades.

Sedan Hermann Amann klagat hos Europadomstolen uppkom där fråga om hans rätt till skydd för privatlivet och den personliga integriteten enligt konventionens artikel 8 hade kränkts. En ytterligare fråga i målet var om han hade haft tillgång till effektiva rättsmedel för att tillvarata sin rätt, i enlighet med artikel 13.

Europadomstolen konstaterade att Hermann Amanns privatliv kränkts redan i och med telefonavlyssningen.

När det gällde registreringen av uppgifterna från telefonavlyssningen i säkerhetspolisens register ansåg Europadomstolen att den kränkte Hermann Amanns rätt till skydd av privatlivet enligt artikel 8. Det spelade enligt domstolen ingen roll om uppgifterna i fråga var känsliga eller ej, utan det räckte att de gällde hans privatliv och lagrades av en offentlig myndighet. Europadomstolen fann vidare att registreringen inte hade stöd i lag eftersom de tillämpliga schweiziska bestämmelserna inte med tillräcklig tydlighet angav vilka uppgifter som fick registreras, under vilka förhållanden registrering fick ske och den procedur som skulle följas vid registrering. Den rättighetsinskränkande tolkningen av lagen som registreringen (och bevarandet av de registrerade uppgifterna) innebar kunde enligt domstolen inte förutses. En kränkning av artikel 8 hade således ägt rum.

Däremot fann domstolen att Hermann Amann hade haft tillgång till effektiva rättsmedel. Detta genom att han fick ut sin akt hos säkerhetspolisen och kunde väcka talan mot den schweiziska staten vid nationell domstol. Någon kränkning av artikel 13 hade således inte skett.

I detta sammanhang finns det även anledning att nämna målet Leander mot Sverige, (Leander mot Sverige; Europadomstolens dom den 26 mars 1987 Ser. A. Vol.116). Europadomstolen fann att registrering av uppgifter inhämtade enligt personalkontrollkungörelsen (1969:446), vilka föranlett att Leander nekats en sökt anställning, inte hade inne-

burit en kränkning av artikel 8. Inte heller ansågs en kränkning ha skett av artikel 13. Här följer en sammanfattning av Europadomstolens dom.

Torsten Leander hade fått arbete som vikarierande museitekniker på ett marinmuseum i anslutning till en flottbas. Basen utgjorde ett militärt skyddsområde. Kort tid efter anställningen hade han ombetts lämna arbetsplatsen i avvaktan på resultatet av personalkontrollen. Han blev sedermera upplyst om att utfallet av kontrollen utgjorde hinder för att han anställdes. Han gjorde gällande att hemlig information hade förhindrat anställningen av honom samt att detta utgjorde ett hot mot hans rykte.

Domstolen ansåg att lagrandet av information om Torsten Leanders privatliv i kombination med att han vägrades möjlighet att tillbakavisa uppgifterna utgjorde ett intrång i hans rätt till respekt för privatlivet. Personalkontrollen ansågs ha haft ett lagligt syfte, skyddet av den nationella säkerheten. Sedan hänsyn tagits till hur tillgängliga och förutsebara de aktuella reglerna var för allmänheten, kom domstolen fram till att intrånget hade erforderligt stöd i inhemsk lag. När det gällde att skydda nationell säkerhet ansågs staten ha en vid bedömningsmarginal. Med tanke på de risker som ett system med hemlig övervakning medförde ansågs det viktigt att det fanns garantier mot missbruk. Domstolen, som fäste särskild uppmärksamhet vid den övervakning av systemet som utövades av JK, JO och riksdagens justitieutskott samt vid att riksdagsledamöter ingick i Rikspolisstyrelsens styrelse, ansåg att det intrång som personalkontrollen medfört i klagandens privatliv inte var oproportionerligt med tanke på det legitima syfte som låg bakom systemet med personalkontroll. Någon kränkning av artikel 8 ansågs därför inte föreligga.

Något intrång i Torsten Leanders frihet att uttrycka sina åsikter eller att ta emot information ansågs inte ha förelegat.

Vad beträffade Torsten Leanders möjlighet enligt artikel 13 att kunna få frågorna överprövade av inhemsk myndighet konstaterade domstolen att de besvärsmöjligheter, som stod öppna för honom, tillsammans uppfyllde kraven i artikel 13.

2.2.5Europarådets rekommendation om användningen av personuppgifter inom polissektorn m.m.

År 1987 antogs inom Europarådet en rekommendation, No. R (87) 15, om användningen av personuppgifter inom polissektorn.

Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa

brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Skilda kategorier av lagrade uppgifter skall så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (”the different categories of data stored should be distinguished in accordance with their degree of accuracy or reliability”). I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

I oktober 1988 inledde Datainspektionen en granskning av Rikspolisstyrelsens personregister. Granskningen syftade till att undersöka om nuvarande författningsreglering av polisens rätt att registrera uppgifter om enskilda svarade mot den europeiska rekommendationen om polisregister. Undersökningen gällde också hur Rikspolisstyrelsens personregister förhöll sig till den dåvarande författningsregleringen och till de föreskrifter som Datainspektionen meddelat. I en skrivelse den 28 september 1989 överlämnade Datainspektionen till regeringen en rapport över granskningen.

I skrivelsen sägs att inspektionen fått intrycket att Rikspolisstyrelsens verksamhet med registren präglas av en strävan att undvika otillbörligt intrång i den personliga integriteten. Samtidigt noteras dock att författningsregleringen av polisens rätt att registrera uppgifter om enskilda personer är bristfällig mot bakgrund av den europeiska rekommendationen. Dessa brister anges bl.a. avse vissa frågor avseende utlämnande av uppgifter från registren samt sammanblandningen av belastnings- och misstankeuppgifter i person- och belastningsregistret.

2.3Avvägningen mellan effektivitetshänsyn och integritetsskydd

Hinder för ett rationellt utnyttjande av datorstöd bör inte ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten.

De nya tekniska möjligheterna att behandla uppgifter automatiserat medför ofrånkomligt ökade risker för intrång i den enskildes personliga integritet. Integritetsskyddet är emellertid ingen företeelse som bör ses isolerad för sig utan måste vägas mot andra samhällsintressen. Kravet på effektivitet när det gäller att förebygga, förhindra och utreda brott måste t.ex. beaktas. Det integritetsintrång som en behandling av

personuppgifter medför måste också ställas mot det integritetsintrång som det innebär att inte kunna röra sig fritt av rädsla för att bli utsatt för brott.

En målsättning för lagstiftningen om behandling av personuppgifter i polisens verksamhet har varit att finna en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet. I förarbetena till polisdatalagen sägs beträffande balansgången mellan integritet och effektivitet att utgångspunkten bör vara att hinder för ett rationellt utnyttjande av datorstöd inte bör ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten (SOU 1997:65 s. 77 och prop. 1997/98:97 s. 63). Enligt vår mening saknas det skäl att nu ompröva den avvägning som kommit till uttryck i nyss nämnda förarbetsuttalanden.

Syftet med den lagreglering vi föreslår i det här betänkandet är att fastställa principer till skydd för enskildas personliga integritet. En självklar utgångspunkt för oss är att integritetsskyddet skall ligga på en hög nivå. Det måste finnas ett tydligt behov i verksamheten av att behandla personuppgifterna. Slentrianmässig behandling av personuppgifter, i synnerhet av känsliga personuppgifter, skall inte förekomma. Behandling av personuppgifter bara för att uppgifterna ”kan vara bra att ha” får inte ske.

3Behandling av personuppgifter inom polisen – en inventering

3.1Uppläggningen av inventeringen

I uppdraget ingår att inventera de register som förs inom polisen. I detta kapitel redovisar vi resultatet av denna inventering.

Registerstrukturen har uppkommit som följd av Datainspektionens tillstånd för polisen att föra olika enskilda register och är således inte ett resultat av någon övergripande planering. Detta medför bl.a. att samma uppgifter förekommer i flera olika system.

Polisens register kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen

–register som förs med stöd av särskilda regler i lagstiftningen,

–register som förs med stöd av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen, och

–register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av tillstånd från Datainspektionen.

En annan uppdelning kan göras mellan centrala och lokala register. De centrala registren förs av Rikspolisstyrelsen och innehåller uppgifter från hela riket. De lokala registren förs däremot av en polismyndighet och innehåller därmed bara uppgifter från ett polisdistrikt.

I avsnitt 3.3 och 3.4 redovisar vi de register som är särskilt reglerade i lagstiftningen. Avsnitt 3.5 innehåller en redogörelse för Säkerhetspolisens system. Därefter redogör vi i avsnitt 3.6 för övriga centrala system av betydelse och i avsnitt 3.7 för vissa lokala system med nationell spridning. Polisen utvecklar kontinuerligt nya system för att stödja verksamheten. En redovisning av polisens register kan därför aldrig bli helt fullständig. Redovisningen i det här kapitlet tar dock upp alla nuvarande system av större betydelse i polisens verksamhet.

Själva begreppet register är i viss mån föråldrat. Vi inleder därför inventeringen med att beröra detta begrepp.

3.2Register och ärendehanteringssystem

Genom datalagens (1973:289) införande introducerades begreppet personregister som ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs i den lagen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt använda termen för ADB-baserade uppgiftssamlingar har därför sedan datalagens införande varit register. Ordet återfinns i många författningar som reglerar myndigheters användande av automatisk databehandling i verksamheten, t.ex. i polisdatalagen.

Det traditionella registerbegreppet har vid flera tillfällen kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar. Sökning i sådana filer görs inte efter särskilda bestämda sökord utan genom fritextsökning.

Personuppgiftslagen har anpassats till de nya förhållandena. I lagen används inte begreppet register utan det talas i stället om behandling av personuppgifter. Det skulle i och för sig vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alternativ, dvs. endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet, Integritet, Informationsteknik (SOU 1997:39 s. 340), att tillämpningsproblem inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades också vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet, men framhöll att det inte helt bör undvikas eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas särskilda bestämmelser rörande upprättandet och förandet av sådana register (prop. 1997/98:97 s. 102).

Det kan konstateras att flera av polisens samlingar av personuppgifter i elektronisk form är att se som register i ordets mer egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Detta gäller i först hand de äldre system som förs med stöd av Datainspektionens tillstånd. Nya system som kan betraktas som register är misstankeregistret, belastningsregistret och den nationella enheten av Schengens

informationssystem. Registerbegreppet har således fortfarande relevans i vissa fall.

Dagens system inom polisen byggs dock företrädesvis som ärendehanteringssystem och inte som traditionella register. I dessa ärendehanteringssystem registreras hela aktmaterial. Grundtanken vid utvecklingen av nya system inom polisen är att man i så stor utsträckning som möjligt bara skall anteckna en uppgift en enda gång samt att uppgiften, om det behövs, därefter skall vidarebefordras automatiserat till andra ärendehanteringssystem.

Vi finner inte anledning att utforma definitioner av begreppen register och ärendehanteringssystem. Inte heller anser vi att det finns skäl att i lagstiftningen ersätta begreppet register som beteckning för vissa fastställda informationsmängder med något annat begrepp. I betänkandet gör vi därför heller inte någon strikt skillnad mellan begreppen register och ärendehanteringssystem.

3.3Register som regleras särskilt i polisdatalagen

3.3.1Kriminalunderrättelseregister

Polisdatalagens och polisdataförordningens bestämmelser om kriminalunderrättelseregister

Med kriminalunderrättelseverksamhet förstås i polisdatalagen den polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken.

I lagen anges att begreppet inte innefattar den underrättelseverksamhet som bedrivs av Säkerhetspolisen. För SÄPO-registret innehåller lagen särskilda bestämmelser.

Automatisk databehandling av personuppgifter får för det första förekomma i s.k. särskilda undersökningar, som får inledas efter särskilt beslut om det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Sådana undersökningar sker med syfte att ge underlag för beslut om förundersökning eller för beslut om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. I särskilda undersökningar får även uppgifter om icke misstänkta personer behandlas, men uppgifterna måste förses med upplysning om att personen inte är misstänkt. Vidare får föras kriminalunderrättelseregister för att ge underlag för beslut om särskilda undersökningar

avseende allvarlig brottslig verksamhet eller för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet.

Kriminalunderrättelseregister får föras av Rikspolisstyrelsen eller av en polismyndighet. Den myndighet som för registret är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Ett kriminalunderrrättelseregister får innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Med allvarlig brottslig verksamhet menas verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Det krävs vidare att den person som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten. Uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet eller om hjälpmedel som kan ha använts i samband med sådan verksamhet får dock registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall då förses med upplysning om att det inte finns några misstankar mot denne.

Lagen talar om vilka uppgifter som får finnas i ett kriminalunderrättelseregister. Ett sådant register får endast innehålla

–upplysningar om varifrån den registrerade uppgiften kommer och om uppgiftslämnarens trovärdighet,

–identifieringsuppgifter,

–uppgifter om särskilda bestående fysiska kännetecken,

–de omständigheter och händelser som ger anledning att anta att den registrerade utövat eller kan komma att utöva allvarlig brottslig verksamhet,

–uppgifter om varor, brottshjälpmedel och transportmedel,

–ärendenummer och

–hänvisning till en särskild undersökning där uppgifter om den registrerade behandlas och till register som förs av polis- och tullmyndighet i vilket uppgifter om den registrerade förekommer.

Uppgifter i ett kriminalunderrättelseregister skall gallras senast tre år efter det att en uppgift om personen som kan föranleda registrering sista gången infördes. Om det dessförinnan har inletts en särskild undersökning av underrättelsekaraktär får uppgifterna stå kvar tills undersökningen har avslutats. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.

Rikspolisstyrelsen och polismyndigheterna får enligt polisdataförordningen ha direkt åtkomst till kriminalunderrättelseregistren.

Åtkomsten till registren skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till information om sådana uppgifter som behandlas i registren.

Uppgifter ur ett kriminalunderrättelseregister får lämnas ut till Ekobrottsmyndigheten och Kustbevakningen, en tullmyndighet eller en skattemyndighet. Utlämnande får dock endast ske om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Det centrala kriminalunderrättelseregistret – KUR

Inom Rikspolisstyrelsen har utvecklats ett nytt ärendehanteringssystem för kriminalunderrättelseregistrering (KUR). Genom det systemet har skapats en nationell, gemensam databas som varje polismyndighet har tillgång till. Kriminalunderrättelsetjänsterna i hela landet har därigenom ett system för att lagra och återfinna handlingar vilket medför betydande samordningsvinster och skapar möjligheter för ett mera utvecklat nationellt arbetssätt. Endast sådana befattningshavare som är knutna till enheter eller rotlar som sysslar med kriminalunderrättelsetjänst har behörighet att behandla uppgifter i registret.

Uppgifterna i KUR är insamlade enbart för ändamålet att bearbetas i det registret. Någon överföring av uppgifter från andra register förekommer inte.

Innehållet i KUR består av underrättelseinformation som kommit in till en länsunderrättelserotel från polismän på alla nivåer i myndigheten. Informationen kan också ha kommit fram vid det interna arbetet på roteln eller genom underrättelser från något annat land.

I KUR finns personuppgifter som avser personer mot vilka det föreligger skäliga misstankar om att de utövar eller har utövat allvarlig brottslig verksamhet. Misstankarna behöver inte avse konkreta brott. KUR innehåller härigenom mycket integritetskänslig information.

Vi diskuterar i kapitel 10 polisdatalagens reglering av kriminalunderrättelseverksamhet och kriminalunderrättelseregister.

3.3.2Register med uppgifter om DNA-analyser i brottmål

DNA är ett ämne som finns i varje cell i människokroppen och som är så sammansatt att det är unikt för varje individ, utom för enäggs-

tvillingar. Med DNA-analys kan personer identifieras genom analys av mycket små mängder blod, saliv eller sperma eller genom analys av hårstrån. Med stöd av bestämmelserna om kroppsbesiktning i 28 kap 12 § rättegångsbalken kan provtagning för DNA-analys genomföras mot en misstänkt persons vilja.

Med stöd av polisdatalagen får DNA-register och spårregister inrättas. DNA-registret får innehålla uppgifter om identifierade personer spårregistret uppgifter som inte har kunnat hänföras till en viss person. Ändamålet med registren skall vara att underlätta identifiering av personer i samband med utredning av brott. DNA-registret får innehålla uppgifter om resultatet av DNA-analyser som har gjorts under utredning av ett brott och som avser personer som dömts för vissa brott. Det rör sig om sådana brott mot en persons liv eller hälsa, personliga integritet eller säkerhet som avses i 3, 4, 6, 8, 12 eller 17 kap. brottsbalken eller ett allmänfarligt brott som avses i 13 kap. brottsbalken, allt under förutsättning att brottet kan leda till fängelse i mer än två år. Det kan även röra sig om försök, förberedelse, stämpling, anstiftan eller medhjälp till ett sådant brott. Spårregistret får endast innehålla uppgifter om DNA-analyser som har gjorts under utredning av ett brott och som inte kan hänföras till en identifierbar person. Uppgifterna får endast jämföras med analysresultat som inte kan hänföras till en identifierbar person eller som finns i DNA-registret eller som kan hänföras till en person som är misstänkt för brott.

Uppgifter om en person i DNA-registret skall gallras när de inte längre behövs och senast när uppgifterna om den registrerade har gallrats ur belastningsregistret. Uppgifter i spårregistret skall gallras när de inte längre behövs och senast trettio år efter registreringen.

Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter får ha direkt åtkomst till register med uppgifter om DNA-analyser i brottmål. Polismyndigheternas och åklagarmyndigheternas åtkomst skall dock begränsas till uppgifter om huruvida någon förekommer i register med uppgifter om DNA-analyser i brottmål eller inte.

Sedan i juni 2000 för Statens kriminaltekniska laboratorium ett spårregister. Rikspolisstyrelsen är personuppgiftsansvarig för registret. Rikspolisstyrelsen och laboratoriet arbetar också med att utveckla ett DNA-register, men det arbetet är ännu inte helt slutfört.

Tre olika sökningar kan göras med hjälp av spårregistret enligt följande:

– en misstänkt jämförs med spårregistret och man får därigenom reda på om den misstänkte kan kopplas till spår från ett eller flera ouppklarade brott,

–ett spår jämförs med DNA-registret och man får därigenom reda på om spåret kan kopplas till en individ som finns i DNA-registret,

–ett spår jämförs med spårregistret och man får därigenom reda på om en och samma individ kan vara gärningsman i flera ouppklarade brott.

I avsnitt 12.2 tar vi upp vissa frågor om automatiserad behandling av DNA-analyser i brottmål.

3.3.3Fingeravtrycks- och signalementsregister

Enligt 28 kap 14 § rättegångsbalken samt förordningen (1992:824) om fingeravtryck m.m. skall fingeravtryck och fotografi alltid tas av den som häktats. I vissa uppräknade fall skall fingeravtryck och fotografi också tas av den som är anhållen. Fingeravtrycket och fotografiet skall enligt 7 § i förordningen skyndsamt sändas till Rikspolisstyrelsen (Rikskriminalpolisen) tillsammans med en beskrivning av personen.

Rikspolisstyrelsen för sedan länge ett fingeravtryckregister och ett signalements- och känneteckensregister, med stöd av tillstånd från Datainspektionen. Signalements- och känneteckensregistret innehåller uppgifter om ungefär 166 000 personer.

Polisdatalagen innehåller bestämmelser om fingeravtrycks- och signalementsregistrens ändamål, om vad registren får innehålla och om gallring. Uppgifter får behandlas i sådana register för ändamålet att underlätta identifiering av personer i samband med brott. Registren får användas för identifiering av okända personer även i andra fall. Registeruppgifterna får också behandlas i automatiserade förundersökningar och särskilda undersökningar.

De ändamål som anges i polisdatalagen överensstämmer i stort med den hittillsvarande användningen beträffande ifrågavarande register. Innehållet i registren har begränsats för att stämma överens med reglerna i polisdatalagen, t.ex. beträffande angivande av vissa brottskoder. Polisdatalagen innehåller nämligen ingen bestämmelse, som anger att brottskoder får registreras.

Signalements- och känneteckensregistret innehåller också känsliga personuppgifter, bl.a. sådana som avslöjar personers hälsa och etniska ursprung. För att sådana uppgifter skall få registreras måste de enligt polisdatalagen vara oundgängligen nödvändiga för syftet med behandlingen.

Polisdatalagens regler om gallring säger att uppgifter i fingeravtrycksregister och signalementsregister om en misstänkt person skall gallras när förundersökning eller åtal mot personen läggs ned eller när åtal mot personen ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade skall behandlas med stöd av

polisdatalagens regler om behandling av uppgifter om kvarstående misstankar. Om den registrerade döms skall uppgifterna gallras senast då uppgifterna gallras ur belastningsregistret.

Rikspolisstyrelsen har meddelat föreskrifter om behörighet för åtkomst och uppdatering.

I avsnitt 12.3 tar vi upp frågor om utformningen av reglerna om fingeravtrycks- och signalementsregister.

3.4Belastningsregistret, misstankeregistret och Schengens informationssystem

3.4.1En uppdelning av uppgifter om belastningar och misstankar

I Europarådets rekommendation, No. R (87) 15, om användning av personuppgifter inom polissektorn anges att olika kategorier av uppgifter så långt det är möjligt skall hållas åtskilda efter graden av riktighet och tillförlitlighet. I propositionen Riktlinjer för registreringen av påföljder m.m. (prop. 1994/95:144) uttalade regeringen att det finns starka skäl att hålla uppgifter om påföljder och uppgifter om misstankar åtskilda och att en uppdelning skulle göras genom att person- och belastningsregistret skulle ersättas av ett belastningsregister, i vilket endast påföljder och liknande skulle tas in, och ett misstankeregister. Riksdagen, som vid flera tillfällen tidigare uttalat sig för en sådan uppdelning, godkände regeringens förslag (bet. 1994/95:JuU21, rskr. 1994/95:378).

Genom införandet av lagen (1998:620) om belastningsregister och av lagen (1998:621) om misstankeregister genomfördes de nyss nämnda intentionerna.

3.4.2Belastningsregistret

Det övergripande syftet med belastningsregistret är att olika myndigheter, framför allt de brottsbekämpande och rättsvårdande myndigheterna, på ett enkelt sätt skall få tillgång till de uppgifter som behövs i deras verksamhet. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

De myndigheter som härvid avses är de allmänna domstolarna, förvaltningsdomstolarna, åklagarmyndigheterna, polis-, skatte- och tull-

SOU 2001:92 Behandling av personuppgifter inom polisen – en inventering 87

myndigheterna samt övriga myndigheter i den utsträckning det föreskrivs av regeringen.

Alla påföljder för brott registreras i belastningsregistret. Registret innehåller 800 000–1 000 000 personer och omkring 1 200 000 noteringar om påföljder. De allra flesta av dessa noteringar avser bötespåföljder som fastställts genom föreläggande av ordningsbot. Integritetsaspekten tillgodoses genom begränsningar i utlämnandet. Uppgifter om brott som endast föranlett penningböter lämnas bara ut till de myndigheter som behöver dessa uppgifter, t.ex. för att pröva körkortsfrågor. Belastningsregistret innehåller också uppgifter om den som meddelats åtalsunderlåtelse. Även uppgifter om den som skall utvisas eller utlämnas enligt någon av utlämningslagarna eller som har meddelats besöksförbud finns i registret.

En stor del av lagen om belastningsregister upptas av regler om utlämnande. Domstolarna och de övriga rättsvårdande myndigheterna har rätt att få ut de uppgifter som är nödvändiga för att de skall kunna bedriva sin verksamhet. Vidare har den registrerade alltid rätt att få ut de uppgifter som finns registrerade om honom eller henne. Även enskilda har rätt att i den utsträckning som regeringen föreskriver få ut uppgifter om andra enskilda från registret om det behövs för att pröva fråga om en anställning eller ett uppdrag i en verksamhet som avser vård eller som är av betydelse för att förebygga eller beivra brott. Vidare får uppgifter i vissa fall lämnas till utländska myndigheter och till myndigheter för statistik.

Uppgifter i belastningsregistret gallras när förutsättningarna för registrering inte längre föreligger, t.ex. om den registrerade blir frikänd efter överklagande eller ordningsbot undanröjs. Vid frikännande dom plockas den tidigare domen bort direkt. Uppgifter ur belastningsregistret gallras vidare när viss tid förflutit, i regel efter tio år.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandlingen av personuppgifter i registret.

3.4.3Misstankeregistret

Misstankeregistrets övergripande syfte är att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs för verksamheten hos polis-, åklagar-, skatte- och tullmyndigheter. Misstankeregistret förs enligt lagen för att underlätta tillgången till sådana uppgifter om brott som behövs för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott. Registret får även användas av andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som

anges i författning samt – i den utsträckning regeringen föreskriver – för att till enskild lämna uppgifter som är av särskild betydelse i dennes verksamhet.

Misstankeregistret innehåller uppgifter om den som har fyllt 15 år och som är skäligen misstänkt antingen för något brott mot brottsbalken eller för något annat brott för vilket svårare straff än böter är föreskrivet. Uppgifter förs också in om den som är skäligen misstänkt för ett motsvarande brott utomlands, om frågan om lagföring för brottet skall avgöras i Sverige. Registret innehåller vidare uppgifter om den mot vilken det har inletts talan om förvandling av böter och om den som begärts utlämnad för brott.

De myndigheter för vars räkning registret förs samt övriga myndigheter i den utsträckning det föreskrivs av regeringen skall oavsett sekretess ha rätt till uppgifter ur registret. Uppgifter ur registret skall vidare i viss utsträckning kunna lämnas till myndigheter och organisationer utomlands.

Det finns ungefär 100 000 personer registrerade i misstankeregistret, medan det finns omkring 225 000 uppgifter om brottsmisstankar i registret.

Uppgifter i misstankeregistret gallras om en förundersökning har avslutats utan att åtal har väckts med anledning av misstanken om åtal har lagts ned eller om dom eller beslut har vunnit laga kraft.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandling av uppgifter i misstankeregistret. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

3.4.4Schengens informationssystem

Rikspolisstyrelsen för ett register som är den svenska nationella enheten i Schengens informationssystem (SIS). Registret är anslutet till den centrala enheten i SIS. Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Registret är ett hjälpmedel för Schengenstaterna att göra framställningar för att främja samarbete som avser polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd. Registret innehåller framställningar bl.a. om omhändertagande av en person som efterlysts för utlämning, om att en person nekats tillträde till en Schengenstat och om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet.

I registret förekommer personuppgifter om namn, om särskilda bestående fysiska kännetecken, om födelsedatum och födelseort, om

kön, om medborgarskap, om personen är beväpnad, om personen kan tillgripa våld, om syftet med framställningen samt om begärd åtgärd.

Registret innehåller endast uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Rikspolisstyrelsen endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning. Känsliga personuppgifter registreras inte.

Uppgifterna i registret gallras senast ett, tre, fem eller tio år efter registreringen. Det tillämpas olika gallringstider för olika slag av uppgifter.

Uppgifter ur registret får under vissa förutsättningar lämnas ut till polismyndigheter, åklagarmyndigheter, Tullverket, Kustbevakningen och Migrationsverket.

3.5Säkerhetspolisens system

3.5.1Databaser och ärendehanteringssystem

I Säkerhetspolisens verksamhet används flera olika databaser som innehåller personuppgifter. Vi redovisar dem i detta avsnitt. Redovisningen omfattar SÄPO-registret, centralregistret, systemet för hemlig teleavlyssning och hemlig teleövervakning, och analysdatabaser.

Utöver det i polisdatalagen särskilt reglerade SÄPO-registret styrs behandlingen av personuppgifter i Säkerhetspolisens verksamhet av bestämmelserna i personuppgiftslagen, i polisdatalagens allmänna del och i arbetsordningen för Säkerhetspolisen.

3.5.2SÄPO-registret

SÄPO-registret är ett register som är avsett för den särskilda polisverksamhet som Säkerhetspolisen bedriver. Polisdatalagen föreskriver att Säkerhetspolisen skall föra ett register (SÄPO-registret) som har till ändamål att

–underlätta spaning i syfte att förebygga och avslöja brott mot rikets säkerhet,

–underlätta spaning i syfte att bekämpa terrorism och

–utgöra underlag för registerkontroll enligt säkerhetsskyddslagen (1996:627).

SÄPO-registret får innehålla uppgifter som kan hänföras till en enskild person endast

–om den uppgifterna gäller kan misstänkas för att ha utövat eller komma att utöva brottslig verksamhet som innefattar hot mot rikets säkerhet eller terrorism,

–om personen har undergått registerkontroll enligt säkerhetsskyddslagen (1996:627) eller

–om det med hänsyn till registrets ändamål annars finns särskilda skäl till det.

I fråga om gallring gäller särskilda regler för SÄPO-registret. Registrerade uppgifter skall gallras senast tio år efter det att en sådan uppgift om personen som kan föranleda registrering senast infördes. Om det finns särskilda skäl får dock uppgifterna stå kvar under längre tid.

Direkt åtkomst till uppgifter i SÄPO-registret eller till uppgifter som i annat fall behandlas automatiserat hos Säkerhetspolisen skall enligt 13 § polisdataförordningen vara förbehållen de personer som på grund av sina arbetsuppgifter behöver information om sådana uppgifter.

SÄPO-registret är avsett att vara ingången till Säkerhetspolisens hantering av personuppgifter (prop. 1997/98:97 s. 154). Emellertid fyller registret inte någon operativ funktion i Säkerhetspolisens verksamhet. Detta har lett till att registret inte används i verksamheten.

3.5.3Säkerhetspolisens centralregister

Säkerhetspolisens centralregister (CR) är den databas som huvudsakligen används i Säkerhetspolisens verksamhet. CR kan sägas utgöra en ingång till den samlade personuppgiftshanteringen hos Säkerhetspolisen.

Det övergripande ändamålet med CR är att det skall utgöra ett spaningsregister i Säkerhetspolisens verksamhet för att förebygga och avslöja brott mot rikets säkerhet och för att bekämpa terrorism. Vidare används uppgifter ur databasen som underlag för registerkontroller.

Databasen innehåller uppgifter om personer mot vilka det föreligger misstankar om brottslig verksamhet, som inte behöver vara preciserade till vissa konkreta brott. Databasen innehåller dock inte bara uppgifter om misstänkta. Det förekommer även uppgifter om personer som har samband med någon som antecknats på grund av en misstanke. Det samlas också information om personer som kan bli utsatta för hot av olika slag eller som i känsliga verksamheter kan bli föremål för närmanden från utländska underrättelsetjänster.

Personuppgifter i CR noteras i den utsträckning som uppgifterna behövs för databasens ändamål. Det får inte förekomma några anteckningar av personuppgifter i CR enbart på grund av tillhörighet

eller sympatier för viss åsikt eller viss organisation. Anteckningar av personuppgifter får bara ske efter en individuell behovsprövning.

Känsliga personuppgifter antecknas som kompletterande uppgifter, om en viss persons uppträdande ger anledning till antagandet att personen kan misstänkas företa sig sådana brottsliga handlingar som det åligger Säkerhetspolisen att ingripa mot. Om det är oundgängligen nödvändigt att en känslig personuppgift noteras för att viss information i CR skall bli begriplig får notering ske. Det sistnämnda innebär att uppgifter om en hotad persons politiska tillhörighet kan komma att antecknas.

Uppgifterna i CR är tillgängliga för Säkerhetspolisens operativa personal i enlighet med särskilda behörighetsregler. Det finns särskilda regler som föreskriver att bara vissa befattningshavare har rätt att anteckna uppgifter i registret.

3.5.4Systemet för hemlig teleavlyssning och hemlig teleövervakning

Systemet för hemlig teleavlyssning och hemlig teleövervakning, ibland kallat PLUTO, utgör ett bearbetnings- och analysverktyg vid behandling av uppgifter som inhämtats genom hemlig teleavlyssning eller hemlig teleövervakning. Systemet innehåller personuppgifter i den utsträckning sådana uppgifter behövs för behandlingens ändamål.

De personuppgifter som antecknas i systemet utgörs av uppgifter om abonnent- och teleadresser som är kopplade till ett tillstånd till hemlig teleavlyssning eller hemlig teleövervakning. Vidare antecknas uppgifter om kontakter och teleadresser som uppmärksammas med anledning av en pågående teleavlyssning eller teleövervakning. Dessutom noteras innehållet i telefonsamtal och andra telemeddelanden samt utredningsanteckningar.

Informationen utgörs till en början av obearbetade underrättelser som i en bestämd utredning inhämtats genom något av de nyss nämnda tvångsmedlen. De inhämtade uppgifterna bearbetas och analyseras. Efter bearbetning och analys tas de uppgifter bort som inte är relevanta för utredningen. Övriga uppgifter tillförs CR.

Uppgifterna i systemet är tillgängliga för de befattningshavare som har behörighet att arbeta med det aktuella ärendet.

3.5.5Analysdatabaser

Analysdatabaserna innehåller liksom systemet för hemlig teleavlyssning och hemlig teleövervakning underrättelser som är avsedda att bearbetas. Underrättelserna i analysdatabaserna inhämtats genom uppgifter från källor, genom spaning samt genom tvångsmedel som t.ex. hemlig teleavlyssning och hemlig teleövervakning. Personuppgifter antecknas om uppgifterna behövs för behandlingens ändamål.

Bearbetad och bedömd information förs över till CR, medan uppgifter som inte är nödvändiga gallras under utredningens gång.

Uppgifter i en analysdatabas är tillgängliga för de befattningshavare som är behöriga att arbeta med det aktuella ärendet. En analysdatabas får inrättas efter beslut från personuppgiftsombudet hos Säkerhetspolisen.

3.6Övriga centrala system

3.6.1Det allmänna spaningsregistret

Det allmänna spaningsregistret (ASP) förs av Rikspolisstyrelsen med tillstånd av Datainspektionen enligt beslut den 18 maj 1977. Registret skall enligt sin ändamålsbeskrivning lagra och systematisera uppgifter med anknytning till misstänkt eller konstaterad brottslighet för att användas i polisens spanande och brottsutredande verksamhet. Uppdatering av registren skall ske dels av Rikspolisstyrelsen, dels av den lokala polisorganisationen. Enligt ändamålsbeskrivningen skall för uppdateringen företrädesvis användas terminaler. Terminalanvändarna skall kunna initiera systematiseringar och sammanställningar av registrerade uppgifter.

ASP syftar till att bygga upp kunskaper om och kring personer som misstänks för brott. ASP utgår från misstänkta gärningsmän. En person registreras i ASP om det mot honom eller henne föreligger en misstanke om att han eller hon begått ett brott. Uppgifterna i registret kommer från brottsanmälningar och förundersökningsprotokoll, men registrering kan också ske på grund av trovärdiga tips från t.ex. personal inom socialförvaltningen.

Det är ett krav för registrering att det alltid finns en grundhandling varifrån den registrerade uppgiften är hämtad. En referens till denna grundhandling skall antecknas i ASP tillsammans med uppgiften. På grundhandlingen antecknas vem som fattat beslut om registreringen och vem som rent faktiskt utfört registreringen.

Olika uppgifter om den misstänkte får registreras. Det får registreras namn och personnummer, alternativa förnamn och efternamn, adresser där personen brukar vistas, speciella fysiska kännetecken, intressenter (alla som bidrar med uppgifter om personen) och senaste händelse inom kriminalvården. ASP innehåller också andra uppgifter kopplade till personen. Det registreras brottstyper som personen ägnar sig åt (hans modus operandi), händelseanteckningar som rör tidigare brottsmisstankar, anknytning till andra personer och spaningsinformation rörande brottsmisstankar.

En speciell typ av noteringar i ASP utgör de så kallade A- markeringarna och Y-markeringarna. En A-markering för en misstänkt person betyder att personen är synnerligen allvarligt brottsbelastad. A- markeringar sätts enbart av Rikskriminalpolisen. En Y-markering talar om att den misstänkte bedöms vara yrkeskriminell. Denna markering sätts av de lokala polismyndigheterna.

Vid sökningar i registret kan man variera med ett eller flera sökbegrepp. Dessa sökbegrepp kan inte varieras helt fritt utan det finns begränsningar i sökmöjligheterna. Man kan t.ex. söka på ålder och något speciellt fysiskt kännetecken och på det viset få fram alla personer som svarar mot de sökbegreppen. Registret innehåller uppgifter om personer med anknytning till den misstänkte. Dessa ”anknytningspersoner” behöver inte vara misstänkta för brott för att registrering skall få ske. Deras namn är dock inte sökbara i ASP om de inte själva är misstänkta för brott.

ASP innehåller omkring 100 000 sökbara personer. Antalet personer har sedan lång tid legat konstant på den nivån.

De allra flesta uppgifter i ASP gallras efter 18 månader om ingen ny uppgift noteras om personen. För vissa grövre brott är gallringstiden dock fem år. Gallringen sker automatiskt med hjälp av ett särskilt gallringsprogram.

All tillgång till uppgifter ur ASP för enskilda befattningshavare styrs av personligt tilldelad behörighet. Det är polismyndigheterna som beslutar om vilka personer som skall ha denna behörighet. Ett ytterligare begränsat antal personer har behörighet att föra in uppgifter i ASP. Uppgifter ur ASP får lämnas ut till tullen.

I kapitel 11 diskuterar vi frågan om ASP bör regleras särskilt i lagstiftningen.

3.6.2Centrala brottsspaningsregistret

Centrala brottsspaningsregistret (CBS) förs med stöd av kungörelsen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Dessutom har Datainspektionen meddelat beslut den 21 december 1976, den 2 oktober 1984 och den 15 juni 1994.

Ändamålet med CBS är att skapa ett särskilt brottsregister över anmälda allvarligare brott vilket utnyttjas i brottsspanings- och brottsutredningsverksamhet samt i annan därmed jämförlig polisiär verksamhet.

Polismyndigheterna har skyldighet att lämna uppgifter till Rikspolisstyrelsen om anmälda brott. Rikspolisstyrelsen har lämnat närmare föreskrifter om vilka brott och händelser som skall rapporteras. Rapporteringsskyldigheten omfattar de flesta brott som beskrivs i brottsbalken.

CBS innehåller uppgifter om anmälda brott, tillvägagångssätt, signalement beträffande personer som setts på brottsplatsen, motsvarande uppgifter om fordon och spår från brottsplatsen m.m. CBS skiljer sig på ett grundläggande sätt från ASP genom att CBS utgår från brott och inte från misstänkta gärningsmän. CBS kan sägas vara ett register över modus operandi. Det används i brottsspanings- och brottsutredningsverksamhet samt i annan därmed jämförlig polisiär verksamhet. Uppgifter till registret kommer från systemet rationell anmälningsrutin. Det är bara allvarligare brott som registreras. Rikspolisstyrelsen har föreskrivit vilka brott som skall antecknas i CBS. Personuppgifterna i CBS utgörs av noteringar om misstänkta gärningsmän.

CBS innehåller noteringar om ungefär 129 000 brott.

CBS används internt inom polisen för att t.ex. söka identiska eller liknande brott eller brott som har förövats av samma person. Ibland kan man finna att personer med samma signalement har synts vid flera brott av samma typ.

Inom polisen har man uppfattningen att CBS, rätt använt, utgör ett mycket värdefullt verktyg i polisens brottsutredande verksamhet, men att CBS inte används i tillräckligt hög utsträckning. Ett skäl till den begränsade användningen är enligt polisen att systemet i viss mån är föråldrat och inte är användarvänligt.

All tillgång till uppgifter ur CBS styrs av personligt tilldelad behörighet. Det är polismyndigheterna som beslutar om vilka som skall ha denna behörighet. Ett ytterligare begränsat antal personer har behörighet att föra in uppgifter i CBS.

Datainspektionen har i ett beslut den 21 december 1976 medgivit att Rikspolisstyrelsen i samband med att styrelsen deltar i spanings-

och utredningsarbete rörande grövre brott och mer omfattande seriebrottslighet gör samkörningar med uppgifter från CBS och fingeravtrycksregistret, passregistret, signalements- och känneteckensregistret, registret över efterlysta och spärrade fordon, förundersökningsregister samt personefterlysnings- och U-boksregistret.

Enligt ett beslut från Datainspektionen den 25 januari 1978 skall uppgifter gallras senast efter fem år.

3.6.3Beslags- och analysregister

Beslags- och analysregistren förs av Rikspolisstyrelsen, Statens kriminaltekniska laboratorium (SKL) samt polismyndigheterna med tillstånd meddelat av Datainspektionen den 6 november 1987.

Ändamålet med registren skall enligt tillståndet vara

–dels underlag för undersökning av modus operandi och profiler av strategisk och taktisk betydelse för den nationella och internationella narkotikabekämpningen,

–dels rapportering av analysresultat avseende beslagtagen narkotika samt framställning av statistik.

Syftet med systemet är att analysresultat snabbt skall kunna bli tillgängliga för Rikspolisstyrelsen och respektive narkotikarotel via bildskärm. Rikspolisstyrelsen skall ha tillgång till hela registret medan narkotikarotlarna vid övriga polismyndigheter endast skall ha tillgång till uppgifter om sina egna ärenden. SKL skall endast ha åtkomst till analysdelen av registren för att kunna ansvara för in- och utdata vad avser narkotikaanalyser, protokoll och förhandsbesked av analyser. Av ansökan framgår att analysdelen av registren skall innehålla uppgift om det misstänkta preparatet och motsvarande beslagsnummer. Enligt Datainspektionen får delregistren anses förda för respektive myndighets verksamhet, vilket innebär att myndigheterna skall vara registeransvariga för sina egna register.

Registren får endast innehålla de uppgifter som framgår av ansökningen. De personer som enligt ansökningen skall registreras är ”frihetsberövade personer i samband med beslag av narkotika”. Beträffande dessa personer skall antecknas uppgifter om bl.a. identitet, modus operandi, transportmedel, eventuell beslagtagen valuta och eventuella vapen. Dessutom skall den beslagtagna narkotikan beskrivas och var och när den anträffades. Den automatiska databehandlingen får endast utföras på det sätt som angetts i ansökningen.

3.6.4Finanspolisens analys- och spaningsregister

Finanspolisens analys- och spaningsregister inrättades under år 1994 med stöd av ett tillstånd från regeringen den 16 december 1993. Datainspektionen meddelade den 27 januari 1994 föreskrifter för registret. Efter överklagande ändrade regeringen Datainspektionens beslut i vissa delar.

Registret består av två delregister, Finanspolisens analys- och förspaningsregister samt Finanspolisens diarium. Finanspolisens analys- och förspaningsregister utgör ett hjälpmedel i Rikspolisstyrelsens spanings- och analysverksamhet i ärenden hos Finanspolisen som avser sådana förfaranden som anges i lagen (1993:768) om åtgärder mot penningtvätt. En del av uppgifterna i registret har underrättelsekaraktär. Registret används även för framställning av statistik. Ändamålet med Finanspolisens diarium är att utgöra ett diarium enligt 15 kap. sekretesslagen vid Finanspolisen. Nämnda kapitel innehåller bestämmelser om registrering och utlämnande av allmänna handlingar m.m.

Registret får innehålla uppgifter som rapporteras till Rikspolisstyrelsen enligt penningtvättlagens bestämmelser eller från andra polismyndigheter eller motsvarande utländska samarbetspartners eller som framkommit i Finanspolisens spanings- och analysverksamhet, under förutsättning att det finns skäl att anta att transaktionen avser medel som härrör från ett brottsligt förvärv av allvarligare slag. Registret får även innehålla uppgifter som rapporteras till Rikspolisstyrelsen från tullmyndigheter eller tullmyndigheternas utländska samarbetspartners i deras polisiära verksamhet under förutsättning att det finns skäl att anta att transaktionen avser medel som härrör från ett brottsligt förvärv av allvarligare slag. Vidare får registret innehålla uppgifter som härrör från andra källor än vad som sägs ovan om de bedöms vara av betydelse för utredningen av det aktuella ärendet.

3.6.5Digitalt referensbibliotek över barnpornografiska framställningar

Barnpornografiutredningen föreslog i sitt betänkande Barnpornografifrågan (SOU 1997:29) att en internationellt tillgänglig databank med barnpornografiska framställningar skulle inrättas i Sverige med Rikspolisstyrelsen som huvudansvarig.

Efter en ansökan från Rikspolisstyrelsen (Rikskriminalpolisen) beslutade regeringen i beslut den 18 september 1997 att det hos Rikspolisstyrelsen skulle inrättas och föras ett personregister med

namnet Digitalt referensbibliotek över barnpornografiska framställningar. Ändamålet med registret är enligt regeringsbeslutet att utföra bildanalys i brottsutredningar samt att bistå utländska brottsutredande myndigheter med uppgifter om bildanalys i brottsutredningar. Innehållet i registret skall bestå av barnpornografiska framställningar som tagits i beslag. Registret får också innehålla barnpornografiska framställningar som överlämnats av en utländsk brottsutredande myndighet. Registret får slutligen även innehålla uppgifter om var framställningen tagits i beslag. Det har visat sig att systemet utgör ett mycket effektivt verktyg för att klara upp barnpornografibrott, men också sexualbrott mot barn.

I sin ansökan begärde Rikspolisstyrelsen att registret borde tillföras också annan information än enbart bilder. Man begärde att registreringen även skulle omfatta information om produktionen av filmerna, inblandade personer, domar och uppgifter om pågående förundersökningar m.m. Regeringen tog inte ställning till den delen av ansökningen.

Registret omfattas inte av övergångsbestämmelserna i polisdatalagen eftersom det inte förs med tillstånd av Datainspektionen utan med stöd av ett regeringsbeslut. Bestämmelserna i personuppgiftslagen och polisdatalagen är därför numera ensamt tillämpliga på behandlingen av personuppgifter i registret.

I avsnitt 8.5.3 tar vi upp frågan om referensbiblioteket bör lagregleras särskilt.

3.6.6Violent Crime Linkage Analysis System (ViCLAS)

Violent Crime Linkage Analysis System (ViCLAS) är ett analysprogram som den kanadensiska polisen har utarbetat. Det har visat sig framgångsrikt för att länka samman grova sexualbrott. Programmet används operativt i Kanada, tre amerikanska delstater, Australien, Nya Zeeland, Belgien, Nederländerna, Storbritannien, Tyskland, Österrike och Schweiz. Ytterligare ett antal europeiska länder, däribland Danmark och Norge, planerar att införa systemet. I Sverige togs systemet i bruk under år 2000.

Ändamålet med behandlingen är att genom registrering av uppgifter om brott, om skäligen brottsmisstänkta personer och om brottsoffer kunna upptäcka likheter med andra begångna brott och länka samman brottsutredningarna. De personuppgifter som behandlas är identitetsuppgifter, signalementsuppgifter samt beteenden och tillvägagångssätt vid brotten. Namn och personnummer på brottsoffren registreras inte,

dock registreras vissa uppgifter om brottsoffrens signalement. Samtycke till behandlingarna inhämtas från brottsoffren.

I ViCLAS registreras uppgifter om mord, dråp, misshandel med dödlig utgång, våldtäkt, sexuellt tvång, sexuellt utnyttjande, sexuellt utnyttjande av underårig och människorov. Registrering sker även av uppgifter om anstiftan och medhjälp till nämnda brott samt om försök, förberedelse och stämpling till nämnda brott. Det registreras även uppgifter om försvunna personer där det föreligger misstanke om brott.

Behandlingen av personuppgifter styrs av reglerna i personuppgiftslagen och i polisdatalagen.

Uppgifterna till ViCLAS hämtas från polismyndigheternas förundersökningar. För att trygga säkerheten i behandlingen är det endast sex personer vid Rikskriminalpolisen som har direktåtkomst till uppgifter i registret. All datateknisk utrustning som används förvaras i en sluten lokal hos Rikskriminalpolisen. Gallringstiden för uppgifterna i registret är tänkt att vara 30 år.

Rikspolisstyrelsen har i enlighet med 2 § polisdataförordningen till Datainspektionen föranmält ViCLAS. I sitt beslut den 1 augusti 2000 anför Datainspektionen att en särreglering av systemet bör övervägas. Inspektionen pekar på att det i systemet är fråga om en behandling av personuppgifter av integritetskänslig beskaffenhet. Vidare anför Datainspektionen att det från integritetssynpunkt är väsentligt med klara gränser för en automatiserad behandling av förevarande beskaffenhet. För att tillgodose behoven i den utsträckning de är nödvändiga för verksamheten och för att av integritetsskäl sätta gränser i fråga om ändamål, innehåll och bevarande anser Datainspektionen att överväganden om ytterligare författningsreglering behövs. Datainspektionen har överlämnat sitt beslut till regeringen. Regeringen har överlämnat Datainspektionens beslut till utredningen, se bilaga 2.

3.6.7Personefterlysnings- och U-boksregistret

Personefterlysnings- och U-boksregistret utgör det s.k. EPU-systemet (efterlysta personer och U-boken). Systemet förs med stöd av tillstånd från Datainspektionen den 11 oktober 1977. Registret består av två delregister; EP-delen och U-boksdelen.

Ändamålet med registret är enligt tillståndet att

– dels i enlighet med efterlysningskungörelsen (1969:293) föra register över efterlysningar och utge förteckningar över gällande efterlysningar och över efterlysningar som har återkallats,

–dels i enlighet med 5 § 2 stycket lagen (1965:94) om polisregister m.m. sammanställa och sända ut uppgifter från polisregister om avlägsnanden ur riket och beslut som har samband därmed,

–dels använda de registrerade uppgifterna vid utredningar i passärenden enligt passkungörelsen (1941:836) och vid passkontroll enligt utlänningskungörelsen (1969:136) samt vid annan därmed jämförlig polisiär verksamhet.

Av 2 § efterlysningskungörelsen (1969:293) framgår att efterlysning verkställs genom att uppgifter införs i ett register över efterlysta personer som förs med ADB. Rikspolisstyrelsen, polismyndighet, åklagarmyndighet eller Kriminalvårdsstyrelsen beslutar om efterlysning. Annan myndighet kan göra framställning hos polisen om efterlysning. Uppgifter om personefterlysningar införs i EP-delen av registret.

Rikspolisstyrelsen sänder sammanställningar över avlägsnanden ur riket och beslut som har samband därmed till olika svenska myndigheter samt till de centrala utlänningsmyndigheterna i Danmark, Finland, Island och Norge. En sådan sammanställning, den s.k. U- boken, framställs varje år med kompletteringar varje månad. För framställning av U-boken antecknar Rikspolisstyrelsen i ett centralt register uppgifter om den som utvisats ur Sverige på grund av brott.

Personefterlysningsregistret innehåller känsliga personuppgifter i personuppgiftslagens mening, såvitt avser anledningen till efterlysningen. En sådan anledning till efterlysning kan t.ex. vara avvikelse från behandlingshem för vård av missbrukare.

3.6.8Interpolregistret

Registret förs av Rikspolisstyrelsen med tillstånd meddelat av Datainspektionen den 15 maj 1982. Registret består av två delregister. Det ena innehåller polisregisteruppgifter och det andra utgör ett diarium över ärenden inom Interpolsektionen.

Ändamålet med registret är enligt tillståndet att återfinna ärenden i en aktsamling vid styrelsens Interpolsektion.

Registret får förutom administrativa uppgifter innehålla uppgift om ärendetyp, land, personnummer, nationalitet, fordon, kontonummer, nummer på legitimationshandling, indikativ (begrepp för att ange förfalskningstyp) samt åtgärd.

3.6.9Godsregister

Godsregistret förs med stöd av Datainspektionens tillstånd den 23 juni 1977. Ändamålet med registret är enligt tillståndet följande. I registret antecknas gods som stulits, förkommit eller omhändertagits, t.ex. såsom hittegods eller vid husrannsakan. Registret används i polisens spanings- och utredningsverksamhet för att identifiera sådant gods. Registret används vidare för att kontrollera gods som pantsatts hos pantlånerörelser och liknande inrättningar. Det kan även – efter begäran av en enskild person till vederbörande polismyndighet – användas för kontroll av gods som utbjudits till enskild person för försäljning. Registret utgör också underlag för viss statistik avseende arten och värdet av gods m.m.

Godsregistret består av två delar, godsregistret och bevakningsregistret. Godsregistret innehåller uppgifter om gods som stulits, förkommit eller tagits om hand genom t.ex. beslag. I bevakningsregistret registreras uppgifter om gods som tagits i beslag men som inte har återfunnits i godsregistret. Det är enligt Datainspektionens beslut fråga om gods som kan förväntas komma att bli registrerat i godsregistret såsom stulet eller förkommet. Bevakningsregistret innehåller vidare uppgifter om gods som pantsatts i Stockholm, Göteborg och Malmö samt vissa andra större orter. Detta sker på grundval av listor som varje dag upprättas av pantbankerna och sänds till vederbörande polisdistrikt. Förfarandet har sin grund i uppgiftsskyldighet enligt 27 § pantbankslagen (1995:1000).

Registret får endast innehålla de uppgifter som framgår av ansökningen och beslutet. De uppgifter som registreras är dels uppgifter som gör det möjligt att återfinna ärendet, dels beskrivning av godset.

3.6.10Efterlysningssystem för fordon m.m.

Efterlysningssystemet för fordon m.m. förs med stöd av Datainspektionens tillstånd den 23 juni 1986.

Ändamålet med registret är enligt tillståndet att utgöra underlag och hjälpmedel för den polisiära spaningsverksamheten samt att sprida upplysning inom polisen och till vissa andra myndigheter m.fl. om fordon som efterlysts.

Registret får endast innehålla de uppgifter som framgår av ansökan. De personer som får registreras är ägare till fordon som skall efterlysas (omkring 40 000 per år), person som anträffar ett efterlyst fordon (omkring 10 000 per år) samt person som efterspanas och som kan

misstänkas färdas med ett visst fordon som ägs av annan (omkring 400 per år). De uppgifter som får anges är bl.a. uppgifter om fordonet, ägarens personnummer eller organisationsnummer, ägarens namn, anledning till efterlysning, handläggande polismyndighet och diarienummer, anträffandedatum och anträffandeplats. Av Datainspektionens beslut framgår att fri text bara får innehålla uppgifter av den art som exemplifieras i ansökningen. I ansökningen sägs att fri text inte skall innehålla uppgift om brott eller brottsmisstanke.

3.6.11Passregistret

Registret förs av Rikspolisstyrelsen och de lokala polismyndigheterna. Sedan den 1 oktober 2001 förs registret med stöd av personuppgiftslagen. Ändamålet med registret är att tillhandahålla uppgifter som behövs för att utfärda pass, för att kontrollera vilka personer som är passinnehavare, för att förhindra innehav av mer än ett pass, för att kontrollera om passtillstånd erfordras för identifieringskontroll i polisens verksamhet samt för kontroll och avstämning av passuppgifter, passböcker och avgifter.

Av passförordningen (1979:664) framgår att Rikspolisstyrelsen skall föra ett centralt passregister och ett centralt register över omständigheter som avses i 20 § 1 och 3 passlagen (1978:302).

Passregistret får innehålla uppgift om bl.a. passinnehavarens identitet, passnummer, passets giltighetstid och kod för särskilt passhinder.

Av 20 § passlagen följer att passtillstånd fordras för den som är uttagen för vård enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård, är inskriven i specialsjukhus enligt lagen angående omsorger om vissa psykiskt utvecklingsstörda eller utskriven på försök från sådant sjukhus, dock endast om chefsöverläkaren vid sjukvårdsinrättningen har gjort anmälan om att pass ej får utfärdas utan sådant tillstånd (första punkten) eller för att patienten tidigare utfärdat pass efter intagningen eller inskrivningen har återkallats på grund av framställning från Socialstyrelsen (tredje punkten).

Behandlingen av personuppgifter i passregistret sker inte för att förebygga brott, för att övervaka den allmänna ordningen och säkerheten eller för att bedriva spaning och utredning i fråga om brott. Det följer därför av 1 § polisdatalagen att den lagen inte är tillämplig på ifrågavarande behandling av personuppgifter.

Registret innehåller känsliga personuppgifter i personuppgiftslagens mening.

3.6.12Registret för identifiering av försvunna personer

Registret förs med tillstånd av Datainspektionen den 16 juni 1988. Ändamålet med registret skall enligt tillståndet vara att underlätta framtagning av detaljerade signalementsuppgifter om personer som varit försvunna en längre tid och därvid underlätta identifieringen av okända och avlidna personer.

Till registret överförs personer som anmälts försvunna och registrerats i personefterlysnings- och U-boksregistret (se avsnitt 3.6.7) och som återfunnits efter trettio dagar.

3.6.13Disaster Victim Identification

Registret, som vanligen benämns DVI-registret, förs med tillstånd av Datainspektionen den 15 oktober 1998.

DVI-registret består av blanketter som tagits fram inom Interpol för registrering av uppgifter om försvunna personer och om oidentifierade kroppar från människor. Registret innehåller mycket detaljerade uppgifter om de registrerade och många av uppgifterna i registret utgör känsliga personuppgifter. Detta gäller t.ex. uppgifter om religion, om smittsamma infektioner, om användning av läkemedel och om annan information från läkarjournaler.

3.6.14Register med anknytning till det statliga person- och adressregistret

Polisens adressdatabas, polisens fastighetsfråga, polisens historikdatabas och polisens folkbokföringsdatabas är register av administrativ karaktär. Polisdatalagen har dock bedömts vara tillämplig på behandlingen av personuppgifter i registren. De fyra registren har alla samband med det statliga person- och adressregistret (SPAR) som förs med stöd av lagen (1998:527) om det statliga personadressregistret.

Adressdatabasen förs med tillstånd av Datainspektionen meddelade den 3 mars 1992 och den 16 april 1992. Ändamålet med registret är att ge polisen upplysning om vilka personer som är folkbokförda på en bestämd adress för att därmed utgöra ett stöd i sådan hjälpande verksamhet som avses i 2 § 4 polislagen. Dessutom skall registret utgöra ett stöd i polisens uppgift att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. I ansökan om tillstånd anges att registret endast skall innehålla uppgifter om ”personer folkbokförda i

Sverige med undantag för de som sekretessmärkt sina adresser i folkbokföringen”. De uppgifter som registreras är personnummer, gatuadress och ”markering om personens gatuadress är aktuell eller ej”. Registret bygger på information från SPAR och driften sker hos Sema Group InfoData AB.

Polisens fastighetsfråga förs med tillstånd av Datainspektionen meddelade den 24 september 1993 och den 15 september 1997. Ändamålet med registret är enligt tillståndet att ge polisen upplysning om fastighet (fastighetsbeteckning) hörande till viss person. Registret får bara innehålla uppgifter om personer folkbokförda i Sverige. Inga andra uppgifter än personnummer och fastighetsbeteckning förs in i registret. Registerinnehållet nås genom frågor till SPAR.

Polisens historikdatabas förs med tillstånd av Datainspektionen meddelade den 24 september 1993, den 21 januari 1997 och den 15 december 1997. Ändamålet med registret är att ge polisen upplysning om uppgifter som gallrats ur SPAR avseende personer under 90 år. Endast personer som är folkbokförda i Sverige skall registreras. Registret innehåller ”samtliga uppgifter med undantag för adress som gallrats ur SPAR där personen är yngre än 90 år”.

Polisens folkbokföringsdatabas förs med stöd av Datainspektionens tillstånd den 16 december 1997. Innehållet i registret består av folkbokföringsuppgifter som ingår i Riksskatteverkets Aviseringsregister men som inte får ingå i SPAR.

3.7Lokala system med nationell spridning

3.7.1Allmänt

De lokala polismyndigheterna för flera olika system. Det gäller bl.a. s.k. tillhållsregister samt system för intern samordning av pågående utredningar. Att ett system är lokalt innebär att det bara är den egna polismyndigheten som har tillgång till uppgifter ur systemet. Här redovisas fyra lokala system som har nationell spridning, nämligen rationell anmälningsrutin, datoriserad utredningsrutin – tvångsmedel, kommunikationscentralernas system och förundersökningsregister.

3.7.2Rationell anmälningsrutin

Rationell anmälningsrutin (RAR) förs av de lokala polismyndigheterna med tillstånd meddelade av Datainspektionen den 17 september 1993 och den 17 december 1997.

Ändamålet med registren är enligt tillstånden

–att tillhandahålla uppgifter rörande brottsanmälningar som behövs och för att i enlighet med lag eller förordning lämna uppgifter till annan myndighet samt

–att tillhandahålla uppgifter för polismyndighetsärenden, lämna underlag för samordning, bevakning, planering och uppföljning av verksamheten, utgöra underlag för produktion av statistik samt tillika utgöra myndighetens kriminaldiarium.

RAR är uppbyggt som ett ärendehanteringssystem som innehåller uppgifter direkt från polisens brottsanmälningsblanketter. Blanketterna för brottsanmälan är numera inlagda i datorsystem. Detta medför att när en blankett fylls i registreras samtidigt brottsanmälningens uppgifter i RAR. De allra flesta brottsbalksbrott registreras i RAR.

Samtliga uppgifter i brottsanmälningarna registreras i RAR. Förutom uppgifter om själva brottet finns personuppgifter avseende målsägande, anmälare, skäligen misstänkt gärningsman, vittne samt försvunna och avlidna personer.

RAR utgör enligt polisen ett utomordentligt effektivt verktyg i verksamheten. Genom att det för registrering inte krävs andra åtgärder än upprättande av en brottsanmälan är systemet lätt att använda. Uppgifterna kommer direkt från källan (brottsanmälningen) och har därför hög kvalitet och hög aktualitet. Systemet används för att fastställa modus operandi och är värdefullt inte minst vid utredningar om seriebrott.

Eftersom RAR är ett lokalt system har varje polismyndighet bara tillgång till uppgifter ur sin egen myndighets RAR. Från polisen har framförts att det föreligger ett stort behov av ett centralt rikstäckande RAR, som alltså skulle vara tillgängligt för landets alla polismyndigheter. Frågor med anknytning till inrättandet av ett centralt RAR tas upp i avsnitt 12.4.

3.7.3Datoriserad utredningsrutin – Tvångsmedel

Systemet datoriserad utredningsrutin – tvångsmedel (DurTvå) är ett lokalt ärendehanteringssystem med nationell spridning, vilket syftar till att effektivisera polisens och åklagarnas arbete med förundersökningar i brottmål. Systemet regleras av personuppgiftslagen och de allmänna bestämmelserna i polisdatalagen. Systemet är ännu inte helt utbyggt.

Genom DurTvå skapas ett system genom vilket upprättandet av förundersökningsprotokoll sker på elektronisk väg. Alla anmälningar ur RAR hämtas automatiskt till DurTvå. Därefter upprättas hela förundersökningsprotokollet i DurTvå. I dag saknas möjlighet att göra fritext-

sökningar i DurTvå, men den möjligheten kommer att finnas när systemet är fullt utbyggt.

Det finns ett behörighetssystem för sökning i DurTvå. Behörigheten att få del av uppgifter är uppdelad i tre nivåer.

Liksom beträffande RAR har det från polisens sida framförts att det behövs ett rikstäckande DurTvå.

3.7.4Kommunikationscentralernas system

För att effektivisera och samordna bl.a. alarmeringsåtgärder och viss tillfällig spaningsverksamhet skall i varje län finnas en ort med kommunikationscentral. Uppgifterna för kommunikationscentralerna består i att ta emot och vidarebefordra inkommande larm och andra meddelanden samt att inledningsvis vidta och samordna polisåtgärder med anledning av larmen och meddelandena.

Som stöd för denna verksamhet har ett ärendehanteringssystem för kommunikationscentralerna utvecklats, nämligen det s.k. KC-systemet. Behandlingen av personuppgifterna i systemet sker med stöd av bestämmelserna i personuppgiftslagen och i de allmänna bestämmelserna i polisdatalagen. Det finns motsvarigheter till KC-systemet i flera andra europeiska länder och även i USA. Systemet är ursprungligen framtaget i Kanada.

Enligt sin ändamålsbestämmelse är syftet med behandlingen att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunikationscentralerna. Syftet anges också vara att på ett tidigt stadium erhålla signaler om pågående och återkommande brottslig verksamhet exempelvis om familjevåld och mc-brottslighet. Vidare har behandlingen till ändamål att ge underlag för planering av polisens resurser och för uppföljning av verksamheten.

I KC-systemet registreras uppgifter om brotts- eller händelseplatser med besked om tid, plats, händelsetyp, brottskod och övrig information som kan vara till hjälp vid en kommande polisutredning. Systemet innehåller också personuppgifter. Registrering sker av anmälare, målsägande, vittne, misstänkta, utpekade och försvunna personer samt personer som på olika sätt kontaktar polisen i ärenden som registreras i KC-systemet. I Stockholm noteras 1 000–1 200 ärenden per dygn i KC- systemet.

Rikspolisstyrelsen har i enlighet med 2 § polisdataförordningen anmält KC-systemet till Datainspektionen för förhandskontroll. Inspektionen har i sitt beslut den 21 december 1999 framfört synpunkter på rutinerna för gallring och för information till de registrerade.

Enligt anmälan skall de registrerade uppgifterna i händelserapporterna vara tillgängliga i KC-systemet under 13 månader. Datainspektionen erinrar om att personuppgifter som behandlas automatiserat enligt huvudregeln i 13 § polisdatalagen skall gallras när uppgifterna inte längre behövs för sitt ändamål.

I fråga om information till registrerade sägs i anmälningen att information om uppgiftsbehandling inte skall lämnas annat än till vissa särskilt angivna kategorier av personer. Rikspolisstyrelsen hänvisar därvid till bestämmelsen i 24 § personuppgiftslagen, som föreskriver att information får underlåtas om lämnandet skulle visa sig vara omöjligt eller innebära en oproportionerligt stor arbetsinsats. Datainspektionen anför att denna undantagsbestämmelse inte kan anses vara generellt tillämplig i fråga om samtliga angivna kategorier av registrerade.

3.7.5Förundersökningsregister

Förundersökningsregister (FU) får enligt regeringens beslut den 28 november 1985 föras av de lokala polismyndigheterna. Datainspektionen meddelade föreskrifter för registren den 21 januari 1986.

Ändamålet med registren är att utgöra hjälpmedel för att lagra, systematisera och återvinna uppgifter i förundersökningar med komplicerat eller omfattande utredningsmaterial.

FU får enligt Datainspektionens beslut endast innehålla uppgifter av den art som framgår av ansökningen. Förutom administrativa uppgifter får sålunda registreras uppgifter om namn på uppgiftslämnare, uppgifter om en person som kan sättas i samband med något brott, beskrivning av förekommande fordon och personer, uppgifter om brottsplats, uppgifter ur förhör samt uppgifter om adresser till kända ”tillhåll” och ”kvartar”.

4 Nya arbetsmetoder och ny teknik

Enligt utredningsdirektiven skall vi följa konsekvenserna av nya arbetssätt och ny teknik. I det här kapitlet tar vi upp förändringar som därvid har särskild betydelse. Vi inleder med några kortfattade synpunkter rörande manuell behandling av information som alternativ till automatiserad behandling av information.

4.1Manuell behandling – automatiserad behandling

Manuell behandling av information, däribland personuppgifter, är inte längre ett realistiskt alternativ till automatiserad behandling av information. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet.

Vi har i avsnitt 2.1 redogjort för det omfattande utvecklingsarbete som, i linje med uttalanden från statsmakterna, pågår inom polisen med att utveckla IT-stödet för verksamheten. En stor del av skrivarbetet inom polisen, liksom på andra arbetsplatser, sker i dag med någon form av informationsteknik. Inom en mycket snar framtid lär praktiskt taget allt skrivarbete komma att utföras med hjälp av datorer. Skrivmaskiner finns knappast längre till försäljning. Det finns inga egentliga alternativ till att bedriva arbetet datoriserat. Att hos myndigheter ersätta datorer med papper och penna är naturligtvis inte rimligt.

För att få en jämförelse med tidigare förhållanden har vi från Rikspolisstyrelsen inhämtat vissa upplysningar om arbetsrutiner inom polisen som tillämpades före datorernas inträde. Upplysningarna avser hanteringen av de lokala manuella registren för spaningsinformation, vilka numera har ersatts av det allmänna spaningsregistret. Rikspolisstyrelsen har därvid upplyst följande. De manuella spaningsregistren

fördes i pärmar med ett antal stödsystem i form av flexo-ställ och flexo-remsor i olika färger. I en och samma myndighet kunde det finnas flera spaningsregister. En del rotlar förde också egna register. Systemet var tids- och personalkrävande. Arbetsuppgifter som tog fyra–fem personer i anspråk utförs i dag med datorhjälp av en enda person. Vid omfattande spaningsuppdrag var man tvungen att ringa runt, dels inom den egna myndigheten, dels till andra myndigheter som kunde tänkas ha relevanta uppgifter. En svaghet med de manuella registren var också att de endast var bemannade under kontorstid.

En realistisk lagstiftning om behandling av personuppgifter måste ta hänsyn till de nya förhållandena. Eftersom det i praktiken inte finns några alternativ till att använda datorer innebär ett förbud mot en viss automatiserad behandling av personuppgifter att behandlingen inte alls kommer att ske. Man kan vid utformningen av nya regler därför inte ha som utgångspunkt att behandlingen kommer att ske manuellt om det inte tillåts att den sker automatiserat.

I det här sammanhanget bör även påpekas att enskilda polismäns anteckningar för eget bruk om iakttagelser och tips självfallet aldrig kan utgöra ett alternativ till en automatiserad behandling av personuppgifter. Tidigare förekom det i ganska stor utsträckning att enskilda polismän förde egna anteckningsböcker, s.k. svarta böcker, för att samla information som snappades upp. Denna information tenderade dock att stanna hos den enskilde polismannen. Informationen kom därför bara i begränsad utsträckning till nytta i myndighetens arbete. Att en enskild polisman besitter viss information är således inte samma sak som att myndigheten innehar informationen.

En övergripande konsekvens av den snabba utvecklingen av IT inom polisen är att antalet personuppgifter som behandlas automatiserat ökat kraftigt. Nästan all manuell behandling av personuppgifter har ersatts eller kommer sannolikt inom en nära framtid att ersättas av automatiserad behandling av personuppgifter. Den omständigheten att mängden automatiserat behandlade personuppgifter kraftigt ökat gör det ännu viktigare att en lagstiftning om behandling av personuppgifter i polisens verksamhet ger ett tillfredsställande skydd för den enskildes personliga integritet. I avsnitt 2.3 har vi redovisat synpunkter på avvägningen mellan effektivitetshänsyn och integritetsskydd vid utformningen av en sådan lagstiftning. Bl.a. konstaterar vi därvid som en självklar utgångspunkt att integritetsskyddet för de personer vars personuppgifter behandlas bör ligga på en hög nivå.

4.2Ett brottsförebyggande perspektiv

Polisen skall enligt nyare uttalanden från statsmakterna arbeta problemorienterat och brottsförebyggande. Arbetet skall vara proaktivt och inte reaktivt inriktat. För att kunna verka brottsförebyggande måste polisen inhämta och bearbeta information om enskilda personer i större utsträckning än som skedde vid ett traditionellt reaktivt arbetssätt. Det ligger därför i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt.

4.2.1En förändrad inriktning av polisverksamheten

Statsmakterna har under senare år successivt gett uttryck för en delvis ändrad inriktning av polisverksamheten. Det har skett under inflytande av bl.a. internationella strömningar inom såväl kriminologisk vetenskap som praktisk polisiär erfarenhet. Också i Sverige har forskningen och praktiken allt mer kommit till insikt om betydelsen av förebyggande och problemorienterad polisverksamhet. Bl.a. har Rikspolisstyrelsen tagit fram underlag för den politiska omorienteringen som inleddes i slutet av 1980-talet.

I sammanfattning kan statsmakternas riktlinjer för polisverksamheten beskrivas på följande sätt.

Målen för polisens verksamhet är att minska brottsligheten och att öka tryggheten. För att nå dessa mål skall polisen prioritera den brottsförebyggande verksamheten och den s.k. närpolisverksamheten. Den brottsutredande verksamheten skall också utvecklas.

I polisens arbetssätt skall det problemorienterade arbetssättet vara det dominerande. Detta innebär att analys, uppföljning och metoder sätts i centrum. När det gäller inriktningen mot olika slags brottslighet bör särskilda satsningar enligt statsmakterna göras mot våldsbrott och narkotikabrott samt mot ekonomisk brottslighet. Särskild uppmärksamhet skall också ägnas åt ungdomar som riskerar att dras in i kriminalitet samt åt vaneförbrytare och andra som svarar för en förhållandevis stor del av brottsligheten.

Polisverksamheten skall i ökad utsträckning bedrivas i form av närpolisverksamhet, som kan ses som en utveckling av den gamla kvarterspolisverksamheten. I närpolisverksamheten är tanken att enskilda grupper av polismän bedriver det lokala polisarbetet i egna geografiskt avgränsade ansvarsområden och i nära samverkan med de boende eller

i området verksamma personer Särskilt när det gäller närpolisen är det enligt Rikspolisstyrelsen angeläget att polisen samverkar med kommuner och andra som kan medverka i det förebyggande och trygghetsskapande arbetet.

4.2.2Uttalanden från regering och riksdag

År 1996 presenterade regeringen det nationella brottsförebyggande programmet Allas vårt ansvar (Ds 1996:59). Programmet skall enligt regeringen ses som början till ett brett upplagt arbete för att skapa förutsättningar för ett långsiktigt och uthålligt brottsförebyggande arbete inom alla samhällssektorer.

En utgångspunkt för regeringens arbete med att förebygga brott är att det samhällsproblem som brottsligheten utgör måste angripas med en bred kriminalpolitisk ansats. En andra utgångspunkt är att brottslighetens orsaker måste angripas lokalt, där problemen finns. En tredje utgångspunkt är att det krävs medborgerliga initiativ och ett brett engagemang från allmänhetens sida för att det brottsförebyggande arbetet skall ge resultat. I det nationella programmet betonas polisens uppgift att ge stöd till det lokala brottsförebyggande arbetet. Det kan exempelvis handla om att polisen ger aktivt stöd till lokala kartläggningar genom att ta fram statistik och annan information om brottsligheten och brottsutvecklingen i ett område samt delta i analysarbetet.

I skrivelsen Brott kan förebyggas! Utvecklingen av det brottsförebyggande arbetet (skr. 2000/01:62) beskriver regeringen hur det brottsförebyggande arbetet utvecklats inom olika områden sedan det nationella brottsförebyggande programmet beslutades år 1996. Skrivelsen tar bl.a. upp det arbete som bedrivs av de lokala brottsförebyggande råden samt socialtjänstens, polisens och kriminalvårdens insatser. Skrivelsen har behandlats i justitieutskottet (bet. 2000/01:JuU19). Utskottet framför i betänkandet inte några uppfattningar, som avviker från vad som sägs i skrivelsen.

I budgetpropositionen för år 2001 (prop. 2000/2001:1 del 4 s. 16) sägs när det gäller prioriteringar att polisverksamheten skall omfatta de uppgifter som framgår av polislagen och tydligare präglas av ett långsiktigt problemorienterat arbetssätt med ett brottsförebyggande syfte. Polisen skall enligt regeringen också utveckla sin förmåga att förebygga och bekämpa brott med rasistiska eller främlingsfientliga, antisemitiska och homofobiska inslag. Detta är enligt vad som sägs i propositionen särskilt viktigt när det gäller att kartlägga och analysera hotbilder. Justitieutskottet har godkänt budgetpropositonen såvitt avser rättsväsendet (bet. 2000/01:JuU1).

4.2.3Åtgärder på myndighetsnivå

Inom Rikspolisstyrelsen och polisväsendet i övrigt har man utformat strategier för hur statsmakternas intentioner skall brytas ned och omsättas i det dagliga polisarbetet. Den nya inriktningen av polisarbetet har stegvis genomförts inom polisen. Under 1990-talet har Rikspolisstyrelsen bedrivit projekt som syftat till att förebygga och bekämpa i synnerhet narkotikabrott men även andra brott. Det har också bedrivits projekt som handlat bl.a. om åtgärder mot ungdomsbrottslighet och åtgärder mot yrkeskriminalitet.

I sina planeringsförutsättningar för åren 2001, 2002 och 2003 betonar Rikspolisstyrelsen också betydelsen av ett brottsförebyggande perspektiv i polisarbetet. Varje polismyndighet skall utarbeta och dokumentera en brottsförebyggande strategi där det också framgår hur och med vilka myndigheter och organisationer samverkan skall ske. Polismyndigheterna skall säkerställa att strategierna får genomslag och utgör en utgångspunkt för de handlingsplaner som tas fram inom myndigheterna och i övrigt vid planeringen av den dagliga polisverksamheten. Vikten av tydliga återrapporteringskrav påpekas också i planeringsförutsättningarna.

I nästa avsnitt diskuterar vi formerna för polisens brottsförebyggande arbete och pekar på vissa konsekvenser för den enskildes personliga integritet.

4.2.4Det brottsförebyggande arbetssättet ur ett integritetsperspektiv

Behandling av personuppgifter i förundersökning

Det är alltså ett uttalat krav från statsmakternas sida att polisen skall arbeta problemorienterat och brottsförebyggande. Det räcker därför inte med att polisen bara utreder brott som har begåtts. Polisen skall arbeta proaktivt och inte bara reaktivt. De nya kraven från samhällets sida får dock konsekvenser i olika avseenden. En sådan konsekvens rör polisens behov av att samla in och behandla information, däribland personuppgifter.

Polisens verksamhet för att förebygga, uppdaga och beivra brott kan ske inom ramen för en förundersökning enligt rättegångsbalkens bestämmelser, men kan också utgöra verksamhet som faller utanför en förundersökning. Det rättsliga stödet för att bedriva sådan verksamhet som faller utanför rättegångsbalkens regler, företas med stöd av de allmänna bestämmelserna i 2 § polislagen. Enligt dessa bestämmelser hör

det till polisens uppgifter att inte bara bedriva spaning och utredning i fråga om brott som hör under allmänt åtal, utan även att förebygga brott och andra störningar av den allmänna ordningen.

Enligt 23 kap. 1 § rättegångsbalken skall förundersökning inledas så snart det på grund av angivelse eller av annat skäl finns anledning att anta att ett brott som hör under allmänt åtal har förövats. Det krävs misstanke om ett konkret brott. Endast mer eller mindre lösa misstankar om att en person är inblandad i brottslighet anses inte vara en tillräcklig grund för att inleda förundersökning.

Förfarandet vid förundersökning regleras i 23 kap. rättegångsbalken. I 18 § av kapitlet föreskrivs att då förundersökningen kommit så långt att någon skäligen misstänks för brottet som utreds i förundersökningen, skall han, då han hörs, underrättas om misstanken. Den misstänkte och hans försvarare har enligt samma lagrum rätt att fortlöpande, i den mån det kan ske utan men för utredningen, ta del av vad som har förekommit vid undersökningen. Det föreskrivs också i 21 § att det vid förundersökningen skall föras protokoll över vad därvid förekommit av betydelse för utredningen. Det finns i förundersökningskungörelsen (1947:948) ytterligare regler om hur en förundersökning skall gå till. I 12 och 12 a §§ av kungörelsen ges föreskrifter som preciserar bestämmelserna i 23 kap. 18 § rättegångsbalken om underrättelse till den misstänkte.

Som framgått är förfarandet i en förundersökning noggrant reglerat i lag och annan författning. Anknytningen till konkreta brott motverkar att behandling av personuppgifter sker vid en mycket låg grad av misstanke. Härigenom finns det en förutsebarhet om vilka kategorier av personuppgifter som behandlas. Den enskilde har också insyn i utredningen. Det kan här inflikas att Datainspektonen gett uttryck för uppfattningen att förundersökningskungörelsen får anses vara en sådan författning som enligt 24 § andra stycket personuppgiftslagen medger undantag från informationsskyldighet (se Datainspektionens allmänna råd Information till registrerade enligt personuppgiftslagen s. 16).

Behandling av personuppgifter för brottsförebyggande ändamål

Enligt ett äldre synsätt skulle polisens brottsbekämpande verksamhet väsentligen vara reaktivt inriktad. Utgångspunkten kan sägas ha varit att polisen skulle ägna sig åt att utreda misstankar om konkreta brott och att personer som inte var misstänkta för konkreta brott skulle lämnas i fred. På grund av de nya kraven om en brottsförebyggande och problemorienterad polisverksamhet är den utgångspunkten inte längre hållbar.

För att kunna verka brottsförebyggande måste polisen inhämta och bearbeta information i större utsträckning än som sker vid ett traditionellt reaktivt arbetssätt. Denna verksamhet kan inte ske enbart i förundersökningar. Om man vill nå framgång är det nödvändigt att samla in och bearbeta även underrättelser som innehåller personuppgifter.

Underrättelseverksamhet bedrivs också på alla nivåer inom polisväsendet, inte minst i det vardagliga polisarbetet ute på fältet. Genom egna iakttagelser, tips eller upplysningar samlar polisen fortlöpande in sådan information som ger anledning att misstänka att brottslig verksamhet förekommer. Den insamlade informationen kan sedan bearbetas t.ex. för att kartlägga narkotikans vägar eller beskriva strukturen av viss brottslighet, t.ex. våldsbrott mot kvinnor. Bearbetningen kan också avse uppföljning av medlemmar i kriminella grupperingar. Sådana uppföljningar kan vara ett mycket effektivt sätt att förebygga våldsbrott och vandalisering i samband med fotbollsmatcher eller andra större evenemang samt för att förebygga t.ex. mc-relaterad brottslighet eller brott med rasistiska inslag. Underrättelseverksamheten fyller inte bara en viktig funktion för den nationella brottsbekämpningen utan är viktig även i internationella sammanhang.

En insamling och bearbetning av personuppgifter av här skisserat slag innebär dock att polisen inte enbart kan behandla uppgifter om personer som är misstänkta för konkreta brott. För att behandlingen av personuppgifter skall kunna fylla sitt syfte måste insamlingen av personuppgifter ske tidigare. Behandlingen behöver innefatta uppgifter om misstankar mot enskilda personer redan vid en låg grad av misstanke. Ibland är det nödvändigt att samla in uppgifter om misstankar mot enskilda personer, även om misstankarna inte kunnat preciseras till att avse en viss specifik händelse eller gärning.

Det ligger således i sakens natur att en brottsförebyggande arbetsmetod innebär ett ökat intrång i den enskildes personliga integritet i förhållande till ett reaktivt arbetssätt. Detta skall vägas mot effektiviteten i brottsbekämpningen. Det är ett uttalat krav från samhällets sida att polisen skall arbeta brottsförebyggande och inte bara reagera på redan inträffade brott. Utgångspunkten för oss är därför att polisen måste ha rätt att behandla personuppgifter datoriserat i sådan utsträckning som det är nödvändigt för att polisen skall kunna uppfylla kraven från samhället i detta avseende. Med hänsyn till att det kan röra sig om mycket känslig behandling måste man dock samtidigt noga överväga vilka regler till skydd för den enskildes personliga integritet som erfordras. Vi redovisar våra överväganden härom främst i kapitel 10 om behandling av personuppgifter om enskilda personer som det inte finns misstanke om brott mot.

4.3Digital bild- och ljudbehandling

Användningen av digital teknik för behandling av ljud och bild är i hög grad ägnad att höja kvaliteten på polisens brottsutredningar. Detta gäller framför allt beträffande digitala bilder. Eftersom den digitala tekniken får anses utgöra automatiserad behandling blir dock bestämmelserna i personuppgiftslagen tillämpliga i den utsträckning behandlingen avser digitala bilder eller ljud som innehåller personuppgifter.

4.3.1Digitalteknik

Digitalteknik, sifferteknik, är den grundläggande tekniken bakom datorn, fickräknaren, digitaluret m.fl. elektroniska apparater och system. Normalt används endast siffrorna 1 och 0, som fysikaliskt motsvaras av signaler som är endera ”till” eller ”från”, t.ex. 1 = elektrisk spänning och 0 = avsaknad av elektrisk spänning. Signalerna ändras språngvis och får därmed pulskaraktär. Motsatsen till digitalteknik är analog teknik, där signalerna i stället varierar kontinuerligt.

Digitaltekniken har sina rötter i datortekniken, som fortfarande är dess viktigaste tillämpningsområde. Sedan omkring år 1960 har den emellertid spritt sig till allt fler teknikområden, så att större delen av all elektronik numera är digital. Telefoni, telefoto, television, grammofonteknik och mätteknik är exempel på områden där digitaltekniken i stor utsträckning ersatt den analoga tekniken. Mobiltelefonen och betaltelevisionen är till sina grundläggande funktioner digitala.

Genom den digitala tekniken kan bilder och ljud lagras i datorer. De lagrade bilderna och ljuden kan sedan redigeras på olika sätt. Färger kan ändras eller bytas ut och t.ex. föremål kan läggas till eller tas bort. Allt vanligare blir digitalt uppbyggda småbildskameror med diskett i stället för filmrulle. Bilder från en sådan kamera kan föras direkt över till en dator för vidare beskärning eller korrigering av eventuella exponeringsfel o.d. samt därefter redigeras tillsammans med text.

4.3.2Användningsområdet för digitala bilder och ljud

Utvecklingen av digital teknik påverkar i stor utsträckning polisens arbetssätt, i första hand när det gäller digitala bilder. I det följande

redovisar vi kortfattat upplysningar som vi inhämtat från Rikspolisstyrelsen om användningsområdet för digitala ljud och bilder.

Bilder används av naturliga skäl i många olika sammanhang hos polisen. Man tar bilder t.ex. för att dokumentera brottsplatser och olycksplatser, beteenden i trafiken, fotokonfrontationer och spaning. Det förekommer både analoga och digitala bilder. På sikt är det dock troligt att de allra flesta bildupptagningar kommer att ske med digital teknik. Analoga bilder scannas ofta in i datasystem, t.ex. i DurTvå. Bilderna kan därefter redigeras på samma sätt som digitala bilder.

Polisen har pekat på olika positiva effekter som en övergång till digital behandling kan ha för verksamheten. Effekterna som påpekats redovisas nedan.

Genom digital bildanvändning kan man få direkt åtkomst till bildmaterial på flera olika platser samtidigt. Detta kan vara av intresse exempelvis i spaningsärenden eller om en bild behöver skickas till en ledningscentral eller någon annan enhet. Över huvud taget är det viktigt i all polisverksamhet att snabbt kunna få tillgång till material. Möjligheten att ha digitala bilder i mobila datorer, som kan användas ute på fältet, kan vara av stort värde vid identifieringar.

Det uppkommer kostnads-, tids- och effektivitetsvinster vid användning av digital teknik eftersom framkallningsprocessen försvinner. Den processen är ofta tidsödande, vilket kan vara avgörande för framgången i en utredning och har dessutom betydelse för hur snabbt en utredning kan bli färdig. En digital bildhantering ger omedelbar åtkomst till bilden. En filmrulle består som regel av 24 eller 36 bilder och det innebär att filmrullen ofta inte utnyttjas fullt ut, utan polismännen tar ett litet antal bilder och lämnar sedan filmen för framkallning. Ett annat problem uppkommer om filmrullen inte framkallas direkt utan används i flera ärenden. Här är erfarenheten att det är svårt att hänföra bilderna till rätt ärende när de väl framkallats. Vid en digital bildhantering kan man direkt överföra de bilder som är tagna till en server eller en CD- ROM för lagring. Eftersom bilderna ligger på ett minneskort är det möjligt att utnyttja kortet vid flera tillfällen. Till skillnad från filmrullar behöver man inte hela tiden köpa nya minneskort utan minneskorten kan raderas så fort bilderna har lagrats på ett annat ställe.

Digitala bilder är lätta att redigera. Den digitala tekniken gör det enkelt att redan på plats vid fotograferingen välja ut de bilder som är aktuella att använda i utredningen. Man kan också ta nya bilder om de redan tagna visar sig ha dålig kvalitet. Misslyckas man med tagningen av en bild finns möjligheten att omedelbart rätta till ljusförhållanden eller vinklar, vilket medför att den bild som bifogas den aktuella utredningen håller hög kvalitet. På en digital bildkopia kan man göra anteckningar eller markeringar som kan klargöra omständigheterna.

Med digital teknik blir bevishanteringen snabbare. Digital hantering medför att en tagen bild kan användas omedelbart, vilket kan vara av värde bl.a. i trafikärenden.

Bildanvändningen ökar i omfattning genom att bildhanteringen underlättas. Eftersom en bild många gånger kan förmedla information bättre än en skriven text är det allmänt sett viktigt att enkelt kunna ta bilder. Om man har ett användarvänligt system för inhämtning av bilder kommer fler inom polisen att använda sig av bildmaterial, vilket är ägnat att höja kvaliteten på polisens brottsutredningar. Förundersökningarna blir härigenom bättre.

I fråga om digitala ljudupptagningar tycks övergången från analog till digital teknik hittills ha fått mindre betydelse än motsvarande övergång från analoga till digitala bilder. Ett exempel på användning är dock ljud som tillsammans med bilder spelas in med digitala videokameror. Datoriserad behandling av ljud kan i framtiden också väntas ske genom bl.a. lagring på filer och innefatta olika former av röststyrning.

Inspelning av telefonmeddelanden sker i allt större utsträckning med digital teknik. Polismyndigheten i Stockholms län avser t.ex. enligt en anmälan om förhandskontroll till Datainspektionen att digitalt spela in och registrera samtliga telefonsamtal och radiosamtal som vid myndighetens kommunikationscentral hanteras av myndighetens radiooperatörer, länsvakthavande befäl samt stabsfunktioner vid särskilda händelser. Ändamålet med detta är att man lättare skall kunna rekonstruera specifika händelseförlopp. Radiooperatörerna som tar emot de inkommande meddelandena måste också kunna kontrollera att de har uppfattat meddelandena korrekt.

4.3.3Lagreglering av digitala bilder och ljud

Redovisningen ovan visar betydelsen av den digitala tekniken i polisarbetet. Regeringen har i olika sammanhang också sagt att det är angeläget att polisväsendet använder modern teknik för att effektivisera verksamheten (se t.ex. prop. 2000/2001:1, utgiftsområde 4, s. 59).

Digital behandling av bilder och ljud får dock till skillnad från analog behandling anses utgöra automatiserad behandling i den mening som begreppet har i 5 § personuppgiftslagen. Detta innebär att personuppgiftslagen är tillämplig på digital behandling av bilder och ljud, vilket kan skapa svårigheter i olika hänseenden. I avsnitt 8.5 av betänkandet diskuterar vi frågor om författningsreglering av behandling av personuppgifter i form av bilder och ljud.

4.4Intranät

Polisens intranät används i första hand för att sprida verksamhetsrelaterad information inom polismyndigheterna.

4.4.1IntraPolis

IntraPolis är ett nationellt nätverk för svensk polis. Olika polismyndigheter har utvecklat intranät för respektive myndigheter och dessa intranät utgör delar av IntraPolis. Genom polismyndigheternas intranät förmedlas både öppen och skyddad information. Den öppna informationen är tillgänglig för all svensk polis medan det erfordras särskild behörighet inom respektive polismyndighet för att få tillgång till den skyddade informationen.

Intranäten används i första hand för att sprida verksamhetsrelaterad information inom myndigheterna. Det förekommer att polisens personalorganisationer och fritidsföreningar förfogar över egna hemsidor för sina verksamheter.

På intranäten finns dock även information som omfattas av sekretess. För tillträde till den del av intranäten som innehåller sådan information krävs som nämnts särskild behörighet.

Ett exempel på skyddad information är kriminalunderrättelsetjänsternas information eller s.k. KUT-Info. I det följande redovisar vi denna behandling av personuppgifter.

4.4.2KUT-Info

Ett beslut från Datainspektionen

I fråga om behandlingen av personuppgifter i KUT-Info gäller bestämmelserna i personuppgiftslagen och polisdatalagen. Konsekvenserna av dessa regelverk för behandling av personuppgifter på intranät belyses av ett beslut från Datainspektionen den 28 januari 2000. Beslutet föranleddes av att Polismyndigheten i Stockholms län enligt 2 § polisdataförordningen hade anmält att myndigheten med automatiserad behandling på intranät i systemet KUT-Info avsåg att behandla personuppgifter som gav upplysning om att personer var dömda eller misstänkta för brott.

KUT-Info hos Polismyndigheten i Stockholms län

I det följande lämnas en beskrivning av den planerade behandlingen av personuppgifter i Stockholmspolisens KUT-Info. Framställningen bygger på myndighetens förhandsanmälan till Datainspektionen.

Inom Stockholms län skall distribueras kriminalunderrättelseinformation, förkortat KUT-Info, från länskriminalens underrättelserotel ett par gånger i veckan. Informationen skall bestå av uppgifter om efterlysta personer, om oidentifierade gärningsmän, om framställningar från olika utredningsmän om hjälp, om permissioner, om brott av polisiärt intresse som uppgifter angående t.ex. dolda vapen och om tillvägagångssätt vid brott m.m.

Uppgifterna skall spridas genom IntraPolis till omkring 400 användare som i sin tur skall skicka uppgifterna vidare till ytterligare ett stort antal poliser och andra anställda inom myndigheten.

KUT-Info skall skickas främst till anställda hos Polismyndigheten i Stockholms län men även till behöriga tjänstemän inom andra polismyndigheter i Sverige.

Syftet med den planerade nya behandlingen ”KUT-Info i IntraPolis” är att utnyttja den moderna tekniken och använda IntraPolis för snabb publicering av kriminalunderrättelseinformation samt att snabbt sprida väsentlig information som polisanställda har behov av i sin tjänst. Det föreligger inte någon avsikt att införa nya personregister då det inte är fråga om bevarande och samkörningar av uppgifter utan i ändamålet ligger att uppgifterna lagras under kort tid och gallras fortlöpande.

Informationen skall lagras i IntraPolis som längst sju dagar innan den skall gallras ut. Efter gallring skall arkivering av utlagd information lagras på papper inom underrättelseroteln. Undantag för sjudagarsregeln skall dock finnas rörande information om efterlysta personer.

Det skall framgå att informationen i KUT-Info inte kan åberopas som grund för ett beslut om ingripande eller för att vidta en åtgärd. Uppgifterna skall alltid kontrolleras med ursprungskällan för uppgiften.

Det skall inte tillämpas någon tidsbegränsning för gallring beträffande information om de mest eftersökta brottslingarna där särskild farlighet eller andra omständigheter gör att det är av intresse att personen grips. Gallring skall ske då personen grips eller avlyses av något annat skäl.

Uppgifterna beträffande efterlysta personer skall omfatta namn, personnummer, foto, adressuppgifter samt fordon. Dessutom kommer uppgifter om vilka brott personen är efterlyst för samt uppgifter om farlighet att anges.

Polisen avser även att sprida fotografier på oidentifierade personer som är misstänkta för brott. Även fotografier och uppgifter om värdefullt tillgripet gods skall spridas.

Uppgifter beträffande personer som är dömda för grova brott samt tidpunkterna för dessa personers permissioner och frigivning från avtjänande av påföljder kommer att nämnas i KUT-Info.

Beskrivning av pågående och planerade projekt avses att redovisas. Sådana projekt kan handla om t.ex. kriminella motorcykelgäng, brott mot åldringar och ungdomsbrottslighet. Den information om projekt som avses att bli spridd i KUT-Info kommer inte att innehålla några uppgifter om personer som kan sammankopplas med brottslig verksamhet. För att redovisningen skall bli överskådlig är det nödvändigt att begränsa den information som kommer att spridas i systemet. Därför kommer till exempel beträffande efterlysta personer ett antal om högst 20 personer att presenteras.

Information kommer att ske av rikslarm, zonlarm, länslarm eller gränslarm. Vid behov skall informationen även innefatta fotografier.

I systemet anges tips som mottagits av underättelserotlarna.

Det redovisas uppgifter om alla personer som berövats friheten med anledning av misstanke om brott.

Datainspektionens bedömning

Datainspektionen meddelade som sagt den 28 januari 2000 ett beslut rörande anmälningen om behandling av personuppgifter i KUT-Info.

Datainspektionen anförde i beslutet att frågan om i vilken utsträckning den aktuella informationsförmedlingen skall kunna förekomma och vilka uppgifter som skall kunna presenteras enligt inspektionens uppfattning bör bli föremål för central reglering, åtminstone genom sådana föreskrifter som förutsätts i 17 § polisdataförordningen. Den bestämmelsen säger att Rikspolisstyrelsen efter samråd med Datainspektionen får meddela de ytterligare föreskrifter som behövs för verkställighet av polisdatalagen och polisdataförordningen.

Vidare säger Datainspektionen i beslutet att enligt inspektionens mening är behandling och registrering av personuppgifter i kriminalunderrättelseverksamhet uttömmande reglerad i polisdatalagen. Det är inte förenligt med polisdatalagen att i ett system som KUT-Info företa informationsbehandling som faller under begreppet kriminalunderrättelseverksamhet.

Med anledning av Datainspektionens beslut har den planerade behandlingen i KUT-Info inte kommit till stånd.

KUT-Info hos Polismyndigheten i Västra Götaland

Även Polismyndigheten i Västra Götaland har avsett att behandla personuppgifter automatiserat i KUT-Info. Informationen som avsågs att spridas var i allt väsentligt av samma typ som den som skulle spridas genom KUT-Info hos Polismyndigheten i Stockholm. Med anledning av en anmälan om förhandskontroll enligt 2 § polisdataförordningen beträffande myndighetens planerade behandling av personuppgifter i KUT-Info meddelade Datainspektionen ett beslut den 22 juni 1999.

I sitt beslut säger Datainspektionen att det inte finns rättsligt utrymme att behandla uppgifter som kommer från kriminalunderrättelseverksamhet i någon annan ordning än som föreskrivs i polisdatalagen. Innehållet i beslutet korresponderar med vad Datainspektionen anför i beslutet rörande Stockholmspolisens förhandsanmälan om behandling av personuppgifter i KUT-Info.

Den avsedda behandlingen av personuppgifter har på grund av Datainspektionens beslut inte genomförts.

Det har från andra polismyndigheter gjorts anmälningar om förhandskontroll av motsvarande behandling av personuppgifter i KUT- Info. Anmälningarna har inte föranlett några andra ställningstaganden från Datainspektionen än som redovisats ovan beträffande anmälningarna från polismyndigheterna i Stockholms län och i Västra Götaland.

4.4.3Lagreglering av KUT-Info

Som framgår av Datainspektionens beslut med anledning av KUT-Info kan den aktuella behandlingen av personuppgifter vara oförenlig med bestämmelserna i polisdatalagen. Behandlingen kan komma i konflikt med lagens bestämmelser om behandling av personuppgifter i kriminalunderrättelseverksamhet. I kapitel 10 av betänkandet tar vi upp begreppet kriminalunderrättelseverksamhet och behandling av personuppgifter i sådan verksamhet. De ställningstaganden som vi redovisar där bör få betydelse för den aktuella behandlingen i KUT-Info.

5 Informationsutbytet med Europol

Polisdatalagen medger inte att personuppgifter som härrör från kriminalunderrättelseverksamhet behandlas automatiserat annat än i så kallade särskilda undersökningar eller i kriminalunderrättelseregister. Härigenom har informationsutbytet med Europol kommit att allvarligt försvåras.

I detta kapitel redovisas hur informationsutbytet med Europol fungerar. Som en bakgrund beskriver vi Europols struktur. Vi pekar därefter på vissa problem avseende utbyte av information, som uppkommer vid tillämpning av polisdatalagen.

5.1Grundtanken bakom Europol

Inom EU tillhör samarbetet på polisområdet den s.k. tredje pelaren, dvs. samarbetet är mellanstatligt utan att några egentliga beslutsbefogenheter har tilldelats EU-organen. Inom ramen för samarbetet på polisens område har en europeisk polisbyrå, Europol, upprättats. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna. Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs och bearbetas samt kompletteras, i en del fall, med uppgifter från annat håll och analyseras sedan hos Europol. Dessa underlag delges sedan medlemsländerna som härigenom får ett bättre underlag för sin operativa verksamhet, vilket kan bidra till flera och bättre samordnade ingripanden mot den typ av brottslig verksamhet som ligger inom Europols mandat, dvs. organiserad, internationell kriminalitet av allvarligt slag.

Europols verksamhet regleras i Europolkonventionen. Riksdagen beslutade under hösten 1997 att Sverige skulle ansluta sig till konven-

tionen (prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 1997/98:22). Den 1 oktober 1998 trädde Europolkonventionen i kraft. Verksamheten inleddes den 1 juli 1999.

5.2Europols målsättning och behörighet

Europol skall förbättra effektiviteten hos de behöriga nationella myndigheterna (dvs. i första hand polismyndigheterna, men även t.ex. tullen och andra myndigheter med polisiära befogenheter samt i vissa avseenden åklagarmyndigheterna) i medlemsländerna och förbättra deras inbördes samarbete i den förebyggande och brottsbekämpande verksamhet som riktar sig mot den allvarliga internationella brottsligheten.

Europol kan tas i anspråk när de faktiska omständigheterna visar att det förekommer en brottslig organisation eller struktur som påverkar två eller flera medlemsländer och som med hänsyn till brottslighetens omfattning, svårighetsgrad och konsekvenser gör det nödvändigt med ett gemensamt handlande från medlemsländernas sida. Europol är under dessa förutsättningar behörigt att ägna sig åt informationsutbyte rörande vissa särskilt allvarliga brott. Dessa brott är narkotikahandel, människohandel, olaglig handel med nukleära och radioaktiva ämnen, handel med stulna fordon, penningförfalskning och den brottslighet som är förknippad med illegala immigrationsnätverk samt terrorism.

Dessa brott är närmare definierade i konventionen. Listan på brott för vilka Europol har behörighet att verka kan dessutom utökas genom enhälligt beslut av EU:s ministerråd. Förutom mot de på detta sätt definierade brotten kan Europol alltid användas mot viss annan brottslighet som hänger samman med de brott som ingår i Europols behörighet. Med detta avses sådana brott som begås för att skaffa resurser till den brottslighet som från början ingår i Europols behörighet och sådana brott som begås för att underlätta utförandet eller för att undvika lagföring och straff för sådan brottslighet.

5.3Europols uppgifter

Inom ramen för den målsättning och den behörighet som nyss har angivits har Europol som förstahandsuppgift att underlätta informationsutbytet mellan medlemsländerna, att inhämta, sammanställa och analysera information och underrättelser, att omedelbart till medlemsländerna återföra information och underrättelser som berör dem och att genast underrätta dem om upptäckta samband mellan olika brottsliga

gärningar samt att underlätta polisutredningar i medlemsländerna genom att överlämna relevant information som finns hos Europol.

Härutöver skall Europol för att förbättra samarbetet mellan och öka effektiviteten hos de nationella polismyndigheterna bistå med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahålla strategiska och övergripande underrättelser för att främja effektiva och rationella operationer i medlemsländerna samt utarbeta allmänna lägesrapporter. Slutligen kan Europol bistå medlemsländerna med råd och forskning inom områdena för utbildning, organisation och utrustning, brottsförebyggande arbete och tekniska och vetenskapliga polis- och utredningsmetoder. Europol driver ett femtiotal utvecklingsprojekt och strategiska projekt som berör Rikskriminalpolisens verksamhet. Som exempel kan nämnas projekt som Förfalskning av euro-valutan och Rapportering till EU om organiserad brottslighet m.m.

5.4Europols organisation

Staternas samarbete inom Europol är uppbyggt kring både nationella och internationella beståndsdelar. Inom varje medlemsstat finns en nationell enhet som är enda förbindelselänk mellan Europol och medlemsländerna. I Sverige är det Rikskriminalpolisen som har denna funktion. Den nationella enheten har till huvudsaklig uppgift att förse Europol med den information som från de nationella polisregistren eller motsvarande skall överlämnas till Europols olika dataregister och att ta emot information som kommer från Europol och vidarebefordra dessa till behöriga myndigheter enligt konventionen. Behöriga myndigheter i Sverige är, förutom polismyndigeheterna, också andra organ som är behöriga att förebygga och bekämpa brottslighet, dvs. tull- och kustbevakningsmyndigheter och i vissa avseenden åklagarmyndigheterna.

Varje medlemsland skall sända minst en sambandsman till Europols huvudkontor som ligger i Haag i Nederländerna. Sverige har två sambandsmän placerade vid huvudkontoret, en från polisen och en från tullen. Europols styrelse kan besluta att det skall finnas ett större antal sambandsmän. Sambandsmännen är de nationella enheternas representanter i Europol. De har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols tjänstemän i bl.a. analysarbetet.

Såväl de nationella enheterna som sambandsmännen arbetar under respektive medlemslands nationella lagar och regler. Sambandsmännen är inte anställda av Europol utan av förvaltningarna i sina hemstater.

Europol har dessutom egna anställda underrättelsetjänstemän och analytiker för att utföra det kriminalunderrättelse- och analysarbete som är tyngdpunkten i Europols verksamhet. Dessa tjänstemän blir i första hand rekryterade från medlemsländernas polis- och tullorganisationer och liknande medan analytikerna också kan ha en annan bakgrund, t.ex. civil akademisk utbildning. Hos Europol är även ett antal datatekniker och administrativa tjänstemän anställda.

Europols dagliga verksamhet leds av en direktör som genom enhälligt beslut utses av rådet på fyra år med möjlighet till förlängning av anställningen under ytterligare en fyraårsperiod.

Den övergripande ledningen av Europol handhas av en styrelse. Regeringen har utsett chefen för Rikspolisstyrelsen som svensk ledamot i denna styrelse och chefen för Rikskriminalpolisen som ersättare. Cheferna för de nationella enheterna i medlemsländerna har en rådgivande roll gentemot Europol och styrelsen. De träffas regelbundet i en grupp för att diskutera främst operativa frågor.

Europol är en juridisk person med egen rättskapacitet och får enligt konventionen ingå internationella avtal inom ramen för sin behörighet och sina uppgifter. Europols budget fastställs av EU:s ministerråd.

5.5Europols datasystem

5.5.1Systemets uppbyggnad

Den centrala beståndsdelen i Europol är dess databaserade informationssystem. Detta består av ett informationsregister med begränsat och ämnesmässigt avgränsat innehåll som tillåter snabb sökning av vissa personuppgifter. För den analysverksamhet som bedrivs av Europol finns det ett antal arbetsregister av olika varaktighet för analysändamål, s.k. analysregister. Dessa innehåller mer detaljerade uppgifter. Slutligen finns det ett indexregister över analysregistren för att möjliggöra för bl.a. sambandsmännen att ta reda på om det i de pågående analysprojekten finns något av intresse för det nationella polisarbetet.

För närvarande pågår projektet The Europol Computer System (TECS) vid Europol. Projektet syftar till att bygga upp de olika delarna av Europols datasystem. Ett system för analysregister (EURINT) har tagits fram och utvecklas fortlöpande. Ett sambandssystem för Europol, sambandsmännen och de nationella enheterna är också under utveckling. Detta sambandssystem skall möjliggöra olika former av säker kommunikation. I TECS-projektet deltar en verksamhetsrepre-

sentant från Rikskriminalpolisen och en teknisk representant från Rikspolisstyrelsen.

5.5.2Informationsregistret

Informationsregistret innehåller uppgifter om personer som är dömda eller misstänkta för sådana brott som ligger inom Europols behörighet. Uppgifterna kan också avse personer mot vilka det finns graverande omständigheter som ger anledning att anta att de kommer att begå brott inom Europols behörighetsområde. De personuppgifter som förekommer är av standardiserat slag. Det är identifikationsuppgifter som namn, födelsetid och födelseort, kön, medborgarskap och vissa signalementsuppgifter. Vidare får antecknas uppgift om brott och gärningsbeskrivning, tillvägagångssätt, vilken brottslig organisation man misstänker att personen i fråga tillhör samt fällande domar. De hittills nämnda uppgifterna är medlemsländerna med vissa undantag skyldiga att utan särskild begäran föra in i informationsregistret från sina egna polisregister.

Ytterligare uppgifter om de nämnda personkategorierna kan på begäran lämnas till Europol om medlemsstatens lagstiftning tillåter detta.

De nationella enheterna, sambandsmännen och vissa anställda i Europol har direkt tillgång till registret.

5.5.3Arbetsregister för analysändamål

En av Europols huvuduppgifter är att genomföra analyser som ett led i kriminalunderrättelseverksamheten. Detta innebär att Europol samlar in, bearbetar och drar slutsatser av det insamlade materialet till nytta för en polisutredning eller en förundersökning. Analyserna skall genomföras i projektform. Det betyder att ett begränsat antal analytiker och andra tjänstemän från Europol samt sambandsmän från de stater som berörs bildar en projektgrupp. För denna grupp kan om det behövs ett arbetsregister (analysfil) läggas upp efter särskilt beslut från styrelsen i Europol. Sådana analysfiler utgör gruppens viktigaste arbetsredskap. Underlaget för styrelsens beslut i fråga om inrättande av ett arbetsregister utgörs av uppgifter om bl.a. syftet med analysen, om typen av analys och om vilka personer som skall registreras.

Konventionen skiljer mellan strategisk analys och analys som har ett operativt syfte. Den sistnämnda är direkt inriktad mot pågående undersökning eller utredning i ett eller flera länder. Den strategiska

analysen innehåller övergripande uppgifter, t.ex. om den allmänna strukturen på viss brottslighet eller om smugglingsvägar för viss narkotika. Den strategiska analysen innehåller inga personuppgifter.

För närvarande pågår arbete i ett tiotal analysfiler som främst berör Rikskriminalpolisens verksamhet, men också polismyndigheterna och Tullverket. Analysfilerna kräver beredning från Rikskriminalpolisens sida i form av insamlings- och analysarbete. Omfattande analysfiler avser organiserad brottslighet i Östeuropa och mc-relaterad brottslighet. Ett annat projekt som Rikskriminalpolisen deltar i avser utvecklandet av metoder för inhämtning av kvalitativa och kvantitativa data om organiserad brottslighet.

Ett arbetsregister för analysändamål som inrättas i operativt syfte får innehålla personuppgifter. I ett sådant får till att börja med förekomma de uppgifter om personer som finns i informationsregistret. Vidare får det föras in uppgifter om vittnen, brottsoffer, kontakter eller medhjälpare och andra personer som kan lämna uppgifter om de brott som utreds. I fråga om brottsoffer får även uppgifter tas in i registret om omständigheterna ger anledning anta att en person skulle kunna bli offer för ett brott som ligger inom Europols behörighet.

Det är i och för sig också tillåtet att i analysregistren föra in personuppgifter av mycket känslig karaktär, t.ex. politisk åskådning, ras eller etniskt ursprung. Sådana uppgifter får dock införas endast om de är strikt nödvändiga med hänsyn till ändamålet med analysen och då bara om de känsliga uppgifterna kompletterar andra personuppgifter som antecknats i samma register. Det är således inte tillåtet att lägga upp ett register med uppgifter om enbart politisk hemvist eller etniskt ursprung. Konventionen förbjuder också att sökning efter personer med ledning enbart av eventuellt registrerade särskilt känsliga personuppgifter sker i strid med Europols ändamålsbestämmelser. I praktiken innebär detta ett förbud mot selektiv datasökning med exempelvis ras eller politisk åskådning som enda sökbegrepp.

Endast de analytiker som är berörda av det pågående analysarbetet har rätt att föra in och använda uppgifter i analysregistret. Övriga inblandade har naturligtvis rätt att få del av resultaten av analysen, men de har inte tillgång till själva registret, som är ett arbetsredskap enbart för analytikerna. Sambandsmännen ansvarar för att resultaten av analyserna också kommer medlemsländernas polismyndigheter eller andra behöriga myndigheter till del.

5.5.4Indexregistret

Som har nämnts har inga andra än analytikerna tillgång till analysregistren. För att dessa register skall kunna fylla sin funktion som kunskapskälla för i sista hand medlemsländerna krävs att det finns en förmedlande länk mellan analysregistren och sambandsmännen. Indexregistret fyller den funktionen. Indexregistret skall ge svar på frågan om det i analysregistren finns uppgifter som berör det nationella polisarbetet i sambandsmannens hemstat utan att registrets innehåll eller analysresultatet avslöjas.

Sambandsmännen och behöriga Europoltjänstemän har tillgång till indexregistret.

5.5.5Skyldighet att tillföra registren uppgifter

Medlemsländerna är skyldiga att förse Europols olika register, utom indexregistret, med uppgifter. Detta skall ske dels genom att vissa uppgifter överlämnas utan särskild begäran, vilket är huvudregeln för de flesta uppgifter som skall föras in i informationsregistret, och dels genom att uppgifter lämnas på begäran av Europol. På sistnämnda sätt skall analysregistren förses med huvuddelen av sina uppgifter. Vissa uppgifter är medlemsländerna skyldiga att föra över till Europol. Det gäller bl.a. alla grundläggande uppgifter till informationsregistret. Ytterligare uppgifter till informationsregistret skall överlämnas på Europols begäran om den nationella lagstiftningen tillåter att ett överlämnande sker. I fråga om de uppgifter som skall införas i analysregistren gäller att sådana uppgifter på begäran skall överlämnas till Europol om nationell lagstiftning tillåter att uppgifterna används för att utföra analyser i kriminalunderrättelseverksamhet i hemlandet.

Staterna är inte skyldiga att till Europol lämna sådana uppgifter som kommer från säkerhetstjänsterna. Vidare finns undantag från skyldigheten att lämna uppgifter om det i det enskilda fallet skulle skada väsentliga nationella säkerhetsintressen, äventyra resultatet av en pågående polisutredning eller innebära ett hot mot någons personliga säkerhet.

Europol skall efter avslutat analysarbete förse informationsregistret med sådana uppgifter som hör hemma där.

Europol kan hämta uppgifter till analysregistren från andra länder, andra organisationer eller andra EU-organ. De sistnämnda har inte någon fördragsenlig skyldighet att lämna uppgifter. I den mån uppgifter hämtas från annat håll skall de föras in i lämpliga register av Europol.

5.6Regler om integritetsskydd

Europolkonventionen innehåller ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter.

Beträffande den allmänna skyddsnivån för datalagrade uppgifter, och även sådana icke ADB-baserade uppgifter som finns i registren, gäller att principerna i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen från 1981 och 1987 års Europarådsrekommendation om användningen av personuppgifter inom polissektorn, skall iakttas också för Europols dataregister. Innan något utbyte av personuppgifter mellan Europol och medlemsländerna kan ske måste enligt konventionen även medlemsländerna ha en nivå på sitt integritetsskydd som minst motsvarar de nyss nämnda Europarådsdokumenten.

Ansvaret för att en uppgift som förs in i ett av registren är riktig åvilar i princip den enhet som har fört in den. Medlemsländerna ansvarar alltså för att uppgifterna i Europols register är riktiga. Europol ansvarar för att de uppgifter som inhämtats från tredje länder eller andra organisationer är riktiga. Medlemsländerna ansvarar också för att uppgifter som har överförts till Europol lagligen har kunnat registreras i det ursprungliga nationella registret och att överföringen till Europol sker för att uppfylla konventionens bestämmelser och i enlighet med medlemslandets nationella regler.

Uppgifter får införas, avläsas, bearbetas och användas endast för att utföra Europols arbetsuppgifter och uppfylla dess mål enligt konventionen. För att kontrollera att missbruk inte sker skall alla uttag ur informationsregistret och vart tionde uttag ur övriga register rapporteras. Kontrollen utförs av Europol, de nationella tillsynsmyndigheterna och den gemensamma tillsynsmyndigheten.

Felaktigheter skall rättas av medlemsländerna, av Europol eller av dessa i samarbete. Europol och medlemsländerna är också skyldiga att se till att uppgifter som strider mot konventionens bestämmelser om överföring, lagring eller bearbetning av personuppgifter rättas eller utplånas. Om en personuppgift utplånas i ett nationellt register varifrån den har överförts till Europol, skall den också utplånas ur Europols register. Från denna huvudregel finns ett undantag, nämligen om Europol mot bakgrund av underrättelser från annat håll har ett intresse av att uppgifter behålls. Uppgifter om personen i fråga kan då bevaras. Personuppgifter i informationsregistret skall dock alltid utplånas om personen i fråga frikänns eller en utredning läggs ned.

Det åvilar i Sverige Nationella sambandskontoret som nationell enhet att svara för rättning och gallring av de inmatade uppgifterna i informationssystemet. Detta ställer stora krav på sambandskontoret.

Eventuellt kan dock vissa uppgifter överföras till andra enheter inom polisväsendet eller till andra myndigheter.

En generell gallringsfrist om tre år gäller för personuppgifter i Europols register. Det finns möjlighet att låta uppgiften kvarstå om den fortfarande bedöms vara aktuell. Bevakning av gallringsfristerna skall vad gäller informationsregistret utföras av den som för in uppgiften och beträffande övriga register av Europol. För uppgifter om misstänkta personer finns särskilda bevakningsregler som innebär att om behovet av uppgiften kvarstår efter den första treårsfristen man därefter skall göra en årlig kontroll.

Det finns en gemensam tillsynsmyndighet som bl.a. har till uppgift att kontrollera att Europol uppfyller sina skyldigheter med avseende på rättelse och utplåning av felaktiga data. Den kontrollerar även att Europols handhavande i övrigt av personuppgifter överensstämmer med konventionen. Europol är skyldigt att vidta de åtgärder som föreskrivs av tillsynsmyndigheten.

I varje medlemsland skall det finnas en nationell tillsynsmyndighet som har motsvarande uppgifter i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet. Det åligger således Datainspektionen att övervaka kommunikationen mellan Nationella sambandskontoret och Europol. Sambandskontoret måste därför ha en organisation som gör det möjligt att tillhandahålla Datainspektionen samtliga personuppgifter och övriga uppgifter.

Enskilda har rätt att vända sig till vart och ett av dessa organ med begäran om kontroll av att personuppgifter om den enskilde inte finns i registren i strid med bestämmelserna.

I konventionen finns också andra bestämmelser som går ut på att enskilda skall kunna ta till vara sina rättigheter mot Europol. Grundregeln är att var och en antingen skall kunna få tillgång till uppgifter om sig själv i registren, om inte sekretessregler lägger hinder i vägen, eller få till stånd ett förfarande för att kontrollera att eventuella uppgifter är rättsenligt införda. Det avgörande för vilken av dessa möjligheter som står den enskilde till buds är det nationella regelsystemet i den medlemsstat i vilken begäran framställs. De beslut som Europol fattar i ärenden om utlämnande av uppgifter eller kontroll kan överklagas till den gemensamma tillsynsmyndigheten. Beträffande rätten till insyn i eller kontroll av de uppgifter som finns i de nationella registren gäller nationella regler oavsett om uppgifterna härstammar från Euro-pol eller från annat håll.

5.7Regler om användning av data och om sekretess

De uppgifter som finns hos Europol skall användas för brottsbekämpande verksamhet i medlemsländerna. Uppgifterna får dock i princip bara användas för att bekämpa sådan brottslighet som ligger inom Europols behörighet. Europol får endast använda uppgifterna för att fullgöra sina åligganden enligt konventionen. Det finns möjligheter för varje land som lämnar uppgifter till Europol att begränsa användningen av vissa, speciellt känsliga sådana uppgifter till särskilt angivna ändamål. De övriga medlemsländerna är då i princip skyldiga att respektera dessa begränsningar och får inte utan den uppgiftslämnande statens tillstånd använda uppgiften till annat. Undantag görs för skyldighet att lämna uppgifter till rättsvårdande myndigheter, lagstiftande organ och vissa tillsynsmyndigheter.

Medlemsländerna är skyldiga att vidta åtgärder för att kunna sekretessbelägga de uppgifter från Europol som skall hållas hemliga. Europols anställda och sambandsmännen skall iaktta tystnadsplikt med avseende på hemliga uppgifter de fått del av i tjänsten. Brott mot tystnadsplikten straffbeläggs i den nationella lagstiftningen. I vissa fall kan dessa tjänstemän förbjudas att vittna vid domstol om sådana uppgifter under förutsättning att detta är tillåtet i den processordning enligt vilken rättegången förs.

5.8Sveriges åtgärder för att uppfylla konventionens krav rörande informationsutbytet

5.8.1Behovet av datorstöd för informationsutbytet

För att Sverige skall kunna fullgöra sina åtaganden enligt Europolkonventionen på ett rationellt och effektivt sätt krävs att svensk polis får bedriva sin del av informationsutbytet med hjälp av datorstöd.

Inom Rikskriminalpolisen finns som nämnts Nationella sambandskontoret som har till uppgift att samordna den internationella operativa verksamhet som ankommer på Rikskriminalpolisen i dess egenskap av svensk huvudman för Interpol, Europol, Schengens datasystem, svenska och nordiska sambandsmän, Östersjösamarbetet samt andra framtida internationella samarbetsformer.

Av en redogörelse från Rikskriminalpolisen över antalet ärenden år 1999 framgår att antalet inkomna meddelanden från Interpol uppgått

till 44 781, att antalet nyregistrerade ärenden uppgått till 9 728, att antalet anteckningar i DocPol-systemets A-diarium uppgått 5 272, att antalet operativa ärenden hos Europol uppgått till 269 samt att antalet utväxlade meddelanden med Europol uppgått till 1 318. Inom sambandskontoret har man uppskattat att antalet Schengenärenden under år 2001 kommer att uppgå till omkring 12 000.

Med en sådan volym på informationsmängden är enligt polisen automatiserad behandling nödvändig för att Sverige skall kunna uppfylla sina internationella åtaganden i t.ex. Europol, Interpol och Schengen samt även för att polisens egen verksamhet skall kunna kontrolleras. Om en enskild begär att Datainspektionen skall undersöka om uppgifter om honom lämnats till Europol och om uppgifterna i så fall är korrekta, måste det vara möjligt att snabbt och fullständigt utföra kontrollen. En sådan kontroll är inte möjlig att göra utan hjälp av modern informationsteknik.

5.8.2Förhandskontroll av systemet DocPol

Rikspolisstyrelsens anmälan

I februari 2000 anmälde Rikspolisstyrelsen enligt 2 § polisdataförordningen till Datainspektionen för förhandskontroll att styrelsen avsåg att bygga ut systemet DocPol och att automatiserad behandling av personuppgifter som ger upplysning om att en person är dömd eller misstänkt för brott skulle komma att ingå i systemet.

Systemet DocPol, som är Rikspolisstyrelsens Interpolsektions dokument- och ärendehanteringssystem, består av två personregister. Registren som förs med stöd av datalagen har benämningen Allmänna registret och Interpolregistret. Av meddelat tillstånd för Allmänna registret framgår att ändamålet med registret är diarieföring av ärenden vid Interpolsektionen och att registret endast innehåller i 15 kap 2 § sekretesslagen föreskrivna uppgifter. Uppgifterna enligt nämnda lagrum utgörs av en handlings inkomstdatum och diarienummer, i förekommande fall från vem handlingen har kommit in eller till vem handlingen expedierats och slutligen i korthet vad handlingen rör. Ändamålet med Interpolregistret är enligt meddelat tillstånd lagring av allmänna handlingar och återsökning av ärenden. Systemet DocPol består således av dels ett elektroniskt diarium, dels ett dokument- och ärendehanteringssystem.

Rikspolisstyrelsen uppgav i sin anmälan följande avseende den planerade utbyggnaden av systemet DocPol. Nationella sambandskontoret handlägger eller skall handlägga ärenden avseende Interpol,

Schengen, sambandsmän, Europol och Östersjösamarbetet. I systemet DocPol diarieförs och dokumenthanteras i dag samtliga Interpolärenden och vissa ärenden avseende sambandsmän. Ärenden avseende Europol och övriga sambandsmän registreras beroende på ärendets art i A-diariet eller UF-registret. Dessa rutiner är inte tillfyllest utan man behöver ett enhetligt och integrerat dokument- och ärendehanteringssystem av DocPol-modell. Problemet är akut och stort i dag men i och med Schengenstarten kommer behovet av ett system att vara enormt. Europolkonventionen uppställer höga krav på att den nationella enheten (Nationella sambandskontoret) har absolut kontroll över samtliga personuppgifter som utlämnas till Europol eller medlemsländerna oavsett om det är fråga om informationsutväxling, uppdatering av informationsregistret eller lagring i analysregistret. För att lösa ovan nämnda problem avser Rikspolisstyrelsen att bygga ut DocPol till att gälla diarieföring, registrering och elektonisk förvaring av vid Nationella sambandskontoret inkomna eller upprättade handlingar. En utbyggnad av DocPol är endast en interimistisk lösning i avvaktan på att ett helt nytt ärendehanteringssystem inrättas.

Datainspektionens bedömning

Datainspektionen meddelade beslut den 31 mars 2000 med anledning av Rikspolisstyrelsens förhandsanmälan. I sitt beslut konstaterar Datainspektionen att det planerade dokument- och ärendehanteringssystemet kommer att ha till ändamål att lagra och återsöka handlingar hos Nationella sambandskontoret vid Rikspolisstyrelsen samt att systemet bl.a. kommer att innehålla handlingar som hör samman med det internationella polissamarbetet. Vidare sägs i beslutet att de uppgifter som den nationella enheten förser Europol med hämtas bl.a. från automatiserade särskilda undersökningar och kriminalunderrättelseregister samt att uppgifter från Europol också kommer att föras in i dessa undersökningar och register. Att automatiserat behandla personuppgifterna i det planerade systemet står enligt Datainspektionens uppfattning inte i överensstämmelse med polisdatalagens skyddsregler.

För att tillgodose Rikspolisstyrelsens behov av att automatiserat behandla personuppgifter i samband med det uppgiftsutbyte som hör samman med internationellt polissamarbete i den utsträckning det är nödvändigt för verksamheten och för att av integritetsskäl sätta gränser i fråga om bl.a. ändamål, innehåll och bevarande anser Datainspektionen att det behövs ytterligare överväganden om författningsreglering än de som gjorts i tidigare lagstiftningsarbete.

I sitt beslut avskrev Datainspektionen ärendet. Inspektionen överlämnade beslutet till regeringen för kännedom.

Länsrättens bedömning

Rikspolisstyrelsen överklagade Datainspektionens beslut i Länsrätten i Stockholms län och yrkade därvid att det inte skulle vidtas någon åtgärd med anledning av Rikspolisstyrelsens anmälan om förhandskontroll enligt 2 § polisdataförordningen i fråga om utbyggnaden av systemet DocPol. Rikspolisstyrelsen anförde i överklagandet att bestämmelserna om behandling av personuppgifter i kriminalunderrättelseverksamhet enligt 14–21 §§ polisdatalagen inte kunde anses tillämpliga när det gällde behandlingen av personuppgifter i det utbyggda systemet DocPol samt att den tilltänkta behandlingen kunde ske med stöd av bestämmelserna i personuppgiftslagen och i 1–13 §§ polisdatalagen.

Huvudfrågan i målet var alltså om användningen av det utbyggda systemet DocPol skulle betraktas som kriminalunderrättelseverksamhet enligt definitionen i 3 § polisdatalagen. I sin dom den 14 juli 2000 (mål nr. 7167-00) fann länsrätten att den planerade behandlingen var att betrakta som sådan verksamhet. Eftersom behandlingen av personuppgifter inte skulle komma att ske i en särskild undersökning eller i ett kriminalunderrättelseregister kunde behandlingen inte anses förenlig med reglerna i polisdatalagen. Med denna motivering avslog länsrätten Rikspolisstyrelsens överklagande.

Kammarrättens bedömning

Rikspolisstyrelsen överklagade länsrättens dom i Kammarrätten i Stockholm. I sitt beslut den 27 november 2000 (mål nr. 5367-2000) fann kammarrätten att Datainspektionens beslut inte hade sådana rättsverkningar mot Rikspolisstyrelsen att det kunde anses överklagbart. Länsrätten borde därför enligt kammarrätten inte ha tagit upp överklagandet till prövning utan avvisat det. Kammarrätten undanröjde länsrättens dom och avvisade överklagandet.

5.9Konsekvenser av den nya lagstiftningen

Den planerade behandlingen i DocPol får alltså anses utgöra kriminalunderrättelseverksamhet enligt definitionen av sådan verksamhet i 3 § polisdatalagen. Genom bestämmelserna i 14–21 §§ polisdatalagen är det uttömmande reglerat när och på vilket sätt automatiserad behandling av personuppgifter kriminalunderrättelseverksamhet får äga rum. Den planerade behandlingen av personuppgifter är inte av sådan beskaffenhet som anges i dessa lagrum. Konsekvensen av nyss nämnda förhållanden är att det i dag inte finns lagstöd för den planerade behandlingen inom systemet DocPol.

Som framkommit i DocPol-ärendet försvåras informationsutbytet med Europol allvarligt av att nyss nämnda behandling av personuppgifter inte kan utföras. I kapitel 10 diskuterar vi frågor om en alternativ reglering till bestämmelserna i polisdatalagen om kriminalunderrättelseverksamhet. Våra synpunkter i det kapitlet bör få betydelse för möjligheterna att utföra sådana behandlingar som planerats i DocPol.

6 En nordisk jämförelse

Den svenska lagstiftningen om polisens rätt att behandla personuppgifter automatiserat är mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna.

Som underlag för våra överväganden har vi inhämtat upplysningar om vilka regler som gäller i Danmark, Finland och Norge beträffande automatiserad behandling av personuppgifter i polisens verksamhet. I det här kapitlet redovisas översiktligt vad som framkommit vid denna jämförelse. Vi inleder redovisningen med den danska författningsregleringen.

6.1Danmark

6.1.1Översikt över regleringen

Danmark har liksom Sverige genomfört EG:s dataskyddsdirektiv. Detta har skett genom antagandet av loven om behandling av personoplysninger (personoplysningsloven). Lagen trädde i kraft den 1 juli 2000.

Personopgiftsloven är tillämplig även i polisens verksamhet. Lagen kompletteras av bekendtgörelser (motsvarande svenska förordningar). Av dessa bekendtgörelser bör här nämnas bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning samt bekendtgörelse om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret). Den danska lagstiftningen har ingen motsvarighet till den svenska polisdatalagen, men i personoplysningsloven finns intagna en del särbestämmelser för polisen.

Danmark har även tillträtt Europolkonventionen och Schengenkonventionen.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personoplysningsloven. Framställningens syfte är att peka på mer betydelsefulla skillnader jämfört med den svenska lagregleringen.

6.1.2Personoplysningsloven

Tillämpningsområde

Personoplysningsloven gäller vid behandling av personuppgifter, som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Lagen är tillämplig i polisens verksamhet.

Lagens huvudsakliga innehåll

Eftersom personoplysningsloven bygger på dataskyddsdirektivet har lagen ett innehåll som i stort sett stämmer överens med innehållet i den svenska personuppgiftslagen. Reglerna har i sak i stort samma innehåll beträffande definitioner, grundläggande krav på behandlingen av personuppgifter och förutsättningarna för att behandling av personuppgifter alls skall vara tillåten.

Även i fråga om förutsättningarna för att behandla känsliga personuppgifter är reglerna likartade. Personoplysningsloven innehåller liksom personuppgiftslagen ett förbud mot att behandla känsliga personuppgifter. Det finns en rad undantag från förbudet med i huvudsak samma innebörd som undantagen i personuppgiftslagen. Ett ytterligare undantag som inte har någon motsvarighet i den svenska lagen gäller polisen. Undantaget i personoplysningsloven innebär att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att en offentlig myndighet skall kunna utföra sina arbetsuppgifter på straffrättens område.

Personoplysningsloven innehåller bestämmelser om information till registrerade. Det finns bestämmelser som föreskriver när information skall lämnas självmant och vad den därvid lämnade informationen skall omfatta. Vidare finns det bestämmelser om när information skall lämnas efter ansökan. Reglerna överensstämmer i stort sett med vad som gäller enligt 23–27 §§ personuppgiftslagen. En viktig skillnad jämfört med den svenska regleringen är dock att de danska reglerna om information som skall lämnas självmant till registrerade, inte gäller vid behandling av personuppgifter i polisens verksamhet på straffrättens område.

Det finns i personoplysningsloven en regel om rättelse. Den innebär att felaktiga uppgifter eller uppgifter som inte behandlats enligt lagen skall rättas på lämpligt sätt. Regeln föreskriver också en skyldighet för den personuppgiftsansvarige att i vissa fall underrätta tredje man om rättelsen. Regeln motsvarar alltså vad som gäller enligt personuppgiftslagen, men den danska bestämmelsen gäller inte i polisens verksamhet på straffrättens område.

Precis som personuppgiftslagen innehåller personoplysningsloven regler om säkerheten vid behandling, om anmälan till tillsynsmyndigheten, om ett personuppgiftombuds uppgifter, om tillsyn och om delegation till regeringen att i viss omfattning meddela närmare föreskrifter m.m. Det föreligger härvid för polisens del inte några större principiella skillnader jämfört med den svenska regleringen. Det saknas därför anledning att i det här sammanhanget närmare redogöra för innebörden av personoplysningslovens regler i dessa delar.

Utöver personoplysningsloven finns det för polisens verksamhet i den danska lagstiftningen inga särskilda lagregler om speciella typer av behandling av personuppgifter. Det finns således t.ex. ingen motsvarighet till den svenska regleringen i polisdatalagen om behandling av personuppgifter i kriminalunderrättelseverksamhet. Sådan behandling styrs liksom annan behandling enbart av bestämmelserna i personoplysningsloven. Det finns dock två bekendtgörelser som förtjänar att nämnas i det här sammanhanget och som kortfattat redovisas i det följande.

6.1.3Två bekendtgörelser

Bekendtgörelse om behandling av personoplysninger i Det

Centrale Kriminalregister (Kriminalregisteret)

Det Centrale Kriminalregister (Kriminalregisteret) är ett kombinerat belastnings- och misstankeregister. Behandlingen av personuppgifter i registret styrs av bestämmelserna i bekendtgörelse om behandling av personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret). Rigspolitichefen, som under justitieministeriet utgör den centrala nivån inom den danska polisorganisationen, är personuppgiftsansvarig för registret.

Kriminalregisteret fyller i stort sett samma funktion som de svenska registren belastningsregistret och misstankeregistret. Ändamålen och uppgiftsinnehållen i registren är likartade. Det saknas anledning att här närmare redovisa de regler som skall iakttas vid behandling av personuppgifter i registret.

Bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

Bestämmelserna i personoplysningsloven kompletteras för den offentliga förvaltningens del av Bekendtgörelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgörelsen innehåller generella säkerhetsbestämmelser som skall tillämpas vid automatiserad behandling av personuppgifter i det allmännas verksamhet. Reglerna i bekendtgörelsen motsvarar i stort vad som i Sverige gäller enligt personuppgiftslagen och personuppgiftsförordningen om säkerheten vid behandling.

6.2Finland

6.2.1Översikt över regleringen

Finland har också genomfört EG:s dataskyddsdirektiv. Detta har skett genom antagandet av personuppgiftslagen (523/1999). Lagen trädde i kraft den 1 juni 1999.

Personuppgiftslagen är tillämplig även i polisens verksamhet. Det finns dessutom en lag med särbestämmelser för polisens verksamhet, nämligen lagen om polisens personregister (509/1995). Den lagen trädde i kraft den 1 oktober 1995. Lagregleringen består dessutom av straffregisterlagen (770/1993).

Finland har även tillträtt Europolkonventionen och Schengenkonventionen.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personuppgiftslagen. Framställningen koncentreras till skillnader gentemot den svenska personuppgiftslagen.

6.2.2Personuppgiftslagen

Tillämpningsområde

Den finska personuppgiftslagen utgör alltså liksom sin svenska motsvarighet en implementering av EG:s dataskyddsdirektiv. Detta medför att de båda lagarna väsentligen har samma innehåll.

Den finska personuppgiftslagen gäller vid behandling av personuppgifter om inte annat bestäms någon annanstans i lag. Lagen tilllämpas på automatisk behandling av personuppgifter och också på

annan behandling av personuppgifter om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Lagens huvudsakliga innehåll

Lagen har bestämmelser liknande de svenska om allmänna principer för behandlingen av personuppgifter, om känsliga personuppgifter och personnummer, om information till den registrerade, om säkerhet vid behandling och om Dataombudsmannens befogenheter m.m. I det följande tas upp några mer betydelsefulla skillnader jämfört med den svenska personuppgiftslagen.

Den finska lagen har kvar begreppet register och lagen innehåller en definition av personregister. Enligt definitionen är ett personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader. Motsvarigheten till begreppet personuppgiftsansvarig är i den finska lagen begreppet registeransvarig. En registeransvarig är enligt lagens definition en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register.

Det finns i lagen ett principiellt förbud mot att behandla känsliga personuppgifter, vilket dock kompletteras av ett stort antal undantag. Ett undantag som inte har någon motsvarighet i den svenska lagen säger att förbudet mot att behandla känsliga personuppgifter inte utgör hinder för sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den registeransvarige i lag.

Reglerna om information till registrerade skiljer sig från reglerna i den svenska personuppgiftslagen. Det finns i den finska lagen bestämmelser om att information skall lämnas självmant till den registrerade. Utöver de undantag som finns i den svenska lagstiftningen får information underlåtas om det är nödvändigt bl.a. för att förebygga eller utreda brott. Enskilda har också en principiell rätt att efter ansökan få information om huruvida uppgifter om dem behandlas. Denna rätt till insyn gäller dock inte bl.a. om informationen kan försvåra förebyggande eller utredning av brott.

6.2.3Lagen om polisens personregister

Särskilt reglerade register

Lagen innehåller till att börja med bestämmelser om att vissa särskilda register skall föras. Dessa register är datasystemet för polisärenden, datasystemet för förvaltningsärenden, datasystemet för misstänkta, skyddspolisens funktionella datasystem, den centrala databasen i Schengens informationssystem och Schengens nationella informationssystem.

Datasystemet för polisärenden är avsett för polisens riksomfattande bruk. Det finns inom systemet delregister för brottsanmälningar, efterlysningar, identifieringar och signalement m.m.

Datasystemet över förvaltningsärenden är också avsett för polisens riksomfattande bruk. Det har delregister för vapentillstånd, pass, väktare, ordningsvakter m.m.

Datasystemet för misstänkta är ett personregister som är avsett för polisens riksomfattande bruk och som förs med hjälp av automatiserad databehandling. För registret över misstänkta får inhämtas och i registret införas uppgifter som behövs för förebyggande och utredning av brott och som gäller personer som ”skäligen kan misstänkas begå eller ha begått ett brott på vilket kan följa fängelse eller medverka eller ha medverkat till ett brott på vilket kan följa fängelse i mer än sex månader”.

Skyddspolisens funktionella datasystem är som namnet anger avsett för Skyddspolisens bruk. Skyddspolisen har i stort samma uppgifter som Säkerhetspolisen har i Sverige. I datasystemet får införas uppgifter som behövs för förebyggande eller utredning av förehavanden eller brott som äventyrar rätts- och samhällsordningen eller statens säkerhet.

Regleringen av Schengen-systemen motsvarar i allt väsentligt vad som i Sverige gäller enligt lagen om Schengens informationssystem.

Det finns närmare bestämmelser om systemen i förordningar.

Inrättande av ytterligare personregister

Andra personregister än de som nyss beskrivits får beroende på användningsändamålet inrättas för polisens riksomfattande bruk, för en polisenhets bruk eller för att användas av en person som hör till polispersonalen eller av en arbetsgrupp som består av flera sådana personer. Då polisen beslutar att inrätta ett register skall registrets ändamål alltid anges.

Lagens huvudsakliga innehåll i övrigt

I lagen finns särskilda bestämmelser om registrering av uppgifter som inte hänför sig till ett visst uppdrag. Information som har erhållits i samband med ett visst uppdrag som ankommer på polisen och som behövs föra att polisen skall kunna fullgöra sina uppgifter, men som inte hänför sig till uppdraget i fråga, får endast inhämtas för och registreras i datasystemet över misstänkta eller skyddspolisens system eller ett sådant register som är avsett för en persons eller en arbetsgrupps bruk.

Det finns också särskilda regler om registrering av känsliga personuppgifter. Uppgifter om en brottslig gärning eller straff eller annan påföljd för brott får registeras under förutsättning att de behövs med tanke på det ändamål som registret används för. Beträffande vissa andra kategorier av uppgifter är villkoren strängare. Uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning får registreras endast om det är nödvändigt för att ett visst uppdrag skall kunna fullgöras eller om det är nödvändigt för tryggande av den registrerades egen säkerhet eller polisens skydd i arbetet.

Uppgifter som erhållits genom teknisk avlyssning och som inte hänför sig till ett brott eller om den hänför sig till något annat brott än det för vars förhindrande eller avbrytande avlyssningen får ske, får inte införas i ett personregister, såvida inte uppgiften gäller ett brott för vars förhindrande eller avbrytande avlyssning får ske. Särskilda bestämmelser om registrering av uppgifter som erhålls genom teleavlyssning eller hemlig teknisk teleavlyssning finns i tvångsmedelslagen.

Förutom de bestämmelser som nämnts ovan finns i lagen om polisens personregister dessutom regler om polisens rätt till uppgifter ur vissa register, om andra myndigheters registrering av uppgifter i polisregistren genom direkt anslutning, om den registrerades rätt till insyn samt om utlämnande och användning av uppgifter.

6.2.4Straffregisterlagen

Straffregisterlagen säger att det vid justitieministeriet förs ett straffregister i enlighet med de regler som finns i lagen. I straffregistret behandlas sådana uppgifter som behövs för bestämmande och verkställighet av straffrättsliga påföljder. Ur straffregistret får uppgifter även lämnas ut för att användas vid en utredning och bedömning av en persons tillförlitlighet och personliga lämplighet. Ändamålet och

innehållet i straffregistret motsvarar i stort vad som gäller i Sverige beträffande belastningsregistret.

6.3Norge

6.3.1Översikt över regleringen

I Norge har antagits en lag om behandling av personuppgifter, nämligen loven om behandling av personopplysninger (personopplysningsloven). Lagen är tillämplig även i polisens verksamhet. Den trädde i kraft den 1 januari 2001. Det finns dessutom en lag med särbestämmelser som har betydelse för polisens verksamhet, nämligen straffregistreringsloven. Vidare har Norge tillträtt Schengenkonventionen och har därför även en lag om Schengens informationssystem.

En statlig utredning håller för närvarande på med en översyn av lagregleringen om polisens rätt att behandla personuppgifter automatiserat. En anledning till översynen är att straffregisterloven trädde i kraft redan år 1975 och därför inte är anpassad till den nya regleringen i personopplysningsloven.

I följande avsnitt lämnas en kortfattad redovisning av innehållet i personopplysningsloven. Framställningen koncentreras till skillnader gentemot den svenska personuppgiftslagen.

6.3.2Personopplysningsloven

Tillämpningsområde

Regleringen i personopplysningsloven överensstämmer i stort med bestämmelserna i EG:s dataskyddsdirektiv och följaktligen då även med bestämmelserna i den svenska personuppgiftslagen.

Personopplysningsloven gäller vid behandling av personuppgifter om inte annat bestäms någon annanstans i lag. Lagen tillämpas på automatisk behandling av personuppgifter och också på annan behandling av personuppgifter om personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Lagens huvudsakliga innehåll

Personopplysningsloven innehåller regler om när behandling av personuppgifter över huvud taget får ske, om grundläggande krav på behandlingen av personuppgifter, om behandling av känsliga personuppgifter och personnummer, om information till registrerade, om säkerheten vid behandling och om tillsyn m.m. Reglerna överensstämmer sakligt i stort med de svenska reglerna. Nedan pekar vi på några skillnader av större betydelse.

I personopplysningsloven finns bestämmelser om kameraövervakning. Lagen innehåller därvid regler om när kameraövervakning får äga rum, om utlämnande av bildupptagningar och om information angående övervakningen.

Personopplysningsloven innehåller vissa regler om personregister. Med personregister avses i lagen register eller andra förteckningar i vilka personuppgifter finns lagrade systematiskt på ett sådant sätt att uppgifter om enskilda kan återfinnas.

Känsliga personuppgifter får behandlas ifall det framgår av lag att sådana uppgifter får behandlas. På grund av detta stadgande anses polisen ha rätt att behandla känsliga personuppgifter. Därutöver får känsliga personuppgifter behandlas i samma fall som anges i den svenska personuppgiftslagen.

Den som behandlar personuppgifter skall lämna information om behandlingen. Informationsplikten gäller dock inte om det krävs att behandlingen hålls hemlig för att brott skall kunna förebyggas eller utredas.

6.3.3Strafferegistreringsloven

Enligt regler i Strafferegistreringsloven förs det ett straffregister som omfattar hela riket. Registret benämns straffeog politiopplysningsregisteret (SPP). Registret innehåller upplysningar om domar strafförelägganden och vissa andra straffrättsliga påföljder. Uppgifter får lämnas ut ur registret enligt de regler som finns i lagen. Sammantaget kan registret sägas utgöra en motsvarighet till det svenska belastningsregistret.

Strafferegistreringsloven innehåller inte bara regler om ett register för belastningar. Det föreskrivs också att det får föras ett rikstäckande register med personuppgifter som kan vara av betydelse i polisens arbete för att förebygga, efterforska eller utreda brott. Strafferegistreringsloven innehåller regler om utlämnande av uppgifter ur registret, men inga regler om själva behandlingen. I fråga om behand-

ling av personuppgifter i registret gäller i stället bestämmelserna i personopplysningsloven.

Med stöd av nämnda bestämmelser förs ett rikstäckande register för kriminaletterretningsinformasjon (KRIMSYS). Registret ses som ett hjälpregister till SPP. Varje polisdistrikt har avdelats ett område i databasen och ansvarar för lokal registrering av information. Det finns dessutom särskilda delregister för ekonomisk kriminalitet, brottslighet som har samband med utlänningsärenden, olovlig invandring, barnpornografi m.m. En del av databasen är tillgänglig endast för den som äger information och för kriminalpoliscentralen som är registeransvarig.

6.4Sammanfattande slutsatser av jämförelsen

Den svenska lagstiftningen om behandling av personuppgifter i polisens verksamhet utgår från personuppgiftslagen, som kompletteras av polisdatalagen. Sistnämnda lag innehåller behandlingsregler om kriminalunderrättelseverksamhet m.m. och innehåller även bestämmelser om vissa register. Därutöver finns i lagstiftningen regler om belastningsregister, misstankeregister och Schengens informationssystem. Sammantaget är den svenska regleringen mer restriktiv för polisen än de regleringar som gäller i de övriga nordiska länderna. Inget av de övriga länderna har någon motsvarighet till den svenska regleringen om kriminalunderrättelseverksamhet. Möjligheterna för polisen att arbeta problemorienterat och verka brottsförebyggande blir härigenom större än enligt den svenska lagstiftningen. Polisens informationsskyldighet är även mer begränsad i de andra ländernas lagstiftning.

Vi bedömer att även regleringen i den nya polisdatalag som vi föreslår i det här betänkandet är mer restriktiv för polisen än lagstiftningen i de länder som omfattas av jämförelsen.

7 Behovet av nya författningar

I det här kapitlet tar vi upp vissa övergripande frågor om vilka författningsändringar som behövs för att uppnå en lämplig reglering av polisens rätt att behandla personuppgifter automatiserat.

7.1Behovet av författningsreglering utöver personuppgiftslagen

7.1.1Pliktregisterutredningens synpunkter

Vi överväger i det här betänkandet vilka författningsändringar som behövs för att uppnå en lämplig författningsreglering av polisens rätt att behandla personuppgifter automatiserat. Vi inleder med att allmänt diskutera behovet av särskilda regleringar utöver personuppgiftslagen. Närmast redovisar vi några uttalanden som gjorts av Pliktregisterutredningen, vilka vi anser kan vara av intresse som bakgrund till de bedömningar som vi skall göra.

Pliktregisterutredningen ifrågasatte i betänkandet Behandling av personuppgifter om totalförsvarspliktiga (SOU 1997:101 s. 103 f.) om det skulle finnas behov av särskilda registerförfattningar när personuppgiftslagen trädde i kraft. Bakgrunden till detta ifrågasättande var följande. En av de stora skillnaderna mellan personuppgiftslagen och datalagen är tillämpningsområdet. Medan datalagen gäller endast ADB-baserade register omfattar personuppgiftslagen all behandling av personuppgifter som företas på automatiserad väg, liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vidare är en utgångspunkt för personuppgiftslagen att behandling av personuppgifter är tillåten endast i de fall och på de villkor som anges i lagen. I andra fall skall behandling av personuppgifter inte få förekomma. Något tillståndsförfarande motsvarande det som förekom enligt datalagen finns inte.

Det framhölls av Pliktregisterutredningen att som skäl för tidigare införda särskilda registerlagar inte sällan hade åberopats uttalanden från riksdagen om nödvändigheten av sådan lagstiftning. Dessa uttalanden, förlorar menade Pliktregisterutredningen, mycket i aktualitet i och med personuppgiftslagens införande, eftersom uttalandena i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister tidigare var i princip oreglerade. Utredningen pekade på att personuppgiftslagen är tillämplig även på sådana register och till stor del avhjälper den uppmärksammade bristen med sin, i förhållande till datalagen, direkta reglering av behandlingen av personuppgifter. Pliktregisterutredningen framhöll dock att personuppgiftslagen är mindre utförlig än de särskilda registerförfattningarna.

Pliktregisterutredningen ansåg att behovet av registerförfattningar torde bli mindre i och med personuppgiftslagens ikraftträdande. Utredningen menade dock att personuppgiftslagen är en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter utförs och att det därför finns anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller menade utredningen, särskilt verksamhet som inte omfattas av EG-direktivet som ligger till grund för personuppgiftslagen och när fråga är om behandling av känsliga personuppgifter.

Slutsatsen från Pliktregisterutredningens var att viss särskild reglering vid sidan av personuppgiftslagen var nödvändig. Personuppgiftslagen förutsätter, menade utredningen också närmast att sådan reglering sker, i vart fall i vissa situationer. Det framhölls från utredningens sida dock att det finns anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.

I den proposition som behandlade Pliktregisterutredningens förslag (Lag om behandling av personuppgifter om totalförsvarspliktiga, prop. 1997/98:80) fördes inget allmänt resonemang om behovet av registerförfattningar när personuppgiftslagen väl trätt i kraft. Dock uttalade regeringen att personuppgiftslagens tillkomst inte utgör ett tillräckligt skäl att frångå den uppfattning som riksdagen gett uttryck för; att stora personregister med känsliga uppgifter skall lagregleras (anförd prop. s. 25). Enligt regeringen förutsätter också personuppgiftslagen att sådan reglering sker, i vart fall i vissa situationer.

7.1.2Datalagskommitténs synpunkter

I sitt betänkande Integritet, Offentlighet, Informationsteknik (SOU 1997:39 s. 208 ff.) konstaterade Datalagskommittén endast att uppdraget till kommittén inte omfattade de särskilda registerförfatt-